Vous utilisez un VPN ou Tor pour protéger votre vie privée en ligne et vous pensez être tranquille derrière votre petit tunnel chiffré ?

Que nenni les amis ! Car un chercheur vient de montrer qu'il existe une technique pour démasquer les proxies TCP... et ça concerne potentiellement votre VPN aussi. Du coup, même si vous faites tout bien, y'a quand même moyen de vous griller.

Le projet s'appelle Aroma et son principe est redoutable car au lieu de chercher à identifier votre IP ou analyser votre trafic, il se contente de mesurer le temps de réponse de vos paquets TCP. C'est un peu comme si on pouvait deviner que vous portez un déguisement de dinosaure gonflable juste en chronométrant le temps que vous mettez à venir répondre à la porte (vous avez l'image ?).

Car oui, le ratio entre le RTT minimum et le RTT lissé donne un score. Connexion directe ? Ratio entre 0.7 et 1. Proxy TCP ? Ça chute en dessous de 0.3. Et sous 0.1, c'est quasi certain que vous passez par un intermédiaire.

Bref, ça s'appuie sur un principe physique qu'on ne peut pas contourner qui est la vitesse de propagation dans la fibre. Un RTT de 4 millisecondes correspond à environ 400 km max en ligne droite. Ça permet de poser comme une borne théorique sur la distance réelle entre le serveur et son interlocuteur direct.

Et pour les utilisateurs de Tor, la nuance est importante car le site distant voit la connexion avec l'exit node, donc le RTT mesuré côté serveur reflète surtout le chemin serveur ↔ exit node, pas l'ensemble du circuit. Donc c'est OK mais si l'exit node lui-même passe par un proxy TCP, là ça peut poser problème.

Maintenant côté contre-mesures, j'avoue c'est pas simple car cette technique ne repose pas sur des listes d'IP connues ou du fingerprinting de navigateur, donc les méthodes habituelles ne servent à rien. Toutefois en théorie, un proxy physiquement très proche (moins de 1ms de latence ajoutée) pourrait passer sous le radar...

J'ai trouvé cet outil intéressant car ça montre que même avec les meilleures protections logicielles, y'a des contraintes physiques fondamentales qu'on ne peut pas contourner. La bonne nouvelle c'est que pour l'instant, Aroma reste un proof of concept que vous pouvez tester ici , mais bon, rien n'empêche un gouvernement autoritaire (ou pas) de pousser le curseur un peu plus loin...

Quand on commence à s’intéresser sérieusement à sa vie privée en ligne, un nom finit toujours par revenir dans les discussions : ProtonVPN. Vous avez sans doute déjà entendu parler de Proton Mail, ce service de messagerie chiffrée utilisé par les journalistes et les activistes du monde entier. Eh bien, ProtonVPN, c’est leur solution pour sécuriser votre connexion internet globale. Mais au-delà de l’étiquette « made in Switzerland » et de l’aura de sérieux qui entoure les anciens scientifiques du CERN à l’origine du projet, qu’est-ce que ce service vaut réellement dans la vie de tous les jours ? Est-il aussi rapide et polyvalent qu’un NordVPN pour le streaming ?

On ne va pas se mentir, le marché des VPN est saturé de promesses marketing souvent un peu exagérées. Entre ceux qui affirment être les plus rapides du monde et ceux qui jurent ne garder aucun log tout en étant basés dans des juridictions douteuses, il y a de quoi être perdu. Pour cet article, j’ai pris le temps de décortiquer ProtonVPN sous toutes ses coutures. On va parler technique, juridiction, mais aussi ergonomie et prix. Pas de bla-bla inutile, juste du concret pour vous aider à savoir si vous devez, ou non, leur confier vos données.

L’origine de ProtonVPN : du CERN à la vie privée pour tous

L’histoire de ProtonVPN n’est pas celle d’une startup lambda lancée par des experts en marketing. Tout a commencé en 2014, au CERN (l’Organisation européenne pour la recherche nucléaire). Une équipe de scientifiques, menée par Andy Yen, a d’abord créé Proton Mail pour répondre à un besoin vital de communication sécurisée. ProtonVPN est arrivé quelques années plus tard, en 2017, avec la même philosophie : protéger les libertés civiles sur le web.

C’est un point qui me semble important à souligner. Contrairement à beaucoup de ses concurrents dont les structures de propriété sont parfois opaques ou changeantes, Proton appartient à une fondation à but non lucratif partielle, la Proton Foundation. Ça ne veut pas dire qu’ils ne veulent pas gagner d’argent (ils ont des factures à payer comme tout le monde), mais leur modèle économique repose sur les abonnements de leurs utilisateurs, pas sur la vente de données ou la publicité. Forcément, ça donne un peu plus confiance dès le départ.

La juridiction suisse : un vrai rempart ?

ProtonVPN est basé à Genève, en Suisse. Dans le monde du VPN, c’est un argument de poids. Pourquoi ? Parce que la Suisse ne fait pas partie des alliances de surveillance « 5 Eyes », « 9 Eyes » ou « 14 Eyes ». Les lois suisses sur la protection des données sont parmi les plus strictes au monde.

Si une autorité étrangère veut obtenir des informations sur un utilisateur de ProtonVPN, elle doit passer par une procédure judiciaire complexe devant un tribunal suisse. Et même là, comme Proton applique une politique stricte de non-conservation des journaux (no-logs), il y a de fortes chances pour qu’il n’y ait rien à transmettre de toute façon. C’est un aspect rassurant pour ceux qui craignent une surveillance gouvernementale abusive.

Sécurité et confidentialité : le cœur du réacteur

C’est là que ProtonVPN joue ses meilleures cartes. Pour un utilisateur lambda, tous les VPN se ressemblent un peu. Mais quand on regarde sous le capot, il y a des différences majeures.

Une architecture « Secure Core » unique

L’une des fonctionnalités phares, c’est le Secure Core. Normalement, un VPN fait passer votre trafic par un serveur intermédiaire. Si ce serveur est compromis, votre anonymat peut être menacé. Avec le Secure Core, ProtonVPN fait d’abord passer votre trafic par des serveurs ultra-sécurisés situés en Suisse, en Islande ou en Suède, avant de l’envoyer vers le pays de votre choix.

Ces serveurs sont installés dans des centres de données hautement protégés (souvent d’anciens abris militaires). Cela signifie que même si le serveur de destination finale (disons aux USA ou en France) est surveillé, il est techniquement impossible de remonter jusqu’à votre véritable adresse IP car la connexion précédente provient d’un réseau Proton totalement contrôlé. Franchement, pour la sécurité pure, c’est ce qui se fait de mieux actuellement sur le marché grand public.

Open Source et audits indépendants

C’est un point que j’apprécie particulièrement. Toutes les applications ProtonVPN sont open source. Ça veut dire que n’importe quel expert en cybersécurité peut aller sur GitHub, lire le code et vérifier qu’il n’y a pas de « backdoor » ou de failles cachées. Peu de concurrents osent une telle transparence même chez les leaders comme NordVPN, CyberGhost ou ExpressVPN.

En plus de ça, Proton fait régulièrement auditer ses logiciels et sa politique de logs par des cabinets indépendants (comme SEC Consult). Ces rapports sont publics. Quand un service vous dit « on ne garde rien », c’est bien. Quand un expert externe le confirme après avoir fouillé dans les serveurs, c’est beaucoup mieux.

Les protocoles utilisés

ProtonVPN ne s’encombre pas de vieux protocoles peu sécurisés comme le PPTP ou le L2TP. Ils se concentrent sur ce qui marche :

• OpenVPN : Le standard de l’industrie, ultra stable.
• IKEv2 : Très bon pour les mobiles car il gère bien les changements de réseaux (Wi-Fi vers 4G).
• WireGuard : Le petit dernier, très léger et extrêmement rapide. C’est celui que je recommande d’utiliser par défaut.

Ils ont aussi développé un protocole maison appelé Stealth. Il est conçu pour contourner la censure dans les pays comme la Chine ou l’Iran en faisant passer le trafic VPN pour du trafic HTTPS classique. Si vous voyagez dans des zones « difficiles », c’est un outil indispensable.

Performances et vitesse : le test de réalité

Avoir le VPN le plus sécurisé du monde ne sert à rien si charger une page Google prend 10 secondes. Pendant longtemps, ProtonVPN a eu une réputation de service un peu lent. Mais ça, c’était avant

Le VPN Accelerator

Proton a mis en place une technologie qu’ils appellent « VPN Accelerator ». Pour faire simple, c’est un ensemble d’optimisations logicielles qui permettent de dépasser les limitations de vitesse habituelles liées au traitement des protocoles VPN. Sur des connexions longue distance (par exemple se connecter au Japon depuis la France), les gains peuvent aller jusqu’à 400 %.

Dans mes tests, sur une fibre à 1 Gbps, j’atteins régulièrement des débits de 600 à 700 Mbps avec WireGuard sur des serveurs proches. C’est largement suffisant pour de la 4K, du téléchargement intensif ou du jeu en ligne. On sent qu’ils ont investi massivement dans leurs infrastructures ces deux dernières années.

Le réseau de serveurs

ProtonVPN dispose de plus de 6 000 serveurs répartis dans plus de 110 pays. Ce n’est pas le plus gros réseau du marché (certains en ont 10 000), mais la qualité est là. Ils possèdent en propre une grande partie de leurs serveurs critiques, ce qui est un gage de sécurité supplémentaire.

Fonctionnalités avancées et usage quotidien

Utiliser ProtonVPN au quotidien est devenu très plaisant. L’interface a été simplifiée, même si elle garde un petit côté « tableau de bord technique » qui plaira aux amateurs d’informatique.

NetShield : le bloqueur de pubs intégré

Le NetShield est leur outil de filtrage DNS. Il permet de bloquer les publicités, les traceurs et les sites malveillants directement au niveau du VPN. L’avantage, c’est que ça économise de la bande passante et que ça protège tous vos appareils, même ceux où vous ne pouvez pas installer d’extension de navigateur (comme sur smartphone). C’est simple et diablement efficace.

Streaming et P2P

Pendant longtemps, Proton était perçu comme un VPN « sérieux » pas vraiment fait pour Netflix. Ce n’est plus vrai. Avec un abonnement Plus, vous pouvez débloquer la plupart des catalogues :

• Netflix (US, UK, FR, etc.)
• Disney+
• Amazon Prime Video
• Hulu et HBO Max

Pour le P2P (BitTorrent), l’abonnement Plus de ProtonVPN perme de profiter de serveurs dédiés optimisés pour le partage de fichiers. Le débit est constant et il n’y a pas de bridage.

Le Kill Switch et le Split Tunneling

Le Kill Switch est automatique. Si la connexion VPN coupe, votre accès internet est instantanément bloqué pour éviter que votre adresse IP réelle ne « fuite ». C’est un basique, mais il est très bien géré ici.

Le Split Tunneling, lui, vous permet de choisir quelles applications passent par le VPN et lesquelles utilisent votre connexion normale. C’est super pratique si vous voulez sécuriser vos téléchargements tout en gardant une latence minimale sur votre jeu vidéo préféré en parallèle.

Analyse des tarifs et offres de ProtonVPN

ProtonVPN propose une structure tarifaire assez claire, mais attention : les fonctionnalités varient énormément entre l’offre gratuite et l’offre payante.

Tableau comparatif des offres ProtonVPN

Le cas de l’offre gratuite

C’est probablement le meilleur VPN gratuit du marché. Pourquoi ? Parce qu’il n’y a aucune limite de data. Vous pouvez l’utiliser 24h/24 sans jamais être coupé. Par contre, vous ne pouvez pas choisir votre serveur (il vous connecte au plus proche disponible automatiquement) et les vitesses sont bridées en période de forte affluence. C’est parfait pour dépanner ou pour une utilisation basique, mais frustrant pour du streaming ou du P2P

L’abonnement Plus

C’est l’offre qui nous intéresse pour un usage complet. Le prix tourne autour de 3€ / mois si vous vous engagez sur deux ans. C’est un peu plus cher que certains concurrents « low cost », mais la qualité de l’infrastructure et la juridiction suisse justifient selon moi cet écart de prix.

Si vous rechercher en plus un Drive et un système de Mail qui respecte votre vie privée, l’offre Proton Unlimited vous permet de disposer de tous les outils de ProtonVPN pour un prix clairement très intéressant.

Installation et compatibilité : où peut-on l’utiliser ?

ProtonVPN est disponible sur quasiment tout ce qui se connecte à internet :

• Windows et macOS : Des applications très complètes avec une carte interactive.
• Linux : Enfin une vraie interface graphique pour les distributions majeures (Ubuntu, Fedora), ce qui est rare dans le milieu.
• iOS et Android : Des apps bien notées, économes en batterie.
• Android TV et Fire TV : Une application dédiée pour profiter du streaming sur grand écran.
• Routeurs : Support pour DD-WRT, AsusWRT, etc.

Le processus d’installation est un jeu d’enfant. On télécharge, on s’identifie, on clique sur « Quick Connect » et c’est fini. Même ma grand-mère pourrait l’utiliser, et c’est un compliment pour une boîte de scientifiques du CERN.

Points forts et points faibles : le bilan

Pour être totalement honnête, aucun service n’est parfait. Voici ce qu’il faut retenir de ProtonVPN après plusieurs semaines de test intensif.

Ce qu’on adore :

• Confidentialité absolue : La Suisse, l’Open Source et le No-logs audité. Difficile de faire mieux.
• Le Secure Core : Un vrai plus pour les utilisateurs qui ont besoin d’une sécurité maximale.
• L’offre gratuite illimitée : Une rareté sur le marché qui mérite d’être saluée.
• Les performances : Le VPN Accelerator a vraiment changé la donne, c’est devenu très rapide.
• L’écosystème : L’intégration avec Proton Mail, Drive et Pass est un vrai confort.

Ce qu’on aime moins :

• Le prix : Un peu plus élevé que la moyenne du marché.
• Pas de chat en direct 24/7 pour tout le monde : Le support peut parfois être un peu lent à répondre par mail, même si les réponses sont toujours très techniques et précises.
• Interface parfois dense : Trop d’options pour l’utilisateur qui veut juste un bouton « On/Off » sans rien comprendre.

FAQ : Tout ce qu’il faut savoir sur ProtonVPN

Est-ce que ProtonVPN est vraiment gratuit ?

Oui, il existe une version gratuite illimitée en volume de données. Elle est financée par les utilisateurs payants. Elle est cependant limitée en termes de serveurs et de fonctionnalités (pas de streaming, pas de P2P).

ProtonVPN fonctionne-t-il avec Netflix ?

Oui, mais uniquement avec l’abonnement « Plus ». Les serveurs optimisés permettent de débloquer les catalogues de nombreux pays sans message d’erreur.

Est-ce que ProtonVPN ralentit ma connexion ?

Tous les VPN ralentissent un peu la connexion à cause du chiffrement. Cependant, avec le protocole WireGuard et le VPN Accelerator, la perte est minime (souvent moins de 10-15 % sur des serveurs proches).

Peut-on utiliser ProtonVPN en Chine ?

Oui, grâce au protocole « Stealth » qui masque le trafic VPN. C’est l’un des services les plus efficaces pour passer le « Grand Firewall » chinois.

Cet article original intitulé ProtonVPN : Présentation complète du géant de la sécurité suisse a été publié la première sur SysKB.

Keonne Rodriguez, le développeur derrière Samourai Wallet, vient de se prendre 5 ans de taule pour avoir créé un portefeuille Bitcoin qui protégeait un peu trop bien l'anonymat de ses utilisateurs.

Samourai Wallet, c'était un portefeuille Bitcoin open source lancé en 2015 avec comme promesse de permettre aux gens d'utiliser leurs bitcoins sans que le monde entier puisse tracer chacune de leurs transactions. Le truc utilisait une technique appelée le "coin mixing" qui, pour faire simple, mélange les transactions de plusieurs personnes pour brouiller les pistes et rendre le traçage quasi impossible.

Grave erreur car ça les États n'aiment pas !

Et voilà pourquoi en avril 2024, le FBI a débarqué chez Rodriguez à 6h du matin, arme au poing, devant sa femme et ses enfants. L'accusation ? Blanchiment d'argent et exploitation d'une entreprise de transmission monétaire non autorisée. Le Département de la Justice américain affirme que plus de 237 millions de dollars de "produits criminels" seraient passés par Samourai, provenant selon eux du trafic de drogue, de marchés du darknet, de fraudes diverses et même d'un site pédopornographique.

Rodriguez maintient qu'il a juste créé un logiciel, point. Dans l'interview ci-dessous accordée à Reason Magazine juste avant son incarcération ce 19 décembre, il explique qu'il n'a jamais eu accès aux fonds des utilisateurs et qu'il ne savait pas qui utilisait son outil ni pourquoi.

Je sais pas vous, mais moi dès que j'ai un truc à écrire sur mon smartphone, je le dicte. Et que je sois sous Android ou soit iOS, je sais très bien que chaque mot que je prononce part directement sur les serveurs de Google ou Apple. Pourquoi j'ai trouvé FUTO Voice Input , intéressant parce que lui, garde tout sur votre téléphone...

C'est une appli Android qui utilise le modèle Whisper d'OpenAI pour faire de la reconnaissance vocale vraiment précise et ça tourne nickel sur un smartphone moderne. Trois tailles de modèle sont dispo : tiny, base, et small. La base suffira dans 90% des cas, mais vous pouvez basculer sur la small qui est un peu plus grosse, si vous avez un accent à couper au couteau ou si vous parlez dans le métro.

FUTO Voice Input supporte également 16 langues dont le français, l'anglais, l'allemand, l'espagnol, le japonais et plein d'autres et l'appli s'intègre directement comme clavier de saisie vocale Android, du coup elle fonctionne avec n'importe quelle application. Vous pouvez donc l'utiliser avec des claviers comme AnySoftKeyboard ou Unexpected Keyboard . Par contre, oubliez Gboard ou le clavier Samsung qui ont leur propre système verrouillé.

Le projet vient de FUTO, une organisation fondée par Eron Wolf (ex-investisseur de WhatsApp) et Louis Rossmann, le YouTubeur américain connu pour son combat pour le droit à la réparation, y bosse comme directeur de la com. Donc niveau éthique, je pense que c'est OK.

L'appli est dispo sur le Play Store, sur F-Droid, ou en APK direct d'environ 70 Mo. Y'a une version gratuite et une version payante sous forme de licence unique (pas d'abonnement, ouf) et le code source est ouvert et disponible sur GitLab.

Voilà, si vous en avez marre que vos paroles soient analysées par des serveurs à l'autre bout de la planète, FUTO Voice Input c'est une très bonne option !

Merci à PARADOXE_ pour l'info !

• lien nᵒ 1 : Self Hosted Metrics (SHM)
• lien nᵒ 2 : Ackify

{
  "documents_created": 123,
  "active_users": 42,
  "webhooks_sent": 9
}

Commentaires : voir le flux Atom ouvrir dans le navigateur

Vous voulez tester un service, télécharger un truc, ou vous inscrire sur un site que vous n'utiliserez probablement qu'une fois et là, une fois encore, on vous demande votre email. Alors vous pétez un câble, vous retournez votre bureau en hurlant, vous jetez votre tasse de café sur le visage de votre collègue, et vous essayez de vous suicidez en mettant frénétiquement votre langue dans la multiprise. Ne rigolez pas, ça arrive tous les jours !

Heureusement, voici une solution qui va vous permettre de contourner le problème. Ça s'appelle MephistoMail , et c'est un service d'email jetable, anonyme, et qui ne garde aucun log de vos activités. Vous allez sur le site, vous copiez l'adresse temporaire qui vous est attribuée, vous l'utilisez pour vous inscrire quelque part, et hop, les mails de confirmation arrivent dans votre inbox temporaire. Une fois que c'est fait, vous fermez l'onglet et tout disparaît.

Vous allez me dire, le concept n'est pas nouveau, y'a des dizaines de services de temp mail qui existent depuis des années. Mais MephistoMail se distingue par son approche "privacy first" assez radicale. Pas de tracking, pas de logs, pas de collecte de données et surtout l'inbox est vraiment volatile et peut être supprimée à tout moment par le système.

Du coup, y'a quelques limitations à connaître avant de vous lancer. Ce service est prévu principalement pour recevoir des emails, pas pour en envoyer. Certains sites ont également commencé à bloquer les domaines de temp mail connus, donc ça marchera pas partout. Et surtout, ne l'utilisez jamais pour des trucs sensibles comme votre banque ou des services critiques. Si vous perdez l'accès à l'inbox avant d'avoir récupéré votre lien de confirmation, c'est game over.

L'utilisation est par contre hyper simple et surtout y'a pas de compte à créer, pas de mot de passe à retenir, bref pas d'emmerdes.

Voilà, si vous en avez marre de donner votre vraie adresse mail à n'importe qui et de vous retrouver noyé sous les newsletters non désirées, MephistoMail fera bien le taf. Et en plus c'est gratuit !

Bon bah voilà, tout le monde peut redescendre en pression après cette polémique quand Mozilla a annoncé qu'il allait intégrer des fonctionnalités IA dans Firefox. C'est vrai que les forums Reddit sont entrés en fusion, les puristes du logiciel libre en mode révolution, et je ne vous parle pas des menaces de migration vers je ne sais quel fork obscur... Hé bien Mozilla vient de calmer le jeu un bon coup en annonçant un "kill switch" capable de désactiver complètement toutes les fonctionnalités IA.

Ouf...

Le nouveau PDG Anthony Enzor-DeMeo l'a annoncé clairement : Il y aura un moyen simple et définitif de désactiver toutes les fonctions IA de Firefox. Ce truc arrive au premier trimestre 2026 et surtout, une fois activé, aucune fonction IA ne reviendra se glisser en douce après une mise à jour.

C'est définitif.

Ils ont aussi confirmé que toutes les fonctionnalités IA seraient en opt-in. Pour les non-anglophones du fond de la salle, ça veut dire que vous devrez les activer vous-même, car elles ne seront pas activées par défaut. C'est la base du respect utilisateur, mais comme c'est devenu tellement rare, il faut le préciser.

Pour ceux qui utilisent vraiment Firefox au quotidien (comme moi) et qui flippaient de voir leur navigateur préféré se transformer en assistant IA bavard (pas comme moi), vous pouvez souffler. Le kill switch arrive, l'opt-in est confirmé, et Mozilla a visiblement compris que forcer des fonctionnalités dont les gens ne veulent pas c'est le meilleur moyen de les faire fuir.

À noter également que pour les plus radicaux, le fork Waterfox a annoncé qu'il n'intégrerait tout simplement aucune IA, ni maintenant ni dans un futur... C'est donc une alternative pour ceux qui préfèrent la méthode "pas de bouton off parce qu'il n'y a rien à éteindre".

Voilà, affaire classée, on peut passer à autre chose.

Source

Vous cherchez une app de prise de notes que vous pouvez héberger vous-même, sans dépendre d'un cloud propriétaire qui va analyser vos pensées les plus intimes pour vous balancer de la pub ciblée ?

Ça tombe bien car j'ai reçu un mail d'un lecteur, Tim, qui bosse dessus depuis des années et qui vient de la partager en open source. Alors je fais mon taf et je vous en parle !

Ça s'appelle Poznote , et c'est une application web légère pour la prise de notes. Le truc cool, c'est que vous gardez la main sur vos données puisque tout tourne chez vous. Pas de cloud tiers, pas de tracking, pas de "on analyse vos notes pour améliorer notre IA". Vos notes restent vos notes.

Côté fonctionnalités, y'a de quoi faire puisque c'est un éditeur de texte enrichi, avec support Markdown, une recherche super puissante, un système de tags, le support des pièces jointes, des espaces de travail multiples... Et y'a aussi des trucs plus originaux comme l'intégration d'Excalidraw pour dessiner des schémas et les diagrammes Mermaid pour les devs qui aiment visualiser leurs architectures. Et bien sûr, mode sombre parce qu'on est en 2025 quand même et que cette année était bien bre-som quand même !

Ce projet tourne avec PHP 8, SQLite pour la base de données, et un peu de JavaScript vanilla avec React juste pour le composant Excalidraw. Et les notes sont stockées en HTML/Markdown avec les métadonnées dans SQLite et les pièces jointes dans le système de fichiers.

Pour l'installation, c'est du Docker comme d'hab, donc vous récupérez l'image, vous configurez quelques variables d'environnement, et hop ça tourne sur le port 8040 avec les credentials par défaut admin/admin123! . Le projet supporte même les instances multiples si vous voulez séparer vos notes perso de vos notes pro sur le même serveur.

Y'a aussi une API REST complète avec documentation Swagger intégrée pour ceux qui veulent automatiser des trucs ou intégrer Poznote dans leur workflow. Vous pouvez aussi partager des notes publiquement si besoin, créer des listes de tâches, et y'a un système de corbeille pour récupérer ce que vous avez supprimé par erreur.

Le backup est également intégré directement dans l'app avec export complet de vos données et vous pouvez même consulter vos notes offline une fois exportées. Et tout le code est sous licence MIT.

Voilà, si vous voulez tester avant de vous lancer, y'a une démo dispo sur poznote-demo.up.railway.app avec les identifiants poznote/poznote. Ça vous donnera une idée de l'interface et des fonctionnalités sans rien installer.

Bref, si vous cherchez une solution de notes auto-hébergée incroyable, Poznote c'est gratuit, c'est open source, et ça respecte votre vie privée. C'est le top du top alors je dis un grand bravo à Tim pour le boulot accompli !!

Vous avez des dossiers sensibles que vous aimeriez chiffrer avant de les balancer sur un cloud ou un disque externe ? Ça tombe bien, je vous ai trouvé un petit outil en Rust qui va vous plaire.

Obsidenc , c'est son nom, est un utilitaire de chiffrement que son créateur qualifie de "paranoid-grade". Et après avoir jeté un œil au code source, je peux vous dire que c'est pas du marketing puisque ce truc archive votre répertoire en TAR et le chiffre avec XChaCha20-Poly1305, un algorithme AEAD moderne qui assure à la fois la confidentialité et l'intégrité de vos données.

Côté dérivation de clé, ça utilise Argon2id conforme à la RFC 9106. Pour les non-initiés, Argon2id c'est l'algo qui a gagné le Password Hashing Competition et qui est spécifiquement conçu pour résister aux attaques par GPU et circuits spécialisés (ASIC). L'outil adapte automatiquement les paramètres à votre machine en utilisant 85% de votre RAM disponible (entre 512 Mo minimum et 2 Go maximum) afin de rendre le brute-force astronomiquement coûteux. Et si vous avez moins de RAM dispo, il compense en augmentant le nombre d'itérations.

C'est du code Rust bien propre qui utilise les bibliothèques cryptographiques RustCrypto (bien auditées par la communauté) et le code implémente des bonnes pratiques de sécurité comme le memory locking (mlock sur Unix, VirtualLock sur Windows) pour éviter que vos clés se retrouvent dans le swap, et le zeroize pour effacer la mémoire sensible après utilisation.

Vous compilez ça avec cargo build --release, puis pour chiffrer un dossier :

obsidenc encrypt ~/mon-dossier ~/mon-dossier.oen

Pour déchiffrer :

obsidenc decrypt ~/mon-dossier.oen ~/mon-dossier-dechiffre

Le mot de passe doit faire minimum 20 caractères (pas de négociation possible, déso pas déso) et vous devez le confirmer deux fois. Vous pouvez aussi ajouter un fichier de clé en plus du mot de passe pour du 2FA old-school.

L'outil a aussi quelques protections défensives sympas. Par exemple, il refuse les symlinks (vecteur d'attaque classique), limite le nombre de fichiers à 1 million et la longueur des chemins à 4096 caractères pour éviter les zip bombs. Sur les systèmes Unix, il vérifie même que votre fichier de clé n'est pas lisible par tout le monde (chmod 600 obligatoire).

Cet outil part du principe qu'un attaquant peut avoir accès à votre fichier chiffré et dispose de temps illimité pour tenter de le casser, du coup, tout est conçu pour rendre l'attaque offline la plus douloureuse possible.

Bref, si vous cherchez un moyen de sauvegarder vos dossiers sensibles de manière vraiment sécurisée avant de les balancer sur un cloud ou un disque externe, obsidenc fait le taf et en plus c'est open source (MIT/Apache 2.0) !

Vous utilisez une extension VPN gratuite sous Chrome ou Edge pour "protéger votre vie privée" ? Cool story les bro, mais si je vous disais que cette même extension enregistre peut-être toutes vos conversations avec ChatGPT, Claude, Gemini et compagnie pour les revendre à des courtiers en données (les fameux data brokers) ?

Hé bien c'est exactement ce que viennent de découvrir les chercheurs en sécurité de Koi qui ont mis le doigt sur 4 extensions très populaires comptabilisant plus de 8 millions d'utilisateurs au total : Urban VPN Proxy (6 millions à elle seule), 1ClickVPN Proxy, Urban Browser Guard et Urban Ad Blocker qui aspirent silencieusement tout ce que vous tapez dans vos chat IA préférées.

Le truc vicieux, c'est que ces extensions ne se contentent pas de regarder votre historique de navigation comme les trackers classiques. Non non non, elles injectent du code JavaScript directement dans les pages des chatbots IA quand vous les visitez et ça modifie les fonctions de base du navigateur (fetch() et XMLHttpRequest pour les techos) pour intercepter absolument tout ce qui passe entre vous et l'IA.

Vos prompts, les réponses du chatbot, les métadonnées de conversation, tout est aspiré et envoyé vers les serveurs analytics.urban-vpn.com et stats.urban-vpn.com. Et le pire c'est que cette collecte continue en arrière plan même quand le VPN est désactivé. Bye bye tous vos secrets.

Derrière ces extensions se cache Urban Cyber Security Inc., une boîte affiliée à BiScience, un courtier en données bien connu des chercheurs en sécurité. Ces gens-là sont passés de la collecte d'historique de navigation à la collecte de conversations IA complètes, soit un niveau de sensibilité bien supérieur vu ce qu'on peut raconter à une IA (questions médicales, code propriétaire, problèmes personnels, données financières...).

Et devinez quoi ? Ces extensions arboraient fièrement le badge "Featured" sur le Chrome Web Store et le Microsoft Edge Add-ons, censé garantir que Google et Microsoft ont vérifié leur sécurité. Nos deux géants américains ont donc validé des extensions qui violent directement leur propre politique d'utilisation limitée des données utilisateurs.

Bref, si vous avez installé une de ces extensions et utilisé ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok ou Meta AI depuis juillet de cette année, partez du principe que toutes ces conversations sont maintenant sur les serveurs d'un data broker et potentiellement revendues à des annonceurs.

La morale de l'histoire, c'est que dans le cas des VPN gratuits, le produit c'est littéralement tout ce que vous faites en ligne. Donc si vous voulez vraiment protéger votre vie privée avec un VPN, mieux vaut payer quelques euros par mois pour un service sérieux comme NordVPN ou Surfshark qui n'a pas besoin de revendre vos données pour survivre.

Vous en avez marre d'être coincé entre Android et iOS ? Genre vraiment marre, au point de vouloir un truc complètement différent ? Hé bien les Finlandais de Jolla sont de retour avec Sailfish OS 5 et un nouveau téléphone prévu pour 2026. Et comme leur campagne de financement participatif a explosé les objectifs en moins de deux semaines, je me suis dit que ça méritait bien un petit article.

Alors faut remonter un peu dans le temps pour comprendre d'où sort ce bazar. Sailfish, c'est en fait le descendant indirect de Maemo, le système que Nokia avait créé pour son Nokia 770 en 2005 et dont je vous ai parlé hier. Après Maemo, y'a eu Meego, puis Mer, et finalement Sailfish quand d'anciens employés de Nokia ont lancé Jolla en 2012. Et la version 1.0 est sortie en février 2014 donc je vous parle quand même d'un projet qui a plus de 10 ans d'existence et qui visiblement refuse de mourir.

De son côté, l'histoire de Jolla c'est un peu les montagnes russes. Premier téléphone en 2013, bon succès initial, les gens étaient contents. Puis une tablette en 2014 financée par crowdfunding qui a mal tourné avec des problèmes financiers ce qui a fait que certains contributeurs n'ont jamais reçu leur appareil. Aïe aïe. L'entreprise a même envisagé d'abandonner le hardware pour se concentrer uniquement sur l'OS. Puis en 2015, les Russes se sont intéressés au projet comme alternative aux systèmes américains et puis en 2023, une nouvelle structure baptisée Jolla Mobile Oy a repris le flambeau. Bref, c'est du Linux qui a survécu à tout.

Maintenant parlons de ce nouveau téléphone, le Jolla. La campagne de réservation anticipée ciblait 2000 personnes avec un dépôt de 99 € pour janvier 2026 et ils se sont retrouvés avec plus de 5000 réservations enregistrées avant même janvier. Le prix final sera évidemment plus élevé, entre 579 € et 699 €, ce qui reste raisonnable pour un smartphone avec ces specs.

Et justement, côté specs, ils ont fait les choses bien. Un écran AMOLED de 6,36 pouces, de la 5G, 12 Go de RAM avec 256 Go de stockage extensible via microSD. Et le petit plus que j'apprécie, une batterie de 5500 mAh remplaçable par l'utilisateur. Oui, remplaçable, comme dans le bon vieux temps. Y'a aussi un commutateur de confidentialité logiciel pour couper le micro, le Bluetooth ou les apps Android. Par contre, pas de prise jack audio pour votre vieux casque mais de mon point de vue, c'est pas une grosse perte.

Côté interface, Sailfish OS 5 fait vraiment différent de tout ce qu'on connait. On navigue par balayage gauche-droite entre deux écrans principaux, l'un pour les messages et notifications, l'autre comme commutateur d'applications avec des tuiles (coucou Windows Phone) et un long balayage rapide vers le bas ouvre un panneau de paramètres. Le design est également très minimaliste avec des petits points blancs lumineux pour les indicateurs d'état. Faut s'y habituer mais c'est clairement pas du Android recouvert d'une surcouche.

Et la grande question que vous vous posez tous : Les APPS ?

Hé bien Sailfish inclut une couche AppSupport qui permet de faire tourner des applications Android, donc vous avez accès à trois stores différents : le Jolla Store officiel, StoreMan pour OpenRepos, et Chum GUI. Plus F-Droid et Aurora Store si vous voulez vraiment tout avoir. Des apps natives existent évidemment pour l'essentiel comme les emails, le calendrier, les contacts, ou encore la navigation.

D'après les premiers journalistes qui l'ont testé , y'a encore des petits soucis... Par exemple Google Maps et Here ne fonctionnent pas, le clavier n'a pas de saisie par glissement, les outils de stockage cloud sont limités et l'interface reste un peu "idiosyncratique" comme ils le disent poliment (en gros ça veut dire qu'elle est un peu cheloue).

Vous pensiez que les apps de messagerie alternatives à WhatsApp c'était pour échapper à la surveillance des États ? Hé bien en Russie et dans les territoires ukrainiens occupés, c'est exactement l'inverse ! En ce moment, y'a une app qui s'appelle MAX, qui est présentée comme le "WhatsApp russe", et qui depuis le 1er septembre de cette année, est préinstallée de force sur tous les téléphones vendus.

Cette app c'est le rêve de tout dictateur en culottes courtes et installer MAX sur son téléphone, c'est donner volontairement le contrôle total de son appareil au FSB (les services de sécurité russes). Et quand je dis total, c'est accès à toutes vos données personnelles, vos contacts, vos messages, votre localisation... Selon des experts IT, l'app activerait même la caméra automatiquement toutes les 10 à 15 minutes pour prendre des photos à l'insu de l'utilisateur. Un véritable "espion de poche". Le KGB soviétique aurait tellement kiffé avoir ce truc à leur grande époque.

Et c'est pas fini puisque dans les territoires ukrainiens occupés, notamment dans les oblasts de Zaporizhzhia et Kherson, MAX est devenu un véritable test de loyauté. Aux checkpoints, l'absence de l'app sur un smartphone éveille les soupçons et déclenche des fouilles approfondies. Les autorités d'occupation ont même obligé tous leurs employés à l'utiliser, et les écoles communiquent exclusivement via MAX avec les parents. Histoire de vous faire "rigoler" un bon coup, sachez que même certains fonctionnaires de l'occupation seraient réticents à l'installer, bien conscients des risques...

Et depuis le 1er décembre, ils ont poussé le bouchon encore plus loin en interdisant la vente de cartes SIM non-russes, du coup, pour utiliser MAX, faut un numéro de téléphone russe ou biélorusse. Et comme je vous l'ai dit , WhatsApp, Telegram et compagnie sont progressivement bloqués, donc les possibilités de communiquer librement commencent à fondre comme neige au soleil. L'objectif affiché pour Vladoche et ses copains, c'est de couper complètement les Ukrainiens des territoires occupés du reste du monde et des sources d'information fiables.

Reporters sans Frontières a d'ailleurs dénoncé MAX comme un "outil de contrôle numérique" qui érige un véritable "rideau de fer numérique", isolant les citoyens des territoires occupés de toute information fiable. Et la dictature prévoit d'aller encore plus loin car bientôt, l'app sera obligatoire pour accéder aux services bancaires en ligne et aux services publics. C'est un véritable rideau de fer numérique qui isole les populations.

L'app revendique 50 millions d'utilisateurs, mais bon, quand t'as pas le choix et que c'est préinstallé de force sur ton téléphone, est-ce que ça compte vraiment comme des "utilisateurs" ? Souvenez-vous de TousAntiCovid, loool.

Bref, si vous voulez voir à quoi ressemble la surveillance de masse version 2025, MAX c'est l'exemple parfait et c'est une bonne piqûre de rappel sur pourquoi il faut continuer à se battre pour garder des messageries chiffrées et indépendantes...

Source

Edit du 22/12/2025 : Bonne nouvelle ! Le développeur a finalement récupéré son compte. Un employé d'Apple Executive Relations basé à Singapour l'a contacté pour lui annoncer que tout était réglé. Il s'avère que la carte cadeau qu'il avait essayé d'utiliser avait déjà été "consommée" d'une manière ou d'une autre (probablement du tampering classique de carte cadeau), et son compte s'est retrouvé flaggé à cause de ça. Apple lui a conseillé de n'acheter des cartes cadeaux que directement chez eux et quand il a demandé si ça signifiait que leur chaîne d'approvisionnement (Blackhawk Network, InComm et autres revendeurs) était peu fiable, Apple a refusé de commenter. Comme quoi, même après 25 ans de fidélité, faut quand même gueuler un bon coup pour que ça bouge...

Vous vous souvenez de mes conseils sur les backups ? Ceux que je vous rabâche régulièrement depuis des années ? Hé bien voici une histoire qui va vous donner envie de les suivre une bonne fois pour toutes.

Dr Paris Buttfield-Addison, c'est un développeur Apple depuis 25 ans. Le mec a écrit plus de 20 bouquins sur Objective-C et Swift, il co-organise le plus ancien événement développeur Apple non-officiel... Bref, c'est pas un random qui a téléchargé une app météo une fois. C'est un évangéliste Apple depuis 30 ans.

Et bien du jour au lendemain, son compte Apple ID a été fermé. Sans explication. Sans recours. Sans rien.

L'élément déclencheur ? Il a essayé de racheter une carte cadeau Apple de 500 dollars pour payer son abonnement iCloud+ de 6 To. Le code a foiré, le vendeur lui a proposé un remplacement, et quelques temps après... boom, compte verrouillé.

Résultat : environ 30 000 dollars de matos Apple devenu inutilisable, des milliers de dollars de logiciels et médias achetés auxquels il n'a plus accès, plus d'iMessage, et surtout des téraoctets de photos de famille qu'il ne peut plus récupérer. 25 ans de souvenirs numériques, volatilisés.

Le support Apple ? Réponse standard : fermé pour "conformité avec les conditions". Pas d'explication. Zéro escalade possible. Et comme conseil : créer un nouveau compte. Sauf que ça pourrait aussi le faire bannir ce nouveau compte. Logique Apple...

Et le pompon ? On lui a également suggéré de se présenter physiquement au siège australien d'Apple. Comme si le mec allait prendre un billet d'avion pour aller plaider sa cause en personne. C'est difficilement compréhensible comme réponse venant d'une boîte qui vaut 3000 milliards de dollars.

Le truc, c'est que cette histoire peut arriver à n'importe qui. Que ce soit chez Apple, Google ou Microsoft, vous êtes à la merci d'un algorithme qui décide un beau matin que votre compte est suspect. Et bonne chance pour trouver un interlocuteur prêt à mouiller sa chemise pour vous. Spoiler : y'en a pas.

Moi-même j'ai eu tellement de problèmes de synchro avec iCloud au fil des années que j'ai perdu des fichiers. C'est de la merde, vraiment. Optez pour un truc mieux si vous le pouvez.

Du coup, comment éviter ça ? L'idéal c'est l'auto-hébergement si vous avez le temps et les compétences. Sinon, au minimum, faites des backups réguliers de vos données. Pour Apple Notes par exemple, y'a un outil qui s'appelle Exporter qui permet d'exporter toutes vos notes vers du Markdown ou du HTML. Comme ça le jour où Tim Cook décide que votre tronche lui revient pas, vous aurez au moins une copie de vos données quelque part.

Bref, ne faites jamais confiance à 100% à ces plateformes avec vos données les plus précieuses. Elles peuvent vous couper l'accès du jour au lendemain, et vous n'aurez aucun recours...

Source : hey.paris