Et pas l'inverse !

En effet, Discord va bientôt demander à ses utilisateurs de prouver qu'ils ont bien 18 ans pour accéder au contenu NSFW. La plateforme prévoit de déployer la vérification d'âge à l'échelle mondiale dès le mois de mars 2026. Après des tests au Royaume-Uni depuis juillet dernier puis en Australie depuis décembre, c'est TOUT le monde qui y passe. Fini le simple clic sur "j'ai plus de 18 ans" !

Y'a donc 2 options au menu. Soit vous filmez votre tronche via le SDK de Yoti, un outil d'estimation d'âge qui tourne en local sur votre smartphone où faut ouvrir et fermer la bouche devant la caméra pour vérifier que c'est bien votre vrai visage. L'évaluation se fait en local et la vidéo ne quitte jamais votre appareil, ce qui évitera les soucis de confidentialité. Soit vous envoyez une copie de votre pièce d'identité au prestataire Persona.

Le selfie a donc l'air nettement plus safe...

Le précédent prestataire utilisé par Discord, 5CA, basé aux Pays-Bas s'est d'ailleurs fait pirater en octobre dernier par un groupe qui se fait appeler Scattered Lapsus$ Hunters. Environ 70 000 photos de pièces d'identité dans la nature. Sympa. Discord assure avoir changé de crémerie depuis, mais bon, une fois que vos données sont dehors, c'est trop tard. En tant que français, on ne le sait que trop bien puisque l’État comme les entreprises privées adorent offrir nos données personnelles aux cybercriminels de tout poils.

Attention quand même, si vous êtes sur un vieux téléphone sans bonne caméra frontale, ou si la luminosité est trop faible, l'estimation d'âge de Yoti risque de foirer et vous serez obligé de passer par la pièce d'identité. Du coup, le choix se fait un peu malgré vous.

Le déploiement au Royaume Uni avait d'ailleurs donné lieu à un contournement assez drôle. Des petits malins avaient utilisé le mode photo de Death Stranding (oui, le jeu de Kojima sur PS5/PC) pour tromper le système de reconnaissance faciale de k-ID. Le système demandait d'ouvrir et fermer la bouche... sauf que dans Death Stranding, vous pouvez contrôler les expressions faciales de Sam Porter via la barre "expression du personnage".

Choisir un VPN en 2026 ne se résume plus à une simple question de prix ou de nombre de serveurs. Derrière chaque connexion sécurisée, il y a un protocole VPN, souvent ignoré, mais pourtant déterminant pour la vitesse, la sécurité, la stabilité et même la compatibilité avec certains usages comme le streaming ou le P2P.

Et c’est là que beaucoup se trompent. Deux VPN peuvent proposer la même promesse marketing, mais offrir une expérience totalement différente selon le protocole utilisé. WireGuard, OpenVPN, IKEv2… ces noms reviennent souvent, sans que l’on sache vraiment lequel choisir, ni pourquoi.

Dans cet article, on va poser les bases calmement, comparer les protocoles VPN les plus utilisés en 2026, expliquer leurs performances réelles et surtout te guider vers le bon choix selon ton usage, avec un focus concret sur ProtonVPN et son implémentation moderne de WireGuard.

Qu’est-ce qu’un protocole VPN, concrètement ?

Un protocole VPN, c’est l’ensemble des règles techniques qui définissent comment ton appareil communique de manière chiffrée avec un serveur VPN. Il gère notamment :

• le chiffrement des données,
• la méthode d’authentification,
• la stabilité de la connexion,
• la vitesse de transfert,
• la capacité à contourner certaines restrictions réseau.

En clair, le protocole détermine comment ta connexion est protégée, pas seulement si elle l’est.

Pourquoi le protocole VPN est encore plus important en 2026

En 2026, les usages ont évolué, mais aussi les contraintes :

• réseaux mobiles omniprésents (4G/5G/6G),
• Wi-Fi publics de plus en plus surveillés,
• plateformes de streaming plus agressives sur les blocages,
• FAI et gouvernements utilisant des techniques d’inspection avancées,
• besoin de vitesse pour le cloud, le gaming, le travail à distance.

Résultat : un mauvais protocole peut ruiner un bon VPN.

Les principaux protocoles VPN en 2026

WireGuard : le standard moderne

WireGuard s’est imposé comme la référence technique ces dernières années, et en 2026, il est clairement le protocole par défaut pour la majorité des usages.

Ses points forts

• Code très léger (environ 4 000 lignes)
• Excellentes performances en vitesse
• Connexion quasi instantanée
• Très stable sur mobile (changement de réseau fluide)
• Sécurité moderne basée sur des algorithmes éprouvés

Ses limites

• Moins flexible que OpenVPN dans certains environnements très verrouillés
• Implémentation dépendante du fournisseur VPN

Chez ProtonVPN, WireGuard est implémenté avec une couche supplémentaire de protection (gestion dynamique des clés, architecture no-log renforcée), ce qui corrige plusieurs faiblesses souvent reprochées au protocole brut.

OpenVPN : le vétéran toujours fiable

OpenVPN reste un pilier du monde VPN. Il est plus ancien, plus lourd, mais aussi extrêmement robuste.

Ses points forts

• Très haut niveau de sécurité
• Open source et audité depuis des années
• Fonctionne sur presque tous les réseaux
• Peut utiliser TCP ou UDP selon le besoin

Ses limites

• Moins rapide que WireGuard
• Consomme plus de ressources
• Connexion parfois lente sur mobile

OpenVPN est encore pertinent en 2026, notamment pour :

• les réseaux d’entreprise,
• les pays très restrictifs,
• les situations où la fiabilité prime sur la vitesse.

IKEv2/IPSec : le champion de la stabilité mobile

IKEv2 est souvent sous-estimé, alors qu’il excelle dans un cas précis : la mobilité.

Ses points forts

• Reconnexion ultra rapide
• Très stable lors des changements de réseau
• Faible latence
• Bien intégré nativement sur iOS et macOS

Ses limites

• Moins flexible que OpenVPN
• Dépend davantage de l’implémentation du fournisseur
• Moins efficace pour contourner certains blocages avancés

Comparatif clair des protocoles VPN en 2026

Protocole	Vitesse	Sécurité	Stabilité	Streaming	P2P	Mobile
WireGuard
OpenVPN
IKEv2

Quel protocole VPN choisir selon ton usage ?

Pour l’anonymat et la confidentialité maximale

OpenVPN ou WireGuard bien implémenté

Si ton objectif est la protection de la vie privée, le combo gagnant reste :

• chiffrement solide,
• politique no-log stricte,
• juridiction respectueuse.

WireGuard chez ProtonVPN offre un excellent compromis entre sécurité moderne et performances.

Pour la vitesse et le confort au quotidien

WireGuard sans hésiter

Navigation, cloud, visioconférence, gaming occasionnel… WireGuard est clairement le plus fluide en 2026.

Pour le streaming (Netflix, Disney+, Prime Video)

WireGuard

C’est le protocole le plus performant pour :

• limiter la latence,
• éviter le buffering,
• maintenir une connexion stable sur de longues sessions.

Pour le P2P et le téléchargement

WireGuard ou OpenVPN (UDP)

WireGuard permet d’excellentes vitesses tout en conservant une bonne sécurité. ProtonVPN propose des serveurs P2P dédiés compatibles avec ces protocoles, ce qui fait une vraie différence à l’usage.

Pour le mobile et les déplacements fréquents

IKEv2 ou WireGuard

Si tu passes souvent du Wi-Fi à la 5G, ces deux protocoles sont les plus stables.

Focus : pourquoi ProtonVPN tire vraiment parti de WireGuard

Tous les VPN ne se valent pas, même avec le même protocole. En 2026, ce qui fait la différence, c’est l’implémentation.

Chez ProtonVPN :

• WireGuard est intégré avec une gestion avancée des clés
• les serveurs sont 100 % contrôlés en interne
• l’infrastructure est pensée pour éviter toute corrélation IP
• la politique no-log est auditée et cohérente avec la juridiction suisse

Résultat : WireGuard n’est pas juste rapide, il est fiable et cohérent avec une vraie stratégie de confidentialité.

Faut-il changer de protocole régulièrement ?

Pas forcément. Dans la majorité des cas :

• WireGuard peut rester ton protocole par défaut,
• OpenVPN sert de solution de secours sur les réseaux restrictifs,
• IKEv2 est utile si tu es souvent en mobilité.

Les meilleurs VPN permettent de changer de protocole en un clic, ce qui reste la meilleure approche.

FAQ – Protocole VPN et usages en 2026

Quel est le meilleur protocole VPN en 2026 ?

Dans la majorité des cas, WireGuard est le meilleur compromis entre vitesse, sécurité et stabilité.

WireGuard est-il vraiment sécurisé ?

Oui, à condition qu’il soit bien implémenté. Chez ProtonVPN, WireGuard bénéficie de protections supplémentaires adaptées aux enjeux de confidentialité.

OpenVPN est-il dépassé ?

Non. Il reste très fiable, surtout dans les environnements contraints, mais il est moins performant que WireGuard.

IKEv2 est-il suffisant pour un usage quotidien ?

Oui, surtout sur mobile. En revanche, pour le streaming ou le P2P, WireGuard est plus adapté.

Peut-on utiliser plusieurs protocoles avec un même VPN ?

Oui. La plupart des VPN premium permettent de basculer entre WireGuard, OpenVPN et IKEv2 selon les besoins.

Cet article original intitulé Le protocole VPN expliqué (WireGuard, OpenVPN, IKEv2) : lequel choisir pour quel usage en 2026 ? a été publié la première sur SysKB.

Pendant longtemps, je n’ai pas vraiment réfléchi à la question. Comme beaucoup, j’utilisais Gmail et Google Drive par facilité. Tout fonctionnait bien, l’écosystème était fluide, les outils efficaces, intégrés partout. Et puis, petit à petit, le contexte a changé. Ou plutôt, j’ai commencé à vraiment le regarder en face.

Entre les tensions géopolitiques, la pression croissante des États-Unis sur les données numériques, et une prise de conscience européenne encore timide mais bien réelle, quelque chose s’est fissuré. Pas un rejet brutal, pas un boycott idéologique, mais un doute persistant. Est-ce vraiment raisonnable de continuer à confier l’intégralité de sa vie numérique à des entreprises soumises à des lois étrangères, parfois incompatibles avec nos propres principes européens ?

Ce déclic, pour moi, s’est matérialisé par une décision très concrète : quitter Gmail et Google Drive pour des services européens. Et notamment ceux proposés par Proton. J’étais déjà utilisateur régulier de ProtonVPN pour protéger ma connexion et accéder à du contenu censuré, mais il fallait aller au bout de la démarche en protégeant mes messages et données personnelles.

Le contexte actuel : une souveraineté numérique sous pression

Depuis quelques années, la question de la souveraineté numérique n’est plus réservée aux experts ou aux cercles politiques. Elle s’invite progressivement dans le débat public, souvent à la faveur de décisions ou de révélations qui rappellent une réalité assez brutale : les données européennes ne sont pas aussi protégées qu’on aimerait le croire.

Les États-Unis disposent d’un arsenal juridique extrêmement puissant pour accéder aux données, y compris celles de citoyens non américains. Le Cloud Act et le Patriot Act permettent, sous certaines conditions, d’exiger d’entreprises américaines l’accès à des données, même lorsque celles-ci sont hébergées hors du territoire américain.

Ce n’est pas de la théorie. Des entreprises comme Microsoft ont reconnu avoir fourni des éléments sensibles aux autorités américaines, y compris des clés de chiffrement Bitlocker dans certains cas. Tout cela se fait dans un cadre légal américain, mais qui entre frontalement en contradiction avec l’esprit du RGPD européen.

Dans le même temps, le retour sur le devant de la scène politique de Donald Trump et le durcissement du discours américain sur la domination technologique rappellent que le numérique est devenu un levier de puissance stratégique. L’Europe, elle, se retrouve coincée entre deux modèles : celui des États-Unis, fondé sur la monétisation massive des données, et celui de la Chine, basé sur le contrôle étatique.

Une prise de conscience européenne encore imparfaite, mais réelle

Il serait faux de dire que l’Europe ne fait rien. Les lignes bougent, lentement, parfois maladroitement, mais elles bougent. On observe une volonté croissante de promouvoir des solutions européennes, notamment dans les administrations, les collectivités et certaines grandes entreprises.

Des projets de cloud souverain émergent, des appels d’offres excluent de plus en plus certains acteurs extra-européens, et le discours politique évolue. On parle enfin de dépendance technologique, de résilience numérique, de protection des données comme d’un enjeu stratégique.

Mais cette prise de conscience institutionnelle reste fragile. Et surtout, elle ne suffit pas si, à titre individuel, nous continuons à utiliser par défaut les services des GAFAM sans jamais remettre nos choix en question. La souveraineté numérique, ce n’est pas uniquement une affaire d’États ou de lois. Elle commence aussi à l’échelle personnelle.

Mon déclic personnel : remettre en question mes usages

Je ne vais pas prétendre que j’ai quitté Gmail et Google Drive du jour au lendemain. Comme beaucoup, j’y étais profondément ancré. Des années d’archives, des dizaines de services connectés, des habitudes bien installées.

Mais à force de lire, de creuser, de travailler sur les sujets tech et business, j’ai fini par me poser une question simple : est-ce que ce confort justifie vraiment de renoncer totalement au contrôle de mes données ?

Je ne parle pas ici de paranoïa ou de secret d’État. Juste de cohérence. Quand on sait que le modèle économique de Google repose en grande partie sur l’exploitation des données, même de manière indirecte, continuer à centraliser ses emails, ses documents et ses fichiers personnels chez un seul acteur américain commence à poser problème.

Le vrai déclic, finalement, a été de réaliser qu’il existait désormais des alternatives crédibles, matures, et surtout européennes. Pas des solutions bricolées ou militantes, mais de véritables services professionnels. C’est comme ça que je me suis tourné vers Proton.

Proton : une approche radicalement différente

Proton n’est pas un acteur né d’un rejet idéologique des GAFAM. C’est une entreprise européenne, fondée par des scientifiques du CERN, avec une philosophie simple : remettre l’utilisateur au centre, et non ses données.

La différence fondamentale avec Google est là. Chez Proton, il n’y a pas de publicité ciblée, pas de profilage marketing, pas de revente de données. Le modèle économique repose sur l’abonnement, pas sur l’exploitation des usages.

Le chiffrement de bout en bout est au cœur de tous les services. Concrètement, cela signifie que même Proton ne peut pas accéder au contenu de vos emails ou de vos fichiers. Ce n’est pas un argument marketing flou, c’est une réalité technique vérifiable.

Quitter Gmail pour ProtonMail : un changement plus simple qu’il n’y paraît

Le passage de Gmail à ProtonMail a été beaucoup moins douloureux que ce que j’imaginais. L’import des emails est relativement fluide, l’interface est moderne, et on retrouve rapidement ses repères.

Évidemment, il y a quelques ajustements. Le moteur de recherche fonctionne différemment à cause du chiffrement, certaines automatisations sont moins poussées qu’avec Google, mais honnêtement, ce sont des concessions mineures au regard des gains en confidentialité. Lorsque l’on vient de Gmail la prise en main est immédiate car ProtonMail s’est largement inspiré de Gmail ce qui est assez malin. On retrouve les dossiers, les labels, les favoris, la mise en attente des messages, … Pour ma part la transition a été très naturelle.

Au quotidien, ProtonMail fait largement le travail. Les performances sont au rendez-vous, la délivrabilité est excellente, et le sentiment de reprendre la main sur ses communications est réel. Pour une fois, on n’a pas l’impression d’être observé en permanence. L’ergonomie est excellente, que vous soyez sur PC ou sur votre smartphone.

J’ai conservé ma boîte Gmail pour tout ce qui est newsletters, publicités, abonnements à des cartes quand on me demande mon mail dans un magasin. Mais tout ce qui est personnel et administratif est désormais basculé sur ProtonMail.

Remplacer Google Drive par Proton Drive : le vrai tournant

C’est probablement sur la partie stockage que le changement a été le plus symbolique. Google Drive est extrêmement pratique, très intégré, et largement adopté. Le quitter demande un peu plus de réflexion.

Proton Drive propose une approche radicalement différente. Tous les fichiers sont chiffrés côté client, ce qui signifie que personne d’autre que vous ne peut y accéder. Pas même Proton.

Pour un usage professionnel ou personnel classique, c’est largement suffisant. Documents, fichiers sensibles, sauvegardes… tout y passe. Là encore, on perd certaines fonctionnalités avancées de collaboration en temps réel, mais on gagne en tranquillité d’esprit.

C’est un arbitrage assumé. Moins de magie, plus de contrôle.

Comme pour Google Drive, vous pouvez profiter de Proton Drive sur ordinateur (Web ou Application) et sur Smartphone.

Dans la mesure ou j’ai pris l’abonnement Proton Unlimited qui regroupe Proton Mail, Proton Drive, Proton VPN, Proton Pass, Proton Calendar, Proton Sheets, Proton Lumo AI, Proton Wallet, Proton Docs, je dispose de 500 Go d’espace global, ce qui est juste parfait pour moi. Et le premier usage que je fais de ProtonDrive sur mon smartphone est de synchroniser toute ma galerie photo, en plus de la sauvegarder sur mon NAS UGREEN.

Un écosystème complet, cohérent et crédible

Ce qui m’a définitivement convaincu, ce n’est pas un service isolé, mais l’écosystème global. Proton ne se limite pas à un email ou à un drive. L’offre inclut aussi un VPN, un gestionnaire de mots de passe, un calendrier et des outils collaboratifs. Je suis un gros utilisateur de VPN et Proton VPN se révèle être aujourd’hui l’une des meilleurs solutions VPN du marché avec un gros focus sur le respect de votre vie privée et la possibilité de faire du téléchargement de Torrent sans restrictions et à très haut débit.

Voici une vue d’ensemble des services proposés dans l’abonnement Proton Unlimited :

N’hésitez pas à tester les services de Proton, vous avez 30 jours d’essai ce qui est parfait pour vous familiariser avec les solutions.

La souveraineté numérique commence par des choix individuels

Changer de services numériques ne va pas bouleverser l’équilibre géopolitique mondial. Mais multiplier ces choix, à l’échelle individuelle et collective, envoie un signal clair.

L’Europe ne pourra jamais prétendre à une véritable souveraineté numérique si ses citoyens, ses entreprises et ses administrations continuent à dépendre quasi exclusivement d’acteurs soumis à des lois étrangères. Sans posture anti-américaine, sans rejet caricatural, il est simplement temps de diversifier et de privilégier des solutions alignées avec nos valeurs.

Pour ma part, quitter Gmail et Google Drive a été moins une rupture qu’un réalignement. Un choix pragmatique, réfléchi, et finalement assez naturel.

FAQ – Souveraineté numérique et Proton

Pourquoi quitter Gmail et Google Drive aujourd’hui ?

Parce que ces services dépendent d’entreprises soumises à des lois américaines permettant l’accès aux données, même celles des Européens.

Proton est-il vraiment plus respectueux de la vie privée ?

Oui, Proton repose sur le chiffrement de bout en bout et un modèle économique sans publicité ni exploitation des données.

Est-ce compliqué de migrer depuis Google ?

La migration demande un peu de temps, mais les outils d’import facilitent grandement le processus.

Proton est-il adapté à un usage professionnel ?

Oui, de plus en plus d’indépendants et de PME utilisent Proton pour leurs emails et leur stockage sécurisé.

Les services Proton sont-ils hébergés en Europe ?

Proton est une entreprise européenne, basée en Suisse, hors juridiction américaine, avec des infrastructures conformes aux standards européens.

Cet article original intitulé Pourquoi j’ai quitté Gmail et Google Drive pour des services européens a été publié la première sur SysKB.

Les data brokers, ces intermédiaires invisibles du Web, ont transformé votre vie numérique en produit de consommation courante. Ils collectent, recoupent et monétisent des milliers de détails sur vous : adresse précise, numéros de téléphone, emails secondaires, habitudes d'achat, revenus estimés, présence sur les réseaux, même des inférences sur votre santé ou vos orientations politiques ou sexuelles. Incogni s'attaque à ce rouleau compresseur en demandant, à votre place et en continu, la suppression de ces informations chez plus de 420 courtiers, pour que votre profil cesse enfin d'être un actif coté en bourse.

Le Web aspire vos infos plus vite que vous ne pouvez cliquer sur « refuser »

On pense souvent que les fuites viennent de gros hacks spectaculaires ou sont offertes par nos sites gouvernementaux. Mais la réalité est bien plus banale et implacable. Chaque inscription à un service, chaque programme de fidélité, chaque appli « pratique », chaque extension Chrome boostée à l'IA devient une porte ouverte. Une étude récente d'Incogni sur 442 extensions Chrome alimentées par l'IA montre que 67% d'entre elles collectent des données utilisateur, 41% raflent des infos personnelles identifiables (mots de passe, historique, localisation, communications privées), et un tiers ont un impact de risque élevé en cas de compromission. Des outils comme Grammarly, DeepL ou QuillBot, avec des millions d'utilisateurs, demandent des permissions massives pour injecter du code partout et aspirer votre activité. Tout ça au nom de la « productivité ».

Ces données ne restent pas dans un coffre : elles se déversent chez les brokers, qui les raffinent et les revendent. Résultat : votre adresse exacte apparaît sur des sites de recherche de personnes, votre profil d'achat sert à des pubs invasives ou à des hausses de prix ciblées, et des escrocs utilisent ces détails pour monter des phishings crédibles. Sans intervention, votre empreinte s'alourdit d'année en année, rendant les scams plus efficaces et les usurpations d'identité plus simples à exécuter.

Incogni : l'agent qui harcèle les brokers à votre place

Plutôt que de vous laisser batailler avec des formulaires opt-out incompréhensibles et des réponses en 45 jours maximum (comme l'exige le RGPD), Incogni prend le relais dès l'inscription. Le service scanne les brokers susceptibles de détenir vos infos, envoie des demandes légales de suppression, et relance tous les 60 à 90 jours ceux qui traînent ou rechignent. Un audit Deloitte confirme que cela couvre bien 420+ brokers, avec des relances systématiques et des confirmations de suppression obtenues dans la grande majorité des cas.

Le tableau de bord de l'outil est limpide : gravité de l'exposition par broker, statut des requêtes (confirmée, en attente, refus), et même des suppressions personnalisées sur des sites hors liste standard (genre un vieux forum, un annuaire pro, un résultat Google tenace). Et ça va assez vite, avec une baisse notable des spams ciblés dès la première semaine et des fiches publiques qui s'évaporent progressivement. Si un broker ne coopère pas ? Incogni peut escalader vers les autorités de protection des données.

Pourquoi vos données dans de mauvaises mains vous coûtent cher

Avoir ses infos chez les brokers, c'est non seulement envahir sa boîte mail de pubs sur mesure, mais aussi faciliter les scams. Un appel téléphonique cherchant à vous arnaquer, un faux site de livraison avec votre adresse exacte, un mail d'« urgence bancaire » avec vos vrais détails, ou une usurpation qui passe crème parce que le voleur connaît déjà votre contexte. Les rapports sur les fraudes en ligne montrent que ces attaques exploitent précisément ces données achetées à bas prix.

Incogni brise ce cycle en rendant votre profil moins attractif : moins de détails disponibles, moins de valeur marchande, moins de copies circulant. Les retours d'utilisateurs confirment une réduction des recherches de personnes qui vous listent, des démarchages ciblés qui s'estompent, et une sérénité accrue face aux fuites futures. Le service gère aussi les relances pour que les suppressions tiennent dans le temps, transformant une corvée ponctuelle en maintenance automatique.

Prendre le contrôle : une démarche qui paye sur la durée

Le vrai pouvoir d'Incogni réside dans sa persistance. Contrairement à un ménage manuel qui s'essouffle vite, il continue d'envoyer des demandes, suit les réponses, et ajoute de nouveaux brokers au fil des mises à jour (des dizaines par an). Basé aux Pays-Bas, il respecte scrupuleusement le RGPD et d'autres régimes comme le CCPA, avec une procuration numérique qui vous décharge légalement de tout le process. Son efficacité pour les particuliers comme les pros qui veulent limiter les risques sur des listes clients ou employés n'est pas prise en défaut.

Vos données ne sont pas condamnées à rester en vente éternellement. Des lois vous donnent le droit à l'effacement, et Incogni est l'outil qui passe ses journées à l'exercer pour vous. En 2026, alors que les extensions IA et les brokers s'enhardissent, commencer par nettoyer ce qui traîne est le geste le plus concret pour reprendre les rênes. Moins de données en circulation, c'est moins de spam, moins de scams crédibles, et surtout la fin de cette sensation diffuse d'être constamment observé par des inconnus qui en savent trop long.

Au niveau du prix, ça reste constant. Vous pouvez toujours vous protéger à partir de 77,63€ TTC par année, soit -55% avec le code KORBEN55.

-> Cliquez ici pour reprendre vos données en main ! <-

Vous avez déjà remarqué à quel point nos claviers Android sont devenus bavards ? Que ce soit Gboard ou SwiftKey , ils ont tous la fâcheuse tendance à vouloir "améliorer l'expérience utilisateur" en envoyant vos habitudes de frappe sur des serveurs distants. Forcément, quand on sait que tout ce qu'on tape, des mots de passe aux messages privés, passe par cette petite interface, ça peut vite donner des sueurs froides niveau vie privée.

Alors c'est exactement pour contrer cette tendance qu'un nouveau projet open source vient de pointer le bout de son nez : Urik .

Pas de télémétrie dans ce clavier, et pour les plus paranos, sachez que le dictionnaire personnalisé et l'apprentissage des mots sont également stockés dans une base de données locale chiffrée avec SQLCipher. Vos frappes restent donc chez vous et nulle part ailleurs. On est dans la même philosophie que FUTO Voice Input , ce qui prouve qu'on peut avoir des outils intelligents sans pour autant sacrifier sa vie privée.

Côté technique, Urik n'est pas un clavier au rabais. Développé en Kotlin, sous licence GPL-3.0, il propose tout ce qu'on attend d'un outil moderne : la saisie par glissement (swipe), le contrôle du curseur via la barre d'espace et le support de dispositions alternatives comme le Dvorak, le Colemak ou le Workman.

Et pour la correction orthographique, il s'appuie sur l'algorithme SymSpell qui tourne lui aussi intégralement sur le téléphone. L'intelligence du truc permet d'ailleurs d'éviter de corriger bêtement les URLs ou les adresses email, ce qui évite pas mal de frustrations au quotidien.

Petite parenthèse, pour ceux qui ont besoin d'outils de protection supplémentaires sur mobile, n'hésitez pas aussi à jeter un œil à Oversec pour chiffrer vos communications.

Urik, de son côté, soigne aussi l'accessibilité avec un support complet de TalkBack et des thèmes à haut contraste conformes aux normes WCAG AA. L'application nécessite au minimum Android 8.0 et bien qu'elle soit encore officiellement en bêta, elle est déjà très stable pour un usage quotidien.

Alors oui, ça demande un petit temps d'adaptation quand on quitte les géants du secteur, mais le gain en sérénité est immédiat. Plus besoin de se demander si votre prochain message va finir dans une base de données publicitaire.

Sachez aussi que le projet est entièrement financé par sa communauté, ce qui garantit une certaine indépendance vis-à-vis des trackers habituels. Bref, si vous cherchez à reprendre le contrôle sur ce que vous saisissez, c'est clairement une alternative à tester d'urgence sur votre smartphone.

A télécharger ici sur le PlayStore !

Merci à Lorenper pour le partage !

Malgré les engagements publics de X pour limiter les dérives de son intelligence artificielle, Grok continue de produire des images sexualisées de personnes réelles sans leur consentement. Si la plateforme affirme avoir bloqué certaines pratiques visant les femmes, des tests récents montrent que ces garde-fous ne s’appliquent pas …

Lire la suite

Aimez KultureGeek sur Facebook, et suivez-nous sur Twitter

N'oubliez pas de télécharger notre Application gratuite iAddict pour iPhone et iPad (lien App Store)

L’article Grok ne déshabille plus les femmes, mais continue de déshabiller… les hommes est apparu en premier sur KultureGeek.

L’Indonésie a décidé de lever l’interdiction visant Grok, le chatbot développé par xAI, rejoignant ainsi la Malaisie et les Philippines qui avaient déjà assoupli leur position. Cette volte-face intervient après plusieurs semaines de controverse liées à l’utilisation de l’outil pour générer des images sexuelles non consenties, y compris …

Lire la suite

Aimez KultureGeek sur Facebook, et suivez-nous sur Twitter

N'oubliez pas de télécharger notre Application gratuite iAddict pour iPhone et iPad (lien App Store)

L’article Grok de nouveau autorisé en Indonésie après des garanties contre certaines dérives est apparu en premier sur KultureGeek.

Avec tout ce qui se passe en ce moment côté souveraineté numérique, je me suis dit qu'il était temps de vous parler d'une alternative à Google que beaucoup ignorent encore. En plus, j'ai passé pas mal de temps dessus ces dernières semaines, histoire de voir si ça tenait la route, alors il est temps de partager ça avec vous.

Startpage, c'est un moteur de recherche basé à Zeist aux Pays-Bas qui existe depuis 2006 et qui a une approche assez radicale : Vous donner les résultats de Google... sans que Google ne sache que vous existez.

Quand vous tapez une recherche sur Startpage, le moteur va interroger Google à votre place, récupérer les résultats, et vous les afficher. Sauf que votre IP, vos cookies, votre historique... Google n'en voit pas la couleur. C'est comme envoyer quelqu'un faire vos courses pour vous ^^.

Et là où ça devient vraiment intéressant dans le contexte actuel, c'est que Startpage est basé aux Pays-Bas. Du coup, il est soumis au RGPD et aux lois européennes sur la protection des données. Et SURTOUT PAS au Cloud Act américain qui permet aux autorités US de demander vos données même si elles sont stockées en Europe. C'est pas rien comme différence...

Bon, je dis pas que c'est parfait non plus hein. Rien ne l'est. Fin 2018, Privacy One Group, une filiale de System1 (société américaine spécialisée dans... la pub), a pris une participation majoritaire dans Startpage. L'annonce n'est tombée qu'en 2019, ce qui a fait tiquer pas mal de monde dans la communauté vie privée. PrivacyTools.io par exemple l'a même retiré de ses recommandations pendant un moment...

Mais depuis, Startpage a publié des clarifications... en fait selon eux, System1 n'a pas accès aux données de recherche, et la société reste opérée depuis les Pays-Bas avec des serveurs européens.

Côté fonctionnalités, y'a un truc que j'adore et que j'utilise quasi systématiquement depuis 3 semaines c'est le mode "Anonymous View". En fait quand vous cliquez sur un résultat de recherche, au lieu d'aller directement sur le site (qui peut alors tracker votre visite), Startpage peut ouvrir la page via un proxy. Le site que vous visitez ne voit alors que l'IP de Startpage et pas la vôtre. C'est un peu comme un proxy intégré pour chaque clic, qui bloque aussi les scripts de fingerprinting.

Pas mal non ?

D'ailleurs, niveau interface, c'est propre et sans fioritures. Y'a pas de doodles tout naze, pas de suggestions de recherche personnalisées, pas de "vous pourriez aussi aimer", pas d'Ads vers des sites frauduleux... Non, c'est comme à l'ancienne avec juste un bon vieux champ de recherche et des résultats. Ça nous change donc des pages d'accueil de Google qui sont devenues de véritables panneaux publicitaires et dans lesquelles on se perd assez vite.

Alors évidemment, y'a quelques inconvénients aussi... D'abord les résultats sont parfois un peu moins "personnalisés" que sur Google. Normal, vu qu'ils n'ont aucune idée de qui vous êtes, ils ne peuvent donc pas vous proposer le resto le plus proche de chez vous. Faudra donc parfois préciser "Paris", "Clermont-Ferrand" ou "France" dans vos recherches locales. J'ai galéré un peu au début avec ça, car on prend vite de mauvaises habitudes (merci la flemme) mais après j'ai découvert qu'on pouvait préciser ça dans les paramètres.

Et puis de temps en temps, Startpage peut avoir des ralentissements... les joies de l'intermédiation. Mais rien de rédhibitoire rassurez-vous !

Comparé à DuckDuckGo qui utilise principalement Bing comme source et qui est américain (bouuuuh, arrêtez de recommander cette bouze ^^), ou à Qwant qui galère un peu côté pertinence , Startpage offre un compromis intéressant. A savoir la qualité Google sans le tracking Google, et le tout hébergé en Europe.

Car oui avec tout ce qui se passe géopolitiquement en ce moment, je pense que c'est bien de changer un peu ses habitudes. Vous devriez essayer... Car entre les discussions sur le Cloud Act, les tensions transatlantiques sur les données personnelles, et les GAFAM américains qui aspirent nos données comme des Dyson sous amphét'... avoir une alternative européenne soumise au RGPD, c'est pas juste une question de principe. C'est une vraie question de souveraineté numérique. Les Pays-Bas, c'est pas parfait (aucun pays l'est), mais au moins c'est une juridiction où la CNIL locale a du mordant.

Maintenant pour l'utiliser, rien de sorcier. Vous allez sur startpage.com et vous pouvez même le configurer comme moteur par défaut dans votre navigateur. Attention par contre, sur certains navigateurs (Safari notamment), c'est un peu planqué dans les préférences. Y'a aussi une extension pour Firefox et Chrome si vous voulez. Et si vous voulez aller plus loin dans la protection de votre vie privée, combinez ça avec une extension qui gère vos cookies .

Et voilà, si vous en avez marre de voir des pubs ultra-ciblées qui semblent lire dans vos pensées, et d'offrir la moindre de vos requêtes aux américains, ce moteur de recherche néerlandais vaut vraiment le coup d'œil.

À découvrir ici !

Vous pensiez que quand vous coupiez le son de votre micro sur Mac, plus personne ne vous écoutait ? Alalalala, si seulement c'était aussi simple. Hé oui même s'ils s'en cachent bien, Apple Intelligence et Siri ont toujours une petite oreille qui traîne, histoire de guetter le fameux "Dis Siri".

C'est logique mais ça fait un peu chier quand même surtout si vous bossez sur des trucs sensibles ou que vous tenez simplement à votre vie privée. Heureusement, j'ai trouvé un petit outil open source qui va remettre de l'ordre dans tout ça.

Son nom c'est NoSpy et c'est un utilitaire en ligne de commande (CLI) développé par l'équipe de BrowserBox, et son boulot c'est de s'assurer que votre micro est VRAIMENT coupé.

Le truc cool avec NoSpy, c'est qu'il ne se contente pas de baisser le volume d'entrée à zéro. Non, il vérifie aussi si des fonctionnalités d'écoute en arrière-plan (comme Siri ou les nouvelles fonctions "Intelligence" d'Apple) sont actives et susceptibles de capturer de l'audio malgré le mute système.

En gros, ça vous offre un vrai bouton ON/OFF fiable et comme le code est écrit en Swift pur et ne fait que 156 lignes, c'est hyper facile à auditer si vous êtes parano (et vous avez raison de l'être). Y'a pas non plus de dépendances obscures... Non, c'est juste un petit bout de code qui fonctionne.

Pour l'installer, c'est hyper fastoche. Il suffit de cloner le dépôt et de compiler le truc avec Swift (qui est dispo par défaut si vous avez les outils Xcode).

# On clone, on compile
git clone https://github.com/BrowserBox/NoSpy.git
cd NoSpy
swiftc nospy.swift -o nospy

# Et si ça vous plait, vous pouvez le bouger dans bin
sudo mv nospy /usr/local/bin/

Vous savez combien de services américains vous utilisez sur votre site web utilise sans que vous ne le sachiez réellement ??? Aucun ? Bah et les Google Fonts pour la typo, Cloudflare pour le CDN, YouTube pour les vidéos embarquées, Google Analytics pour les stats et j'en passe des vertes et des pas mûres... ??? Faudrait pas les oublier !

Ainsi même si votre hébergement est chez O2Switch ou Scaleway en France, vos visiteurs peuvent envoyer des données aux USA sans que vous le réalisiez.

Et ça pose un vrai problème juridique car je sais pas si vous vous souvenez du Privacy Shield mais c'était ce fameux accord qui permettait de transférer légalement des données vers les États-Unis ? Hé bien il a été invalidé par la Cour de Justice européenne en 2020. Tout comme Safe Harbor avant lui en 2015 en fait. Et il y a maintenant le Data Privacy Framework, mais rien ne garantit qu'il tiendra plus longtemps que les précédents.

C'est là qu'intervient EU Audit , un scanner gratuit développé par un studio autrichien. Vous entrez l'URL de votre site et en quelques secondes, l'outil analyse vos principales dépendances : hébergement, polices, analytics, CDN, vidéos embarquées, widgets de chat, trackers sociaux et cartes. Chaque élément est vérifié pour déterminer s'il est hébergé dans l'UE ou pas et à la fin, vous obtenez un score de « souveraineté européenne » en pourcentage.

Perso, j'ai testé sur korben.info et je me suis pris une claque. Principalement à cause de Cloudflare et de mes embed de vidéos Youtube.

Pourtant, j'ai plus rien sur mon site à part ça, et mon hébergeur c'est o2Switch et c'est bien en France. Il me parle de "Social" mais j'ai rien du tout, à part des liens vers mes réseaux sociaux... J'sais pas peut être que ça suffit. En fait, suffirait que je vire Cloudflare pour repasser un dans le vert déjà mais je n'ai pas connaissance d'une solution équivalente et pas trop cher (parce que je fais plus de trafic que j'ai de moyens pour le financer, sniiif) qui assure du CDN, de la sécurité, des workers...etc. Ça existe peut-être mais dans ce cas, envoyez moi un mail pour que j'aille voir ça. Après pour l'embed YouTube, pareil, je vois pas trop quoi faire vu que je relaie surtout des vidéos YouTube parce que la Terre entière met ses vidéos là bas...

Bien sûr, j'ai trouvé l'idée de ce scanner pas mal du tout. Ça permet de visualiser rapidement où sont les fuites de données potentielles... Je ne les utilise pas mais y'a Google Fonts par exemple. C'est un classique... Chaque visiteur fait une requête vers les serveurs de Google, qui récupère son IP au passage. Pareil pour les vidéos YouTube embarquées, les maps Google, ou le sempiternel vieux pixel Facebook que certains laissent encore traîner sans même s'en rendre compte. D'ailleurs si vous voulez auditer votre propre hygiène numérique , j'avais fait un guide complet sur le sujet.

Bon après, l'outil ne détecte pas tout (les scripts inline ou les appels API cachés dans votre code, par exemple). Et pour un blog perso sans données sensibles, c'est peut-être un peu overkill. Mais si vous gérez des sites pour des entreprises ou des clients sensibles (administrations, santé, éducation...), y'a de quoi réfléchir ! Surtout que le passage à des alternatives européennes n'est pas toujours aussi compliqué qu'on le croit. Matomo au lieu de Google Analytics, des polices auto-hébergées, OpenStreetMap au lieu de Google Maps...

Si vous voulez soutenir un web indépendant et que je puisse continuer à dénicher ce genre d'outils, ça se passe sur mon Patreon .

Bref, si vous voulez faire le point sur la dépendance de votre site aux GAFAM, c'est gratuit et ça prend 30 secondes.

Vous voulez faire tourner des modèles d'IA directement sur votre téléphone, sans envoyer vos données à un serveur distant ?

Ça tombe bien puisque Google a sorti Edge Gallery , une application open source qui permet d'exécuter des LLM et des modèles multimodaux en local sur Android et iOS. Et vu que c'est sous licence Apache 2.0, personne ne pourra vous la retirer... même si Google décide un jour de passer à autre chose ^^.

Vous l'aurez compris, ce qui est cool avec cette app c'est que tout se passe sur l'appareil. Vos conversations avec l'IA, vos photos analysées, vos notes audio transcrites... rien ne quitte votre smartphone. Et visiblement, ça plaît puisque l'app a dépassé les 500 000 téléchargements en seulement deux mois après sa sortie sur GitHub.

Et comme je sais que parmi vous, y'a pas mal de paranos comme moi et de gens qui ne prennent pas leurs médicaments (pas comme moi), je pense que c'est le genre de solution qui va vous faire plaisir !

Ce qu'on peut faire avec

Edge Gallery embarque plusieurs fonctionnalités qui couvrent pas mal de cas d'usage du quotidien. Concrètement, vous avez :

AI Chat pour discuter avec un LLM comme vous le feriez avec ChatGPT, sauf que tout reste en local. Pratique pour brainstormer, rédiger des mails ou juste poser des questions sans connexion internet.

Ask Image pour analyser vos photos. Vous prenez un truc en photo et vous demandez à l'IA de vous expliquer ce que c'est. Ça marche pour identifier des plantes, décrypter une facture, ou comprendre un schéma technique.

Audio Scribe pour transcrire de l'audio en texte. Vous enregistrez une réunion, une interview, ou vos propres notes vocales, et hop, ça devient du texte exploitable. Et depuis la dernière mise à jour, vous pouvez même traduire directement dans une autre langue.

L'interface d'AI Edge Gallery sur Android

Prompt Lab pour les développeurs qui veulent tester leurs prompts et benchmarker les différents modèles disponibles. Y'a même des métriques en temps réel (temps de première réponse, vitesse de décodage, latence) pour les geeks de l'optimisation.

Tiny Garden, c'est le petit bonus rigolo : un mini-jeu expérimental entièrement offline où vous utilisez le langage naturel pour planter, arroser et récolter des fleurs. Bon, c'est gadget, mais ça montre bien les possibilités du truc.

Mobile Actions pour les plus aventuriers. Vous pouvez utiliser une recette open source pour fine-tuner un modèle, puis le charger dans l'app pour contrôler certaines fonctions de votre téléphone en offline. C'est encore expérimental, mais ça peut donner des idées intéressantes.

Les modèles disponibles

L'app propose plusieurs modèles selon vos besoins. On retrouve la famille Gemma de Google (Gemma 3 en 1B et 4B paramètres, Gemma 3n optimisé pour les appareils plus modestes et qui gère maintenant l'audio), mais aussi des modèles tiers comme Qwen2.5, Phi-4-mini de Microsoft, ou encore DeepSeek-R1 pour ceux qui veulent du raisonnement plus poussé.

Et les gardes fous sont facilement contournables...

Il y a aussi des modèles spécialisés comme TranslateGemma pour la traduction (55 langues supportées) et FunctionGemma pour l'appel de fonctions et tout ce petit monde tourne grâce à LiteRT , le runtime léger de Google pour l'inférence on-device.

D'ailleurs, la communauté Hugging Face propose déjà pas mal de modèles convertis au format LiteRT donc si les modèles par défaut ne vous suffisent pas, vous pouvez aller fouiller dans leur collection pour trouver votre bonheur. Et pour les plus aventuriers, vous pouvez même charger vos propres modèles au format .litertlm.

Installation sur Android

Pour Android, c'est simple, direction le Play Store et vous cherchez "AI Edge Gallery". Vous pouvez aussi télécharger l'APK directement depuis les releases GitHub si vous préférez. Il vous faut Android 12 minimum et un appareil avec au moins 4 Go de RAM (8 Go recommandés pour les gros modèles).

Au premier lancement, l'app vous propose de télécharger les modèles. Comptez entre 500 Mo et 4 Go par modèle selon la taille. Une fois téléchargés, ils sont stockés localement et vous n'avez plus besoin de connexion pour les utiliser.

Et sur iOS / macOS ?

Pour iOS, l'app est disponible en bêta via TestFlight . Attention, c'est limité à 10 000 testeurs (premier arrivé, premier servi), et il faut un appareil avec minimum 6 Go de RAM. Moi c'est ce que j'utilise et comme c'est pas encore la version finale, il manque quelques trucs mais ça fonctionne. Google vise une sortie officielle sur l'App Store début 2026. J'ai hâte !

Pour macOS par contre... il n'y a pas de version native. L'app est pensée pour le mobile uniquement donc si vous voulez vraiment tester sur votre Mac, la solution c'est de passer par un émulateur Android comme Android Studio (avec l'émulateur intégré) ou BlueStacks. BlueStacks Air est d'ailleurs optimisé pour les Mac Apple Silicon. C'est pas idéal mais ça dépanne.

Cela dit, si vous êtes sur Mac et que vous voulez faire tourner des LLM en local, regardez plutôt du côté d'Ollama ou de LM Studio qui sont nativement compatibles.

Pourquoi c'est intéressant ce truc ?

L'intérêt principal, c'est évidemment la confidentialité. Vos données ne transitent jamais par des serveurs externes donc vous en gardez le contrôle total. C'est particulièrement pertinent si vous bossez avec des documents sensibles ou si vous êtes simplement attaché à votre vie privée.

L'autre avantage, c'est que ça fonctionne hors ligne. Dans le métro, en avion, en zone blanche... votre IA reste disponible. Pas de latence réseau, pas de "serveur surchargé, réessayez plus tard".

Et puis le fait que ce soit open source, ça ouvre pas mal de portes car la communauté peut contribuer, ajouter des modèles, corriger des bugs et même si Google abandonne le projet (ce qui ne serait pas une première), le code restera là et on pourra faire des forks ! (Pourquoi attendre en fait ??)

Voilà, pour ceux qui veulent creuser, le wiki GitHub du projet contient pas mal de documentation sur l'ajout de modèles personnalisés et l'utilisation avancée de l'API LiteRT.

Éclatez-vous bien !

Qui n'a jamais eu envie de savoir si "KikouLolDu93" avait aussi un compte sur un site de rencontre ou un forum obscur de haxx0rs ? C'est humain, c'est de la curiosité... ou de l'OSINT (Open Source Intelligence) si vous voulez faire genre vous êtes un pro. Et pour ça, j'ai l'outil qu'il vous faut : Social Analyzer .

Ce script est un détective privé numérique qui va frapper à la porte de plusieurs centaines de sites (Facebook, X (ex-Twitter), Instagram, Tinder, et des trucs bien plus niches) pour vérifier la présence d'un pseudo.

Développé par qeeqbox, Social Analyzer ne se contente pas de tester une URL. Il analyse les pages, vérifie les métadonnées, et vous sort un score de confiance de 0 à 100. Notez qu'un score de 100 n'est pas une preuve d'identité absolue (on n'est pas à la police scientifique), mais une forte probabilité basée sur les signaux trouvés. À l'inverse, un score de 0 peut signifier que c'est un homonyme, ou simplement que le site a bloqué la requête. Ça évite en tout cas de stalker la mauvaise personne trop vite.

L'outil est codé en JavaScript et Python, et vous pouvez l'utiliser en ligne de commande ou via une interface web plutôt propre si le terminal vous donne de l'urticaire.

Comment on installe la bestiole ?

Vous avez plusieurs options, mais la plus simple si vous avez Python 3 d'installé, c'est via pip (vérifiez bien que c'est le paquet officiel) :

pip3 install social-analyzer

Et hop, c'est réglé. Ensuite pour lancer une recherche rapide, c'est aussi simple que :

social-analyzer --username "le_pseudo_a_chercher"

Si vous êtes plus team NodeJS, vous pouvez aussi cloner le dépôt GitHub et lancer ça à la main :

git clone https://github.com/qeeqbox/social-analyzer.git
cd social-analyzer
npm install
npm start

Ça lancera l'interface web sur votre machine (généralement sur le port 9005), et vous pourrez faire vos recherches tranquillement en cliquant sur des boutons.

Et ça marche vraiment ?

Franchement, oui. C'est même assez bluffant de voir tout ce qui ressort. Il peut même tenter d'extraire des infos supplémentaires comme la bio ou l'avatar si les sites ne sont pas trop protégés contre le scraping.

Par contre, petit disclaimer habituel : ce genre d'outil, c'est pour de l'investigation légitime. Genre vérifier vos propres traces numériques pour faire du nettoyage, ou pour des enquêtes de sécu. Ne commencez pas à l'utiliser pour harceler les gens, le web n'a pas besoin de ça.

D'ailleurs, si le sujet de l'OSINT vous branche, jetez un œil à mon article sur Blackbird qui fait un boulot similaire, ou apprenez à analyser un profil GitHub comme un chef.

Bref, Social Analyzer c'est puissant, c'est open source, et ça fait le café. À utiliser avec intelligence évidemment !

Merci à Lorenper !

Vous pensiez que votre imprimante de bureau était juste un objet d'un autre temps qui enchaine des bourrages papier toute la journée et vous réclame de l'encre hors de prix comme un enfant qui attend sa têtée ? Ben va falloir revoir vos priorités niveau paranoïa, parce que c'est bien plus que ça !

Une enquête du Washington Post vient en effet de révéler comment le FBI a identifié un de leurs lanceurs d'alerte grâce aux logs d'impression de son employeur. Aurelio Luis Perez-Lugones, spécialiste IT pour un sous-traitant du gouvernement américain, aurait fait des captures d'écran de documents classifiés dans un SCIF (ces salles ultra-sécurisées où même votre téléphone n'entre pas), puis les aurait collés dans Word avant de les imprimer.

Et comment ils l'ont su ?

Hé bien il semblerait que les logs d'impression de sa boîte aient joué un rôle clé dans l'enquête, en complément des caméras de vidéosurveillance, bien sûr.

Car oui, ces systèmes ne se contentent pas de noter "Jean-Michel a imprimé 47 pages le 15 janvier". Non, ils peuvent stocker le contenu intégral des documents, les métadonnées, l'heure exacte, le poste de travail utilisé...etc. En gros, votre patron sait exactement ce que vous avez imprimé, et depuis combien de temps vous essayez de photocopier votre CV en douce.

Mais le plus flippant dans cette histoire, c'est que ça ne s'arrête pas aux logs réseau puisque même votre imprimante perso à la maison, elle-même, peut vous balancer, et cela depuis des décennies...

Vous avez déjà entendu parler des révélations d'Edward Snowden sur la surveillance de masse ? Ben là, c'est pareil, mais en version papier.

En effet, depuis les années 80, la plupart des imprimantes laser couleur intègrent un système de traçage appelé Machine Identification Code (MIC). Grâce à ce système, chaque page que vous imprimez contient une grille quasi-invisible de points jaunes d'environ 0,1 millimètre, espacés d'un millimètre. Ces points encodent le numéro de série de votre machine et la date/heure d'impression, ce qui fait que n'importe quel document imprimé peut être relié à une imprimante spécifique.

C'est discret, faut de bons yeux.

Le Chaos Computer Club et l'EFF ont documenté ce système depuis des années et l'EFF maintient même une liste des fabricants qui utilisent ces mouchards (spoiler : la plupart des grandes marques y sont).

Comment vérifier si votre imprimante vous espionne

Première étape : imprimez une page avec du contenu coloré sur fond blanc. Ensuite, examinez-la sous une lumière bleue ou un microscope et là vous verrez probablement une grille de points jaunes, à peine détectables à l'œil nu.

Pour les plus techniques d'entre vous, l'outil DEDA (Dot Evidence Documentation and Analysis) développé par l'Université Technique de Dresde permet d'analyser et même d'anonymiser ces traces.

Comment auditer les logs d'impression en entreprise

Si vous êtes admin réseau ou simplement curieux de savoir ce que votre boîte enregistre, voici où chercher :

Sur Windows Server, direction la console de gestion d'impression. Les logs sont généralement dans l'Observateur d'événements sous "Applications et services" > "Microsoft" > "Windows" > "PrintService". Activez les logs "Operational" si ce n'est pas déjà fait.

Sur les imprimantes réseau, accédez à l'interface web d'administration (généralement l'IP de l'imprimante dans un navigateur). Cherchez une section "Logs", "Journal" ou "Historique des travaux". Certains modèles HP Enterprise ou Xerox stockent des semaines entières de données.

Sur les serveurs d'impression centralisés type PaperCut ou Equitrac, c'est la fête car ces solutions peuvent stocker énormément de données, du nom d'utilisateur jusqu'au contenu OCR des documents scannés si des modules ou intégrations spécifiques ont été activés.

Comment limiter ces traces

Pour les points jaunes, DEDA propose un mode d'anonymisation qui ajoute du bruit dans le pattern. C'est pas parfait, mais ça complique sérieusement le traçage !

Après pour les logs réseau, c'est plus compliqué... En entreprise, vous n'avez généralement pas le contrôle. Par contre, si c'est chez vous, désactivez simplement la journalisation dans les paramètres de votre imprimante et évitez les services cloud des fabricants.

Ah et une dernière chose : si vous imprimez des documents sensibles mes petits lanceurs d'alertes préférés, privilégiez une imprimante laser noir et blanc d'occasion payée en cash. Les modèles monochromes n'ont pas les fameux points jaunes, et une machine sans historique réseau, c'est une machine qui ne parle pas.

Encore une fois c'est difficile de lutter contre cette surveillance généralisée, mais au moins maintenant vous savez que votre imprimante n'est pas qu'un simple périphérique !

C'est potentiellement le meilleur indic de votre bureau !

Source

Aujourd'hui, on va parler d'un truc qui gratte un peu : le tracking web.

Vous savez, cette sensation d'être suivi par une armée de régies publicitaires dès qu'on clique sur un article de presse ou qu'on cherche une nouvelle paire de pompes. Bah la CNIL, via son laboratoire d innovation (le LINC), développe depuis 2013 un outil qui permet de mettre des images sur ce sentiment de persécution numérique : CookieViz .

L'outil de dataviz du LINC ( Source )

CookieViz, c'est un logiciel de dataviz en temps réel qui analyse les interactions entre un navigateur et les serveurs distants. Vous naviguez via l'outil (qui embarque son propre navigateur pour la version desktop) et celui-ci débusque les cookies et les requêtes observables envoyées vers des domaines tiers.

Et souvent, le résultat ressemble à un gros plat de cyber spaghettis où chaque fil mène à un tracker différent.

La version 2.3, publiée en juin 2022 (ça date un peu, c'est vrai) reste la référence stable du projet. Le système d'analyse a été revu pour être plus stable et le navigateur intégré est plus sécurisé et la visualisation met en avant le rôle central des places de marché publicitaires dans les mécanismes d'enchères en temps réel (RTB). Vous verrez ainsi comment un seul clic peut déclencher une cascade de connexions vers des acteurs dont vous n'avez jamais entendu parler.

Le projet est open source et disponible sur GitHub ( Source )

Alors oui, pour ceux qui se demandent comment voir les cookies de suivi sans installer un logiciel complet, les navigateurs comme Chrome ou Firefox proposent des outils rudimentaires dans leurs menus de réglages. Mais franchement, à côté de CookieViz, c'est un peu comme essayer de comprendre le trafic routier en regardant par le trou d'une serrure.

Pour les amateurs de bidouille, sachez aussi que c'est du logiciel libre sous licence GPLv3 donc vous pouvez donc aller gratter le code, l'améliorer ou simplement vérifier que la CNIL ne vous espionne pas en douce (ahaha, je plaisante hein...^^).

L'outil est dispo en version desktop pour Windows, Linux et macOS et il existe aussi une extension officiellement publiée pour Firefox , tandis que les utilisateurs de Chrome ou Opera devront passer par une installation manuelle du code depuis la branche Chromium du projet.

Moi j'ai préféré l'installé à la main comme ceci en clonant le projet :

git clone https://github.com/LINCnil/CookieViz
cd CookieViz

Puis modifiez le package.json pour utiliser une version moderne de NW.js
(la version 0.64.1 originale n'est plus disponible). Dans devDependencies, remplacez :

"nwjs-builder-phoenix": "^1.15.0"

par :

"nw": "0.92.0-sdk"

Et dans scripts, remplacez :

"start": "run --x64 --mirror https://dl.nwjs.io/ ."

par :

"start": "nw ."

Puis installez et lancez :

npm install
npm run start

Ensuite, vous voilà paré pour l'audit !

Et si vous voulez vraiment reprendre le contrôle, n'oubliez pas qu'il existe d'autres solutions complémentaires. Vous pouvez par exemple essayer d' embrouiller les sites avec User-Agent Switcher (même si c'est loin d'être une protection ultime face au fingerprinting moderne) ou carément automatiser le nettoyage avec Cookie AutoDelete . Mais perso, je trouve que pour l'aspect pédagogique et "prise de conscience", CookieViz reste un outil de premier plan.

Voilà, si vous voulez voir la gueule de votre tracking en direct et réaliser que la vie privée sur le web moderne ça n'existe pas (sauf ici), allez donc faire un tour sur le site du LINC .

De quoi verser une petite larme sur le web d'antan...

Source

Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !

La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.

La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.

La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.

Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.

Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.

Pour ceux qui veulent creuser le fonctionnement des programmes de bug bounty , c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.

Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !

Source