Bon,
je vous en parlais déjà en mai dernier
, la justice française avait décidé de s'attaquer aux VPN pour lutter contre le piratage des matchs de foot. Et bien devinez quoi ? Ils ont remis le couvert, et cette fois c'est encore plus costaud !
Le 18 décembre dernier, le Tribunal judiciaire de Paris a rendu une nouvelle ordonnance à la demande de la Ligue de Football Professionnel et de sa branche commerciale. Du coup, les gros du secteur des tunnels chiffrés vont devoir obtempérer :
CyberGhost, ExpressVPN, NordVPN, ProtonVPN et Surfshark
sont tous dans le viseur. Hop, 5 services de confidentialité d'un coup qui se retrouvent obligés de jouer les censeurs !
Concrètement, ces fournisseurs doivent bloquer l'accès à 13 domaines pirates, parmi lesquels miztv.top, strikeout.im, qatarstreams.me ou encore prosmarterstv.com. Bref, les sites de streaming foot gratuit vont avoir la vie dure. Et le plus flippant dans l'histoire c'est que ce dispositif est "dynamique", ce qui signifie que l'ARCOM peut rajouter de nouvelles adresses à la liste quand bon lui semble, sans repasser devant un juge. Les blocages resteront donc actifs pour toute la saison 2025-2026.
L'argument massue du tribunal c'est que, je cite : "la neutralité technique n'équivaut pas à l'immunité juridique". En gros, ce n'est pas parce que un service de VPN promet de ne rien logger et de protéger la vie privée de ses utilisateurs que ces entreprises peuvent ignorer les injonctions des ayants droit. Les juges ont donc balayé d'un revers de main l'argument des obligations contractuelles envers les clients. Adios la promesse d'anonymat quand la LFP débarque avec ses avocats !
D'ailleurs, parlons un peu de mon partenaire NordVPN puisqu'ils font partie de la liste des concernés. Car même si cette décision cible le streaming de foot pirate, ça pose quand même des questions sur l'avenir de ces services...
En effet, ce qu'il y a de bien avec un service comme NordVPN, c'est qu'il permet de protéger sa vie privée, de sécuriser ses connexions Wi-Fi publiques et d'accéder à des contenus bloqués géographiquement de façon légitime. En plus de ça, avec leur politique no-log auditée et leurs serveurs présents dans plus de 110 pays, c'est quand même la référence pour ceux qui veulent surfer tranquilles. Et avec les promos actuelles, ça revient à quelques euros par mois pour protéger jusqu'à 10 appareils.
Jetez un œil à leurs offres
(lien affilié) si vous cherchez à sécuriser votre connexion, et pas juste pour mater du foot pirate, hein !
Bref, comme je le disais dans mon article précédent, toute cette histoire, c'est un peu comme essayer d'arrêter l'eau qui coule avec une passoire. Les pirates les plus motivés changeront simplement de service ou trouveront d'autres moyens de contournement. Et pendant ce temps, les utilisateurs lambda qui se servent d'un VPN pour des raisons parfaitement légitimes, genre protéger leurs données dans les McDo au Wi-Fi douteux, se retrouvent avec des services potentiellement bridés.
Voilà, reste à voir comment tout ça sera appliqué dans la vraie vie. Les questions techniques sont nombreuses et les fournisseurs basés hors de France pourraient très bien répondre "mdr" aux injonctions parisiennes. En attendant, surveillez de près les évolutions de votre service préféré dans les prochains mois...
J'sais pas si vous l'avez senti mais Google est peut-être bien en train de gagner la course à l'IA non pas par son génie technique pur, mais par un bon gros hold-up sur nos infrastructures et nos vies privées.
C'est vrai que d'après pas mal de spécialistes IA, Gemini serait désormais le modèle le plus performant du marché. Super. Mais est ce que vous savez pourquoi il est en train de gagner ?
Hé bien parce que Google possède "tout le reste". Contrairement à OpenAI qui doit quémander pour choper des utilisateurs sur son application, l'IA de Mountain View s'installe de force partout où vous êtes déjà. Dans Android, dans Chrome, et même bientôt au cœur de votre iPhone via une intégration avec Siri. C'est la stratégie Internet Explorer des années 90, mais version 2026. Brrrr…
Alors oui c'est pratique d'avoir une IA qui connaît déjà vos mails et vos photos... Sauf que non. Car Gemini utilise nos données pour absolument tout... Sous couvert de "Personal Intelligence", l'outil se connecte à vos recherches, votre historique YouTube, vos documents et vos photos. Mais pas d'inquiétude, c'est pour votre bien, évidemment. Ahahaha !
Après si vous croyez que ce pouvoir ne sera pas utilisé pour verrouiller encore plus le marché, c'est que vous avez loupé quelques épisodes. J'en parlais déjà avec
l'intégration forcée de l'IA dans vos apps Android
, Google change les règles du jeu en plein milieu de la partie. On se retrouve donc face à un monopole full-stack, des puces TPU maison jusqu'à l'écran de votre smartphone.
Et pendant que la Chine
sécurise sa propre souveraineté cyber
en virant le matos occidental, nous, on continue d'ouvrir grand la porte.... Les amis, si demain Google décide de changer ses CGU (encore) ou de monétiser votre "intelligence personnelle", vous ferez quoi ?
Bref, le géant de la recherche avance ses pions et étouffe peu à peu la concurrence avant même qu'elle puisse respirer. Notez vous ça sur un post-it afin de le relire régulièrement : Plus une IA est "intégrée", plus elle est intrusive. Donc si vous voulez vraiment garder le contrôle, il va falloir commencer à regarder du côté des modèles locaux et des alternatives qui ne demandent pas les clés de votre maison pour fonctionner.
Mais si, le créateur de Signal qui a, grosso modo, appris au monde entier ce qu'était le chiffrement de bout en bout accessible à tous.
Hé bien, le garçon est de retour et cette fois, il ne s'attaque pas à vos SMS, mais à vos conversations avec les Intelligences Artificielles.
Son nouveau projet s'appelle Confer et autant vous le dire tout de suite, c'est du lourd car son idée c'est de faire pour les chatbots IA ce que Signal a fait pour la messagerie instantanée. C'est-à-dire rendre le tout réellement privé, avec des garanties techniques tellement fortes que personne, ni lui, ni les hébergeurs, ni la police, ne puisse (en théorie) mettre le nez dans vos prompts.
Alors pour ceux d'entre vous qui se demandent "Quelle est la meilleure alternative privée à ChatGPT ?", vous tenez peut-être la réponse.
Car le problème avec les IA actuelles c'est que quand vous papotez avec ChatGPT, Gemini ou Claude, c'est un peu comme si vous confessiez tous vos secrets dans un mégaphone au milieu de la place publique. Ces modèles ont soif de données et Sam Altman d'OpenAI a lui-même souligné que les décisions de justice obligeant à conserver les logs (même supprimés) posaient un vrai problème, allant jusqu'à dire que même des sessions de psychothérapie pourraient ne pas rester privées.
Et c'est là que Confer change la donne.
Alors comment ça marche ? Hé bien Confer utilise une approche radicale puisque tout le backend (les serveurs, les modèles LLM) tourne dans ce qu'on appelle un TEE (Trusted Execution Environment). En gros, c'est une enclave sécurisée au niveau du processeur de la machine qui empêche même les administrateurs du serveur de voir ce qui s'y passe. Et pour prouver que c'est bien le bon code qui tourne, ils utilisent
un système d'attestation distante
.
Les données sont chiffrées avec des clés qui restent sur votre appareil et Confer utilise les Passkeys (WebAuthn) pour dériver un matériel de clé de 32 octets. Ainsi, la clé privée reste protégée sur votre machine (dans le stockage sécurisé type Secure Enclave ou TPM selon votre matos).
Du coup, quand vous envoyez un message à l'IA, le flux est conçu pour être :
Chiffré depuis chez vous.
Traité dans l'enclave sécurisée du serveur (TEE).
Déchiffré uniquement dans la mémoire volatile de l'enclave.
Rechiffré immédiatement pour la réponse.
C'est propre, c'est élégant, c'est du Moxie à 100% !
Bien sûr, Confer n'est pas le seul sur le créneau. J'ai vu passer des initiatives comme
Venice
(qui stocke tout en local) ou
Lumo
de Proton. Si vous utilisez déjà
des outils comme OnionShare
pour vos fichiers, cette approche "zéro trust" vous parlera forcément.
Mais la force de Confer, c'est l'expérience utilisateur car comme Signal à son époque, ça marche tout simplement. Suffit de 2 clics, une authentification biométrique, et boum, vous êtes connecté et vos historiques sont synchronisés entre vos appareils (de manière chiffrée, vérifiable via le log de transparence). En plus vous pouvez même importer votre contenu depuis ChatGPT.
L'outil est open source et le code auditable. De plus le support natif est dispo sur les dernières versions de macOS, iOS et Android. Je l'ai testé et ça répond vite et bien. Après je ne sais pas si c'est un LLM from scratch ou un modèle libre fine tuné. Et je n'ai pas fait assez de tests pour tenter de lui faire dire des choses qu'il n'a pas envie mais il a l'air pas pour le moment.
Pour l'utiliser sous Windows, il faudra passer par un authentificateur tiers pour le moment et pour Linux...
une extension existe déjà
pour faire le pont en attendant mieux. Par contre, c'est limité à 20 messages par jour et si vous en voulez plus, faudra passer au payant pour 35$ par mois. Mais on a rien sans rien. Après si vous vous inscrivez avec mon code KORBEN vous aurez 1 mois gratuit et moi aussi ^^
Bref, si vous cherchiez comment mettre un peu de vie privée dans vos délires avec l'IA, je vous invite grandement à jeter un œil à Confer. J'sais pas vous mais moi je trouve que ça fait du bien de voir des projets qui remettent un peu l'utilisateur aux commandes.
Tout le monde s’est déjà demandé si le propriétaire d’un Wifi peut surveiller les activités des appareils qui utilisent son réseau. Voici la réponse à cette question.
Debout les mort ! Aujourd'hui on va parler d'un truc qui va vous faire froid dans le dos, mais qui au fond, est d'une utilité redoutable pour tous les ermites numériques que nous sommes. Imaginez une application qui vous demande régulièrement, avec la subtilité d'un rouleau compresseur : "Hé Ducon, est-ce que tu es mort ?".
Non, ce n'est pas vraiment le début d'un mauvais film d'horreur, mais le concept bien réel d'une application chinoise baptisée Sileme (ou "Are You Dead?" pour les intimes). Le principe c'est de configurer des check-ins réguliers comme ça si vous ne répondez pas présent à l'appel, hop, l'application active son système d'alerte et envoie une notification à vos contacts d'urgence par e-mail (le développeur prévoit aussi d'ajouter les SMS très bientôt).
Vous l'aurez compris, le but de cette app c'est d'éviter que vous ne finissiez en momie numérique dans votre studio de 15m² sans que personne ne s'en aperçoive.
Alors oui, le nom est moche de ouf et a même choqué pas mal de monde en Chine, mais le créateur assume totalement ce côté provocateur. L'app est même passée d'un modèle gratuit à une contribution de 8 yuans (soit un peu plus d'un euro) pour couvrir les frais de fonctionnement des serveurs. On peut dire que c'est le prix de la tranquillité d'esprit de ceux qui vivent seuls.
Ce qui est marrant surtout, c'est que l'app se retrouve le cul entre deux chaises car d'un côté, les autorités chinoises tiquent sur le nom jugé offensant, et de l'autre, des milliers d'utilisateurs y voient un véritable service public pour les isolés. Il y aurait même des demandes pour intégrer des capteurs de santé (fréquence cardiaque, sommeil) pour automatiser tout ça. C'est un vrai truc de malade !
Alors bien sûr, le concept n'est pas nouveau. On connaît déjà le "Check In" d'Apple sur iOS 17 ou de vieux services comme Plerts qui faisaient déjà ce genre de boulot dès 2010 mais c'est la première fois qu'une app assume un ton aussi direct et une interface aussi épurée.
Et en attendant que ça débarque en France, restez vivants les amis, c'est quand même plus sympa pour lire mes prochains articles !
Le 7 août 2019, dans le Mississippi, des centaines d'enfants rentrent de leur premier jour d'école. Cartables sur le dos, ils s'attendent à retrouver leurs parents pour raconter leur journée.
Mais à la place, ils découvrent des maisons vides ou des usines encerclées par des agents fédéraux. Ce jour-là, l'ICE (les services d'immigration américains) mène la plus grande opération de l'histoire du pays en un seul État : 680 personnes sont arrêtées, menottées et embarquées dans des camionnettes blanches.
L'enquête qui a mené à ces rafles n'a pas été montée "à l’ancienne" sur un tableau en liège avec des punaises et de la ficelle rouge. Dans des affidavits et les documents obtenus via des demandes FOIA, on voit apparaître un nom de module qui revient comme un sortilège : FALCON Tipline. Un outil Palantir vendu à la branche Homeland Security Investigations (HSI) et utilisé pour centraliser, recouper et exploiter des signalements, des identités, des liens, des infos de terrain… jusqu’à planifier des actions coordonnées comme celle du Mississippi.
Le plus "magique" (façon Mordor), c'est que tout ça s'appuie sur un contrat très concret, très administratif, qui décrit FALCON comme une plateforme de recherche fédérée et d’analyse, capable de faire parler ensemble des bases de données qui n'étaient pas censées se rencontrer. Voilà. Rien de secret... Juste le genre de PDF qui sent la paperasse… mais qui peut briser des vies.
Mais si cette logistique monstrueuse a pu être déployée avec une telle précision chirurgicale, c'est grâce à une technologie dont vous n'avez peut-être jamais entendu parler, mais qui sait déjà probablement tout de vous.
Son nom ? Palantir.
Pour comprendre comment une startup de la Silicon Valley est devenue l'œil de Sauron qui surveille le monde, il faut remonter au début des années 2000. On est juste après le 11 septembre. L'Amérique est en état de choc et ses agences de renseignement cherchent désespérément un moyen de "connecter les points" (connect the dots comme ils disent...) pour prévenir la prochaine attaque.
Le Pentagone essaie bien de lancer un programme de surveillance totale appelé Total Information Awareness, mais le projet est jugé trop orwellien et se fait descendre par l'opinion publique en 2003. C'est exactement à ce moment-là que Peter Thiel décide de fonder Palantir Technologies avec Stephen Cohen, Joe Lonsdale, Nathan Gettings et Alex Karp.
Ce qui est "marrant", c’est qu’on a enterré le programme (trop visible, trop caricatural), mais pas l’idée. Palantir arrive pile au bon moment : la même promesse, mais emballée dans un joli paquet cadeau d'outil d’analyse, vendue par une boîte privée, et surtout, développée directement avec les gens qui allaient s’en servir.
La surveillance version startup, avec des NDA, des badges et des salles sans fenêtre était née...
Peter Thiel, c'est un personnage à part dans la tech. Co-fondateur de PayPal, premier investisseur de Facebook, libertarien pur jus et fan absolu de J.R.R. Tolkien. Le nom "Palantir" vient d'ailleurs du Seigneur des Anneaux puisque ce sont ces pierres de vision qui permettent de voir à travers le temps et l'espace.
Le truc, c'est que chez PayPal, Thiel et son équipe avaient déjà développé des algorithmes de détection de fraude super performants baptisés "Igor". C'est pour cela que Thiel s'est dit "Hé, et si on appliquait ces mêmes méthodes de traque financière à la lutte antiterroriste ?"
Le problème, c'est qu'en 2004, personne à la Silicon Valley ne veut toucher à la défense. Les investisseurs flippent, du coup, Thiel et son fonds d'investissement posent environ 30 millions de dollars pour couvrir les premiers coûts et vont chercher un allié improbable : In-Q-Tel, le fonds de capital-risque à but non lucratif soutenu par la CIA.
In-Q-Tel injecte environ 2 millions de dollars et au delà de l'argent, c'est une surtout une validation capitale pour la société. Et c'est ainsi que durant trois ans, les ingénieurs de Palantir vont bosser main dans la main avec les analystes du renseignement pour construire leur premier logiciel : Gotham.
Et quand je dis "bosser main dans la main", c’est pas une image. Leur délire, c’était d’envoyer des ingénieurs directement chez les clients, dans les agences, parfois sur site sensible, pour modeler l’outil à la demande. Pas une ESN, hein… plutôt une greffe. Tu poses le logiciel, tu poses les devs, et tu laisses la créature grandir dans l’ombre.
Pour diriger cette boîte de surveillance, Thiel choisit Alex Karp. Un mec encore plus atypique que lui. Karp est un philosophe, titulaire d'un doctorat en théorie sociale de l'université de Francfort, dyslexique, qui ne sait pas conduire et qui passe cinq heures par jour à faire du ski de fond ou du Qigong. Il vit dans une baraque perdue dans le New Hampshire et se décrit comme un "gauchiste fou", alors que Thiel est un "dingue de droite". Ce duo improbable va pourtant créer l'entreprise la plus puissante et la plus secrète de la planète.
Le fonctionnement de Gotham est simple sur le papier, mais terrifiant en pratique. Pensez à un aspirateur géant capable d'ingérer n'importe quel type de donnée : Imagerie satellite, rapports d'interrogatoires, conversations sur les réseaux sociaux, fichiers fiscaux, plaques d'immatriculation, relevés bancaires. Le logiciel fusionne tout ça pour créer un "jumeau numérique" du monde réel. Si vous avez un compte chez
Ladar Levison
(le fondateur de Lavabit qui a hébergé Snowden) ou que vous avez été mentionné dans une écoute de la NSA, Palantir peut recréer tout votre réseau social en quelques clics.
C'est d'ailleurs avec les révélations d'Edward Snowden que le monde a commencé à entrevoir l'ampleur du truc. En 2017, des documents montrent que Palantir proposait des outils comme "XKEYSCORE Helper" pour faciliter l'analyse des données capturées par la NSA. Le logiciel permettait aux agents de naviguer dans des masses de données privées avec une fluidité déconcertante. Même si Alex Karp jure sur tous les tons qu'il protège les libertés civiles, la réalité des contrats raconte une autre histoire.
Et ce n’est pas qu’un délire "NSA / USA". Dans la même veine, des docs évoquent aussi Kite, un système custom pour le GCHQ (les espions britanniques), avec des champs et des imports extensibles pour avaler des formats de données bien tordus. Palantir, évidemment, a tenté de calmer le jeu ensuite en expliquant que "XKEYSCORE helper" n’était qu’un module périphérique et limité, pas un accès à la matrice complète…
Mais l’histoire "secrète" de Palantir a aussi un épisode qui sent la naphtaline et le scandale. En effet, en 2010-2011, des emails fuités (merci Anonymous) ont montré qu'une dream team HBGary / Berico / Palantir avait participé à la préparation d’un plan de riposte contre WikiLeaks et ses soutiens. Dans le package, on parlait de méthodes sales, de pression, et même d’idées de désinformation. Résultat, Palantir a publiquement présenté ses excuses et a coupé les ponts avec HBGary.
Je vous parle quand même d'une boîte qui a récupéré le contrat Maven Smart System (le fameux Project Maven) quand Google l'a lâché suite à la révolte de ses employés. Maven utilise l'IA pour aider les analystes militaires à identifier des cibles au milieu d'un déluge de données de surveillance.
Et aujourd'hui, Palantir est partout.
En Ukraine, Alex Karp a été le premier PDG occidental à rencontrer Zelensky après l'invasion russe de 2022. Leurs logiciels servent à faire de la fusion de données à grande vitesse (drones, satellites, sources ouvertes) pour accélérer la décision militaire. Et ça ne s'arrête pas là puisqu'en juillet 2025, l'armée américaine a signé un accord-cadre monumental jusqu'à 10 milliards de dollars sur 10 ans pour consolider et simplifier l'achat des logiciels Palantir.
Mais Palantir ne s'arrête pas aux zones de guerre. L'entreprise s'infiltre dans nos services publics. Au Royaume-Uni, un consortium mené par Palantir a décroché un contrat de 330 millions de livres pour gérer la Federated Data Platform du NHS (le système de santé national). En septembre 2025, ils ont même remis ça avec un partenariat défense annoncé par le gouvernement britannique, censé débloquer jusqu'à 1,5 milliard de livres d'investissements et faire du Royaume-Uni leur QG européen défense. En France, la DGSI a longtemps utilisé Palantir avant d'essayer de construire sa propre alternative pour retrouver sa souveraineté numérique… sauf que fin 2025, le contrat a encore été prolongé "temporairement", en attendant que l’outil souverain arrive vraiment.
Et ce qui est vraiment inquiétant avec Palantir, c'est ce qu'ils proposent en matière de "police prédictive". Par exemple, à Los Angeles ou à la Nouvelle-Orléans, leurs algorithmes ont été utilisés pour tenter d'identifier des zones ou des individus à risque. En gros, le logiciel décide si vous avez le profil d'un futur délinquant en analysant vos liens sociaux et vos antécédents. À la Nouvelle-Orléans, le programme a même tourné pendant des années dans une discrétion quasi totale, sans que le conseil municipal ne soit vraiment au courant, jusqu'à ce que la presse sorte l'affaire. Des audits ont d'ailleurs montré que ces systèmes pouvaient renforcer les préjugés et cibler injustement certaines communautés. Tu m'étonnes...
Exemple de dashboard de police prédictive (
source
)
Aujourd'hui, Palantir est cotée en bourse et sa valorisation explose littéralement (on parle d'environ 430 milliards de dollars début 2026). Alex Karp a réussi son pari à savoir rendre la surveillance de masse extrêmement rentable. L'entreprise vise d'ailleurs un chiffre d'affaires annuel autour de 4,4 milliards de dollars sur 2025, porté par sa nouvelle plateforme d'IA (AIP) et ses "agents" autonomes capables de structurer n'importe quelle base de données en un clin d'œil. Mais comme dans Tolkien, les palantír sont des outils dangereux. Celui qui les utilise peut être lui-même observé et corrompu.
Alors, faut-il avoir peur de Palantir ? Clairement oui !
Quand on voit comment
Snowden explique la surveillance
aujourd'hui, on comprend que Palantir est l'outil qui rend l'espionnage d'État accessible à n'importe quel analyste, sans qu'il ait besoin d'être un génie du code. C'est la démocratisation d'Orwell à grande échelle.
Bref, la prochaine fois que vous entendrez parler d'une startup qui veut "aider les gouvernements à mieux gérer leurs données", rappelez-vous de l'histoire du Mississippi en 2019 et de Palantir car derrière les beaux discours sur la sécurité, il y a souvent des algorithmes invisibles et des pierres de vision qui ne dorment jamais.
Bon, si vous faites partie de ceux qui ont la boule au ventre en lançant le nouveau Outlook de Microsoft, j'ai une petite trouvaille pour vous. En fait, vous ne le savez pas encore mais vos identifiants IMAP partent en vacances sur les serveurs de Redmond. Ouais,
Heise Online a levé le lièvre
y'a quelques temps maintenant et ça fait pas plaisir. Un peu comme quand
Apple avait ses petits soucis avec OCSP
, mais en plus brutal.
On va pas se mentir, Thunderbird c'est le patron. C'est libre, c'est robuste,
c'est la référence pour chiffrer ses mails
. Mais bon... faut avouer qu'il a parfois une tronche à avoir connu Windows 98 (même si ça s'améliore, je vous vois venir les puristes !). Du coup, si vous cherchez un truc qui a de la gueule sans vendre votre âme, jetez un œil à Mailspring.
Mailspring, c'est un client mail open source (GPLv3) qui tourne sur Mac, Windows et Linux. Pour la petite histoire, c'est le successeur spirituel de Nylas Mail. Le développeur, Ben Gotow, a repris le bébé et a fait un gros ménage. Le moteur de synchro qui bouffait de la RAM comme un ogre ? Hop, réécrit en C++ (ça s'appelle Mailsync maintenant), du coup ça tourne nickel, c'est fluide et ça pompe pas toute votre batterie.
L'interface est super propre, codée en TypeScript avec Electron et React. Et là je vous entends : "Electron ? Pffff, ça va ramer !". Hé bien non les amis, et c'est justement grâce à ce fameux moteur C++. C'est ça qui est cool. En plus, tout se passe en local sur votre machine. Pas de cloud intermédiaire qui vient renifler vos mails pour vous cibler de pubs.
La recherche qui trouve tout en 2 secondes (
Source
)
Y'a aussi une version Pro à 8 dollars par mois avec des trucs comme l'envoi différé ou les rappels, mais franchement, pour 99% des gens, la version gratuite suffira laaarge.
Voilà, si vous cherchez une alternative sexy à Outlook qui respecte votre vie privée, Mailspring est une option béton. C'est dispo en téléchargement sur leur site ou via vos gestionnaires de paquets préférés.
Si vous avez installé une app récemment, vous avez surement remarqué le petit popup RGPD qui vous demande votre consentement pour les cookies et le tracking. Vous cliquez évidemment sur "Refuser" en vous disant que c'est réglé... Ben en fait... non.
Des chercheurs ont passé au crible 400 applications mobiles populaires (200 sur Android, 200 sur iOS) et résultat, 100% d'entre elles violent au moins une exigence du RGPD. Et près de la moitié de ces apps continuent à contacter des trackers MÊME APRÈS que vous ayez dit non.
Sympa le "consentement" !
Du coup, plutôt que de vous laisser vous faire gauler par ces mouchards, je vous propose un petit guide pour auditer vous-même les apps que vous utilisez. Sans vous prendre la tête, promis.
Ce qu'il vous faut
Un téléphone Android (iOS, c'est plus compliqué, Apple verrouille tout)
L'option "Sources inconnues" activée dans les paramètres sécurité d'Android (l'app n'est pas sur le Play Store...)
Étape 1 : Installer TrackerControl
TrackerControl est donc un outil open source développé par des chercheurs. La bestiole analyse le trafic réseau de chaque app pour détecter les connexions vers des serveurs de tracking.
Rendez-vous sur
le GitHub du projet
et téléchargez l'APK. Installez-le en autorisant temporairement les sources inconnues.
Étape 2 : Lancer l'audit
Une fois installé, TrackerControl se comporte comme un VPN local (vos données ne sortent pas de votre téléphone, rassurez-vous). Activez-le et lancez l'app que vous voulez auditer.
L'outil va alors intercepter toutes les connexions sortantes et les classer : publicité, analytics, tracking social, fingerprinting... Y'a de quoi faire le tri !
L'interface de TrackerControl - sobre mais efficace (
Source
)
Étape 3 : Interpréter les résultats
Ce qu'il faut surveiller :
Connexions AVANT toute action : Si l'app contacte des trackers dès son lancement, avant même que vous ayez vu un popup de consentement, c'est une violation du critère "Prior consent"
Connexions APRÈS refus : Relancez l'app après avoir refusé le tracking. Si des connexions partent quand même vers Google Analytics, Facebook ou autres... bingo !
Le nombre de domaines contactés : Une app de lampe torche qui contacte 15 serveurs différents, c'est suspect (oui ça existe)
Détail des trackers détectés - on voit tout ce qui sort (
Source
)
Prior : L'app collecte VOS données avant de vous demander votre avis
Informed : On vous dit pas vraiment ce qu'on fait avec vos données
Freely-given : Pas le choix, c'est "accepte ou dégage"
Specific : Le consentement est trop vague, genre "améliorer nos services"
Unambiguous : L'interface est conçue pour vous faire cliquer sur "Accepter"
Revocable : Vous dites non, mais ça continue quand même (près de la moitié des apps)
C'est flippant, non ? Comme je vous l'expliquais dans
mon article sur le mythe du smartphone espion
, le vrai problème n'est pas le micro qui vous écoute... c'est ce réseau de data brokers qui aspire tout ce qu'ils peuvent.
Dépannage
Et si TrackerControl ne détecte rien, vérifiez que le "VPN" est bien actif (icône de clé dans la barre de notifications). Certaines apps détectent les VPN et changent leur comportement, du coup relancez plusieurs fois pour être sûr.
Pour une fois dans votre vie, soyez honnêtes !! Je le sais, vous le savez, PERSONNE ne lit les conditions d'utilisation. On clique sur "J'accepte" comme des automates, et on file nos données personnelles sans même savoir ce qu'on signe. Perso, la dernière fois que j'ai lu des CGU en entier, c'était... celles de hotmail.com en 1996.
Et c'est exactement pour ça que TermsTooLong existe. Ce site analyse et note les politiques de confidentialité et les termes de service de plus de 200 plateformes, de Mozilla à TikTok en passant par Discord et Blizzard. Du coup, au lieu de vous farcir 47 pages de jargon juridique, vous avez une note claire de A- à F.
Et les résultats sont assez révélateurs. Dans le camp des bons élèves, on retrouve Mozilla avec 8.8/10 (note A-), Signal au même niveau, et DuckDuckGo avec 8.5/10. Ces services collectent un minimum de données et sont plutôt transparents sur leur utilisation.
Et puis y'a les cancres. Ubisoft se tape un magnifique 1.8/10 (note F), Blizzard n'est pas loin avec 2.0/10, et TikTok récolte un joli 2.8/10. Si vous vous demandiez pourquoi ces services sont gratuits, vous avez maintenant une partie de la réponse.
Le truc cool, c'est la méthodologie car le site utilise une analyse assistée par IA pour décortiquer chaque document. Il cherche les clauses problématiques telles que la collecte excessive de données, le partage avec des tiers, l'absence de suppression sur demande, ce genre de joyeusetés. Le tout est ensuite vérifié et noté sur des critères précis par des humains.
Y'a même une fonction de comparaison côte à côte. Vous hésitez entre deux services de cloud ? Hop, vous comparez leurs politiques de confidentialité en un clic. Pratique pour faire des choix éclairés sans perdre trois heures à décrypter du juridique.
Voilà, si le sujet de la
protection des données personnelles
vous intéresse, ce site est une vraie mine d'or. Au moins maintenant, vous saurez exactement ce que vous acceptez quand vous cliquez sur ce fichu bouton.
Vous le savez, les notifications sur Android c'est devenu n'importe quoi. Entre les promos, les rappels débiles et les alertes dont vous n'avez strictement rien à foutre, votre téléphone vibre plus qu'un marteau-piqueur ou que le jouet préféré de votre sœur. Et les options natives d'Android pour gérer tout ça ? Bof, c'est du tout ou rien.
Bref, c'est là qu'arrive DoNotNotify, un petit pare-feu pour vos alertes qui fait exactement ce que son nom indique.
Ça vous permet de créer des règles pour bloquer ce qui vous gonfle, et vous gardez ce qui compte vraiment. Vous pouvez ainsi filtrer par application, par mots-clés dans le contenu du message, ou même utiliser des expressions régulières pour les plus geeks d'entre vous. Du coup, fini les popups "Profitez de -20% !" toutes les 5 minutes pendant que vous essayez de vous concentrer sur vos orteils pour la méditation guidée.
Et le truc vraiment cool, c'est le système de whitelist/blacklist. Vous pouvez mettre une app en mode "je bloque tout sauf les messages urgents" ou au contraire "je garde tout sauf ce spam précis". Hop, vous configurez ça une fois et c'est réglé.
L'interface de création de règles - sobre et efficace
L'autre point qui m'a bien plu, c'est que l'app garde un historique de TOUTES vos alertes, y compris celles que vous avez bloquées. C'est super pratique si vous avez un doute et que vous voulez vérifier que vous n'avez pas loupé un truc important.
L'historique des notifications bloquées - rien ne vous échappe
Côté vie privée, c'est du béton. Tout se passe en local sur votre téléphone, zéro serveur externe, zéro tracking, zéro pub. L'app ne collecte aucune donnée personnelle, ce qui est plutôt rare pour une app gratuite et d'ailleurs, si le sujet vous intéresse, j'avais parlé d'
Oversec pour chiffrer vos messages Android
, c'est dans la même philosophie.
Pour l'installer,
direction le Play Store
ou tapez simplement "DoNotNotify" dans le champ de recherche. L'app pèse que dalle et ne bouffe pas de batterie en arrière-plan.
Seul bémol, les notifications "Live Update" d'Android ne peuvent pas être bloquées (c'est une limitation système) et l'app vous prévient avec une petite icône quand c'est le cas.
Voilà de quoi enfin retrouver un peu de sérénité sur votre smartphone !
Si vous passez un temps de fou sur YouTube et que vous en avez marre de vous faire traiter comme un criminel par Google parce que vous utilisez un bloqueur de pubs, j'ai peut-être trouvé la parade.
En effet, depuis fin 2023,
Google a déclaré la guerre aux utilisateurs d'adblockers
. Et quand je dis guerre, c'est pas une figure de style. Ils ont commencé d'abord avec des popups "veuillez désactiver votre bloqueur", puis les vidéos qui refusent de démarrer, et maintenant le pompon : des ralentissements artificiels qui transforment votre expérience en torture. Voilà pourquoi Youtube devient "malade" dès qu'il détecte que vous ne voulez pas vous taper 3 pubs de 30 secondes pour regarder une vidéo de 2 minutes.
Et le pire, c'est que Firefox semble particulièrement visé (oui c'est le navigateur que j'utilise, alors je souffre plus que vous, OK ? ^^). Alors si vous voulez
embrouiller les sites qui vous trackent
, y'a des solutions, mais pour YouTube c'est une autre histoire. Vous utilisez simplement un navigateur qui respecte votre vie privée et hop, 5 secondes de lag avant chaque vidéo. Sympa les zamerloques de youteub !
LiteTube AdFree - l'extension qui contourne les restrictions YouTube
Heureusement, j'ai trouvé LiteTube, une extension Firefox
et
Chrome qui prend le problème à la racine. Au lieu de se battre contre les systèmes de détection de YouTube (une bataille perdue d'avance vu les moyens de Google), LiteTube passe par l'interface web mobile de YouTube (m.youtube.com). Et là, c'est le jour et la nuit.
L'astuce est simple mais efficace, l'interface mobile est beaucoup plus légère et contient moins de scripts anti-adblock que la version desktop. Du coup, plus de ralentissements, plus de popups qui vous culpabilisent, et surtout plus de vidéos qui mettent 10 plombes à charger.
Mais LiteTube ne se contente pas de régler le problème de lag. L'extension embarque aussi :
SponsorBlock intégré : les passages sponsorisés dans les vidéos sont automatiquement zappés (merci la communauté)
Lecture en arrière-plan : fermez l'onglet, la vidéo continue de jouer (genre c'est pas une feature basique qu'on devrait tous avoir ?)
Forçage 4K : même si YouTube essaie de vous servir du 720p pour "économiser de la bande passante"
Codec H.264 : pour ceux qui ont des soucis avec le VP9 sur certaines configs
Je l'ai testé et ça marche trop bien. Plus aucun lag artificiel, les pubs passent à la trappe, et j'ai même récupéré la lecture en arrière-plan que YouTube réserve normalement aux abonnés Premium. Bref, que du bon !
L'extension est développée par une petite équipe, et compte peu d'utilisateurs, ce qui fait qu'elle passe sous le radar de Google. Pour l'instant...
Google finira probablement par trouver un moyen de bloquer aussi cette extension ou de consolider sa version mobile mais en attendant, autant en profiter !
Vous voulez protéger vos enfants sur internet ? Cool. Préparez-vous à configurer 17 paramètres sur la Nintendo Switch, 29 réglages différents pour Minecraft (sur un site web séparé, évidemment), et à lire 572 articles de blog pour comprendre comment fonctionne le téléphone "sécurisé" que vous venez d'acheter.
Bienvenue dans le monde merveilleux de la protection parentale.
Un développeur américain, Chris Ferdinandi, vient
de publier un constat qui résume parfaitement la situation
. Il raconte comment son fils s'est retrouvé ajouté à un groupe de discussion GroupMe par un parfait inconnu, sans aucune vérification. L'application avait été installée via le compte familial, donc techniquement "approuvée". Sauf que le gamin de 12 ans pouvait maintenant recevoir des messages de n'importe qui sur la planète.
Et là, vous vous dites "ah mais y'a forcément un paramètre pour ça". Oui. Quelque part bien planqué dans un sous-menu. D'une autre application évidemment, sinon, ce serait trop facile. Et c'est accessible uniquement depuis le navigateur web du téléphone de l'enfant. Ou le vôtre. Ou les deux. Bonne chance pour le découvrir !
Et ce que dit Chris dans son article, c'est que ce n'est pas un accident de conception. C'est un choix délibéré.
La FTC américaine (l'équivalent de notre DGCCRF) a commencé à taper du poing sur la table. Par exemple, Epic Games a dû cracher 520 millions de dollars fin 2022 pour un combo COPPA + dark patterns dans Fortnite (dont 245 millions rien que pour les dark patterns).
Y'a aussi Disney qui a pris 10 millions d'amende pour violation de la vie privée des enfants. Et plusieurs États américains comme le Connecticut, le Montana et le Nebraska ont adopté des lois spécifiques pour interdire ces manipulations qui ciblent les mineurs. Même l'Union européenne s'y met avec le Digital Services Act qui impose de nouvelles obligations.
Mais pendant que les régulateurs jouent au chat et à la souris avec les géants de la tech, les parents sont coincés avec des systèmes de
protection de la vie privée des enfants
qui ressemblent à des usines à gaz soviétiques.
Prenez l'app Temps d’Écran d'Apple. Sur le papier, c'est génial mais en pratique, des experts en sécurité et sites spécialisés ont documenté au moins une demi-douzaine de méthodes de contournement bien connues. Votre gamin peut changer le fuseau horaire de l'appareil pour gagner quelques heures. Il peut utiliser Siri pour ouvrir des applications bloquées. Les widgets iMessage permettent d'accéder à du contenu normalement restreint. Et le grand classique : la réinitialisation d'usine qui efface toutes les restrictions d'un coup.
Sans parler des navigateurs intégrés dans les applications qui permettent de surfer même quand Safari est désactivé.
YouTube Kids, c'est encore mieux puisque Google nous promet un environnement "sûr et adapté". Sauf que des chercheurs ont retrouvé des vidéos violentes, des contenus à caractère sexuel, et des publicités manipulatrices qui passaient à travers les filtres.
L'algorithme, conçu pour maximiser le temps d'écran (et donc les revenus publicitaires), recommande parfois du contenu problématique sous prétexte qu'il "ressemble" à ce que l'enfant aime regarder (au hasard : des nichons ^^).
Et là, accrochez-vous.
Car des études scientifiques récentes commencent à montrer que les restrictions numériques strictes peuvent être...
contre-productives
. Des recherches publiées dans des revues de psychologie ont trouvé que les enfants soumis à des contrôles parentaux stricts développaient en fait PLUS de comportements à risque en ligne. Alors pourquoi Jamy ? Hé bien Fred, parce que le système repose sur la méfiance plutôt que l'éducation. Les gamins apprennent ainsi à contourner plutôt qu'à comprendre et le jour où ils ont enfin un accès libre (parce que oui, ce jour arrive forcément), ils n'ont aucune compétence pour naviguer de manière responsable.
C'est le paradoxe ultime ! On essaie de protéger nos enfants avec des outils qui les rendent potentiellement plus vulnérables.
Je pense que le vrai problème après, c'est qu'on a vendu aux parents l'idée que la technologie pouvait remplacer l'éducation. "Installez cette application et dormez tranquille." Sauf que ça ne marche pas comme ça.
Gabb
, un fabricant de téléphones "sécurisés" pour enfants, propose des centaines d'articles de blog et un peu moins d'un millier d'applications pré-approuvées. C'est du délire ! Aucun parent n'a le temps de lire tout ça en plus de son boulot, de la gestion du quotidien et des devoirs de maths du petit dernier.
Le système est donc conçu pour échouer. Ou plutôt, il est conçu pour que vous achetiez le prochain gadget "encore plus sécurisé", le prochain abonnement premium "avec surveillance avancée", ou la prochaine application "approuvée par des experts". C'est un business model, pas une solution éducative.
Ce qui fonctionne vraiment, d'après les études ? La communication.
Hé oui, il faut se retrousser les manches et expliquer pourquoi certains contenus sont problématiques plutôt que simplement les bloquer. Être présent quand le gamin découvre internet plutôt que déléguer à un algorithme. C'est moins sexy qu'un logiciel à 9,99€ par mois, mais c'est tellement plus efficace !
Bref, si vous voulez vraiment protéger vos enfants en ligne, la première étape c'est peut-être d'arrêter de croire que les outils de surveillance vont faire le taf à votre place. Car maintenant, on le sait, ils sont conçus pour vous donner l'illusion du contrôle, générer du fric et surtout pas pour éduquer.
Et ça, aucune mise à jour logicielle ne va le changer.
Vous avez sans doute déjà ressenti cette petite sueur froide en recevant une notification de connexion suspecte sur votre compte Google ou Instagram. On se dit toujours que le mot de passe suffit, jusqu’au jour où il fuite dans une base de données obscure. En 2026, compter uniquement sur un mot de passe, c’est un peu comme laisser sa porte d’entrée ouverte avec un simple panneau « merci de ne pas entrer ».
La double authentification (2FA) n’est plus une option pour les technophiles, c’est une nécessité vitale. Mais entre les applications qui ne se synchronisent pas, celles qui verrouillent vos données et les solutions d’entreprise un peu trop rigides, choisir le bon outil devient un casse-tête. J’ai passé pas mal de temps à tester les dernières versions pour SysKB, et je dois dire que le paysage a bien changé cette année. Si vous cherchez la crème de la crème pour protéger vos accès sans y passer trois heures par jour, vous êtes au bon endroit.
Pourquoi Google Authenticator n’est plus dans mon Top ?
C’est souvent la première application à laquelle on pense, mais en 2026, je ne peux plus vous la recommander en toute conscience. Certes, elle est simple, mais elle traîne des casseroles qui ne passent plus.
D’abord, il y a la question de la vie privée. Google Authenticator collecte pas mal de métadonnées qui permettent au géant de Mountain View d’en savoir encore un peu plus sur vos habitudes de connexion. Ensuite, sa synchronisation cloud, bien qu’existante, manque cruellement de transparence sur le chiffrement de bout en bout comparé à des solutions « Zéro Knowledge ». Enfin, l’interface est restée bloquée en 2010 : pas de dossiers, pas de recherche efficace, pas d’icônes… Bref, on fait beaucoup mieux ailleurs pour le même prix (c’est-à-dire gratuit).
Comparatif des 6 meilleures solutions 2FA en 2026
Voici un tableau mis à jour pour comparer les forces en présence, incluant désormais les gestionnaires de mots de passe qui intègrent le 2FA.
Si vous voulez une appli qui fait le job sans vous poser de questions, 2FAS est mon premier choix. C’est l’application que j’installe sur le téléphone de mes parents pour être tranquille.
L’interface est super propre. En 2026, leur extension de navigateur est devenue un standard : vous cliquez sur le champ de code sur votre ordi, une notification arrive sur votre téléphone, vous validez, et hop, le code est rempli tout seul. C’est presque aussi fluide que les Passkeys. Comme c’est Open Source, on sait qu’il n’y a pas de loup sous la moquette.
2. NordPass : L’élégance et la robustesse
Vous êtes nombreux à me l’avoir demandé, et c’est vrai qu’il mérite sa place. NordPass ne se contente plus de stocker vos mots de passe ; il est devenu un véritable hub de sécurité puisque l’authentificateur 2FA est carrément intégré à l’offre NordPass Premium.
Ce qui frappe avec NordPass, c’est l’expérience utilisateur. Tout est « lisse ». L’application utilise l’algorithme de chiffrement XChaCha20, considéré comme plus moderne et rapide que l’AES classique. Pour le 2FA, il scanne les QR codes avec une rapidité déconcertante et synchronise tout sur vos appareils via votre compte Nord. C’est une solution propriétaire, certes, mais leur politique de « Zéro Connaissance » est auditée régulièrement, ce qui rassure pas mal.
De plus si vous cherchez un VPN vous savez sans doute que NordPass c’est avant tout NordVPN ! Donc bien évidemment vous avez une formule qui intègre le VPN, le gestionnaire de mot de passe Premium et donc l’authentificateur TOTP (Time-based One-Time Password). C’est un mon sens la formule la plus pertinente pour ceux qui veulent un truc complet et performant. D’ailleurs vous le savez pour ceux qui me connaissent, je suis un utilisateur très actif de NordVPN.
3. Aegis Authenticator : Pour les allergiques au Cloud
Pour ceux qui ne jurent que par Android et qui veulent garder un contrôle total sur leurs « seeds » (les clés secrètes), Aegis reste indétrônable.
Ici, pas de compte à créer obligatoirement. Vous gérez vos sauvegardes vous-même. Si vous voulez exporter vos codes vers un fichier chiffré pour le mettre sur une clé USB, c’est possible. L’application permet de verrouiller l’accès par biométrie et de classer ses codes par catégories. C’est l’outil « power user » par excellence, même s’il demande un poil plus de configuration que les autres.
4. Ente Auth : La fluidité absolue
C’est la petite pépite qui monte. Ente Auth est parfait si vous jonglez entre un iPhone, une tablette Android et un PC sous Windows ou Linux.
Le gros point fort d’Ente, c’est la synchronisation chiffrée de bout en bout (E2EE). Vos codes sont disponibles partout en temps réel. Si vous perdez votre téléphone dans le train, vous vous connectez sur votre PC et vos codes sont là. C’est d’une fiabilité exemplaire et le code est entièrement ouvert, ce qui garantit une sécurité maximale.
5. Microsoft Authenticator : Le roi du bureau
On ne le présente plus, mais il faut admettre que Microsoft a fait du bon boulot, surtout pour le monde pro.
Si vous utilisez Outlook, Teams ou Azure au quotidien, c’est presque un passage obligé. La fonction « Push » est un bonheur : pas de code à copier, juste une notification « Est-ce bien vous ? » à valider. En 2026, l’application est aussi devenue un excellent gestionnaire de Passkeys, préparant doucement la fin des mots de passe traditionnels.
6. Bitwarden : La tour de contrôle Open Source
Bitwarden est le chouchou de la communauté Tech. C’est avant tout un gestionnaire de mots de passe, mais sa fonction 2FA intégrée (pour les membres Premium) est redoutable.
L’avantage ? Quand vous arrivez sur une page de login, Bitwarden remplit votre identifiant, votre mot de passe, et garde le code 2FA prêt dans votre presse-papiers. C’est le niveau zéro de la friction. Attention quand même : mettre tous ses œufs dans le même panier demande d’avoir un mot de passe maître ultra-solide et, si possible, une clé physique (Yubikey) pour protéger votre coffre Bitwarden lui-même.
Qu’est-ce que le 2FA ?
L’authentification à deux facteurs (2FA) renforce la sécurité des comptes en ajoutant une étape de vérification après la saisie du mot de passe.
Cette seconde preuve peut prendre plusieurs formes : un code reçu par SMS, une notification de validation ou, de plus en plus, un code généré par une application d’authentification dédiée.
Si les SMS et notifications ont longtemps été la norme, ils présentent aujourd’hui des limites en matière de sécurité et de fiabilité (dépendance au réseau, risques d’attaques par interception ou duplication de carte SIM).
Les applications d’authentification s’imposent donc comme la solution de référence : elles génèrent des codes temporaires directement sur le smartphone, fonctionnent même hors connexion et reposent sur des standards de sécurité éprouvés.
Plus pratiques au quotidien et nettement plus robustes, elles sont désormais recommandées par la majorité des services en ligne et constituent la méthode 2FA la plus utilisée et la plus sûre.
Mes conseils pour ne jamais rester bloqué dehors
C’est le cauchemar de tout le monde : perdre son téléphone et perdre l’accès à ses comptes. Pour éviter ça, voici mes règles d’or :
Imprimez vos codes de secours : Chaque site vous donne une liste de codes à usage unique. Mettez-les dans un coffre ou un tiroir, pas sur votre bureau.
Doublez vos applis : Rien ne vous empêche de scanner le même QR code avec 2FAS et NordPass. Si une appli a un bug, l’autre vous sauve.
Méfiez-vous du SMS : Si un site vous propose le choix, prenez toujours l’application. Le « SIM swapping » est une réalité en 2026, les pirates peuvent voler votre numéro de mobile à distance.
Installer une de ces applis prend 5 minutes. Récupérer un compte piraté prend des semaines (quand c’est possible). Le calcul est vite fait, non ?
FAQ : Vos questions sur le 2FA en 2026
Puis-je utiliser NordPass gratuitement pour le 2FA ?
NordPass propose une version gratuite, mais pour profiter pleinement de la synchronisation multi-appareils et de certaines fonctions avancées, l’abonnement Premium est souvent nécessaire.
Comment transférer mes codes depuis Google Authenticator ?
C’est devenu facile : Google propose une fonction « Exporter les comptes » qui génère un gros QR code. Vous n’avez qu’à le scanner avec votre nouvelle application (comme 2FAS ou Ente) pour tout importer d’un coup.
Est-ce que Bitwarden est plus sûr que NordPass ?
C’est un débat éternel. Bitwarden est Open Source (transparence), tandis que NordPass mise sur une ergonomie parfaite et un chiffrement très moderne (XChaCha20). Les deux sont d’excellents choix.
Toutes ces applis fonctionnent-elles sans internet ?
Oui ! Les codes TOTP sont générés localement sur votre appareil grâce à une clé secrète et à l’heure de votre téléphone. Pas besoin de 4G ou de Wi-Fi pour obtenir votre code.
Pourquoi Aegis n’existe pas sur iPhone ?
Aegis est un projet spécifiquement développé pour tirer parti des libertés d’Android. Pour les utilisateurs iOS, 2FAS ou Ente Auth sont les meilleures alternatives Open Source.
Franchement, si vous utilisez encore le même mot de passe pour votre compte Amazon et votre boîte mail pro, on a un petit problème. Je sais, c’est une corvée de retenir des suites de caractères improbables. Mais en 2026, avec l’explosion des attaques par IA et du phishing ultra-personnalisé, laisser ses accès sans surveillance, c’est un peu comme laisser ses clés sur la serrure avec une pancarte « servez-vous ».
On a vu passer pas mal de changements cette année, notamment la généralisation des Passkeys qui commencent enfin à envoyer les vieux mots de passe au placard. Mais attention, tous les outils ne se valent pas. Entre les solutions open-source et les mastodontes du secteur, le choix est devenu un vrai casse-tête. On a donc passé au crible les solutions du moment pour vous aider à y voir plus clair. Promis, on va essayer de ne pas être trop barbants avec les détails techniques.
Pourquoi un gestionnaire est indispensable en 2026 ?
On ne va pas se mentir, le paysage de la cybersécurité a bien changé. Aujourd’hui, un pirate n’a plus besoin d’être un génie pour deviner vos identifiants ; il lui suffit d’un script bien ficelé ou d’une fuite de données massive sur un site marchand que vous aviez oublié.
Le rôle du gestionnaire a aussi évolué. Ce n’est plus juste un carnet de notes numérique. C’est devenu votre tour de contrôle pour :
Gérer les Passkeys (les clés d’accès sans mot de passe).
Surveiller si vos infos traînent sur le Dark Web.
Stocker des documents ultra-sensibles (scans de passeports, contrats).
Partager des accès en famille ou avec des collègues sans s’envoyer des SMS en clair.
Tableau comparatif des meilleurs gestionnaires (2026)
1. NordPass : Le plus équilibré pour le grand public
Si vous cherchez un outil qui « juste fonctionne » sans vous demander d’avoir un Master en cryptographie, NordPass est sans doute le candidat idéal. Édité par la boîte derrière NordVPN, il a su s’imposer grâce à une interface d’une propreté incroyable.
Ce qui nous plaît bien ici, c’est l’utilisation de l’algorithme XChaCha20. C’est un peu plus moderne que le vieux standard AES-256 utilisé par tout le monde. C’est plus rapide et, selon certains experts, plus résistant aux futures menaces. L’extension navigateur est d’une fluidité exemplaire, elle détecte les champs de connexion sans jamais vous spammer de fenêtres inutiles.
Petit bémol quand même : la version gratuite est un peu frustrante car elle ne permet d’être connecté que sur un seul appareil à la fois. C’est un peu juste si vous passez souvent de votre PC à votre smartphone.
2. 1Password : La Rolls-Royce des coffres-forts
On l’utilise souvent chez SysKB pour sa robustesse. 1Password n’est pas le moins cher, c’est vrai. Mais c’est sans doute le plus « poli ». L’expérience sur macOS et iOS est tout simplement bluffante, même si les utilisateurs Windows n’ont plus à rougir de leur version.
Leur fonctionnalité phare reste le Mode Voyage. C’est génial : avant de passer une frontière sensible, vous pouvez désactiver temporairement certains coffres-forts de vos appareils. Même si on vous force à déverrouiller votre téléphone, les données sensibles ne sont physiquement plus là. Elles reviennent dès que vous le décidez via le cloud. C’est un niveau de paranoïa saine qu’on apprécie beaucoup.
3. Proton Pass : L’outsider qui mise tout sur la vie privée
Venu tout droit de Suisse, Proton Pass a fait une entrée fracassante. Si vous utilisez déjà Proton Mail ou Proton VPN, l’intégration est un pur bonheur. Ce qui est chouette, c’est leur approche « Zero Knowledge » poussée à l’extrême.
L’une des fonctions les plus utiles, c’est le générateur d’alias d’emails. Quand vous vous inscrivez sur un site un peu louche, Proton Pass crée une adresse mail jetable qui redirige vers la vôtre. Si le site commence à vous spammer ou est piraté, vous désactivez l’alias et hop, votre vraie boîte mail reste propre. C’est vraiment malin pour éviter de se faire polluer.
4. Bitwarden : La transparence avant tout
Pour les puristes de l’informatique (et on sait qu’il y en a parmi vous), Bitwarden est souvent le choix numéro un. Pourquoi ? Parce qu’il est Open-Source. Tout le monde peut aller vérifier le code pour s’assurer qu’il n’y a pas de porte dérobée.
Il est peut-être un peu moins « sexy » visuellement que 1Password, mais il fait tout ce qu’on lui demande, et il le fait bien. Cerise sur le gâteau : vous pouvez même l’héberger vous-même sur votre propre serveur si vous ne faites pas confiance au cloud. La version gratuite est d’ailleurs l’une des plus généreuses du marché, avec un stockage illimité de mots de passe sur tous vos appareils.
5. Dashlane : Le couteau suisse de la sécurité
Dashlane a un positionnement un peu particulier. Il ne se contente pas de stocker vos identifiants. Il inclut souvent un VPN et un outil de surveillance du Dark Web qui vous alerte en temps réel si votre adresse mail apparaît dans une base de données piratée.
L’interface est très intuitive, surtout pour le remplissage automatique des paiements en ligne. Par contre, il faut avouer que le prix a tendance à grimper assez vite. Si vous avez déjà un VPN à côté, vous risquez de payer pour un service en double. Mais pour quelqu’un qui veut une solution « tout-en-un » sans se prendre la tête, c’est un excellent choix.
6. Keeper : Le coffre-fort ultra-sécurisé pour les pros
Si vous gérez une petite équipe ou une boîte, Keeper mérite votre attention. Il propose une gestion des permissions très fine. Vous pouvez décider exactement qui a accès à quoi, avec des journaux d’audit très complets.
Leur interface a fait d’énormes progrès ces dernières années. C’est sobre, efficace, et surtout très stable. On sent que c’est une solution pensée pour la production. Ils proposent aussi un module de chat sécurisé, KeeperChat, qui permet d’échanger des infos sensibles de façon chiffrée. C’est peut-être un peu trop pour un usage personnel, mais pour le business, c’est top.
7. RoboForm : Le champion du remplissage automatique
On a tendance à oublier RoboForm, mais c’est l’un des plus anciens du secteur. Sa grande force, c’est sa capacité à remplir des formulaires complexes. Vous savez, ces formulaires administratifs interminables avec 50 champs différents ? RoboForm les gère bien mieux que la plupart de ses concurrents.
C’est aussi l’un des moins chers de cette liste. Si votre budget est serré mais que vous voulez quand même une solution sérieuse et éprouvée, c’est une option très solide. L’interface a vieilli un peu, mais au fond, on lui demande surtout d’être efficace, non ?
Comment bien choisir son gestionnaire ?
Bon, je ne vais pas vous dire lequel prendre, ça dépend de votre usage. Mais voici quelques critères pour vous aider à trancher :
Le budget : Si vous ne voulez pas débourser un centime, tournez-vous vers Bitwarden ou la version gratuite de Proton Pass.
Le package malin : Si vous voulez en profiter pour souscrire un VPN et un gestionnaire de mot de passe NordVPN est indéniablement le meilleur choix puisque l’abonnement NordVPN Plus intègre le VPN, le gestionnaire de mot de passe, la protection de la navigation et anti-malware, le bloqueur de publicités et de traqueurs.
L’écosystème : Si vous êtes à 100 % chez Apple, l’intégration de 1Password est un régal. Si vous êtes déjà chez Proton, le choix est vite fait.
Les Passkeys : En 2026, assurez-vous que votre gestionnaire supporte bien les clés d’accès. C’est l’avenir, et naviguer sans ça va devenir pénible.
Le partage : Si vous voulez partager les codes Netflix ou les comptes bancaires avec votre conjoint(e), regardez bien les options « Famille ».
Personnellement, j’ai une petite préférence pour les solutions qui permettent un audit facile de la sécurité de ses mots de passe. C’est toujours un peu flippant de voir qu’on a 12 mots de passe « faibles », mais c’est nécessaire pour agir. J’utilise NordPass depuis qu’il existe et je suis très satisfait.
FAQ : Vos questions sur les gestionnaires de mots de passe
Est-ce que c’est risqué de mettre tous ses œufs dans le même panier ?
C’est la question qui revient tout le temps. En théorie, oui, si le gestionnaire est piraté, c’est la catastrophe. Mais en pratique, ces boîtes utilisent un chiffrement tel que même si elles se faisaient voler leurs serveurs, les pirates ne pourraient rien lire sans votre Mot de passe Maître. C’est bien plus risqué d’utiliser le même mot de passe partout ou de les noter dans un fichier Excel.
C’est quoi la différence avec le gestionnaire de Google ou Apple ?
Les gestionnaires intégrés aux navigateurs (Chrome, Safari) sont devenus très bons. Mais ils vous enferment dans leur écosystème. Si vous passez d’un iPhone à un Android, ou de Chrome à Firefox, c’est la galère. Un gestionnaire indépendant fonctionne partout, sur tous les navigateurs et tous les systèmes.
Est-ce que les Passkeys vont remplacer les mots de passe ?
À terme, oui. En 2026, la plupart des gros sites (Google, Amazon, Microsoft) les proposent déjà. C’est plus sûr car il n’y a rien à retenir, c’est votre appareil qui prouve votre identité via la biométrie. Les gestionnaires de cette liste permettent de stocker et synchroniser ces Passkeys.
Que se passe-t-il si j’oublie mon mot de passe maître ?
Là, c’est le drame. Pour des raisons de sécurité, la plupart des services ne peuvent pas réinitialiser votre compte. Il faut donc bien noter votre clé de secours (Recovery Key) dans un endroit sûr (physique, de préférence).
La Cour suprême de Pennsylvanie vient de valider une pratique qui va faire polémique : les policiers peuvent désormais demander à Google de leur filer la liste de toutes les personnes ayant recherché un terme spécifique. C'est ce qu'ils appellent un "reverse keyword search warrant".
L'affaire remonte à 2016. Une femme est enlevée chez elle par un inconnu, puis violée. L'enquête piétine pendant plus d'un an, jusqu'à ce que les enquêteurs obtiennent un mandat demandant à Google qui avait recherché le nom ou l'adresse de la victime la semaine précédant l'agression. Un certain John Kurtz avait tapé cette adresse deux fois dans la même journée.
ADN prélevé sur un mégot de cigarette, correspondance confirmée, et le type finit par avouer cinq agressions. Il écope de 59 à 270 ans de prison. Oui moi aussi ça m'a fait bugger cette histoire de fourchette d'années de prison mais c'est comme ça qu'ils font là-bas... 59 ans minimum et jusqu'à 270 ans max.
Alors la première réaction c'est de se dire que le système a fonctionné puisque le violeur en série s'est retrouvé derrière les barreaux grâce à ses propres recherches Google. Sauf que la défense a contesté la légalité de ce mandat de recherche inversé, arguant que ça violait le 4ème amendement sur les perquisitions abusives.
Et la Cour a tranché : non, y'a pas de violation d'amendement. Pourquoi ? À cause de ce qu'on appelle la "third-party doctrine". En gros, dès que vous partagez une info avec un tiers (ici Google), vous perdez toute attente raisonnable de confidentialité dessus. Vos recherches appartiennent à Google, pas à vous. Point barre.
Après petite subtilité, le juge Wecht a aussi suggéré que le résultat aurait pu être différent si l'utilisateur avait pris des mesures de protection, tel qu'utiliser un VPN. Techniquement, si Kurtz avait fait ses recherches via un VPN, le mandat aurait pu ne pas tenir car là il y avait une volonté de conserver une certaine confidentialité... On marche sur la tête.
Mais ce qui chafouine la défense ici, ce sont les effets de bord car comme l'a souligné la juge Christine Donohue, ce type de mandat met en danger la vie privée de toute personne ayant recherché le nom ou l'adresse de la victime durant cette semaine-là. Des voisins curieux, un livreur qui voulait vérifier l'itinéraire, un journaliste local.... Tout le monde se retrouve potentiellement dans le viseur...
Et c'est là que ça devient vraiment préoccupant car qu'est-ce qui empêche d'appliquer la même logique à des recherches plus génériques ? "Avortement clinique" dans un État qui l'interdit ? "Comment traverser la frontière" pour les personnes en situation irrégulière ? Avec ce qui se passe actuellement aux États-Unis concernant les
rafles d'immigration par ICE
, on voit bien le potentiel de dérive.
Car le problème n'est pas la technique en soi mais l'absence de garde-fous. Rien n'empêche aujourd'hui une administration zélée de demander à Google la liste de tous ceux qui ont recherché tel ou tel terme politiquement sensible et avec cette décision de la Cour de Pennsylvanie, c'est maintenant parfaitement légal.
Google, de son côté, affirme avoir des "protections rigoureuses" en place et s'opposer aux demandes trop larges... On aimerait les croire mais l'entreprise traite des milliers de mandats chaque année, et la tentation de coopérer plutôt que de se battre devant les tribunaux doit être forte.
Alors combien de temps avant que cette jurisprudence fasse tache d'huile dans d'autres États ?
Vous utilisez Google Maps pour vos balades ou vos trajets en bagnole, comme tout le monde. Sauf que vous savez aussi bien que moi ce que ça implique... Google qui sait où vous êtes, où vous allez, à quelle heure vous bougez, et combien de temps vous passez chez votre nouvelle voisine (pas assez longtemps à son goût).
Mais bonne nouvelle les amis, y'a une alternative qui existe depuis un moment et qui mérite vraiment qu'on s'y intéresse. Ça s'appelle
Organic Maps
et c'est exactement ce que son nom suggère : des cartes propres, sans pesticides publicitaires ni tracking chimique.
Le principe est simple. Vous téléchargez les cartes des régions qui vous intéressent, et ensuite vous pouvez naviguer en mode 100% offline. Pas besoin de réseau, pas de connexion data qui se vide à l'étranger, rien. Votre téléphone devient un vrai GPS autonome, comme au bon vieux temps des Tomtom, mais en mieux.
Côté vie privée, c'est le jour et la nuit avec les apps classiques. Zéro pub, zéro tracking et surtout l'app a été vérifiée par Exodus Privacy Project et TrackerControl, donc c'est pas juste du blabla marketing. Même pas besoin de créer un compte pour l'utiliser, vous installez et hop c'est parti.
Pour les randonneurs et cyclistes, c'est là que ça devient vraiment sympa puisqu'Organic Maps affiche les courbes de niveau, les profils d'élévation, les sentiers de rando et les pistes cyclables. Y'a même un mode navigation turn-by-turn avec guidage vocal, et depuis 2024 le support Android Auto est dispo pour l'utiliser en voiture.
Les cartes viennent d'OpenStreetMap, donc c'est collaboratif et parfois plus à jour que ce qu'on trouve chez Google, surtout pour les petits chemins et les POI un peu obscurs. Perso, j'ai déjà trouvé des trucs sur OSM qui n'existaient même pas sur Maps, genre des fontaines d'eau potable en pleine montagne ou des refuges paumés.
L'app est dispo sur
iOS
,
Android
(y compris sur
F-Droid
pour les allergiques au Play Store), et même sur Linux en
Flatpak
. C'est open source sous licence Apache 2.0, donc vous pouvez aller fouiller le code si ça vous chante. Le projet est financé par des dons et des fondations comme NLnet, et pas par la revente de vos données de localisation.
Après la recherche est moins puissante que Google Maps, ce qui est normal vu qu'ils ont pas des milliards à claquer en IA. Et les infos de trafic en temps réel, bah y'en a pas. Mais pour de la rando, du vélo, ou même des trajets quotidiens quand on connaît un peu le coin, c'est largement suffisant.
Bref, si vous en avez marre de sentir le regard de Google dans votre dos à chaque déplacement, ou si vous voulez juste une app GPS qui marche sans réseau, foncez sur Organic Maps. C'est gratuit, et ça fait le taf !
Connexion
