On vit une époque formidable (non), car d’un côté, 5,6 millions de sites web bloquent maintenant le GPTBot d’OpenAI , 5,8 millions bloquent ClaudeBot alors que de l’autre côté, ce sont 13,26% des bots IA qui se contrefoutent royalement des robots.txt . Les webmasters sont tous en PLS, et plantent des pancartes “Propriété privée - IA interdit” partout… Mais je vous le donne en mille Émile, ça ne sert strictement à rien !

Il y a quand même des gens très intelligents qui se penchent sur le sujet et hier, c’est un nouveau standard qui vient de sortir pour dire stop à cette comédie ! Cela s’appelle Really Simple Licensing (RSL) 1.0 et ça propose quelque chose de radical : Arrêter de bloquer, et commencer à facturer ! Miam !

Concrètement, c’est un petit fichier texte pour passer du fuck-off à la négociation commerciale. Car oui on le sait, le problème avec le robots.txt, c’est que c’est comme demander poliment à des cambrioleurs de ne pas rentrer chez vous. Ça marchait en 1994 quand le web était rempli de gens bien élevés mais en 2025, avec OpenAI, Anthropic, Meta et compagnie qui aspirent notre contenu pour alimenter leurs modèles à plusieurs milliards de dollars, la politesse a ses limites. RSL, c’est donc le passage à l’âge adulte du web où si l’une de ces entreprise veut nos données, c’est possible mais va falloir allonger la moula.

Techniquement, RSL se présente comme un complément au Robots Exclusion Protocol (RFC 9309) où en gros, c’est un vocabulaire XML qui permet d’exprimer des règles de licence machine-readable. Le standard définit trois niveaux de permissions : ai-all (tout autoriser), ai-input (indexation uniquement), ai-index (utilisation limitée). Vous pouvez aussi définir une option “Contribution” pour les organisations non-commerciales qui voudraient utiliser votre contenu à des fins de recherche par exemple.

Le truc intelligent, c’est que RSL s’intègre partout où vous avez déjà l’habitude de mettre des métadonnées : robots.txt, headers HTTP, flux RSS, balises HTML. Pas besoin de réinventer la roue donc, mais juste d’ajouter quelques lignes qui disent “Mon contenu coûte X par requête” ou “Contactez-moi pour négocier”. Le standard supporte aussi d’autres protocoles complémentaires comme Open License Protocol (OLP), Crawler Authorization Protocol (CAP) ou Encrypted Media Standard (EMS).

RSL débarque avec les gros calibres derrière comme Cloudflare et Akamai , qui gèrent une bonne partie du trafic web mondial. L’idée initiale de Matthew Prince de Cloudflare est donc en train de prendre forme tout doucement. Et ils sont rejoints par l’Associated Press et Stack Overflow. Et surtout, il y a Supertab , un service de micropaiement qui teste le système depuis deux trimestres avec une douzaine de clients.

Leur modèle, c’est le “tab” à l’américaine. En gros, vous lisez des articles, ça s’accumule sur une ardoise virtuelle, et vous payez seulement quand vous atteignez 1$ ou 5$. Pas besoin comme ça de sortir la carte bleue pour chaque article à 50 centimes derrière l’un de ces paywalls de merde. Et ça semble bien fonctionner puisque le système a multiplié par trois le nombre de lecteurs payants , et que 10% de ceux qui ouvrent un “tab” finissent par s’abonner dans les 3-4 mois.

Supertab applique maintenant le même principe aux bots IA qui “consomment” le contenu. Ça s’accumule sur un compteur, et ils payent après sauf que contrairement aux humains qui peuvent oublier de payer leur note de bar, les robots ont un budget de scraping bien défini

Alors RSL ne va pas sauver le journalisme ni régler magiquement le bordel du droit d’auteur mais au moins, ça permet d’arrêter de faire semblant. Les créateurs de contenu sont devenus des fournisseurs d’API malgré eux, et RSL assume juste le modèle économique sous-jacent. Plus de 1500 organisations soutiennent déjà ce standard, mais est-ce qu’OpenAI, Anthropic, Google et les autres vont jouer le jeu ? On verra bien…

Pour en savoir plus, c’est par ici : rslstandard.org

Source

Google et le CA/Browser Forum viennent d’annoncer la mise à mort de 11 méthodes de validation de domaine pour les certificats HTTPS. Bye bye les emails, les coups de fil, les fax (oui, y’en avait encore qui utilisaient ça) et le courrier postal pour valider les certificats car d’ici mars 2028, tout ça sera du passé.

Car quand vous demandez un certificat SSL/TLS pour votre site, l’autorité de certification doit vérifier que vous êtes bien le proprio du domaine. Historiquement, ça pouvait se faire via un email envoyé à l’adresse WHOIS, un coup de téléphone, ou même un courrier papier mais le problème, c’est que ces méthodes sont faciles à falsifier.

Des chercheurs en sécurité ont montré qu’il était possible de manipuler les données WHOIS ou d’intercepter les communications pour obtenir des certificats frauduleux et quand, malheureusement, un attaquant peut se faire passer pour le propriétaire légitime d’un domaine et obtenir un vrai certificat, ça ouvre la porte à des attaques man-in-the-middle bien méchantes.

Donc le CA/Browser Forum a voté le ballot SC-090 pour éliminer progressivement ces vieilles méthodes. Juin 2025 a vu la fin de la validation WHOIS par email, mars 2026 découragera l’utilisation des méthodes email en général, et mars 2028 ce sera le grand ménage final.

À la place, il faudra donc passer par des méthodes plus directes tels qu’un enregistrement DNS TXT avec une valeur aléatoire que l’autorité vérifiera, ou un fichier HTTP placé à un endroit précis de votre serveur. Ces méthodes permettent de prouver cryptographiquement que vous contrôlez bien le domaine, sans intermédiaire chelou.

Pour les utilisateurs lambda, ça ne change rien évidemment, vous continuerez à voir le petit cadenas dans votre navigateur. Mais pour les admins système et les responsables de sites, ça veut dire qu’il va falloir automatiser tout ça. Si vous utilisez encore des certificats validés par email, c’est donc le moment de migrer vers des outils comme ACME (le protocole derrière Let’s Encrypt).

Ce mouvement s’inscrit également dans une tendance plus large puisque le ballot SC-070 prévoit aussi de réduire la durée de validité des certificats pour les passer à 10 jours de réutilisation de la validation dès mars 2028, puis des certificats de 47 jours seulement en mars 2029. Donc autant dire que sans automatisation, ça va devenir ingérable.

Google pousse donc clairement l’écosystème vers plus de sécurité, quitte à forcer la main aux retardataires. Moins de maillons dans la chaîne, c’est moins d’opportunités pour les attaquants et je trouve que c’est plutôt une bonne nouvelle.

Source

Ce matin, je vous parlais de ce mec qui s’est fait arrêter pour avoir effacé son téléphone devant les douaniers américains. Eh ben j’avais pas vu qu’il y avait encore mieux… L’administration Trump vient en effet de publier une proposition qui va vous faire halluciner… !!!!

Pour les ressortissants des 42 pays éligibles au programme ESTA (dont la FRANCE, l’Allemagne, le Royaume-Uni, le Japon…), il faudra bientôt fournir 5 ans d’historique de vos réseaux sociaux pour poser un pied sur le sol américain. Et c’est pas en option, non non non non… C’est une obligation. Le CBP (Customs and Border Protection) l’a annoncé dans le Federal Register hier (le 10 décembre).

Et attendez, c’est pas fini car en plus de vos posts Facebook, tweets et autres stories Instagram de ces 5 dernières années, ils veulent aussi récupérer toutes vos adresses email des 10 dernières années… vos numéros de téléphone (et ceux de votre famille)… les dates de naissance et lieux de résidence de vos proches… ainsi que vos données biométriques quand cela est faisable. Empreintes digitales, scan facial, scan de l’iris, et même votre ADN. On se croirait dans Bienvenue à Gattaca !

Officiellement, tout ça c’est pour “protéger les États-Unis des terroristes étrangers” suite à un décret de janvier 2025 sauf que le problème, comme l’explique un avocat spécialisé en immigration à The Register , c’est que les refus d’entrée ne seront plus basés sur des faits concrets… mais sur l’interprétation de vos opinions. Bref, si vous avez posté un truc qui plaît pas, c’est retour à la case départ. Donc autant vous dire que pour moi, c’est mort !

Et ce qui est marrant, c’est que ces politiques restrictives de connards ont coûté cette année aux États-Unis environ 30 milliards de dollars en perte économique pour le tourisme, et j’imagine que ça va augmenter… Les USA seraient l’un des seuls grand pays à voir ses revenus touristiques baisser. Des winners, j’vous dis !

La proposition est donc ouverte aux commentaires publics jusqu’au 9 février… On verra bien comment ça va se terminer et ce qui sera inscrit dans la loi.

De mon côté, ça fait 22 jours que j’ai décroché des réseaux sociaux et même si c’est dur, j’suis content. Déjà parce que ça fera moins de données à filer aux douaniers, y’aura moins de chiasse mentale qui ira se déverser dans mon cerveau et surtout moins de temps perdu à scroller… Bref, une meilleure santé mentale pour bibi.

Et un grand merci à l’administration américaine qui vient de me donner une raison supplémentaire de pas retourner aux États-Unis de sitôt. Dommage c’est un beau pays quand même.

Source

Vous pensiez que la fonctionnalité “Effacer toutes les données” de votre smartphone était là pour protéger votre vie privée ? Hé bien aux États-Unis, l’utiliser au mauvais moment peut désormais vous valoir des poursuites fédérales.

Bienvenue dans le pays de la liberté ! (lol)

Samuel Tunick, un activiste d’Atlanta, vient d’en faire les frais le 4 janvier dernier. Alors que les agents des douanes américaines (CBP) voulaient fouiller son Google Pixel, il a eu le réflexe de le wiper. Très mauvaise idée puisque le mec a été arrêté ce mois-ci par le FBI et le DHS, et fait maintenant face à des poursuites pour “destruction de preuves” et “obstruction à la saisie légale d’un bien par le gouvernement”.

Certes, il a fait preuve d’un gros manque de bon sens et l’acte d’accusation déclare que Tunick aurait “sciemment détruit le contenu numérique de son téléphone dans le but d’empêcher le gouvernement à prendre ledit bien sous sa garde”. Oui, effacer vos photos de vacances et vos conversations WhatsApp, c’est dorénavant privé l’Etat d’un bien potentiel.

D’ailleurs, on ne sait même pas pourquoi les douaniers voulaient fouiller son téléphone au départ mais la perquisition devait être effectuée par un officier du “Tactical Terrorism Response Team” (TTRT), une unité secrète du CBP que l’ACLU décrit comme des “équipes qui ciblent, détiennent, fouillent et interrogent des voyageurs innocents”.

Ces TTRT, c’est un truc de ouf ! Depuis leur création en 2015, ils opèrent dans des dizaines de points d’entrée américains et cette unité a détenu et interrogé plus de 600 000 voyageurs, dont un tiers de citoyens américains. Et ces agents peuvent cibler des gens sur la base de leurs “instincts”, sans qu’ils figurent sur une quelconque watchlist.

Car oui, le CBP considère que vos droits à la vie privée disparaissent à la frontière et leurs agents peuvent saisir et fouiller n’importe quel appareil électronique sans mandat ni motif raisonnable. Donc si vous refusez de donner votre mot de passe, ils peuvent confisquer votre téléphone pour analyse forensique. Et bien sûr, les citoyens américains ne peuvent pas être refoulés pour ça, mais les détenteurs de visa ou de green card et les touristes peuvent carrément se voir refuser l’entrée.

Comme d’hab, mes conseils pour voyager sont rasoirs mais faut partir avec un téléphone “propre” dédié aux voyages, stocker ses données sensibles dans le cloud (européen de préférence) plutôt que sur l’appareil, et surtout ne jamais, jamais effacer quoi que ce soit pendant une interaction avec les autorités. Ou alors faites comme moi et restez chez vous ^^. En tout cas, soyez pas con comme Tunick.

Ce dernier a d’ailleurs été libéré mais reste assigné à résidence dans le nord de la Géorgie en attendant son procès. Force à lui. M’enfin, sachez-le, le pays qui a inscrit le 4ème et le 5ème amendement dans sa Constitution considère que protéger sa vie privée équivaut à de l’obstruction.

Quelle belle évolution !

Source