Microsoft vient de confirmer qu'ils filent les clés de chiffrement BitLocker au FBI quand celui-ci débarque avec un mandat. Et même si on s'en doutait fooort, c'est la première fois qu'on a la preuve que ça arrive vraiment.

L'affaire s'est passée à Guam (une île américaine dans le Pacifique), où des agents fédéraux enquêtaient sur une histoire de fraude. Ils avaient besoin d'accéder aux ordis de suspects, sauf que les disques étaient chiffrés avec l'outil BitLocker , le chiffrement intégré à Windows. Du coup, ni une ni deux, le FBI a envoyé un mandat à Microsoft pour récupérer les clés de récupération stockées dans le cloud.

Et Microsoft a dit oui, bien sûr, voilà les clés, servez-vous, c'est cadeau !

Le truc, c'est que par défaut, quand vous activez BitLocker sur un PC avec un compte Microsoft, Windows envoie automatiquement une copie de votre clé de récupération sur les serveurs de Redmond. C'est présenté comme une fonctionnalité pratique, genre "au cas où vous oubliez votre mot de passe". Sauf que du coup, Microsoft a accès à vos clés.

Et si Microsoft a accès, le gouvernement aussi.

Côté Apple, c'est une autre histoire. J'sais pas si vous vous souvenez de l'affaire de San Bernardino en 2016 mais le FBI avait demandé à Apple de créer un firmware spécial pour désactiver les protections anti-bruteforce de l'iPhone d'un terroriste. Tim Cook avait dit non. Pas parce qu'Apple ne pouvait pas techniquement le faire, mais parce que créer cet outil aurait ouvert une brèche pour tout le monde.

Microsoft, eux, ont fait le choix inverse. Leur architecture permet explicitement de conserver une copie des clés côté serveur. Alors oui, c'est pratique si vous perdez votre mot de passe, mais c'est aussi une porte d'entrée pour quiconque a un mandat... ou autre chose.

Microsoft dit recevoir environ 20 requêtes par an pour des clés BitLocker, et qu'ils ne peuvent pas toujours y répondre, genre quand l'utilisateur n'a pas activé la sauvegarde cloud.

On s'en serait douté...

Bref, si vous utilisez BitLocker et que vous tenez vraiment à ce que vos données restent privées, désactivez la sauvegarde automatique de la clé sur le compte Microsoft.

Concrètement, pour cela vous avez deux options : utiliser un compte local au lieu d'un compte Microsoft (la clé ne sera jamais envoyée dans le cloud), ou si vous êtes sur Windows Pro/Enterprise, passer par les stratégies de groupe (gpedit.msc → Configuration ordinateur → Modèles d'administration → Composants Windows → Chiffrement de lecteur BitLocker) pour forcer la sauvegarde locale uniquement.

Autrement, vous pouvez aussi simplement sauvegarder votre clé sur une clé USB ou l'imprimer. C'est moins pratique, mais au moins elle reste chez vous.

Source

Vous pensiez avoir tout vu avec les manipulations d'images ? Les générateurs de mèmes, les filtres rigolos, tout ça... Bon, on rigole bien entre potes. Sauf que là, c'est la Maison Blanche qui s'y met et tristement c'est pas pour faire du "lol".

Je vous explique le délire. Jeudi dernier, l'administration Trump a voulu crâner sur les réseaux sociaux. Ils ont annoncé l'arrestation de plusieurs manifestants qui avaient perturbé un office religieux dimanche dernier à Cities Church (St. Paul). Ils protestaient contre un pasteur, David Easterwood, qui serait également le directeur par intérim de l'antenne locale de l'agence fédérale U.S. Immigration and Customs Enforcement (ICE).

Jusque-là, de la politique classique. Mais là où ça dérape sévère, c'est quand ils ont balancé la photo de l'une des personnes arrêtées. La dame en question s'appelle Nekima Levy Armstrong et c'est pas n'importe qui. Avocate des droits civils, ancienne présidente du chapitre de Minneapolis de la NAACP. Elle est une figure très respectée. Sur la photo originale de son arrestation, elle a un visage neutre. Digne.

Sauf que la Maison Blanche a trouvé ça trop "calme" sans doute. Alors ils ont diffusé une version de la photo manipulée numériquement pour la transformer complètement.

Résultat, sur l'image postée par le compte officiel @WhiteHouse, on voit Nekima Levy Armstrong en train de sangloter à chaudes larmes. Genre gros bébé qui chiale. Et c'est là que le venin se diffuse car ce n'est pas juste une modification esthétique.

C'est carrément une manipulation symbolique dégueulasse !

A gauche la photo IA, à droitela VRAIE photo

En faisant ça, ils activent un vieux levier bien rance : le stéréotype de la "Sapphire" ou de la " Angry Black Woman ". C'est un genre d'hyperbole qui trouve ses racines dans les représentations caricaturales du XIXe siècle (les fameux minstrel shows ) avant d'être codifié au XXe siècle.

L'idée c'est de présenter les femmes noires comme des êtres intrinsèquement hystériques, incapables de se contrôler, qui hurlent et chouinent pour un rien. C'est une technique de déshumanisation pure et simple. La Maison Blanche a transformé une opposante politique digne en caricature pleurnicharde pour lui ôter toute crédibilité.

Et quand les journalistes ont demandé des comptes, le service de presse de la Maison Blanche a renvoyé vers un post sur X de Kaelan Dorr (directeur adjoint de la communication) dont la réponse est glaciale : "L'application de la loi continuera. Les mèmes continueront." Hop. Circulez, y'a rien à voir. C'est assumé. Ils manipulent l'information, déforment la réalité pour servir un discours politique, et ils appellent ça un "mème".

Putain, que ces gens sont à vomir.

Le fond de l'histoire maintenant, c'est que ces gens demandaient justice pour Renee Good, une mère de famille abattue par un agent de l'ICE le 7 janvier dernier. L'administration invoque la légitime défense, mais des vidéos et des analyses contestent fermement cette version. Ce sont des vies brisées, des tragédies réelles et en face, on a un gouvernement qui s'amuse avec des outils IA pour transformer la douleur et la dignité en "blague" raciste.

Y'a vraiment de quoi se taper la tête contre les murs. Ça me rappelle un peu les dérives qu'on voit avec les IA qui manipulent les émotions pour du business ou de la politique. Cette technologie devrait faire avancer la science et booster la productivité mais pour l'instant, dans les mains de certains, ça sert surtout à industrialiser la haine et à maquiller le mensonge. Comme le dit souvent Mikko Hyppönen, si c'est intelligent, c'est vulnérable et là c'est pas de l'IoT, mais notre perception de la réalité déjà bien fragilisée depuis quelques années, qui est visée.

Voilà... quand la technologie sert à fabriquer de la désinformation d'État, il est grand temps, je pense, de se réveiller. Donc restez aux aguets les amis, parce que les fascistes, eux la vérité, ils s'en tamponnent le coquillard.

Source

Vous pensiez que votre imprimante de bureau était juste un objet d'un autre temps qui enchaine des bourrages papier toute la journée et vous réclame de l'encre hors de prix comme un enfant qui attend sa têtée ? Ben va falloir revoir vos priorités niveau paranoïa, parce que c'est bien plus que ça !

Une enquête du Washington Post vient en effet de révéler comment le FBI a identifié un de leurs lanceurs d'alerte grâce aux logs d'impression de son employeur. Aurelio Luis Perez-Lugones, spécialiste IT pour un sous-traitant du gouvernement américain, aurait fait des captures d'écran de documents classifiés dans un SCIF (ces salles ultra-sécurisées où même votre téléphone n'entre pas), puis les aurait collés dans Word avant de les imprimer.

Et comment ils l'ont su ?

Hé bien il semblerait que les logs d'impression de sa boîte aient joué un rôle clé dans l'enquête, en complément des caméras de vidéosurveillance, bien sûr.

Car oui, ces systèmes ne se contentent pas de noter "Jean-Michel a imprimé 47 pages le 15 janvier". Non, ils peuvent stocker le contenu intégral des documents, les métadonnées, l'heure exacte, le poste de travail utilisé...etc. En gros, votre patron sait exactement ce que vous avez imprimé, et depuis combien de temps vous essayez de photocopier votre CV en douce.

Mais le plus flippant dans cette histoire, c'est que ça ne s'arrête pas aux logs réseau puisque même votre imprimante perso à la maison, elle-même, peut vous balancer, et cela depuis des décennies...

Vous avez déjà entendu parler des révélations d'Edward Snowden sur la surveillance de masse ? Ben là, c'est pareil, mais en version papier.

En effet, depuis les années 80, la plupart des imprimantes laser couleur intègrent un système de traçage appelé Machine Identification Code (MIC). Grâce à ce système, chaque page que vous imprimez contient une grille quasi-invisible de points jaunes d'environ 0,1 millimètre, espacés d'un millimètre. Ces points encodent le numéro de série de votre machine et la date/heure d'impression, ce qui fait que n'importe quel document imprimé peut être relié à une imprimante spécifique.

C'est discret, faut de bons yeux.

Le Chaos Computer Club et l'EFF ont documenté ce système depuis des années et l'EFF maintient même une liste des fabricants qui utilisent ces mouchards (spoiler : la plupart des grandes marques y sont).

Comment vérifier si votre imprimante vous espionne

Première étape : imprimez une page avec du contenu coloré sur fond blanc. Ensuite, examinez-la sous une lumière bleue ou un microscope et là vous verrez probablement une grille de points jaunes, à peine détectables à l'œil nu.

Pour les plus techniques d'entre vous, l'outil DEDA (Dot Evidence Documentation and Analysis) développé par l'Université Technique de Dresde permet d'analyser et même d'anonymiser ces traces.

Comment auditer les logs d'impression en entreprise

Si vous êtes admin réseau ou simplement curieux de savoir ce que votre boîte enregistre, voici où chercher :

Sur Windows Server, direction la console de gestion d'impression. Les logs sont généralement dans l'Observateur d'événements sous "Applications et services" > "Microsoft" > "Windows" > "PrintService". Activez les logs "Operational" si ce n'est pas déjà fait.

Sur les imprimantes réseau, accédez à l'interface web d'administration (généralement l'IP de l'imprimante dans un navigateur). Cherchez une section "Logs", "Journal" ou "Historique des travaux". Certains modèles HP Enterprise ou Xerox stockent des semaines entières de données.

Sur les serveurs d'impression centralisés type PaperCut ou Equitrac, c'est la fête car ces solutions peuvent stocker énormément de données, du nom d'utilisateur jusqu'au contenu OCR des documents scannés si des modules ou intégrations spécifiques ont été activés.

Comment limiter ces traces

Pour les points jaunes, DEDA propose un mode d'anonymisation qui ajoute du bruit dans le pattern. C'est pas parfait, mais ça complique sérieusement le traçage !

Après pour les logs réseau, c'est plus compliqué... En entreprise, vous n'avez généralement pas le contrôle. Par contre, si c'est chez vous, désactivez simplement la journalisation dans les paramètres de votre imprimante et évitez les services cloud des fabricants.

Ah et une dernière chose : si vous imprimez des documents sensibles mes petits lanceurs d'alertes préférés, privilégiez une imprimante laser noir et blanc d'occasion payée en cash. Les modèles monochromes n'ont pas les fameux points jaunes, et une machine sans historique réseau, c'est une machine qui ne parle pas.

Encore une fois c'est difficile de lutter contre cette surveillance généralisée, mais au moins maintenant vous savez que votre imprimante n'est pas qu'un simple périphérique !

C'est potentiellement le meilleur indic de votre bureau !

Source

Aujourd'hui, on va parler d'un truc qui gratte un peu : le tracking web.

Vous savez, cette sensation d'être suivi par une armée de régies publicitaires dès qu'on clique sur un article de presse ou qu'on cherche une nouvelle paire de pompes. Bah la CNIL, via son laboratoire d innovation (le LINC), développe depuis 2013 un outil qui permet de mettre des images sur ce sentiment de persécution numérique : CookieViz .

L'outil de dataviz du LINC ( Source )

CookieViz, c'est un logiciel de dataviz en temps réel qui analyse les interactions entre un navigateur et les serveurs distants. Vous naviguez via l'outil (qui embarque son propre navigateur pour la version desktop) et celui-ci débusque les cookies et les requêtes observables envoyées vers des domaines tiers.

Et souvent, le résultat ressemble à un gros plat de cyber spaghettis où chaque fil mène à un tracker différent.

La version 2.3, publiée en juin 2022 (ça date un peu, c'est vrai) reste la référence stable du projet. Le système d'analyse a été revu pour être plus stable et le navigateur intégré est plus sécurisé et la visualisation met en avant le rôle central des places de marché publicitaires dans les mécanismes d'enchères en temps réel (RTB). Vous verrez ainsi comment un seul clic peut déclencher une cascade de connexions vers des acteurs dont vous n'avez jamais entendu parler.

Le projet est open source et disponible sur GitHub ( Source )

Alors oui, pour ceux qui se demandent comment voir les cookies de suivi sans installer un logiciel complet, les navigateurs comme Chrome ou Firefox proposent des outils rudimentaires dans leurs menus de réglages. Mais franchement, à côté de CookieViz, c'est un peu comme essayer de comprendre le trafic routier en regardant par le trou d'une serrure.

Pour les amateurs de bidouille, sachez aussi que c'est du logiciel libre sous licence GPLv3 donc vous pouvez donc aller gratter le code, l'améliorer ou simplement vérifier que la CNIL ne vous espionne pas en douce (ahaha, je plaisante hein...^^).

L'outil est dispo en version desktop pour Windows, Linux et macOS et il existe aussi une extension officiellement publiée pour Firefox , tandis que les utilisateurs de Chrome ou Opera devront passer par une installation manuelle du code depuis la branche Chromium du projet.

Moi j'ai préféré l'installé à la main comme ceci en clonant le projet :

TikTok vient de lâcher une info qui va faire grincer des dents tous ceux qui comme moi tiennent à leur vie privée. Le réseau social chinois va prochainement déployer dans l'Union européenne une nouvelle technologie d'intelligence artificielle dont le but est d'estimer si un compte appartient à un utilisateur de moins de 13 ans en analysant... votre comportement.

Fini le simple formulaire où l'on tape une date de naissance bidon, TikTok passe à la vitesse supérieure sous la pression des régulateurs européens. Le système va donc scanner vos infos de profil, les vidéos que vous postez, mais surtout des "signaux comportementaux".

En gros, l'algorithme va analyser comment vous interagissez avec l'app pour prédire votre tranche d'âge. Mais rassurez-vous, si l'IA vous siffle parce qu'elle pense que vous n'avez pas l'âge requis, votre compte ne sera pas banni instantanément, mais envoyé à des modérateurs humains spécialisés là dedans pour une vérification manuelle.

Après même si ça part d'une bonne intention, l'enfer en est pavé et le souci ici c'est que l'analyse comportementale sera constante. Donc si vous avez des centres d'intérêt un peu "jeunes" ou si vous utilisez l'app d'une certaine manière, vous pourriez vous retrouver flaggé par erreur. À l'inverse, un gamin un peu malin pourrait adopter un comportement "adulte" pour passer sous les radars. C'est le jeu du chat et de la souris, mais avec vos données personnelles comme mise de départ.

Et quid de la confidentialité ? Même si TikTok a travaillé en concertation avec la Commission irlandaise de protection des données (DPC) pour que le système respecte les règles de l'UE, ByteDance reste sous surveillance étroite. Je me demande où seront stockés ces signaux comportementaux et surtout à quoi ils serviront d'autre ? De mon point de vue, le risque de dérive vers un profilage publicitaire encore plus intrusif est réel avec ce genre de process...

Maintenant, si votre compte est bloqué et que vous voulez contester, TikTok proposera plusieurs options de confirmation d'âge en backup tels que :

1. Envoyer un selfie accompagné d'une pièce d'identité.
2. Effectuer une vérification par carte bancaire (via un micro-débit temporaire).
3. Utiliser un service tiers d'estimation de l'âge par analyse faciale.

En tout cas, je trouve marrant que pour "protéger les mineurs", on finisse toujours par demander encore plus de données biométriques ou bancaires à tout le monde. Données qui vont encore se retrouver sur BreachForums ou je ne sais où d'ici quelques années...

Source

Si vous pensiez que vos écouteurs sans fil étaient capables de garder vos secrets, j'ai une mauvaise nouvelle pour vous !

Des chercheurs du groupe COSIC de la KU Leuven (les mêmes génies qui avaient déjà hacké des Tesla il y a quelques années) viennent de dévoiler WhisperPair. C'est le petit nom d'une série de vulnérabilités qui touchent le protocole Google Fast Pair, et vous allez voir, ça craint.

Le protocole Fast Pair, censé nous faciliter la vie en appairant nos gadgets en un clic, oublie en fait de vérifier si l'appareil est réellement en mode appairage. Du coup, n'importe quel petit malin situé à portée de Bluetooth (environ 15 mètres dans les tests) peut se connecter silencieusement à votre casque ou vos enceintes, même si vous êtes déjà en train d'écouter votre podcast préféré. Pas besoin de bouton, pas besoin de confirmation, rien. C'est un peu le retour de la faille BlueSpy dont je vous parlais l'année dernière , mais en mode industriel.

Et quand je dis industriel, je n'exagère pas car les chercheurs ont testé 25 modèles différents et 17 d'entre eux sont tombés comme des mouches. Des marques comme Sony, Jabra, JBL, Marshall, Xiaomi, OnePlus, Logitech et même les Pixel Buds de Google sont touchées. Et une fois connecté, le pirate peut faire pas mal de trucs sympas (ou pas) comme injecter son propre audio à fond dans vos oreilles, perturber vos appels, ou pire, activer le micro pour écouter ce qui se passe autour de vous.

Mais attendez ça va encore plus loin car pour certains modèles Sony et Google, un attaquant peut carrément enregistrer votre casque sur son propre compte Google. Et là, c'est le combo gagnant pour le stalker puisqu'il peut vous suivre à la trace via le réseau Find Hub (le "Localiser" de Google). Le plus dingue, c'est que ça fonctionne même si vous utilisez un iPhone et que vous n'avez jamais touché à un produit Android de votre vie.

Si vous recevez une alerte de tracking sur votre smartphone, vous penserez probablement à un bug de votre propre appareil alors que c'est un espion qui regarde vos déplacements en temps réel... C'est moche.

Bref, Google a bien essayé de patcher le truc, notamment pour Find Hub, mais les chercheurs ont déjà trouvé un moyen de contourner le correctif en quelques heures. C'est la course à l'échalote habituelle et le vrai souci, c'est que pour corriger ça proprement, il faut une mise à jour du firmware de chaque accessoire par son constructeur. Et on sait tous comment ça se passe... à moins d'avoir l'application dédiée de la marque (que personne n'installe jamais) et de penser à vérifier les updates, vos écouteurs resteront vulnérables pendant des années.

Du coup, que faire ?

Hé bien déjà, si vous bossez sur des trucs ultra-sensibles, méfiez-vous du Bluetooth dans les lieux publics. C'est moche à dire en 2026, mais la sécurité des objets connectés reste encore trop souvent le parent pauvre de l'ergonomie.

Et si vous voulez creuser les détails techniques, les chercheurs ont tout mis sur leur site dédié .

Source

-- Article en partenariat avec Incogni --

On parle souvent de “bonnes résolutions” pour le Nouvel An : se remettre au sport, arrêter de scroller la nuit, cuisiner un peu plus… mais jamais d'arrêter de se faire siphonner sa vie par des boîtes dont on n’a jamais entendu parler. 2026 peut être l’année où votre identité numérique arrête de servir de carburant à des data brokers, pour redevenir ce qu’elle aurait toujours dû être : à vous, et à vous seul. Parce qu'il faut savoir être égoiste parfois.

Vos données sont déjà en vente même si vous n’avez jamais “rien accepté”

Comme je vous l'ai déjà expliqué, les data brokers vivent d’un business aussi discret que lucratif : collecter des morceaux de vos infos, les recouper et les revendre à des dizaines d’acteurs différents. Adresse, numéro de téléphone, emails, revenus supposés, historique de navigation, centres d’intérêt, santé présumée, habitudes d’achat, présence sur les réseaux… tout y passe. Ils récupèrent ces données via des formulaires “innocents”, des programmes de fidélité, des cookies, des services IA, des applis gratuites, des comparateurs, des jeux-concours et, bien sûr, des fuites de données massives. Sans oublier nos gentils services gouvernementaux (Urssaf, France Travail & co) qui font quasi des journées portes ouvertes (pays européen qui fuite le plus, 2e rang mondial, enfin un truc ou on est bon!).

Résultat : votre profil se balade sans doute dans des centaines de bases. Il nourrit des pubs ultra ciblées, sert de matière première à des algos de scoring, et alimente un écosystème d’arnaques de plus en plus industrialisées. Les rapports sur les scams en ligne montrent une hausse continue des fraudes liées au shopping et aux faux sites, largement facilitées par les données récupérées chez ces intermédiaires. Penser “je n’ai rien à cacher” en 2026, c’est surtout oublier que la prochaine usurpation d’identité ou le prochain deepfake bien ficelé se construira peut‑être avec les miettes que vous laissez trainer à gauche ou à droite.

Incogni : un agent qui passe l’année à dire “supprimez” à votre place

Là où beaucoup de guides se contentent de vous expliquer comment envoyer des mails d’opt‑out à la main, Incogni prend le problème à la racine : le service se branche sur plus de 420 data brokers et envoie, en votre nom, des demandes légales de suppression de vos données, à la chaîne et sur la durée. Dès que vous créez votre compte, l’algorithme identifie les courtiers susceptibles de détenir vos infos (en fonction de votre pays et des lois applicables), puis déclenche une salve de requêtes appuyées sur le RGPD, le CCPA, le PIPEDA et consorts.

Ce qui fait la différence, ce n’est pas juste le volume, c’est la persistance. Incogni renvoie des demandes tous les 60 jours pour les brokers publics et tous les 90 jours pour les privés, et suit systématiquement les réponses : suppression confirmée, en cours, résistante, ou carrément silencieuse. Quand un acteur rechigne, le service relance et peut même faire remonter le cas aux autorités de protection des données. Un audit indépendant mené par Deloitte en 2025 a confirmé que ces cycles de demandes et de relances ne sont pas du storytelling marketing, mais bien mis en œuvre comme annoncé.

2026 : le bon moment pour appuyer sur “reset”

Vous êtes la seule personne qui peut décider de “faire de 2026 votre année la plus privée” en attaquant le problème là où il se démultiplie : chez les brokers. La mécanique est simple :

• plus vos données restent longtemps dans ces fichiers, plus elles sont revendues et recopiées ;
• plus elles sont copiées, plus les scams sont crédibles (adresse exacte, bons prénoms, contexte plausible, etc.) ;
• plus les scams sont crédibles, plus il suffit d’un moment de fatigue pour cliquer au mauvais endroit.

En supprimant vos infos d’un maximum de courtiers, vous cassez une bonne partie de cette chaîne. Les analyses de services spécialisés montrent que les personnes qui utilisent un outil de data removal voient moins de spams ciblés et réduisent leur surface d’attaque face aux escroqueries liées par exemple au shopping et aux faux services clients. Et surtout, vous sortez du piège “j’espère que les sites que j’utilise feront attention” pour passer à “je vais taper directement là où ils vendent mes données”.

Comment Incogni transforme une résolution en routine automatique

L’autre intérêt d’Incogni , c’est qu’il transforme une bonne résolution de début d’année en réflexe automatisé. Concrètement :

• vous créez un compte, signez une procuration numérique ;
• Incogni scanne quels types de données sont exposés chez ses 420+ courtiers partenaires ;
• il envoie immédiatement des demandes de suppression, puis continue de les renvoyer périodiquement ;
• vous suivez tout dans un tableau de bord clair : gravité de l’exposition, niveau de coopération du broker, temps estimé de suppression, etc.

Certains services concurrents alignent des options annexes (VPN, gestion de mot de passe, assurance, etc.), mais la force d’Incogni, c’est justement de ne faire qu’une chose : traquer vos données chez les brokers et les faire retirer, encore et encore. Et si vous trouvez qu'un VPN couplé est indispensable, vous pouvez l'intégrer via l' offre Surfshark One+ dont j'ai parlé. Son rapport efficacité/prix pour ce cas d’usage précis est un autre point positif. Ainsi que la possibilité de demander des suppressions personnalisées sur des sites hors base standard, pratique pour des annuaires ou plateformes très locales.

Moins d’expo, moins de scams : la logique derrière

Les chiffres sur les arnaques en ligne pour 2025 et début 2026 montrent une explosion des fraudes liées au e‑commerce, aux fausses boutiques, aux notifications DHL/La Poste bidon et aux “remboursements” inventés. Et ces attaques ne sortent pas de nulle part : elles se nourrissent de listes d’emails, d’adresses, de numéros et de profils achetés ou loués à des intermédiaires. Plus votre fiche est riche, plus vous êtes intéressant à cibler.

En réduisant la quantité de données qui circulent sur vous chez ces acteurs, vous baissez mécaniquement la probabilité d’apparaître dans les fichiers vendus à des escrocs, la quantité de contexte qu’ils auront pour rendre leurs messages crédibles et l’ampleur des dégâts en cas de nouvelle fuite massive.

Mon test personnel et d'autres en ligne le confirment : beaucoup d’utilisateurs voient apparaître leurs premières suppressions dans les jours ou semaines qui suivent. Et cela monte à des dizaines de courtiers nettoyés au bout de quelques mois d’abonnement. Ce n’est pas un bouclier absolu, mais c’est l’équivalent d’un régime sérieux pour votre empreinte numérique : moins de gras inutile qui traîne partout, plus de contrôle sur ce qui circule.

2026, l’année où vos données cessent d’être une fatalité

Le vrai changement de mindset (comme diraient les gourous du dev perso), c’est de considérer que vos données ne sont pas condamnées à rester coincées dans chaque base qui les récupère. Des lois comme le RGPD vous donnent un droit à l’effacement, mais personne n’a le temps de l’exercer manuellement auprès de centaines de structures. Incogni se pose en proxy qui passe son année à faire ce boulot à votre place, en suivant les réponses et en recommençant jusqu’à obtenir un résultat, là où vous auriez abandonné au troisième mail automatisé incompréhensible.

Si une résolution doit survivre à janvier cette année, c’est celle‑ci : ne plus laisser votre identité numérique en open-bar chez les courtiers. Un compte Incogni, quelques minutes de configuration, et vous avez au moins une force de rappel permanente qui travaille pour vous pendant que vous passez à autre chose (tenir vos autres bonnes résolutions?). En 2026, reprendre sa vie numérique en main, ce n’est pas tout couper et partir vivre dans une cabane sans réseau, c’est accepter que l’on ne puisse pas empêcher toutes les fuites… mais refuser qu’elles deviennent un business éternel sur votre dos. Incogni ne promet pas l’oubli total, mais il s’en rapproche suffisamment pour que ça vaille enfin le coup de cocher cette résolution sur la liste.

Le prix de l'abonnement standard est actuellement d'environ 86€ TTC pour l'année entière. Mon code Korben55 doit encore fonctionner (je ne sais pas jusqu'à quand), en l'utilisant vous économiserez encore 7 ou 8€, donc c'est le moment !

→ Cliquez ici pour en savoir plus sur Incogni ←

J'sais pas si vous l'avez senti mais Google est peut-être bien en train de gagner la course à l'IA non pas par son génie technique pur, mais par un bon gros hold-up sur nos infrastructures et nos vies privées.

C'est vrai que d'après pas mal de spécialistes IA, Gemini serait désormais le modèle le plus performant du marché. Super. Mais est ce que vous savez pourquoi il est en train de gagner ?

Hé bien parce que Google possède "tout le reste". Contrairement à OpenAI qui doit quémander pour choper des utilisateurs sur son application, l'IA de Mountain View s'installe de force partout où vous êtes déjà. Dans Android, dans Chrome, et même bientôt au cœur de votre iPhone via une intégration avec Siri. C'est la stratégie Internet Explorer des années 90, mais version 2026. Brrrr…

Alors oui c'est pratique d'avoir une IA qui connaît déjà vos mails et vos photos... Sauf que non. Car Gemini utilise nos données pour absolument tout... Sous couvert de "Personal Intelligence", l'outil se connecte à vos recherches, votre historique YouTube, vos documents et vos photos. Mais pas d'inquiétude, c'est pour votre bien, évidemment. Ahahaha !

Après si vous croyez que ce pouvoir ne sera pas utilisé pour verrouiller encore plus le marché, c'est que vous avez loupé quelques épisodes. J'en parlais déjà avec l'intégration forcée de l'IA dans vos apps Android , Google change les règles du jeu en plein milieu de la partie. On se retrouve donc face à un monopole full-stack, des puces TPU maison jusqu'à l'écran de votre smartphone.

Et pendant que la Chine sécurise sa propre souveraineté cyber en virant le matos occidental, nous, on continue d'ouvrir grand la porte.... Les amis, si demain Google décide de changer ses CGU (encore) ou de monétiser votre "intelligence personnelle", vous ferez quoi ?

Bref, le géant de la recherche avance ses pions et étouffe peu à peu la concurrence avant même qu'elle puisse respirer. Notez vous ça sur un post-it afin de le relire régulièrement : Plus une IA est "intégrée", plus elle est intrusive. Donc si vous voulez vraiment garder le contrôle, il va falloir commencer à regarder du côté des modèles locaux et des alternatives qui ne demandent pas les clés de votre maison pour fonctionner.

A bon entendeur...

Source

Bon, on savait que c’était tendu en Iran pour chopper un peu d’Internet libre, mais là on passe clairement au niveau supérieur dans la traque technologique.

En effet, si vous pensiez que poser une antenne Starlink sur votre toit en scred suffisait pour échapper aux mollahs, vous allez être déçus. On n’est plus sur du "je cache le routeur derrière un ficus et tout ira bien", mais sur un mélange de coupures massives, de brouillage, et de chasse aux terminaux qui ressemble très fort à de la guerre électronique.

Déjà, rappelons un peu le contexte... Quand l’État coupe Internet et bride même le téléphone, Starlink devient systématiquement la bouée. Normal c'est de la connexion satellite, donc ça passe partout. Mais le Wall Street Journal raconte que, ces derniers jours, les autorités ont commencé à fouiller et confisquer des paraboles, notamment dans l’ouest de Téhéran, avec des perturbations plus fortes le soir, au moment où les gens descendent dans la rue. Forcément avoir du Starlink c’est illégal et les kits sont passés en contrebande via des bateaux depuis Dubaï, ou par la route via le Kurdistan irakien, etc. Bref, le tuyau vers l'Internet libre est rare, cher, risqué… mais vital pour sortir des vidéos de ce qui se passe dans le pays.

Dishy, l’antenne Starlink pour les intimes, est une antenne à réseau phasé qui dirige son énergie vers le satellite. Mais le truc à comprendre, c’est que "faisceau étroit" ne veut pas dire "invisible" car comme toute émission radio, ça laisse une empreinte. Du coup, un terminal qui transmet peut être détecté, surtout si en face il y a des moyens sérieux de radiogoniométrie / SIGINT (repérer qu’il y a une source, estimer une direction, recouper depuis plusieurs points, etc.).

Et à partir du moment où on peut recouper des mesures, on n’est plus très loin de remonter à un quartier… voire plus précis selon les moyens et la densité de capteurs.

Et justement, c'est là qu'on sort du folklore puisqu'avec tout ce qui se passe actuellement en Iran, il y a une intensification des efforts pour brouiller le service ainsi qu'une chasse active aux utilisateurs. Sur le volet "matos", on voit par exemple circuler des noms de systèmes russes présentés comme capables de repérer des terminaux Starlink (certains médias russes ont même mis en avant un système surnommé "Borshchevik") mais ce genre d’étiquette et les performances annoncées sont difficiles à vérifier indépendamment depuis l’extérieur. Ce qui est sûr en tout cas, c’est que sur le terrain, l’Iran traite ça comme une cible de guerre électronique, et pas comme un simple routeur interdit.

Autre point important chez Starlink, c'est le GNSS (GPS & co). On entend souvent que les affreux s'amusent à brouiller le GPS, donc l’antenne ne sait plus où elle est, donc ça marche plus. Mais la réalité est moins binaire car oui, le brouillage/spoofing GNSS peut compliquer ou empêcher la mise en service, dégrader la stabilité, ou foutre le bazar dans la synchronisation, surtout si le terminal a été déplacé ou redémarre en zone hostile. Mais selon les versions, les firmwares et les conditions radio, ça va plutôt d'un "ça rame" à un "ça coupe". Ce n'est donc pas forcément un interrupteur magique universel même si pour le régime iranien, ça reste une arme efficace pour rendre l’accès instable au moment où les gens en ont le plus besoin.

Évidemment, côté utilisateurs, c’est système D sur fond de parano (justifiée), et de créativité. On a vu passer des paraboles planquées sous des structures ou déguisées en objets du quotidien et beaucoup font attention au "bruit" autour de l'antenne... Par exemple certains évitent de laisser un Wi-Fi qui hurle “SALUT JE SUIS LÀ” au voisinage et passent sur du filaire quand c’est possible. Parce qu’au-delà du lien satellite, le premier truc qui peut trahir, c’est aussi tout ce qui rayonne localement (Wi-Fi, équipements, habitudes de trafic…). Et quand en face y'a des gens qui fouillent, confisquent, et cherchent des preuves, chaque détail compte.

L’Iran aurait même poussé le dossier à l’Union Internationale des Télécommunications (ITU, ONU) afin de tenter de faire interdire le service d'Elon Musk sur son territoire. Mais les États-Unis et Starlink résistent à l’idée d’appliquer ce bannissement au-delà du fait de couper des terminaux identifiés. En clair, c'est pas juste une chasse technique mais c’est aussi une bataille diplomatique et juridique pour l'Iran.

Mais alors si Starlink devient trop dangereux ou trop instable, qu’est-ce qu’il reste au peuple iranien ? Hé bien là, on passe en mode plan B / plan C. Par exemple, certains regardent du côté des messageries capables de faire du relais local / du store-and-forward , des réseaux mesh à l’ancienne en Bluetooth / Wi-Fi direct, pour faire passer des messages de proche en proche quand Internet est mort. Ça ne remplace pas une connexion, c'est certain, mais ça peut maintenir une circulation d’infos dans une ville, et parfois faire remonter des messages vers une passerelle qui, elle, a accès au monde extérieur.

On parle aussi beaucoup du "satellite-to-cell / direct-to-device" c'est à dire envoyer des SMS via satellite avec un téléphone standard. La techno existe et avance, oui, mais attention, ce n’est pas non plus une baguette magique activable n’importe où, car ça dépend des déploiements, des accords opérateurs, des fréquences, et… du fait que le régime ne vous mette pas des bâtons dans les roues par d’autres moyens. Disons donc que c’est une possibilité à garder en tête mais pas un joker garanti à ce jour.

Et puis il y a les hacks "crypto" qui reviennent dans les discussions dès qu’un pays se retrouve isolé. Là aussi, il faut être précis car recevoir des infos via satellite (genre l’état de la blockchain Bitcoin) c’est un truc connu, mais émettre une transaction vers le réseau, il faut quand même un canal de sortie quelque part (une passerelle, un relais, une connexion, même indirecte). Donc oui, il y a des bricolages via despasserelles (SMS, relais, etc.), mais ce n’est pas du "Bitcoin par SMS directement vers les nœuds" comme par magie.

Dernier point, parce qu’on voit passer des chiffres et des infographies qui donnent beaucoup de chiffres... Tant que la coupure Internet rend la vérification infernale, il faut être prudent sur les chiffres qu'on nous annonce sur la situation dans le pays. Par contre, sur la partie forensique réseau des initiatives comme Whisper compilent des signaux techniques (BGP, instabilités, etc.) qui aident à comprendre comment un pays comme l'Iran se fait effacer d’Internet et ça, c’est une pièce très utile du puzzle, même si ça ne remplace pas une enquête indépendante sur le terrain.

Voilà, je trouve ça très moche ce qui se passe là bas et voir que la technologie, qui devrait être un pont, devient un champ de bataille, ça me révolte. Alors en attendant, un grand respect aux bidouilleurs et autres geeks qui se trouvent là-bas et qui risquent gros pour juste nous envoyer de l'info sur ce qui se passe vraiment chez eux.

Cet article fait partie de ma série spéciale hackers . Bonne lecture !

Le 7 août 2019, dans le Mississippi, des centaines d'enfants rentrent de leur premier jour d'école. Cartables sur le dos, ils s'attendent à retrouver leurs parents pour raconter leur journée.

Mais à la place, ils découvrent des maisons vides ou des usines encerclées par des agents fédéraux. Ce jour-là, l'ICE (les services d'immigration américains) mène la plus grande opération de l'histoire du pays en un seul État : 680 personnes sont arrêtées, menottées et embarquées dans des camionnettes blanches.

Source

L'enquête qui a mené à ces rafles n'a pas été montée "à l’ancienne" sur un tableau en liège avec des punaises et de la ficelle rouge. Dans des affidavits et les documents obtenus via des demandes FOIA, on voit apparaître un nom de module qui revient comme un sortilège : FALCON Tipline. Un outil Palantir vendu à la branche Homeland Security Investigations (HSI) et utilisé pour centraliser, recouper et exploiter des signalements, des identités, des liens, des infos de terrain… jusqu’à planifier des actions coordonnées comme celle du Mississippi.

Le plus "magique" (façon Mordor), c'est que tout ça s'appuie sur un contrat très concret, très administratif, qui décrit FALCON comme une plateforme de recherche fédérée et d’analyse, capable de faire parler ensemble des bases de données qui n'étaient pas censées se rencontrer. Voilà. Rien de secret... Juste le genre de PDF qui sent la paperasse… mais qui peut briser des vies.

Mais si cette logistique monstrueuse a pu être déployée avec une telle précision chirurgicale, c'est grâce à une technologie dont vous n'avez peut-être jamais entendu parler, mais qui sait déjà probablement tout de vous.

Son nom ? Palantir.

Pour comprendre comment une startup de la Silicon Valley est devenue l'œil de Sauron qui surveille le monde, il faut remonter au début des années 2000. On est juste après le 11 septembre. L'Amérique est en état de choc et ses agences de renseignement cherchent désespérément un moyen de "connecter les points" (connect the dots comme ils disent...) pour prévenir la prochaine attaque.

Le Pentagone essaie bien de lancer un programme de surveillance totale appelé Total Information Awareness, mais le projet est jugé trop orwellien et se fait descendre par l'opinion publique en 2003. C'est exactement à ce moment-là que Peter Thiel décide de fonder Palantir Technologies avec Stephen Cohen, Joe Lonsdale, Nathan Gettings et Alex Karp.

Ce qui est "marrant", c’est qu’on a enterré le programme (trop visible, trop caricatural), mais pas l’idée. Palantir arrive pile au bon moment : la même promesse, mais emballée dans un joli paquet cadeau d'outil d’analyse, vendue par une boîte privée, et surtout, développée directement avec les gens qui allaient s’en servir.

La surveillance version startup, avec des NDA, des badges et des salles sans fenêtre était née...

Peter Thiel, c'est un personnage à part dans la tech. Co-fondateur de PayPal, premier investisseur de Facebook, libertarien pur jus et fan absolu de J.R.R. Tolkien. Le nom "Palantir" vient d'ailleurs du Seigneur des Anneaux puisque ce sont ces pierres de vision qui permettent de voir à travers le temps et l'espace.

Le truc, c'est que chez PayPal, Thiel et son équipe avaient déjà développé des algorithmes de détection de fraude super performants baptisés "Igor". C'est pour cela que Thiel s'est dit "Hé, et si on appliquait ces mêmes méthodes de traque financière à la lutte antiterroriste ?"

Peter Thiel ( source )

Le problème, c'est qu'en 2004, personne à la Silicon Valley ne veut toucher à la défense. Les investisseurs flippent, du coup, Thiel et son fonds d'investissement posent environ 30 millions de dollars pour couvrir les premiers coûts et vont chercher un allié improbable : In-Q-Tel, le fonds de capital-risque à but non lucratif soutenu par la CIA.

In-Q-Tel injecte environ 2 millions de dollars et au delà de l'argent, c'est une surtout une validation capitale pour la société. Et c'est ainsi que durant trois ans, les ingénieurs de Palantir vont bosser main dans la main avec les analystes du renseignement pour construire leur premier logiciel : Gotham.

Et quand je dis "bosser main dans la main", c’est pas une image. Leur délire, c’était d’envoyer des ingénieurs directement chez les clients, dans les agences, parfois sur site sensible, pour modeler l’outil à la demande. Pas une ESN, hein… plutôt une greffe. Tu poses le logiciel, tu poses les devs, et tu laisses la créature grandir dans l’ombre.

Pour diriger cette boîte de surveillance, Thiel choisit Alex Karp. Un mec encore plus atypique que lui. Karp est un philosophe, titulaire d'un doctorat en théorie sociale de l'université de Francfort, dyslexique, qui ne sait pas conduire et qui passe cinq heures par jour à faire du ski de fond ou du Qigong. Il vit dans une baraque perdue dans le New Hampshire et se décrit comme un "gauchiste fou", alors que Thiel est un "dingue de droite". Ce duo improbable va pourtant créer l'entreprise la plus puissante et la plus secrète de la planète.

Alex Karp ( source )

Le fonctionnement de Gotham est simple sur le papier, mais terrifiant en pratique. Pensez à un aspirateur géant capable d'ingérer n'importe quel type de donnée : Imagerie satellite, rapports d'interrogatoires, conversations sur les réseaux sociaux, fichiers fiscaux, plaques d'immatriculation, relevés bancaires. Le logiciel fusionne tout ça pour créer un "jumeau numérique" du monde réel. Si vous avez un compte chez Ladar Levison (le fondateur de Lavabit qui a hébergé Snowden) ou que vous avez été mentionné dans une écoute de la NSA, Palantir peut recréer tout votre réseau social en quelques clics.

C'est d'ailleurs avec les révélations d'Edward Snowden que le monde a commencé à entrevoir l'ampleur du truc. En 2017, des documents montrent que Palantir proposait des outils comme "XKEYSCORE Helper" pour faciliter l'analyse des données capturées par la NSA. Le logiciel permettait aux agents de naviguer dans des masses de données privées avec une fluidité déconcertante. Même si Alex Karp jure sur tous les tons qu'il protège les libertés civiles, la réalité des contrats raconte une autre histoire.

Et ce n’est pas qu’un délire "NSA / USA". Dans la même veine, des docs évoquent aussi Kite, un système custom pour le GCHQ (les espions britanniques), avec des champs et des imports extensibles pour avaler des formats de données bien tordus. Palantir, évidemment, a tenté de calmer le jeu ensuite en expliquant que "XKEYSCORE helper" n’était qu’un module périphérique et limité, pas un accès à la matrice complète…

Mais l’histoire "secrète" de Palantir a aussi un épisode qui sent la naphtaline et le scandale. En effet, en 2010-2011, des emails fuités (merci Anonymous) ont montré qu'une dream team HBGary / Berico / Palantir avait participé à la préparation d’un plan de riposte contre WikiLeaks et ses soutiens. Dans le package, on parlait de méthodes sales, de pression, et même d’idées de désinformation. Résultat, Palantir a publiquement présenté ses excuses et a coupé les ponts avec HBGary.

Je vous parle quand même d'une boîte qui a récupéré le contrat Maven Smart System (le fameux Project Maven) quand Google l'a lâché suite à la révolte de ses employés. Maven utilise l'IA pour aider les analystes militaires à identifier des cibles au milieu d'un déluge de données de surveillance.

Et aujourd'hui, Palantir est partout.

En Ukraine, Alex Karp a été le premier PDG occidental à rencontrer Zelensky après l'invasion russe de 2022. Leurs logiciels servent à faire de la fusion de données à grande vitesse (drones, satellites, sources ouvertes) pour accélérer la décision militaire. Et ça ne s'arrête pas là puisqu'en juillet 2025, l'armée américaine a signé un accord-cadre monumental jusqu'à 10 milliards de dollars sur 10 ans pour consolider et simplifier l'achat des logiciels Palantir.

Mais Palantir ne s'arrête pas aux zones de guerre. L'entreprise s'infiltre dans nos services publics. Au Royaume-Uni, un consortium mené par Palantir a décroché un contrat de 330 millions de livres pour gérer la Federated Data Platform du NHS (le système de santé national). En septembre 2025, ils ont même remis ça avec un partenariat défense annoncé par le gouvernement britannique, censé débloquer jusqu'à 1,5 milliard de livres d'investissements et faire du Royaume-Uni leur QG européen défense. En France, la DGSI a longtemps utilisé Palantir avant d'essayer de construire sa propre alternative pour retrouver sa souveraineté numérique… sauf que fin 2025, le contrat a encore été prolongé "temporairement", en attendant que l’outil souverain arrive vraiment.

Et ce qui est vraiment inquiétant avec Palantir, c'est ce qu'ils proposent en matière de "police prédictive". Par exemple, à Los Angeles ou à la Nouvelle-Orléans, leurs algorithmes ont été utilisés pour tenter d'identifier des zones ou des individus à risque. En gros, le logiciel décide si vous avez le profil d'un futur délinquant en analysant vos liens sociaux et vos antécédents. À la Nouvelle-Orléans, le programme a même tourné pendant des années dans une discrétion quasi totale, sans que le conseil municipal ne soit vraiment au courant, jusqu'à ce que la presse sorte l'affaire. Des audits ont d'ailleurs montré que ces systèmes pouvaient renforcer les préjugés et cibler injustement certaines communautés. Tu m'étonnes...

Exemple de dashboard de police prédictive ( source )

Aujourd'hui, Palantir est cotée en bourse et sa valorisation explose littéralement (on parle d'environ 430 milliards de dollars début 2026). Alex Karp a réussi son pari à savoir rendre la surveillance de masse extrêmement rentable. L'entreprise vise d'ailleurs un chiffre d'affaires annuel autour de 4,4 milliards de dollars sur 2025, porté par sa nouvelle plateforme d'IA (AIP) et ses "agents" autonomes capables de structurer n'importe quelle base de données en un clin d'œil. Mais comme dans Tolkien, les palantír sont des outils dangereux. Celui qui les utilise peut être lui-même observé et corrompu.

Alors, faut-il avoir peur de Palantir ? Clairement oui !

Quand on voit comment Snowden explique la surveillance aujourd'hui, on comprend que Palantir est l'outil qui rend l'espionnage d'État accessible à n'importe quel analyste, sans qu'il ait besoin d'être un génie du code. C'est la démocratisation d'Orwell à grande échelle.

Bref, la prochaine fois que vous entendrez parler d'une startup qui veut "aider les gouvernements à mieux gérer leurs données", rappelez-vous de l'histoire du Mississippi en 2019 et de Palantir car derrière les beaux discours sur la sécurité, il y a souvent des algorithmes invisibles et des pierres de vision qui ne dorment jamais.

Sources :

• The Guardian - NHS Palantir Contract
• Amnesty International - Palantir Human Rights Risk
• The Intercept - How Palantir helped the NSA
• Bloomberg - Palantir and Israel Strategic Partnership
• Reuters - US Army contract and Maven prototype
• VICE - Comment Palantir est utilisé lors des raids ICE
• ICE (FOIA) - Contrat Palantir / HSI (FALCON)
• The Guardian - Documents FOIA sur la relation ICE / Palantir (Falcon, etc.)
• TechCrunch - Palantir et Cambridge Analytica (lien "personnel" d’un employé)
• TechCrunch - XKEYSCORE Helper & Kite (GCHQ)
• Palantir (blog) - Correcting the record (XKEYSCORE Helper)
• Forbes - Palantir s’excuse (affaire WikiLeaks / HBGary)
• The Verge - Le programme de police prédictive secret à la Nouvelle-Orléans
• Reuters - Accord-cadre US Army
• U.S. Army - Enterprise Agreement avec Palantir (31 juillet 2025)
• Gouvernement britannique - Partenariat défense avec Palantir (septembre 2025)
• Defense News - Karp rencontre Zelensky (2022)
• Reuters - Palantir et le targeting en Ukraine
• Next.ink - La DGSI renouvelle encore son contrat avec Palantir (décembre 2025)

Voici Intercepteurs, un documentaire réalisé par Salim Keddouh et Maxence Saugrain qui vient de sortir sur YouTube et qui va probablement vous faire regarder votre écran différemment.

Vous connaissez peut-être l'adage : "Sur Internet, personne ne sait que vous êtes un chien". Sauf que là, c'est l'inverse. Les Enfants d’Argus , une association de bénévoles fondée en 2020, font en sorte d'éviter que les prédateurs ne découvrent qu'ils parlent à... un adulte planqué derrière son PC.

Si vous avez installé une app récemment, vous avez surement remarqué le petit popup RGPD qui vous demande votre consentement pour les cookies et le tracking. Vous cliquez évidemment sur "Refuser" en vous disant que c'est réglé... Ben en fait... non.

Des chercheurs ont passé au crible 400 applications mobiles populaires (200 sur Android, 200 sur iOS) et résultat, 100% d'entre elles violent au moins une exigence du RGPD. Et près de la moitié de ces apps continuent à contacter des trackers MÊME APRÈS que vous ayez dit non.

Sympa le "consentement" !

Du coup, plutôt que de vous laisser vous faire gauler par ces mouchards, je vous propose un petit guide pour auditer vous-même les apps que vous utilisez. Sans vous prendre la tête, promis.

Ce qu'il vous faut

• Un téléphone Android (iOS, c'est plus compliqué, Apple verrouille tout)
• TrackerControl , l'outil d'audit qu'on va utiliser
• 10 minutes de votre temps
• L'option "Sources inconnues" activée dans les paramètres sécurité d'Android (l'app n'est pas sur le Play Store...)

Étape 1 : Installer TrackerControl

TrackerControl est donc un outil open source développé par des chercheurs. La bestiole analyse le trafic réseau de chaque app pour détecter les connexions vers des serveurs de tracking.

Rendez-vous sur le GitHub du projet et téléchargez l'APK. Installez-le en autorisant temporairement les sources inconnues.

Étape 2 : Lancer l'audit

Une fois installé, TrackerControl se comporte comme un VPN local (vos données ne sortent pas de votre téléphone, rassurez-vous). Activez-le et lancez l'app que vous voulez auditer.

L'outil va alors intercepter toutes les connexions sortantes et les classer : publicité, analytics, tracking social, fingerprinting... Y'a de quoi faire le tri !

L'interface de TrackerControl - sobre mais efficace ( Source )

Étape 3 : Interpréter les résultats

Ce qu'il faut surveiller :

• Connexions AVANT toute action : Si l'app contacte des trackers dès son lancement, avant même que vous ayez vu un popup de consentement, c'est une violation du critère "Prior consent"
• Connexions APRÈS refus : Relancez l'app après avoir refusé le tracking. Si des connexions partent quand même vers Google Analytics, Facebook ou autres... bingo !
• Le nombre de domaines contactés : Une app de lampe torche qui contacte 15 serveurs différents, c'est suspect (oui ça existe)

Détail des trackers détectés - on voit tout ce qui sort ( Source )

Les 6 critères RGPD que les apps violent

L'étude suivante a identifié six types de violations :

• Prior : L'app collecte VOS données avant de vous demander votre avis
• Informed : On vous dit pas vraiment ce qu'on fait avec vos données
• Freely-given : Pas le choix, c'est "accepte ou dégage"
• Specific : Le consentement est trop vague, genre "améliorer nos services"
• Unambiguous : L'interface est conçue pour vous faire cliquer sur "Accepter"
• Revocable : Vous dites non, mais ça continue quand même (près de la moitié des apps)

C'est flippant, non ? Comme je vous l'expliquais dans mon article sur le mythe du smartphone espion , le vrai problème n'est pas le micro qui vous écoute... c'est ce réseau de data brokers qui aspire tout ce qu'ils peuvent.

Dépannage

Et si TrackerControl ne détecte rien, vérifiez que le "VPN" est bien actif (icône de clé dans la barre de notifications). Certaines apps détectent les VPN et changent leur comportement, du coup relancez plusieurs fois pour être sûr.

Pour aller plus loin dans la protection de vos données, j'ai publié également ce guide sur la suppression de vos données personnelles qui vous donnera quelques pistes.

Voilà, maintenant vous avez les outils pour aller à la pêche aux trackers. De quoi regarder vos apps d'un autre œil, j'imagine !

Source