Vous avez déjà remarqué à quel point nos claviers Android sont devenus bavards ? Que ce soit Gboard ou SwiftKey , ils ont tous la fâcheuse tendance à vouloir "améliorer l'expérience utilisateur" en envoyant vos habitudes de frappe sur des serveurs distants. Forcément, quand on sait que tout ce qu'on tape, des mots de passe aux messages privés, passe par cette petite interface, ça peut vite donner des sueurs froides niveau vie privée.

Alors c'est exactement pour contrer cette tendance qu'un nouveau projet open source vient de pointer le bout de son nez : Urik .

Pas de télémétrie dans ce clavier, et pour les plus paranos, sachez que le dictionnaire personnalisé et l'apprentissage des mots sont également stockés dans une base de données locale chiffrée avec SQLCipher. Vos frappes restent donc chez vous et nulle part ailleurs. On est dans la même philosophie que FUTO Voice Input , ce qui prouve qu'on peut avoir des outils intelligents sans pour autant sacrifier sa vie privée.

Côté technique, Urik n'est pas un clavier au rabais. Développé en Kotlin, sous licence GPL-3.0, il propose tout ce qu'on attend d'un outil moderne : la saisie par glissement (swipe), le contrôle du curseur via la barre d'espace et le support de dispositions alternatives comme le Dvorak, le Colemak ou le Workman.

Et pour la correction orthographique, il s'appuie sur l'algorithme SymSpell qui tourne lui aussi intégralement sur le téléphone. L'intelligence du truc permet d'ailleurs d'éviter de corriger bêtement les URLs ou les adresses email, ce qui évite pas mal de frustrations au quotidien.

Petite parenthèse, pour ceux qui ont besoin d'outils de protection supplémentaires sur mobile, n'hésitez pas aussi à jeter un œil à Oversec pour chiffrer vos communications.

Urik, de son côté, soigne aussi l'accessibilité avec un support complet de TalkBack et des thèmes à haut contraste conformes aux normes WCAG AA. L'application nécessite au minimum Android 8.0 et bien qu'elle soit encore officiellement en bêta, elle est déjà très stable pour un usage quotidien.

Alors oui, ça demande un petit temps d'adaptation quand on quitte les géants du secteur, mais le gain en sérénité est immédiat. Plus besoin de se demander si votre prochain message va finir dans une base de données publicitaire.

Sachez aussi que le projet est entièrement financé par sa communauté, ce qui garantit une certaine indépendance vis-à-vis des trackers habituels. Bref, si vous cherchez à reprendre le contrôle sur ce que vous saisissez, c'est clairement une alternative à tester d'urgence sur votre smartphone.

A télécharger ici sur le PlayStore !

Merci à Lorenper pour le partage !

Malgré les engagements publics de X pour limiter les dérives de son intelligence artificielle, Grok continue de produire des images sexualisées de personnes réelles sans leur consentement. Si la plateforme affirme avoir bloqué certaines pratiques visant les femmes, des tests récents montrent que ces garde-fous ne s’appliquent pas …

Lire la suite

Aimez KultureGeek sur Facebook, et suivez-nous sur Twitter

N'oubliez pas de télécharger notre Application gratuite iAddict pour iPhone et iPad (lien App Store)

L’article Grok ne déshabille plus les femmes, mais continue de déshabiller… les hommes est apparu en premier sur KultureGeek.

L’Indonésie a décidé de lever l’interdiction visant Grok, le chatbot développé par xAI, rejoignant ainsi la Malaisie et les Philippines qui avaient déjà assoupli leur position. Cette volte-face intervient après plusieurs semaines de controverse liées à l’utilisation de l’outil pour générer des images sexuelles non consenties, y compris …

Lire la suite

Aimez KultureGeek sur Facebook, et suivez-nous sur Twitter

N'oubliez pas de télécharger notre Application gratuite iAddict pour iPhone et iPad (lien App Store)

L’article Grok de nouveau autorisé en Indonésie après des garanties contre certaines dérives est apparu en premier sur KultureGeek.

Avec tout ce qui se passe en ce moment côté souveraineté numérique, je me suis dit qu'il était temps de vous parler d'une alternative à Google que beaucoup ignorent encore. En plus, j'ai passé pas mal de temps dessus ces dernières semaines, histoire de voir si ça tenait la route, alors il est temps de partager ça avec vous.

Startpage, c'est un moteur de recherche basé à Zeist aux Pays-Bas qui existe depuis 2006 et qui a une approche assez radicale : Vous donner les résultats de Google... sans que Google ne sache que vous existez.

Quand vous tapez une recherche sur Startpage, le moteur va interroger Google à votre place, récupérer les résultats, et vous les afficher. Sauf que votre IP, vos cookies, votre historique... Google n'en voit pas la couleur. C'est comme envoyer quelqu'un faire vos courses pour vous ^^.

Et là où ça devient vraiment intéressant dans le contexte actuel, c'est que Startpage est basé aux Pays-Bas. Du coup, il est soumis au RGPD et aux lois européennes sur la protection des données. Et SURTOUT PAS au Cloud Act américain qui permet aux autorités US de demander vos données même si elles sont stockées en Europe. C'est pas rien comme différence...

Bon, je dis pas que c'est parfait non plus hein. Rien ne l'est. Fin 2018, Privacy One Group, une filiale de System1 (société américaine spécialisée dans... la pub), a pris une participation majoritaire dans Startpage. L'annonce n'est tombée qu'en 2019, ce qui a fait tiquer pas mal de monde dans la communauté vie privée. PrivacyTools.io par exemple l'a même retiré de ses recommandations pendant un moment...

Mais depuis, Startpage a publié des clarifications... en fait selon eux, System1 n'a pas accès aux données de recherche, et la société reste opérée depuis les Pays-Bas avec des serveurs européens.

Côté fonctionnalités, y'a un truc que j'adore et que j'utilise quasi systématiquement depuis 3 semaines c'est le mode "Anonymous View". En fait quand vous cliquez sur un résultat de recherche, au lieu d'aller directement sur le site (qui peut alors tracker votre visite), Startpage peut ouvrir la page via un proxy. Le site que vous visitez ne voit alors que l'IP de Startpage et pas la vôtre. C'est un peu comme un proxy intégré pour chaque clic, qui bloque aussi les scripts de fingerprinting.

Pas mal non ?

D'ailleurs, niveau interface, c'est propre et sans fioritures. Y'a pas de doodles tout naze, pas de suggestions de recherche personnalisées, pas de "vous pourriez aussi aimer", pas d'Ads vers des sites frauduleux... Non, c'est comme à l'ancienne avec juste un bon vieux champ de recherche et des résultats. Ça nous change donc des pages d'accueil de Google qui sont devenues de véritables panneaux publicitaires et dans lesquelles on se perd assez vite.

Alors évidemment, y'a quelques inconvénients aussi... D'abord les résultats sont parfois un peu moins "personnalisés" que sur Google. Normal, vu qu'ils n'ont aucune idée de qui vous êtes, ils ne peuvent donc pas vous proposer le resto le plus proche de chez vous. Faudra donc parfois préciser "Paris", "Clermont-Ferrand" ou "France" dans vos recherches locales. J'ai galéré un peu au début avec ça, car on prend vite de mauvaises habitudes (merci la flemme) mais après j'ai découvert qu'on pouvait préciser ça dans les paramètres.

Et puis de temps en temps, Startpage peut avoir des ralentissements... les joies de l'intermédiation. Mais rien de rédhibitoire rassurez-vous !

Comparé à DuckDuckGo qui utilise principalement Bing comme source et qui est américain (bouuuuh, arrêtez de recommander cette bouze ^^), ou à Qwant qui galère un peu côté pertinence , Startpage offre un compromis intéressant. A savoir la qualité Google sans le tracking Google, et le tout hébergé en Europe.

Car oui avec tout ce qui se passe géopolitiquement en ce moment, je pense que c'est bien de changer un peu ses habitudes. Vous devriez essayer... Car entre les discussions sur le Cloud Act, les tensions transatlantiques sur les données personnelles, et les GAFAM américains qui aspirent nos données comme des Dyson sous amphét'... avoir une alternative européenne soumise au RGPD, c'est pas juste une question de principe. C'est une vraie question de souveraineté numérique. Les Pays-Bas, c'est pas parfait (aucun pays l'est), mais au moins c'est une juridiction où la CNIL locale a du mordant.

Maintenant pour l'utiliser, rien de sorcier. Vous allez sur startpage.com et vous pouvez même le configurer comme moteur par défaut dans votre navigateur. Attention par contre, sur certains navigateurs (Safari notamment), c'est un peu planqué dans les préférences. Y'a aussi une extension pour Firefox et Chrome si vous voulez. Et si vous voulez aller plus loin dans la protection de votre vie privée, combinez ça avec une extension qui gère vos cookies .

Et voilà, si vous en avez marre de voir des pubs ultra-ciblées qui semblent lire dans vos pensées, et d'offrir la moindre de vos requêtes aux américains, ce moteur de recherche néerlandais vaut vraiment le coup d'œil.

À découvrir ici !

Vous pensiez que quand vous coupiez le son de votre micro sur Mac, plus personne ne vous écoutait ? Alalalala, si seulement c'était aussi simple. Hé oui même s'ils s'en cachent bien, Apple Intelligence et Siri ont toujours une petite oreille qui traîne, histoire de guetter le fameux "Dis Siri".

C'est logique mais ça fait un peu chier quand même surtout si vous bossez sur des trucs sensibles ou que vous tenez simplement à votre vie privée. Heureusement, j'ai trouvé un petit outil open source qui va remettre de l'ordre dans tout ça.

Son nom c'est NoSpy et c'est un utilitaire en ligne de commande (CLI) développé par l'équipe de BrowserBox, et son boulot c'est de s'assurer que votre micro est VRAIMENT coupé.

Le truc cool avec NoSpy, c'est qu'il ne se contente pas de baisser le volume d'entrée à zéro. Non, il vérifie aussi si des fonctionnalités d'écoute en arrière-plan (comme Siri ou les nouvelles fonctions "Intelligence" d'Apple) sont actives et susceptibles de capturer de l'audio malgré le mute système.

En gros, ça vous offre un vrai bouton ON/OFF fiable et comme le code est écrit en Swift pur et ne fait que 156 lignes, c'est hyper facile à auditer si vous êtes parano (et vous avez raison de l'être). Y'a pas non plus de dépendances obscures... Non, c'est juste un petit bout de code qui fonctionne.

Pour l'installer, c'est hyper fastoche. Il suffit de cloner le dépôt et de compiler le truc avec Swift (qui est dispo par défaut si vous avez les outils Xcode).

# On clone, on compile
git clone https://github.com/BrowserBox/NoSpy.git
cd NoSpy
swiftc nospy.swift -o nospy

# Et si ça vous plait, vous pouvez le bouger dans bin
sudo mv nospy /usr/local/bin/

Vous savez combien de services américains vous utilisez sur votre site web utilise sans que vous ne le sachiez réellement ??? Aucun ? Bah et les Google Fonts pour la typo, Cloudflare pour le CDN, YouTube pour les vidéos embarquées, Google Analytics pour les stats et j'en passe des vertes et des pas mûres... ??? Faudrait pas les oublier !

Ainsi même si votre hébergement est chez O2Switch ou Scaleway en France, vos visiteurs peuvent envoyer des données aux USA sans que vous le réalisiez.

Et ça pose un vrai problème juridique car je sais pas si vous vous souvenez du Privacy Shield mais c'était ce fameux accord qui permettait de transférer légalement des données vers les États-Unis ? Hé bien il a été invalidé par la Cour de Justice européenne en 2020. Tout comme Safe Harbor avant lui en 2015 en fait. Et il y a maintenant le Data Privacy Framework, mais rien ne garantit qu'il tiendra plus longtemps que les précédents.

C'est là qu'intervient EU Audit , un scanner gratuit développé par un studio autrichien. Vous entrez l'URL de votre site et en quelques secondes, l'outil analyse vos principales dépendances : hébergement, polices, analytics, CDN, vidéos embarquées, widgets de chat, trackers sociaux et cartes. Chaque élément est vérifié pour déterminer s'il est hébergé dans l'UE ou pas et à la fin, vous obtenez un score de « souveraineté européenne » en pourcentage.

Perso, j'ai testé sur korben.info et je me suis pris une claque. Principalement à cause de Cloudflare et de mes embed de vidéos Youtube.

Pourtant, j'ai plus rien sur mon site à part ça, et mon hébergeur c'est o2Switch et c'est bien en France. Il me parle de "Social" mais j'ai rien du tout, à part des liens vers mes réseaux sociaux... J'sais pas peut être que ça suffit. En fait, suffirait que je vire Cloudflare pour repasser un dans le vert déjà mais je n'ai pas connaissance d'une solution équivalente et pas trop cher (parce que je fais plus de trafic que j'ai de moyens pour le financer, sniiif) qui assure du CDN, de la sécurité, des workers...etc. Ça existe peut-être mais dans ce cas, envoyez moi un mail pour que j'aille voir ça. Après pour l'embed YouTube, pareil, je vois pas trop quoi faire vu que je relaie surtout des vidéos YouTube parce que la Terre entière met ses vidéos là bas...

Bien sûr, j'ai trouvé l'idée de ce scanner pas mal du tout. Ça permet de visualiser rapidement où sont les fuites de données potentielles... Je ne les utilise pas mais y'a Google Fonts par exemple. C'est un classique... Chaque visiteur fait une requête vers les serveurs de Google, qui récupère son IP au passage. Pareil pour les vidéos YouTube embarquées, les maps Google, ou le sempiternel vieux pixel Facebook que certains laissent encore traîner sans même s'en rendre compte. D'ailleurs si vous voulez auditer votre propre hygiène numérique , j'avais fait un guide complet sur le sujet.

Bon après, l'outil ne détecte pas tout (les scripts inline ou les appels API cachés dans votre code, par exemple). Et pour un blog perso sans données sensibles, c'est peut-être un peu overkill. Mais si vous gérez des sites pour des entreprises ou des clients sensibles (administrations, santé, éducation...), y'a de quoi réfléchir ! Surtout que le passage à des alternatives européennes n'est pas toujours aussi compliqué qu'on le croit. Matomo au lieu de Google Analytics, des polices auto-hébergées, OpenStreetMap au lieu de Google Maps...

Si vous voulez soutenir un web indépendant et que je puisse continuer à dénicher ce genre d'outils, ça se passe sur mon Patreon .

Bref, si vous voulez faire le point sur la dépendance de votre site aux GAFAM, c'est gratuit et ça prend 30 secondes.

Vous voulez faire tourner des modèles d'IA directement sur votre téléphone, sans envoyer vos données à un serveur distant ?

Ça tombe bien puisque Google a sorti Edge Gallery , une application open source qui permet d'exécuter des LLM et des modèles multimodaux en local sur Android et iOS. Et vu que c'est sous licence Apache 2.0, personne ne pourra vous la retirer... même si Google décide un jour de passer à autre chose ^^.

Vous l'aurez compris, ce qui est cool avec cette app c'est que tout se passe sur l'appareil. Vos conversations avec l'IA, vos photos analysées, vos notes audio transcrites... rien ne quitte votre smartphone. Et visiblement, ça plaît puisque l'app a dépassé les 500 000 téléchargements en seulement deux mois après sa sortie sur GitHub.

Et comme je sais que parmi vous, y'a pas mal de paranos comme moi et de gens qui ne prennent pas leurs médicaments (pas comme moi), je pense que c'est le genre de solution qui va vous faire plaisir !

Ce qu'on peut faire avec

Edge Gallery embarque plusieurs fonctionnalités qui couvrent pas mal de cas d'usage du quotidien. Concrètement, vous avez :

AI Chat pour discuter avec un LLM comme vous le feriez avec ChatGPT, sauf que tout reste en local. Pratique pour brainstormer, rédiger des mails ou juste poser des questions sans connexion internet.

Ask Image pour analyser vos photos. Vous prenez un truc en photo et vous demandez à l'IA de vous expliquer ce que c'est. Ça marche pour identifier des plantes, décrypter une facture, ou comprendre un schéma technique.

Audio Scribe pour transcrire de l'audio en texte. Vous enregistrez une réunion, une interview, ou vos propres notes vocales, et hop, ça devient du texte exploitable. Et depuis la dernière mise à jour, vous pouvez même traduire directement dans une autre langue.

L'interface d'AI Edge Gallery sur Android

Prompt Lab pour les développeurs qui veulent tester leurs prompts et benchmarker les différents modèles disponibles. Y'a même des métriques en temps réel (temps de première réponse, vitesse de décodage, latence) pour les geeks de l'optimisation.

Tiny Garden, c'est le petit bonus rigolo : un mini-jeu expérimental entièrement offline où vous utilisez le langage naturel pour planter, arroser et récolter des fleurs. Bon, c'est gadget, mais ça montre bien les possibilités du truc.

Mobile Actions pour les plus aventuriers. Vous pouvez utiliser une recette open source pour fine-tuner un modèle, puis le charger dans l'app pour contrôler certaines fonctions de votre téléphone en offline. C'est encore expérimental, mais ça peut donner des idées intéressantes.

Les modèles disponibles

L'app propose plusieurs modèles selon vos besoins. On retrouve la famille Gemma de Google (Gemma 3 en 1B et 4B paramètres, Gemma 3n optimisé pour les appareils plus modestes et qui gère maintenant l'audio), mais aussi des modèles tiers comme Qwen2.5, Phi-4-mini de Microsoft, ou encore DeepSeek-R1 pour ceux qui veulent du raisonnement plus poussé.

Et les gardes fous sont facilement contournables...

Il y a aussi des modèles spécialisés comme TranslateGemma pour la traduction (55 langues supportées) et FunctionGemma pour l'appel de fonctions et tout ce petit monde tourne grâce à LiteRT , le runtime léger de Google pour l'inférence on-device.

D'ailleurs, la communauté Hugging Face propose déjà pas mal de modèles convertis au format LiteRT donc si les modèles par défaut ne vous suffisent pas, vous pouvez aller fouiller dans leur collection pour trouver votre bonheur. Et pour les plus aventuriers, vous pouvez même charger vos propres modèles au format .litertlm.

Installation sur Android

Pour Android, c'est simple, direction le Play Store et vous cherchez "AI Edge Gallery". Vous pouvez aussi télécharger l'APK directement depuis les releases GitHub si vous préférez. Il vous faut Android 12 minimum et un appareil avec au moins 4 Go de RAM (8 Go recommandés pour les gros modèles).

Au premier lancement, l'app vous propose de télécharger les modèles. Comptez entre 500 Mo et 4 Go par modèle selon la taille. Une fois téléchargés, ils sont stockés localement et vous n'avez plus besoin de connexion pour les utiliser.

Et sur iOS / macOS ?

Pour iOS, l'app est disponible en bêta via TestFlight . Attention, c'est limité à 10 000 testeurs (premier arrivé, premier servi), et il faut un appareil avec minimum 6 Go de RAM. Moi c'est ce que j'utilise et comme c'est pas encore la version finale, il manque quelques trucs mais ça fonctionne. Google vise une sortie officielle sur l'App Store début 2026. J'ai hâte !

Pour macOS par contre... il n'y a pas de version native. L'app est pensée pour le mobile uniquement donc si vous voulez vraiment tester sur votre Mac, la solution c'est de passer par un émulateur Android comme Android Studio (avec l'émulateur intégré) ou BlueStacks. BlueStacks Air est d'ailleurs optimisé pour les Mac Apple Silicon. C'est pas idéal mais ça dépanne.

Cela dit, si vous êtes sur Mac et que vous voulez faire tourner des LLM en local, regardez plutôt du côté d'Ollama ou de LM Studio qui sont nativement compatibles.

Pourquoi c'est intéressant ce truc ?

L'intérêt principal, c'est évidemment la confidentialité. Vos données ne transitent jamais par des serveurs externes donc vous en gardez le contrôle total. C'est particulièrement pertinent si vous bossez avec des documents sensibles ou si vous êtes simplement attaché à votre vie privée.

L'autre avantage, c'est que ça fonctionne hors ligne. Dans le métro, en avion, en zone blanche... votre IA reste disponible. Pas de latence réseau, pas de "serveur surchargé, réessayez plus tard".

Et puis le fait que ce soit open source, ça ouvre pas mal de portes car la communauté peut contribuer, ajouter des modèles, corriger des bugs et même si Google abandonne le projet (ce qui ne serait pas une première), le code restera là et on pourra faire des forks ! (Pourquoi attendre en fait ??)

Voilà, pour ceux qui veulent creuser, le wiki GitHub du projet contient pas mal de documentation sur l'ajout de modèles personnalisés et l'utilisation avancée de l'API LiteRT.

Éclatez-vous bien !

Qui n'a jamais eu envie de savoir si "KikouLolDu93" avait aussi un compte sur un site de rencontre ou un forum obscur de haxx0rs ? C'est humain, c'est de la curiosité... ou de l'OSINT (Open Source Intelligence) si vous voulez faire genre vous êtes un pro. Et pour ça, j'ai l'outil qu'il vous faut : Social Analyzer .

Ce script est un détective privé numérique qui va frapper à la porte de plusieurs centaines de sites (Facebook, X (ex-Twitter), Instagram, Tinder, et des trucs bien plus niches) pour vérifier la présence d'un pseudo.

Développé par qeeqbox, Social Analyzer ne se contente pas de tester une URL. Il analyse les pages, vérifie les métadonnées, et vous sort un score de confiance de 0 à 100. Notez qu'un score de 100 n'est pas une preuve d'identité absolue (on n'est pas à la police scientifique), mais une forte probabilité basée sur les signaux trouvés. À l'inverse, un score de 0 peut signifier que c'est un homonyme, ou simplement que le site a bloqué la requête. Ça évite en tout cas de stalker la mauvaise personne trop vite.

L'outil est codé en JavaScript et Python, et vous pouvez l'utiliser en ligne de commande ou via une interface web plutôt propre si le terminal vous donne de l'urticaire.

Comment on installe la bestiole ?

Vous avez plusieurs options, mais la plus simple si vous avez Python 3 d'installé, c'est via pip (vérifiez bien que c'est le paquet officiel) :

pip3 install social-analyzer

Et hop, c'est réglé. Ensuite pour lancer une recherche rapide, c'est aussi simple que :

social-analyzer --username "le_pseudo_a_chercher"

Si vous êtes plus team NodeJS, vous pouvez aussi cloner le dépôt GitHub et lancer ça à la main :

git clone https://github.com/qeeqbox/social-analyzer.git
cd social-analyzer
npm install
npm start

Ça lancera l'interface web sur votre machine (généralement sur le port 9005), et vous pourrez faire vos recherches tranquillement en cliquant sur des boutons.

Et ça marche vraiment ?

Franchement, oui. C'est même assez bluffant de voir tout ce qui ressort. Il peut même tenter d'extraire des infos supplémentaires comme la bio ou l'avatar si les sites ne sont pas trop protégés contre le scraping.

Par contre, petit disclaimer habituel : ce genre d'outil, c'est pour de l'investigation légitime. Genre vérifier vos propres traces numériques pour faire du nettoyage, ou pour des enquêtes de sécu. Ne commencez pas à l'utiliser pour harceler les gens, le web n'a pas besoin de ça.

D'ailleurs, si le sujet de l'OSINT vous branche, jetez un œil à mon article sur Blackbird qui fait un boulot similaire, ou apprenez à analyser un profil GitHub comme un chef.

Bref, Social Analyzer c'est puissant, c'est open source, et ça fait le café. À utiliser avec intelligence évidemment !

Merci à Lorenper !

Vous pensiez que votre imprimante de bureau était juste un objet d'un autre temps qui enchaine des bourrages papier toute la journée et vous réclame de l'encre hors de prix comme un enfant qui attend sa têtée ? Ben va falloir revoir vos priorités niveau paranoïa, parce que c'est bien plus que ça !

Une enquête du Washington Post vient en effet de révéler comment le FBI a identifié un de leurs lanceurs d'alerte grâce aux logs d'impression de son employeur. Aurelio Luis Perez-Lugones, spécialiste IT pour un sous-traitant du gouvernement américain, aurait fait des captures d'écran de documents classifiés dans un SCIF (ces salles ultra-sécurisées où même votre téléphone n'entre pas), puis les aurait collés dans Word avant de les imprimer.

Et comment ils l'ont su ?

Hé bien il semblerait que les logs d'impression de sa boîte aient joué un rôle clé dans l'enquête, en complément des caméras de vidéosurveillance, bien sûr.

Car oui, ces systèmes ne se contentent pas de noter "Jean-Michel a imprimé 47 pages le 15 janvier". Non, ils peuvent stocker le contenu intégral des documents, les métadonnées, l'heure exacte, le poste de travail utilisé...etc. En gros, votre patron sait exactement ce que vous avez imprimé, et depuis combien de temps vous essayez de photocopier votre CV en douce.

Mais le plus flippant dans cette histoire, c'est que ça ne s'arrête pas aux logs réseau puisque même votre imprimante perso à la maison, elle-même, peut vous balancer, et cela depuis des décennies...

Vous avez déjà entendu parler des révélations d'Edward Snowden sur la surveillance de masse ? Ben là, c'est pareil, mais en version papier.

En effet, depuis les années 80, la plupart des imprimantes laser couleur intègrent un système de traçage appelé Machine Identification Code (MIC). Grâce à ce système, chaque page que vous imprimez contient une grille quasi-invisible de points jaunes d'environ 0,1 millimètre, espacés d'un millimètre. Ces points encodent le numéro de série de votre machine et la date/heure d'impression, ce qui fait que n'importe quel document imprimé peut être relié à une imprimante spécifique.

C'est discret, faut de bons yeux.

Le Chaos Computer Club et l'EFF ont documenté ce système depuis des années et l'EFF maintient même une liste des fabricants qui utilisent ces mouchards (spoiler : la plupart des grandes marques y sont).

Comment vérifier si votre imprimante vous espionne

Première étape : imprimez une page avec du contenu coloré sur fond blanc. Ensuite, examinez-la sous une lumière bleue ou un microscope et là vous verrez probablement une grille de points jaunes, à peine détectables à l'œil nu.

Pour les plus techniques d'entre vous, l'outil DEDA (Dot Evidence Documentation and Analysis) développé par l'Université Technique de Dresde permet d'analyser et même d'anonymiser ces traces.

Comment auditer les logs d'impression en entreprise

Si vous êtes admin réseau ou simplement curieux de savoir ce que votre boîte enregistre, voici où chercher :

Sur Windows Server, direction la console de gestion d'impression. Les logs sont généralement dans l'Observateur d'événements sous "Applications et services" > "Microsoft" > "Windows" > "PrintService". Activez les logs "Operational" si ce n'est pas déjà fait.

Sur les imprimantes réseau, accédez à l'interface web d'administration (généralement l'IP de l'imprimante dans un navigateur). Cherchez une section "Logs", "Journal" ou "Historique des travaux". Certains modèles HP Enterprise ou Xerox stockent des semaines entières de données.

Sur les serveurs d'impression centralisés type PaperCut ou Equitrac, c'est la fête car ces solutions peuvent stocker énormément de données, du nom d'utilisateur jusqu'au contenu OCR des documents scannés si des modules ou intégrations spécifiques ont été activés.

Comment limiter ces traces

Pour les points jaunes, DEDA propose un mode d'anonymisation qui ajoute du bruit dans le pattern. C'est pas parfait, mais ça complique sérieusement le traçage !

Après pour les logs réseau, c'est plus compliqué... En entreprise, vous n'avez généralement pas le contrôle. Par contre, si c'est chez vous, désactivez simplement la journalisation dans les paramètres de votre imprimante et évitez les services cloud des fabricants.

Ah et une dernière chose : si vous imprimez des documents sensibles mes petits lanceurs d'alertes préférés, privilégiez une imprimante laser noir et blanc d'occasion payée en cash. Les modèles monochromes n'ont pas les fameux points jaunes, et une machine sans historique réseau, c'est une machine qui ne parle pas.

Encore une fois c'est difficile de lutter contre cette surveillance généralisée, mais au moins maintenant vous savez que votre imprimante n'est pas qu'un simple périphérique !

C'est potentiellement le meilleur indic de votre bureau !

Source

Aujourd'hui, on va parler d'un truc qui gratte un peu : le tracking web.

Vous savez, cette sensation d'être suivi par une armée de régies publicitaires dès qu'on clique sur un article de presse ou qu'on cherche une nouvelle paire de pompes. Bah la CNIL, via son laboratoire d innovation (le LINC), développe depuis 2013 un outil qui permet de mettre des images sur ce sentiment de persécution numérique : CookieViz .

L'outil de dataviz du LINC ( Source )

CookieViz, c'est un logiciel de dataviz en temps réel qui analyse les interactions entre un navigateur et les serveurs distants. Vous naviguez via l'outil (qui embarque son propre navigateur pour la version desktop) et celui-ci débusque les cookies et les requêtes observables envoyées vers des domaines tiers.

Et souvent, le résultat ressemble à un gros plat de cyber spaghettis où chaque fil mène à un tracker différent.

La version 2.3, publiée en juin 2022 (ça date un peu, c'est vrai) reste la référence stable du projet. Le système d'analyse a été revu pour être plus stable et le navigateur intégré est plus sécurisé et la visualisation met en avant le rôle central des places de marché publicitaires dans les mécanismes d'enchères en temps réel (RTB). Vous verrez ainsi comment un seul clic peut déclencher une cascade de connexions vers des acteurs dont vous n'avez jamais entendu parler.

Le projet est open source et disponible sur GitHub ( Source )

Alors oui, pour ceux qui se demandent comment voir les cookies de suivi sans installer un logiciel complet, les navigateurs comme Chrome ou Firefox proposent des outils rudimentaires dans leurs menus de réglages. Mais franchement, à côté de CookieViz, c'est un peu comme essayer de comprendre le trafic routier en regardant par le trou d'une serrure.

Pour les amateurs de bidouille, sachez aussi que c'est du logiciel libre sous licence GPLv3 donc vous pouvez donc aller gratter le code, l'améliorer ou simplement vérifier que la CNIL ne vous espionne pas en douce (ahaha, je plaisante hein...^^).

L'outil est dispo en version desktop pour Windows, Linux et macOS et il existe aussi une extension officiellement publiée pour Firefox , tandis que les utilisateurs de Chrome ou Opera devront passer par une installation manuelle du code depuis la branche Chromium du projet.

Moi j'ai préféré l'installé à la main comme ceci en clonant le projet :

git clone https://github.com/LINCnil/CookieViz
cd CookieViz

Puis modifiez le package.json pour utiliser une version moderne de NW.js
(la version 0.64.1 originale n'est plus disponible). Dans devDependencies, remplacez :

"nwjs-builder-phoenix": "^1.15.0"

par :

"nw": "0.92.0-sdk"

Et dans scripts, remplacez :

"start": "run --x64 --mirror https://dl.nwjs.io/ ."

par :

"start": "nw ."

Puis installez et lancez :

npm install
npm run start

Ensuite, vous voilà paré pour l'audit !

Et si vous voulez vraiment reprendre le contrôle, n'oubliez pas qu'il existe d'autres solutions complémentaires. Vous pouvez par exemple essayer d' embrouiller les sites avec User-Agent Switcher (même si c'est loin d'être une protection ultime face au fingerprinting moderne) ou carément automatiser le nettoyage avec Cookie AutoDelete . Mais perso, je trouve que pour l'aspect pédagogique et "prise de conscience", CookieViz reste un outil de premier plan.

Voilà, si vous voulez voir la gueule de votre tracking en direct et réaliser que la vie privée sur le web moderne ça n'existe pas (sauf ici), allez donc faire un tour sur le site du LINC .

De quoi verser une petite larme sur le web d'antan...

Source

Youssef Sammouda, un chercheur en sécurité connu sous le pseudo sam0, vient de publier un article détaillant pas moins de 4 vulnérabilités de type XS-Leaks qu'il a découvertes chez Meta. Pour vous la faire courte, ce genre de faille permet à un site malveillant de déduire des informations sur vous sans même avoir besoin de pirater quoi que ce soit. Heureusement, tout a été patché depuis !

La première faille concernait Workplace (la version entreprise de Facebook) et son intégration avec Zoom. En gros, un attaquant pouvait créer une page web qui chargeait le callback Zoom de Workplace dans une iframe, et selon que l'utilisateur était connecté ou non à Meta Work, la redirection se comportait différemment. Et là, pouf, l'attaquant savait si vous étiez un utilisateur Meta Work. Pas besoin d'accéder à vos données, juste de mesurer combien de temps met une redirection. Vicieux, non ? Meta a casqué 2 400 dollars pour cette trouvaille.

La deuxième faille, c'était le bon vieux bouton Like de Facebook. Vous savez, ce petit widget qu'on trouve sur des millions de sites web ? Eh bien si vous étiez connecté à Facebook, le plugin pouvait révéler si vous aviez liké une page spécifique ou pas. Un attaquant n'avait qu'à mesurer le nombre de frames dans l'iframe pour le savoir. Encore 2 400 dollars dans la poche de notre chercheur.

La troisième était plus technique et bien trouvée. Le fichier signals/iwl.js de Facebook utilise Object.prototype pour ses opérations. En manipulant ce prototype depuis la page parente, un attaquant pouvait provoquer des erreurs différentes selon l'état de connexion de l'utilisateur, et même récupérer son ID Facebook. Ça, ça valait 3 600 dollars.

Et voilà, la quatrième concernait l'identification des employés Meta eux-mêmes via les domaines internes. Celle-là n'a pas rapporté de bounty (juste un "informative"), mais elle montre bien l'étendue du problème.

Au total, Youssef a empoché 8 400 dollars entre décembre 2024 et mai 2025, le temps que Meta corrige tout ça. Alors oui, c'est cool que ces failles soient maintenant corrigées mais ça fait quand même réfléchir sur la quantité de données qui peuvent fuiter sans même qu'on s'en rende compte.

Pour ceux qui veulent creuser le fonctionnement des programmes de bug bounty , c'est vraiment un système génial et hyper vertueux où tout le monde est gagnant. Les chercheurs sont payés pour trouver des failles, les entreprises patchent avant que les méchants n'exploitent. Y'a vraiment de quoi faire dans ce domaine.

Bref, bien joué Youssef Sammouda, grâce à lui quelques failles de moins chez Meta, et ça c'est cool !

Source

Bon, je vous en parlais déjà en mai dernier , la justice française avait décidé de s'attaquer aux VPN pour lutter contre le piratage des matchs de foot. Et bien devinez quoi ? Ils ont remis le couvert, et cette fois c'est encore plus costaud !

Le 18 décembre dernier, le Tribunal judiciaire de Paris a rendu une nouvelle ordonnance à la demande de la Ligue de Football Professionnel et de sa branche commerciale. Du coup, les gros du secteur des tunnels chiffrés vont devoir obtempérer : CyberGhost, ExpressVPN, NordVPN, ProtonVPN et Surfshark sont tous dans le viseur. Hop, 5 services de confidentialité d'un coup qui se retrouvent obligés de jouer les censeurs !

Concrètement, ces fournisseurs doivent bloquer l'accès à 13 domaines pirates, parmi lesquels miztv.top, strikeout.im, qatarstreams.me ou encore prosmarterstv.com. Bref, les sites de streaming foot gratuit vont avoir la vie dure. Et le plus flippant dans l'histoire c'est que ce dispositif est "dynamique", ce qui signifie que l'ARCOM peut rajouter de nouvelles adresses à la liste quand bon lui semble, sans repasser devant un juge. Les blocages resteront donc actifs pour toute la saison 2025-2026.

L'argument massue du tribunal c'est que, je cite : "la neutralité technique n'équivaut pas à l'immunité juridique". En gros, ce n'est pas parce que un service de VPN promet de ne rien logger et de protéger la vie privée de ses utilisateurs que ces entreprises peuvent ignorer les injonctions des ayants droit. Les juges ont donc balayé d'un revers de main l'argument des obligations contractuelles envers les clients. Adios la promesse d'anonymat quand la LFP débarque avec ses avocats !

D'ailleurs, parlons un peu de mon partenaire NordVPN puisqu'ils font partie de la liste des concernés. Car même si cette décision cible le streaming de foot pirate, ça pose quand même des questions sur l'avenir de ces services...

En effet, ce qu'il y a de bien avec un service comme NordVPN, c'est qu'il permet de protéger sa vie privée, de sécuriser ses connexions Wi-Fi publiques et d'accéder à des contenus bloqués géographiquement de façon légitime. En plus de ça, avec leur politique no-log auditée et leurs serveurs présents dans plus de 110 pays, c'est quand même la référence pour ceux qui veulent surfer tranquilles. Et avec les promos actuelles, ça revient à quelques euros par mois pour protéger jusqu'à 10 appareils. Jetez un œil à leurs offres (lien affilié) si vous cherchez à sécuriser votre connexion, et pas juste pour mater du foot pirate, hein !

Bref, comme je le disais dans mon article précédent, toute cette histoire, c'est un peu comme essayer d'arrêter l'eau qui coule avec une passoire. Les pirates les plus motivés changeront simplement de service ou trouveront d'autres moyens de contournement. Et pendant ce temps, les utilisateurs lambda qui se servent d'un VPN pour des raisons parfaitement légitimes, genre protéger leurs données dans les McDo au Wi-Fi douteux, se retrouvent avec des services potentiellement bridés.

Voilà, reste à voir comment tout ça sera appliqué dans la vraie vie. Les questions techniques sont nombreuses et les fournisseurs basés hors de France pourraient très bien répondre "mdr" aux injonctions parisiennes. En attendant, surveillez de près les évolutions de votre service préféré dans les prochains mois...

Source

J'sais pas si vous l'avez senti mais Google est peut-être bien en train de gagner la course à l'IA non pas par son génie technique pur, mais par un bon gros hold-up sur nos infrastructures et nos vies privées.

C'est vrai que d'après pas mal de spécialistes IA, Gemini serait désormais le modèle le plus performant du marché. Super. Mais est ce que vous savez pourquoi il est en train de gagner ?

Hé bien parce que Google possède "tout le reste". Contrairement à OpenAI qui doit quémander pour choper des utilisateurs sur son application, l'IA de Mountain View s'installe de force partout où vous êtes déjà. Dans Android, dans Chrome, et même bientôt au cœur de votre iPhone via une intégration avec Siri. C'est la stratégie Internet Explorer des années 90, mais version 2026. Brrrr…

Alors oui c'est pratique d'avoir une IA qui connaît déjà vos mails et vos photos... Sauf que non. Car Gemini utilise nos données pour absolument tout... Sous couvert de "Personal Intelligence", l'outil se connecte à vos recherches, votre historique YouTube, vos documents et vos photos. Mais pas d'inquiétude, c'est pour votre bien, évidemment. Ahahaha !

Après si vous croyez que ce pouvoir ne sera pas utilisé pour verrouiller encore plus le marché, c'est que vous avez loupé quelques épisodes. J'en parlais déjà avec l'intégration forcée de l'IA dans vos apps Android , Google change les règles du jeu en plein milieu de la partie. On se retrouve donc face à un monopole full-stack, des puces TPU maison jusqu'à l'écran de votre smartphone.

Et pendant que la Chine sécurise sa propre souveraineté cyber en virant le matos occidental, nous, on continue d'ouvrir grand la porte.... Les amis, si demain Google décide de changer ses CGU (encore) ou de monétiser votre "intelligence personnelle", vous ferez quoi ?

Bref, le géant de la recherche avance ses pions et étouffe peu à peu la concurrence avant même qu'elle puisse respirer. Notez vous ça sur un post-it afin de le relire régulièrement : Plus une IA est "intégrée", plus elle est intrusive. Donc si vous voulez vraiment garder le contrôle, il va falloir commencer à regarder du côté des modèles locaux et des alternatives qui ne demandent pas les clés de votre maison pour fonctionner.

A bon entendeur...

Source

Vous vous souvenez de Moxie Marlinspike ?

Mais si, le créateur de Signal qui a, grosso modo, appris au monde entier ce qu'était le chiffrement de bout en bout accessible à tous.

Hé bien, le garçon est de retour et cette fois, il ne s'attaque pas à vos SMS, mais à vos conversations avec les Intelligences Artificielles.

Son nouveau projet s'appelle Confer et autant vous le dire tout de suite, c'est du lourd car son idée c'est de faire pour les chatbots IA ce que Signal a fait pour la messagerie instantanée. C'est-à-dire rendre le tout réellement privé, avec des garanties techniques tellement fortes que personne, ni lui, ni les hébergeurs, ni la police, ne puisse (en théorie) mettre le nez dans vos prompts.

Alors pour ceux d'entre vous qui se demandent "Quelle est la meilleure alternative privée à ChatGPT ?", vous tenez peut-être la réponse.

Car le problème avec les IA actuelles c'est que quand vous papotez avec ChatGPT, Gemini ou Claude, c'est un peu comme si vous confessiez tous vos secrets dans un mégaphone au milieu de la place publique. Ces modèles ont soif de données et Sam Altman d'OpenAI a lui-même souligné que les décisions de justice obligeant à conserver les logs (même supprimés) posaient un vrai problème, allant jusqu'à dire que même des sessions de psychothérapie pourraient ne pas rester privées.

Et c'est là que Confer change la donne.

Alors comment ça marche ? Hé bien Confer utilise une approche radicale puisque tout le backend (les serveurs, les modèles LLM) tourne dans ce qu'on appelle un TEE (Trusted Execution Environment). En gros, c'est une enclave sécurisée au niveau du processeur de la machine qui empêche même les administrateurs du serveur de voir ce qui s'y passe. Et pour prouver que c'est bien le bon code qui tourne, ils utilisent un système d'attestation distante .

Les données sont chiffrées avec des clés qui restent sur votre appareil et Confer utilise les Passkeys (WebAuthn) pour dériver un matériel de clé de 32 octets. Ainsi, la clé privée reste protégée sur votre machine (dans le stockage sécurisé type Secure Enclave ou TPM selon votre matos).

Du coup, quand vous envoyez un message à l'IA, le flux est conçu pour être :

1. Chiffré depuis chez vous.
2. Traité dans l'enclave sécurisée du serveur (TEE).
3. Déchiffré uniquement dans la mémoire volatile de l'enclave.
4. Rechiffré immédiatement pour la réponse.

C'est propre, c'est élégant, c'est du Moxie à 100% !

Bien sûr, Confer n'est pas le seul sur le créneau. J'ai vu passer des initiatives comme Venice (qui stocke tout en local) ou Lumo de Proton. Si vous utilisez déjà des outils comme OnionShare pour vos fichiers, cette approche "zéro trust" vous parlera forcément.

Mais la force de Confer, c'est l'expérience utilisateur car comme Signal à son époque, ça marche tout simplement. Suffit de 2 clics, une authentification biométrique, et boum, vous êtes connecté et vos historiques sont synchronisés entre vos appareils (de manière chiffrée, vérifiable via le log de transparence). En plus vous pouvez même importer votre contenu depuis ChatGPT.

L'outil est open source et le code auditable. De plus le support natif est dispo sur les dernières versions de macOS, iOS et Android. Je l'ai testé et ça répond vite et bien. Après je ne sais pas si c'est un LLM from scratch ou un modèle libre fine tuné. Et je n'ai pas fait assez de tests pour tenter de lui faire dire des choses qu'il n'a pas envie mais il a l'air pas pour le moment.

Pour l'utiliser sous Windows, il faudra passer par un authentificateur tiers pour le moment et pour Linux... une extension existe déjà pour faire le pont en attendant mieux. Par contre, c'est limité à 20 messages par jour et si vous en voulez plus, faudra passer au payant pour 35$ par mois. Mais on a rien sans rien. Après si vous vous inscrivez avec mon code KORBEN vous aurez 1 mois gratuit et moi aussi ^^

Bref, si vous cherchiez comment mettre un peu de vie privée dans vos délires avec l'IA, je vous invite grandement à jeter un œil à Confer. J'sais pas vous mais moi je trouve que ça fait du bien de voir des projets qui remettent un peu l'utilisateur aux commandes.

Source

Vous avez sans doute déjà ressenti cette petite sueur froide en recevant une notification de connexion suspecte sur votre compte Google ou Instagram. On se dit toujours que le mot de passe suffit, jusqu’au jour où il fuite dans une base de données obscure. En 2026, compter uniquement sur un mot de passe, c’est un peu comme laisser sa porte d’entrée ouverte avec un simple panneau « merci de ne pas entrer ».

La double authentification (2FA) n’est plus une option pour les technophiles, c’est une nécessité vitale. Mais entre les applications qui ne se synchronisent pas, celles qui verrouillent vos données et les solutions d’entreprise un peu trop rigides, choisir le bon outil devient un casse-tête. J’ai passé pas mal de temps à tester les dernières versions pour SysKB, et je dois dire que le paysage a bien changé cette année. Si vous cherchez la crème de la crème pour protéger vos accès sans y passer trois heures par jour, vous êtes au bon endroit.

Pourquoi Google Authenticator n’est plus dans mon Top ?

C’est souvent la première application à laquelle on pense, mais en 2026, je ne peux plus vous la recommander en toute conscience. Certes, elle est simple, mais elle traîne des casseroles qui ne passent plus.

D’abord, il y a la question de la vie privée. Google Authenticator collecte pas mal de métadonnées qui permettent au géant de Mountain View d’en savoir encore un peu plus sur vos habitudes de connexion. Ensuite, sa synchronisation cloud, bien qu’existante, manque cruellement de transparence sur le chiffrement de bout en bout comparé à des solutions « Zéro Knowledge ». Enfin, l’interface est restée bloquée en 2010 : pas de dossiers, pas de recherche efficace, pas d’icônes… Bref, on fait beaucoup mieux ailleurs pour le même prix (c’est-à-dire gratuit).

Comparatif des 6 meilleures solutions 2FA en 2026

Voici un tableau mis à jour pour comparer les forces en présence, incluant désormais les gestionnaires de mots de passe qui intègrent le 2FA.

1. 2FAS : Le champion de la simplicité

Si vous voulez une appli qui fait le job sans vous poser de questions, 2FAS est mon premier choix. C’est l’application que j’installe sur le téléphone de mes parents pour être tranquille.

L’interface est super propre. En 2026, leur extension de navigateur est devenue un standard : vous cliquez sur le champ de code sur votre ordi, une notification arrive sur votre téléphone, vous validez, et hop, le code est rempli tout seul. C’est presque aussi fluide que les Passkeys. Comme c’est Open Source, on sait qu’il n’y a pas de loup sous la moquette.

2. NordPass : L’élégance et la robustesse

Vous êtes nombreux à me l’avoir demandé, et c’est vrai qu’il mérite sa place. NordPass ne se contente plus de stocker vos mots de passe ; il est devenu un véritable hub de sécurité puisque l’authentificateur 2FA est carrément intégré à l’offre NordPass Premium.

Ce qui frappe avec NordPass, c’est l’expérience utilisateur. Tout est « lisse ». L’application utilise l’algorithme de chiffrement XChaCha20, considéré comme plus moderne et rapide que l’AES classique. Pour le 2FA, il scanne les QR codes avec une rapidité déconcertante et synchronise tout sur vos appareils via votre compte Nord. C’est une solution propriétaire, certes, mais leur politique de « Zéro Connaissance » est auditée régulièrement, ce qui rassure pas mal.

De plus si vous cherchez un VPN vous savez sans doute que NordPass c’est avant tout NordVPN ! Donc bien évidemment vous avez une formule qui intègre le VPN, le gestionnaire de mot de passe Premium et donc l’authentificateur TOTP (Time-based One-Time Password). C’est un mon sens la formule la plus pertinente pour ceux qui veulent un truc complet et performant. D’ailleurs vous le savez pour ceux qui me connaissent, je suis un utilisateur très actif de NordVPN.

3. Aegis Authenticator : Pour les allergiques au Cloud

Pour ceux qui ne jurent que par Android et qui veulent garder un contrôle total sur leurs « seeds » (les clés secrètes), Aegis reste indétrônable.

Ici, pas de compte à créer obligatoirement. Vous gérez vos sauvegardes vous-même. Si vous voulez exporter vos codes vers un fichier chiffré pour le mettre sur une clé USB, c’est possible. L’application permet de verrouiller l’accès par biométrie et de classer ses codes par catégories. C’est l’outil « power user » par excellence, même s’il demande un poil plus de configuration que les autres.

4. Ente Auth : La fluidité absolue

C’est la petite pépite qui monte. Ente Auth est parfait si vous jonglez entre un iPhone, une tablette Android et un PC sous Windows ou Linux.

Le gros point fort d’Ente, c’est la synchronisation chiffrée de bout en bout (E2EE). Vos codes sont disponibles partout en temps réel. Si vous perdez votre téléphone dans le train, vous vous connectez sur votre PC et vos codes sont là. C’est d’une fiabilité exemplaire et le code est entièrement ouvert, ce qui garantit une sécurité maximale.

5. Microsoft Authenticator : Le roi du bureau

On ne le présente plus, mais il faut admettre que Microsoft a fait du bon boulot, surtout pour le monde pro.

Si vous utilisez Outlook, Teams ou Azure au quotidien, c’est presque un passage obligé. La fonction « Push » est un bonheur : pas de code à copier, juste une notification « Est-ce bien vous ? » à valider. En 2026, l’application est aussi devenue un excellent gestionnaire de Passkeys, préparant doucement la fin des mots de passe traditionnels.

6. Bitwarden : La tour de contrôle Open Source

Bitwarden est le chouchou de la communauté Tech. C’est avant tout un gestionnaire de mots de passe, mais sa fonction 2FA intégrée (pour les membres Premium) est redoutable.

L’avantage ? Quand vous arrivez sur une page de login, Bitwarden remplit votre identifiant, votre mot de passe, et garde le code 2FA prêt dans votre presse-papiers. C’est le niveau zéro de la friction. Attention quand même : mettre tous ses œufs dans le même panier demande d’avoir un mot de passe maître ultra-solide et, si possible, une clé physique (Yubikey) pour protéger votre coffre Bitwarden lui-même.

Qu’est-ce que le 2FA ?

L’authentification à deux facteurs (2FA) renforce la sécurité des comptes en ajoutant une étape de vérification après la saisie du mot de passe.

Cette seconde preuve peut prendre plusieurs formes : un code reçu par SMS, une notification de validation ou, de plus en plus, un code généré par une application d’authentification dédiée.

Si les SMS et notifications ont longtemps été la norme, ils présentent aujourd’hui des limites en matière de sécurité et de fiabilité (dépendance au réseau, risques d’attaques par interception ou duplication de carte SIM).

Les applications d’authentification s’imposent donc comme la solution de référence : elles génèrent des codes temporaires directement sur le smartphone, fonctionnent même hors connexion et reposent sur des standards de sécurité éprouvés.

Plus pratiques au quotidien et nettement plus robustes, elles sont désormais recommandées par la majorité des services en ligne et constituent la méthode 2FA la plus utilisée et la plus sûre.

Mes conseils pour ne jamais rester bloqué dehors

C’est le cauchemar de tout le monde : perdre son téléphone et perdre l’accès à ses comptes. Pour éviter ça, voici mes règles d’or :

1. Imprimez vos codes de secours : Chaque site vous donne une liste de codes à usage unique. Mettez-les dans un coffre ou un tiroir, pas sur votre bureau.
2. Doublez vos applis : Rien ne vous empêche de scanner le même QR code avec 2FAS et NordPass. Si une appli a un bug, l’autre vous sauve.
3. Méfiez-vous du SMS : Si un site vous propose le choix, prenez toujours l’application. Le « SIM swapping » est une réalité en 2026, les pirates peuvent voler votre numéro de mobile à distance.

Installer une de ces applis prend 5 minutes. Récupérer un compte piraté prend des semaines (quand c’est possible). Le calcul est vite fait, non ?

FAQ : Vos questions sur le 2FA en 2026

Puis-je utiliser NordPass gratuitement pour le 2FA ?

NordPass propose une version gratuite, mais pour profiter pleinement de la synchronisation multi-appareils et de certaines fonctions avancées, l’abonnement Premium est souvent nécessaire.

Comment transférer mes codes depuis Google Authenticator ?

C’est devenu facile : Google propose une fonction « Exporter les comptes » qui génère un gros QR code. Vous n’avez qu’à le scanner avec votre nouvelle application (comme 2FAS ou Ente) pour tout importer d’un coup.

Est-ce que Bitwarden est plus sûr que NordPass ?

C’est un débat éternel. Bitwarden est Open Source (transparence), tandis que NordPass mise sur une ergonomie parfaite et un chiffrement très moderne (XChaCha20). Les deux sont d’excellents choix.

Toutes ces applis fonctionnent-elles sans internet ?

Oui ! Les codes TOTP sont générés localement sur votre appareil grâce à une clé secrète et à l’heure de votre téléphone. Pas besoin de 4G ou de Wi-Fi pour obtenir votre code.

Pourquoi Aegis n’existe pas sur iPhone ?

Aegis est un projet spécifiquement développé pour tirer parti des libertés d’Android. Pour les utilisateurs iOS, 2FAS ou Ente Auth sont les meilleures alternatives Open Source.

Cet article original intitulé Top 6 Applis 2FA 2026 : Le Guide pour Sécuriser vos Comptes a été publié la première sur SysKB.