Vous vous souvenez de l’époque où on pouvait consulter Twitter sans avoir de compte ? Ah, c’était le bon temps mais depuis qu’
Elon Musk a instauré son login wall “temporaire” en juillet 2023
, impossible de jeter un œil à un profil ou un thread sans passer par la case inscription.
Alors oui je sais, les réseaux sociaux avec Twitter en tête (pardon X), c’est devenu de la merde. L’effet de foule stupide & agressive y est devenu légion et c’est pourquoi j’ai
arrêté d’y aller
et
de partager mes articles sur ces plateformes via mon compte @Korben
. Mais faut reconnaître que sur certains comptes bien spécifiques qui se comptent sur les doigts d’une main, c’est quand même sympa pour la veille. Petite parenthèse, c’est d’ailleurs super dommage que ces gens qui font ce travail de veille la filent gratos à Elon Musk plutôt que de se faire un vrai site web, une newsletter ou un flux RSS. Bref, quelque chose qui leur appartient vraiment.
Heureusement, des développeurs malins ont créé des solutions pour contourner ce mur de connexion forcée.
TwitterViewer
en fait partie et c’est plutôt efficace. Le principe est simple puisque c’est un proxy qui se connecte à votre place et vous retransmet le contenu public des profils X. Vous entrez un nom d’utilisateur, et hop, vous avez accès à ses tweets, ses médias, et aux infos du profil, le tout de manière 100% anonyme.
Ça reste plus rapide que de créer un compte jetable à chaque fois qu’on veut vérifier un truc et le service se présente comme respectueux de la vie privée. Votre IP reste cachée, vos données de navigation ne sont pas collectées, et vous n’alimentez pas les algorithmes de X avec votre comportement.
Un compte bien vide… ^^
Mais TwitterViewer n’est pas seul sur ce créneau. Je pense par exemple à
Nitter
, une alternative open source historique déclarée morte en février 2024 qui a finalement ressuscité miraculeusement le 6 février dernier. Cette solution reste la plus complète si vous cherchez une interface épurée sans JavaScript ni trackers.
Il y a aussi
Tweet Binder
qui permet de suivre des hashtags et mots-clés sans compte, ce qui est pratique pour surveiller les tendances.
Twillot
propose également des extensions Chrome et des apps mobiles pour iOS et Android. Et si vous êtes vraiment désespéré, Google reste votre ami : tapez “site:x.com” suivi du nom d’utilisateur qui vous intéresse et vous aurez accès aux tweets indexés.
Musk avait quand même vendu son login wall comme une mesure d’urgence contre les scrapers de données mais au final, ces scrapers ont trouvé d’autres moyens d’accéder aux données, tandis que les utilisateurs lambda, eux, sont toujours bloqués. Même les développeurs tiers ont été éjectés avec l’augmentation délirante des prix de l’API, et maintenant on se retrouve avec un écosystème parallèle d’outils pour simplement consulter du contenu public.
Je trouve que TwitterViewer et ses alternatives représentent une sorte de résistance face à ce renfermement progressif des plateformes sociales. Et surtout, pourquoi est ce qu’on devrait se créer un compte sur ce site de nazⁱe juste pour lire un fois ou deux des tweets publics ?
Si vous planifiez un voyage aux États-Unis, vous savez surement déjà que vos téléphones et ordinateurs peuvent être fouillés par les douanes américaines. Sauf que depuis quelques jours, les chiffres relatifs à ces fouilles sont sortis. Entre avril et juin 2025, le CBP (Customs and Border Protection) a inspecté 14 899 appareils électroniques, ce qui est un record qui dépasse de 16,7% le précédent pic de début 2022.
Pour les non-citoyens américains, c’est simple, refuser de donner son mot de passe peut signifier un refus d’entrée sur le territoire. Tous les voyageurs étrangers, même avec un visa valide, peuvent ainsi être refoulés en un claquement de doigt. Par contre, les citoyens américains ne peuvent pas être empêchés d’entrer dans leur pays, mais leurs appareils peuvent être confisqués durant des semaines, voire des mois.
Perso, j’attendrais que Trump parte et que les américains se détendent un peu du slip avant de remettre les pieds là bas. D’ailleurs le tourisme s’est bien cassé la gueule à cause de Donald. C’est dommage quand même..
Le 5e Amendement protège les droits des américains de ne pas révéler verbalement leur mot de passe, mais les tribunaux permettent souvent aux agents de vous contraindre à déverrouiller votre téléphone avec votre empreinte ou votre visage. D’où l’astuce répandue qui consiste à désactiver Face ID et Touch ID avant d’arriver à la frontière.
Les experts en sécurité recommandent plusieurs stratégies. J’avais moi-même fait un article sur le sujet il y a quelques temps. En gros, faut utiliser un téléphone de voyage avec données minimales, mais pas trop épuré pour éviter les soupçons. Transférer temporairement photos et fichiers sensibles vers le cloud, puis les supprimer localement. Et bien sûr désinstaller les réseaux sociaux avant le voyage. Perso, d’ordinaire, j’opte pour un achat de smartphone pas cher qui me servira juste pour le quotidien là bas. C’est un peu relou mais bon, après une fois la frontière passée, il est toujours possible de réinstaller d’autres app ou d’aller voir ses emails via un VPN.
Une nuance importante de tout ce bordel, c’est surtout que depuis 2017, la politique du CBP interdit officiellement l’accès aux données stockées dans le cloud. Les agents ne peuvent fouiller que ce qui est physiquement présent sur l’appareil. Emails, messages et posts sur serveurs distants restent donc théoriquement protégés, mais si vous gardez des copies locales de ça sur votre appareil, c’est mort.
Et pour les journalistes et les avocats, la protection reste floue… En effet, le CBP mentionne des “limitations” pour tout ce qui est informations professionnelles protégées, mais sans détailler lesquelles ni comment elles s’appliquent concrètement. Donc méfiance les amis, car Oncle Sam est très curieux en ce moment…
Vous vous souvenez de cette époque où partir en voyage signifiait acheter une carte SIM locale dans une boutique douteuse à l’aéroport ? Aujourd’hui, si on sort d’Europe, on active une eSIM en deux clics depuis son canapé et hop, on a internet à l’étranger. C’est pratique, non ? Sauf que voilà, une étude menée par des chercheurs de Northeastern University vient de révéler un truc assez hallucinant : Vos données personnelles pourraient bien faire le tour du monde sans que vous le sachiez.
Par exemple, si vous êtes à Rome en train de poster votre photo de pizza sur Instagram, vous pensez surement que vos données passent par un opérateur italien, puis rentrent directement chez vous. Je le croyais aussi alors qu’en réalité, elles pourraient faire un petit détour par Hong Kong, transiter par Singapour, et revenir par la Chine avant d’arriver à destination. Sympa le petit voyage organisé pour vos données perso, vous ne trouvez pas ?
Les chercheurs ont donc testé 25 fournisseurs d’eSIM et le constat est sans appel. Prenez Holafly par exemple, une entreprise basée en Irlande. Vous achetez leur eSIM en pensant avoir affaire à une société européenne, soumise au RGPD et tout le tralala. Sauf que dans les faits, vos connexions passent par le réseau de China Mobile. L’adresse IP qu’ils ont obtenue lors de leurs tests (223.118.51.96 pour les curieux) était directement allouée à China Mobile International Limited à Hong Kong.
En gros, les profils eSIM établissent silencieusement des connexions vers des serveurs à Singapour et récupèrent des SMS depuis des numéros hongkongais, le tout sans que vous en ayez la moindre idée. Mais attendez, ça devient encore plus rigolo puisque pour devenir revendeur d’eSIM, il suffit d’avoir une adresse email valide et un moyen de paiement. Y’a pas de vérification approfondie, pas de contrôle de sécurité du coup, n’importe qui peut se lancer dans le business. Et une fois revendeur, on a accès à des données ultra-sensibles comme les numéros IMSI (l’identifiant unique de votre carte SIM), la localisation des appareils avec une précision de 800 mètres, et même la possibilité d’envoyer des SMS directement aux utilisateurs.
Alors comment on fait pour protéger sa vie privée quand on voyage ? Et bien l’utilisation d’un VPN reste la meilleure solution (lien affilié), surtout si vous utilisez des réseaux WiFi publics. En effet, le VPN va chiffrer votre connexion et empêcher que vos données soient interceptées, peu importe par quel pays elles transitent. Certains fournisseurs comme Saily, créé par l’équipe derrière NordVPN, proposent même des eSIM avec VPN intégré. C’est un peu la ceinture et les bretelles de la sécurité.
Ce qui est vraiment problématique je trouve, c’est le manque total de transparence car quand vous achetez une eSIM, personne ne vous dit “au fait, vos données vont passer par la Chine”. Et chaque pays a ses propres lois sur la protection des données… En Chine du coup, les autorités peuvent légalement accéder à toutes les données qui transitent par leurs infrastructures. Vous voyez le problème ?
C’est pourquoi les chercheurs recommandent la mise en place d’un cadre réglementaire plus strict, avec une obligation de transparence pour les fournisseurs d’eSIM. Ils devraient par exemple au minimum indiquer clairement par quels pays vos données vont transiter. En attendant, leur méthodologie de recherche complète sera bientôt publiée sur GitHub pour que d’autres puissent reproduire et étendre leurs travaux.
Au final, les eSIM restent super pratiques pour voyager, mais faut être conscient des risques…
Ce serait quand même bien relou de devoir montrer sa carte d’identité à un flic à chaque fois qu’on veut regarder une vidéo sur le net, non ? Ce serait absurde, vous ne trouvez pas ? Et bien c’est pourtant ce qui se passe de plus en plus sur le web car entre le Royaume-Uni et son Online Safety Act, la Floride, le Tennessee, la Caroline du Sud et même l’Europe avec ses nouvelles régulations, on nous demande maintenant de scanner nos papiers d’identité ou de prendre un selfie pour accéder à certains sites. Heureusement, NextDNS vient de sortir l’artillerie lourde contre cette dérive.
Il y a quelques jours donc, NextDNS a lancé une nouvelle fonctionnalité qui fait déjà beaucoup parler d’elle à savoir le contournement automatique des vérifications d’âge par DNS. Le principe c’est qu’au lieu de balancer vos papiers d’identité à des sites dont vous ne savez rien, NextDNS intercepte vos requêtes DNS et les fait passer par des serveurs proxy situés dans des pays où ces vérifications débiles n’existent pas. C’est plus subtil qu’un VPN qui reroute tout votre trafic car ça se passe uniquement au niveau DNS.
La position de NextDNS est claire : “Donner vos papiers gouvernementaux à des sites random est un énorme risque pour la vie privée”. Difficile de leur donner tort. On parle quand même de sites qui vous demandent votre carte d’identité, votre permis de conduire, parfois même un selfie avec le document en main. Tout ça stocké on ne sait où, protégé on ne sait comment. Bref, un paradis pour les hackers et les usurpateurs d’identité.
Selon les premiers retours des utilisateurs, ça ne marche bien mais pas partout. Par exemple, Twitter (pardon, X) et Reddit résistent encore à la technique. YouTube aussi, mais c’est logique car pour les vidéos avec restriction d’âge, ils demandent une connexion à votre compte Google, ce qui empêche complètement l’astuce DNS.
NextDNS précise bien que les utilisateurs qui activent cette fonction reconnaissent avoir l’âge légal pour accéder au contenu. C’est leur façon de se couvrir juridiquement. Techniquement, contourner ces vérifications n’est pas illégal dans la plupart des pays, mais ça peut violer les conditions d’utilisation des plateformes donc si vous vous faites prendre, votre compte pourrait être suspendu définitivement.
Le problème en fait, c’est que ces lois censées protéger les mineurs créent un risque énorme pour la vie privée de tous les adultes. Avant, surfer sur Internet était anonyme par défaut et maintenant, on vous demande de vous identifier formellement pour accéder à du contenu parfaitement légal.
D’autres solutions existent bien sûr. Les VPN restent une option, même si c’est plus lourd et plus cher qu’une simple configuration DNS. Certains utilisent aussi des DNS privés alternatifs, mais l’approche de NextDNS a l’avantage d’être gratuite, simple et relativement efficace pour la majorité des cas.
NextDNS travaille apparemment à étendre la compatibilité avec plus de sites et en attendant, c’est déjà un bon pied de nez à cette surveillance généralisée qui s’installe petit à petit sur le web…
Vous pensiez sérieusement que vos conversations téléphoniques étaient privées tant qu’on n’était pas sur écoute. Et bien, j’ai pas une très bonne nouvelle pour vous… Voilà que des chercheurs de Penn State ont prouvé qu’un simple radar pouvait transformer les vibrations microscopiques de votre téléphone en transcription de vos appels. Y’a pas besoin de pirater quoi que ce soit, juste de pointer un capteur dans votre direction.
Le principe c’est que quand vous téléphonez, l’écouteur de votre smartphone produit des vibrations de seulement 7 micromètres. C’est tellement infime qu’on ne peut même pas le percevoir en tenant le téléphone. Pourtant, ces vibrations se propagent dans tout le châssis de l’appareil et créent ainsi une signature unique pour chaque son émis. Selon l’équipe de recherche, leur système mmWave-Whisper utilise un radar fonctionnant entre 77 et 81 GHz capable de capter ces mouvements invisibles et de les convertir en audio exploitable.
Le systeme mmWave-Whisper
Et ils ont réussi à obtenir une très bonne précision de transcription de 44,74% sur les mots et de 62,52% sur les caractères individuels. Ça peut sembler faible, mais même avec seulement la moitié des mots corrects, on peut facilement reconstituer le sens d’une conversation grâce au contexte. C’est comme lire un message avec des lettres manquantes, votre cerveau va combler automatiquement les trous. Je sais, je sais, y’a des gens qui même qui avec un texte complet ne le comprennent qu’à moitié, mais je vous assure que c’est ce qu’est censé faire le cerveau ^^.
Et cela fonctionne jusqu’à 3 mètres de distance et est totalement insensible au bruit ambiant car contrairement à un micro qui capte tous les sons environnants, le radar ne détecte que les vibrations du téléphone lui-même. Vous pourriez être dans un café bondé, le système s’en fiche complètement…
Suryoday Basak et Mahanth Gowda, les deux chercheurs derrière cette découverte, ont adapté Whisper, le modèle de reconnaissance vocale d’OpenAI, pour qu’il puisse interpréter ces signaux radar. Pour cela, ils ont utilisé une technique appelée “Low-Rank Adaptation” qui leur a permis de spécialiser le modèle avec seulement 1% de ses paramètres modifiés.
Alors adios notre vie privée ?
Et bien la mauvaise nouvelle c’est que ces radars mmWave sont déjà partout. On les trouve dans les voitures autonomes, les détecteurs de mouvement, les casques VR, et même dans certains équipements 5G. Comme le soulignent plusieurs experts, n’importe quel appareil équipé de cette technologie pourrait théoriquement être détourné pour espionner des conversations. Donc, imaginez un parking avec des dizaines de voitures récentes, chacune équipée de plusieurs radars mmWave. Bah voilà, c’est potentiellement un réseau d’écoute géant qui s’ignore.
Cette recherche s’inscrit dans la continuité de leur projet mmSpy de 2022, où ils avaient déjà réussi à identifier des mots isolés avec 83% de précision. Mais cette fois, ils sont passés à un niveau supérieur en déchiffrant des phrases complètes et des conversations entières. D’après les documents techniques, ils ont même généré des données synthétiques pour entraîner leur système, contournant ainsi le manque de datasets radar-audio disponibles.
Pour l’instant, cette technologie a ses limites car les mouvements des personnes créent des interférences (mangez-bougez !!), et la précision diminue rapidement avec la distance, mais combien de temps avant que ces limitations soient surmontées ? Les chercheurs eux-mêmes admettent que leur but est d’alerter sur cette vulnérabilité avant que des acteurs malveillants ne l’exploitent. Selon leur publication, ils comparent cette capacité à lire sur les lèvres qui ne capture environ que 30 à 40% des mots mais permet quand même de suivre une conversation.
Alors, comment s’en protéger ? Et bien pour l’instant, il n’y a pas vraiment de solution miracle. Utiliser des écouteurs pourrait limiter les vibrations du téléphone, mais ce n’est pas une garantie absolue donc la vraie question, c’est de savoir combien de temps il faudra avant que cette technologie soit miniaturisée au point de tenir dans un stylo ou intégrée discrètement dans des objets du quotidien façon 007.
On ne peut plus se contenter de sécuriser nos communications numériques, il faut maintenant s’inquiéter des propriétés physiques de nos appareils. Je vous jure, je suis fatigué :). Les implications pour la sécurité sont énormes car cette technologie est indétectable pour le commun des mortels puisque ça ne laisse aucune trace et ne nécessite aucun accès physique ou numérique au téléphone…
Quand un chef de police démissionne subitement, suivi par ses deux adjoints, sans même laisser un petit mot sur l’oreiller, c’est louche… Très louche. Et c’est pourtant c’est ce qui s’est passé à Calgary en avril dernier, soit 17 jours après qu’un commissaire à la vie privée ait forcé la divulgation de documents compromettants. Dans ces papiers on apprend comment la police locale a secrètement dépensé jusqu’à 100 000 dollars par an pour espionner les citoyens sur les réseaux sociaux, tout en jurant publiquement le contraire.
Il faut savoir que là bas, au Canadaaaa, la police utilise officiellement des logiciels de “reconnaissance d’images” commercialisés par les sociétés Meltwater et Talkwalker. Et non pas des logiciels de “reconnaissance faciale”. Ouf, c’est tout bon alors ?
Et bien non, car selon les documents obtenus par Drug Data Decoded, c’est exactement la même chose, mais comme d’hab avec un nom qui fait moins flipper. C’est un peu comme appeler un tank un “véhicule de transport blindé”. C’est techniquement correct, mais y’a “un peu” tromperie sur la marchandise…
Et, vous vous en doutez, cette distinction sémantique n’est pas anodine. En effet, techniquement, la reconnaissance d’images telle qu’elle est vendue par ces entreprises, c’est “la capacité d’un logiciel à reconnaître des lieux, objets, personnes, actions, animaux ou texte depuis une image ou vidéo”.
Oui, vous avez bien lu : “personnes”.
Ce genre d’outil est même capable de pouvoir identifier des célébrités et influenceurs dans les photos, donc on va arrêter de tortiller des fesses : Cette reconnaissance d’images, c’est de la reconnaissance faciale, mais avec un petit costume-cravate pour faire plus respectable.
Et vous savez combien d’agences canadiennes utilisent ces outils ?
Et bien d’après les documents, Meltwater qui fournit cette techno, compte parmi ses clients les polices d’Edmonton, Waterloo, Hamilton, Saskatoon, York, la Sûreté du Québec, la Police provinciale de l’Ontario, et même tous les ministères du gouvernement ontarien.
Mais voilà un sacré retournement de situation qu’on n’attendait pas… un jugement de mai 2025 en Alberta pourrait légitimer le scraping de données et l’entraînement d’IA sur des informations publiques. En effet, le juge a estimé que la définition de “publiquement disponible” était trop restrictive dans le contexte d’Internet et violait la liberté d’expression. Du coup, Clearview AI peut prétendre exercer sa liberté d’expression au travers de son service.
Ce qui m’énerve particulièrement dans toute cette histoire, c’est une fois encore l’hypocrisie. Car en 2020, après s’être fait prendre la main dans le sac, avec Clearview AI, la police de Calgary avait promis de ne jamais utiliser de reconnaissance faciale sur des images qu’ils ne contrôlaient pas.
Et voilà que 2 ans plus tard, ils signent des contrats avec Hootsuite, Meltwater et Talkwalker pour faire exactement ça. Comme on dit, les promesses n’engagent que ceux qui les croient…
Les documents obtenus par Drug Data Decoded montrent surtout qu’ils ont maintenu jusqu’à 100 comptes utilisateurs avec ces entreprises, dont 19 pour des activités “non-investigatives”, probablement pour surveiller ce qu’on dit d’eux sur Twitter (hey coucou les cousins ! 👋).
Voilà… Visiblement, la police au Canada est en roues libres complet avec sa petite surveillance de masse faite maison. C’est quand même assez bizarre dans une démocratie, vous ne trouvez pas ?
Un détail technique qui fait froid dans le dos c’est qu’à part Hootsuite, toutes ces entreprises sont américaines. Et comme vous le savez, sous le Cloud Act US, le gouvernement américain peut forcer ces sociétés à lui fournir l’accès à leurs bases de données. Autrement dit, vos photos Instagram analysées par la police de Calgary pourraient finir dans les serveurs de la NSA. Sympa pour la souveraineté des données canadiennes.
Notez que la police de Calgary a mis 15 mois pour fournir ces documents, après avoir “perdu” la demande initiale et ont même exigé 1 133 dollars pour finalement les rendre public avec de 2 semaines de retard par rapport à la date limite exigée par le commissaire à la vie privée.
Ils n’ont vraiment aucun respect des lois, ces gens là ^^. Surtout que pendant ce temps là, le sommet du G7 à pu se tenir tranquillement… sous surveillance, évidemment.
Ce qui ressort surtout de tout ça, c’est que c’est un système complètement dysfonctionnel où la police fait ce qu’elle veut en jouant sur les mots : “Reconnaissance d’images” au lieu de dire “reconnaissance faciale”, “information open-source” pour parler de vos posts Facebook, “activités non-investigatives” pour du stalking institutionnel. Faudrait quand même pas oublier que les commissaires à la vie privée ont décidé en 2021 que les posts sur les réseaux sociaux ne pouvaient pas être traités comme des données “publiquement disponibles” par les organismes publics. Mais apparemment, comme d’hab, personne n’a reçu le mémo…
Pire, en novembre 2021 toujours, l’UNESCO a adopté sa première norme mondiale sur l’éthique de l’IA, interdisant la surveillance de masse. Et ce qui est drôle, c’est que le Canada fait partie des 193 pays signataires… Je ne sais pas ce que dirait l’UNESCO s’ils apprenaient que Calgary dépense vos impôts pour vous espionner avec des outils qui violent tous ces principes.
Maintenant, pour ceux qui veulent vérifier si la police de Calgary détient des informations sur eux, Drug Data Decoded fournit un formulaire de demande d’accès à vos informations, que vous pouvez envoyer à la police. Et n’oubliez pas de croiser les doigts pour ne pas attendre 15 mois.
Bref, la surveillance policière au Canada c’est zéro transparence, zéro responsabilité, et des jeux de mots constants pour contourner les lois… Ça ne vous chatouille pas un peu les Canadiens ?
J’avoue que je n’ai rien suivi de tout ça parce que pas le temps, mais comme d’hab, on va nous la faire à l’envers et on ne pourra pas y faire grand chose. Ce projet baptisé Chat Control c’est l’Europe qui veut scanner TOUS nos messages WhatsApp, Signal et Telegram dès octobre 2025. La France, l’Allemagne et 17 autres pays soutiennent ce délire totalitaire et voici comment ils comptent casser le chiffrement de bout en bout.
Tout d’abord, le Danemark a remis ça sur la table dès le premier jour de sa présidence de l’UE, le 1er juillet dernier. C’est fou quand on sait que toute l’opposition danoise est contre ce projet et que leurs propres cryptographes ont déclaré que “Chat Control va saper toute l’idée du chiffrement de bout en bout”. Ce projet qui était mort et enterré plusieurs fois revient encore plus agressif et cette fois, ils veulent forcer toutes les messageries à scanner automatiquement chaque message, photo et vidéo que vous envoyez. Même chiffré de bout en bout.
Le principe est vicieux et stupide car au lieu de casser directement le chiffrement (ce qui serait trop voyant), ils veulent imposer le “client-side scanning”. En gros, un mouchard installé sur votre téléphone qui analyse tout ce que vous tapez AVANT que ça soit chiffré, un peu comme si la Poste venait lire toutes vos lettres dans votre salon avant que vous ne les mettiez dans l’enveloppe.
Patrick Breyer, ancien eurodéputé du Parti Pirate allemand, balance les chiffres… D’après lui, au moins 19 pays sur 27 soutiennent maintenant ce projet selon les données du Parti Pirate européen. La France qui était contre a retourné sa veste (comme c’est étonnant…), l’Allemagne hésite encore car le nouveau gouvernement n’a pas encore pris position mais personne ne se fait d’illusion, et surtout, la Belgique, la Hongrie, la Suède, l’Italie, l’Espagne… tous sont pour.
Le prétexte officiel comme d’hab, c’est de lutter contre la pédocriminalité (CSAM - Child Sexual Abuse Material). Noble cause, certes mais encore une fois, l’exécution est catastrophique. Comme les plateformes devront scanner TOUS les messages de TOUS les utilisateurs pour détecter du contenu illégal, y’a pas de mandat, pas de suspicion, mais juste une surveillance généralisée permanente.
Techniquement, c’est également une catastrophe annoncée car les systèmes de détection automatique sont notoirement mauvais. Apple avait tenté un truc similaire en 2021 et avait dû reculer face au tollé. Les faux positifs sont légion : photos de famille à la plage, discussions médicales, échanges entre ados… Tout peut être mal interprété par un algorithme. Les juristes du Conseil de l’UE eux-mêmes ont critiqué le projet dans un rapport interne révélé en mars 2025. Ils parlent de mesure “disproportionnée” qui viole la Charte européenne des droits fondamentaux et la Cour européenne des droits de l’homme a déjà statué en 2023 contre l’affaiblissement du chiffrement.
Le plus absurde c’est que les vrais criminels n’utilisent pas WhatsApp. Ils ont leurs propres outils, leurs propres réseaux, du coup cette surveillance touchera uniquement monsieur et madame tout-le-monde. Et pendant ce temps, les pédocriminels continueront tranquillement leurs saloperies sur le dark web ou avec des solutions maison.
Le Danemark veut faire passer le texte avant le 14 octobre 2025 et si l’Allemagne bascule du côté obscur, c’est plié. La majorité qualifiée sera atteinte et on aura tous un espion gouvernemental dans la poche. Et les implications vont bien au-delà de la simple vie privée car si une backdoor existe pour scanner les messages, elle peut être exploitée par des hackers, par des gouvernements étrangers, par des entreprises malveillantes…etc. Ce truc c’est ouvrir la boîte de Pandore de la surveillance.
Les associations de défense des libertés numériques sont sur le coup et tirent la sonnette d’alarme. La Quadrature du Net, l’EFF, Privacy International… tous dénoncent une dérive autoritaire sans précédent dans une démocratie. Même les développeurs de Signal ont prévenu : si Chat Control passe, ils pourraient quitter l’Europe.
La vérification d’âge obligatoire est aussi dans le package… Terminé l’anonymat, il faudra prouver qui vous êtes pour utiliser une messagerie. Vos données personnelles seront ainsi liées à chaque message. C’est vraiment le rêve humide préféré de tous les régimes autoritaires.
Alors pour l’instant, on peut encore agir d’après ce que j’ai compris. Il faut contacter nos eurodéputés, signez les pétitions, sensibilisez autour de nous. Parce qu’une fois que ce système sera en place, il sera quasi impossible de revenir en arrière. L’infrastructure de surveillance sera là, prête à être utilisée pour n’importe quel prétexte.
Après si Chat Control passe, il faudra migrer vers des solutions vraiment décentralisées comme Matrix, Briar, et des trucs qui échappent encore au contrôle étatique mais ce sera pas forcement très user-friendly pour tout le monde. Surtout que les États-Unis, l’Australie, le Canada… tous regardent cette loi avec des étoiles dans les yeux pour faire pareil chez eux.
Bref, on n’est plus dans 1984 d’Orwell, on est carrément au-delà.
J’sais pas si vous avez vu, mais Microsoft vient de dévoiler quelque chose d’absolument incroyable. Non je déconne, c’est encore de la merde et ça s’appelle Windows Recall.
Windows Recall, pour ceux qui auraient raté le début du film, c’est cette fonctionnalité qui prend des screenshots de tout ce que vous faites sur votre PC toutes les quelques secondes. Microsoft nous vend ça comme un outil de productivité pour “retrouver vos pas numériques”. Perso, j’appelle ça Big Brother qui s’installe direct dans votre bécane.
Face à ce délire orwellien, les développeurs des apps qu’on utilise pour justement protéger notre vie privée ont décidé de ne pas se laisser faire. Signal a ouvert le bal en mai dernier, et maintenant Brave et AdGuard viennent grossir les rangs de la résistance.
AdGuard ne mâche pas ses mots et qualifie carrément la fonctionnalité de “dérangeante”. Ils expliquent que même avec les soit-disant garde-fous de Microsoft (authentification Windows Hello, chiffrement, et tout le tralala), il reste des failles béantes. Vous pouvez par exemple accéder à Recall avec juste votre code PIN après la config initiale… Pas de biométrie requise, et les filtres censés protéger vos données sensibles ratent régulièrement des trucs importants comme vos infos bancaires.
Le truc vraiment naze, c’est que Recall capture aussi les messages éphémères de Signal, Telegram ou WhatsApp. Comme ça, quand vous envoyez un message qui doit disparaître, et bien si votre correspondant a Recall activé, hop, c’est stocké pour l’éternité sur son PC. Sympa pour la confidentialité des messages “secrets”, non ?
Heureusement, Microsoft a quand même prévu des moyens pour que les développeurs puissent bloquer cette surveillance. Il y a donc deux méthodes principales : l’API SetInputScope et un flag DRM.
Signal a choisi l’option nucléaire avec le flag DRM. En gros, ils font croire à Windows que leur fenêtre diffuse du contenu protégé par copyright, ce qui empêche toute capture d’écran. C’est radical et ça a l’inconvénient que même les outils légitimes comme les lecteurs d’écran pour l’accessibilité ne peuvent plus fonctionner.
Brave a opté pour une approche plus fine avec l’API SetInputScope. Ils marquent toutes leurs fenêtres avec le flag IS_PRIVATE, ce qui dit à Windows “pas touche, c’est privé”. Comme ça, les captures d’écran normales continuent de marcher, et seul Recall est bloqué. La version 1.81 de Brave avec cette protection sortira le 5 août prochain.
AdGuard pousse le bouchon encore plus loin avec leur version 7.21. Quand vous activez la protection contre le tracking, ça bloque carrément Recall au niveau système. Le truc ne peut même plus se lancer, point barre.
Ce qui me fait marrer (jaune), c’est que les trois apps laissent quand même aux utilisateurs la possibilité de réactiver Recall s’ils le veulent vraiment. Genre “si vous tenez absolument à vous faire surveiller, libre à vous”. Mais bon, qui voudrait faire ça sérieux ?
Cette fronde des développeurs montre bien que les inquiétudes autour de Recall sont légitimes et Microsoft a beau promettre monts et merveilles niveau sécurité, je pense que personne n’est dupe.
Bref, y’a vraiment un sérieux problème avec ce truc…
Je vais enfin vous raconter dans les moindres détails l’histoire du hack le plus dévastateur de l’ère numérique. Pas en termes techniques, non, non… Mais plutôt en termes humains.
Ashley Madison, le site qui promettait des aventures extraconjugales discrètes avec son slogan “Life is short. Have an affair” (La vie est courte. Ayez une aventure) et dont les 37 millions d’utilisateurs inscrits pensaient que leurs secrets étaient en sécurité derrière leur mot de passe.
Grossière erreur.
Car en juillet 2015, un groupe mystérieux appelé Impact Team a décidé de faire tomber ce château de cartes. Et les conséquences ont été violentes. Des suicides documentés, des divorces par milliers, des carrières pulvérisées, et la révélation que le PDG lui-même, Noel Biderman, celui qui paradait dans les médias comme un mari fidèle, entretenait plusieurs liaisons payantes. Bref, voici l’histoire complète du hack qui a prouvé que sur Internet, il n’y a aucun secret qui tienne.
Ashley Madison - Le site qui a appris au monde entier que la discrétion absolue n’existait pas
L’histoire commence en 2001 avec Darren J. Morgenstern, un entrepreneur franco-canadien qui a l’idée de créer un site de rencontres pour personnes mariées. Le nom “Ashley Madison” combine alors simplement les deux prénoms féminins les plus populaires de l’époque. Le concept est révolutionnaire et controversé : un site assumant complètement l’adultère.
Mais c’est Noel Biderman qui va transformer cette idée en empire. Né le 24 novembre 1971 à Toronto, petit-fils de survivants de l’Holocauste, diplômé d’Osgoode Hall Law School en 1996, Biderman est avocat devenu agent sportif.
En 2007, Morgenstern vend Ashley Madison à Avid Life Media, et Biderman en devient le PDG. C’est là que l’histoire devient vraiment intéressante. Car Biderman, qui gérait les affaires sentimentales compliquées de ses clients athlètes, jonglant entre épouses et maîtresses, comprend parfaitement tout le potentiel du site.
Le concept est révolutionnaire pour l’époque et contrairement aux sites de rencontres classiques, Ashley Madison assume complètement son côté sulfureux. Pas de faux-semblants, pas d’hypocrisie. Vous êtes marié et vous voulez une aventure ? Venez chez nous, on s’occupe de tout. Le site garantit la discrétion absolue (spoiler : c’était du flanc), les profils peuvent être anonymes, les photos floutées, les paiements discrets sur les relevés bancaires.
Noel Biderman : le PDG “fidèle” qui cachait bien son jeu
Biderman transforme alors progressivement ce petit site canadien en empire mondial avec une stratégie marketing ultra-agressive. Des pubs pendant le Super Bowl (qui ont été refusées), des panneaux d’affichage géants, des campagnes provocantes. Biderman lui-même devient le visage du site, paradant dans les médias avec sa femme Amanda, une Sud-Africaine avec un background en marketing.
Et c’est là que ça devient croustillant car Biderman joue le parfait homme d’affaires familial. Marié depuis 2003, père de deux enfants, il répète partout : “Je suis fidèle à ma femme. Ashley Madison, c’est pour les autres, pas pour moi.” Amanda soutient publiquement son mari et son business controversé. Ils forment le couple parfait de l’hypocrisie entrepreneuriale.
Puis le site explose littéralement. En 2015, Ashley Madison revendique 37 millions d’utilisateurs dans 46 pays et le chiffre d’affaires annuel dépasse les 100 millions de dollars, avec des projections à 150 millions pour 2015. ALM possède aussi d’autres sites comme Established Men (pour les sugar daddies) et CougarLife. Mais Ashley Madison reste le fleuron, générant 90% des revenus.
La particularité d’Ashley Madison, c’est surtout son modèle économique. L’inscription est gratuite pour les femmes (histoire d’attirer du monde), payante pour les hommes et ces derniers doivent acheter des “crédits” pour envoyer des messages. Mais surtout, il y a cette fameuse option “Full Delete” à 19 dollars.
Pour ce prix, Ashley Madison promet d’effacer complètement votre profil et toutes vos données. “Removal of site usage history and personally identifiable information from the site”, disaient-ils. Rien que cette arnaque, euh pardon, cette option a rapporté 1,7 million de dollars en 2014.
Et c’est ce mensonge éhonté qui va tout déclencher.
Car en coulisses, la sécurité d’Ashley Madison est une vaste blague. En 2012, Raja Bhatia, le directeur technique fondateur, tire déjà la sonnette d’alarme. Dans un email interne, il prédit une “crise de sécurité éventuelle” qui pourrait “écorcher vive” la compagnie. Prophétique, le mec.
Et en mai 2015, Mark Steele, directeur de la sécurité, enfonce le clou. Dans un email à Biderman, il explique que leur code est “criblée” de vulnérabilités XSS et CSRF, faciles à exploiter pour n’importe quel script kiddie. Il mentionne aussi des failles plus graves comme l’injection SQL qui pourraient causer des fuites de données “beaucoup plus dommageables”. Les mots de passe étaient bien hachés avec bcrypt, mais tellement mal implémentés que 11 millions d’entre eux seront crackés en à peine 10 jours.
Mais Biderman et ALM s’en foutent royalement. La priorité, c’est la croissance et les profits, pas la sécurité. Cette négligence criminelle va leur coûter très, très cher…
Le 12 juillet 2015, les employés d’Avid Life Media arrivent au bureau pour un lundi pas comme les autres avec sur leurs écrans, un message menaçant : La musique “Thunderstruck” d’AC/DC résonne dans les bureaux et le message est signé “Impact Team”. Ce dernier menace de publier toutes les données de la compagnie et des 37 millions de clients si Ashley Madison et Established Men ne ferment pas immédiatement.
Le manifeste d’Impact Team est cinglant : “Avid Life Media a reçu l’ordre de retirer définitivement Ashley Madison et Established Men sous toutes ses formes, sous peine de voir toutes les données clients divulguées, y compris les profils contenant les fantasmes sexuels secrets des clients et les transactions correspondantes par carte de crédit, les noms et adresses réels, ainsi que les documents et e-mails des employés.”
Ils accusent surtout ALM de mentir sur le service “Full Delete”. Selon eux, même après avoir payé 19 dollars, les vraies informations des utilisateurs restent dans les bases de données.
Le 19 juillet, Impact Team publie leur ultimatum sur Pastebin, donnant 30 jours à ALM pour fermer les sites. Brian Krebs, le célèbre journaliste spécialisé en cybersécurité, révèle alors l’affaire le même jour. C’est la panique totale chez ALM.
Le 20 juillet, Ashley Madison publie trois communiqués minimisant l’incident. Ils parlent d’une “tentative par un tiers non autorisée d’accéder à nos systèmes” et annoncent une enquête avec les forces de l’ordre et Cycura et le compte Twitter habituellement hyperactif du site devient aussi muet comme une carpe.
Pour prouver leur sérieux, le 21 juillet, Impact Team publie 2 500 dossiers d’utilisateurs et le 22 juillet, ils révèlent l’identité complète de deux utilisateurs : un homme de Brockton, Massachusetts, et un autre de l’Ontario. Un avertissement clair : on a tout et on n’hésitera pas.
Les théories fusent alors sur l’identité d’Impact Team. La plus crédible : un inside job. Noel Biderman lui-même déclare peu après : “Nous sommes sur le point de confirmer l’identité du coupable… J’ai son profil sous les yeux, avec toutes ses références professionnelles. Il s’agit sans aucun doute d’une personne qui n’était pas employée ici, mais qui a certainement eu accès à nos services techniques.” Un contractuel ? Un ancien employé viré ? Le mystère reste entier.
John McAfee, le fondateur controversé de l’antivirus éponyme, y va également de sa théorie. Selon lui, c’est “la seule employée femme” d’ALM et les dumps MySQL complets indiquent une connaissance intime de l’infrastructure. “Les hackers ont rarement une connaissance approfondie de la stack technique d’une cible.”, affirme-t-il. Une théorie jamais confirmée, vous vous en doutez, mais qui fait jaser.
Screenshot
Le plus troublant c’est qu’Impact Team semblerait être une seule personne et pas un groupe. Le style d’écriture, la nature personnelle de la vendetta, le fait qu’ils n’aient jamais existé avant et disparaissent après… Tout suggère un individu avec une rancune spécifique. En 2023, Brian Krebs révèle même que le principal suspect se serait suicidé en 2014, AVANT que le hack ne soit rendu public. Si c’est vrai, ça veut dire qu’Impact Team a planifié l’attaque, attendu plus d’un an, puis publié les données. Un niveau de patience dingue.
Puis le délai de 30 jours expire. Nous sommes le 18 aout 2015 et Ashley Madison est toujours en ligne. Impact Team passe alors à l’exécution de ses menaces. Il publie un fichier torrent de 9,7 gigaoctets sur le dark web, accessible uniquement via Tor. Le fichier est signé avec une clé PGP pour prouver son authenticité. À l’intérieur : les infos d’environ 37 millions d’utilisateurs.
Et ces données sont dévastatrices. Noms, emails, adresses, préférences sexuelles, fantasmes secrets, messages privés, transactions par carte de crédit. Même les utilisateurs qui avaient payé pour le “Full Delete” sont là. Impact Team avait donc raison : le service était une arnaque totale.
Full Delete - L’option de confidentialité qui n’en était pas une.
Internet s’enflamme et des dizaines de sites se montent, permettant de vérifier si votre email est dans la fuite. Les journalistes fouillent frénétiquement. Des milliers d’adresses .gov et .mil sont découvertes. Politiciens, militaires, religieux, personnalités publiques… Tout le monde y passe.
Le 20 août, Impact Team frappe encore plus fort avec un deuxième dump de 20 gigaoctets. Cette fois, c’est l’intérieur d’ALM qui est exposé : emails internes, code source, et surtout… 300 emails personnels de Noel Biderman.
Les révélations sont explosives puisque Biderman, Monsieur “Je suis super fidèle”, entretenait une liaison de trois ans avec une escort de Toronto nommée Melisa. Rendez-vous payants de juillet 2012 à mai 2015. D’autres femmes aussi. Les emails détaillent tout : les rencontres, les paiements, les mensonges à Amanda.
Un email particulièrement crade montre Biderman investissant dans une idée d’app appelée “What’s Your Wife Worth?” qui permettrait d’attribuer une valeur monétaire aux femmes selon leur attractivité. Même pour le PDG d’un site d’adultère, c’est too much.
L’email envoyé par le hacker d’Ashley Madison
Le 21 août, dans une interview avec Vice, Impact Team lâche alors une bombe sur la sécurité d’ALM : “Personne ne surveillait. Aucune sécurité. Nous avons travaillé dur pour rendre l’attaque totalement indétectable, puis nous sommes entrés et n’avons rien trouvé à contourner. Vous pouviez utiliser un MotDePasse1234 trouvé sur Internet pour vous connecter au VPN et accéder à tous les serveurs.” Hey oui, la sécurité chez Ashley Madison était tellement nulle qu’il n’y avait rien à contourner.
Malheureusement, les conséquences humaines commencent à se faire sentir. Le 24 août, la police de Toronto annonce deux suicides non confirmés liés à la fuite. Des “crimes de haine” sont rapportés. Chantage, harcèlement, violence domestique… Les victimes du hack deviennent victimes dans la vraie vie.
L’histoire la plus tragique est celle de John Gibson, 56 ans, pasteur et professeur au New Orleans Baptist Theological Seminary. Six jours après la publication, sa femme Christi retrouve son corps. Dans sa note de suicide, Gibson parle de sa honte, de sa dépression, de son addiction sexuelle qu’il combattait depuis 25 ans. Il s’excuse auprès de sa famille. D’autres suivront, comme le capitaine de police Michael Gorham de San Antonio.
Sam Rader, YouTubeur chrétien populaire avec sa chaîne “Sam and Nia”, est aussi exposé. Son compte “dirty_little_secret_man” fait surface. D’abord, il nie puis plus tard, dans le documentaire Netflix, il avouera avoir menti. Il cherchait de l’excitation pendant ses gardes de nuit comme infirmier.
Le 28 août 2015, Biderman démissionne. Un communiqué laconique indique que c’est “dans le meilleur intérêt de la compagnie”. Exit le millionnaire hypocrite. Bizarrement, Amanda ne l’a pas quitté et le couple semble toujours marié aujourd’hui. L’amour ou le fric ? Mystère.
Les conséquences légales sont également massives. En juillet 2017, Ruby Corporation (nouveau nom d’ALM) accepte de payer 11,2 millions de dollars pour régler les procès collectifs. La Federal Trade Commission impose également 17,5 millions d’amende, mais n’en collecte que 1,66 million vu les difficultés financières.
Mais le plus dingue c’est quand même qu’Ashley Madison a survécu. Après le hack, tout le monde prédisait sa mort. Hey oui car qui oserait encore s’inscrire ? Pourtant, sous une nouvelle direction, et avec une sécurité renforcée (authentification à deux facteurs, navigation chiffrée, conformité PCI), le site renaît. En 2017, ils revendiquaient même 50 millions d’utilisateurs. Il faut croire que la demande pour l’adultère en ligne n’a pas disparu.
Le site Ashley Madison en 2025
Impact Team disparaît complètement après les fuites. Aucune revendication ultérieure, aucune autre action et malgré les enquêtes du FBI, de la police canadienne, d’Interpol, personne n’est jamais arrêté. L’identité d’Impact Team reste le plus grand mystère non résolu de toute cette histoire.
Et pour la première fois, des millions de personnes réalisent que leur vie numérique secrète peut devenir publique du jour au lendemain. La notion de vie privée en ligne est redéfinie. Les entreprises comprennent également que la sécurité n’est plus optionnelle et les régulateurs durcissent les lois. Le RGPD européen de 2018 cite même explicitement des cas comme Ashley Madison pour justifier des amendes jusqu’à 4% du chiffre d’affaires mondial.
Sans oublier des documentaires Netflix comme “Ashley Madison: Sex, Lies & Scandal” et Hulu “The Ashley Madison Affair” qui remettent régulièrement l’histoire sur le devant de la scène.
Et Noel Biderman dans tout ça ? Et bien il a su rebondir. Depuis 2024, il est PDG d’Avenue Insights à Toronto et conseiller stratégique chez WonderFi. Loin des projecteurs, il parle de ses nouveaux projets “éthiques” et sur LinkedIn, son profil reste très vague sur la période 2007-2015. L’ombre d’Ashley Madison le suivra pour toujours.
Aujourd’hui, quand on tape “Ashley Madison” dans Google, les premiers résultats sont les articles sur le hack, pas le site. C’est devenu LE cas d’école en cybersécurité, éthique numérique, psychologie sociale mais pour les millions de personnes exposées, c’est une blessure qui ne guérira jamais car les données sont toujours là, sur le dark web, prêtes à ressurgir telles une épée de Damoclès éternelle.
Alors la prochaine fois que vous créez un compte quelque part, pensez-y. Ne mettez jamais en ligne ce que vous ne voudriez pas voir en première page des médias car a question n’est pas “si” vos données seront diffusées mais “quand” et par “qui”.
Alors là, c’est le pompon. Une app de rencontre censée protéger les femmes vient de se retrouver avec 72 000 photos perso sur 4chan. Selfies, permis de conduire, messages privés… tout ça parce que les devs ont laissé leur Firebase grand ouvert comme une porte de saloon. Force donc aux femmes qui vont subir le harcèlement des trolls à cause de cette incompétence monumentale.
TEA, c’est cette app qui cartonne en ce moment. Numéro 1 sur l’App Store cette semaine, elle revendique plus de 1,6 million d’utilisatrices et des dizaines de milliers d’avis.
Le concept ? Les femmes peuvent échanger des infos sur les mecs qu’elles rencontrent, vérifier s’ils sont clean, pas des catfish, et pas déjà en couple. Pour s’inscrire, faut donc prouver qu’on est une femme avec un selfie et une pièce d’identité. Logique pour éviter les infiltrations. Sauf que…
Les génies derrière l’app ont stocké TOUTES ces données de vérification dans un bucket Firebase sans aucune authentification. Genre vraiment aucune. Même pas un mot de passe basique. Les mecs de 4chan ont juste eu à trouver l’URL et hop, open bar pour le scrapping. “DRIVERS LICENSES AND FACE PICS! GET THE FUCK IN HERE BEFORE THEY SHUT IT DOWN!” qu’ils criaient sur leur forum de dégénérés. Comme des vautours qui ont trouvé une carcasse.
Le truc qui me tue, c’est que Firebase, c’est pas sécurisé par défaut. Amazon S3 verrouille tout, et faut vraiment le vouloir pour rendre public. Firebase, eux, non, c’est porte grande ouverte direct. Les devs qui l’utilisent peuvent choisir entre “Locked mode” (tout fermé) ou “Test mode” (tout ouvert) et devinez ce qu’ont choisi les champions de TEA ?
Et les trolls de 4chan ? Ils n’ont pas perdu une seconde. Ils ont créé des scripts Python pour automatiser le téléchargement de milliers de photos aspirées avant que Google ferme enfin le robinet. 13 000 selfies et permis de conduire. 59 000 images de posts et messages privés. Et des femmes qui pensaient être en sécurité et qui se retrouvent exposées aux pires raclures d’internet.
TEA essaie bien sûr de minimiser en disant que les données ont plus de 2 ans. Ah bah ça va alors, c’est des vieux permis de conduire ! Genre ça change quoi ? Les permis de conduire, ils n’expirent pas en 2 ans. Les adresses non plus. Et puis franchement, même si c’était des données d’hier ou d’il y a 10 ans, c’est inacceptable. Ces femmes ont fait confiance à une app qui promettait de les protéger, et résultat, elles sont servies sur un plateau aux harceleurs.
Mais le pire dans tout ça, c’est que c’est pas un cas isolé. En mars 2024, trois chercheurs en sécurité ont trouvé près de 20 millions de mots de passe en clair sur des Firebase mal configurés ainsi que 125 millions de dossiers utilisateurs exposés sur 916 sites web. Firebase, c’est donc devenu le paradis des fuites de données.
Et pourquoi ? Parce que les devs copient-collent des tutos Stack Overflow sans comprendre ce qu’ils font. “Tiens, ça marche en mode test, on ship !” Non mais allo quoi.
Bref, arrêtez avec Firebase si vous ne savez pas ce que vous faites. Prenez Supabase, c’est open source et sécurisé par défaut. Ou Appwrite qui a des SDK pour tout et qui prend la sécurité au sérieux. Même PocketBase, qui tient dans un seul fichier exécutable, est plus sûr que votre Firebase mal configuré. Ces alternatives ont d’ailleurs toutes un point commun : elles vous forcent à réfléchir à la sécurité au lieu de vous laisser tout grand ouvert.
Pour les utilisatrices de TEA, je sais que ça craint. Vérifiez vos comptes bancaires, changez vos mots de passe partout, et surveillez toute activité suspecte. Pensez aussi à utiliser un numéro virtuel pour les apps de rencontre à l’avenir. Et si vous recevez des messages chelous, bloquez et signalez. Puis si vous avez des preuves de harcèlement suite à cette fuite, portez plainte.
Bref, force à toutes celles qui vont devoir gérer les retombées de ce désastre. J’espère que TEA va prendre ses responsabilités, dédommager les victimes, et virer les incompétents.
Ce matin au petit déj, je suis tombé sur un doc de recherche qui m’a fait recracher mon café soluble tout dégeu des vacances : des scientifiques italiens peuvent maintenant vous reconnaître à 95,5% juste en analysant comment votre corps déforme les signaux Wi-Fi. Et le pire, c’est que ça marche même à travers les murs.
Les chercheurs de l’Université La Sapienza de Rome (Danilo Avola, Daniele Pannone, Dario Montagnini et Emad Emam) ont baptisé leur bébé “WhoFi”, et celui-ci utilise ce qu’on appelle le CSI (Channel State Information) pour créer une sorte d’empreinte biométrique basée sur la façon dont votre corps interfère avec les ondes Wi-Fi.
En gros, quand une onde Wi-Fi traverse votre corps, elle est modifiée de manière unique par vos os, vos organes, votre composition corporelle. C’est comme si votre squelette et vos entrailles créaient une signature radio personnelle. Les chercheurs ont donc entraîné un réseau de neurones profonds avec une architecture Transformer (oui, comme pour ChatGPT) pour reconnaître ces patterns uniques.
Le plus flippant dans tout ça, c’est que contrairement aux caméras qui ne voient que votre surface, le Wi-Fi pénètre littéralement à l’intérieur de vous. Votre densité osseuse, la forme de vos organes…etc tout ça crée des distorsions spécifiques dans le signal. C’est comme si on pouvait vous scanner en permanence sans que vous le sachiez.
Pour tester leur système, l’équipe a utilisé le dataset NTU-Fi, une référence dans le domaine du sensing Wi-Fi. Et là, bam ! 95,5% de précision pour identifier les personnes. C’est énorme. Pour vous donner une idée, EyeFi, un système similaire développé en 2020, plafonnait à 75%. On parle donc d’une amélioration de 20 points, ce qui est colossal dans ce domaine.
Mais attendez, c’est pas fini car le truc vraiment balèze avec WhoFi, c’est qu’il n’a pas besoin d’être réentraîné pour chaque nouveau point d’accès. Le modèle Transformer peut généraliser et s’adapter à de nouvelles conditions sans avoir besoin d’apprendre spécifiquement chaque environnement. En clair, une fois que le système vous connaît, il peut vous reconnaître partout où il y a du Wi-Fi. Et s’il y a plus du tout de Wi-Fi c’est que c’est moi qui suis dans le coin parce que je bloque tout à cause des moules frites à volonté d’hier soir ^^.
Imaginez les implications d’une telle techno. Vous entrez dans un café, un magasin, un aéroport, et hop, vous êtes identifié sans même vous connecter au Wi-Fi. Pas besoin de sortir votre téléphone, pas besoin de badge, votre corps fait office de carte d’identité ambulante. C’est à la fois très cool et terrifiant. Les chercheurs se défendent en disant que leur système est plus “privacy-preserving” que les caméras traditionnelles parce qu’il ne capture pas d’images…. Mouais, permettez-moi d’être sceptique. Certes, on ne voit pas votre tête, mais on peut vous traquer partout où il y a du Wi-Fi, et ça, c’est partout de nos jours.
Le CSI, pour ceux qui se demanderaient, c’est en fait l’information sur l’état du canal Wi-Fi. Chaque fois qu’un signal Wi-Fi est transmis, il contient des données sur comment le signal a été affecté pendant son voyage. C’est normalement utilisé pour optimiser la transmission, mais les chercheurs ont détourné ça pour en faire un outil d’identification.
Voilà donc pour les bonnes nouvelles…
Bien sûr, ce n’est pas nouveau que les chercheurs s’intéressent au Wi-Fi pour détecter des trucs. On a déjà vu des systèmes capables de détecter des chutes, de reconnaître des gestes, ou même de voir à travers les murs, mais là, on franchit un cap avec l’identification précise des individus.
Pour être honnête, la technologie en elle-même est bluffante. Utiliser des variations d’amplitude et de phase dans les signaux Wi-Fi pour créer une signature biométrique unique, c’est très malin je trouve surtout que les chercheurs ont même implémenté des techniques de data augmentation pour rendre le système plus robuste au bruit et aux variations mineures du signal.
Le problème c’est si cette technologie devient omniprésente sans que personne ne s’en rende compte car contrairement aux caméras qui sont visibles ou aux lecteurs d’empreintes qui nécessitent votre coopération, le Wi-Fi est invisible et dispo partout. Vous pourriez donc être tracké du moment où vous entrez dans un bâtiment jusqu’à votre sortie, avec une précision chirurgicale. Et si c’est couplé à d’autre techno, ce sera encore pire : reconnaissance faciale + tracking Wi-Fi + géolocalisation GPS… On arrivera alors à un niveau de surveillance qui ferait passer “1984” d’Orwell pour un conte de fées.
Les chercheurs affirment que pour l’instant, c’est purement académique et qu’il n’y a pas d’applications commerciales ou gouvernementales prévues, mais soyons réalistes deux secondes. Une technologie capable d’identifier les gens à quasi 100% sans aucun équipement spécial autre que des routeurs Wi-Fi standards, les agences de renseignement et les entreprises de marketing doivent déjà se frotter les mains.
Et pour se protéger de ça, ça devient compliqué. Porter une armure en plomb ? Pas très pratique. Brouiller les signaux Wi-Fi autour de vous ? Illégal dans la plupart des pays. Non, en vrai on n’a pas vraiment de solution pour l’instant.
Heureusement, certains chercheurs travaillent déjà sur des contre-mesures. Des techniques comme le “CSI fuzzing” ou la randomisation CSI sont explorées pour protéger la vie privée. L’idée est de modifier les signaux pilotes pour corrompre les informations CSI tout en préservant la communication normale.
Bref, pour conclure, WhoFi est une prouesse technologique indéniable mais comme souvent avec ce genre d’innovation, la question n’est pas “peut-on le faire ?” mais “devrait-on le faire ?” car dans notre monde où la vie privée est déjà bien bien mise à mal, rajouter une couche de surveillance invisible et omniprésente me semble être un peu too much…
WeTransfer veut rassurer ses utilisateurs : les fichiers restent privés, non utilisés par l’IA, et la licence accordée sert juste pour les besoins du service.
Connexion
