Le Bureau du budget du Congrès, organisme non partisan chargé de la comptabilité des législateurs américains, a été piraté par un « acteur étranger ». L'attaque laisse craindre une fuite des projections à long terme du budget américain à des puissances étrangères.

Le 31 octobre 2025, l’université de Pennsylvanie aux États-Unis a été victime d’un piratage informatique. Le hacker, loin de se contenter de voler les données sensibles de donateurs, a envoyé un mail à des milliers de membres de la communauté de l’université, semblant également exposer des motivations politiques derrière cette opération.

Si vous êtes sous Android, voici une application qui est une imposture technique complète et qui bizarrement vous permet de contourner la censure parfois mieux qu’avec un vrai VPN.

Je vous explique comment ça marche, en fait, ByeByeDPI , c’est une app Android qui utilise ByeDPI localement sur votre téléphone afin de rediriger tout le trafic à travers elle. ByeDPI, si vous ne connaissez pas encore, c’est un proxy qui intercepte les paquets réseau et applique des techniques de désynchronisation afin de contourner tout ce qui est système de deep packet inspection.

Pour rappel, le deep packet inspection (DPI), c’est une techno que le gouvernement et les fournisseurs d’accès internet utilisent pour inspecter le contenu de vos paquets réseau. Donc ça n’analyse pas juste les entête de vos paquets mais également leur contenu. C’est ce qui permet par exemple à certains FAI de ralentir Netflix ou Youtube pour économiser un peu de bande passante.

En fait, tout l’astuce de cette app, c’est qu’elle détourne l’interface VPN d’Android pour rediriger le trafic vers elle-même. Quand vous l’activez en mode VPN, Android va créer une interface TUN (un tunnel virtuel), et envoyer tout le trafic réseau dedans. Normalement, un VPN classique chiffrerait le trafic et l’enverrait vers un serveur VPN distant. Mais BybDPI, lui, intercepte le trafic, le modifie légèrement pour tromper l’ennemi et le renvoie directement sur le net. Comme ça, tout reste en local, il n’y a pas de chiffrement supplémentaire ni de tunnel externe.

C’est donc vraiment un détournement pur et simple de l’API VPNServices d’Android. ByeByeDPI faire croire à Android qu’il est un VPN tout à fait classique, alors qu’en fait il effectue juste une fragmentation et une manipulation de paquets en local.

Voici les techniques qu’il utilise :

Technique 1 : Fragmentation de paquets.

Quand vous tapez par exemple “facebook.com”, votre navigateur envoie un paquet TCP qui contient une requête HTTP avec “Host: facebook.com” dans les headers. Le DPI inspecte alors ce paquet, voit “facebook.com”, et bloque ça.

ByeByeDPI découpe ce paquet en morceaux plus petits comme ça un fragment contient juste “face”, l’autre contient “book.com”. Et comme le DPI reçoit les fragments séparément, il ne reconnaît pas le mot interdit et le laisse passer. Le serveur de destination reçoit alors les deux fragments, les réassemble, et traite la requête normalement.

Technique 2 : Manipulation du TTL (Time-To-Live).

Chaque paquet réseau a un compteur TTL qui se décrémente à chaque routeur traversé. Quand TTL atteint zéro, le paquet meurt. ByeByeDPI envoie de faux paquets avec un TTL trop bas pour atteindre le serveur final, mais assez haut pour atteindre le DPI. Le DPI alors voit ces faux paquets, pense que la connexion échoue ou est corrompue, et laisse passer les vrais paquets qui suivent.

Technique 3 : Désynchronisation.

ByeByeDPI peut injecter des paquets avec des numéros de séquence TCP incorrects, ou des checksums invalides, pour embrouiller le DPI. Ces paquets sont ignorés par le serveur de destination, mais le DPI les traite comme légitimes et autorise la connexion.

Toutes ces techniques exploitent une vraie faiblesse fondamentale du DPI qui doit analyser des milliards de paquets par seconde. Comme il ne peut pas faire d’analyse approfondie sans ralentir massivement le réseau, il doit faire des compromis. Il inspecte donc uniquement tout ce qui est patterns évidents, et les signatures connues… donc si vous fragmentez bizarrement vos paquets, ou si vous envoyez des paquets malformés, le DPI est totalement perdu.

Et le truc fou, c’est que ByeByeDPI fait tout ça SANS chiffrer votre trafic. Votre connexion reste en clair donc votre FAI peut toujours voir votre IP, votre destination, et tout. Mais le système de censure, lui, ne voit que des paquets bizarres et les laisse passer.

Voilà donc comment en simulant une connexion pourrie, on peut contourner de la censure.

L’app propose 2 modes : VPN et Proxy.

En mode VPN, ByeByeDPI utilise l’API VpnService d’Android pour intercepter tout le trafic du téléphone. C’est transparent et toutes vos apps passent par le proxy sans configuration. Le trafic est redirigé via hev-socks5-tunnel , une bibliothèque qui crée un tunnel SOCKS5 local, puis envoyé vers ByeDPI qui applique les techniques de désynchronisation.

En mode Proxy, ByeByeDPI tourne comme un serveur SOCKS5 local sur 127.0.0.1:1080. Vous devez alors configurer manuellement vos apps pour utiliser ce proxy. C’est très utile si vous voulez combiner ByeByeDPI avec d’autres outils, genre AdGuard. Vous lancez ByeByeDPI en mode proxy, vous configurez AdGuard pour utiliser le proxy SOCKS5, et vous avez à la fois le blocage pub et du contournement DPI.

L’app supporte aussi le split tunneling. Vous pouvez créer une whitelist (seules certaines apps passent par ByeByeDPI) ou une blacklist (toutes les apps sauf certaines). C’est important sur Android TV/BOX où l’Ethernet peut planter si tout le trafic passe par un VPN. Là, vous mettez juste YouTube dans la whitelist, le reste du système utilise la connexion normale.

Cette app est née en Russie, où le DPI est massivement déployé depuis 2019 avec le système TSPU (Technical Means for Countering Threats). Comme la Russie bloque des sites avec une combinaison de blocage IP + DNS + DPI, les VPN classiques sont de plus en plus détectés et bloqués. Mais ByeByeDPI, lui, passe sous les radars parce qu’il ne ressemble PAS à un VPN. Il ressemble à du trafic normal avec des problèmes de connexion.

Le développeur original de ByeDPI, c’est ValdikSS , le créateur de GoodbyeDPI pour Windows et ByeDPI c’est le portage Linux/Android de ce même concept. ByeByeDPI quand à lui est un wrapper Android qui rend tout ça utilisable sans avoir à se palucher de la ligne de commande.

Évidemment, ByeByeDPI ne vous protège pas contre la surveillance puisque votre FAI voit toujours tout et un gouvernement peut toujours logger vos connexions. Cette app contourne juste les blocage DPI, mais ne vous rend pas anonyme pour autant, donc si c’est de l’anonymat que vous voulez, utilisez Tor ! Et si vous voulez du vrai chiffrement, utilisez un VPN comme NordVPN (lien affilié). Par contre, si vous voulez juste accéder à un site bloqué par DPI, ByeByeDPI suffira.

Merci à Letsar pour le partage.

Bon, si vous me lisez depuis loooongtemps, vous connaissez forcément le risque que représentent les métadonnées contenues dans les images que vous partagez en ligne. Oui, je parle bien des fameux EXIFs qui contiennent aussi bien le modèle d’appareil photo utilisé, l’heure précise à la seconde près où vous avez pris le cliché, les réglages de l’objectif, parfois même l’altitude, et surtout les coordonnées GPS exactes de l’endroit où vous étiez.

Et toutes ces données, si vous mettez vos photos en ligne par exemple, chez Google ou Apple, et bien eux les récupèrent et les utilisent. C’est dommage, surtout que ce sont des données qui sont quand même utiles pour peu qu’on garde ça en local sur sa machine.

Alors que faire ?

Hé bien, il existe un logiciel open source sous licence MIT qui s’appelle ChronoFrame . C’est une galerie photo que vous pouvez héberger vous-même, qui va parser automatiquement toutes les données exif de vos clichés, extraire la géolocalisation, faire du reverse géocoding pour identifier le lieu exact et afficher tout ça sur une espèce de carte interactive sur laquelle vous pouvez naviguer pour revoir vos souvenirs de voyage.

En gros c’est comme Google Photo sauf que c’est vous qui gérez vos données et vous contrôlez qui accède à quoi.

L’intérêt de ChronoFrame, c’est qu’il rend visible l’invisible. Vous uploadez une image, ChronoFrame lit les métadonnées, extrait les coordonnées GPS si elles existent, et lance un appel à l’API Mapbox ou MapLibre pour faire du reverse geocoding. Ça, ça veut dire transformer des coordonnées GPS (48.8584, 2.2945) en adresse lisible (“Tour Eiffel, Paris, France”).

Et surtout, ChronoFrame supporte les Live Photos d’Apple ET les Motion Photos de Google. La génération de miniatures, quand à elle, utilise ThumbHash , un algorithme de placeholder ultra-compact créé par Evan Wallace (cofondateur de Figma). Ainsi au lieu de générer plusieurs tailles de miniatures (100x100, 200x200, 400x400…etc), ThumbHash encode une version floue de l’image dans moins de 100 bytes et comme ça, les vignettes se chargent instantanément, et l’affichage est ensuite progressif (flou -> net) jusqu’à ce que l’image full résolution arrive.

L’interface est bien sûr responsive, supporte le touch et la navigation par gestes, et donne une expérience proche d’une app native. Pour la déployer, vous devez créer un fichier .env avec vos variables d’environnement (email admin, mot de passe, provider de stockage, token Mapbox…etc), vous lancez docker pull ghcr.io/hoshinosuzumi/chronoframe:latest, et hop, ça tourne direct.

Le guide de démarrage détaille tout le process et ça vous prendra 5 minutes chrono.

Voici un exemple de configuration minimale :

CFRAME_ADMIN_EMAIL=admin@chronoframe.com
CFRAME_ADMIN_PASSWORD=VotreMotDePasse
NUXT_PUBLIC_MAP_PROVIDER=maplibre
NUXT_PUBLIC_MAP_MAPLIBRE_TOKEN=votre_token_maptiler
NUXT_STORAGE_PROVIDER=local
NUXT_PROVIDER_LOCAL_PATH=/app/data/storage
NUXT_SESSION_PASSWORD=$(openssl rand -base64 32)

NUXT_STORAGE_PROVIDER=s3
NUXT_PROVIDER_S3_ENDPOINT=https://s3.amazonaws.com
NUXT_PROVIDER_S3_BUCKET=votre-bucket
NUXT_PROVIDER_S3_REGION=eu-west-1
NUXT_PROVIDER_S3_ACCESS_KEY_ID=votre_key
NUXT_PROVIDER_S3_SECRET_ACCESS_KEY=votre_secret

Sale temps en ce moment pour les citoyens américains… Vous avez votre certificat de naissance dans la poche, vous êtes un vrai américain pur et dur. Mais un agent ICE sort son smartphone, scanne votre visage en moins de 2 secondes, et une app officielle lui dit que vous êtes un étranger et que vous n’avez rien à faire là.

C’est faux évidemment, mais devinez qui a raison ?

Hé bien c’est pas vous !

Mobile Fortify , c’est donc l’app que l’ICE (police de l’immigration) et la Border Patrol américaine (l’équivalent de la police aux frontières) ont déployée sur leurs smartphones l’année dernière. Une app de reconnaissance faciale qui tape dans une banque de 200 millions d’images et des dizaines de bases de données gouvernementales : FBI, State Department, DMV, passeports, visas, fichiers criminels, tout y passe et en temps réel s’il vous plaît.

L’app s’appuie principalement sur une fonction baptisée “Super Query”. En gros, un agent de police pointe son téléphone vers votre visage, l’app le scanne, et hop il obtient votre nom complet, votre date de naissance, votre nationalité, votre statut d’immigration, votre casier judiciaire, et tous vos numéros d’identification uniques. Tout ça en quelques secondes et sans votre consentement.

C’est moche. Et même si vous avez vos papiers ou un certificat de naissance, on a appris via le démocrate Bennie Thompson, élu à la Chambre des représentants, que les agents peuvent ignorer tout ça volontairement. Un pauvre algo stupide prime sur un document d’état civil officiel. C’est dingue non ?

D’ailleurs, plusieurs vidéos ont commencé à circuler dès octobre dernier. Par exemple à Chicago, des agents de la Border Patrol arrêtent deux ados à vélo . L’un d’eux n’a pas sa pièce d’identité alors l’agent demande à son collègue : “Can you do facial ?” et le collègue sort son smartphone, scanne le visage du gamin (mineur), sans aucune autorisation parentale évidemment.

Autre vidéo, toujours à Chicago, un automobiliste refuse de montrer sa carte d’identité . C’est son droit constitutionnel le plus pur, mais l’agent pointe quand même son téléphone vers lui. Le type proteste : “I’m an American citizen, so leave me alone.” Réponse de l’agent : “Alright, we just got to verify that.” Et il lui scanne la tronche.

Le document interne du DHS (U.S. Department of Homeland Security) est très clair : “ICE does not provide the opportunity for individuals to decline or consent to the collection and use of biometric data/photograph collection.” Traduction : on scanne d’abord, on demande jamais. Et votre visage, qu’il soit scanné par erreur ou pas, restera stocké 15 ans dans les bases de données fédérales.

Jeramie Scott, de l’ Electronic Privacy Information Center , appelle ça une “dérive dystopique pure”. Quatre sénateurs américains, dont Edward Markey, ont également envoyé une lettre à l’ICE en septembre dernier pour exiger l’arrêt immédiat de l’utilisation de Mobile Fortify. Ils y réclament la divulgation complète de la base juridique de l’app, de sa précision, et des contrôles en place.

Mais bien sûr, silence radio de la part de l’ICE.

Bon, rien de nouveau dans la reconnaissance faciale en soi. Ce qui est nouveau vraiment ici, c’est la portabilité de cette techno, l’agrégation instantanée de dizaines de bases de données, et surtout le déploiement sur le terrain sans cadre légal clair. Et surtout c’est l’inversion totale de la preuve où un algorithme devient plus fiable qu’un document officiel.

Et si je vous en parle, c’est parce que ce genre de dérives ne reste jamais confiné aux États-Unis. En Europe, en France, nos gouvernements lorgnent déjà sur ces technologies. Il y a des garde-fous, certes, mais la pression sécuritaire est constante et ces outils se normalisent petit à petit. À l’heure où certains fous rêvent de faire de la France le pays le plus répressif d’Europe, ce glissement vers la techno-police devient franchement flippant.

Bref, le problème n’est ni technique, ni culturel, ni géographique. Il est politique. Et nous devons rester vigilants pour que ce cauchemar dystopique ne débarque pas jusqu’ici. Parce qu’une fois qu’on laissera ces algorithmes décider de quelle est notre identité, on sera foutu.

Source

L’essor fulgurant de l’intelligence artificielle transforme le paysage énergétique américain avec une voracité sans précédent. Chaque utilisation d’applications comme DALL-E pour générer des images consomme autant d’électricité que la recharge d’un iPhone, multipliant exponentiellement les besoins lorsque des millions d’Américains utilisent simultanément ces technologies. Face à cette demande croissante, l’administration Trump, fidèle à son soutien ... Lire plus

Vous savez, ce script bash de backup que vous avez écrit en 2018 et que vous n’osez plus toucher ? Celui avec les 150 lignes de mysqldump + tar + gzip + aws s3 cp qui marche à moitié et que vous relancez manuellement quand il plante ?

Hé bien vous allez pouvoir le foutre à la poubelle parce que maintenant y’a GoBackup !

GoBackup c’est un binaire codé en Go qui remplace tous vos scripts de backup maison d’un coup. MySQL, PostgreSQL, MongoDB, Redis, peu importe. Local, FTP, S3, Google Cloud, Azure, peu importe. Vous installez, vous configurez un fichier YAML, et c’est fini.

Ensuite, vous n’aurez plus jamais besoin de retoucher à tout ce bordel.

Avant GoBackup y’avait backup/backup, une gem Ruby qui faisait exactement ce job avec de la sauvegarde automatique, multi-bases, multi-destinations et c’était bien. Sauf que Ruby c’est lourd et les dépendances Ruby c’est l’enfer. Du coup le projet est mort tout doucement. Heureusement, huacnlee, un dev chinois, en a eu marre alors il a tout réécrit en Go. Zéro dépendance externe et un seul binaire compilé (installable aussi avec Brew pour ceux qui sont sous macOS).

Vous pouvez l’installer comme ceci (vérifiez le script) :

curl -sSL https://gobackup.github.io/install | sh

Ou via homebrew comme ceci :

brew install gobackup

Avec GoBackup, vous définissez vos bases de données, vos fichiers à archiver, vos destinations de stockage, votre planning, tout dans un fichier YAML propre et ensuite le binaire gère tout : Compression, chiffrement, upload, rotation des backups, notifications si ça échoue…etc. Bref, tout ce que vous faisiez à la main avec vos scripts pourris.

Et GoBackup est pas juste un CLI (Interface en ligne de commande). C’est un CLI + un daemon + une Web UI + un scheduler. Comme ça vous lancez “gobackup start” et ça tourne en background.

Le daemon surveille alors le planning défini dans votre config et lance les backups automatiquement. Et l’interface web vous permet de voir l’état des backups, les logs, les erreurs.

Avec GoBackup, vous remplacez littéralement 5 outils en un : votre script bash + cron + un monitoring pourri + un truc pour lire les logs + l’interface d’admin que vous avez jamais eu le temps de faire.

Votre config ressemble à ça :

models:
 mon_app:
 compress:
 type: tgz
 databases:
 mon_mysql:
 type: mysql
 host: localhost
 database: ma_base
 username: user
 password: $MYSQL_PASSWORD
 storages:
 mon_s3:
 type: s3
 bucket: mes-backups
 region: eu-west-1
 access_key_id: $AWS_KEY
 secret_access_key: $AWS_SECRET
 schedule:
 every: 1day
 at: "04:05"

Et c’est tout. Avec ce fichier, GoBackup dump votre base MySQL tous les jours à 4h05, compresse en .tar.gz, chiffre si vous voulez, et upload sur S3. Et si ça échoue vous recevez une notif. Et si ça marche vous avez les logs comme ça, pas besoin de surveiller, ni de débugger à 3h du matin parce que le backup a planté et que vous avez perdu 6 mois de données.

Notez quand même que GoBackup fait du backup classique, et pas du backup incrémental intelligent à la Restic ou à la Borg donc si vous avez 500 GB de données à backup tous les jours vous allez peut-être préférer un outil plus sophistiqué mais pour 90% des cas d’usage sysadmin standard, GoBackup suffira largement.

Votre script bash dégeu a eu une belle vie, il peut maintenant partir à la retraite.

Découvrez dix notions pour comprendre facilement l’intelligence artificielle, de l’algorithme aux deepfakes, avec des repères pratiques et un vocabulaire clair.

Cet article Comprendre l’intelligence artificielle en dix notions clés est apparu en premier sur Linformatique.org.

Enfin une bonne nouvelle les amis ! Le parti CDU/CSU, actuellement au pouvoir en Allemagne, vient de déclarer clairement qu’il n’y aura pas de Chat Control avec ce gouvernement. L’annonce a été faite hier et c’est une victoire majeure pour la vie privée en Europe !

Pour ceux qui n’ont pas suivi, je vous avais parlé de Chat Control , une proposition de règlement européen qui obligerait WhatsApp, Signal, Telegram et tous les autres à scanner automatiquement tous vos messages, même chiffrés, pour y chercher du contenu illégal. En gros, on casse le chiffrement de bout en bout pour surveiller tout le monde “au cas où”. C’est de la surveillance de masse déguisée en protection de l’enfance, et d’ailleurs tous les experts en sécurité vous le diront : on ne peut pas casser le chiffrement “juste un peu” ou “pour une bonne cause”. Soit c’est chiffré, soit ça l’est pas.

Bref, la déclaration de la CDU/CSU est limpide : Il n’y aura pas de surveillance généralisée des messages sans motif, comme certains pays de l’UE le réclament. Patrick Hansen, qui suit de près ces questions de réglementation crypto et tech en Europe, a tweeté que c’était une grande victoire pour la vie privée dans l’UE et il a raison, le bougre !

Alors pourquoi c’est important cette décision de l’Allemagne ? Hé bien parce qu’elle pèse lourd dans les décisions européennes la Bertha ! Pour qu’une proposition comme Chat Control passe, il faut le soutien d’États membres représentant au moins 65% de la population de l’UE. Et sans l’Allemagne, c’est mathématiquement compliqué. Du coup, ça tombe bien puisque le vote au Conseil était prévu pour le 14 octobre 2025.

Faut pas oublier que la position allemande avait vacillé en septembre. En effet, après une réunion du groupe de travail LEWP, l’Allemagne était revenue à une position “indécise”, ce qui avait fait flipper tout le monde et sans le refus ferme de Berlin, l’opposition ne pouvait plus garantir une minorité de blocage.

Bref, on était pas loin de la catastrophe !!

Mais là, c’est bon, on est sauvé puisque la CDU/CSU remet les points sur les i. Pas de Chat Control. Le dossier est clos (pour le moment…). C’est chouette parce que franchement, dans le cas contraire, j’aurais pas compris car l’Allemagne a quand même une histoire particulière avec la surveillance de masse. Entre les nazis et la Stasi d’Allemagne de l’Est, ils savent mieux que personne ce que ça donne quand l’État surveille tout le monde. J’imagine que cette mémoire historique a compté dans leur position vis à vie de ChatControl.

En tout cas, c’est le bon moment pour dire merci. Merci à tous ceux qui se sont mobilisés contre ce projet délirant ces derniers mois. Les associations comme l’Electronic Frontier Foundation, le Chaos Computer Club, European Digital Rights, tous les devs qui ont gueulé, tous les citoyens qui ont écrit à leurs députés, tous ceux qui ont relayé l’info…etc. Car sans cette pression, on aurait probablement déjà Chat Control en place. Une preuve de plus que la mobilisation, ça marche !

Après, en tant qu’ancêtre d’Internet, croyez en ma grande expérience, ce genre de loi merdique n’est jamais vraiment mort. Ça reviendra sous une autre forme, avec un autre nom, un autre prétexte. C’est l’histoire même de la surveillance… ils réessayent encore et encore jusqu’à ce que ça passe, en espérant qu’on sera trop fatigués ou trop distraits pour résister. Mais bon, ce sera pas pour cette fois encore…

Signal avait même menacé de quitter le marché européen plutôt que de compromettre le chiffrement de son service. Proton, Tuta et d’autres avaient de leu côté fait des déclarations similaires.

Donc voilà. Pour une fois, une bonne nouvelle sur la vie privée en Europe, alors en attendant la prochaine saloperie politique, on savoure cette victoire, et on continue à se battre !