Amazon vient de lancer une nouvelle fonctionnalité dans son app Kindle iOS qui risque de faire grincer pas mal de dents du côté des auteurs et éditeurs. Ça s’appelle “Ask this Book” et c’est un chatbot IA intégré directement dans vos bouquins.

Le principe c’est de pouvoir poser des questions sur le livre que vous êtes en train de lire. Genre “c’est qui déjà ce personnage ?”, “il s’est passé quoi dans le chapitre 3 ?” ou “c’est quoi le thème principal ?”. Et l’IA vous répondra instantanément avec des réponses “sans spoilers” basées sur le contenu du livre.

Notez que les réponses de l’IA ne peuvent être ni copiées ni partagées, et seuls les acheteurs ou abonnés Kindle Unlimited y ont accès.

Bon, sur le papier, c’est plutôt pratique pour ceux qui comme moi, reprennent un bouquin après plusieurs semaines et qui ont oublié la moitié des personnages, sauf que voilà, y’a un gros problème.

Amazon a confirmé que cette fonctionnalité est activée par défaut et qu’il n’y a aucun moyen pour les auteurs ou les éditeurs de retirer leurs livres du truc. Et même si certains auteurs râlent, Amazon refuse de leur dire quoi que ce soit, aussi bien sur les conditions légales qui leur permettent de proposer ça ni au sujet des détails techniques sur comment ils empêchent les hallucinations de l’IA ou si les textes sont utilisés pour entraîner leurs modèles. Encore une fois, du grand art niveau transparence.

Du côté de l’industrie du livre, ça passe donc plutôt mal. Beaucoup de détenteurs de droits vont probablement considérer ça comme une œuvre dérivée non autorisée, voire une violation directe du copyright et ça tombe plutôt mal niveau timing, vu que récemment, plusieurs auteurs ont déjà attaqué des boîtes d’IA en justice pour avoir aspiré leurs textes sans permission.

Alors pour l’instant, la fonctionnalité n’existe que sur l’app Kindle iOS aux États-Unis mais Amazon a déjà annoncé vouloir l’étendre aux liseuses Kindle et à Android l’année prochaine et pour le monde entier.

Bref, Amazon continue de faire du Amazon… déployer d’abord, poser des questions jamais.

Source

Vous avez toujours voulu créer des workflows d’agents IA mais vous avez la flemme de coder tout ça à la main ? Hé bien y’a un projet open source qui va vous faire plaisir. Ça s’appelle Sim Studio et c’est une plateforme qui permet de construire des workflows d’agents IA de manière visuelle, un peu comme sur Figma.

Le principe c’est d’avoir un canvas sur lequel vous glissez-déposez des blocs : des LLMs, des outils, des connexions à des services tiers comme Slack, Gmail, Supabase ou Pinecone. Vous reliez tout ça avec des flèches et hop, vous avez votre workflow qui tourne. Pas besoin d’écrire une seule ligne de code si vous voulez pas.

Et le truc sympa c’est qu’il y a un Copilot intégré qui peut générer des nœuds, corriger les erreurs et améliorer vos flows directement à partir de langage naturel. Vous lui décrivez ce que vous voulez et il vous pond les blocs correspondants. Pratique pour les feignasses comme moi.

Côté fonctionnalités, c’est plutôt complet. Vous pouvez connecter différents modèles (des LLMs hébergés mais aussi des modèles locaux), brancher des bases de données vectorielles pour que vos agents puissent répondre à des questions basées sur vos propres documents, et contrôler finement comment chaque outil est utilisé.

Et une fois votre workflow prêt, vous avez plusieurs options pour le déployer. Soit vous le déclenchez manuellement, soit vous le transformez en API, soit vous le programmez pour qu’il tourne périodiquement. Y’a même moyen de le faire réagir à des webhooks, genre quand vous recevez un message Slack, ou de le déployer comme un chatbot standalone.

Le projet est backé par Y Combinator et ils annoncent déjà plus de 60 000 développeurs qui utilisent la plateforme. De plus, c’est SOC2 et HIPAA compliant, donc niveau sécurité c’est du sérieux pour ceux qui bossent dans des environnements exigeants.

Niveau déploiement, bien sûr, vous avez le choix. Soit vous utilisez leur version cloud sur sim.ai , soit vous self-hostez le bazar avec Docker Compose ou Kubernetes. Pour les paranos qui veulent garder le contrôle total sur leurs données, c’est possible de tout faire tourner en local avec Ollama.

Pour l’installer en local, c’est assez simple. Vous pouvez lancer directement avec npx simstudio ou passer par Docker. Niveau technos, le projet utilise Next.js, PostgreSQL avec pgvector, et ReactFlow pour l’éditeur visuel.

Bref, si vous cherchez un outil pour bricoler des workflows d’agents IA sans vous prendre la tête avec du code, c’est open source et gratuit .

Merci à Letsar pour la découverte !

Vous pensiez que les technologies de surveillance chinoises étaient 100% chinoises ? Hé bien pas du tout. Une enquête passionnante d’AP vient de révéler que le gouvernement chinois utilise massivement des logiciels américains pour traquer ses propres citoyens, y compris ceux qui ont fui aux États-Unis.

L’histoire de Li Chuanliang est assez flippante. Cet ancien fonctionnaire chinois était en convalescence d’un cancer sur une île coréenne quand il a reçu un appel urgent lui disant de ne surtout pas rentrer en Chine. Quelques jours plus tard, un inconnu le prend en photo dans un café. Terrorisé à l’idée que la Corée du Sud le renvoie chez lui, Li s’enfuit aux États-Unis avec un visa touristique et demande l’asile.

Mais même là-bas, à New York, en Californie, au fin fond du désert texan, le gouvernement chinois a continué à le traquer. Ses communications ont été surveillées, ses biens saisis, ses déplacements suivis dans des bases de données policières. Et le pire, c’est que plus de 40 de ses proches ont été identifiés et détenus, y compris sa fille enceinte. Comment est-ce qu’ils ont fait ? Hé bien via différente méthodes, donc une qui consiste à remonter toutes les interactions humaines jusqu’aux chauffeurs de taxi grâce à la reconnaissance faciale.

Et c’est là que ça devient vraiment dingue car la techno utilisée pour contrôler les fonctionnaires chinois à l’étranger depuis une décennie vient en grande partie de la Silicon Valley. Des boîtes comme IBM, Oracle et Microsoft ont vendu leurs logiciels au Bureau d’Investigation des Crimes Économiques chinois.

IBM a notamment vendu son logiciel de surveillance i2 à cette division et des emails qui ont fuité montrent que ce même logiciel a été copié par Landasoft, un ancien partenaire d’IBM, puis revendu aux commissions disciplinaires chinoises. Le truc incluait des fonctions comme la “gestion des personnes associées” et le tracking des réservations d’hôtel.

Et les chiffres donnent le vertige car rien que l’année dernière, cette techno a permis d’identifier et de “punir” près de 900 000 fonctionnaires en Chine, soit presque 5 fois plus qu’en 2012. Et à l’international, plus de 14 000 personnes, dont environ 3 000 fonctionnaires, ont été ramenées de force en Chine depuis plus de 120 pays via les opérations “ Fox Hunt ” et “ Sky Net ”.

IBM a bien précisé qu’ils ont revendu cette division en 2022 et qu’ils ont des “processus robustes” pour garantir une utilisation responsable mais bon, oausi c’est un peu tard les gars.

Maintenant, pour Li, l’avenir est incertain car l’administration Trump a gelé toutes les demandes d’asile. Du coup, s’il ne rentre pas en Chine, il risque un procès par contumace et s’il est condamné et expulsé, c’est la prison à vie qui l’attend.

Bref, la prochaine fois qu’on vous parle de surveillance chinoise, n’oubliez pas d’où viennent les outils.

Vous bossez toute la journée sur ChatGPT ou Claude et vous commencez à trouver ça un peu tristounet ? Youpi, y’a une extension Chrome qui va égayer tout ça avec des petits animaux virtuels qui se baladent sur votre interface comme quand on était en 1999.

Ça s’appelle GPTPets et c’est le genre de truc complètement inutile donc forcément indispensable comme disait Jérôme Bonaldi. Le principe c’est d’avoir un petit compagnon animé qui vit sa vie sur la barre de saisie de votre IA préférée, genre un chat qui fait la sieste, un chien qui remue la queue, un panda qui mange du bambou, une brigitte qui insulte ses paires… bref vous voyez le genre.

Je ne connaissais pas le NanoKVM mais c’est un petit boîtier KVM chinois vendu entre 30 et 70€ qui permet de contrôler un PC à distance. Sauf qu’un chercheur en sécurité slovène a découvert qu’il embarquait un micro planqué capable d’enregistrer tout ce qui se dit autour. Ça craint !

En effet, Matej Kovačič a ouvert son NanoKVM et y a trouvé un minuscule composant de 2x1 mm dissimulé sous le connecteur. Un truc tellement petit qu’il faut une loupe ou un microscope pour le dessouder proprement. Et pourtant, ce micro MEMS est capable d’enregistrer de l’audio de “qualité surprenamment élevée” comme il le dit et le pire c’est que l’appareil est fourni avec tous les outils nécessaires (amixer, arecord) pour l’activer via SSH et même streamer le son en temps réel sur le réseau.

Alors comment c’est arrivé là ?

En fait le NanoKVM est basé sur un module LicheeRV Nano qui est prévu pour plein d’usages embarqués différents, dont certains nécessitent de l’audio. Quand Sipeed l’a transformé en KVM grand public, ils ont juste… gardé le micro. Sans le documenter. Sans le désactiver. Sympa hein ?

Et le chercheur a aussi trouvé que les premières versions arrivaient avec un mot de passe par défaut et SSH grand ouvert. L’interface web n’avait aucune protection CSRF, et la clé de chiffrement des mots de passe était codée en dur et identique sur TOUS les appareils vendus. En bonus, le bidule communiquait avec des serveurs chinois pour les mises à jour, sans aucune vérification d’intégrité du firmware téléchargé. Et cerise sur le gâteau, y’avait des outils de hacking préinstallés comme tcpdump et aircrack. Aïe aïe aïe…

Depuis la publication du rapport, Sipeed a quand même bougé et ils ont corrigé pas mal de failles, mis à jour la documentation pour mentionner (enfin) la présence du micro, et annoncé que les futures versions n’auraient plus ces composants audio. Les firmwares récents désactivent aussi les drivers correspondants.

Et comme le projet est à la base open source, des membres de la communauté ont commencé à porter dessus des distributions Linux alternatives (Debian, Ubuntu). Faut ouvrir le boîtier et reflasher la carte microSD, mais au moins vous savez exactement ce qui tourne dessus…

Bref, comme quoi ça vaut toujours le coup de démonter ses appareils et de jeter un œil à ce qu’il y a dedans. Merci à Letsar pour l’info !

Source

Vous avez déjà essayé de faire du traitement vidéo dans le navigateur

Bienvenue en enfer ! Et dire que pendant 20 ans, la seule solution viable c’était de compiler FFmpeg en WebAssembly, attendre 10 secondes que 40 Mo de code se chargent, puis regarder votre RAM fondre comme neige au soleil.

Heureusement, MediaBunny débarque et compte bien changer les choses !

En effet, cette bibliothèque TypeScript vous permet de lire, écrire et convertir des fichiers vidéo et audio directement dans le navigateur. MP4, WebM, MKV, MP3, WAV, Ogg, FLAC, vous nommez simplement le format, et MediaBunny le gère. Et la bibliothèque ne pèse que 5 Ko en version minifiée. Ça semble peu mais en fait, au lieu d’essayer de porter un outil desktop vers le web, Vanilagy (le créateur) a construit MediaBunny from scratch pour exploiter ce que le navigateur savait déjà faire.

La clé, c’est donc l’API WebCodecs qui existe depuis Chrome 94 sorti en 2021, mais que presque personne n’utilise. Cette API donne accès direct à Javascript à l’accélération matérielle de votre GPU pour encoder et décoder la vidéo que ce soit du H.264, H.265, VP8, VP9 et tout ça en temps réel. Et MediaBunny se branche dessus et vous donne une interface propre pour manipuler vos médias.

Vous voulez extraire les métadonnées d’une vidéo MP4, convertir un WebM en MP4 ou encore extraire une piste audio d’une vidéo ? En 3 lignes de code c’est plié, et tout ça en local dans votre navigateur.

MediaBunny supporte plus de 25 codecs vidéo, audio et sous-titres. H.264, H.265, VP8, VP9, AV1 pour la vidéo. AAC, Opus, Vorbis, MP3, FLAC pour l’audio. WebVTT pour les sous-titres…etc.

Et l’outil étant pensé avec un design modulaire qui permet de faire du tree-shaking , vous pouvez embarquer uniquement le code dont vous avez besoin, ce qui allège encore plus le bouzin. MediaBunny est d’aillerus l’évolution technique de deux projets du même auteur : mp4-muxer et webm-muxer. Ces bibliothèques faisaient déjà du bon boulot pour écrire des vidéos MP4 et WebM côté client, mais MediaBunny va beaucoup plus loin en supportant la lecture, l’écriture et la conversion pour tous les formats courants.

Si ça vous chauffe, pour installer MediaBunny, c’est du classique :

npm install mediabunny

const input = new Input({
 source: new UrlSource('./bigbuckbunny.mp4'),
 formats: ALL_FORMATS, // .mp4, .webm, .wav, ...
});

const duration = await input.computeDuration();

const videoTrack = await input.getPrimaryVideoTrack();
const { displayWidth, displayHeight, rotation } = videoTrack;

const audioTrack = await input.getPrimaryAudioTrack();
const { sampleRate, numberOfChannels } = audioTrack;

// Get the frame halfway through the video
const sink = new VideoSampleSink(videoTrack);
const frame = await sink.getSample(duration / 2);

// Loop over all frames of the video
for await (const frame of sink.samples()) {
 // ...
}

Pendant que Burp Suite avale 500 Mo de RAM au démarrage, HTTP Breakout Proxy lui, tient dans un binaire de quelques Mo qui disparaît dès que vous fermez le terminal.

Alors HTTP Breakout Proxy c’est quoi ?

Hé bien les amis, c’est un proxy HTTP/HTTPS écrit en Go qui intercepte le trafic réseau en temps réel et vous propose une interface web pour analyser tout ce qui passe. Requêtes, réponses, headers, body, timing… Tout est capturé et affiché proprement dans votre navigateur.

Vous le lancez avec ./http-breakout-proxy, il écoute sur 127.0.0.1:8080, et vous ouvrez l’interface dans votre browser. Ensuite, si vous voulez débugger une API par exemple, vous lancez le proxy, vous configurez votre client HTTP pour passer par localhost:8080, et vous voyez tout passer en direct.

C’est vrai que Burp est devenu un monstre à tout faire avec scanner de vulnérabilités, fuzzer, crawler, extensions… Y’a aussi Charles Proxy que j’aime bien mais qui pèse dans les 100 Mo et nécessite une JVM complète. Et même mitmproxy , pourtant réputé léger, a accumulé tellement de fonctionnalités qu’il faut lire 50 pages de doc pour comprendre comment l’utiliser.

Avec HTTP Breakout Proxy, il y a moins de features c’est vrai mais ça va plus vite et c’est gratuit. Maintenant, au niveau technique, le projet utilise l’interception MITM classique. Vous installez le certificat racine fourni par le proxy, et il peut déchiffrer le trafic HTTPS qui passe par lui. Ensuite, l’interface web affiche tout en temps réel via Server-Sent Events. Vous avez du filtrage par regex, du color-coding configurable pour repérer visuellement les requêtes importantes, et même des charts Gantt pour visualiser le timing des connexions…etc.

Que demande le peuple ? Ah oui, y’a aussi l’export vers curl ou Python requests, ce qui est pratique quand vous voulez rejouer une requête dans un script. Et bien sûr la possibilité de mettre la capture en pause pour analyser tranquillement ce qui s’est passé.

Voilà, c’est minimaliste mais ça marche hyper bien et quand on est pas un pro de la sécurité, c’est bien d’avoir des outils de ce style pour explorer un truc vite fait. Et merci à Lorenper pour le partage !

A découvrir ici !

Vous avez des LEGO qui traînent chez vous et vous cherchez un projet un peu original à faire avec ? Hé bien j’ai trouvé un truc sympa pour vous occuper ce week-end : Construire un QR code fonctionnel en briques LEGO.

Ça s’appelle Brick QR Code et c’est un générateur en ligne qui transforme n’importe quelle URL en instructions de montage LEGO. Vous entrez votre lien, le site génère le pattern, et hop vous avez tout ce qu’il faut pour construire un QR code scannable avec vos petites briques colorées.

Un QR code c’est juste une grille de carrés noirs et blancs, et ça tombe bien parce que les LEGO 1x1, c’est totalement ça. Le site vous donne les instructions étape par étape, un modèle 3D pour visualiser le truc, et surtout une liste de pièces compatible BrickLink pour commander exactement ce qu’il vous manque.

Pour que ça marche, il faut respecter quand même quelques règles de base. D’abord, la taille minimum d’un QR code c’est 21x21 studs, mais ça peut monter plus haut selon la longueur de votre URL. Ensuite, et c’est super important, il faut absolument une bordure blanche autour du code sinon votre téléphone n’arrivera pas à le scanner. C’est le piège classique dans lequel tout le monde tombe au début.

D’ailleurs, le fait que ça soit en LEGO ne pose aucun problème de lecture. Malgré la surface un peu irrégulière des briques avec les studs qui dépassent, les smartphones modernes scannent ça sans broncher. Y’a même des gens qui font ça depuis 2009 et qui confirment que ça fonctionne nickel.

Après, c’est surtout un projet fun à faire pour le délire. Vous pouvez coller ça sur la fenêtre de votre bureau pour impressionner vos collègues, l’offrir à quelqu’un avec un lien vers une playlist ou un message perso, ou juste le faire parce que c’est cool de construire un code qui marche vraiment. Et puis c’est quand même plus classe qu’un QR code imprimé sur du papier, non ?

Voilà, si vous voulez vous lancer, prévoyez une baseplate d’au moins 32x32 studs pour avoir de la marge avec la bordure, et assurez-vous d’avoir assez de pièces 1x1 dans deux couleurs bien contrastées. Le noir et blanc c’est le plus fiable, mais techniquement n’importe quel combo de couleurs avec un bon contraste devrait passer.

A découvrir ici : Brick QR Code

Vous vous souvenez de toutes ces fois où je vous ai expliqué comment renforcer la sécurité de Windows avec telle ou telle petite astuce ? Hé bien y’a un projet GitHub qui va vous faire plaisir si vous êtes du genre à vouloir blinder votre machine sans installer 50 logiciels tiers.

Ça s’appelle Harden Windows Security , et c’est signé par un dev qui se fait appeler HotCakeX. Son idée c’est de sécuriser Windows en utilisant uniquement les méthodes officielles de Microsoft. Pas de bidouilles, pas de composants externes qui pourraient eux-mêmes devenir une faille mais juste les outils natifs de Windows, configurés aux petits oignons.

Le projet se compose de deux applis disponibles sur le Microsoft Store. La première, c’est “Harden System Security” qui va “durcir” votre système, virer les trucs inutiles et vous donner une note de sécurité globale. La seconde s’appelle “AppControl Manager” et elle gère le WDAC, c’est-à-dire le contrôle des applications via Windows Defender. Vous pouvez ainsi décider quelles apps ont le droit de tourner sur votre bécane et tout le reste est bloqué automatiquement.

Et ce qui est top c’est qu’une fois configuré, vous n’avez plus besoin de courir après chaque nouveau malware. Vous définissez ce qui a le droit de s’exécuter, et tout le reste dégage. Fini le jeu du chat et de la souris avec les antivirus.

Le truc supporte plusieurs niveaux de sécurité, du perso jusqu’au militaire. Et si vous êtes parano (j’avoue y’a de bonnes raisons de l’être en ce moment), vous pouvez déployer des politiques signées avec AppControl Manager. Une fois en place, même un admin ne pourra pas les modifier sans avoir accès aux clés privées du certificat. Bref, c’est du sérieux.

Et en cadeau bonux, y’a même une intégration Intune pour déployer ça sur toute une flotte et vérifier la conformité de chaque machine. Pratique quand vous devez gérer des parcs entiers.

Niveau techno, c’est du .NET 9 avec une interface WinUI moderne sans dépendances tierces, puisque tout tourne via les APIs bas niveau de Windows. Le projet est d’ailleurs SLSA Level 3, ce qui veut dire que le processus de build est sécurisé et vérifiable et le code est scanné par CodeQL et le package final est envoyé sur VirusTotal automatiquement.

Pour l’installer, vous avez plusieurs options. Le plus simple c’est le Microsoft Store, mais vous pouvez aussi passer par Winget :

winget install --id 9p7ggfl7dx57 --exact --source msstore

winget install --id 9PNG1JDDTGP8 --exact --source msstore

Vous vous souvenez des histoires d’employés Samsung qui ont balancé du code source confidentiel dans ChatGPT en 2023 ? Hé bien ce genre de bourde n’a pas disparu, bien au contraire. Un rapport d’ Harmonic Security sorti en fin d’année dernière estimait que près de 80% des données exposées via les IA génératives passent par ChatGPT et plus de 40% des fichiers envoyés contiennent des infos sensibles. Email du boss, clé API, numéro de carte… on balance tout ça sans réfléchir dans nos prompts.

Du coup, y’a un super projet open source qui vient de sortir sur GitHub pour mettre un garde-fou entre vos doigts et vos conneries potentielles. Ça s’appelle PrivacyFirewall et c’est une extension Chrome qui intercepte ce que vous tapez ou collez dans ChatGPT, Claude ou Gemini avant que ça parte chez eux.

L’extension scanne en temps réel ce que vous écrivez et si elle détecte un email, un numéro de téléphone, une clé AWS, un token JWT ou n’importe quel pattern qui ressemble à une donnée sensible, elle bloque le collage et affiche une alerte. Vous pouvez bien sûr forcer l’envoi si vous êtes sûr de vous, mais au moins vous êtes prévenu.

Y’a deux modes de fonctionnement. Le mode “Lite” utilise des regex et tourne directement dans l’extension sans rien installer. C’est instantané et ça attrape déjà pas mal de trucs comme les emails, les numéros de cartes bancaires, les adresses IP, les clés privées et les patterns d’API. Et sinon, le mode “IA” est plus costaud puisqu’il fait tourner un modèle BERT en local sur votre machine via FastAPI mais là ça détecte aussi les noms de personnes, les organisations, les lieux… bref tout ce qui pourrait identifier quelqu’un dans vos données.

Et le truc important, vous l’aurez compris, c’est que tout se passe en local. Aucune données transmises à l’extérieur, zéro télémétrie, pas de tracking. Vous pouvez même vérifier dans les DevTools de Chrome que rien ne sort de votre machine.

Pour l’installation, vous clonez le repo GitHub , vous chargez l’extension en mode développeur dans Chrome, et c’est parti. Si vous voulez le mode IA, faut lancer un petit serveur Python en local qui va télécharger le modèle BERT la première fois (environ 400 Mo). Après ça, le serveur tourne sur localhost et l’extension communique avec lui.

Le projet est encore en beta mais il est déjà utilisable. Y’a aussi un concurrent qui s’appelle Prompt Firewall sur le Chrome Web Store si vous voulez comparer les approches mais PrivacyFirewall a l’avantage d’être totalement transparent niveau code et de proposer la détection NER en plus des regex.

Bref, c’est pas forcément pour tout le monde mais si vous manipulez des données sensibles au boulot et que vous utilisez des IA au quotidien, ça peut vous éviter de belles boulettes. Surtout que maintenant avec la mémoire persistante de ChatGPT, les infos que vous balancez par erreur peuvent rester stockées bien plus longtemps qu’avant.

On vit une époque formidable (non), car d’un côté, 5,6 millions de sites web bloquent maintenant le GPTBot d’OpenAI , 5,8 millions bloquent ClaudeBot alors que de l’autre côté, ce sont 13,26% des bots IA qui se contrefoutent royalement des robots.txt . Les webmasters sont tous en PLS, et plantent des pancartes “Propriété privée - IA interdit” partout… Mais je vous le donne en mille Émile, ça ne sert strictement à rien !

Il y a quand même des gens très intelligents qui se penchent sur le sujet et hier, c’est un nouveau standard qui vient de sortir pour dire stop à cette comédie ! Cela s’appelle Really Simple Licensing (RSL) 1.0 et ça propose quelque chose de radical : Arrêter de bloquer, et commencer à facturer ! Miam !

Concrètement, c’est un petit fichier texte pour passer du fuck-off à la négociation commerciale. Car oui on le sait, le problème avec le robots.txt, c’est que c’est comme demander poliment à des cambrioleurs de ne pas rentrer chez vous. Ça marchait en 1994 quand le web était rempli de gens bien élevés mais en 2025, avec OpenAI, Anthropic, Meta et compagnie qui aspirent notre contenu pour alimenter leurs modèles à plusieurs milliards de dollars, la politesse a ses limites. RSL, c’est donc le passage à l’âge adulte du web où si l’une de ces entreprise veut nos données, c’est possible mais va falloir allonger la moula.

Techniquement, RSL se présente comme un complément au Robots Exclusion Protocol (RFC 9309) où en gros, c’est un vocabulaire XML qui permet d’exprimer des règles de licence machine-readable. Le standard définit trois niveaux de permissions : ai-all (tout autoriser), ai-input (indexation uniquement), ai-index (utilisation limitée). Vous pouvez aussi définir une option “Contribution” pour les organisations non-commerciales qui voudraient utiliser votre contenu à des fins de recherche par exemple.

Le truc intelligent, c’est que RSL s’intègre partout où vous avez déjà l’habitude de mettre des métadonnées : robots.txt, headers HTTP, flux RSS, balises HTML. Pas besoin de réinventer la roue donc, mais juste d’ajouter quelques lignes qui disent “Mon contenu coûte X par requête” ou “Contactez-moi pour négocier”. Le standard supporte aussi d’autres protocoles complémentaires comme Open License Protocol (OLP), Crawler Authorization Protocol (CAP) ou Encrypted Media Standard (EMS).

RSL débarque avec les gros calibres derrière comme Cloudflare et Akamai , qui gèrent une bonne partie du trafic web mondial. L’idée initiale de Matthew Prince de Cloudflare est donc en train de prendre forme tout doucement. Et ils sont rejoints par l’Associated Press et Stack Overflow. Et surtout, il y a Supertab , un service de micropaiement qui teste le système depuis deux trimestres avec une douzaine de clients.

Leur modèle, c’est le “tab” à l’américaine. En gros, vous lisez des articles, ça s’accumule sur une ardoise virtuelle, et vous payez seulement quand vous atteignez 1$ ou 5$. Pas besoin comme ça de sortir la carte bleue pour chaque article à 50 centimes derrière l’un de ces paywalls de merde. Et ça semble bien fonctionner puisque le système a multiplié par trois le nombre de lecteurs payants , et que 10% de ceux qui ouvrent un “tab” finissent par s’abonner dans les 3-4 mois.

Supertab applique maintenant le même principe aux bots IA qui “consomment” le contenu. Ça s’accumule sur un compteur, et ils payent après sauf que contrairement aux humains qui peuvent oublier de payer leur note de bar, les robots ont un budget de scraping bien défini

Alors RSL ne va pas sauver le journalisme ni régler magiquement le bordel du droit d’auteur mais au moins, ça permet d’arrêter de faire semblant. Les créateurs de contenu sont devenus des fournisseurs d’API malgré eux, et RSL assume juste le modèle économique sous-jacent. Plus de 1500 organisations soutiennent déjà ce standard, mais est-ce qu’OpenAI, Anthropic, Google et les autres vont jouer le jeu ? On verra bien…

Pour en savoir plus, c’est par ici : rslstandard.org

Source

Google et le CA/Browser Forum viennent d’annoncer la mise à mort de 11 méthodes de validation de domaine pour les certificats HTTPS. Bye bye les emails, les coups de fil, les fax (oui, y’en avait encore qui utilisaient ça) et le courrier postal pour valider les certificats car d’ici mars 2028, tout ça sera du passé.

Car quand vous demandez un certificat SSL/TLS pour votre site, l’autorité de certification doit vérifier que vous êtes bien le proprio du domaine. Historiquement, ça pouvait se faire via un email envoyé à l’adresse WHOIS, un coup de téléphone, ou même un courrier papier mais le problème, c’est que ces méthodes sont faciles à falsifier.

Des chercheurs en sécurité ont montré qu’il était possible de manipuler les données WHOIS ou d’intercepter les communications pour obtenir des certificats frauduleux et quand, malheureusement, un attaquant peut se faire passer pour le propriétaire légitime d’un domaine et obtenir un vrai certificat, ça ouvre la porte à des attaques man-in-the-middle bien méchantes.

Donc le CA/Browser Forum a voté le ballot SC-090 pour éliminer progressivement ces vieilles méthodes. Juin 2025 a vu la fin de la validation WHOIS par email, mars 2026 découragera l’utilisation des méthodes email en général, et mars 2028 ce sera le grand ménage final.

À la place, il faudra donc passer par des méthodes plus directes tels qu’un enregistrement DNS TXT avec une valeur aléatoire que l’autorité vérifiera, ou un fichier HTTP placé à un endroit précis de votre serveur. Ces méthodes permettent de prouver cryptographiquement que vous contrôlez bien le domaine, sans intermédiaire chelou.

Pour les utilisateurs lambda, ça ne change rien évidemment, vous continuerez à voir le petit cadenas dans votre navigateur. Mais pour les admins système et les responsables de sites, ça veut dire qu’il va falloir automatiser tout ça. Si vous utilisez encore des certificats validés par email, c’est donc le moment de migrer vers des outils comme ACME (le protocole derrière Let’s Encrypt).

Ce mouvement s’inscrit également dans une tendance plus large puisque le ballot SC-070 prévoit aussi de réduire la durée de validité des certificats pour les passer à 10 jours de réutilisation de la validation dès mars 2028, puis des certificats de 47 jours seulement en mars 2029. Donc autant dire que sans automatisation, ça va devenir ingérable.

Google pousse donc clairement l’écosystème vers plus de sécurité, quitte à forcer la main aux retardataires. Moins de maillons dans la chaîne, c’est moins d’opportunités pour les attaquants et je trouve que c’est plutôt une bonne nouvelle.

Source

Amazon vient d’annoncer un truc qui va faire plaisir à tous les lecteurs d’ebooks. A partir du 20 janvier 2026, les auteurs auto-édités pourront proposer leurs ebooks sans DRM en formats EPUB et PDF via la plateforme KDP (Kindle Direct Publishing). Vous pourrez enfin télécharger vos achats dans un format lisible ailleurs que sur Kindle et ça, ça fait plaisir parce que DeDRM ça commençait à bien faire ^^.

Toutefois, cette décision d’activer ou non le DRM reste entre les mains des auteurs et vu les réactions sur les forums KDP, beaucoup risquent de garder les verrous en place. Pour les titres déjà publiés, rien ne change automatiquement et les auteurs qui le souhaitent devront se connecter au portail KDP et modifier manuellement les paramètres de chaque livre s’ils veulent proposer les versions sans DRM. Et Amazon dans sa grande bonté, prévient que les modifications prendront jusqu’à 72 heures pour être effectives…

Donc si vous désactivez le DRM sur vos ouvrages, tous les acheteurs vérifiés pourront télécharger les fichiers EPUB et PDF. Et si vous réactivez le DRM plus tard, les nouveaux téléchargements dans ces formats seront bloqués. Rassurez-vous quand à vos royalties, elles restent identiques dans les deux cas.

Ce qui est dingue dans cette histoire, c’est qu’Amazon renforce en parallèle le DRM sur ses liseuses Kindle de 11e et 12e génération. Une mise à jour récente a en effet introduit un nouveau système de protection qui empêche les utilisateurs de sauvegarder leurs ebooks, sauf en jailbreakant l’appareil. Ils ont aussi supprimé la possibilité de télécharger et transférer des livres via USB.

Du coup, d’un côté Amazon ouvre une porte aux formats ouverts pour les auteurs indépendants, et de l’autre ils cadenassent encore plus leur écosystème Kindle pour les éditeurs traditionnels. La grande majorité des livres sur le Kindle Store restera donc protégée par DRM…

Bref, pour les lecteurs qui jonglent entre différentes plateformes (Apple Books, Google Play, Kobo et j’en passe), ça pourrait quand même faciliter les choses puisque vous pourrez importer vos achats KDP sans protection dans la liseuse de votre choix.

Mais encore faut-il que les auteurs jouent le jeu ? On verra bien !

Source

Vous vous souvenez de Revolt ? Cette alternative open source à Discord que je vous avais présentée et qui promettait de vous libérer des griffes des plateformes qui monétisent vos données ? Et bien accrochez-vous, parce que Revolt vient de se prendre un joli coup de bambou juridique. Le projet s’appelle maintenant Stoat, et ce n’est pas un choix marketing savamment orchestré.

Le 1er octobre dernier, l’équipe a reçu un cease & desist concernant l’utilisation du nom “Revolt”. Pas de détails sur qui a envoyé la lettre (pour éviter le shitstorm et ne pas plomber les négociations…), mais le message est clair : Changez de nom ou ça va mal se passer ! Et comme personne n’a envie de finir au tribunal pour une histoire de marque déposée, voilà comment Revolt est devenu Stoat du jour au lendemain.

Avant que vous ne paniquiez sachez que vos serveurs sont toujours là. Vos potes vous attendent, vos memes deep-fried n’ont pas disparu et la promesse de base reste intacte à savoir, proposer une plateforme de chat où vous êtes le personnage principal, et pas des actionnaires ou des executives en costard qui se demandent comment monétiser votre life.

Le stoat (la belette en français, animal natif d’Eurasie et d’Amérique du Nord), c’est pas juste un nom pris au hasard. C’est un petit animal rapide, malin, étonnamment puissant et impossible à ignorer. Un peu comme le projet lui-même qui est petit par la taille, mais avec des ambitions de géant. L’équipe promet d’ailleurs une mascotte officielle qui arrive bientôt (je vous laisse deviner ce que ce sera…).

Alors qu’est-ce qui change en vrai ? Le nom, le domaine stoat.chat au lieu de revolt.chat, le handle (@stoatchat), et les liens d’invitation serveur (stt.gg). Pour le reste, absolument rien n’a bougé. Vos identifiants fonctionnent exactement pareil. Vos communautés sont intactes et même l’équipe de développement est restée la même. Ils ont juste des cartes de visites plus classes ^^.

Le projet reste open source , auto-hébergeable et RGPD-copain ce qui veut dire que vous pouvez toujours héberger votre propre instance, contrôler vos données, et éviter le tracking invasif. C’est d’ailleurs tout ce qui fait l’intérêt de Stoat par rapport à Discord.

Voilà, si vous utilisiez déjà Revolt, vous n’avez rien à faire. Continuez comme avant, juste avec un nouveau nom à retenir. Et si vous cherchiez une alternative à Discord qui respecte votre vie privée, Stoat est toujours là, avec la même philosophie et les mêmes valeurs.

Source

Initialement publié le 19/10/2021, mis à jour le 11/12/2025

Si vous pensiez que LEGO se contentait de mouler du plastique comme dans les années 50, vous vous gourez car la marque danoise vient de franchir un cap historique en commercialisant sa toute première pièce fabriquée par impression 3D dans un set grand public.

Et il leur a fallu neuf ans de R&D pour y arriver !

La pièce en question se trouve dans le set Holiday Express Train (10361) de la gamme LEGO Icons, disponible depuis octobre. C’est une mini locomotive bleue avec des roues qui tournent et une petite cheminée qui monte et qui descend quand le train avance. Bref, un petit élément décoratif en apparence, mais qui représente un sacré tournant pour l’entreprise.

Alors pourquoi neuf ans de développement pour une pièce de quelques centimètres ? (qui a dit cmb ?). Parce que LEGO ne rigole pas avec la qualité, les amis ! L’équipe de Billund a dû construire un système de fabrication additive (c’est comme ça qu’on appelle les imprimantes 3D qui ajoutent les couches les unes au dessus des autres) capable de produire des pièces en masse avec le niveau de finition attendu par les fans. Ils utilisent pour cela une technologie de fusion de poudre polymère d’EOS, plus précisément une plateforme P 500 avec résolution Fine Detail, qui utilise un laser CO₂ ultra-fin pour créer des détails impossibles à obtenir avec le moulage par injection classique.

Cela permet d’avoir des mécanismes internes, des assemblages tarabiscotés, bref des trucs qu’un moule traditionnel ne pourrait jamais faire. L’impression 3D ouvre donc des possibilités que LEGO n’avait jamais eues.

Ronen Hadar, le responsable de la fabrication additive chez LEGO, compare ce moment à l’achat de la première machine à injection par les fondateurs dans les années 40. Un changement de paradigme donc et ça va s’accélérer puisque LEGO a déjà doublé la vitesse de production de ses machines et l’objectif pour eux, c’est que ces pièces imprimées en 3D deviennent “ennuyeusement normales” dans leur catalogue, et pas des curiosités de niche pour les collectionneurs.

Voilà, pour l’instant c’est une seule petite pièce dans un set de train de Noël mais si LEGO tient ses promesses, on pourrait voir débarquer des éléments de plus en plus complexes dans les années à venir… Des briques avec des mécanismes intégrés, des formes organiques, et des trucs qu’on n’imagine même pas encore.

Source

Ce matin, je vous parlais de ce mec qui s’est fait arrêter pour avoir effacé son téléphone devant les douaniers américains. Eh ben j’avais pas vu qu’il y avait encore mieux… L’administration Trump vient en effet de publier une proposition qui va vous faire halluciner… !!!!

Pour les ressortissants des 42 pays éligibles au programme ESTA (dont la FRANCE, l’Allemagne, le Royaume-Uni, le Japon…), il faudra bientôt fournir 5 ans d’historique de vos réseaux sociaux pour poser un pied sur le sol américain. Et c’est pas en option, non non non non… C’est une obligation. Le CBP (Customs and Border Protection) l’a annoncé dans le Federal Register hier (le 10 décembre).

Et attendez, c’est pas fini car en plus de vos posts Facebook, tweets et autres stories Instagram de ces 5 dernières années, ils veulent aussi récupérer toutes vos adresses email des 10 dernières années… vos numéros de téléphone (et ceux de votre famille)… les dates de naissance et lieux de résidence de vos proches… ainsi que vos données biométriques quand cela est faisable. Empreintes digitales, scan facial, scan de l’iris, et même votre ADN. On se croirait dans Bienvenue à Gattaca !

Officiellement, tout ça c’est pour “protéger les États-Unis des terroristes étrangers” suite à un décret de janvier 2025 sauf que le problème, comme l’explique un avocat spécialisé en immigration à The Register , c’est que les refus d’entrée ne seront plus basés sur des faits concrets… mais sur l’interprétation de vos opinions. Bref, si vous avez posté un truc qui plaît pas, c’est retour à la case départ. Donc autant vous dire que pour moi, c’est mort !

Et ce qui est marrant, c’est que ces politiques restrictives de connards ont coûté cette année aux États-Unis environ 30 milliards de dollars en perte économique pour le tourisme, et j’imagine que ça va augmenter… Les USA seraient l’un des seuls grand pays à voir ses revenus touristiques baisser. Des winners, j’vous dis !

La proposition est donc ouverte aux commentaires publics jusqu’au 9 février… On verra bien comment ça va se terminer et ce qui sera inscrit dans la loi.

De mon côté, ça fait 22 jours que j’ai décroché des réseaux sociaux et même si c’est dur, j’suis content. Déjà parce que ça fera moins de données à filer aux douaniers, y’aura moins de chiasse mentale qui ira se déverser dans mon cerveau et surtout moins de temps perdu à scroller… Bref, une meilleure santé mentale pour bibi.

Et un grand merci à l’administration américaine qui vient de me donner une raison supplémentaire de pas retourner aux États-Unis de sitôt. Dommage c’est un beau pays quand même.

Source

Discord a trouvé une solution radicale pour gérer son app de ses morts qui bouffe 4 Go de RAM sous Windows 11 (consommation ressentie : 4 millions de Go) : La redémarrer automatiquement quand elle dépasse ce seuil.

Les champions quoi ! Plutôt que de corriger les fuites mémoires, ils ont tout simplement décidé d’intégrer un auto-relaunch dans l’app en douce pour qu’elle se relance toutes les quelques heures.

Donc, si votre Discord a tourné pendant au moins 1 heure, que vous êtes inactif depuis 30 minutes (pas de souris/clavier), et que vous n’êtes pas en vocal ou en visio, l’app se redémarrera automatiquement dès qu’elle atteindra les 4 Go de conso mémoire.

Bien sûr Discord présente ça comme une solution temporaire pendant qu’ils bossent sur le vrai problème, mais je trouve ça marrant de normaliser ce bug en ajoutant une fonctionnalité qui le “contourne” bruyamment.

Le pire dans tout ça, c’est que le problème vient d’une connerie technique assez basique. L’app Discord utilise une bibliothèque appelée “systeminformation” qui appelle PowerShell avec des commandes comme Get-WmiObject Win32_logicaldisk juste pour récupérer des infos système basiques. Mais comme ils passent par Powershell plutôt que d’utiliser les API natives de Windows, ça bouffe de la RAM comme un gros porc.

Comme vous, je me demande pourquoi Discord ne refait pas son app avec un framework plus léger ? Hé bien c’est simple : ils sont coincés ! Parce Discord est bâti sur Electron, et Electron c’est un framework qui embarque un Chromium complet salade tomates oignons dans chaque application. Ça permet aux devs web de créer des apps desktop avec du JavaScript, du HTML et du CSS , mais le prix à payer c’est une app qui pèse 85 Mo à l’installation et bouffe 200-400 Mo de RAM au démarrage.

En théorie Electron permet de créer une app cross-platform facilement. C’est-à-dire d’avoir un seul code pour Windows, Mac et Linux. Mais dans les faits, Discord maintient quand même du code spécifique par plateforme pour les notifications, l’overlay gaming, les raccourcis système, etc. Bref, ils ont tous les inconvénients d’Electron (RAM, taille) sans vraiment profiter de l’avantage du “write once, run everywhere”.

C’est vrai que réécrire Discord en natif coûterait des millions. Faudrait refaire toute l’interface, toutes les fonctionnalités, tous les systèmes de plugins et de thèmes. Surtout que pendant ce temps, l’équipe actuelle continue d’ajouter des fonctionnalités sur leur usine à gaz, ce qui creuse encore plus la dette technique. C’est le sunk cost fallacy version logicielle… en gros, ils ont tellement investi dans Electron qu’ils ne peuvent plus reculer, même si repartir de zéro serait probablement moins coûteux sur le long terme.

Pourtant, des alternatives à Electron existent. Tauri est devenu le framework préféré des devs qui veulent de la performance … On est à 2-3 Mo d’installeur, 30-40 Mo de RAM au repos et il utilise Rust et le webview natif du système plutôt que d’embarquer Chromium. Les apps sont donc légères, rapides, et consomment 10 fois moins de ressources.

Y’a aussi Flutter, React Native Desktop, Qt… des frameworks qui produisent des apps vraiment natives avec des performances dignes de ce nom. Visual Studio Code démontre qu’Electron peut être performant si on l’optimise correctement, mais ça demande un boulot monstre et malheureusement, Discord n’a clairement pas envie de mettre les moyens.

Le vrai problème n’est donc pas technique, c’est économique, car pour 1 dev natif, y’a 8 devs web . Electron permet d’embaucher des devs JavaScript pas cher plutôt que des devs C++/Rust/Swift qui coûtent une blinde… donc, sacrifier la RAM des utilisateurs coûte moins cher que payer des ingénieurs système. Et comme les PC ont maintenant 16-32 Go de RAM, ils se disent que 4 Go pour du chat en ligne, c’est acceptable. Lol.

Bref, tout ça pour dire que Discord normalise le “patch-as-a-feature”, et j’imagine que demain Slack, Teams et tous les autres vont faire pareil. En attendant, jetez un œil à Ripcord et Stoat pour ceux qui veulent un truc mieux.

Source

Si vous me lisez depuis longtemps, vous connaissez forcement le principe des honeypots. Si ce n’est pas le cas, je vous explique. Les honeypots, ce sont ces faux serveurs qu’on laisse traîner pour attirer les pirates afin de mieux étudier leurs techniques. Eh les honey tokens, c’est pareil mais en version credentials. En gros, ce sont des fausses clés AWS, des identifiants SSH bidons, des accès base de données qui n’existent pas… que vous planquez dans votre infra, et si quelqu’un les utilise, vous savez immédiatement que vous avez un problème.

DeceptIQ Starter vient donc de sortir une version gratuite de son service et c’est un outil qu’on devrait tous garder sous le coude. Ça permet de générer des tokens piégés que vous disséminez dans vos repos Git, vos fichiers de config, vos pipelines CI/CD… Et puis vous attendez. Et si un petit malin exfiltre ces credentials et essaie de les utiliser, vous recevez alors une alerte instantanée avec l’IP source, le timestamp, et tout le contexte qu’il faut.

L’astuce, c’est que ça exploite un truc fondamental dans le comportement des attaquants. Quand ils tombent sur une clé AWS dans un repo, leur réflexe c’est de la tester. Ils voient un pattern familier, genre AKIA-quelque-chose, et hop, validation automatique. Sauf que cette fois, c’est eux qui se font piéger…

La version gratuite propose 4 types de tokens : clés AWS IAM (jusqu’à 10), clés AWS Bedrock pour les services IA (2 max), accès S3 (2), et clés SSH (20). C’est pas mal pour commencer et couvrir les cas d’usage les plus courants. Et les tokens pro débloquent des trucs plus exotiques comme les credentials Azure, les API keys CrowdStrike, ou les users MySQL/PostgreSQL.

L’avantage par rapport à un honeypot classique, c’est qu’il n’y a aucun faux positif possible. Si quelqu’un utilise une de ces credentials, c’est forcément suspect puisque normalement, personne ne devrait les utiliser.

Après un attaquant peut très bien pénétrer votre système sans jamais toucher à vos tokens piégés mais ça reste un excellent filet de sécurité supplémentaire. Et combiné avec vos autres outils de détection, ça peut faire la différence entre découvrir une intrusion en quelques minutes ou plusieurs mois après les faits.

Pour ceux qui veulent tester, c’est sur starter.deceptiq.com

En 2016, je vous parlais de Gogs , ce petit serveur Git auto-hébergé super léger qui s’installe en 10 secondes et c’est encore aujourd’hui une alternative sympa à GitHub pour ceux qui voulaient garder leur code chez eux. Mais attention, si vous l’utilisez, il va falloir agir vite parce que là, c’est la catastrophe.

Des chercheurs de Wiz viennent de découvrir que plus de 700 instances Gogs exposées sur Internet ont été compromises via une faille zero-day baptisée CVE-2025-8110. Et le pire, c’est que cette faille est activement exploitée depuis juillet 2025 et qu’il n’existe toujours pas de patch.

L’attaque est vicieuse car un attaquant n’a besoin que d’un compte utilisateur standard pour compromettre votre serveur. Il crée un dépôt, y ajoute un lien symbolique pointant vers un fichier sensible, puis utilise l’API PutContents pour écrire à travers ce lien et modifier le fichier .git/config. Ensuite, en bidouillant la directive sshCommand, il peut alors exécuter n’importe quelle commande sur votre serveur. Voilà, c’est plié !

Cette faille est en fait un contournement d’un ancien correctif (CVE-2024-55947). Les développeurs avaient patché le problème mais avaient oublié de gérer le cas des liens symboliques. Et ce n’est même pas la première fois que Gogs se retrouve dans cette situation puisqu’en juillet 2024, quatre failles critiques avaient été publiées (CVE-2024-39930, CVE-2024-39931, CVE-2024-39932, CVE-2024-39933), toutes avec des scores CVSS de 9.9 sur 10, et au final, les mainteneurs avaient tout simplement… cessé de répondre aux chercheurs. C’est moche !

Sur les 1400 instances Gogs exposées sur Internet identifiées par Wiz, plus de 700 ont donc été compromises. Les attaquants utilisent le framework C2 Supershell pour garder le contrôle des machines et les chercheurs soupçonnent des cybercriminels basés en Asie vu l’usage de cet outil très particulier.

Donc si vous avez un serveur Gogs qui tourne, voici ce qu’il faut faire immédiatement : Vous devez désactiver l’inscription ouverte si vous n’en avez pas besoin (c’est activé par défaut) et mettre votre instance derrière un VPN. Après pour savoir si vous êtes déjà compromis, cherchez des dépôts créés le 10 juillet avec des noms bizarres de 8 caractères.

Après à ce stade, je vous conseille de migrer vers Gitea , le fork de Gogs qui est activement (et mieux) maintenu et qui n’est pas affecté par ces failles. Gogs semble être devenu un projet abandonné niveau sécurité, et c’est vraiment dommage parce que le concept était génial.

Source

Vous pensiez que la fonctionnalité “Effacer toutes les données” de votre smartphone était là pour protéger votre vie privée ? Hé bien aux États-Unis, l’utiliser au mauvais moment peut désormais vous valoir des poursuites fédérales.

Bienvenue dans le pays de la liberté ! (lol)

Samuel Tunick, un activiste d’Atlanta, vient d’en faire les frais le 4 janvier dernier. Alors que les agents des douanes américaines (CBP) voulaient fouiller son Google Pixel, il a eu le réflexe de le wiper. Très mauvaise idée puisque le mec a été arrêté ce mois-ci par le FBI et le DHS, et fait maintenant face à des poursuites pour “destruction de preuves” et “obstruction à la saisie légale d’un bien par le gouvernement”.

Certes, il a fait preuve d’un gros manque de bon sens et l’acte d’accusation déclare que Tunick aurait “sciemment détruit le contenu numérique de son téléphone dans le but d’empêcher le gouvernement à prendre ledit bien sous sa garde”. Oui, effacer vos photos de vacances et vos conversations WhatsApp, c’est dorénavant privé l’Etat d’un bien potentiel.

D’ailleurs, on ne sait même pas pourquoi les douaniers voulaient fouiller son téléphone au départ mais la perquisition devait être effectuée par un officier du “Tactical Terrorism Response Team” (TTRT), une unité secrète du CBP que l’ACLU décrit comme des “équipes qui ciblent, détiennent, fouillent et interrogent des voyageurs innocents”.

Ces TTRT, c’est un truc de ouf ! Depuis leur création en 2015, ils opèrent dans des dizaines de points d’entrée américains et cette unité a détenu et interrogé plus de 600 000 voyageurs, dont un tiers de citoyens américains. Et ces agents peuvent cibler des gens sur la base de leurs “instincts”, sans qu’ils figurent sur une quelconque watchlist.

Car oui, le CBP considère que vos droits à la vie privée disparaissent à la frontière et leurs agents peuvent saisir et fouiller n’importe quel appareil électronique sans mandat ni motif raisonnable. Donc si vous refusez de donner votre mot de passe, ils peuvent confisquer votre téléphone pour analyse forensique. Et bien sûr, les citoyens américains ne peuvent pas être refoulés pour ça, mais les détenteurs de visa ou de green card et les touristes peuvent carrément se voir refuser l’entrée.

Comme d’hab, mes conseils pour voyager sont rasoirs mais faut partir avec un téléphone “propre” dédié aux voyages, stocker ses données sensibles dans le cloud (européen de préférence) plutôt que sur l’appareil, et surtout ne jamais, jamais effacer quoi que ce soit pendant une interaction avec les autorités. Ou alors faites comme moi et restez chez vous ^^. En tout cas, soyez pas con comme Tunick.

Ce dernier a d’ailleurs été libéré mais reste assigné à résidence dans le nord de la Géorgie en attendant son procès. Force à lui. M’enfin, sachez-le, le pays qui a inscrit le 4ème et le 5ème amendement dans sa Constitution considère que protéger sa vie privée équivaut à de l’obstruction.

Quelle belle évolution !

Source