Il y a des combats comme cela auxquels pas grand monde ne pense et qui pourtant sont très importants. Je parle évidemment de la lutte contre le chaos du texte non structuré. Si vous avez déjà essayé d'extraire des données propres d'un tas de PDF (après OCR), de rapports ou de notes griffonnées, vous voyez de quoi je parle : c'est l'enfer ! (oui j'aime me faire du mal en tentant des regex impossibles).

Heureusement, Google a lâché début janvier 2026 une petite pépite en open source (même si c'est pas un produit "officiel") qui s'appelle LangExtract . C'est une bibliothèque Python qui utilise la puissance des LLM pour transformer vos documents textuels en données JSON bien rangées.

Exemple d'extraction sur le texte de Roméo et Juliette ( Source )

Ce qui fait que LangExtract sort du lot par rapport à d'autres outils comme Sparrow , c'est surtout son système de Source Grounding. En gros, chaque info extraite est directement liée à sa position exacte dans le texte source. Ça facilite énormément la vérification et la traçabilité puisque vous pouvez voir visuellement d'où vient la donnée grâce à un système de surlignage automatique.

Sous le capot, l'outil est optimisé pour les documents à rallonge (le fameux problème de l'aiguille dans une botte de foin). Il utilise des stratégies de découpage de texte et de passes multiples pour améliorer le rappel et s'assurer que le maximum d'infos soit capturé.

La visualisation interactive permet de valider les données en un clin d'œil ( Source )

Et cerise sur le gâteau, il permet de générer un fichier HTML interactif pour visualiser les milliers d'entités extraites dans leur contexte original. À la cool !

Côté installation, c'est hyper fastoche :

pip install langextract

import langextract as lx

# 1. On définit les règles du jeu
prompt = "Extraire les noms de personnages et leurs émotions."

# 2. On donne un exemple (few-shot) pour guider le modèle
examples = [
 lx.data.ExampleData(
 text="ROMEO. But soft! What light...",
 extractions=[lx.data.Extraction(extraction_class="character", extraction_text="ROMEO", attributes={"emotion": "wonder"})]
 )
]

# 3. On lance l'extraction (nécessite une clé API ou Ollama)
results = lx.extract(
 text_or_documents="votre_texte_brut_ici",
 prompt_description=prompt,
 examples=examples,
 model_id="gemini-2.5-flash"
)

# 4. On sauvegarde et on génère la visualisation HTML
lx.io.save_annotated_documents(results, output_name="results.jsonl")
html_content = lx.visualize("results.jsonl")
with open("view.html", "w") as f:
 f.write(html_content)

Vous pensiez avoir tout vu en matière de projets geeks complètement déjantés ?

Hé bien accrochez-vous à vos slips, parce que des chercheurs, menés par le neuro-ingénieur Viktor Tóth, ont réussi à faire "jouer" des rats à DOOM. Pas en appuyant sur des boutons au hasard, non non, mais avec un casque de réalité virtuelle sur mesure, une boule de déplacement sous leurs pattes, et même une gâchette pour tirer sur les démons !

Je vous jure que c'est vrai. Le projet s'appelle " Rats Play DOOM " et c'est à la croisée de la neuroscience, de la robotique et du game design. L'idée de base, c'est de prouver qu'on peut entraîner des rongeurs à interagir avec des environnements virtuels contrôlés basés sur un moteur de jeu. Et quitte à faire ça, autant le faire avec le jeu le plus iconique des années 90.

Gros plan sur le casque VR panoramique pour rongeurs ( Source )

Le setup est assez dingue. Le rat est équipé d'un casque panoramique intégrant un écran AMOLED pliable qui offre 180 degrés de champ horizontal et 80 degrés de vertical. Il est installé sur une boule sphérique qui détecte ses mouvements via des capteurs, un peu comme une trackball géante. Quand il marche, court ou tourne, ça se traduit directement en déplacements dans le jeu.

Et pour ceux qui se demandent comment un rat peut vraiment dégommer des monstres... Hé bien oui, car Viktor a même fabriqué un levier custom avec un encodeur rotatif que le rat actionne avec ses pattes pour faire feu. Donc oui, les rats tirent sur des démons avec leurs petites papattes !

Le nouveau setup modulaire V2 ( Source )

Pour motiver nos petits rongeurs gamers, y'a évidemment un système de récompense. À chaque action réussie, le système distribue 10 microlitres d'eau sucrée via un solénoïde. C'est pas grand-chose mais pour un rat, c'est le graal. Au bout de deux semaines d'entraînement environ, les rats Todd, Kojima et Gabe (oui, ils ont des noms de légendes du jeu vidéo, on adore l'humour des chercheurs) ont réussi à naviguer dans l'environnement virtuel. Et là, ils ont même appris à déclencher le mécanisme de tir.

Bon, faut être honnête, ils n'ont pas encore terminé le jeu. L'équipe explique que les rats ont vieilli avant de pouvoir passer à l'entraînement avancé. Du coup, c'est plus une preuve de concept qu'un speedrun, mais quand même, c'est impressionnant. On est loin du simple contrôle neuronal de base, là car c'est une vraie interaction avec un moteur de jeu.

Setup V1 du projet Rats Play DOOM ( Source )

Côté technique, tout tourne sur un combo Raspberry Pi pour l'acquisition des capteurs en temps réel, et un PC qui fait tourner une version modifiée de ViZDoom. Le tout communique en TCP et hop, c'est géré par un script Python central. Et comme si ça suffisait pas, le projet est entièrement open source. Vous pouvez récupérer le code, les schémas électroniques et même les fichiers 3D pour imprimer les pièces sur le repo GitHub. Donc si vous avez un rat de compagnie et beaucoup trop de temps libre...

Le projet en est à sa deuxième version. Cette V2 est plus modulaire, avec des composants imprimables en 3D et une électronique plus fiable. C'est typiquement le genre de bidouille qui me rappelle pourquoi j'aime tant farfouiller dans les projets Raspberry Pi les plus improbables ^^.

D'ailleurs, si vous êtes fan de portages improbables, vous vous souvenez peut-être de cet article sur DOOM Retro , mais là avec les rats, on est clairement passé au niveau supérieur.

Bref, on vit vraiment une époque formidable où des gens financent des projets pour apprendre à des rats à buter des démons en VR. Et j'adore l'idée !

Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !

La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.

La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.

La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.

Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.

Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.

Pour ceux qui veulent creuser le fonctionnement des programmes de bug bounty , c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.

Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !

Source

TikTok vient de lâcher une info qui va faire grincer des dents tous ceux qui comme moi tiennent à leur vie privée. Le réseau social chinois va prochainement déployer dans l'Union européenne une nouvelle technologie d'intelligence artificielle dont le but est d'estimer si un compte appartient à un utilisateur de moins de 13 ans en analysant... votre comportement.

Fini le simple formulaire où l'on tape une date de naissance bidon, TikTok passe à la vitesse supérieure sous la pression des régulateurs européens. Le système va donc scanner vos infos de profil, les vidéos que vous postez, mais surtout des "signaux comportementaux".

En gros, l'algorithme va analyser comment vous interagissez avec l'app pour prédire votre tranche d'âge. Mais rassurez-vous, si l'IA vous siffle parce qu'elle pense que vous n'avez pas l'âge requis, votre compte ne sera pas banni instantanément, mais envoyé à des modérateurs humains spécialisés là dedans pour une vérification manuelle.

Après même si ça part d'une bonne intention, l'enfer en est pavé et le souci ici c'est que l'analyse comportementale sera constante. Donc si vous avez des centres d'intérêt un peu "jeunes" ou si vous utilisez l'app d'une certaine manière, vous pourriez vous retrouver flaggé par erreur. À l'inverse, un gamin un peu malin pourrait adopter un comportement "adulte" pour passer sous les radars. C'est le jeu du chat et de la souris, mais avec vos données personnelles comme mise de départ.

Et quid de la confidentialité ? Même si TikTok a travaillé en concertation avec la Commission irlandaise de protection des données (DPC) pour que le système respecte les règles de l'UE, ByteDance reste sous surveillance étroite. Je me demande où seront stockés ces signaux comportementaux et surtout à quoi ils serviront d'autre ? De mon point de vue, le risque de dérive vers un profilage publicitaire encore plus intrusif est réel avec ce genre de process...

Maintenant, si votre compte est bloqué et que vous voulez contester, TikTok proposera plusieurs options de confirmation d'âge en backup tels que :

1. Envoyer un selfie accompagné d'une pièce d'identité.
2. Effectuer une vérification par carte bancaire (via un micro-débit temporaire).
3. Utiliser un service tiers d'estimation de l'âge par analyse faciale.

En tout cas, je trouve marrant que pour "protéger les mineurs", on finisse toujours par demander encore plus de données biométriques ou bancaires à tout le monde. Données qui vont encore se retrouver sur BreachForums ou je ne sais où d'ici quelques années...

Source

Le marché des batteries externes est devenu une véritable jungle où il est parfois compliqué de distinguer l'innovation du simple gadget marketing. Pourtant, de temps en temps, un produit arrive sur mon bureau et coche absolument toutes les cases, au point de rendre obsolète tout ce que j'ai pu utiliser auparavant.

C'est exactement le cas de la KUXIU S3 , une batterie magnétique de 10 000 mAh qui ne se contente pas de recharger votre téléphone, mais qui embarque les toutes dernières technologies comme le Qi2.2 et surtout une conception "Solid-State" franchement rassurante. Si vous cherchiez le compagnon de route idéal pour vos iPhone 16, 17 ou même votre iPad, vous pouvez arrêter vos recherches ici, c’est la batterie externe ultime.

La première chose à noter avec cette KUXIU S3, c'est donc l'intégration de la technologie de batterie à l'état semi-solide. Pour faire simple, contrairement aux batteries lithium-ion classiques qui contiennent un électrolyte liquide potentiellement instable, celle-ci utilise une structure semi-solide. Concrètement, ça veut dire une densité énergétique bien supérieure, une meilleure dissipation de la chaleur et surtout une sécurité améliorée face aux risques de gonflement ou d'incendie. C'est un argument de poids si vous voyagez souvent ou si vous êtes du genre à laisser votre batterie au fond d'un sac en plein été. En plus, cette technologie permet de tripler la durée de vie de l'accessoire, promettant plus de 1000 cycles de charge, là où la concurrence s'essouffle parfois après 300 ou 400 cycles. C'est un investissement sur la durée, et c'est exactement ce qu'on attend d'un bon accessoire tech.

Là où la KUXIU S3 met aussi tout le monde d'accord, c'est sur la vitesse de charge. Elle est l'une des rares sur le marché à être certifiée Qi2.2, ce qui lui permet de délivrer une puissance de 25W en sans-fil pour les derniers smartphones comme les iPhones récents. C'est assez simplement fou de voir enfin la jauge de batterie remonter aussi vite sans aucun câble branché, atteignant des performances quasi similaires à une charge filaire classique. Bien entendu, si vous avez un modèle plus ancien comme un iPhone 12 ou 15, elle s'adaptera parfaitement en 15W, ce qui reste très confortable. La force des aimants N52 assure que le téléphone reste littéralement collé à la batterie.

L'ergonomie a également été pensée pour ceux qui, comme moi, détestent s'encombrer de câbles qui traînent. La S3 intègre un câble USB-C tressé directement dans son châssis, qui sert non seulement à recharger la batterie elle-même, mais aussi à délivrer jusqu'à 35W en sortie. C'est une puissance suffisante pour recharger très rapidement un iPhone, mais aussi pour donner un sérieux coup de boost à un iPad Pro ou même dépanner un MacBook Air en cas d'urgence. Ce câble est robuste, détachable si besoin d’en brancher un plus long ou avec une connectique différente, et se range discrètement sur le côté, ce qui rend l'ensemble incroyablement compact et facile à glisser dans une poche de veste. Il y a aussi un port USB-C en plus pour brancher un second câble, ou recharge la batterie.

En plus de la puissance brute, ce sont les petits détails qui rendent l'utilisation de cette batterie si agréable au quotidien. Vous allez aimer l'écran numérique situé sur la tranche inférieure, qui affiche clairement le pourcentage exact de batterie restante. C'est fini le temps où l'on devait deviner l'autonomie restante avec quatre petites LED à la con. KUXIU a aussi eu la bonne idée d'intégrer un pied rétractable au dos de l'appareil. Ce qui transforme votre batterie en un support idéal pour regarder une série dans le train ou passer un appel vidéo en mode portrait ou paysage, tout en continuant à charger votre smartphone à pleine vitesse.

En termes d'autonomie pure, les 10 000 mAh sont largement suffisants pour les journées les plus intenses. Lors de mes tests, j'ai pu recharger complètement un iPhone Pro et avoir encore assez de jus pour une recharge partielle supplémentaire, atteignant presque les deux charges complètes selon les modèles. Le tout est contenu dans un format qui, bien que légèrement plus épais qu'un modèle de 5000 mAh, reste très contenu grâce à la densité de la technologie Solid-State. Le tout respire la qualité de fabrication et la solidité.

(Oui carrément)

Bref, vous l’avez compris, cette KUXIU S3 s'impose comme une référence incontournable pour quiconque souhaite profiter des vitesses de charge maximales offertes par les smartphones modernes. Entre sa technologie de batterie sécurisée et durable, sa charge sans fil ultra-rapide de 25W, son câble intégré polyvalent et son écran de contrôle précis, elle ne fait aucun compromis. C'est un produit mature, bien fini et terriblement efficace qui justifie largement son prix sous les 60 euros. Je vous la recommande donc les yeux fermés, et elle est disponible en promo sur Amazon en plus .

Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie "Gadgets Tech" , comme cette liseuse Android de dingue ou ces AirTags pour Android !

Vous vous souvenez de Top Gun sur NES ? Ce jeu culte des années 80 où vous incarniez Maverick dans des combats aériens endiablés ? Hé bien si vous y avez joué, vous avez forcément vécu LE traumatisme du jeu : l'atterrissage sur le porte-avions.

Je ne sais pas combien de manettes ont été explosées à cause de cette séquence de torture, mais ça doit se compter en millions. Vous avez beau suivre les instructions à l'écran "Alt. 200 / Speed 288", faire exactement ce qu'on vous dit, et PAF... crash. Retour à la case départ.

Toutefois, c'était sans compter sur ce développeur qui a eu la bonne idée de faire du reverse engineering sur le code assembleur du jeu pour comprendre ce qui se passait vraiment derrière cette mécanique diabolique.

Et en fouillant dans les entrailles du code NES, il a découvert que pour réussir l'atterrissage, il fallait respecter 3 critères simultanément. D'après l'analyse du code, l'altitude doit être entre 100 et 299 (une plage plutôt large, ouf), la vitesse entre 238 et 337 (déjà plus serré), et surtout l'alignement latéral avec le porte-avions qui est lui ultra strict. Et c'est là que ça devient chaud, parce que ce dernier paramètre, on ne le voit pas à l'écran. Vous pouvez avoir l'altitude parfaite et la vitesse au poil, si vous êtes décalé de quelques pixels à gauche ou à droite, c'est muerto pépito.

La direction est stockée en mémoire comme un entier signé allant de -32 à +32, puis convertie en une plage de 0 à 7. Autant dire que la marge d'erreur est ridicule...

Le plus intéressant dans son reverse, c'est de voir comment le code vérifie tout ça. La fonction "landing_skill_check" fait des vérifications séquentielles super basiques avec des codes d'erreur du genre : Altitude hors limites ? Code d'erreur 2. Vitesse hors limites ? Code 4. Direction hors limites ? Code 8.

Et ces codes d'erreur déterminent même l'animation de crash que vous allez voir. Du coup, si vous crashez souvent de la même façon, c'est probablement toujours le même paramètre qui foire.

Les valeurs sont stockées en BCD (Binary Coded Decimal) pour faciliter l'affichage à l'écran, et on peut les trouver aux adresses $40-$41 pour la vitesse, $3D-$3E pour l'altitude, et $FD pour la direction. Le résultat de la vérification se retrouve à l'adresse $9E. Voilà, maintenant vous savez où regarder si vous voulez tricher avec un émulateur .

D'ailleurs, en parlant de triche, l'auteur de cette analyse a même créé un code Game Genie spécifique pour contourner toute cette galère : AEPETA. Tapez ça et vous atterrirez à tous les coups, peu importe à quel point vous pilotez comme un manche.

Bref, voilà un mystère de 35 ans enfin résolu grâce au reverse engineering. Et si vous voulez vous replonger dans cette torture en connaissance de cause, vous savez maintenant que c'est probablement l'alignement qui vous a eu, pas votre skill.

Source

Après l'attaque massive de septembre 2025 qui a vérolé 18 packages ultra-populaires (coucou debug et chalk ) et la campagne Shai-Hulud 2.0 qui a siphonné les credentials cloud de 25 000 dépôts GitHub, on peut le dire, on est officiellement dans la sauce. Surtout si vous êtes du genre à faire un npm install comme on traverse l'autoroute les yeux bandés ! Il est donc temps de changer vos habitudes parce qu'entre les crypto-stealers qui vident vos portefeuilles en 2 heures et les malwares qui exfiltrent vos clés AWS, l'écosystème JavaScript ressemble de plus en plus à un champ de mines.

Le rayon d'action de la campagne Shai-Hulud 2.0 - une véritable moisson de secrets ( Source )

D'ailleurs, beaucoup se demandent comment savoir si un package npm est vraiment sûr. Et la réponse classique, c'est de lire le code de toutes les dépendances. Ahahaha... personne ne fait ça, soyons réalistes. Du coup, on se base sur la popularité, sauf que c'est justement ce qu'exploitent les attaques supply chain en ciblant les mainteneurs les plus influents pour injecter leurs saloperies.

C'est là qu'intervient safe-npm , une petite pépite qui va vous éviter bien des sueurs froides. Cela consiste à ne jamais installer une version de package publiée depuis moins de 90 jours. Pourquoi ? Parce que l'Histoire nous apprend que la plupart des compromissions massives sont détectées et signalées par la communauté dans les premiers jours ou semaines. Ainsi, en imposant ce délai de "quarantaine", vous laissez aux experts en sécurité le temps de faire le ménage avant que le malware n'arrive sur votre bécane.

Et hop, un souci en moins !

La supply chain npm, le nouveau terrain de jeu préféré des attaquants ( Source )

Concrètement, si vous voulez react@^18 et que la version 18.5.0 est sortie hier, safe-npm va poliment l'ignorer et installer la version précédente ayant passé le test des 90 jours.

Pour l'installer, c'est du classique :

npm install -g @dendronhq/safe-npm

Vous savez comment ça se passe, on traîne sur le web, on tombe sur un article passionnant de 4 000 mots sur Korben.info, mais on n'a absolument pas le temps de le lire là, tout de suite. Alors on ouvre un onglet. Puis deux. Puis cinquante. Et à la fin de la semaine, votre navigateur ressemble à une forêt vierge de Favicons et votre RAM pleure du sang.

Pourtant, il existe des solutions comme Wallabag (ou feu-Pocket), mais si vous êtes un peu maniaque du contrôle comme moi, vous cherchez peut-être un truc plus moderne, plus léger et surtout que vous pouvez également héberger vous-même sur votre propre serveur. C'est là que Readeck entre en scène.

C'est un outil de "read-it-later", c'est-à-dire une application qui vous permet de sauvegarder du contenu web pour le consulter plus tard, une fois que vous avez la tête reposée. L'idée de Readeck, c'est donc de garder l'histoire mais de virer tout le reste : les pubs, les popups de cookies qui vous sautent au visage et les mises en page qui font mal aux yeux. On se retrouve avec un texte pur, propre, et une interface qui ne vous agresse pas.

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/readeck-read-it-later-self-hosted/readeck-read-it-later-self-hosted-1.webm">lien vers la vidéo</a>.

Si vous avez grandi dans les années 80 ou 90, vous avez forcément comme moi des souvenirs de ces émissions qui nous faisaient rêver devant nos bons gros écrans cathodiques .

Et s'il y a bien un truc que je n'ai pas oublié c'est qu'à une époque où le jeu vidéo et l'informatique étaient encore des trucs de "geeks" (le terme n'était pas encore très utilisé en France...), la télévision française nous a quand même offert quelques pépites qui ont marqué toute une génération. Et en y repensant c'était pas mal délirant, donc je vous propose de vous replonger là dedans avec moi.

Tout part en 1979 avec Temps X, l'émission culte des frères Bogdanoff . Igor et Grichka, sapés dans leurs combinaisons futuristes dessinées par Thierry Mugler, nous accueillaient dans leur vaisseau spatial pour parler science, science-fiction et technologies de demain.

Les amis, si vous administrez encore des serveurs Windows avec des configurations "d'époque" (qui sentent la naphtaline quoi...), il faut qu'on parle.

Google Cloud (via son équipe Mandiant) vient de sortir un papier assez creepy sur Net-NTLMv1, ce vieux protocole d'authentification qu'on croyait enterré mais qui survit encore dans pas mal d'infrastructures. Verdict implacable : c'est une véritable bombe à retardement !!

BOOM 💥 !

En gros, si vous avez encore du NTLMv1 activé quelque part sur votre réseau, un attaquant positionné sur votre réseau peut récupérer le matériel cryptographique nécessaire pour casser vos comptes. Le problème avec Net-NTLMv1, c'est qu'il s'agit d'un protocole d'authentification challenge-response qui date des années 90. C'était l'époque de Windows NT, de 2Pac et des modems 56k sauf que contrairement à la musique, la sécurité a un peu évolué depuis.

Le souci, c'est que ce protocole utilise l'algorithme DES (Data Encryption Standard) pour chiffrer ses challenges. Et le DES, aujourd'hui, c'est aussi solide qu'une porte en papier mâché.

Concrètement, un attaquant peut donc forcer un échange d'authentification (via des outils comme Responder) et, grâce à des Rainbow Tables (des tables arc-en-ciel), retrouver la clé de chiffrement. Une fois qu'il a cette clé, il peut reconstruire le hash NTLM et s'authentifier sur vos serveurs comme s'il était vous (attaque Pass-the-Hash).

Maintenant, la nouveauté qui va vous faire mal, c'est que Mandiant vient de publier un jeu complet de Rainbow Tables spécifiquement pour ça. Avant, il fallait les générer soi-même ou fouiller sur des sites communautaires comme FreeRainbowTables.com .

Le concept des RainbowTables c'est que plutôt que de recalculer les hashs à chaque fois, on pré-calcule des milliards de combinaisons possibles et on les stocke. Et Mandiant explique qu'avec ce dataset et du matériel grand public (moins de 600 $ de GPU), on peut désormais casser des clés NTLM en moins de 12 heures.

Soit une demi-journée pour transformer votre serveur "sécurisé" en moulin à vent... Alors comment savoir si vous êtes concerné ? Hé bien c'est là que ça devient sauvage car même si vous pensez être en NTLMv2 (la version plus sécurisée), il suffit qu'un seul équipement mal configuré, genre une vieille imprimante réseau ou un vieux logiciel force le "downgrade" vers NTLMv1 pour exposer des identifiants.

Heureusement, Windows permet d'auditer ça !

Vous pouvez aller fouiller dans les journaux d'événements (Event Viewer) et chercher l'ID 4624. Si vous voyez "Authentication Package: NTLM" et "Package Name (NTLM only): NTLM V1", c'est que vous avez un gros problème.

Pour le guide de survie, pas de panique, on peut désamorcer le truc mais il va falloir être méthodique pour ne pas casser la prod (ce qui vous ferait passer pour un admin en carton, et on veut éviter ça).

1. Auditez d'abord : Activez les logs d'audit pour le NTLM. Ça se passe dans les GPO (Group Policy Object). Computer Configuration -> Windows Settings -> Security Settings -> Local Policies -> Security Options -> Network security: Restrict NTLM: Audit NTLM authentication in this domain
2. Identifiez les coupables : Repérez les machines qui utilisent encore la v1. Souvent, ce sont de vieux serveurs 2003 qui traînent, des NAS non mis à jour ou des applis métier codées avec les pieds il y a 15 ans.
3. Forcez le NTLMv2 : Une fois que vous avez tout nettoyé, modifiez la GPO : Network security: LAN Manager authentication level. Passez-la à "Send NTLMv2 response only. Refuse LM & NTLM".

C'est radical, mais c'est une étape indispensable pour assainir votre réseau.

Voilà si je vous en parle c'est pas pour vous faire paniquer mais ne laissez pas traîner ça. Comme d'hab, la sécurité, c'est souvent de la maintenance de l'existant, et virer ces vieux protocoles tout nuls est probablement l'action la plus rentable que vous puissiez faire cette semaine pour la sécurité de votre boite.

Et si vous cherchez d'autres moyens de sécuriser vos accès, jetez un œil à ce que j'écrivais sur les failles critiques NTLM y'a un peu plus d'un an, ça reste d'actualité.

Source

Si vous faites partie des curieux qui testent WinBoat (le projet open source de TibixDev pour lancer des applis Windows sous Linux via Docker), sachez qu'une vulnérabilité critique a été identifiée dans l'outil, et le scénario d'attaque est plutôt créatif.

Pour ceux qui ne connaissent pas, WinBoat est une appli Electron qui orchestre tout un petit monde (Docker / Podman, FreeRDP) pour rendre l'expérience Windows "seamless" sur votre bureau Linux. C'est ambitieux, c'est en beta, et forcément, il y a parfois des trous dans la raquette.

D'après le write-up technique publié sur hack.do , le problème venait de l'API locale exposée par WinBoat sur le port 7148. Cette API HTTP n'était pas authentifiée, ce qui est souvent le début des ennuis.

Si vous avez récemment fait une mise à jour vers Windows 11 24H2 et que vous êtes un utilisateur assidu de Plex, vous avez peut-être remarqué un truc étrange. L'image est nickel, tout se lance parfaitement, mais niveau son... c'est le silence radio absolu.

En particulier si vous tentez de lire des médias avec une piste audio EAC3 (Dolby Digital Plus) en 5.1. Vous avez beau monter le volume, vérifier vos câbles ou insulter votre carte son, rien n'y fait. Y'a que dalle...

Alors pas de panique les amis ! Ce n'est pas votre matériel qui est en cause, ni même Plex qui a décidé de bouder. C'est juste Microsoft qui, dans sa grande sagesse (et probablement pour des histoires de licences), a semble-t-il retiré ou cassé la gestion native du codec EAC3 dans cette version de Windows. Un grand classique qui me rappelle l'époque où Windows 8 avait viré la lecture DVD sans prévenir.

Heureusement, Andréa, un fidèle lecteur (merci à lui !), a creusé le sujet et nous partage la solution pour remettre tout ça d'équerre sans avoir besoin de formater ou de passer sous Linux (même si, entre nous, ce serait une excellente idée ^^).

Ce qu'il vous faut

• Un PC sous Windows 11 (version 24H2)
• Le pack "Dolby AC-3 / AC-4 Installer" (voir plus bas)
• 5 minutes devant vous

La solution miracle

Pour corriger ce problème, il faut réinjecter les DLL manquantes dans le système. Et pour ça, un petit utilitaire bien pratique existe sur MajorGeeks.

1. Allez récupérer le Dolby AC-3 / AC-4 Installer disponible ici sur MajorGeeks .
2. Lancez l'installation. Ça va remettre les fichiers nécessaires dans System32 comme au bon vieux temps.
3. Redémarrez votre PC. C'est Windows, ne posez pas de questions ;) .

Une fois que la bête a redémarré, ouvrez votre client Plex.

Allez dans les paramètres Lecteur et assurez-vous d'être en "Réglages de base" (5.1 ou Stéréo) et surtout, désactivez le Passthrough si ce n'est pas indispensable pour votre ampli. Normalement, le son devrait revenir instantanément.

C'est quand même dingue qu'en 2026 on doive encore bidouiller des codecs à la main pour avoir du son, mais bon... Au moins, c'est réparable.

Voilà, si ça vous a sauvé la soirée film, n'hésitez pas à remercier Andréa qui a tout détaillé sur son tuto complet ici .

Et pensez aussi à garder votre Plex Media Server à jour , c'est important pour la sécurité (même si ça ne règle pas les soucis de codecs Windows !).

Vous connaissez Gemma ? Bon, hé bien Google vient de remettre une pièce dans la machine avec TranslateGemma , une nouvelle collection de modèles ouverts dédiés exclusivement à la traduction.

Si vous utilisez Google Translate ou DeepL au quotidien, c'est super, ça marche bien, mais ça demande quand même une connexion internet et vos données partent dans le cloud. Donc pour ceux qui veulent garder leurs petits secrets de fabrication (ou juste les lettres d'amour de leur vieille prof de théâtre) en local, c'est souvent un peu la galère.

Ça tombe bien puisque Google DeepMind semble avoir entendu vos prières puisqu'ils viennent de lâcher dans la nature cette suite de modèles basés sur Gemma 3. Et apparemment, ils ont mis le paquet sur l'efficacité.

L'idée c'est de faire tourner de la traduction haute fidélité sur votre propre matériel, peu importe sa puissance. C'est pourquoi TranslateGemma est dispo en trois tailles : 4 milliards (4B), 12 milliards (12B) et 27 milliards (27B) de paramètres pour fonctionner sur tous types de matos.

Le modèle 4B est optimisé pour le mobile et l'edge computing (comprenez "sur des petits appareils"), le 12B est taillé pour tourner tranquille sur un laptop grand public, et le 27B, c'est pour ceux qui ont du GPU costaud (H100 ou TPU) et qui veulent la qualité maximale.

Ce qui est foufou, c'est que le modèle 12B surpasse le modèle Gemma 3 de base en version 27B sur les benchmarks de traduction. En gros, vous avez une qualité supérieure avec un modèle deux fois plus léger. Ils l'ont vraiment optimisé aux petits oignons.

Pour réussir ce tour de force, Google explique avoir utilisé un processus de "distillation" en deux étapes. D'abord, ils ont fine-tuné les modèles sur un mélange de données traduites par des humains et de données synthétiques générées par leurs gros modèles Gemini. Ensuite, ils ont appliqué une phase de Reinforcement Learning (RL) guidée par des métriques de qualité comme MetricX-QE. C'est comme si Gemini apprenait à son petit frère comment bien traduire, en lui tapant sur les doigts quand il se trompe.

Après côté langues, c'est du solide puisque ça fonctionne en 55 langues rigoureusement testées et validées, couvrant la plupart des besoins courants (Français, Espagnol, Chinois, Hindi...). Et ils ont aussi poussé le bouchon encore plus loin en entraînant le modèle sur près de 500 paires de langues supplémentaires. C'est expérimental certes, mais ça ouvre la porte à des traductions pour des langues dites "faibles ressources" qui sont souvent oubliées par les géants de la tech...

Autre point cool, comme c'est basé sur Gemma 3, ces modèles gardent des capacités multimodales. Ça veut dire qu'ils peuvent potentiellement traduire du texte à l'intérieur d'images, même si ce n'était pas le but premier de l'entraînement spécifique TranslateGemma.

Voilà, maintenant si vous voulez tester ça, c'est disponible dès maintenant sur Hugging Face , Kaggle et Vertex AI . Y'a même un notebook ici pour mettre un peu les mains dans le cambouis. Pour les devs qui veulent intégrer de la traduction locale dans leurs apps sans dépendre d'une API payante, c'est donc une option qui mérite vraiment d'être explorée.

Et si le sujet des modèles Google vous intéresse, jetez un œil à mon test de Gemini 2.5 ou encore à PocketPal AI pour faire tourner tout ça sur votre smartphone.

Bref, à tester !

Source

Si vous pensiez que vos écouteurs sans fil étaient capables de garder vos secrets, j'ai une mauvaise nouvelle pour vous !

Des chercheurs du groupe COSIC de la KU Leuven (les mêmes génies qui avaient déjà hacké des Tesla il y a quelques années) viennent de dévoiler WhisperPair. C'est le petit nom d'une série de vulnérabilités qui touchent le protocole Google Fast Pair, et vous allez voir, ça craint.

Le protocole Fast Pair, censé nous faciliter la vie en appairant nos gadgets en un clic, oublie en fait de vérifier si l'appareil est réellement en mode appairage. Du coup, n'importe quel petit malin situé à portée de Bluetooth (environ 15 mètres dans les tests) peut se connecter silencieusement à votre casque ou vos enceintes, même si vous êtes déjà en train d'écouter votre podcast préféré. Pas besoin de bouton, pas besoin de confirmation, rien. C'est un peu le retour de la faille BlueSpy dont je vous parlais l'année dernière , mais en mode industriel.

Et quand je dis industriel, je n'exagère pas car les chercheurs ont testé 25 modèles différents et 17 d'entre eux sont tombés comme des mouches. Des marques comme Sony, Jabra, JBL, Marshall, Xiaomi, OnePlus, Logitech et même les Pixel Buds de Google sont touchées. Et une fois connecté, le pirate peut faire pas mal de trucs sympas (ou pas) comme injecter son propre audio à fond dans vos oreilles, perturber vos appels, ou pire, activer le micro pour écouter ce qui se passe autour de vous.

Mais attendez ça va encore plus loin car pour certains modèles Sony et Google, un attaquant peut carrément enregistrer votre casque sur son propre compte Google. Et là, c'est le combo gagnant pour le stalker puisqu'il peut vous suivre à la trace via le réseau Find Hub (le "Localiser" de Google). Le plus dingue, c'est que ça fonctionne même si vous utilisez un iPhone et que vous n'avez jamais touché à un produit Android de votre vie.

Si vous recevez une alerte de tracking sur votre smartphone, vous penserez probablement à un bug de votre propre appareil alors que c'est un espion qui regarde vos déplacements en temps réel... C'est moche.

Bref, Google a bien essayé de patcher le truc, notamment pour Find Hub, mais les chercheurs ont déjà trouvé un moyen de contourner le correctif en quelques heures. C'est la course à l'échalote habituelle et le vrai souci, c'est que pour corriger ça proprement, il faut une mise à jour du firmware de chaque accessoire par son constructeur. Et on sait tous comment ça se passe... à moins d'avoir l'application dédiée de la marque (que personne n'installe jamais) et de penser à vérifier les updates, vos écouteurs resteront vulnérables pendant des années.

Du coup, que faire ?

Hé bien déjà, si vous bossez sur des trucs ultra-sensibles, méfiez-vous du Bluetooth dans les lieux publics. C'est moche à dire en 2026, mais la sécurité des objets connectés reste encore trop souvent le parent pauvre de l'ergonomie.

Et si vous voulez creuser les détails techniques, les chercheurs ont tout mis sur leur site dédié .

Source

Et encore un sujet qui me fout une colère noire et qui montre bien que chez certains, l'éthique c'est visiblement tombé dans les chiottes. Vous l'aurez deviné, je parle bien de Grok, l'IA d'Elon Musk, qui se retrouve une fois de plus sur le devant la scène.

Grâce à la magie de l'IA, ce chatbot permettait jusqu'à présent de générer des images de vraie personnes en tenues légères (bikinis, sous-vêtements...) voire complétement à poil à partir de simples photos. C'est ce qu'on appelle la "nudification" et c'est, disons-le clairement, une saloperie sans nom qui a été utilisée pour harceler des femmes, des jeunes filles et accessoirement faire zizir à tous les pédo nazis qui trainent sur X.

Toutefois, suite à une forte pression réglementaire au Royaume-Uni, en Californie, et même au blocage complet de la plateforme X en Indonésie et en Malaisie, X Safety (lol) vient enfin de serrer la vis. Mais bon, comme d'habitude avec Musk, il a fallu attendre d'être au pied du mur, parce que son éthique et son empathie sont surement restées dans la boite à gants du Roadster Tesla de Starman.

Désormais, la plateforme va donc "geobloquer" la génération d'images de personnes réelles en bikini ou sous-vêtements (le fameux "spicy mode") là où c'est restreint par la loi. "LÀ OÙ C'EST RESTREINT PAR LA LOI"... oui oui... Pourquoi se faire chier hein... si mettre des gens à poil sans leur autorisation est autorisé par ton pays, c'est 👍

X affirme également avoir implémenté des mesures technologiques pour empêcher l'usage de Grok afin d'éditer des photos pour dévêtir des gens mais apparemment, ça marche pas de fou de ce que j'ai pu lire aujourd'hui. En tout cas, je trouve ça dingue qu'il faille des enquêtes et des suspensions d'accès à tout un réseau social pour que le bon sens l'emporte...

En attendant, X a réservé l'accès à Grok aux abonnés payants sur la plateforme, officieusement pour améliorer la traçabilité des abus, même si dans les faits, payer ne garantit en rien d'assurer le lien avec l'identité de l'utilisateur. Et surtout, ces nouvelles restrictions anti-nudification s'appliquent désormais à tout le monde, y compris à ceux qui passent à la caisse.

Après quand on voit que la réponse automatisée de xAI aux journalistes était y'a pas si longtemps un magnifique " Legacy Media Lies " d'enfant de 5 ans, on mesure le niveau de maturité de toute l'entreprise X...

Source

Vous vous souvenez d' EchoLeak, cette faille zero-click dans Microsoft Copilot dont je vous parlais l'année dernière ? Eh bien accrochez-vous, parce que les chercheurs de Varonis viennent de remettre le couvert avec une nouvelle technique baptisée "Reprompt". Et cette fois, un simple clic suffit pour que l'assistant IA de Microsoft balance toutes vos données sensibles à un attaquant.

Je vous explique le principe... Dolev Taler, chercheur chez Varonis Threat Labs, a découvert que l'URL de l'assistant Microsoft intègre un paramètre "q" qui permet d'injecter directement des instructions dans le prompt.

Du coup, n'importe qui peut vous envoyer un lien piégé du style copilot.microsoft.com/?q=INSTRUCTION_MALVEILLANTE et hop, votre assistant exécute ce qu'on lui demande dès que vous cliquez.

Et là où c'est vraiment pas drôle, c'est que Varonis a identifié trois techniques d'exploitation. La première, "Double-Request", contourne les garde-fous en demandant à l'IA de répéter deux fois la même action. La deuxième, "Chain-Request", enchaîne les instructions côté serveur pour exfiltrer vos données sans que vous ne voyiez rien. Et la troisième combine les deux pour un effet maximal.

Les trois techniques d'attaque Reprompt : P2P Injection, Double-Request et Chain-Request ( Source )

Via cette faille, un attaquant peut récupérer vos emails récents, vos fichiers OneDrive, votre historique de recherche, et tout ça en arrière-plan pendant que vous pensez juste avoir cliqué sur un lien anodin. Ça craint hein !

Petite précision importante quand même, cette faille ne touche que la version Personal de l'assistant Microsoft, et pas la version Enterprise qui bénéficie de protections supplémentaires. Si vous utilisez la version pro au boulot, vous pouvez respirer. Par contre, si vous utilisez la version grand public pour vos trucs perso, c'était open bar jusqu'au patch du 13 janvier dernier.

Parce que oui, bonne nouvelle quand même, Microsoft a confirmé avoir corrigé le problème. Mais ça pose une vraie question sur la sécurité des assistants IA qui ont accès à nos données car entre EchoLeak et Reprompt, ça commence à faire beaucoup pour un seul produit.

Et surtout au niveau de la sécurité, moi ce que je comprends pas, c'est pourquoi le niveau de sécurité est un argument marketing ? Au nom de quoi la version personnelle devrait être moins sûre que la version personnelle ? Je pense que les données personnelles des gens n'ont pas moins de valeur...

Pour moi le niveau de sécurité devrait être exactement le même sur les deux versions du service.

Bref, l'IA c'est pratique, mais c'est aussi un nouveau terrain de jeu pour les attaquants alors méfiez-vous des liens bizarres, même s'ils pointent vers des services Microsoft légitimes !

Source

Ah, encore une merveilleuse petite faille de sécurité qui va ravir tous les paranos de la vie privée et les anti-IA ^^ ! Johann Rehberger et l'équipe de PromptArmor viennent de démontrer comment Claude Cowork , l'agent IA d'Anthropic censé vous simplifier la vie au bureau, peut se transformer en aspirateur à fichiers personnels.

J'imagine que si vous l'avez testé, vous avez un dossier connecté à Claude Cowork pour qu'il vous aide à analyser vos documents ? Parfait. Il suffit maintenant qu'un petit malin glisse un fichier Word contenant des instructions cachées, et hop hop hop, vos précieux fichiers partent se balader sur un serveur distant sans que vous n'ayez rien vu venir.

En fait, le fichier piégé contient du texte invisible pour l'œil humain, mais parfaitement lisible par l'IA. Genre une police en taille 1px, de couleur blanche sur fond blanc, avec un interligne de 0,1 histoire d'être vraiment sûr que personne ne le remarque. C'est beau la créativité des hackers, quand même.

Et l'IA, elle, lit tout ça comme si c'était normal et exécute gentiment les instructions malveillantes.

La chaîne d'attaque se déroule en cinq étapes bien huilées. D'abord, l'attaquant dépose son fichier vérolé dans un dossier partagé auquel Claude a accès. Ensuite, il attend qu'un utilisateur demande à l'IA d'analyser le contenu de ce dossier. Claude traite alors le fichier piégé et découvre les instructions cachées. L'IA effectue une requête qui envoie vos fichiers vers l'API Anthropic... sauf que les identifiants utilisés appartiennent à l'attaquant. Vos données atterrissent donc tranquillement dans son compte, sans que vous n'ayez la moindre notification.

Ce qui rend cette attaque particulièrement sournoise, c'est que la sandbox de Claude autorise les requêtes sortantes vers l'API d'Anthropic. Normal, me direz-vous, c'est son propre écosystème. Sauf que du coup, un attaquant bien motivé peut exploiter cette confiance aveugle pour faire transiter des données volées par un canal parfaitement légitime en apparence. Si vous suivez les vulnérabilités des systèmes RAG comme ConfusedPilot , vous reconnaîtrez le même genre de manipulation par injection de contenu.

Et ce n'est pas tout ! Les chercheurs ont également identifié un vecteur potentiel de déni de service. En créant un fichier avec une extension qui ne correspond pas à son contenu réel, genre un fichier texte déguisé en PDF, on peut provoquer des erreurs en cascade qui paralysent l'API de manière persistante.

Sympa pour bloquer un concurrent ou saboter un projet.

Côté modèles affectés, les chercheurs ont démontré la vulnérabilité sur plusieurs versions de Claude, dont Haiku. Bref, c'est du sérieux. Pour ceux qui s'intéressent aux failles de sécurité des assistants IA ou aux techniques de red teaming sur les LLM , cette recherche vaut vraiment le détour.

Anthropic a été notifié et travaille sur des correctifs. En attendant, si vous utilisez Claude Cowork avec des dossiers partagés, méfiez-vous de tout fichier qui pourrait traîner là sans raison apparente. Et la prochaine fois que quelqu'un vous envoie un document "urgent à analyser", prenez peut-être cinq secondes pour vous demander s'il ne cache pas une petite surprise.

Pour en savoir plus c'est par ici !

Bon, accrochez-vous à vos manettes parce qu'on vient de franchir un nouveau palier dans le grand n'importe quoi de l'optimisation PC.

Vous le savez, le jeu Monster Hunter Wilds sur PC, c'est un peu la roulette russe... un coup ça passe, un coup ça rame sa mère comme un vieux disque rayé. Les joueurs ont tous accusé les shaders, le CPU ou encore le Denuvo de service, mais la vérité est bien plus... bizarroïde, vous allez voir.

En effet, un utilisateur de Reddit nommé de_Tylmarande a mis le doigt sur un bug de logique métier qui me laisse un peu sur le cul. En gros, plus vous possédez de DLC, mieux le jeu se porte. Hé non, ce n'est pas un nouveau modèle économique "Pay-to-FPS", mais un pur problème de code mal torché.

En fait, tout commence quand ce brave de_Tylmarande décide de tester le jeu sur deux comptes Steam différents, mais sur la même bécane. Sur son premier compte, il installe le jeu de base sans rien d'autre... Résultat, il se retrouve à 25 FPS bien pénibles dans les hubs. Et sur un deuxième compte, blindé avec tous les DLC cosmétiques de la mort, il se retrouve à plus de 80 FPS au même endroit.

On parle souvent de “bonnes résolutions” pour le Nouvel An : se remettre au sport, arrêter de scroller la nuit, cuisiner un peu plus… mais jamais d'arrêter de se faire siphonner sa vie par des boîtes dont on n’a jamais entendu parler. 2026 peut être l’année où votre identité numérique arrête de servir de carburant à des data brokers, pour redevenir ce qu’elle aurait toujours dû être : à vous, et à vous seul. Parce qu'il faut savoir être égoiste parfois.

Vos données sont déjà en vente même si vous n’avez jamais “rien accepté”

Comme je vous l'ai déjà expliqué, les data brokers vivent d’un business aussi discret que lucratif : collecter des morceaux de vos infos, les recouper et les revendre à des dizaines d’acteurs différents. Adresse, numéro de téléphone, emails, revenus supposés, historique de navigation, centres d’intérêt, santé présumée, habitudes d’achat, présence sur les réseaux… tout y passe. Ils récupèrent ces données via des formulaires “innocents”, des programmes de fidélité, des cookies, des services IA, des applis gratuites, des comparateurs, des jeux-concours et, bien sûr, des fuites de données massives. Sans oublier nos gentils services gouvernementaux (Urssaf, France Travail & co) qui font quasi des journées portes ouvertes (pays européen qui fuite le plus, 2e rang mondial, enfin un truc ou on est bon!).

Résultat : votre profil se balade sans doute dans des centaines de bases. Il nourrit des pubs ultra ciblées, sert de matière première à des algos de scoring, et alimente un écosystème d’arnaques de plus en plus industrialisées. Les rapports sur les scams en ligne montrent une hausse continue des fraudes liées au shopping et aux faux sites, largement facilitées par les données récupérées chez ces intermédiaires. Penser “je n’ai rien à cacher” en 2026, c’est surtout oublier que la prochaine usurpation d’identité ou le prochain deepfake bien ficelé se construira peut‑être avec les miettes que vous laissez trainer à gauche ou à droite.

Incogni : un agent qui passe l’année à dire “supprimez” à votre place

Là où beaucoup de guides se contentent de vous expliquer comment envoyer des mails d’opt‑out à la main, Incogni prend le problème à la racine : le service se branche sur plus de 420 data brokers et envoie, en votre nom, des demandes légales de suppression de vos données, à la chaîne et sur la durée. Dès que vous créez votre compte, l’algorithme identifie les courtiers susceptibles de détenir vos infos (en fonction de votre pays et des lois applicables), puis déclenche une salve de requêtes appuyées sur le RGPD, le CCPA, le PIPEDA et consorts.

Ce qui fait la différence, ce n’est pas juste le volume, c’est la persistance. Incogni renvoie des demandes tous les 60 jours pour les brokers publics et tous les 90 jours pour les privés, et suit systématiquement les réponses : suppression confirmée, en cours, résistante, ou carrément silencieuse. Quand un acteur rechigne, le service relance et peut même faire remonter le cas aux autorités de protection des données. Un audit indépendant mené par Deloitte en 2025 a confirmé que ces cycles de demandes et de relances ne sont pas du storytelling marketing, mais bien mis en œuvre comme annoncé.

2026 : le bon moment pour appuyer sur “reset”

Vous êtes la seule personne qui peut décider de “faire de 2026 votre année la plus privée” en attaquant le problème là où il se démultiplie : chez les brokers. La mécanique est simple :

• plus vos données restent longtemps dans ces fichiers, plus elles sont revendues et recopiées ;
• plus elles sont copiées, plus les scams sont crédibles (adresse exacte, bons prénoms, contexte plausible, etc.) ;
• plus les scams sont crédibles, plus il suffit d’un moment de fatigue pour cliquer au mauvais endroit.

En supprimant vos infos d’un maximum de courtiers, vous cassez une bonne partie de cette chaîne. Les analyses de services spécialisés montrent que les personnes qui utilisent un outil de data removal voient moins de spams ciblés et réduisent leur surface d’attaque face aux escroqueries liées par exemple au shopping et aux faux services clients. Et surtout, vous sortez du piège “j’espère que les sites que j’utilise feront attention” pour passer à “je vais taper directement là où ils vendent mes données”.

Comment Incogni transforme une résolution en routine automatique

L’autre intérêt d’Incogni , c’est qu’il transforme une bonne résolution de début d’année en réflexe automatisé. Concrètement :

• vous créez un compte, signez une procuration numérique ;
• Incogni scanne quels types de données sont exposés chez ses 420+ courtiers partenaires ;
• il envoie immédiatement des demandes de suppression, puis continue de les renvoyer périodiquement ;
• vous suivez tout dans un tableau de bord clair : gravité de l’exposition, niveau de coopération du broker, temps estimé de suppression, etc.

Certains services concurrents alignent des options annexes (VPN, gestion de mot de passe, assurance, etc.), mais la force d’Incogni, c’est justement de ne faire qu’une chose : traquer vos données chez les brokers et les faire retirer, encore et encore. Et si vous trouvez qu'un VPN couplé est indispensable, vous pouvez l'intégrer via l' offre Surfshark One+ dont j'ai parlé. Son rapport efficacité/prix pour ce cas d’usage précis est un autre point positif. Ainsi que la possibilité de demander des suppressions personnalisées sur des sites hors base standard, pratique pour des annuaires ou plateformes très locales.

Moins d’expo, moins de scams : la logique derrière

Les chiffres sur les arnaques en ligne pour 2025 et début 2026 montrent une explosion des fraudes liées au e‑commerce, aux fausses boutiques, aux notifications DHL/La Poste bidon et aux “remboursements” inventés. Et ces attaques ne sortent pas de nulle part : elles se nourrissent de listes d’emails, d’adresses, de numéros et de profils achetés ou loués à des intermédiaires. Plus votre fiche est riche, plus vous êtes intéressant à cibler.

En réduisant la quantité de données qui circulent sur vous chez ces acteurs, vous baissez mécaniquement la probabilité d’apparaître dans les fichiers vendus à des escrocs, la quantité de contexte qu’ils auront pour rendre leurs messages crédibles et l’ampleur des dégâts en cas de nouvelle fuite massive.

Mon test personnel et d'autres en ligne le confirment : beaucoup d’utilisateurs voient apparaître leurs premières suppressions dans les jours ou semaines qui suivent. Et cela monte à des dizaines de courtiers nettoyés au bout de quelques mois d’abonnement. Ce n’est pas un bouclier absolu, mais c’est l’équivalent d’un régime sérieux pour votre empreinte numérique : moins de gras inutile qui traîne partout, plus de contrôle sur ce qui circule.

2026, l’année où vos données cessent d’être une fatalité

Le vrai changement de mindset (comme diraient les gourous du dev perso), c’est de considérer que vos données ne sont pas condamnées à rester coincées dans chaque base qui les récupère. Des lois comme le RGPD vous donnent un droit à l’effacement, mais personne n’a le temps de l’exercer manuellement auprès de centaines de structures. Incogni se pose en proxy qui passe son année à faire ce boulot à votre place, en suivant les réponses et en recommençant jusqu’à obtenir un résultat, là où vous auriez abandonné au troisième mail automatisé incompréhensible.

Si une résolution doit survivre à janvier cette année, c’est celle‑ci : ne plus laisser votre identité numérique en open-bar chez les courtiers. Un compte Incogni, quelques minutes de configuration, et vous avez au moins une force de rappel permanente qui travaille pour vous pendant que vous passez à autre chose (tenir vos autres bonnes résolutions?). En 2026, reprendre sa vie numérique en main, ce n’est pas tout couper et partir vivre dans une cabane sans réseau, c’est accepter que l’on ne puisse pas empêcher toutes les fuites… mais refuser qu’elles deviennent un business éternel sur votre dos. Incogni ne promet pas l’oubli total, mais il s’en rapproche suffisamment pour que ça vaille enfin le coup de cocher cette résolution sur la liste.

Le prix de l'abonnement standard est actuellement d'environ 86€ TTC pour l'année entière. Mon code Korben55 doit encore fonctionner (je ne sais pas jusqu'à quand), en l'utilisant vous économiserez encore 7 ou 8€, donc c'est le moment !

→ Cliquez ici pour en savoir plus sur Incogni ←

Bon, je vous en parlais déjà en mai dernier , la justice française avait décidé de s'attaquer aux VPN pour lutter contre le piratage des matchs de foot. Et bien devinez quoi ? Ils ont remis le couvert, et cette fois c'est encore plus costaud !

Le 18 décembre dernier, le Tribunal judiciaire de Paris a rendu une nouvelle ordonnance à la demande de la Ligue de Football Professionnel et de sa branche commerciale. Du coup, les gros du secteur des tunnels chiffrés vont devoir obtempérer : CyberGhost, ExpressVPN, NordVPN, ProtonVPN et Surfshark sont tous dans le viseur. Hop, 5 services de confidentialité d'un coup qui se retrouvent obligés de jouer les censeurs !

Concrètement, ces fournisseurs doivent bloquer l'accès à 13 domaines pirates, parmi lesquels miztv.top, strikeout.im, qatarstreams.me ou encore prosmarterstv.com. Bref, les sites de streaming foot gratuit vont avoir la vie dure. Et le plus flippant dans l'histoire c'est que ce dispositif est "dynamique", ce qui signifie que l'ARCOM peut rajouter de nouvelles adresses à la liste quand bon lui semble, sans repasser devant un juge. Les blocages resteront donc actifs pour toute la saison 2025-2026.

L'argument massue du tribunal c'est que, je cite : "la neutralité technique n'équivaut pas à l'immunité juridique". En gros, ce n'est pas parce que un service de VPN promet de ne rien logger et de protéger la vie privée de ses utilisateurs que ces entreprises peuvent ignorer les injonctions des ayants droit. Les juges ont donc balayé d'un revers de main l'argument des obligations contractuelles envers les clients. Adios la promesse d'anonymat quand la LFP débarque avec ses avocats !

D'ailleurs, parlons un peu de mon partenaire NordVPN puisqu'ils font partie de la liste des concernés. Car même si cette décision cible le streaming de foot pirate, ça pose quand même des questions sur l'avenir de ces services...

En effet, ce qu'il y a de bien avec un service comme NordVPN, c'est qu'il permet de protéger sa vie privée, de sécuriser ses connexions Wi-Fi publiques et d'accéder à des contenus bloqués géographiquement de façon légitime. En plus de ça, avec leur politique no-log auditée et leurs serveurs présents dans plus de 110 pays, c'est quand même la référence pour ceux qui veulent surfer tranquilles. Et avec les promos actuelles, ça revient à quelques euros par mois pour protéger jusqu'à 10 appareils. Jetez un œil à leurs offres (lien affilié) si vous cherchez à sécuriser votre connexion, et pas juste pour mater du foot pirate, hein !

Bref, comme je le disais dans mon article précédent, toute cette histoire, c'est un peu comme essayer d'arrêter l'eau qui coule avec une passoire. Les pirates les plus motivés changeront simplement de service ou trouveront d'autres moyens de contournement. Et pendant ce temps, les utilisateurs lambda qui se servent d'un VPN pour des raisons parfaitement légitimes, genre protéger leurs données dans les McDo au Wi-Fi douteux, se retrouvent avec des services potentiellement bridés.

Voilà, reste à voir comment tout ça sera appliqué dans la vraie vie. Les questions techniques sont nombreuses et les fournisseurs basés hors de France pourraient très bien répondre "mdr" aux injonctions parisiennes. En attendant, surveillez de près les évolutions de votre service préféré dans les prochains mois...

Source