Les Ray-Ban Meta, c'est quand même le gadget parfait pour les voyeurs technophiles. Ce sont quand même des lunettes qui filment, prennent des photos et diffusent en live... le tout sans que PERSONNE autour ne s'en rende compte (ou presque). Alors forcément, quelqu'un a fini par coder une app pour les détecter !

Nearby Glasses , c'est une application Android développée par Yves Jeanrenaud qui scanne en permanence les signaux Bluetooth Low Energy autour de vous. Chaque appareil BLE diffuse en fait des trames pour s'annoncer avec un identifiant constructeur et les lunettes caméra de Meta utilisent les IDs 0x01AB et 0x058E (Meta Platforms) ainsi que 0x0D53 (Luxottica/Ray-Ban). Donc cette app écoute ces identifiants et vous balance une alerte dès qu'elle en capte un.

La détection repose sur le RSSI, en gros la puissance du signal reçu et par défaut, le seuil est à -75 dBm, soit environ 10-15 mètres en extérieur et 3-10 mètres en intérieur. Donc c'est pas foufou non plus mais c'est configurable, évidemment. Vous pouvez donc le durcir un peu pour ne choper que les lunettes vraiment proches, ou l'assouplir pour ratisser large (au prix de faux positifs en pagaille).

Les faux positifs, parlons-en d'ailleurs... Les casques Meta Quest utilisent les mêmes identifiants constructeur, du coup ça ne marche pas à tous les coups. Par exemple, si votre voisin joue en VR, votre téléphone va sonner ! L'app détecte aussi les Snap Spectacles (0x03C2)... pour les trois personnes qui en portent encore ^^.

Ah et l'app est UNIQUEMENT pour Android. La version iOS serait "on the way" selon le développeur... faut donc pas être pressé mais au moins c'est open source (AGPL-3.0), du coup n'importe qui peut vérifier ce que l'app fait de vos données Bluetooth.

Si le sujet vous parle, vous connaissez peut-être Ban-Rays , un projet hardware à base d'Arduino et de LEDs infrarouges qui détecte les Ray-Ban Meta via infrarouge et Bluetooth ! Hé bien Nearby Glasses, c'est l'approche 100% logicielle plutôt que hardware, ce qui est plus accessible mais forcément plus limitée... pas besoin de fer à souder, cela dit ^^.

C'est une rustine mais bon, c'est mieux que de se retrouver à poil sans permission sur le web.

Source

Amazon, fournisseur officiel de mauvaises idées en matière de vie privée depuis 1870 vient de nous pondre une nouvelle trouvaille !! À partir du 25 mars, si quelqu'un vous achète un cadeau via votre liste de souhaits Amazon, le vendeur tiers récupère votre adresse de livraison. Oui, votre VRAIE adresse !! Après en tant que français on a l'habitude que tous les escrocs de la planète aient nos infos persos . Mais rassurez-vous, Amazon a trouvé une solution ! Est-ce qu'il s'agit de corriger le problème ? Que nenni !! Ils nous recommandent simplement d'utiliser une boîte postale. Sympa !

Parce que jusqu'ici, quand un pote vous envoyait un truc depuis votre wishlist, le vendeur tiers voyait votre ville et votre région... c'est déjà pas top, mais bon. Sauf que maintenant, c'est l'adresse COMPLÈTE qui part chez le vendeur. Numéro, rue, code postal, la totale...

Et vous vous en doutez, ça touche en premier lieu les créateurs de contenu, les streamers, et tous les crevards qui ont une wishlist publique pour que leur communauté puisse leur offrir des trucs net d'impôts ^^.

Donc suffit qu'un harceleur crée un faux compte vendeur sur Amazon Marketplace (La vérification d'identité ? Minimale !), met un article à 3 euros, attend qu'un fan l'achète via la wishlist de sa cible... et hop, il a l'adresse complète récupérée. Pas besoin d'être un génie. Ou alors suffit d'attendre que le vendeur tiers laisse fuiter le fichier Excel dans lequel il stocke ses commandes... La vie est toujours pleine de surprises quand il s'agit de leaker des données perso.

Petite précision quand même, pour l'instant, ce changement a été annoncé uniquement sur Amazon.com (US). J'ai vérifié sur Amazon.fr, en fait les conditions n'ont pas encore bougé. Mais vu l'historique d'Amazon qui aligne ses politiques mondiales avec quelques mois de décalage... autant anticiper et aller faire le ménage dans vos wishlists comme je viens de le faire.

Et côté RGPD ?

En Europe, le RGPD impose que le partage de données personnelles repose sur une base légale. Consentement explicite, intérêt légitime, ou exécution d'un contrat et pas une case pré-cochée planquée dans les CGU.

Le problème, c'est qu'Amazon change les règles du jeu en cours de route, sans demander un consentement spécifique pour ce nouveau partage d'adresse avec des tiers. Et bien sûr, le moment venu, la CNIL pourrait avoir deux mots à dire là-dessus... après, on sait comment ça se passe, les amendes mettent des années à tomber. D'ailleurs, Amazon s'est déjà pris 746 millions d'euros par le Luxembourg en 2021 pour non-respect du RGPD mais visiblement, ça ne les a pas trop calmés.

Pour ceux qui s'intéressent à la suppression de leurs données perso en ligne , c'est le genre de truc qui fait grincer des dents.

Comment protéger votre adresse ?

Maintenant concrètement, voici ce que vous pouvez faire (ça ne marche pas à 100% mais c'est mieux que rien) :

Allez dans votre compte Amazon, section "Listes" puis "Gérer la liste". Vérifiez que votre wishlist est bien en mode "Privée" si vous ne voulez pas que n'importe qui la voie. Attention, le réglage par défaut c'est "Publique"... donc si vous n'avez jamais touché à ça, c'est probablement ouvert aux quatre vents.

Et si vous VOULEZ la garder publique (streamers, créateurs), utilisez une adresse qui n'est pas votre domicile. En France, une boîte postale La Poste coûte ~50 euros par an. Y'a aussi les Amazon Locker ou les points Mondial Relay... ce qui revient quand même à dire "débrouillez-vous", j'en ai bien conscience.

Le vrai problème

Le fond du problème, vous l'aurez compris, n'est pas technique. C'est qu'Amazon traite l'adresse de livraison comme une donnée de transaction banale alors que c'est une info sensible. Mais non, une adresse postale c'est pas un numéro de commande. Et surtout ça casse tout le principe d'anonymat des wishlists surtout quand la plateforme encourage les wishlists publiques depuis des années.

Bref, on n'est pas encore concernés en France, mais prenez les devants et prévenez votre influenceur préféré de faire le switch avant que ce soit le cas.

Source

Vous voulez désactiver l'IA dans votre navigateur ? Bonne chance pour les couillons qui utilisent Chrome... faut passer par 5 réglages planqués dans chrome://settings et chrome://flags, tripatouiller des flags expérimentaux, bref, c'est un vrai parcours du combattant. Firefox 148, de son côté, a eu une idée folle : Mettre UN bouton. Hop, terminé.

Mozilla vient en effet de sortir la version 148 de Firefox et le gros morceau, c'est la section "Contrôles de l'IA" dans les paramètres (about:preferences#ai). Un seul toggle " Bloquer les améliorations IA " et paf, toutes les fonctions IA du navigateur sont coupées d'un coup. Traductions automatiques, regroupement d'onglets, previews de liens, texte alternatif des PDF, et même les chatbots de la barre latérale (ChatGPT, Claude, Gemini, Copilot, Le Chat). Tout dégage !

C'est le top pour les fragilous qui refusent le progrès ^^... Roohh ça va je blague ! Et le vrai intérêt du truc, c'est que ça verrouille les futures fonctions IA aussi. Du coup, si Mozilla ajoute de nouvelles features IA plus tard, elles seront automatiquement bloquées. Pas besoin de revenir fouiller dans les paramètres à chaque update. D'ailleurs, toutes les fonctions IA sont déjà désactivées par défaut... faut donc les activer manuellement si vous en voulez.

Et attention, ça ne bloque pas les extensions tierces qui intègrent leur propre IA, genre les "résumeurs" de page ou les assistants de rédaction. Le toggle, lui, garantit uniquement que les fonctions NATIVES restent coupées quoi qu'il arrive.

Et maintenant comparons avec la concurrence, parce que c'est là que ça pique les yeux.

Comme je vous le disais dans mon intro trollesque, chez Google, désactiver l'IA dans Chrome (et ses dérivés) relève carrément du sport extrême. Faut couper Gemini (chrome://settings/ai), désactiver le mode IA et Help Me Write (chrome://flags), bloquer la recherche IA dans l'historique, et pour les AI Overviews... ben y'a pas vraiment de bouton.

Brave fait un peu mieux heureusement ! Leur assistant Leo est opt-in par défaut, tourne dans un profil isolé qui ne peut pas accéder à vos données de navigation, et applique une politique zéro log. Même leur mode "agentic AI" en Nightly est désactivé de base. C'est propre, mais y'a pas de kill switch global comme Firefox. Du coup, si vous voulez la solution radicale plutôt que du cas par cas, Firefox gagne.

Et pour ceux qui se demandent pourquoi Firefox investit dans l'IA tout en permettant de la couper... en fait, Mozilla joue la carte de la transparence. Les modèles locaux utilisés par Firefox sont supprimés du disque quand vous désactivez les fonctions et tout est vérifiable dans about:processes si vous êtes du genre parano.

Au passage, cette version corrige également une quarantaine de failles de sécurité et embarque la Sanitizer API , ce qui est une première parmi les navigateurs. Et si vous êtes encore sur Firefox ESR, ça ne marchera pas... faudra donc attendre la prochaine ESR pour en profiter.

Voilà, si l'IA dans votre navigateur vous gave, vous savez où aller -> Firefox, tout simplement.

Source

Un dungeon crawler dans l'explorateur de fichiers Windows c'est maintenant une réalité grâce à Directory Dungeon qui transforme votre arborescence de fichiers en donjon, avec monstres, du loot et des combats au tour par tour. Du coup forcément, ça m'a intrigué.

Dans ce jeu, vous ouvrez un dossier C:\DirectoryDungeon sur votre PC et dedans y'a des salles de donjon. Ensuite, pour vous déplacer, vous glissez-déposez votre dossier "Player" dans une nouvelle pièce. Oui du vrai drag-and-drop dans explorer.exe.

Et votre inventaire, c'est un sous-dossier. Vos armes et armures, vous les équipez en les déposant dans le répertoire "Equipment". Et quand vous tombez sur un monstre, le combat se résout automatiquement dans une fenêtre console cmd.exe à côté. Du texte, des chiffres, du tour par tour. C'est old school à mort.

Standard Intelligence vient d'annoncer FDM-1, un modèle IA capable de contrôler n'importe quel ordinateur... en regardant l'écran et en cliquant. Comme nous !!

En gros le modèle regarde des pixels, comprend l'interface et exécute des actions. Clics, mouvements de souris, saisie clavier... et ça tourne à 30 FPS avec 11 ms de latence. Donc c'est beaucoup plus réactif que la plupart des français devant un formulaire administratif, quoi... ^^

Concrètement, vous pourriez lui demander de remplir vos tableurs Excel ou Google Sheets, de naviguer dans SAP, Salesforce ou n'importe quel logiciel métier sous Windows, macOS ou Linux, ou d'automatiser ces clics débiles que vous faites 200 fois par jour. Attention, c'est pas un bot Selenium ou un macro AutoHotkey hein. C'est vraiment un truc qui comprend ce qu'il voit à l'écran.

Du coup, ça se compose de 3 blocs. Un encodeur vidéo qui compresse le flux visuel, un modèle de dynamique inverse, entraîné sur 40 000 heures de données humaines, qui relie les actions aux changements d'écran, et bien sûr le modèle d'action, qui prédit le prochain clic.

Le truc carrément dingue, c'est l'échelle d’entrainement de ce modèle... 11 millions d'heures de vidéo d'entraînement, 80 000 machines virtuelles en parallèle, un seul GPU NVIDIA H100 qui pilote 42 VMs à la fois. Ça représente plus d'un million de simulations par heure. Y'a de quoi faire donc !

Et les applications vont loin... Par exemple, CAO sur Blender 3D, conduite autonome avec moins d'une heure de vidéo à 1080p, et même du fuzzing d'applications bancaires (Ahaha, je sais ça va vous plaire ça !).

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/fdm1-modele-action-informatique-general/fdm1-modele-action-informatique-general-1.mp4">lien vers la vidéo</a>.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/fdm1-modele-action-informatique-general/fdm1-modele-action-informatique-general-2.mp4">lien vers la vidéo</a>.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/fdm1-modele-action-informatique-general/fdm1-modele-action-informatique-general-3.mp4">lien vers la vidéo</a>.

Votre pseudo de justicier masqué sur Reddit ne vaut plus grand-chose, les amis... En effet, des chercheurs de l'ETH Zurich viennent de prouver qu'un LLM peut retrouver votre vraie identité à partir de vos posts anonymes, avec 67% de réussite... et pour moins de 4 dollars par profil.

L' étude a été publiée sur arXiv par six chercheurs, dont Nicholas Carlini d'Anthropic (les créateurs de Claude) et le principe fait flipper. En fait ils ont mis au point des agents IA qui analysent vos commentaires publics, créent un profil structuré... ou plutôt un portrait-robot de vos habitudes et centres d'intérêt, puis ratissent des milliers de candidats pour trouver à qui ça correspond.

Budget total de l'opération : environ 2 000 dollars pour 338 profils Hacker News passés au crible. Et sur tout ça, 226 ont été identifiés correctement, 25 sont des erreurs et 86 sont des "abstentions" quand le modèle doutait trop. Ça revient à 1 à 4 dollars par profil, et quand le modèle est assez sûr de lui pour donner une réponse (donc hors abstentions), il tape juste 9 fois sur 10. Pas cher payé donc pour s'offrir la fin de votre anonymat TOTAL !

Le truc, c'est que Hacker News c'était juste l'apéro. La même technique a été lâchée ensuite sur des interviews anonymisées, des profils LinkedIn et ce bon vieux Reddit. Même recette, et surtout mêmes résultats.

Le côté obscur de cette recherche, c'est que ça ouvre encore plus la porte aux arnaques d'ingénierie sociale sur mesure, au ciblage pub ultra-personnalisé sans votre consentement, et pire... à la traque de journalistes ou d'activistes planqués derrière un pseudo...

Notez que ce taux de 67%, c'est sur des profils Hacker News où les gens qui postent beaucoup de contenu technique assez spécifique. Mais sur un compte avec trois commentaires génériques, ça ne marche pas aussi bien. Mais bon, qui poste que 3 fois sur un forum ? Le piège, c'est qu'on finit toujours par en dire plus qu'on croit...

Maintenant côté protection, attention, c'est pas la fête. Si vous voulez éviter de vous faire traquer, faudra varier votre style d'écriture entre les plateformes, éviter de balancer trop de détails perso (ville, job, stack technique) dans vos commentaires, et surtout utiliser des comptes séparés plutôt qu'un seul pseudo partout. D'ailleurs le fingerprinting de navigateur c'est déjà un problème connu, mais là on parle de fingerprinting de votre STYLE D'ÉCRITURE donc carrément autre chose !

Perso, ça confirme finalement ce qu'on savait depuis le documentaire Rien à cacher : l'anonymat en ligne c'est surtout une illusion. Sauf que maintenant, même pas besoin d'être la NSA pour lever le voile... un LLM à 4 balles suffit.

Le pseudonymat face à un LLM c'est un grillage face à une perceuse... Bon courage aux anonymes qui me lisent...

Source

Si vous utilisez Notion au quotidien et que vous avez toujours rêvé de piloter vos bases de données depuis un terminal... y'a enfin un truc qui tient la route.

Ça s'appelle notion-cli , c'est un binaire Go qui embarque 39 commandes couvrant TOUTE l'API Notion. Il s'agit d'un seul exécutable pour macOS, Linux et Windows (amd64 et arm64) sans dépendance qui vous permet de gérer pages, bases de données, blocs et commentaires sans jamais ouvrir un navigateur.

L'installation, c'est du classique : brew install 4ier/tap/notion-cli sur macOS, go install pour les puristes, npm install -g notion-cli-go ou même Docker. Il faut juste un token d'intégration Notion (le ntn_xxxxx que vous générez sur notion.so/my-integrations), vous le collez dans ~/.config/notion-cli/config.json ou en variable NOTION_TOKEN, et c'est parti.

notion-cli en action dans le terminal

Le truc cool, ce sont les filtres humain-friendly. Au lieu de se taper du JSON pour filtrer une base, vous écrivez Status=Done et l'outil se débrouille tout seul. En fait, il détecte le type de chaque propriété (texte, date, sélection...) et adapte le filtre automatiquement. C'est carrément pas mal, je trouve.

Et côté Markdown, c'est la fête ! Vous exportez une page entière avec notion block list <page-id> --md --depth 3, et inversement, vous injectez un fichier .md dans Notion via notion block append <page-id> --file notes.md. Pour ceux qui bossent avec de la doc technique, ça simplifie sérieusement les choses. Bon, ça ne marche pas avec les blocs synchronisés ou les embeds exotiques, mais pour le reste c'est nickel.

D'ailleurs le mode "pipé" est vraiment malin. Car dans le terminal, l'outil affiche de jolies tables colorées mais dès que vous le "pipez" vers jq ou un script, il bascule en JSON automatiquement. Du coup, intégrer ça dans un pipeline shell ou un cron... c'est aucun parsing à faire. Voilà quoi.

Après des CLI pour Notion, y'en a déjà quelques-uns. Sauf que la plupart sont soit limités aux tâches (comme notion-cli-go qui gère surtout le côté todo), soit cantonnés à l'export (et souvent liés à un OS ou un langage précis).

Celui de 4ier, c'est donc le premier à couvrir l'API en entier : pages, bases, blocs, commentaires, fichiers, utilisateurs, et même un accès REST brut via notion api GET /v1/endpoint. En gros, c'est le gh de GitHub, mais pour Notion (et pour une fois, c'est pas juste du blabla marketing ^^).

Les cas d'usage qui tuent c'est par exemple un script cron qui crée une entrée hebdo avec notion page create <db-id> --db "Name=Weekly" "Status=Todo". Un backup qui exporte vos pages critiques en Markdown toutes les nuits. Ou un CI/CD qui met à jour un changelog Notion à chaque deploy. Quelques lignes de bash et c'est réglé, car l'outil gère tout le reste ! C'est hyper rare un CLI qui couvre autant de terrain.

Y'a aussi le côté agent-friendly pour ceux qui kiffent l'IA. L'outil retourne des codes de sortie propres, du JSON exploitable, et s'installe comme skill agent via npx skills add 4ier/notion-cli. Dans la lignée de Gemini CLI , on voit de plus en plus d'outils pensés terminal-first... et je trouve que c'est carrément bien.

Après comme souvent quand je vous présente des outils, le projet est tout frais (v0.3.0, licence MIT), avec une petite communauté donc attention, car comme tout ce qui dépend d'une API tierce, si Notion bouge ses endpoints... voilà quoi. Mais c'est propre, c'est testé, et ça tourne déjà très bien.

Votre navigateur va pouvoir souffler un peu.

Des faux entretiens d'embauche avec des repos GitHub vérolés pour piéger les devs Next.js... on croit rêver et pourtant, Microsoft vient de documenter cette campagne ciblée et vous allez voir, c'est violent.

En fait, un groupe de hackers se fait actuellement passer pour des recruteurs et contacte des développeurs JavaScript en leur proposant un entretien technique. Le deal c'est de cloner un repo GitHub pour un "test de compétences"... sauf que le repo en question est truffé de malware.

Microsoft a ainsi identifié plusieurs vecteurs d'infection planqués dans ces repos. Le premier, c'est via les fichiers de configuration VS Code, c'est à dire ceux dans le dossier .vscode/, qui peuvent exécuter du code dès que vous cliquez "Trust" à l'ouverture du projet (ce que la plupart des devs font sans réfléchir).

Le deuxième passe par un npm run dev piégé, la commande de dev classique qui lance le malware en même temps que le serveur (car oui, c'est aussi simple que ça...).

Et le troisième est encore plus sournois puisqu'il s'agit d'un module backend qui décode une URL depuis le fichier .env, exfiltre toutes les variables d'environnement (tokens cloud, clés API...), puis exécute du JavaScript reçu en retour. Sympaaaaaa....

Du coup, le malware est plutôt bien pensé. C'est un loader JavaScript qui se télécharge depuis l'infrastructure Vercel (comme ça, ça a l'air légitime), et qui s'exécute entièrement en mémoire, et spawne un processus Node.js séparé pour ne pas éveiller les soupçons. Une fois installé, il se connecte alors à un serveur C2 qui change d'identifiant régulièrement, histoire de compliquer la détection. Et là, ça se met à exfiltrer tout ce qui traîne... code source, secrets, credentials cloud... bref, tout ce qui a de la valeur.

Alors, comment on se protège de ce genre de menace quand on est un simple dev ? Hé bien déjà, vérifiez le profil du "recruteur". Pas de site d'entreprise vérifiable, des messages génériques... c'est un joli red flag !

Ensuite, avant de lancer quoi que ce soit, lisez le package.json à la recherche de scripts suspects dans preinstall, postinstall ou prepare, inspectez le dossier .vscode/ (surtout tasks.json), et faites un npm install --ignore-scripts pour bloquer l'exécution automatique des hooks. Lancez aussi un safe-npm et un npm audit une fois les dépendances installées. Et côté VS Code, désactivez l'exécution auto des tasks avec "task.allowAutomaticTasks": "off" dans vos settings.

Ça me rappelle les campagnes type Shai-Hulud et les packages npm vérolés , mais avec un vecteur social bien plus élaboré. Le piège, c'est qu'on ne balance plus des packages malveillants dans le registry en espérant qu'un dev les installe par erreur... non, non, on cible directement les développeurs, un par un, en exploitant ce stress de la recherche d'emploi comme le ferait un conseiller France Travail quand vous arrivez en fin de droits chomdu...

Et si vous êtes en pleine recherche d'emploi, attention, ne lancez JAMAIS un projet d'un inconnu dans votre environnement principal. Utilisez une VM, un container Docker (docker run --rm -it -v $(pwd):/app node:20 bash et c'est réglé), ou au minimum un compte utilisateur séparé sans accès à vos tokens et clés SSH. On n'est jamais trop prudent !

Maintenant vous savez... si un recruteur vous envoie un repo GitHub sans profil LinkedIn ni site d'entreprise véritable et vérifiable... c'est que c'est pas un recruteur. Voilà voilà...

Source

Hey mais on dirait bien que c'est Red Hat qui débarque sur le marché des apps desktop pour conteneurs... mais lol ! Car oui, pendant que Docker Desktop trône depuis des années et qu'OrbStack séduit de plus en plus d'utilisateurs macOS, Red Hat se réveille ENFIN avec sa propre version Enterprise de Podman Desktop .

Bah mieux vaut tard que jamais !

Pour ceux qui débarquent (bouuuuh) Podman Desktop, c'est un outil open source qui existe depuis des années pour gérer vos conteneurs, images et pods via une interface graphique. C'est dispo sous Linux, macOS, Windows et le projet a même rejoint la CNCF (rien à voir avec les trains... lool) en janvier 2025 en même temps que d'autres briques Red Hat (Buildah, Skopeo, bootc, Composefs... chacun en projet séparé).

Interface de Podman Desktop

Et donc Red Hat a décidé de lancer sa propre "build" enterprise de cette app de conteneurs. En gros, c'est la même base que Podman Desktop, mais avec une couche admin par-dessus. Les responsables IT peuvent donc verrouiller des paramètres au niveau de la flotte tels que les registry mirrors, proxies HTTP, certificats custom... On est dans une ambiance un peu plus corporate quoi.

Côté Kubernetes, c'est également plutôt bien pensé. Vous créez vos pods en local, l'outil génère le YAML correspondant, et hop, déploiement sur Kind, Minikube ou directement sur OpenShift, les doigts dans le nez.

Pour ceux qui se demandent si ça remplace Docker Desktop, bah, ça dépend en fait. Podman tourne sans daemon et en rootless, du coup c'est un vrai plus côté sécurité. Mais par contre, le support Docker Compose passe par un système d'aliasing... ça marche bien, sauf si vous avez des configs Docker très exotiques... là faudra tester avant de tout basculer comme le early adopter fifou que vous êtes.

D'ailleurs, si vous êtes sur RHEL, Podman est déjà inclus dans votre abonnement et Red Hat a aussi bossé sur des extensions pour les images bootable OCI et le mode image RHEL.

Claude Code tourne en local et c'est son gros avantage car ça permet par exemple d'agir sur votre machine, de lancer des scripts...etc. Mais c'est aussi sa grosse limite car à cause de ça, vous êtes cloué devant votre terminal. J'étais en quête depuis un moment d'une solution et je vous avais déjà parlé de Vibe Companion y'a pas longtemps mais tous ces outils vont disparaitre puisque Anthropic vient de sortir Remote Control, une feature qui transforme claude.ai ou l'app mobile en télécommande pour votre session locale. Comme ça, vos fichiers restent chez vous et seule l'interface voyage.

Votre ordi fait tourner Claude Code normalement, et vous, vous pouvez continuer à lui parler depuis votre iPhone, votre Android, votre iPad ou n'importe quel navigateur Chrome, Firefox, Safari... Pas de serveur exposé, pas de port ouvert, que du HTTPS sortant. C'est plutôt bien foutu vous allez voir !

Ce qu'il vous faut

Bon déjà, un abonnement Pro (Édit : ? on me dit que c'est pas encore actif pour les pro ?) ou Max (pas le choix, les clés API ne marchent pas et les plans Team/Enterprise sont exclus pour le moment). Ensuite, vérifiez que Claude Code est installé et que vous êtes connecté via /login. Acceptez ensuite le "workspace trust" dans votre projet et hop, c'est tout côté prérequis.

Lancer une session

Deux options s'offrent à vous ensuite... Soit vous démarrez une nouvelle session dédiée :

claude remote-control

Bonne nouvelle pour ceux qui en ont ras la casquette de se taper des allers-retours entre Figma et VS Code ! Parce qu'avec Onlook , l'éditeur visuel open source qui vous permet de modifier le design de vos apps React directement dans le navigateur, vous allez pouvoir cliquer simplement sur un élément de design, et en changer la couleur, la typo...etc et hop, ça modifiera le code derrière.

Pas mal, non ?

Vous ouvrez votre projet Next.js dans Onlook, et vous vous retrouvez avec une interface à la Figma, sauf que c'est branché sur votre code source. Vous sélectionnez un titre, un bouton, n'importe quel composant, et vous modifiez son style visuellement... couleurs, padding, marges, polices, tout y passe.

Et en fait, le truc qui change tout par rapport à un inspecteur CSS classique, c'est que quand vous cliquez sur "Publish", les modifications atterrissent DIRECTEMENT dans vos fichiers .tsx. C'est donc du vrai code propre, pas du CSS inline dégueulasse.

Côté technique, l'outil gère nativement TailwindCSS (parce que bon, en 2026, si vous faites du React sans Tailwind, vous aimez forcément le cuir qui claque et la souffrance). Vous éditez en mode visuel, ça génère les bonnes classes Tailwind, et vous gardez un contrôle total. Y'a aussi un mode LLM intégré... "rends ce bouton bleu avec des coins arrondis" et hop, c'est fait. Comme ça, pas besoin de chercher si c'est rounded-lg ou rounded-xl dans la doc.

Les clés API Google que vous collez dans votre JavaScript pour afficher une carte Maps... hé bien elles ne sont plus si inoffensives. Car depuis que Gemini est entré dans la danse, ces mêmes clés donnent maintenant accès à vos fichiers privés et surtout à votre facture IA.

Et personne ne nous a prévenu...

En gros, Google utilise un format de clé unique, les fameuses AIza..., aussi bien pour Maps et Firebase (public, collé dans le HTML, tout le monde s'en fout) que pour Gemini (privé, accès aux fichiers, facturation). Le problème c'est que quand vous activez l'API Gemini sur un projet Google Cloud, TOUTES les clés existantes de ce projet héritent automatiquement de l'accès Gemini. Sans warning, sans notification, sans rien... Ouin !

Les chercheurs de TruffleSecurity ont ainsi trouvé presque 3000 clés API Google valides dans le dataset Common Crawl de novembre 2025. Des clés qui trainent dans du code JavaScript, des pages HTML, des repos GitHub publics... et qui fonctionnent sur l'endpoint Gemini. Il suffit d'un simple curl avec une clé Maps récupérée sur un site web, et hop, vous accédez à l'API Gemini du propriétaire. Fichiers privés, contenu en cache, facturation sur son compte.

Et parmi les victimes, on trouve des institutions financières, des boîtes de cybersécurité, et... Google eux-mêmes (oui oui, vraiment).

Le 21 novembre 2025, TruffleSecurity signale donc le problème et la réponse de Google le 25 novembre c'est : "intended behavior" (comportement normal)... Sauf que le 2 décembre, Google a reclassifié ça en bug, puis le 13 janvier 2026, ça passe finalement en Tier 1. On est donc passé du "c'est normal les frérots" à "ah oui quand même, oupsi oups", en 7 semaines.

Maintenant, pour ceux qui se demandent si leurs clés API Google sont concernées, direction console.cloud.google.com , section "APIs & Services" puis "Identifiants".

Si vous voyez l'API " Generative Language " de Gemini API activée sur un projet avec des clés non restreintes... attention, c'est le moment de faire le ménage. Ajoutez des restrictions IP ou HTTP referrer, et surtout, utilisez des comptes de service plutôt que des clés API pour tout ce qui touche à Gemini (sauf si vous aimez les surprises sur votre facture ^^).

Le truc tordu, c'est que la doc Firebase dit noir sur blanc que les clés API ne sont pas des secrets. Google Maps vous dit carrément de les coller dans votre HTML. Et maintenant, ces mêmes clés donnent accès à une IA qui peut lire vos fichiers. Du CWE-1188 pur et dur ! Et c'est pas la première fois que Google se fait taper sur les doigts pour ce genre de souci avec Gemini .

Du coup, Google a annoncé des nouvelles mesures, du scoped defaults, du blocage de clés fuités, des notifications proactives...etc. Reste donc à voir si ça arrivera avant que les presque 3000 clés exposées soient exploitées par des gens moins bien intentionnés.

Bref, dix ans à dire que c'est public, et hop, aujourd'hui c'est devenu top secret. Bien joué Google !!

Source

Salut les amis du net ! Aujourd'hui, on va encore parler d'un outil que j'utilise au quotidien et dont on me demande souvent des nouvelles : Surfshark VPN. Pas de blabla corporate, pas de langue de bois. Juste du concret, du testé, du validé.

Si vous cherchez une solution pour naviguer peinard, débloquer vos séries préférées ou simplement éviter que votre FAI ne sache que vous regardez des vidéos de chats à 3h du mat', restez par là. On décortique tout.

Les perfs : ça tient la route ou c'est du vent ?

J'ai testé. Pas juste cliqué sur "Quick Connect" en croisant les doigts. J'ai lancé des speed tests, streamé en 4K, téléchargé des torrents, joué en ligne. Voici ce que ça donne :

Le secret ? WireGuard, le protocole moderne qui allie vitesse et sécurité. Surfshark l'a optimisé avec sa techno maison FastTrack (dispo sur macOS pour l'instant) qui peut booster les connexions jusqu'à 70% en routant intelligemment votre trafic. Et si la connexion saute ? Pas de panique : Everlink, leur feature brevetée, rétablit automatiquement le tunnel VPN sans que vous ayez à lever le petit doigt. C'est discret et efficace, exactement ce qu'on veut.

On est d'accord, la sécurité c'est pas optionnel

Un VPN qui ne protège pas, c'est comme un parapluie avec des trous. Heureusement, Surfshark coche toutes les cases :

• Chiffrement AES-256-GCM : le standard militaire, point.
• MultiHop : doublez votre protection en passant par deux serveurs.
• Kill Switch (soft et strict) : coupe internet si le VPN lâche, pour éviter les fuites.
• CleanWeb 2.0 : bloque pubs, trackers, malware… et oui, même les pubs YouTube (utilisez Firefox ou Safari pour ça).
• Mode Camouflage : pour contourner les restrictions dans les pays où internet est... disons "sélectif".
• Politique no-logs vérifiée : auditée par Deloitte en 2024 et 2025, ils ne gardent rien de ce que vous faites.

Et cerise sur le gâteau : Alternative ID est désormais inclus pour tous les utilisateurs. Créez un profil secondaire (nom, email, âge) pour vous inscrire sur des sites sans exposer vos vraies infos. Malin, non ?

Si vous voyagez à l'étranger : ça marche ou pas ?

Alors, la vraie question, celle qui revient en boucle : "Ouais, mais ton VPN, il fonctionne si je suis à la plage ou pas ?". Je vous comprends. Personne n'a envie de payer pour un service et se retrouver avec un catalogue limité quand on est en déplacement. J'ai passé plusieurs semaines à tester Surfshark en conditions réelles : soirée binge-watching, téléchargement de gros fichiers, sessions de gaming avec des potes restés en France (roooh la loose). Le constat est simple : ça marche, et plutôt bien.

Pour le streaming, Surfshark ne joue pas la carte des serveurs "spécialisés" avec des étiquettes flashy. À la place, ils ont optimisé l'ensemble de leur infrastructure pour que la majorité des nœuds fonctionnent avec les grandes plateformes. Concrètement, si vous êtes en voyage aux États-Unis et que vous voulez retrouver votre catalogue Netflix français, vous vous connectez à un serveur en France, vous lancez l'application, et ça lit. Sans chorégraphie compliquée. J'ai testé plusieurs plateformes : même constat. Si par hasard un serveur rencontre un souci (ça arrive, les détections automatisées évoluent constamment), un simple changement de ville dans le même pays d'origine suffit généralement à rétablir l'accès. L'application est suffisamment intuitive pour que ça prenne dix secondes, montre en main.

Important à noter : les VPN sont légaux dans la plupart des pays mais utiliser un VPN pour accéder à un service en dehors de sa région licenciée peut violer les conditions d'utilisation de la plateforme. Surfshark ne garantit pas le contournement systématique des restrictions géographiques, et cette fonctionnalité est surtout utile pour retrouver l'accès à vos abonnements légaux lorsque vous voyagez à l'étranger.

Côté téléchargement de fichiers lourds, c'est là que WireGuard montre ses muscles. J'ai vérifié l'absence de fuites DNS et IPv6 avec plusieurs outils en ligne et rien ne filtre. La vitesse reste stable (proche de votre connexion native) grâce à un chiffrement efficace qui ne plombe pas le débit. Et si vous vous connectez depuis un réseau restreint (hôtel, aéroport, certaines entreprises), le mode Camouflage rend votre trafic VPN indiscernable d'un trafic HTTPS classique. Tranquillité assurée.

Petite astuce en passant : activez CleanWeb dans les paramètres. En plus de bloquer les pubs et les trackers, il filtre les domaines connus pour héberger des malwares. Utile quand on télécharge un peu à l'arrache sur des forums obscurs. On ne sait jamais.

Le rapport 2025 de Surfshark : les chiffres qui parlent

Chaque année, Surfshark publie un " Annual Wrap-up ". Celui de 2025 est particulièrement intéressant si vous aimez creuser sous le capot. J'ai épluché le rapport et voici ce qui mérite vraiment votre attention, côté technique.

D'abord, l'infrastructure. Surfshark a franchi la barre des 4 500 serveurs physiques et virtuels, répartis dans plus de 100 pays. Mais le nombre ne fait pas tout : la majorité de ces nœuds tournent désormais sur du matériel RAM-only, ce qui signifie qu'aucune donnée n'est stockée physiquement. En cas de saisie ou d'intrusion, il n'y a tout simplement rien à récupérer. C'est du hardening au sens propre.

Côté protocoles, WireGuard est évidemment le standard par défaut, mais Surfshark a poussé l'optimisation plus loin avec FastTrack, leur algorithme de routage dynamique. En analysant en temps réel la latence, la perte de paquets et la charge des serveurs, FastTrack peut rediriger votre trafic vers le chemin le plus efficace, gagnant jusqu'à 70% de vitesse sur certaines connexions macOS. C'est transparent pour l'utilisateur, mais ça se sent : moins de buffering, des temps de réponse plus courts, une expérience globalement plus fluide.

L'autre avancée majeure l'année dernière c'est Everlink. Cette technologie brevetée gère les micro-coupures réseau (changement de Wi-Fi, passage en 4G, instabilité du FAI) en maintenant une session VPN "en suspens" plutôt que de la terminer brutalement. Résultat : plus besoin de se reconnecter manuellement, et surtout, plus de fuite accidentelle d'IP pendant la transition. C'est le genre de feature qu'on ne remarque que quand elle n'est pas là et une fois qu'on l'a testée, on ne revient pas en arrière.

Enfin, Surfshark anticipe l'après-quantique. Le rapport 2025 mentionne le déploiement progressif de serveurs équipés de chiffrement post-quantique, basé sur des algorithmes résistants aux futures capacités de calcul. C'est encore marginal aujourd'hui, mais c'est exactement le genre de vision long terme qui différencie un fournisseur sérieux d'un simple revendeur de tunnels chiffrés. Et depuis son apparition, Surfshark est sans doute l'un des VPN les plus proactifs et qui pousse les autres à monter le niveau.

Et pour ceux qui aiment les preuves plutôt que les promesses, les audits no-logs par Deloitte se sont poursuit en 2025. Avec une vérification approfondie de l'infrastructure, du code client et des processus internes. Le rapport est public, les méthodologies sont documentées. Pas de langage flou, pas de "we take privacy seriously" générique. Juste des faits.

Mon petit avis

Alors, est-ce que je vous recommande toujours Surfshark en 2026 ? Oui, sans hésiter. Mais pas forcément pour les raisons habituelles.

Ce n'est pas "juste" le VPN le moins cher du marché, même si son rapport qualité-prix est objectivement difficile à battre. Ce n'est pas non plus l'outil miracle qui transformera votre connexion ADSL en fibre optique. Non, ce qui fait la différence, c'est l'équilibre rare qu'il parvient à trouver entre simplicité d'usage, transparence technique et respect réel de la vie privée.

Beaucoup de VPN promettent la lune. Surfshark livre une expérience cohérente, à savoir une application qui ne vous noie pas sous les options tout en laissant les réglages avancés accessibles, une infrastructure qui tient la route même aux heures de pointe et une politique de confidentialité qui ne se contente pas d'être écrite en petit, mais qui est vérifiée, auditée, assumée. Et cela devrait continuer dans ce sens en 2026 avec une volonté annoncée de subir encore plus d'audits extérieurs.

Est-ce qu'il y a des limites ? Bien sûr. Comme tout VPN, vous perdrez un peu de vitesse (minime avec WireGuard). Comme tout service cloud, vous dépendez de la disponibilité de leurs serveurs. Et comme tout outil de protection, il ne remplace pas une hygiène numérique globale (mots de passe robustes, mises à jour régulières ou bon sens face aux phishings). Mais si vous cherchez un compagnon de route pour naviguer plus librement, protéger vos données sans devenir ingénieur réseau, et accéder à vos contenus préférés où que vous soyez... Surfshark est l'un des rares choix qui ne vous demandera pas de sacrifier l'un pour l'autre.

L'offre du moment (parce que oui, il y a un deal)

En ce moment, Surfshark propose 87% de réduction + 3 mois offerts sur l'abonnement 24 mois.  Ça revient donc à 1,99 €/mois (soit moins de 65€ TTC pour 27 mois), avec garantie satisfait ou remboursé de 30 jours. Vous testez puis vous restez ou vous vous faites rembourser. Aucun risque. Juste de la tranquillité en plus.

Du 25 février et jusqu'au 23 mars (ou jusqu'à épuisement des stocks), Surfshark propose en plus une offre combinée avec CALM, l'application de méditation et de sommeil la plus téléchargée au monde. En souscrivant à n'importe quel abonnement Surfshark de 1 ou 2 ans, vous recevez 12 mois de CALM Premium gratuitement (peu importe la durée du plan choisi).

Comment ça marche ? Après la période de garantie satisfait ou remboursé (30 jours), votre code d'activation apparaîtra directement dans l'application web Surfshark. Vous avez jusqu'au 23 mai pour le réclamer et activer votre abonnement CALM. C'est l'occasion de sécuriser votre connexion tout en prenant soin de votre santé mentale (et vous en avez bien besoin), une combinaison plutôt maline pour l'ère numérique.

🔗 Profiter de l'offre Surfshark ici

(lien affilié, ça me permet de continuer à tester des outils pour vous, sans pubs intrusives sur le site)