Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierinformatique général
  • ✇Korben
  • La vérif d'âge de l'Europe ridiculisée par une extension Chrome
    Bon, vous le savez, l'Europe tient absolument à savoir votre âge, avant de vous laisser scroller librement sur le net. Alors pour cela, ils ont mis au point une application qui permet de prouver votre âge et qui nous est proposée comme simple à utiliser et respectueuse de notre vie privée. Mais ça c'était sans compter sur Paul Moore , chercheur en sécurité, qui vient à nouveau de l'éclater à l'aide d'une simple extension Chrome... Mais reprenons depuis le début, parce que cette app

La vérif d'âge de l'Europe ridiculisée par une extension Chrome

Par : Korben ✨
15 juillet 2026 à 12:39

Bon, vous le savez, l'Europe tient absolument à savoir votre âge, avant de vous laisser scroller librement sur le net. Alors pour cela, ils ont mis au point une application qui permet de prouver votre âge et qui nous est proposée comme simple à utiliser et respectueuse de notre vie privée.

Mais ça c'était sans compter sur Paul Moore , chercheur en sécurité, qui vient à nouveau de l'éclater à l'aide d'une simple extension Chrome...

Mais reprenons depuis le début, parce que cette appli, c'est le modèle de référence de la Commission européenne pour vérifier qu'un internaute a bien plus de 18 ans, sans avoir à dévoiler qui il est. Développée par un consortium germano-suédois, elle est actuellement en test dans cinq pays dont la France, et vise aujourd'hui surtout le contenu adulte / porno et les jeux d'argent.

Ce 13 juillet, notre bien-aimée Ursula von der Leyen a même annoncé vouloir réutiliser cette infrastructure pour barrer l'accès des plus jeunes aux réseaux sociaux, avec une loi attendue après l'été et un âge minimum autour de 13 ans. "Les réseaux sociaux ne sont pas un jouet", comme elle l'explique !

Et pour arriver à cela, rassurez-vous, l'UE ne va pas stocker la carte d'identité de chaque Européen puisque le principe de ce système de contrôle, c'est de prouver l'âge sans transmettre l'identité.

Enfin, en théorie...

Parce qu'en pratique, c'est un peu la fête du slip ! Déjà il y a le dépôt Github officiel qui prévient tout le monde que c'est une implémentation de référence et absolument pas un truc à déployer en production. Donc en gros démerdez-vous !

Et ensuite, cette application est censée présenter une preuve d'âge à un vérificateur sans avoir à balancer notre identité. Alors ce qu'a fait Paul Moore, c'est qu'il a fabriqué cette preuve directement à partir d'une extension Chrome, et la présenter au vérificateur officiel de la démo. Et comme vous vous en doutez, celui-ci l'a validée comme si de rien n'était

Ça a l'air tellement simple !

En même temps, vu que la clé crypto, c'est une simple clé logicielle P-256 et pas une clé qui est enfermée dans le coffre matériel du téléphone, eh bien c'est assez facile à déjouer. Il n'y a pas besoin de scanner son passeport ou sa carte d'identité, il n'y a aucune reconnaissance faciale, ni aucune attestation matérielle façon Play Integrity pour prouver que ça tourne sur du vrai matos et (rigolez pas) la même preuve peut être rejouée en boucle encore et encore !! Une preuve d'âge peut donc servir 2 fois de suite.

Et puis cette preuve d'identité, elle est à 100% sous le contrôle du client. Donc en gros c'est à l'application installée sur votre téléphone qu'on demande de ne pas tricher. Mais lol.

Pour Moore qui a mis au point ce hack, il n'y aurait aucun patch qui pourrait régler ça. C'est vraiment l'architecture qui est foireuse. Et comme tout repose sur la bonne foi de l'application, eh bien c'est foutu. N'importe qui détourne l'application ou forge sa propre app peut faire croire au vérificateur qu'il a plus de 18 ans.

Pour boucher ce trou, l'Europe dispose de deux pistes : Soit passer par une attestation matérielle en béton, comme celle que Google verrouille via Play Integrity, ce qui recale au passage les gens sous GrapheneOS, Linux et compagnie, ou alors faire de la vraie crypto à divulgation nulle, prévue pourtant dans la spec mais pas branchée dans cette version.

Ce qui est rigolo, c'est que Moore a expliqué sur X avoir codé son proof of concept avec une IA en quelques minutes. Et on n'oublie pas non plus que Bruxelles veut interdire les réseaux sociaux avant 13 ans et a fait passer Chat Control pour scanner nos messages.... Je trouve que ça fait beaucoup de "contrôle" qu'on essaye de déguiser en "protection".

En attendant, ils sont bien ridicules avec leur application de validation d'âge en mousse.

Source

  • ✇Korben
  • Un compteur de visiteurs sur votre site, sans payer un centime
    Vous avez peut-être remarqué un petit point rouge tout en bas de mon site, avec un nombre à côté. Il s'agit du nombre de personnes passées sur le site durant la dernière heure. Je voulais remettre ce truc depuis un bail, bien à l'ancienne comme dans les années 2000 mais sur un site statique, qui plus est sans tracker de stats JS type Google Analytics ou Matomo, et sans cookies de tracking, c'était pas franchement une option... jusqu'à maintenant !

Un compteur de visiteurs sur votre site, sans payer un centime

Par : Korben ✨
12 juillet 2026 à 07:45

Vous avez peut-être remarqué un petit point rouge tout en bas de mon site, avec un nombre à côté. Il s'agit du nombre de personnes passées sur le site durant la dernière heure.

Je voulais remettre ce truc depuis un bail, bien à l'ancienne comme dans les années 2000 mais sur un site statique, qui plus est sans tracker de stats JS type Google Analytics ou Matomo, et sans cookies de tracking, c'était pas franchement une option... jusqu'à maintenant !

Le compteur, en vrai, tout en bas de korben.info.

La solution évidente sur des sites statiques, c'est souvent un petit Worker Cloudflare qui compte les visiteurs et servirait le chiffre, mais ça se facture à chaque requête. À 390 000 pages vues par jour, ça grimpe vite à des dizaines de millions d'invocations par mois, soit dans les 6 à 7 dollars. C'est pas super cher mais pour un compteur qui n'est utile qu'à satisfaire mon égo tout en sachant s'il y a du monde aujourd'hui, ça ne sert strictement à rien ! Donc le Worker, je l'ai écarté direct.

Du coup j'ai fait ça à l'ancienne. Un petit script Python tourne sur la machine qui héberge le site, une fois par minute. Il pose une seule question à Cloudflare, à savoir combien d'adresses IP distinctes ont chargé une page durant la dernière heure (ou demi-heure, ou quart d'heure ou 5 min, c'est vous qui paramétrez), il écrit la réponse dans un minuscule fichier live.json de quelques centaines d'octets, et c'est tout. Ce fichier, Cloudflare le sert ensuite depuis son cache comme il servirait une image, gratuitement. Zéro Worker, zéro base de données, zéro abonnement, j'ai exactement le même résultat sans dépenser une thune.

Maintenant, faut que je sois clair sur ce que ce chiffre raconte. C'est le nombre de navigateurs distincts ayant chargé une page durant la dernière heure, hors trafic interne de Cloudflare. C'est un "*combien de monde est passé récemment *", pas un "combien lisent là tout de suite".

Et les bots là-dedans ?

En fait, les bots pourris , ceux qui scrapent en boucle, se font bloquer en amont par le Super Bot Fight Mode de Cloudflare, donc ils n'arrivent même pas jusqu'à mon site. Restent les gentils bots, du genre de Googlebot et compagnie, que je laisse passer exprès, parce que les bloquer reviendrait à me flinguer mon référencement. Sur les 7 derniers jours, Cloudflare classe à peine 4% comme bots vérifiés. Donc c'est une goutte d'eau, surtout qu'ils tournent sur une poignée d'IP. Donc oui, mon compteur avale deux ou trois crawlers au passage, mais je ne voulais pas vous mentir en écrivant "zéro bot". Mais l'essentiel c'est que les nuisibles, eux, ne soient pas comptabilisés.

J'ai aussi dû gérer un petit piège car l'API de Cloudflare plafonne sa réponse à 10 000 lignes. Et comme sur une heure entière de trafic ça peut se remplir vite, si je crève ce plafond, la requête sous-compterait sans rien dire. Donc le script lève un flag et le compteur affiche "10 000 personnes ou plus" plutôt qu'un faux nombre. Quand j'y serai aux 10 000 et plus, je pense que je réduirai alors le delta temps en passant de 1h à 30 min...etc.

Côté vie privée, c'est carré également. Cloudflare renvoie à mon serveur une liste JSON des IP passées dans l'heure, mon script en compte le nombre de distinctes, et efface cette liste de sa mémoire dans la milliseconde qui suit. Aucune IP n'est stockée, aucune n'atterrit dans un log, aucun fichier avec les IPs n'est créé sur le disque... Il ne reste qu'un entier. Comme je vous le disais, pas de cookie , pas de traceur, et rien qui touche votre navigateur . Et comme le compteur ne s'affiche jamais en dessous de 10 personnes, impossible d'isoler qui que ce soit.

Maintenant, si vous voulez le même chez vous, sachez que j'ai tout balancé en open source sur GitHub , sous licence MIT, donc servez-vous. Voici les pré-requis :

  1. votre site doit être derrière Cloudflare, le plan gratuit suffit largement.
  2. vous générez un token API Cloudflare avec le droit de lecture sur les analytics.
  3. vous posez le script live_count.py sur votre serveur et vous le lancez une fois par minute (ou toutes les 5 ou 10 min) via un cron.
  4. vous ajoutez le bout de JavaScript et son span dans vos pages, tout se règle par des attributs, aucun script inline, donc ça passe même avec une politique de sécurité stricte.

Le seul truc sur lequel ne pas vous louper, c'est de mettre un temps de cache court à live.json. Si c'est trop long, tous vos visiteurs verraient un chiffre périmé.

Voilà. Un petit compteur maison simili-live sans tracking et qui ne me coûte rien, c'est le bonheur !

  • ✇Korben
  • Chat Control - 314 contre, 112 absents, et le texte passe
    314 députés européens ont voté jeudi pour enterrer Chat Control et 276 ont voté pour le garder. Et c'est quand même passé OKLM. Et oui, pas la peine de vous frotter les yeux, je vais vous expliquer tout ça. En seconde lecture, le Parlement a besoin d'une majorité absolue de ses membres pour rejeter un texte du Conseil, soit 360 voix. Et cette "majorité", c'est pas une majorité des présents dans l'hémicycle, mais une majorité d'élus, absents compris. Du coup les 314 sont tombés à 46 voix du compt

Chat Control - 314 contre, 112 absents, et le texte passe

Par : Korben ✨
10 juillet 2026 à 10:59

314 députés européens ont voté jeudi pour enterrer Chat Control et 276 ont voté pour le garder.

Et c'est quand même passé OKLM.

Et oui, pas la peine de vous frotter les yeux, je vais vous expliquer tout ça. En seconde lecture, le Parlement a besoin d'une majorité absolue de ses membres pour rejeter un texte du Conseil, soit 360 voix. Et cette "majorité", c'est pas une majorité des présents dans l'hémicycle, mais une majorité d'élus, absents compris.

Du coup les 314 sont tombés à 46 voix du compte, 17 députés se sont abstenus, et 112 qui n'ont pas pris part au vote ont terminé le boulot à leur place puisque leur chaise vide valait pour un oui.

Je rappelle quand même que ces 112 là touchent 359 euros d'indemnité journalière, et qu'il leur suffit de signer un registre le matin pour encaisser leur thune. Je pense que si ces feignasses d'absentéistes faisaient correctement leur boulot en étant là, au moins pour les choses importantes, on n'aurait pas des problèmes comme ça qui impactent tous les citoyens européens. Ils ne méritent vraiment ni leur poste, ni leurs indemnités de merde.

Maintenant que ça c'est dit, je vous propose qu'on fasse une petite séance de cohérence cardiaque tous ensemble pour se détendre, car y'a quand même un peu de positif dans cette seconde lecture.

Le texte voté, c'est Chat Control 1.0, c'est à dire la dérogation qui autorise les plateformes à scanner volontairement les messages de leurs utilisateurs. Ce n'est donc pas un scan obligatoire, ni des ordres de détection, ni de la vérification d'âge qui vous ferait montrer vos papiers pour ouvrir un compte sur une messagerie. Tout ça, c'est prévu dans Chat Control 2.0, un règlement séparé, qui n'est toujours pas adopté, mais qui revient à l'automne !!

L'autre bonne nouvelle dans notre malheur, c'est que les députés (ceux qui bossent hein, pas les autres paresseux) ont arraché un amendement qui exclut du texte tout ce qui est chiffré de bout en bout. Donc Signal, WhatsApp, iMessage, et les salons Matrix que vous avez pris soin de chiffrer vont passer entre les mailles du filet de Big Brother.

Restent quand même Gmail , Outlook, Discord, Snapchat, iCloud Mail, les publications et les groupes Facebook, et tout ce qui transite en clair sur des serveurs... C'est-à-dire là où vous comme moi, écrivons la plupart de nos trucs.

Cette dérogation "temporaire", Chat Control 1.0, est née en 2021 et a expiré le 3 avril dernier, quand le Parlement avait refusé de la prolonger. Alors le Conseil l'a renvoyée au Parlement et ils veulent maintenant qu'elle coure jusqu'au 3 avril 2028. Ça c'est du bon gros provisoire reconduit à coups de 2 ans... Ce genre de provisoire, moi j'appelle ça du permanent mais bon, bref...

Et le pire, les amis, c'est que ce scan qu'on vous vend comme une protection contre tous les criminels et autres pédophiles nazis terroristes NE FONCTIONNE PAS. Et c'est pas moi qui le dis !

En effet 807 chercheurs et cryptographes dans 37 pays ont signé une lettre ouverte, la quatrième depuis 2023, où ils écrivent qu'il est "tout simplement impossible de détecter, avec un niveau de précision acceptable, les contenus pédopornographiques connus et nouveaux pour des centaines de millions d'utilisateurs.".

C'est donc simplement pas faisable à cette échelle, avec une suffisance de précision. Et les chiffres leur donnent raison puisque quand l'Irish Council for Civil Liberties a épluché les signalements automatiques atterris chez la police irlandaise, à peine 20 % étaient réellement des contenus pédocriminels, et moins de 10 % étaient exploitables par un enquêteur.

Le reste, bah c'est du bruit... Ce sont vos photos de vacances, vos consultations médicales, vos ados qui s'écrivent entre eux. Et chaque faux positif, c'est un inconnu payé pour regarder vos photos à la plage ou vos sextapes. Sans parler des erreurs humaines ou IA qui viendront se glisser là-dedans et qui vous enverront en zonzon pour pédocriminalité pour une photo de Sphinx (les chats sans poil, vous savez) ou autre...

Quatorze pointures de la crypto, dont Ron Rivest, Whitfield Diffie et Bruce Schneier, ont posé le diagnostic dans un document, Bugs in our Pockets où ils expliquent que le scan côté client "ne garantit pas une prévention efficace de la criminalité et n'empêche pas la surveillance".

Et c'est à nous de payer toutes ces conneries avec notre vie privée.

Puis j'sais pas si vous vous souvenez, mais Apple s'y est cassé les dents en public. Ils avaient annoncé un système de détection en août 2021, et des chercheurs ont conçu dans la foulée, des collisions de hash (deux images différentes, même empreinte), qui a poussé Apple à enterrer le projet en décembre 2022 parce qu'ils se sont rendu compte que ce n'était pas suffisamment fiable et efficace.

Reste la question qui nous intéresse tous : Comment se protéger de ce viol de notre vie privée ?

D'abord, débarrassez-vous de deux illusions. Votre VPN ne sert à rien contre ce truc, parce qu'il chiffre le tuyau, mais pas votre message au moment où vos doigts le tapent. Et votre navigation privée non plus.

Le scan côté client en fait, c'est un mouchard qui lit sur votre appareil, avant le chiffrement et ni le VPN ni le chiffrement de bout en bout ne peuvent faire quoi que ce soit si l'application ou le système d'exploitation coopère. Et une app dont vous ne pouvez pas lire le code, bah vous n'avez aucun moyen de savoir ce qu'elle regarde avant d'envoyer.

Ce qui marche vraiment par contre, c'est de foutre le camp des services que ce texte vise, c'est à dire ceux qui ne chiffrent pas de bout en bout. J'avais fait le tour des messageries sécurisées il y a un moment, et où on en est en 2026.

  • Messageries : Signal (AGPL, mais l'inscription réclame toujours un numéro de téléphone, les usernames introduits en 2024 servent juste à ne pas le filer à vos contacts), SimpleX Chat (aucun identifiant utilisateur, ni numéro ni email, c'est le seul), Molly (un Signal durci pour Android, sans les services Google), Briar (pas de serveur du tout, ça passe par Tor, le Wi-Fi local ou le Bluetooth).
  • Mail : Tuta chiffre le corps, le sujet et le nom de l'expéditeur. Mais pas les adresses ni la date (le protocole ne le permet pas). Proton Mail chiffre le sujet et les adresses au repos, sans aller jusqu'au bout en bout, une limite héritée de PGP. Les deux savent quand même envoyer un vrai message chiffré à quelqu'un qui n'est pas chez eux, par mot de passe partagé ou avec PGP. Dans les deux cas vous quittez Gmail, c'est déjà l'essentiel.
  • Chiffrer avant d'envoyer : Cryptomator , age ou GnuPG. Votre fichier part déjà illisible, l'app qui le transporte n'a plus rien à lire. Hop, problème réglé, quelle que soit votre messagerie.
  • Le téléphone : GrapheneOS , uniquement sur Pixel. Le bac à sable durci et les Storage Scopes limitent ce qu'une app peut fouiller. Honnêtement, ça ne bloque rien si c'est l'app elle-même qui scanne. Mais ça réduit la surface.

Tout ceci est parfaitement légal, et non, vous n'avez pas à vous cacher pour le faire. L'article 30 de la LCEN le dit noir sur blanc depuis 2004 : "L'utilisation des moyens de cryptologie est libre."

Sachez seulement que dans une procédure judiciaire, l'article 434-15-2 du code pénal punit le refus de remettre une clé de déchiffrement aux autorités. Vous avez donc le droit de chiffrer, mais pas de mentir au juge.

Le site exitchatcontrol.org recense tout ça et beaucoup plus, service par service, avec les alternatives testées et l'argumentaire qui va avec. Allez y faire un tour, c'est du bon boulot ! Et si vous voulez écrire à votre eurodéputé, fightchatcontrol.eu vous prépare le mail.

exitchatcontrol.org existe en français, avec son encart daté du 9 juillet

Ensuite, pour les recours, je vais être franc avec vous, attaquer le texte devant la Cour de justice de l'UE, ça va être compliqué car depuis l'arrêt Plaumann de 1963, un particulier doit prouver qu'un règlement le touche "individuellement", ce que vous ne pourrez jamais démontrer face à une surveillance de masse qui vise tout le monde pareil.

La vraie porte de sortie est ailleurs je pense. Elle se trouve dans la question préjudicielle, quand une juridiction nationale interroge la Cour. C'est en tout cas comme ça que La Quadrature du Net a fait tomber la conservation généralisée des données en 2020.

Et la Cour européenne des droits de l'homme a déjà tranché sur le chiffrement, dans Podchasov contre la Russie en février 2024 : affaiblir le chiffrement "permettrait apparemment, d'un point de vue technique, de mener une surveillance systématique, générale et sans distinction".

Voilà, maintenant le VRAI rendez-vous, c'est septembre. Le texte de jeudi repart au Conseil, qui a 3 mois pour avaler l'exclusion du chiffrement ou la recracher, auquel cas tout le monde part en conciliation. Et surtout, Chat Control 2.0 reprend à l'automne sous présidence irlandaise, avec le scan obligatoire, la vérification d'âge et la fin de l'anonymat dans le paquet. Devant le même Parlement, avec j'imagine les mêmes branles couilles absents, ceux-là mêmes qui, quand l'Allemagne avait dit non , s'étaient bien gardés de dire quoi que ce soit.

Alors oui, Big Brother a avancé ses pions ce jeudi mais moi ce que je retiens aussi c'est qu'un texte rejeté par la majorité des votants est passé grâce à des chaises vides et ça recommencera en septembre si vous n'allez pas secouer vos députés européens. Trois ans de débats pour en arriver là, avec un truc médiocre qui marche pas et qui met nos démocraties en danger, je trouve ça tellement triste...

Bref, n'oubliez pas, ACTA aussi c'était plié d'avance, jusqu'à ce que tout le monde s'y mette.

Rendez-vous en septembre !

Source

  • ✇Korben
  • Firefox dans Docker - Le navigateur jetable pour surfer sans flipper
    On reçoit tous des mails un peu bizarres avec des liens qu'on n'ose pas ouvrir, et pourtant on est curieux, on est tenté parfois... C'est difficile de résister mais heureusement l'équipe de Linuxserver.io a pondu un truc super pour ça. Il s'agit tout simplement d'une instance de Firefox qui tourne dans un conteneur Docker et qui est totalement pilotable depuis votre navigateur habituel. Comme ça, quand vous recevez un lien louche que vous voulez ouvrir, vous le mettez là-dedans, dans une session

Firefox dans Docker - Le navigateur jetable pour surfer sans flipper

Par : Korben ✨
9 juillet 2026 à 08:42

On reçoit tous des mails un peu bizarres avec des liens qu'on n'ose pas ouvrir, et pourtant on est curieux, on est tenté parfois... C'est difficile de résister mais heureusement l'équipe de Linuxserver.io a pondu un truc super pour ça.

Il s'agit tout simplement d'une instance de Firefox qui tourne dans un conteneur Docker et qui est totalement pilotable depuis votre navigateur habituel.

Comme ça, quand vous recevez un lien louche que vous voulez ouvrir, vous le mettez là-dedans, dans une session jetable qui est totalement coupée de votre vraie machine. Et comme ça, si ça part en couille, vous butez le conteneur et on n'en parle plus.

Voilà, ça se présente juste comme une page HTTPS avec un navigateur dedans. Et comme c'est LinuxServer qui maintient l'image, vous êtes tranquilles parce que c'est du sérieux.

L'avantage d'avoir ce truc, c'est qu'un Firefox en conteneur ne voit ni votre répertoire personnel, ni vos cookies, ni vos sessions Google, ni vos extensions, absolument rien, il est totalement isolé. Donc si un site tente un drive-by download ou un exploit navigateur, eh bien en principe les dégâts resteront coincés dans le conteneur. Et le simple fait de le redémarrer remettra tout à 0.

Attention quand même, un conteneur, ce n'est pas une machine virtuelle. Une vulnérabilité au niveau du noyau pourrait en théorie s'en échapper. Mais c'est pas le genre d'attaque qui se fait avec juste un clic douteux sur une page web.

Les chercheurs en sécu s'en servent pour ouvrir des pièces jointes chelou, les marketeux pour jongler avec 12 comptes ad sans cookie cross-tracking , et les paranos dans mon genre pour cliquer sur les liens des mecs bizarres de Discord sans rien flinguer chez eux..

Après y'a des petits inconvénients. Je pense aux perfs graphiques qui prennent une claque par rapport à un Firefox natif ou encore l'audio qui transite par le pipeline du navigateur, du coup ça crachote parfois sur les vidéos lourdes. Le copier-coller marche, mais en passant par la section presse-papiers de la barre latérale Selkies , pas en direct. Et la persistance ne tient que si vous mappez le volume /config comme il faut, sinon vos onglets et vos bookmarks gicleront dès que le conteneur sera recréé (à la première mise à jour d'image, typiquement).

Côté vie privée c'est plutôt une qualité mais pour un usage quotidien, ça peut devenir relou.

Installation en une commande

L'image officielle, c'est lscr.io/linuxserver/firefox:latest. Elle tourne sur Selkies depuis juin 2025 (avant c'était KasmVNC) et démarre en Wayland par défaut depuis mars 2026. Maintenant, si un site part en vrille à cause de ça, vous ajoutez le paramètre PIXELFLUX_WAYLAND=false à la commande Docker et vous serez de retour en X11.

La commande minimale ressemble à ça :

docker run -d \
--name=firefox \
-e PUID=1000 \
-e PGID=1000 \
-e TZ=Europe/Paris \
-e LC_ALL=fr_FR.UTF-8 \
-p 3001:3001 \
-v $HOME/firefox-config:/config \
--shm-size=1gb \
--restart unless-stopped \
lscr.io/linuxserver/firefox:latest

Le --shm-size=1gb, c'est la mémoire partagée de Docker et vous n'y couperez pas, désolé. Si vous le zappez, YouTube comme les sites un peu lourds vous planteront le navigateur. Le port 3001, c'est l'accès HTTPS, avec un certificat auto-signé qui fera râler votre Firefox principal (c'est normal, faut l'accepter). Y'a aussi un port 3000, mais lui c'est du HTTP en clair, à réserver derrière un reverse proxy genre SWAG et rien d'autre.

Ensuite, direction https://localhost:3001/ et un joli Firefox vous attend. Notez que par défaut, il n'y a AUCUNE authentification. Personne ne vous demande rien, alors si vous voulez l'exposer sur votre réseau, définissez bien un CUSTOM_USER et PASSWORD pour activer le basic auth avant qu'un petit malin de votre réseau ne tombe dessus.

La version docker-compose, plus propre

Envie d'un setup versionnable, que vous pouvez reproduire ailleurs sans réfléchir ? Le compose fait ça mieux :

---
services:
firefox:
image: lscr.io/linuxserver/firefox:latest
container_name: firefox
environment:
- PUID=1000
- PGID=1000
- TZ=Europe/Paris
- LC_ALL=fr_FR.UTF-8
- CUSTOM_USER=korben
- PASSWORD=changezmoi
- HARDEN_DESKTOP=true
- HARDEN_OPENBOX=true
volumes:
- ./firefox-config:/config
ports:
- 3001:3001
shm_size: "1gb"
restart: unless-stopped

Ensuite, un docker compose up -d et roulez jeunesse. Le volume ./firefox-config conserve votre profil entre deux redémarrages avec bookmarks, extensions installées depuis le store Mozilla, tout reste en place.

Et si vous avez envie de repartir de zéro, on met le dossier à la poubelle, on relance, et voilà. Et pour glisser des outils tiers dans le conteneur (filezilla, un éditeur, ce genre de bidule), [proot-apps install](https://github.com/linuxserver/proot-apps) les posera dans $HOME, où ils survivront aux mises à jour de l'image.

Le hardening qu'il faut absolument activer

Maintenant, le piège que la doc évoque du bout des lèvres et qui mérite d'être écrit en gros c'est que l'interface web embarque un terminal avec sudo passwordless . Traduction : quiconque accède à votre Firefox conteneurisé devient root dans le conteneur en deux clics. Exposez ça sur votre réseau, ou pire sur Internet, sans durcir le machin, et vous ouvrez un boulevard.

La parade tient en une variable : **HARDEN_DESKTOP=true**, qui pose les principaux verrous d'un coup. Ça coupe sudo, ça vire les terminaux, et ça bloque xdg-open et exo-open, qui pourraient lancer des trucs hors conteneur. Vous pouvez empiler ça avec HARDEN_OPENBOX=true par-dessus, histoire de neutraliser les raccourcis clavier dangereux genre Alt+F4, de désactiver le clic droit et de masquer le bouton de fermeture. Firefox reste parfaitement utilisable, mais impossible de s'évader pour faire mumuse avec le système derrière.

Et pour une exposition sur Internet, le basic auth CUSTOM_USER/PASSWORD ne suffira pas car c'est trop léger. Moi ce que je vous recommande, c'est de coller le tout derrière un reverse proxy SWAG avec une vraie couche OAuth2 ou Authelia. Le basic auth, gardez-le pour le LAN entre potes ou collègues de confiance, mais pas au-delà.

SealSkin, le bonus qui change tout

SealSkin , c'est la cerise sur le conteneur ^^. C'est une extension navigateur, dispo pour Chrome et Firefox, qui monte la garde sur votre navigateur principal et détourne ce qui sent mauvais vers le conteneur isolé. Un lien repéré comme suspect ? Hop, il s'ouvre direct dans le Firefox conteneurisé. Pareil pour les téléchargements, qui atterrissent dans le conteneur au lieu de finir sur votre machine.

Du coup, l'isolation devient un réflexe permanent au lieu d'un machin que vous activez à la main quand vous y pensez (c'est-à-dire jamais). Seule contrainte par contre, faudra héberger le serveur SealSkin vous-même, et installer l'extension dans votre vrai Firefox. Mais vous verrez, après quelques jours à ce régime, vous aurez du mal à faire autrement.

Et sur tablette ou mobile ?

J'imagine que vous comptiez sur l'ancien tag kasm pour le tactile ? Eh bien c'est raté, puisque LinuxServer l'a déprécié début juillet. En échange, la barre latérale Selkies embarque désormais un trackpad virtuel et un clavier à l'écran, donc de quoi rendre l'interface utilisable depuis un iPad ou un smartphone sans bidouille en plus. On reste loin, c'est vrai, du confort d'un vrai desktop, et taper Ctrl+Tab au doigt c'est toujours la misère, mais pour dépanner ça fait le job.

Et voilà, votre Firefox jetable vit désormais dans son petit conteneur, bien au chaud. Comme ça, le prochain lien douteux, vous l'ouvrirez sans trembler... pour tester des sites au calme, difficile de trouver mieux, je pense.

  • ✇Korben
  • GDID Windows - Coupez le mouchard qui vous traque même sous VPN
    Comme je vous le disais tout à l'heure, en avril 2026, le FBI a coincé un membre présumé de Scattered Spider. Le mec planquait son trafic derrière un VPN, avec des IP dans trois pays différents. Et devinez quoi ? Ce n'est pas une fausse manip qui l'a balancé mais un identifiant que votre Windows se trimballe H24 et que Microsoft refile aux autorités quand elles le demandent : le GDID. Je vous en ai déjà causé dans cet article , et après avoir écrit l'article, je me suis demandé si on pouvait le

GDID Windows - Coupez le mouchard qui vous traque même sous VPN

Par : Korben ✨
8 juillet 2026 à 17:59

Comme je vous le disais tout à l'heure, en avril 2026, le FBI a coincé un membre présumé de Scattered Spider. Le mec planquait son trafic derrière un VPN, avec des IP dans trois pays différents. Et devinez quoi ? Ce n'est pas une fausse manip qui l'a balancé mais un identifiant que votre Windows se trimballe H24 et que Microsoft refile aux autorités quand elles le demandent : le GDID. Je vous en ai déjà causé dans cet article , et après avoir écrit l'article, je me suis demandé si on pouvait le virer.

Du coup j'ai monté une petite VM Windows 11 Pro et j'ai mis les mains dedans en me faisant assister de mon LLM préféré et voilà ce que j'ai trouvé. Ce qui marche, et surtout ce qui ne marche pas du tout, vous allez voir.

Déjà, faut comprendre ce qu'est ce GDID. C'est pas le numéro de série de votre carte mère, c'est pas un hash en lien avec votre matos. Non, c'est un PUID de 64 bits, c'est-à-dire un identifiant que les serveurs de Microsoft collent à votre compte dès que vous ouvrez une session Windows. Il est écrit en clair dans votre registre, votre machine l'enregistre dans un annuaire côté Microsoft, et un service le fait remonter peinard quand c'est nécessaire. Et si vous changez d'IP avec un VPN, bah lui il s'en fout. Le GDID ne bouge pas d'un poil.

Regardez votre propre mouchard en face

On commence par le voir de nos yeux. Ouvrez un PowerShell et collez ça :

$lid=(Get-ItemProperty 'HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties').LID
"g:$([Convert]::ToUInt64($lid,16))"

Sur ma VM, ça m'a craché g:6755487812206045. C'est celui que Microsoft peut raccrocher à tout ce que je fais. (En théorie hein, parce que c'est le code qui est associé à ma VM, donc je m'en fous et c'est pour ça que je vous le montre).

Vous venez de lire l'étiquette qu'on vous a collée dans le dos.

Le supprimer ? Laissez tomber

Réflexe de base, on efface la clé dans la base de registres HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties et hop, plus de mouchard. C'est ce que j'ai testé au début... J'ai shooté la valeur, redémarré le service qui s'en occupe, et là plus rien. Gagné ? Ben non. J'ai ouvert le Microsoft Store durant deux petites secondes, et le GDID est revenu. Et pas un nouveau, hein, LE MÊME !!

C'est ça qui est fou. C'est que votre GDID n'est pas planqué sur votre disque, il est planqué chez Microsoft, bien accroché à votre compte comme une moule à son rocher. Votre PC ne fait que le retélécharger encore et encore. Après si vous réinstallez tout, Windows vous donne un nouveau numéro, d'accord, mais l'ancien et tout ce qui y était rattaché restent tout de même bien au chaud sur leurs serveurs. Le passé, on le récupère jamais...

Couper la télémétrie ne change rien non plus

Un autre conseil qu'on voit partout, c'est de désactiver la télémétrie de Windows. Sur ma VM, le service de télémétrie classique était déjà à l'arrêt. Et pourtant mon GDID était là, bien lisible, et les services qui le font remonter tournaient à plein régime. Le mouchard ne passe pas par la télémétrie que vous croyez couper. Il passe ailleurs, par les services de la plateforme d'appareils connectés et de l'optimisation de distribution.

Vous pouvez donc cliquer sur tous les boutons vie privée des réglages, il s'en tape.

Fermer le robinet pour de vrai

Alors puisqu'on peut pas l'effacer, on va faire la seule chose qui est en notre pouvoir : L'empêcher de sortir. Et sans se déconnecter du compte Microsoft, histoire de garder un PC utilisable, hein.

Et pour ça, on a 2 leviers. Le premier, c'est de désactiver les services qui enregistrent et remontent les infos de votre machine. Le second, c'est de renvoyer les serveurs de Microsoft dans le décor simplement via le fichier hosts, comme ça même si les services qui mouchardent tournent, et bien ils ne peuvent plus joindre personne... Et surtout, on ne touche pas à login.live.com, sinon adieu la connexion à votre compte.

Toutefois, il y a un petit piège, vous vous en doutez... Le service qui fait remonter le GDID, DoSvc, refuse de se laisser désactiver par la voie normale. Même en admin, Windows vous balance "Accès refusé". La parade, c'est donc de le désactiver direct dans le registre, où l'admin a le droit d'écrire là où le gestionnaire de services vous bloque.

Maintenant pour faire ça, plutôt que de vous mettre des tonnes de lignes de code à copier-coller, j'ai tout regroupé dans des scripts propres, que j'ai testés, avec une commande pour tout remettre comme avant.

Le projet est là : no-gdid sur GitHub . Vous lancez d'abord l'audit en lecture seule pour voir où vous en êtes, puis les scripts de blocage en mode aperçu, et seulement après avec l'option qui applique vraiment. Testez dans une VM avec un snapshot avant de faire ça sur votre vraie bécane, parce qu'on désactive quand même des services système. Et si vous voulez juste couper le réseau d'un process précis sans tout ce cirque, ce bon vieux ProcNetBlocker fait déjà une partie du taf.

Allez c'est parti mon canard !

Ouvrez un PowerShell en administrateur, et la première fois faites-le dans une VM avec un snapshot histoire de tester et de vous familiariser avec les commandes. Étape 1, on clone le projet :

winget install --id Git.Git
git clone https://github.com/Korben00/no-gdid
cd no-gdid

D'abord on regarde sa propre situation. Cet audit est en lecture seule, il ne modifie rien, il vous affiche juste votre GDID et quels services de la chaîne tournent :

powershell -ExecutionPolicy Bypass -File .\audit\Get-GDID-Audit.ps1

Ensuite on regarde ce que la mitigation changerait, sans rien appliquer. Sans l'option -Apply, les deux scripts tournent en mode aperçu et se contentent de lister ce qu'ils feraient :

powershell -ExecutionPolicy Bypass -File .\mitigate\Disable-GDID-Services.ps1
powershell -ExecutionPolicy Bypass -File .\mitigate\Block-GDID-Endpoints.ps1

Si ça vous va, on coupe pour de vrai. Cette fois on ajoute -Apply : les services qui enregistrent et remontent l'appareil sont désactivés, et les serveurs de Microsoft correspondants sont renvoyés dans le vide via le fichier hosts. Votre compte Microsoft, lui, reste connecté :

powershell -ExecutionPolicy Bypass -File .\mitigate\Disable-GDID-Services.ps1 -Apply
powershell -ExecutionPolicy Bypass -File .\mitigate\Block-GDID-Endpoints.ps1 -Apply

Et pour tout remettre comme avant, une seule commande :

powershell -ExecutionPolicy Bypass -File .\mitigate\Revert-GDID.ps1

Une fois appliqué, tout redeviendra calme... les services d'enregistrement seront à l'arrêt, leurs serveurs injoignables, et votre compte Microsoft restera toujours connecté. Le GDID reste bien évidemment lisible sur le disque, mais il ne remontera plus chez Microsoft.

La vérité qui pique

Après, je ne vais pas faire un tuto qui vous vend du rêve. Ces manips réduisent ce que Microsoft pourra corréler à l'avenir mais elles n'effacent pas votre GDID, qui traîne sur leurs serveurs depuis votre toute première connexion, et elles ne vous rendent pas anonyme. Ensuite, passer en compte local comme j'ai pu le lire ailleurs supprime le chemin qu'on vient de bloquer, mais rien ne prouve encore qu'un identifiant anonyme ne prend pas le relais derrière.

La seule vraie parade solide pour une activité sensible, est plus brutale : ne pas faire cette activité sous Windows. Un Linux live par exemple offre un contrôle total de ce qui sort de votre machine. Le reste, c'est que de la réduction des dégâts, rien de plus.

Voilà, défendre sa vie privée, ça commence par savoir ce qu'on vous colle sur le dos et maintenant vous le savez. Pas merci Microsoft.

Source : The Register et le reverse engineering de SmtimesIWndr .

  • ✇Korben
  • Wealthfolio - Suivez vos investissements sans les filer au cloud
    Si vous êtes une grosse feignasse et que votre seul plan pour gratter un peu de thunes, c'est pas juste de bosser, mais de vous faire adopter par un vieux en espérant qu'il y passe très vite, cet article ne va pas vous intéresser, désolé. Par contre, si vous économisez, que vous avez mis un petit peu d'argent en bourse, si vous avez investi dans les cryptos ou que sais-je encore, je pense que cet outil va vous être utile. Wealthfolio, imaginé par afadil, c'est une application de bureau open sour

Wealthfolio - Suivez vos investissements sans les filer au cloud

Par : Korben ✨
7 juillet 2026 à 15:41

Si vous êtes une grosse feignasse et que votre seul plan pour gratter un peu de thunes, c'est pas juste de bosser, mais de vous faire adopter par un vieux en espérant qu'il y passe très vite, cet article ne va pas vous intéresser, désolé.

Par contre, si vous économisez, que vous avez mis un petit peu d'argent en bourse, si vous avez investi dans les cryptos ou que sais-je encore, je pense que cet outil va vous être utile.

Wealthfolio, imaginé par afadil, c'est une application de bureau open source qui range tout ça au même endroit : vos comptes d'investissement, votre patrimoine, vos dépenses, et même des simulations pour vos vieux jours. Le parti pris est radical puisque tout reste en local sur votre machine. C'est donc juste une base SQLite posée sur votre disque là où un Finary par exemple, agrège tout sur ses serveurs.

Une fois installé, vous balancez tout dedans. Compte courant, épargne, actions, ETF, crypto, le cash qui dort et l'application vous recrache votre patrimoine net ainsi que la vue d'ensemble que vous n'avez peut-être jamais eue (Surtout si votre banque c'est la Caisse d'Epargne... loool).

Même votre appartement / maison, la voiture, les métaux précieux, et compagnie ça rentre dedans aussi. Ah et vos dettes surtout, parce que le vrai chiffre inclut aussi ce qui fâche, et pas seulement la colonne qui fait plaisir.

Maintenant concernant les dépenses, ça fait à peu près ce qu'on peut retrouver sur des banques en ligne, c'est-à-dire que ça catégorise toutes vos transactions et ensuite ça vous monte des budgets un peu comme ce que propose ReSubs mais élargi à toute votre thune et pas seulement à vos abonnements.

À vous ensuite de définir une allocation cible comme ça quand votre portefeuille s'en écartera, et bien Wealthfolio vous pondra un joli plan de rebalancing qui vous aidera à rentrer dans le rang fissa et ainsi éviter de finir interdit bancaire.

Ajoutez à ça un chouette tableau de bord avec les performances de vos investissements et de vos comptes. Et si vous menez bien votre barque, vous verrez aussi vos dividendes au même endroit.

Ah et puis le truc qui va finir de vous convaincre, c'est le simulateur de retraite inclus. En gros, vous lui donnez tout votre portefeuille et lui il le projette année par année avec des simulations qu'on appelle Monte Carlo . Et là ensuite, eh bien ce sera soit la douche froide, soit la bouteille de champagne, car vous saurez immédiatement si votre plan FIRE tient debout ou si vous vous racontiez des histoires depuis le début.

C'est une capture d'écran que j'ai prise sur le site, donc venez pas me cambrioler, hein ^^

Et puis comme en 2026, un outil sans IA n'est pas un vrai outil (lol) sachez qu'il y a également un assistant IA à qui vous pourrez demander en langage naturel d'interroger votre portefeuille. Par exemple vous pourrez lui dire, "Hey assistant, combien est-ce que j'ai gagné avec mes ETF cette année ?". Et rassurez-vous, les accros à la vie privée, ça peut tourner avec un modèle local via Ollama.

Wealthfolio propose également un outil d'import CSV mais vous pouvez aussi tout saisir manuellement. Aaah l'époque a changé depuis Microsoft Budget surtout que là, vous avez même de la synchro automatique via l'offre payante, si vous voulez brancher ça avec les systèmes de vos courtiers.

Si le concept vous rappelle Maybe Finance , c'est logique, c'est la même famille open source. Sauf que Maybe est une appli web que vous devez auto-héberger vous-même avec Docker, là où Wealthfolio est une vraie application de bureau que vous installez comme n'importe quel logiciel. C'est dispo sous macOS, Windows et Linux, et il y a même une version iOS et Android qui devraient arriver très bientôt. Quant aux plus tordus qui tiennent absolument à leur version web, ça s'auto-héberge en Docker.

Un truc à savoir quand même avant de foncer, la partie fiscale vise les Américains et les Canadiens donc pas de PEA ni d'assurance-vie française là-dedans. Du coup pour coller au fisc hexagonal vous devrez ruser et faire vos trucs à la main ou développer vos propres plugins. Après en ce qui concerne le cœur du bazar, c'est-à-dire suivre son portefeuille et son patrimoine, ça fera bien le taf pour tout le monde.

Le tout sous licence AGPL, code ouvert et forkable, directement sur GitHub et l'app se télécharge sur wealthfolio.app .

  • ✇Korben
  • Google veut scanner votre main pour prouver que vous êtes humain
    Google en a marre que les IA passent ses CAPTCHA les doigts dans le nez, alors sa nouvelle idée de génie à la con pour vérifier que vous êtes bien humain, ça va bientôt être de vous faire agiter la main devant votre webcam. "Hé COUCOU le CAPTCHA !" Vous autorisez la caméra, vous faites un petit geste la paume grande ouverte, et Google extrait de la vidéo ce qui s'appelle des hand landmark data, soit 21 points de repère sur les articulations de vos doigts. En gros c'est la carte de votre paluche,

Google veut scanner votre main pour prouver que vous êtes humain

Par : Korben ✨
2 juillet 2026 à 19:01

Google en a marre que les IA passent ses CAPTCHA les doigts dans le nez, alors sa nouvelle idée de génie à la con pour vérifier que vous êtes bien humain, ça va bientôt être de vous faire agiter la main devant votre webcam.

"Hé COUCOU le CAPTCHA !"

Vous autorisez la caméra, vous faites un petit geste la paume grande ouverte, et Google extrait de la vidéo ce qui s'appelle des hand landmark data, soit 21 points de repère sur les articulations de vos doigts. En gros c'est la carte de votre paluche, branchée sur Google Cloud Fraud Defense, leur brique anti-fraude maison.

Mais alors pourquoi vos grosses mains pleines de poils ?? Seraient-ils fétichistes ?

Hé bien parce que tout d'abord, les CAPTCHA visuels type "cliquez sur les feux de circulation" sont devenus une vraie formalité pour les agents IA qui les résolvent à tous les coups .

Sauf que vous vous en doutez, les humains sont malins comme des singes et ont déjà réussi à bernet le machin avec une simple photo de banque d'images brandie devant la webcam. Ça la fout mal hein ?

En plus, comme les anciens captchas restent dispo pour tous les gens qui n'ont pas de bras ou qui ne peuvent pas bouger, hé bien c'est toujours contournable comme avant. Je me demande vraiment à quoi tout ça rime, soit quelque chose m'échappe, soit c'est stupide... Breeeef.

Côté vie privée, Google jure sur la tête de ses morts que toutes les vidéos et les photos prises par le CAPTCHA sont supprimées une fois le défi relevé, qu'aucun son n'est enregistré et que rien n'est associé à votre identité mais peu importe ce qu'ils nous baragouinent, on n'a aucun moyen de le vérifier de toute façon.

Puis que ce soit votre main, votre visage ou vos fesses, prendre 21 points de mesure sur votre anatomie, ça reste de la biométrie quand même. Rien qu'avec ça, vous pouvez identifier une personne avec 99% de précision... Donc n'allez pas me dire qu'ils n'ont pas autre chose en tête avec cette connerie.

Et je vous parle pas du fait que la caméra chope tout ce qu'il y a autour de vous, votre tête bien sûr, mais aussi vos papiers qui trainent sur le bureau, ce qu'il y a sur un écran, vos bouquins dans l'armoire, la tête de vos gosses dans un cadre et que sais-je encore. C'est beaucoup trop d'infos perso récupérées juste pour pouvoir être identifié comme un humain, je trouve.

Quoiqu'il en soit, si montrer patte blanche à Google vous refroidit, y'a des alternatives comme ALTCHA ne balancent pas vos données à Mountain View, que les sites peuvent mettre en place.

Mais ça va être à vous de faire votre propre lobbying pour que les sites les adoptent.

Source : Tom's Hardware

  • ✇Korben
  • Claude Code planquait un mouchard dans la date du prompt
    Vous utilisez Claude Code tous les jours pour coder, et pendant ce temps-là l'outil d'Anthropic utilisé par des milliers de dev, joue les mouchards. Thereallo , un développeur qui fouillait le binaire par simple souci de vie privée, est tombé sur une fonction qui apparemment modifie en douce la ligne "Today's date is…" du system prompt. Pas le texte que vous lisez ou écrivez mais littéralement l'apostrophe et le tiret de la date. 2 petits caractères auxquels vous ne faites pas gaffe, et qui pour

Claude Code planquait un mouchard dans la date du prompt

Par : Korben ✨
1 juillet 2026 à 18:46

Vous utilisez Claude Code tous les jours pour coder, et pendant ce temps-là l'outil d'Anthropic utilisé par des milliers de dev, joue les mouchards. Thereallo , un développeur qui fouillait le binaire par simple souci de vie privée, est tombé sur une fonction qui apparemment modifie en douce la ligne "Today's date is…" du system prompt. Pas le texte que vous lisez ou écrivez mais littéralement l'apostrophe et le tiret de la date.

2 petits caractères auxquels vous ne faites pas gaffe, et qui pourtant peuvent en dire beaucoup...

En gros, c'est de la stéganographie , c'est-à-dire l'art de cacher une info à la vue de tous. Claude Code échange l'apostrophe de "Today's" contre son jumeau Unicode invisible (U+2019, U+02BC ou U+02B9 selon les cas) et remplace au passage les tirets de la date par des slashs.

function Zup() {
if (Crt()) return null;
let host = Qup();
let timezone = e0t();
let cnTZ = timezone === "Asia/Shanghai" || timezone === "Asia/Urumqi";
if (!host) {
return {
known: false,
labKw: false,
cnTZ,
host: null,
};
}
return {
known: Jup().some((domain) => host === domain || host.endsWith("." + domain)),
labKw: Xup().some((keyword) => host.includes(keyword)),
cnTZ,
host,
};
}
function edp(known, labKw) {
if (!known && !labKw) return "'";
if (known && !labKw) return "\u2019";
if (!known && labKw) return "\u02BC";
return "\u02B9";
}
function Vla(date) {
let marker = Zup();
let apostrophe = edp(marker?.known ?? false, marker?.labKw ?? false);
let renderedDate = marker?.cnTZ ? date.replaceAll("-", "/") : date;
return `Today${apostrophe}s date is ${renderedDate}.`;
}

Tout ceci ne se produit que quand vous avez bidouillé la variable ANTHROPIC_BASE_URL afin de router vos requêtes ailleurs que chez Anthropic et si et seulement si le nom de domaine est dans une liste précise. Ou alors si votre fuseau horaire est réglé sur Shanghai ou Urumqi en Asie.

Mais c'est que ça m'a l'air hyper spécifique ça quand même... Qui est ce qu'Anthropic chercherait à tracer ?? Je me le demande bien.

Reste que le contenu de cette fameuse liste a de quoi faire tiquer. Tout d'abord, elle n'est pas en clair. C'est du base64 passé à la moulinette avec un XOR et la clé 91. Et une fois décodée, on y trouve des mots-clés comme deepseek, moonshot, zhipu ou baichuan, et une flopée de domaines chinois (baidu, alibaba, bytedance, jd) plus tout un tas de proxys et de revendeurs d'accès Claude.

Si vous n'avez pas le cerveau trop lent, vous l'aurez compris, ce marqueur sert à repérer les gens qui font tourner Claude Code à travers des intermédiaires chinois. Et Anthropic n'a pas nié.

Thariq Shihipar, qui bosse sur Claude Code, a expliqué sur X que c'était une expérience lancée en mars pour empêcher la distillation , cette technique où un concurrent aspire les réponses d'un modèle pour entraîner le sien à moindre coût. C'est exactement le reproche que la boîte fait à Alibaba.

Vu sous cet angle, vouloir détecter les revendeurs pirates et les pipelines de distillation, ça se défend donc très bien. Mais la méthode, aïe aïe aie, elle est plus que discutable car ça manque sévèrement de transparence.

Ce code dormait là depuis la version 2.1.91 sortie début avril, ni vu ni connu. En plus, c'est un peu couillon parce qu'en plus d'abîmer la confiance des utilisateurs de Claude Code qui se demandent quel autre mystère renferme cet outil, ça se déjoue en quelques secondes. Il suffit de changer de fuseau horaire, de changer de domaine ou de le patcher. Bref, ça n'a pas dû piéger grand monde...

Le marqueur a été retiré dans la foulée avec la version 2.1.197 donc pensez bien à mettre à jour votre install.

Source

  • ✇Korben
  • Hide My Email - La faille qui crame votre vraie adresse mail
    Si vous utilisez Hide My Email d'Apple pour éviter de balancer votre vraie adresse mail à tous les sites qui vous la réclament, j'ai une mauvaise nouvelle les amis ! Tyler Murphy, cofondateur d'EasyOptOuts a découvert une entourloupe qui permettrait de remonter jusqu'à votre vraie adresse email... Ça craint ! Et cette faille serait dans la nature depuis plus d'un an ! Argh ! Alors petit rappel pour ceux qui ne connaissent pas Hide My Email. C'est une fonction liée à iCloud+ qui vous permet de gé

Hide My Email - La faille qui crame votre vraie adresse mail

Par : Korben ✨
1 juillet 2026 à 13:19

Si vous utilisez Hide My Email d'Apple pour éviter de balancer votre vraie adresse mail à tous les sites qui vous la réclament, j'ai une mauvaise nouvelle les amis ! Tyler Murphy, cofondateur d'EasyOptOuts a découvert une entourloupe qui permettrait de remonter jusqu'à votre vraie adresse email... Ça craint ! Et cette faille serait dans la nature depuis plus d'un an !

Argh !

Alors petit rappel pour ceux qui ne connaissent pas Hide My Email. C'est une fonction liée à iCloud+ qui vous permet de générer des adresses jetables en @icloud.com. Vous vous inscrivez quelque part avec un alias bidon, et ensuite les mails sont redirigés vers votre boîte réelle, et comme ça le site ne voit jamais votre adresse perso. Mais dans ses tests d'exploitation, Tyler Murphy a eu un taux de succès de 100% avec tous ces alias révélant leur vrai propriétaire. Donc si vous avez des alias Hide My Email en cours d'usage, partez du principe qu'ils sont peut-être grillés.

C'est 404 Media, qui a sorti l'info, et malheureusement, ils ne détaillent pas la technique parce que pour le moment, ça fonctionne encore et ce n'est pas patché. Faut dire qu'une fois votre vraie adresse récupérée par quelqu'un de mal intentionné, celui-ci peut la recouper du contenu trouvable en ligne ou sur le dark net pour retrouver votre nom, vos autres comptes, et tout ce que Hide My Email était censé empêcher.

Mais le plus gênant dans cette histoire, c'est la gestion merdique du problème par Apple. En effet, Murphy signale le bug en juin 2024 et Apple répond un mois plus tard qu'ils ont lancé une enquête en interne. Puis en mars de cette année, ils annoncent avoir corrigé le souci, sauf que non. Murphy vérifie et la faille est toujours là. Alors en mai, Apple change de disque et lui demande carrément de la fermer : "nous vous serions reconnaissants de ne pas divulguer ces informations tant que notre enquête n'est pas terminée". Bref, taisez-vous pendant qu'on ne corrige rien ^^.

Alors le gars en a eu marre. Il a estimé que les utilisateurs de Hide My Email méritaient de savoir alors il a décidé de parler et je pense que pour ça, on peut le remercier ! Apple va peut-être finir par se bouger le cul.

Et nous en attendant, on fait quoi alors ? Hé bien pas grand-chose parce que tant que côté Apple y'a pas de patch, y'a rien à faire. Mais sachez le, rien ne vous oblige à mettre tous vos œufs dans le même panier donc si vous voulez des alias sur lesquels vous gardez vraiment la main, il existe des solutions maison comme générer vos propres adresses jetables via Cloudflare avec votre nom de domaine ou encore passer par la crème de la crème des services d'emails jetables .

Source : 404 Media

  • ✇Korben
  • Fingerprint Defender - Brouiller son empreinte sur Firefox
    Si vous me lisez depuis longtemps, vous savez forcément que le Fingerprinting est une technique de pistage qui permet de vous identifier en mesurant les petites particularités de votre navigateur telles que les polices installées, votre carte graphique, la résolution de votre écran et j'en passe. Toutes ces petites choses mises bout à bout forment ainsi une empreinte quasi unique. Hé c'est exactement contre ça que Digital Fracture, un petit studio anglais situé dans la ville de Poole, vient de s

Fingerprint Defender - Brouiller son empreinte sur Firefox

Par : Korben ✨
28 juin 2026 à 14:17

Si vous me lisez depuis longtemps, vous savez forcément que le Fingerprinting est une technique de pistage qui permet de vous identifier en mesurant les petites particularités de votre navigateur telles que les polices installées, votre carte graphique, la résolution de votre écran et j'en passe. Toutes ces petites choses mises bout à bout forment ainsi une empreinte quasi unique. Hé c'est exactement contre ça que Digital Fracture, un petit studio anglais situé dans la ville de Poole, vient de sortir Fingerprint Defender pour Firefox.

La plupart des outils anti-pistage mentent sur tout : faux user-agent, faux écran, faux GPU sauf que mentir, ça vous rend encore plus repérable. Bah oui, un browser qui prétend être 3 machines à la fois, ça se repère vite.

Du coup, Fingerprint Defender fait l'inverse : il randomise seulement les surfaces qui servent à vous tracer, et laisse passer vos vraies valeurs communes pour que vous ressembliez à tout le monde.

Ainsi, chaque session il ajoute un léger bruit aléatoire sur le canvas, sur la sortie audio de l'AudioContext et sur les mesures de position des éléments de la page. Il bloque aussi les fuites d'IP par WebRTC et coupe l'API Battery Status (que Firefox planque déjà aux sites depuis des années, mais bon). Et pour l'écran, il annonce du 1920x1080, la résolution la plus banale qui soit !

Et surtout, il laisse volontairement passer votre WebGL, votre fuseau horaire, vos polices et votre user-agent réels. Pourquoi me direz-vous ?? Eh bien parce que ce sont des valeurs que des millions de gens partagent donc c'est complètement inutile de les falsifier. Ça vous complique juste la vie.

Le pari de "se fondre dans la masse" est bien meilleur qu'un spoofer naïf, et la recherche sur le sujet (le fameux Panopticlick de l'EFF ) montre bien que la protection vraiment béton, c'est l'uniformité totale. Il faut faire en sorte que tous les utilisateurs soient strictement identiques, comme le fait Tor Browser.

Après Firefox fait déjà une bonne partie du boulot nativement... j'en avais parlé quand Firefox a musclé sa protection contre le pistage par empreinte . Et si vous aimez bricoler vos réglages, vous serez content d'apprendre qu'il existe plein d'autres façons de réduire les traces que vous laissez sur Firefox . Mais cette extension dont je vous parle aujourd'hui peut parfaitement venir se rajouter à ça.

Après bon, c'est une extension Firefox donc on peut l'ouvrir pour mater les sources directement mais sachez que bien que ce soit sous licence MPL 2.0 (Mozilla), y'a aucun répo public. Snif...

À tester par curiosité, même si c'est à ne pas confondre avec Tor, lol.

  • ✇Korben
  • Les flux RSS c'est la vie !
    J'aime bien lire les articles de l'EFF (l'Electronic Frontier Foundation, la Quadrature du Net des américains quoi...) et là ils viennent de publier un truc qui m'a fait plaisir : un vrai plaidoyer pour la défense du RSS . Vous connaissez mon avis là-dessus et c'est vrai que depuis que Google a signé l'arrêt de mort de cette techno au profit d'algo à la con type Discover , y'a énormément moins de monde qui l'utilise. Et je trouve ça triste. Alors que les flux RSS, c'est la liberté ! Ça décloiso

Les flux RSS c'est la vie !

Par : Korben ✨
28 juin 2026 à 10:37

J'aime bien lire les articles de l'EFF (l'Electronic Frontier Foundation, la Quadrature du Net des américains quoi...) et là ils viennent de publier un truc qui m'a fait plaisir : un vrai plaidoyer pour la défense du RSS .

Vous connaissez mon avis là-dessus et c'est vrai que depuis que Google a signé l'arrêt de mort de cette techno au profit d'algo à la con type Discover , y'a énormément moins de monde qui l'utilise. Et je trouve ça triste.

Alors que les flux RSS, c'est la liberté ! Ça décloisonne le contenu d'un site pour le faire atterrir dans l'appli de votre choix, ça permet d'en extraire des choses, de le faire traiter par exemple par un programme...etc. Et surtout c'est vous qui gérez la façon dont vous voyez le contenu. Vous pouvez le filtrer, l'ordonner comme vous voulez et surtout le lire avec le lecteur de flux de votre choix.

C'est super pratique, et ça permet par exemple de parcourir uniquement les titres des articles, et de ne s'arrêter que sur ceux qui vous intéressent. Moi y'a plein de trucs qui m'intéressent en ce moment et que j'ai envie de partager. Je suis hyper actif et atteint de FOMO, donc ça bombarde. En plus j'ai que ça à foutre de la journée en général, donc bon, désolé ! ^^ Mais heureusement, avec les flux RSS vous pouvez faire une sélection plus fine et éviter de lire des trucs qui ne vous intéressent pas.

Perso, ça fait des années que je fais de la veille, c'est une partie importante de mon boulot. J'ai commencé sur un lecteur de flux tout pourri, puis je suis passé par Netvibes, Google Reader (paix à son âme), puis Feedly et aujourd'hui j'expérimente Inoreader. Le RSS ne m'a jamais quitté et quand les sites n'en proposent pas, je m'arrange toujours avec des scripts ou des outils customs pour m'en faire un que je peux importer dans mon lecteur !

J'aime tellement ça que sur korben.info, je vous propose des flux RSS complets (qui contiennent tout le contenu). Le premier, /feed , c'est le flux tech que vous connaissez, historique, exactement comme vous l'aimez. Que de la techno, du code, de la sécu, de l'open source.

Et le petit nouveau c'est /feedfull , qui propose les mêmes sujets tech qu'au-dessus + des sujets un peu plus grand public / mainstream. Dernièrement, j'avais envie d'ouvrir un peu plus les portes du site et écrire aussi pour ceux qui ne bidouillent pas et qui veulent juste être au courant d'un truc utile ou deux. Et heureusement, Vincent m'aide dans cette nouvelle aventure !

Bref, c'est vous qui choisissez votre flux, je ne vous l'impose pas ! Et c'est la même logique sur la page d'accueil avec ce petit switch dans le header.

"Complet", c'est l'affichage par défaut, vous voyez tout. Et si vous cliquez sur "Techos", hop, le contenu grand public disparaît. Votre choix est mémorisé dans le local storage de votre navigateur, et voilà.

Si vous n'avez pas encore de lecteur RSS, n'importe lequel fera l'affaire, de Feedly cité plus haut à un truc plus moderne comme MrRSS . Vous copiez l'adresse du flux, vous la collez, c'est réglé. Et tant qu'on y est, vous pouvez aussi reprendre la main sur votre actu côté Google avec cette manip.

Bref, deux flux, un switch, et c'est vous qui tenez la barre !

Source

  • ✇Korben
  • PACT - Le token Cloudflare qui veut remplacer les CAPTCHA
    Je viens d'apprendre que Cloudflare s'était associé à Chrome, Firefox et Edge pour régler un truc qui nous pourrit tous la vie sans que nous y pensions vraiment, à savoir prouver qu'on est des humains. Leur projet s'appelle PACT pour Private Access Control Tokens, et l'idée c'est de remplacer les affreux CAPTCHA par un titi jeton cryptographique anonyme que votre browser baladera de sites en sites. Alors comment ça fonctionne cette nouvelle connerie ? Hé bien un site qui a déjà une bonne raison

PACT - Le token Cloudflare qui veut remplacer les CAPTCHA

Par : Korben ✨
24 juin 2026 à 16:04

Je viens d'apprendre que Cloudflare s'était associé à Chrome, Firefox et Edge pour régler un truc qui nous pourrit tous la vie sans que nous y pensions vraiment, à savoir prouver qu'on est des humains.

Leur projet s'appelle PACT pour Private Access Control Tokens, et l'idée c'est de remplacer les affreux CAPTCHA par un titi jeton cryptographique anonyme que votre browser baladera de sites en sites.

Alors comment ça fonctionne cette nouvelle connerie ?

Hé bien un site qui a déjà une bonne raison de vous croire humain, genre un service où vous avez un compte, émet un token anonyme. Votre navigateur le conserve, et quand vous débarquez ailleurs, il le présente comme une preuve que vous n'êtes ni un robot, ni un alien, ni un pervers narcissique manipulateur.

Comme vous avez passé le test une fois, vous n'avez donc plus à recliquer sur des feux tricolores et des passages piétons aux quatre coins du web... Et comme le token ne contient aucune donnée perso, le site qui le reçoit ne sait pas d'où il sort.

Derrière PACT, rien de sorcier niveau techno, c'est juste du Privacy Pass, l'architecture que l'IETF a posée noir sur blanc en 2024 avec les RFC 9576 à 9578 . Apple fait déjà exactement ça depuis 2022 avec ses Private Access Tokens planqués dans iOS 16 et macOS Ventura, et Cloudflare est même l'un de leurs émetteurs en production. Mais PACT, c'est la version next-gen de ce truc. Au lieu d'attester juste "cet appareil est un vrai iPhone", on atteste "il y a un humain dans la boucle". Les signatures RSA aveugles font que l'attesteur ne sait pas quel site vous visitez, et que le site, lui, ne sait pas qui vous êtes.

C'est plutôt une bonne idée, je trouve. Sauf que cette histoire de "personne", ça inclut aussi les bots autorisés. Genre votre agent IA qui réserve un billet de train ou fait vos courses pendant que vous dormez. Cloudflare veut également leur filer des tokens à eux aussi, pour les démarquer des crawlers sauvages qui pompent le web à l'aspirateur de chantier.

Et ça tombe bien, parce qu'aujourd'hui plus de la moitié du trafic web mondial, c'est déjà des bots.

Maintenant, le truc qui me chiffonne avec PACT c'est que ça crée mécaniquement un web à deux vitesses. D'un côté le trafic on aura le trafic "de confiance" avec son joli token, de l'autre tout le reste, traité comme suspect par défaut. Donc si vous surfez avec Tor, un navigateur exotique ou une config un peu trop cheloue, et que personne ne veut vous émettre de jeton parce que vous êtes un haxxor intransigeant avec sa vie privée, vous devenez un citoyen de seconde zone du web. Sans compter que ce serait ENCORE Cloudflare, déjà videur d'une énorme part d'Internet, qui se retrouvera à arbitrer qui mérite son laissez-passer.

Et puis ça ne règle pas le pistage. Le fingerprinting, votre IP, les mille autres signaux que votre navigateur balance dans la nature restent en place. PACT vire juste le CAPTCHA, mais pas la surveillance. Mozilla jure sur la tête de sa mère que sa participation sert justement à garder ce système ouvert, et j'avoue que je suis content qu'ils soient dans la même pièce que les autres filous, qui pourraient en profiter pour réécrire la norme entre eux. Maintenant, si ce qui reste de votre vie privée déjà bien publique avec toutes nos données perso qui ont fuitée, vous tient encore à cœur, un petit navigateur blindé comme LibreWolf ou un CAPTCHA qui ne vend pas vos clics tel que ALTCHA restent des choix plus sérieux que d'attendre un jeton de bonne conduite.

Voilà... Pour l'instant PACT n'est qu'un projet, sans date de sortie ni même de lieu de standardisation confirmé, et même si l'idée de virer les CAPTCHA est hyper séduisante, reste encore à savoir qui tiendra les clés du laissez-passer...

Source

  • ✇Korben
  • OpenAI Privacy Filter - Masquez vos données perso en local
    OpenAI vient de sortir un modèle open source qui repère et masque les données perso dans un texte, et le plus marrant, c'est qu'il tourne chez vous, pas chez eux. Ça nous change ^^. Ça s'appelle Privacy Filter , c'est sous licence Apache 2.0, et ce modèle chope les infos sensibles : noms, emails, téléphones, adresses, numéros de compte, dates perso, et même les secrets genre clés d'API ou tokens. Il se compose de 1,5 milliard de paramètres au total, ce qui est tout petit, du coup ça tient sur un

OpenAI Privacy Filter - Masquez vos données perso en local

Par : Korben ✨
30 mai 2026 à 07:46

OpenAI vient de sortir un modèle open source qui repère et masque les données perso dans un texte, et le plus marrant, c'est qu'il tourne chez vous, pas chez eux. Ça nous change ^^.

Ça s'appelle Privacy Filter , c'est sous licence Apache 2.0, et ce modèle chope les infos sensibles : noms, emails, téléphones, adresses, numéros de compte, dates perso, et même les secrets genre clés d'API ou tokens.

Il se compose de 1,5 milliard de paramètres au total, ce qui est tout petit, du coup ça tient sur un laptop et peut même tourner dans un navigateur via transformers.js. Et à chaque token, seulement 50 millions de paramètres bossent vraiment, puisque le modèle pioche dans ses "experts" au lieu de tout activer... donc c'est ultra rapide. Et vos données, elles, ne partent jamais en ligne, donc pour de la donnée sensible, c'est tip top !

Côté usage, c'est 3 lignes :

import { pipeline } from "@huggingface/transformers";
const filter = await pipeline("token-classification", "openai/privacy-filter");
await filter("My name is Korben and my email is korben@example.com");

Au premier appel, transformers.js télécharge le modèle, et après localement, le modèle vous ressort chaque bout de texte étiqueté comme perso (ça c'est un nom, ça un email...etc) et comme ça, vous n'avez plus qu'à les remplacer par des balises avant de balancer le tout dans un LLM ou dans des logs par exemple.

La classification "secret" attrape les clés d'API et les tokens qui traînent, bref, tout ce qu' un dev peut oublier dans son code (oui, ça arrive ^^ hein). C'est la classification qui me semble la plus utile au quotidien.

Alors comment ça fonctionne ? Eh bien le modèle lit toute la phrase d'un coup au lieu de cracher du texte mot par mot comme un ChatGPT, puis recolle les morceaux avec un décodeur Viterbi pour éviter de couper un nom en deux. Il avale jusqu'à 128 000 tokens de contexte, et vous pouvez régler le curseur précision/rappel via des presets fournis : soit il masque large, quitte à raturer un mot innocent, soit il la joue finement. Pratique donc selon que vous bossiez sur du dossier médical ou un ticket de support random.

Notez que c'est pas le premier sur le créneau. Par exemple Microsoft Presidio fait du masquage PII depuis des années, gère plus de langues, et sait même bosser sur les images et les données structurées. Là où Privacy Filter marque des points, je trouve, c'est le contexte car il distingue mieux un nom de famille du même mot employé autrement, alors qu'une simple regex se vautre à 100%.

Après c'est surtout calibré pour l'anglais, donc sur du français ou des formats régionaux ça peut louper des trucs. Donc vérifiez bien le résultat avant de vous reposer entièrement dessus. Mais ça reste un bon filet de sécurité même si c'est pas une garantie d'anonymat béton.

Sachez aussi que pour changer la liste des catégories détectées c'est possible, mais faudra repasser par du fine-tuning.

Bref, voir que de temps en temps OpenAI continue de publier des outils open source qui tournent en local, c'est toujours une bonne surprise !

Bref, si vous manipulez de la donnée perso, allez jeter un œil, c'est par ici .

  • ✇Korben
  • iOS 26 gèle vos appels FaceTime quand il détecte de la nudité, même entre adultes
    Attention, votre iPhone vous surveille pendant vos appels FaceTime. Depuis iOS 26, Apple a glissé une fonction baptisée "Sensitive Content Warning" qui scanne en temps réel le flux vidéo et fige automatiquement la communication dès qu'elle détecte de la nudité. Audio coupé, vidéo coupée, avec un message qui s'affiche : "Audio et vidéo sont en pause car vous montrez peut-être quelque chose de sensible". Sympa. À la base, la fonctionnalité fait partie d'une suite plus large appelée "Communication

iOS 26 gèle vos appels FaceTime quand il détecte de la nudité, même entre adultes

28 mai 2026 à 15:58

Attention, votre iPhone vous surveille pendant vos appels FaceTime. Depuis iOS 26, Apple a glissé une fonction baptisée "Sensitive Content Warning" qui scanne en temps réel le flux vidéo et fige automatiquement la communication dès qu'elle détecte de la nudité.

Audio coupé, vidéo coupée, avec un message qui s'affiche : "Audio et vidéo sont en pause car vous montrez peut-être quelque chose de sensible". Sympa.

À la base, la fonctionnalité fait partie d'une suite plus large appelée "Communication Safety", destinée aux comptes enfants. L'idée est légitime : éviter que des mineurs ne tombent sur du contenu inapproprié, ou en envoient.

Sauf que voilà, dans iOS 26, la fonction est aussi accessible sur les comptes adultes. Elle est désactivée par défaut, mais on peut l'activer manuellement. Et plusieurs utilisateurs constatent que les faux positifs ne sont pas rares.

Le principe technique est plutôt rassurant côté vie privée. La détection se fait entièrement sur l'appareil grâce à du machine learning embarqué (les modèles de reconnaissance d'image tournent en local sur votre iPhone, sans envoyer la moindre image à Apple). Du coup, contrairement à ce qu'on pourrait imaginer, Apple n'a aucune idée de ce qui déclenche la détection sur votre téléphone. Le scan ne sort pas de l'appareil.

Le problème, c'est que ce genre de filtre se trompe souvent. Une consultation médicale en visio ? Bloquée. Une conversation entre adultes consentants ? Bloquée aussi. Et chaque interruption nécessite une action manuelle pour reprendre l'appel. Pour les usages légitimes qui ressemblent visuellement à de la "nudité" sans en être, c'est franchement pénible.

Au-delà du bug ou choix de design, la question de fond, c'est le précédent. Apple installe l'idée que votre flux vidéo, même dans un appel chiffré de bout en bout, peut être analysé en permanence par les filtres maison. Aujourd'hui c'est de la nudité. 

Demain, ça pourrait être des armes, des drogues, des contenus politiques selon les pays, ou tout ce que les gouvernements demanderont. La porte est ouverte, et c'est ce qui inquiète une partie des défenseurs de la vie privée. Apple a beau jurer que tout reste en local, l'infrastructure d'analyse est désormais en place sur des centaines de millions d'iPhone.

Vous pouvez désactiver la fonction en allant dans Réglages, puis FaceTime, puis « Avertissement de contenu sensible ». C'est en théorie OFF par défaut, mais autant vérifier. Et si vous l'aviez activée par curiosité, sachez qu'elle peut ruiner un appel important au pire moment.

Source : PC Mag

  • ✇Korben
  • Fauxx - Pour noyer les trackers sous du faux trafic
    Fauxx part d'une idée toute simple et un peu vicieuse qui est que plutôt que de cacher ce que vous faites en ligne avec votre smartphone Android, pourquoi ne pas générer en permanence des tas de fausses recherches, des faux trajets GPS et des fausses identités ? Cela permet ainsi de noyer vos vraies données dans un tas d'autres... En tout cas, c'est l'objectif du dev qui veut, je cite, rendre votre signal réel « statistiquement indiscernable du bruit ». Comme ça pendant que votre téléphone vit s

Fauxx - Pour noyer les trackers sous du faux trafic

Par : Korben ✨
21 mai 2026 à 07:43

Fauxx part d'une idée toute simple et un peu vicieuse qui est que plutôt que de cacher ce que vous faites en ligne avec votre smartphone Android, pourquoi ne pas générer en permanence des tas de fausses recherches, des faux trajets GPS et des fausses identités ? Cela permet ainsi de noyer vos vraies données dans un tas d'autres...

En tout cas, c'est l'objectif du dev qui veut, je cite, rendre votre signal réel « statistiquement indiscernable du bruit ». Comme ça pendant que votre téléphone vit sa meilleure vie dans votre poche, l'app Fauxx tape des requêtes bidon sur Google, Bing, DuckDuckGo et Yahoo, visite des sites au hasard dans des dizaines de catégories, clique sur quelques pubs, balade un faux GPS et change d'empreinte de navigateur. Oui, je vous raconte pas la gueule de la batterie après... En tout cas, c'est gratuit, open source, et sous licence AGPL

Le moteur qu'utilise Fauxx s'appelle le Demographic Distancing Engine, et il empile 4 couches de faux : du bruit pur, un profil démographique que vous pouvez bricoler vous-même, du scraping de profils publicitaires que Google et Facebook se font déjà de vous, et une nouvelle persona synthétique générée chaque semaine.

Et le timing de tout ça suit une loi de Poisson pour imiter une navigation humaine plausible plutôt qu'un bot qui montre sa tête pile toutes les dix minutes. L'outil jongle quand même avec plus de 250 empreintes de navigateur et arrose des milliers de sites classés par catégorie.

Ces techniques d'offuscation, ça me rappelle un peu TrackMeNot , une extension qui balançait de fausses requêtes dans votre moteur de recherche et dont je vous avais parlé. Et 8 ans plus tard, AdNauseam évidemment qui poussait le délire en cliquant automatiquement sur toutes les pubs pour pourrir les profils publicitaires.

Hé bien Fauxx, c'est la version 2026 de cette petite guérilla, en mode appli mobile Android.

Après faut pas être débile non plus, noyer les trackers sous du faux ne les tue pas. Google l'a d'ailleurs dit noir sur blanc, ils détectent et filtrent la grande majorité de cette fausse activité. AdNauseam et ses quelques dizaines de milliers d'utilisateurs, face à un marché de la donnée qui pèse plus de 300 milliards de dollars, c'est une goutte d'eau en fait...

Et puis Fauxx coupe lui-même sa protection avant d'atteindre le plafond imposé par Android 15, qui limite les services en arrière-plan à six heures cumulées par tranche de 24h. Vous avez alors une notif qui vous demande de relancer l'appli à la main. C'est moche, mais c'est une contrainte du système, et pas un bug de l'appli !

Après comme je vous le disais plus haut, du faux trafic en continu, ça bouffe de la batterie et de la donnée mobile. Faut voir Fauxx un peu comme du sable jeté dans les rouages de la machine à pomper vos données... C'est une forme de geste politique... C'est pas incroyable mais c'est mieux que de rester les bras croisés.

Après, le mieux, c'est encore de le combiner avec les vraies mesures comme faire virer vos infos des data brokers et bien sûr, garder en tête que vos données sont déjà en vente quelque part.

Voilà, Fauxx ne vous rendra pas invisible mais entre subir le pistage en silence et foutre un peu le bordel dans la machine... le choix est vite vu. C'est gratuit, l'appli est sur F-Droid et le code est sur GitHub .

  • ✇Korben
  • HydroTracker - L'app Android qui vous hydrate
    HydroTracker, c'est une app Android open source pour suivre votre consommation d'eau au quotidien. C'est sans pub, ça fonctionne hors-ligne et ça a été mis au point par Ali Cem Çakmak, physicien et développeur passionné ! L'écran d'accueil d'HydroTracker, sobre et lisible Côté fonctionnalités, vous avez donc le suivi quotidien classique avec objectif personnalisé, des graphiques hebdo, des cartes thermiques mensuelles, le suivi des séries de jours réussis et 3 widgets à mettre sur écran d'accue

HydroTracker - L'app Android qui vous hydrate

Par : Korben ✨
20 mai 2026 à 10:04

HydroTracker, c'est une app Android open source pour suivre votre consommation d'eau au quotidien. C'est sans pub, ça fonctionne hors-ligne et ça a été mis au point par Ali Cem Çakmak, physicien et développeur passionné !

L'écran d'accueil d'HydroTracker, sobre et lisible

Côté fonctionnalités, vous avez donc le suivi quotidien classique avec objectif personnalisé, des graphiques hebdo, des cartes thermiques mensuelles, le suivi des séries de jours réussis et 3 widgets à mettre sur écran d'accueil.

Par contre, ça marche pas pour suivre votre conso de bière, désolé mes amis Chouffinistes ^^

Et puis surtout, y'a l'intégration Health Connect ce qui permet à HydroTracker de lire et écrire dans la base santé Android partagée par Samsung Health, Google Fit, Fitbit, Garmin ou Strava. Comme ça, toutes vos données sont centralisées !

Alors j'sais pas si vous avez déjà tracké votre consommation d'eau mais la plupart des apps d'hydratation se contentent de compter les verres d'eau. Cem, lui, s'appuie sur le Beverage Hydration Index (y'a une étude à ce sujet publiée dans l'American Journal of Clinical Nutrition ) et applique des coefficients différents selon les boissons, avec les seuils EFSA pour l'Europe et IOM pour les US. Un verre de lait équivaut par exemple à 1,5 fois sa quantité d'eau, et un soluté de réhydratation orale aussi. C'est logique vu la composition réelle, et pourtant aucune app grand public ne pousse le bouchon aussi loin niveau finesse !

Les analytics d'HydroTracker, façon dashboard scientifique

Et le gros morceau, vous l'aviez deviné, c'est surtout la confidentialité. Prenez par exemple Water Reminder, une app concurrente bien installée sur Android. Hé bien avec elle, vos heures de prise d'eau, votre régularité, votre comportement, tout part chez Google.

Alors que HydroTracker, lui, garde tout en local et la synchro Health Connect reste bien sûr à 100% optionnelle. Bref, si vous tenez à votre indépendance numérique vis-à-vis des géants américains , et que vous aimez rester hydraté, c'est l'app idéale !

L'app est sous licence GPL v3, dispo sur le Play Store (et bientôt sur F-Droid), ou en APK direct depuis les releases GitHub . Par contre, pas de version iOS pour l'instant. Ah et j'oubliais, les notifications de l'app s'adaptent à votre cycle de sommeil, donc elle ne vous harcelera pas la nuit. C'est con dit comme ça, mais peu d'apps le font.

Voilà, si vous voulez creuser le code, c'est sur GitHub et Cem a même sa page perso sur cmckmk.com .

Merci à Alex pour le tip !

  • ✇Korben
  • Veilid - Tor pour les apps signé Cult of the Dead Cow
    Cult of the Dead Cow , un des plus vieux collectifs hacktivistes encore en activité, ne se contente pas que de balancer des manifestes politiques depuis 1984. Ils codent. Et leur dernier bébé en date s'appelle Veilid , et c'est un framework P2P qui veut faire à vos apps ce que Tor a fait à votre navigateur. Histoire de vous expliquer, vous prenez Veilid, vous l'intégrez dans votre app mobile ou web, et d'un coup tout votre trafic passe par un réseau pair-à-pair (P2P) chiffré de bout en bout. Ce

Veilid - Tor pour les apps signé Cult of the Dead Cow

Par : Korben ✨
18 mai 2026 à 09:00

Cult of the Dead Cow , un des plus vieux collectifs hacktivistes encore en activité, ne se contente pas que de balancer des manifestes politiques depuis 1984. Ils codent. Et leur dernier bébé en date s'appelle Veilid , et c'est un framework P2P qui veut faire à vos apps ce que Tor a fait à votre navigateur.

Histoire de vous expliquer, vous prenez Veilid, vous l'intégrez dans votre app mobile ou web, et d'un coup tout votre trafic passe par un réseau pair-à-pair (P2P) chiffré de bout en bout. Cela veut dire qu'il n'y a pas de serveur central qui stocke vos messages.

Concernant votre IP, celle-ci n'apparaît alors plus au niveau applicatif (le routage privé l'obfusque entre pairs), et chaque nœud est identifié par une clé publique Ed25519 256-bit. Donc autant dire un truc carrément impossible à brute-force.

Le projet a été annoncé à DEF CON 31 en août 2023 par Christien "DilDog" Rioux et Katelyn "Medus4" Bowden, 2 membres historiques de cDc, et près de trois ans plus tard, ça continue d'évoluer toujours à un rythme régulier.

L'idée technique vous la connaissez si vous avez déjà touché à du décentralisé : Une table de hachage distribuée (DHT, en fait un annuaire éclaté entre tous les nœuds du réseau) gère le routage, chaque nœud relaie du trafic chiffré qu'il ne peut pas lire, et les pairs s'échangent des données sans jamais révéler leur IP.

Perso, c'est l'approche qui me semble vachement plus saine pour faire du social sans Mark Zuckerberg dans la boucle. C'est dans le même esprit que Tor et qu' IPFS , sauf que Veilid est pensé dès le départ pour les développeurs d'applications. Donc c'est pas fait pour anonymiser de la navigation web ou stocker des fichiers. C'est un Tor des applications si vous préférez...

Le framework est codé en Rust avec des bindings Flutter et Dart pour le mobile ainsi qu'une cible WebAssembly pour le navigateur. Vous pouvez donc carrément déployer une app Veilid sur Linux, macOS, Windows, Android, iOS, et même directement dans Chrome ou Firefox via WASM.

Le code, lui, est découpé en plusieurs composants : veilid-core pour le moteur, veilid-tools pour les utilitaires, veilid-flutter pour le mobile, veilid-wasm pour le navigateur et veilid-server qu'on installe sur un VPS Debian ou Fedora pour faire tourner un nœud public. Voilà, et le tout est sous licence Mozilla Public License 2.0, donc copyleft mais compatible si vous y ajoutez du code propriétaire par dessus.

L'app phare qui tourne déjà sur ce framework, c'est VeilidChat , une messagerie type Signal mais sans aucun serveur, sans numéro de téléphone et sans annuaire centralisé. Vous échangez votre clé publique avec un pote, et hop, c'est parti.

Si ça vous dit d'y jeter un oeil, sachez que le code de Veilid n'est pas sur GitHub mais sur GitLab . Après c'est encore assez nouveau, ce qui veut dire que ça bouge beaucoup de release en release. Donc si vous voulez coder votre prochaine app par dessus ce framework, va falloir vous accrocher car ça cassera souvent.

Mais si vous codez du décentralisé et que vous en avez franchement marre de bricoler libp2p à coup de colle forte Python, Veilid mérite un sérieux coup d'œil. Et même si vous codez pas, gardez l'œil sur VeilidChat car le jour où une appli grand public sortira là-dessus, ça va vraiment envoyer du lourd.

Beaucoup plus que Signal ou Telegram, je pense !

  • ✇Korben
  • Saracroche - L'app qui bloque le démarchage téléphonique
    J'sais pas vous, mais en ce moment, moi ça n'arrête pas ! De quoi je parle ? Hé bien des putains d'appels commerciaux / arnaques que je reçois sur mon téléphone. C'est simple, je ne décroche plus aucun numéro que je ne connais pas. Je crois qu'on peut tous dire collectivement qu'on en peut plus. Et c'est aussi le cas de Camille Bouvat, un développeur toulousain qui en a eu tellement marre qu'il a pondu Saracroche , une app gratuite et open source qui bloque environ 90% du démarchage téléphonique

Saracroche - L'app qui bloque le démarchage téléphonique

Par : Korben ✨
14 mai 2026 à 09:51

J'sais pas vous, mais en ce moment, moi ça n'arrête pas ! De quoi je parle ? Hé bien des putains d'appels commerciaux / arnaques que je reçois sur mon téléphone. C'est simple, je ne décroche plus aucun numéro que je ne connais pas.

Je crois qu'on peut tous dire collectivement qu'on en peut plus. Et c'est aussi le cas de Camille Bouvat, un développeur toulousain qui en a eu tellement marre qu'il a pondu Saracroche , une app gratuite et open source qui bloque environ 90% du démarchage téléphonique. Y'a déjà 1 million de Français qui l'ont adoptée donc y'a des chances que vous connaissiez déjà, mais dans le doute, je repartage ! Je sais, on est à quelques mois de l'arrivée de la loi anti-démarchage qui devrait normalement nous sauver même si j'y crois moyen... Ça va peut-être empêcher des sociétés françaises qui ont pignon sur rue de nous casser les couilles mais pour les arnaqueurs de tout poil, je ne suis pas sûr que cette loi suffise.

Alors comment ça marche Saracroche ? Hé bien vous installez l'app sur iOS (App Store) ou Android (Google Play, et un build F-Droid annoncé), vous activez les permissions de blocage d'appels, et hop, l'app fait correspondre chaque appel entrant grâce à une base locale de plus de 15 millions de numéros préchargés. Hé oui c'est 100% en local !

La base s'appuie sur les préfixes ARCEP (l'autorité des télécoms qu'on ne présente plus) réservés au démarchage téléphonique (les fameux 01 62, 04 24 et compagnie) ce qui permet de bloquer ces préfixes en bloc. Ça permet de se couper mécaniquement d'une grosse partie du démarchage légal en un seul coup

Et pour les arnaques qui usurpent des numéros mobiles ou ordinaires (faux colis, fausses banques, ping calls surtaxés), Saracroche complète ça avec les signalements communautaires, que vous pouvez nourrir vous-même depuis l'app.

Après j'sais pas si vous savez, mais à partir du 11 août prochain, le démarchage téléphonique sans consentement préalable sera légalement interdit en France, et Bloctel va prendre sa retraite. Mais ce ne sera pas suffisant...

J'avais déjà parlé de WinCalls y'a quelques mois ici mais c'était uniquement pour Android alors que Saracroche, pousse l'idée aussi jusqu'à iOS. Par contre, ça ne bloque que les appels entrants, et pas les arnaques par SMS ni par mail. Mais pour le démarchage classique, c'est probablement ce qu'il y a de plus efficace sur le marché français aujourd'hui.

Après côté business model, c'est comme d'hab en France... Camille Bouvat confiait à France Info que seulement 0,5% de ses utilisateurs sont donateurs. Donc sur 1 million de personnes ça fait peut-être 5 000 mecs qui mettent la main au portefeuille, soit à peine de quoi en vivre pour Camille ! Nous sommes vraiment un pays de crevards ^^ .

Bref, n'oubliez pas, si vous trouvez l'app utile, c'est le moment de cliquer sur le bouton "Soutenir" !!

  • ✇Korben
  • Hister - Un vrai moteur de recherche pour votre historique web
    Bon, j'ai la crève et y'a du bricolage qui m'attend, du coup aujourd'hui y'aura pas des centaines d'article. Mais faut quand même que je vous parle de Hister , le nouveau projet d'Adam Tauber (le créateur de Searx ) qui indexe localement tout ce que vous visitez sur le web pour le retrouver en texte intégral. Vous installez l'extension Chrome ou Firefox, vous lancez le binaire Go sur votre machine (ça tourne sous Linux, macOS et Windows), et hop, chaque page que vous visitez est indexée en full-

Hister - Un vrai moteur de recherche pour votre historique web

Par : Korben
3 avril 2026 à 11:14

Bon, j'ai la crève et y'a du bricolage qui m'attend, du coup aujourd'hui y'aura pas des centaines d'article. Mais faut quand même que je vous parle de Hister , le nouveau projet d'Adam Tauber (le créateur de Searx ) qui indexe localement tout ce que vous visitez sur le web pour le retrouver en texte intégral.

Vous installez l'extension Chrome ou Firefox, vous lancez le binaire Go sur votre machine (ça tourne sous Linux, macOS et Windows), et hop, chaque page que vous visitez est indexée en full-text. Du coup, quand vous cherchez ce tuto que vous aviez lu y'a 3 semaines mais dont vous avez zappé l'URL, vous ouvrez l'interface web locale de Hister, vous tapez un mot qui était dans le contenu de la page et ça ressort ! Si vous aviez testé Deeper History à l'époque, c'est le même concept mais en beaucoup plus costaud.

L'interface de Hister - sobre mais efficace

Sous le capot, Hister utilise blevesearch, un moteur d'indexation en Go qui gère le fuzzy matching et les requêtes booléennes. En gros, vous tapez "configuration nginx reverse proxy" et ça vous ressort cette page de doc que vous aviez consultée y'a un mois, même si vous ne vous souvenez que de 2 mots. Efficace donc. Et l'outil capture les pages telles qu'elles étaient au moment de votre visite donc si un site modifie son contenu ou si un article disparaît, vous aurez toujours la version d'origine. Y'a même un mode aperçu hors-ligne pour consulter ces snapshots sans connexion !

Côté vie privée (forcément, quand ça vient du mec qui a pondu Searx déjà en 2013... le temps file les amis ^^), tout reste sur votre machine. Et pour les domaines sensibles comme votre banque ou votre mutuelle, une blacklist permet même d'exclure certains sites de l'indexation. Enfin pour ceux qui ont déjà des années de navigation derrière eux, la commande hister import aspirera votre historique Chrome ou Firefox existant, comme ça pas besoin de repartir de zéro.

Pour installer ça, téléchargez le binaire depuis les releases GitHub , puis lancez le serveur et installez l'extension ( Firefox ou Chrome) qui va bien. Y'a aussi un Docker Compose pour ceux qui préfèrent tout conteneuriser. Prévoyez aussi quelques Go sur le disque pour la base d'index car ça se rempli vite...

Tauber dit avoir réduit sa dépendance à Google de moitié en un mois et demi juste avec ça. Et je trouve ça logique parce que quand vous avez déjà visité la bonne page une fois, ça ne sert plus à rien de redemander à Google de vous la remonter entre 3 pubs et une réponse IA à côté de la plaque. Autant récupérer ce que vous aviez déjà !

Voilà, je suis sûr que ça va vous plaire... Et si vous voulez tester avant d'installer quoi que ce soit, une démo tourne en ligne.

Allez, je retourne bricoler...

  • ✇Korben
  • Nearby Glasses - L'app qui détecte les lunettes caméra Meta
    Les Ray-Ban Meta, c'est quand même le gadget parfait pour les voyeurs technophiles. Ce sont quand même des lunettes qui filment, prennent des photos et diffusent en live... le tout sans que PERSONNE autour ne s'en rende compte (ou presque). Alors forcément, quelqu'un a fini par coder une app pour les détecter ! Nearby Glasses , c'est une application Android développée par Yves Jeanrenaud qui scanne en permanence les signaux Bluetooth Low Energy autour de vous. Chaque appareil BLE diffuse en fai

Nearby Glasses - L'app qui détecte les lunettes caméra Meta

Par : Korben
26 février 2026 à 15:41

Les Ray-Ban Meta, c'est quand même le gadget parfait pour les voyeurs technophiles. Ce sont quand même des lunettes qui filment, prennent des photos et diffusent en live... le tout sans que PERSONNE autour ne s'en rende compte (ou presque). Alors forcément, quelqu'un a fini par coder une app pour les détecter !

Nearby Glasses , c'est une application Android développée par Yves Jeanrenaud qui scanne en permanence les signaux Bluetooth Low Energy autour de vous. Chaque appareil BLE diffuse en fait des trames pour s'annoncer avec un identifiant constructeur et les lunettes caméra de Meta utilisent les IDs 0x01AB et 0x058E (Meta Platforms) ainsi que 0x0D53 (Luxottica/Ray-Ban). Donc cette app écoute ces identifiants et vous balance une alerte dès qu'elle en capte un.

La détection repose sur le RSSI, en gros la puissance du signal reçu et par défaut, le seuil est à -75 dBm, soit environ 10-15 mètres en extérieur et 3-10 mètres en intérieur. Donc c'est pas foufou non plus mais c'est configurable, évidemment. Vous pouvez donc le durcir un peu pour ne choper que les lunettes vraiment proches, ou l'assouplir pour ratisser large (au prix de faux positifs en pagaille).

Les faux positifs, parlons-en d'ailleurs... Les casques Meta Quest utilisent les mêmes identifiants constructeur, du coup ça ne marche pas à tous les coups. Par exemple, si votre voisin joue en VR, votre téléphone va sonner ! L'app détecte aussi les Snap Spectacles (0x03C2)... pour les trois personnes qui en portent encore ^^.

Ah et l'app est UNIQUEMENT pour Android. La version iOS serait "on the way" selon le développeur... faut donc pas être pressé mais au moins c'est open source (AGPL-3.0), du coup n'importe qui peut vérifier ce que l'app fait de vos données Bluetooth.

Si le sujet vous parle, vous connaissez peut-être Ban-Rays , un projet hardware à base d'Arduino et de LEDs infrarouges qui détecte les Ray-Ban Meta via infrarouge et Bluetooth ! Hé bien Nearby Glasses, c'est l'approche 100% logicielle plutôt que hardware, ce qui est plus accessible mais forcément plus limitée... pas besoin de fer à souder, cela dit ^^.

C'est une rustine mais bon, c'est mieux que de se retrouver à poil sans permission sur le web.

Source

  • ✇Korben
  • Un LLM à 4 dollars peut griller votre pseudo
    Votre pseudo de justicier masqué sur Reddit ne vaut plus grand-chose, les amis... En effet, des chercheurs de l'ETH Zurich viennent de prouver qu'un LLM peut retrouver votre vraie identité à partir de vos posts anonymes, avec 67% de réussite... et pour moins de 4 dollars par profil. L' étude a été publiée sur arXiv par six chercheurs, dont Nicholas Carlini d'Anthropic (les créateurs de Claude) et le principe fait flipper. En fait ils ont mis au point des agents IA qui analysent vos commentaires

Un LLM à 4 dollars peut griller votre pseudo

Par : Korben
26 février 2026 à 14:47

Votre pseudo de justicier masqué sur Reddit ne vaut plus grand-chose, les amis... En effet, des chercheurs de l'ETH Zurich viennent de prouver qu'un LLM peut retrouver votre vraie identité à partir de vos posts anonymes, avec 67% de réussite... et pour moins de 4 dollars par profil.

L' étude a été publiée sur arXiv par six chercheurs, dont Nicholas Carlini d'Anthropic (les créateurs de Claude) et le principe fait flipper. En fait ils ont mis au point des agents IA qui analysent vos commentaires publics, créent un profil structuré... ou plutôt un portrait-robot de vos habitudes et centres d'intérêt, puis ratissent des milliers de candidats pour trouver à qui ça correspond.

Budget total de l'opération : environ 2 000 dollars pour 338 profils Hacker News passés au crible. Et sur tout ça, 226 ont été identifiés correctement, 25 sont des erreurs et 86 sont des "abstentions" quand le modèle doutait trop. Ça revient à 1 à 4 dollars par profil, et quand le modèle est assez sûr de lui pour donner une réponse (donc hors abstentions), il tape juste 9 fois sur 10. Pas cher payé donc pour s'offrir la fin de votre anonymat TOTAL !

Le truc, c'est que Hacker News c'était juste l'apéro. La même technique a été lâchée ensuite sur des interviews anonymisées, des profils LinkedIn et ce bon vieux Reddit. Même recette, et surtout mêmes résultats.

Le côté obscur de cette recherche, c'est que ça ouvre encore plus la porte aux arnaques d'ingénierie sociale sur mesure, au ciblage pub ultra-personnalisé sans votre consentement, et pire... à la traque de journalistes ou d'activistes planqués derrière un pseudo...

Notez que ce taux de 67%, c'est sur des profils Hacker News où les gens qui postent beaucoup de contenu technique assez spécifique. Mais sur un compte avec trois commentaires génériques, ça ne marche pas aussi bien. Mais bon, qui poste que 3 fois sur un forum ? Le piège, c'est qu'on finit toujours par en dire plus qu'on croit...

Maintenant côté protection, attention, c'est pas la fête. Si vous voulez éviter de vous faire traquer, faudra varier votre style d'écriture entre les plateformes, éviter de balancer trop de détails perso (ville, job, stack technique) dans vos commentaires, et surtout utiliser des comptes séparés plutôt qu'un seul pseudo partout. D'ailleurs le fingerprinting de navigateur c'est déjà un problème connu, mais là on parle de fingerprinting de votre STYLE D'ÉCRITURE donc carrément autre chose !

Perso, ça confirme finalement ce qu'on savait depuis le documentaire Rien à cacher : l'anonymat en ligne c'est surtout une illusion. Sauf que maintenant, même pas besoin d'être la NSA pour lever le voile... un LLM à 4 balles suffit.

Le pseudonymat face à un LLM c'est un grillage face à une perceuse... Bon courage aux anonymes qui me lisent...

Source

  • ✇Korben
  • Anytype - L'alternative à Notion qui ne vend pas vos données aux GAFAM
    Je suis complètement passé à côté de ce truc jusqu'à ce que David (merci à lui !) m'envoie un petit message pour me dire : "Hé Korben, t'as vu Anytype ? C'est comme Notion mais en mieux". Du coup, j'ai testé et j'ai vraiment halluciné. Si vous êtes du genre à noter tout ce qui vous passe par la tête dans Notion ou Evernote, vous connaissez le problème. Vos données sont hébergées on ne sait où, et le jour où la boite décide de changer ses conditions d'utilisation ou de fermer boutique, vous êtes

Anytype - L'alternative à Notion qui ne vend pas vos données aux GAFAM

Par : Korben
13 février 2026 à 10:37

Je suis complètement passé à côté de ce truc jusqu'à ce que David (merci à lui !) m'envoie un petit message pour me dire : "Hé Korben, t'as vu Anytype ? C'est comme Notion mais en mieux". Du coup, j'ai testé et j'ai vraiment halluciné.

Si vous êtes du genre à noter tout ce qui vous passe par la tête dans Notion ou Evernote, vous connaissez le problème. Vos données sont hébergées on ne sait où, et le jour où la boite décide de changer ses conditions d'utilisation ou de fermer boutique, vous êtes marron.

Hé bien Anytype, c'est la réponse à cette angoisse.

C'est une application open source, local-first et chiffrée de bout en bout qui permet de créer votre propre "internet personnel". En gros, tout ce que vous créez (notes, tâches, documents, tableaux) est stocké localement sur votre machine. Pas de cloud obscur, pas de tracking, c'est votre disque dur, vos règles.

Leur point fort, c'est leur protocole AnySync car ça permet de synchroniser vos données entre vos appareils (ordi, téléphone, tablette) en peer-to-peer comme ça y'a pas besoin de serveur central. Vos appareils discutent directement entre eux, un peu comme si vous aviez votre propre réseau privé.

Au niveau de l'interface, on retrouve ce système de blocs qu'on aime bien chez la concurrence, mais avec une approche "objet". Dans AnyType comme chez Ikea, tout est un objet : une tâche, une personne, une note, un livre. Et vous pouvez lier tous ces objets entre eux pour créer un véritable graphe de connaissances tel un grand architecte de la matrice du dimanche).

Ce qui est cool aussi, c'est que l'équipe a déjà ajouté une fonction de publication web (vos pages peuvent devenir des pages publiques statiques) et propose une API côté desktop qui tourne en local. Elle travaille aussi sur l'intégration d'une IA locale . Parce que oui, avoir une IA qui vous aide à trier vos notes sans envoyer vos données à l'autre bout du monde, c'est quand même plus rassurant.

Si vous voulez aller encore plus loin, vous pouvez même héberger votre propre "noeud" de sauvegarde sur un serveur à la maison. D'ailleurs si vous aimez ce genre d'outils souverains, jetez un oeil à Local Deep Research pour vos recherches. Comme ça, vous avez une copie de secours chiffrée, accessible 24/7, sans dépendre de personne.

Bref, si vous cherchez une alternative souveraine pour gérer votre vie numérique, foncez voir ça. C'est gratuit jusqu'à 100 MB de stockage, c'est beau, et ça respecte votre vie privée. Que demande le peuple ?

Merci encore à David pour la découverte !

Source

  • ✇Korben
  • Xikipedia - Le TikTok de Wikipedia sans tracking ni IA
    Les algorithmes de recommandation, vous connaissez bien je pense... YouTube, TikTok, Instagram... ces trucs qui vous gardent scotché à l'écran durant des heures en aspirant toutes vos données au passage. Hé bien un dev de bon goût a décidé de prouver qu'on pouvait faire la même chose sans machine learning et sans collecter la moindre info perso. Son arme secrète ? Les 270 000 articles de Simple Wikipedia. Xikipedia , c'est un pseudo réseau social qui vous balance des articles de Simple Wikipedi

Xikipedia - Le TikTok de Wikipedia sans tracking ni IA

Par : Korben
11 février 2026 à 15:01

Les algorithmes de recommandation, vous connaissez bien je pense... YouTube, TikTok, Instagram... ces trucs qui vous gardent scotché à l'écran durant des heures en aspirant toutes vos données au passage. Hé bien un dev de bon goût a décidé de prouver qu'on pouvait faire la même chose sans machine learning et sans collecter la moindre info perso.

Son arme secrète ? Les 270 000 articles de Simple Wikipedia.

Xikipedia , c'est un pseudo réseau social qui vous balance des articles de Simple Wikipedia sous forme de feed, exactement comme votre fil TikTok préféré. Sauf que derrière, y'a pas de ferme de serveurs qui analyse votre comportement mais juste un petit algorithme local en JS qui tourne dans votre navigateur.

En gros, le système fonctionne avec un scoring par catégorie côté client, stocké en localStorage. Vous scrollez un article sans le lire ? Moins 5 points pour cette catégorie. Vous likez ? Plus 50 points, avec un bonus qui augmente si vous n'avez pas liké depuis longtemps (genre un mécanisme anti-binge plutôt malin). Vous cliquez sur l'article complet ? 75 points. Sur une image ? 100 points !!

Et c'est comme ça qu'au bout de quelques minutes de scroll, le feed commence à comprendre vos centres d'intérêt et vous propose des trucs de plus en plus pertinents. J'ai testé en likant 3-4 articles sur l'astronomie... au début je pensais que ça serait du random total, mais au bout de 5 minutes j'avais quasiment que des trucs sur l'espace et la physique. Plutôt efficace pour un algo sans IA.

D'ailleurs, le truc qui est assez cool c'est la répartition des contenus. 40% de sélection pondérée par vos scores, 42% du contenu le mieux noté, et 18% complètement aléatoire. Ce dernier bout de hasard, c'est ce qui évite de s'enfermer dans une bulle de filtre (prends-en de la graine, YouTube !!).

La page d'accueil avec ses catégories - sobre mais efficace

Le tout tourne en PWA, c'est-à-dire que ça s'installe comme une app sur votre téléphone ou votre ordi et ça fonctionne même hors ligne après le premier chargement. Les ~34 Mo de données compressées de Simple Wikipedia sont stockées localement via IndexedDB dans votre navigateur. Vous pouvez créer plusieurs profils (pratique si vous partagez un appareil), consulter vos stats d'engagement perso, et même basculer entre thème clair et sombre.

Et le code est sous licence AGPLv3, dispo sur GitHub .

Petit bémol quand même si vous êtes sur iPhone, y'a des restrictions mémoire imposées par Apple sur Safari qui peuvent poser problème avec les ~34 Mo de données. Attention aussi, le premier chargement prend un moment vu qu'il faut tout télécharger d'un coup... sauf si vous êtes en 4G pourrie, là ça peut carrément planter en plein milieu. Et pas moyen de reprendre, faut tout relancer. Prévoyez donc du Wi-Fi.

Pour ceux qui se demandent à quoi ça sert concrètement... c'est juste un moyen sympa de tomber sur des sujets que vous n'auriez jamais cherchés, le tout sans que personne ne sache que vous avez passé 45 minutes à lire des articles sur les pieuvres géantes du Pacifique.

Voilà, j'aurais pas parié dessus au départ... mais après avoir scrollé une bonne demi-heure, je dois avouer que c'est plutôt malin comme approche.

Amusez-vous bien !

  • ✇Korben
  • Offpunk - Le navigateur terminal qui déchire passe en version 3.0
    Un navigateur internet, vous voyez ce que c'est ? En général, ça pèse un âne mort, ça bouffe toute votre RAM et les sites que vous visitez vous bombardent de trackers et de pubs avant même que vous ayez pu lire la première ligne d'un article. Mais imaginez maintenant un outil qui se fout royalement du JavaScript, qui limite drastiquement le tracking et qui vous permet de lire vos contenus préférés en restant tranquillement hors-ligne ? Ce serait bien non ? C'est là que Offpunk entre en scène. Dé

Offpunk - Le navigateur terminal qui déchire passe en version 3.0

Par : Korben
9 février 2026 à 16:05

Un navigateur internet, vous voyez ce que c'est ? En général, ça pèse un âne mort, ça bouffe toute votre RAM et les sites que vous visitez vous bombardent de trackers et de pubs avant même que vous ayez pu lire la première ligne d'un article. Mais imaginez maintenant un outil qui se fout royalement du JavaScript, qui limite drastiquement le tracking et qui vous permet de lire vos contenus préférés en restant tranquillement hors-ligne ? Ce serait bien non ?

C'est là que Offpunk entre en scène. Développé par l'ami Ploum, ce navigateur en ligne de commande vient de passer en version 3.0, et c'est du bon boulot.

Car Offpunk n'est pas juste un navigateur classique... En réalité c'est un outil de lecture "offline-first" qui contrairement à Carbonyl ou Browsh embarquent des moteurs complets pour le web moderne. Offpunk mise en fait sur l'extraction de contenu, du coup, vous synchronisez vos pages quand vous avez du réseau, et vous les lisez plus tard, sans distractions ni scripts qui ralentissent tout.

Perso, j'adore cette approche qui remet le contenu au centre. Par exemple, même sans 4G dans le train, vous pouvez continuer à lire korben.info tranquillement.

Et cette version 3.0 apporte pas mal de nouveautés qui facilitent la vie. Déjà, l'outil est devenu multilingue et surtout, il intègre maintenant « unmerdify ». Comme son nom "françisé" l'indique, c'est une bibliothèque qui permet de nettoyer le HTML souvent bien crado des sites modernes pour n'en garder que l'essentiel.

Selon les sites, on se débarrasse alors d'une bonne partie des menus flottants et des overlays inutiles pour ne garder que le texte propre. Attention quand même, si vous tombez sur une page codée avec les pieds avec des scripts de 50 Mo partout, l'extraction peut parfois ramer une ou deux secondes... mais c'est le prix à payer pour la tranquillité.

Pour ceux qui se posent la question, Offpunk gère aussi les protocoles Gemini et Gopher, qui sont un peu les paradis perdus du web sans fioritures. Et si vous avez besoin de vous connecter à certains comptes abonnés demandant des cookies, y'a maintenant une commande pour importer vos fichiers cookies.txt directement. Il suffit de rajouter le chemin dans votre fichier de config ~/.offpunkrc et le tour est joué.

Un accès illimité au savoir dispo en ligne sans quitter la console, c'est beau non ! Sauf évidemment si votre terminal ne gère pas les couleurs... là, ça risque d'être un peu tristoune visuellement.

Le petit truc en plus qui tue c'est l'intégration qu'a fait Ploum de xkcdpunk pour lire vos BD XKCD préférées directement dans le terminal. Pas mal du tout pour s'occuper pendant les longs trajets en train sans Wi-Fi.

Vous pouvez l'installer via apt install offpunk ou pacman -S offpunk sur la plupart des distros, ou simplement cloner le dépôt Git et lancer le script avec python offpunk.py.

Pas besoin de compiler quoi que ce soit, on est entre gens civilisés ! J'ai galéré au début avec une vieille version de BeautifulSoup, mais en fait, une fois les dépendances à jour, c'est hyper stable.Bref, si vous saturez du web moderne et que vous voulez retrouver le plaisir de la lecture pure sans vous faire traquer par la moitié de la planète, allez tester ça. C'est léger, c'est intelligent et ça redonne un peu d'espoir dans l'avenir du terminal.

Source

  • ✇Korben
  • Lockdown Mode - La fonction d'Apple qui a mis le FBI en échec
    Le Lockdown Mode d'Apple, vous en avez déjà entendu parler non ? C'est cette fonctionnalité un peu planquée dans les réglages de votre iPhone qui permet de transformer votre téléphone en véritable forteresse. Et enfin, on vient d'avoir la preuve que ça marche pour de vrai. En effet, le FBI a perquisitionné le domicile d'une journaliste du Washington Post, Hannah Natanson, en janvier dernier. L'objectif c'était de récupérer ses appareils électroniques dans le cadre d'une enquête sur des fuites d'

Lockdown Mode - La fonction d'Apple qui a mis le FBI en échec

Par : Korben
6 février 2026 à 08:46

Le Lockdown Mode d'Apple, vous en avez déjà entendu parler non ? C'est cette fonctionnalité un peu planquée dans les réglages de votre iPhone qui permet de transformer votre téléphone en véritable forteresse. Et enfin, on vient d'avoir la preuve que ça marche pour de vrai.

En effet, le FBI a perquisitionné le domicile d'une journaliste du Washington Post, Hannah Natanson, en janvier dernier. L'objectif c'était de récupérer ses appareils électroniques dans le cadre d'une enquête sur des fuites d'informations classifiées. Les agents ont donc saisi entre autres un MacBook Pro, un iPhone, un enregistreur audio et un disque dur externe.

Sauf que voilà, l'iPhone était en mode isolement...

Du coup, le CART (l'équipe d'analyse forensique du FBI) s'est retrouvé comme des cons devant l'écran verrouillé. Et 2 semaines après la saisie, toujours rien. Impossible d'extraire la moindre donnée. D'habitude, avec un Cellebrite UFED Premium ou un GrayKey, c'est l'affaire de quelques heures... mais là, que dalle.

Et perso, ça me fait bien marrer.

Parce que pour ceux qui débarquent, ce mode isolement c'est un bouclier qu'Apple a conçu à la base pour protéger les utilisateurs ciblés par des spywares type Pegasus . Ça bloque la plupart des pièces jointes dans les messages, ça charge les pages web différemment et surtout, ça empêche toute connexion USB à un accessoire tant que l'appareil n'est pas déverrouillé. Et c'est justement ce dernier point qui est intéressant car les outils forensiques type GrayKey ou Cellebrite ont aussi besoin de se brancher physiquement au téléphone pour faire leur boulot.

Faut savoir que les mandats de perquisition autorisaient même les agents à appuyer les doigts de la journaliste sur ses appareils ou à les placer devant son visage pour les déverrouiller par biométrie. Sympa l'ambiance aux USA...

Et ça a d'ailleurs fonctionné sur son MacBook Pro. Pas de chance.

Mais l'iPhone, lui, a tenu bon. C'est assez rare d'avoir une confirmation aussi directe de l'efficacité de cette protection via un document judiciaire. D'habitude, on reste dans le flou total sur ce que les forces de l'ordre arrivent ou n'arrivent pas à cracker.

Voilà alors petit rappel pour ceux qui veulent blinder leur iPhone . Pour activer le mode isolement, c'est dans Réglages > Confidentialité et sécurité > Mode Isolement > Activer.

Attention quand même, votre iPhone va redémarrer et certaines fonctionnalités seront limitées (messages, navigation web, FaceTime avec des inconnus), donc c'est un peu handicapant au quotidien. Faudra choisir entre confort et blindage, y'a pas de magie. Mais si vous avez des trucs sensibles à protéger, le choix est vite fait. Combiné avec les protections d'iOS 18 qui font passer automatiquement votre iPhone en mode "Before First Unlock" après 72 heures d'inactivité, ça commence à faire une sacrée forteresse.

Bref, si vous êtes journaliste, activiste, ou juste un peu parano (aucun jugement), activez-le. Ça marche !

Source

  • ✇Korben
  • Firefox 148 - L'IA arrive, mais c'est vous le patron
    Vous vous souvenez quand je vous parlais du fameux kill switch IA de Firefox en décembre dernier ? Hé bien c'est désormais chose faite ! Mozilla vient d'annoncer que Firefox 148, qui sort le 24 février, embarquera une toute nouvelle section "Contrôles de l'IA" dans ses paramètres, entièrement dédiée aux contrôles de l'IA. Et perso, je suis RAVI. La nouvelle section Contrôles de l'IA dans Firefox 148 J'ai fouillé un peu dans les menus de la Nightly pour voir à quoi ça ressemble et c'est plutôt b

Firefox 148 - L'IA arrive, mais c'est vous le patron

Par : Korben
3 février 2026 à 11:33

Vous vous souvenez quand je vous parlais du fameux kill switch IA de Firefox en décembre dernier ? Hé bien c'est désormais chose faite ! Mozilla vient d'annoncer que Firefox 148, qui sort le 24 février, embarquera une toute nouvelle section "Contrôles de l'IA" dans ses paramètres, entièrement dédiée aux contrôles de l'IA.

Et perso, je suis RAVI.

La nouvelle section Contrôles de l'IA dans Firefox 148

J'ai fouillé un peu dans les menus de la Nightly pour voir à quoi ça ressemble et c'est plutôt bien fichu. Vous aurez accès à un panneau centralisé dans Paramètres > Contrôles de l'IA, qui vous permettra de gérer individuellement chaque fonctionnalité IA du navigateur. Traduction automatique, texte alternatif pour les PDF (top pour l'accessibilité), groupement d'onglets intelligent, prévisualisation de liens, tout ça avec de l'IA locale ... et même un chatbot (pas local) intégré dans la barre latérale. Du coup, chaque brique peut être activée ou désactivée selon vos envies ou votre religion ^^.

Mozilla a intégré le support de Claude (d'Anthropic), ChatGPT, Microsoft Copilot, Google Gemini et Mistral Le Chat. Cinq fournisseurs au choix, directement dans la sidebar depuis un petit moment déjà et j'avoue que je l'utilise pas mal (avec Claude) pour lire des résumés de pages trop longues (mon temps est précieux ^^) ou avoir des explications sur des trucs un peu trop compliqués pour mon petit cerveau.

La vraie feature cool c'est ce bouton magique. Y'a un switch global "Bloquer les améliorations ayant recours à l'IA" qui coupe TOUT d'un seul geste. Toutes les fonctions IA actuelles ET futures. Vos préférences sont conservées entre les mises à jour, ce qui veut dire que Mozilla ne viendra pas réactiver un truc en douce après un update. C'est ce que le nouveau PDG Anthony Enzor-DeMeo avait promis en décembre... et ils ont tenu parole, les bougres !

Attention quand même, y'a un piège pour les impatients : Toutes les fonctions IA sont désactivées par défaut. Faut donc aller les activer vous-même, une par une. Comme ça, pas de mauvaise surprise au premier lancement et pas d'hystériques colériques sur le dos de Mozilla. C'est un peu plus de clics pour ceux qui veulent TOUT activer, mais au moins personne pourra dire qu'on lui a forcé la main. Sauf que si vous êtes comme moi et que vous voulez tout tester d'un coup... bah va falloir être patient et cocher chaque case ^^.

C'est ça que j'adore chez Mozilla. Pendant que d'autres navigateurs vous imposent des fonctions IA sans rien demander (coucou les bulles Copilot dans Edge que vous pouvez même pas virer proprement...), Firefox continue de miser sur le choix de l'utilisateur. Comme je le dis depuis des années, l'important c'est d'avoir le choix . Vous voulez de l'IA partout ? Activez tout. Vous n'en voulez pas ? Un clic et c'est réglé. Pas de dark patterns, pas de menus cachés au fin fond des about:config.

Pour ceux qui ont suivi l'évolution de Firefox 142 avec l'IA locale et les LLM qui tournent directement sur votre machine, c'est la suite logique. Mozilla construit petit à petit un écosystème IA qui respecte la vie privée, et ça franchement... c'est tellement rare que ça mérite d'être dit.

Bref, la version est déjà dispo dans Firefox Nightly pour les plus impatients !

Source

  • ✇Korben
  • Urik – Le clavier Android qui ne balance rien sur Internet
    Vous avez déjà remarqué à quel point nos claviers Android sont devenus bavards ? Que ce soit Gboard ou SwiftKey , ils ont tous la fâcheuse tendance à vouloir "améliorer l'expérience utilisateur" en envoyant vos habitudes de frappe sur des serveurs distants. Forcément, quand on sait que tout ce qu'on tape, des mots de passe aux messages privés, passe par cette petite interface, ça peut vite donner des sueurs froides niveau vie privée. Alors c'est exactement pour contrer cette tendance qu'un nouve

Urik – Le clavier Android qui ne balance rien sur Internet

Par : Korben
3 février 2026 à 10:40

Vous avez déjà remarqué à quel point nos claviers Android sont devenus bavards ? Que ce soit Gboard ou SwiftKey , ils ont tous la fâcheuse tendance à vouloir "améliorer l'expérience utilisateur" en envoyant vos habitudes de frappe sur des serveurs distants. Forcément, quand on sait que tout ce qu'on tape, des mots de passe aux messages privés, passe par cette petite interface, ça peut vite donner des sueurs froides niveau vie privée.

Alors c'est exactement pour contrer cette tendance qu'un nouveau projet open source vient de pointer le bout de son nez : Urik .

Pas de télémétrie dans ce clavier, et pour les plus paranos, sachez que le dictionnaire personnalisé et l'apprentissage des mots sont également stockés dans une base de données locale chiffrée avec SQLCipher. Vos frappes restent donc chez vous et nulle part ailleurs. On est dans la même philosophie que FUTO Voice Input , ce qui prouve qu'on peut avoir des outils intelligents sans pour autant sacrifier sa vie privée.

Côté technique, Urik n'est pas un clavier au rabais. Développé en Kotlin, sous licence GPL-3.0, il propose tout ce qu'on attend d'un outil moderne : la saisie par glissement (swipe), le contrôle du curseur via la barre d'espace et le support de dispositions alternatives comme le Dvorak, le Colemak ou le Workman.

Et pour la correction orthographique, il s'appuie sur l'algorithme SymSpell qui tourne lui aussi intégralement sur le téléphone. L'intelligence du truc permet d'ailleurs d'éviter de corriger bêtement les URLs ou les adresses email, ce qui évite pas mal de frustrations au quotidien.

Petite parenthèse, pour ceux qui ont besoin d'outils de protection supplémentaires sur mobile, n'hésitez pas aussi à jeter un œil à Oversec pour chiffrer vos communications.

Urik, de son côté, soigne aussi l'accessibilité avec un support complet de TalkBack et des thèmes à haut contraste conformes aux normes WCAG AA. L'application nécessite au minimum Android 8.0 et bien qu'elle soit encore officiellement en bêta, elle est déjà très stable pour un usage quotidien.

Alors oui, ça demande un petit temps d'adaptation quand on quitte les géants du secteur, mais le gain en sérénité est immédiat. Plus besoin de se demander si votre prochain message va finir dans une base de données publicitaire.

Sachez aussi que le projet est entièrement financé par sa communauté, ce qui garantit une certaine indépendance vis-à-vis des trackers habituels. Bref, si vous cherchez à reprendre le contrôle sur ce que vous saisissez, c'est clairement une alternative à tester d'urgence sur votre smartphone.

A télécharger ici sur le PlayStore !

Merci à Lorenper pour le partage !

  • ✇Korben
  • Emails jetables - Yopmail et les meilleures alternatives européennes
    Vous devez tester un service en ligne et là, PAF 🥲 formulaire d'inscription 🥲 Ouiiiin !!! Et bien sûr, même si vous pouvez remplir tous les champs avec un tas de conneries, forcement à un moment, ça vous demande votre email. Et là, impossible d'y échapper... Heureusement pour éviter ça, il existe des services d'emails jetables et je vous propose qu'ensemble qu'on fasse un petit point dessus parce que ça a beaucoup bougé ces dernières années.. Yopmail , c'est un peu le vétéran du domaine. J'suis

Emails jetables - Yopmail et les meilleures alternatives européennes

Par : Korben
2 février 2026 à 08:57

Vous devez tester un service en ligne et là, PAF 🥲 formulaire d'inscription 🥲 Ouiiiin !!!

Et bien sûr, même si vous pouvez remplir tous les champs avec un tas de conneries, forcement à un moment, ça vous demande votre email. Et là, impossible d'y échapper... Heureusement pour éviter ça, il existe des services d'emails jetables et je vous propose qu'ensemble qu'on fasse un petit point dessus parce que ça a beaucoup bougé ces dernières années..

Yopmail , c'est un peu le vétéran du domaine. J'suis certain que vous le connaissez par cœur car ce site tourne quand même depuis 2004 (22 ans au compteur ! Comme mon site en fait !) et le principe c'est que vous choisissez un nom au pif, genre " monpseudo@yopmail.com ", et hop, vous avez une boîte mail temporaire. Pas d'inscription, pas de mot de passe, rien. Les messages restent 8 jours puis disparaissent et le truc cool c'est qu'ils ajoutent un nouveau domaine tous les jours pour éviter les blacklists, du coup y'a moins de chances que votre adresse jetable soit refusée.

Sauf que Yopmail a une limitation importante... En effet, n'importe qui peut accéder à votre boîte si il en devine le nom. J'ai testé avec "test123@yopmail.com" et effectivement, on tombe sur les mails de dizaines d'autres personnes qui ont eu la même idée... pas ouf pour du confidentiel. Côté envoi de mails, c'est un peu plus nuancé : vous ne pouvez pas initier une conversation vers l'extérieur, mais vous pouvez répondre à un mail reçu d'une adresse externe, à condition que le message n'ait pas été identifié comme spam et que l'expéditeur soit authentifiable (merci Fred, le créateur de Yopmail, pour la précision !).

Pour ceux qui veulent du "privacy first" radical, y'a aussi MephistoMail qui ne garde aucun log. Attention par contre, l'inbox peut disparaître à tout moment sans prévenir. J'ai failli me faire avoir la première fois, j'ai fermé l'onglet avant de récupérer mon lien de confirmation et pouf, game over. Pensez donc à copier ce dont vous avez besoin AVANT de fermer.

Dans la catégorie "je veux juste une inbox vite fait", j'ai aussi croisé pas mal de services qui font le job pour récupérer un lien de confirmation ou un code OTP en 10 secondes chrono. TrashMail.de par exemple, c'est du mail jetable basique mais efficace. Byom.de est marrant également parce que c'est un peu en mode "catch-all" où vous inventez n'importe quelle adresse, vous la balancez au site qui vous demande un email, puis seulement ensuite vous allez lire ce qui est arrivé. Et si vous trouvez que le "10 minutes mail" c'est trop court, Muellmail.com joue justement la carte "10 min, c'est pas assez" sans vous prendre la tête.

Ah, et pour les devs / QA qui aiment automatiser des tests de signup (oui, je vous vois 😄), y'a aussi mail.tm qui propose des boîtes temporaires avec mot de passe, plus une API, et des services comme Temp-Mail qui ont carrément une API officielle pour tester des workflows email en boucle. Pratique quand vous devez valider "inscription -> email -> clic -> compte OK" sans y passer votre vie.

Et puis y'a une autre catégorie qui m'intéresse de plus en plus : les gestionnaires d'alias. J'ai d'abord hésité entre SimpleLogin et addy.io, mais j'ai fini par choisir Addy.io (anciennement AnonAddy) parce que c'est open source sous licence AGPL-3.0 et que vous pouvez l'héberger vous-même si vous êtes parano. Le principe c'est qu'au lieu d'avoir un mail jetable, vous créez des alias illimités qui redirigent vers votre vraie boîte. Si un alias se fait spammer, vous le désactivez en un clic sans toucher au reste. Y'a une version gratuite et des abonnements entre 1 et 3$/mois (Lite à 1$/mois, Pro à 3$/mois). Par contre attention, si vous self-hostez, faut quand même gérer un serveur mail et ça c'est pas une mince affaire...

Et du coup, si vous voulez le même délire qu'addy.io mais avec une autre approche, SimpleLogin est une très bonne option aussi puisque c'est open source, auto-hébergeable, et le gros plus c'est que vous pouvez répondre / envoyer depuis vos alias (Et ça c'est trop bien quand faut valider un truc ou parler à un support sans exposer votre vraie adresse). Bref, c'est le genre d'outil qui passe mieux que les domaines jetables quand un site commence à sortir la sulfateuse anti-temp-mail.

Et si vous êtes déjà chez un fournisseur mail orienté privacy, y'a des alternatives "pas jetables mais ultra pratiques". Je pense à Tuta par exemple permet d'avoir des alias (et même du catch-all sur domaine perso selon les offres). Migadu aussi est très cool dans le genre "j'ai mon domaine, je veux créer plein d'adresses/alias sans payer par boîte", et ils annoncent être une boite suisse avec des datacenters en France. C'est pas du "mail jetable", mais pour garder le contrôle sur le long terme, c'est une approche qui se défend.

Et pour les plus motivés (ou les plus masochistes 😅), y'a la voie du "je self-host tout" avec des stacks comme mailcow , Mailu ou docker-mailserver . Mais je vous le dis cash patate, monter son propre serveur mail, c'est la porte ouverte aux joies de SPF/DKIM/DMARC, de la réputation d'IP, des mails qui finissent en spam "parce que lol", et des heures à se demander pourquoi Outlook vous boude. Donc oui c'est souverain de votre village de ploucs, oui c'est stylé, oui c'est gratuit si votre temps vaut tripette, mais c'est pas un petit dimanche tranquille.

Côté souveraineté européenne, tout ce que je viens de vous présenter peut aider à limiter l'exposition aux joies du Cloud Act... mais attention, faut regarder au cas par cas où c'est hébergé et qui opère le service. Dans tous les cas, gardez en tête que certains sites comme Amazon ou PayPal bloquent carrément les domaines de mails jetables connus. Dans ce cas, les alias (surtout si vous avez votre propre domaine) passent généralement mieux parce que ça ressemble à une adresse "normale" qui redirige vers votre vraie boîte.

Bref, pour le quotidien Yopmail fera bien le taf (le gars sûr !), mais si vous voulez envoyer des mails, éviter les blacklistages (c'est comme ça qu'on dit ??), ou garder le contrôle sur vos alias à long terme, regardez du côté de TempMail, SimpleLogin ou addy.io.

Et si vous aimez bricoler et souffrir, vous savez ce qu'il vous reste à faire... 😈

  • ✇Korben
  • Startpage - Le moteur de recherche européen qui respecte VRAIMENT votre vie privée
    Avec tout ce qui se passe en ce moment côté souveraineté numérique, je me suis dit qu'il était temps de vous parler d'une alternative à Google que beaucoup ignorent encore. En plus, j'ai passé pas mal de temps dessus ces dernières semaines, histoire de voir si ça tenait la route, alors il est temps de partager ça avec vous. Startpage, c'est un moteur de recherche basé à Zeist aux Pays-Bas qui existe depuis 2006 et qui a une approche assez radicale : Vous donner les résultats de Google... sans qu

Startpage - Le moteur de recherche européen qui respecte VRAIMENT votre vie privée

Par : Korben
1 février 2026 à 15:25

Avec tout ce qui se passe en ce moment côté souveraineté numérique, je me suis dit qu'il était temps de vous parler d'une alternative à Google que beaucoup ignorent encore. En plus, j'ai passé pas mal de temps dessus ces dernières semaines, histoire de voir si ça tenait la route, alors il est temps de partager ça avec vous.

Startpage, c'est un moteur de recherche basé à Zeist aux Pays-Bas qui existe depuis 2006 et qui a une approche assez radicale : Vous donner les résultats de Google... sans que Google ne sache que vous existez.

Quand vous tapez une recherche sur Startpage, le moteur va interroger Google à votre place, récupérer les résultats, et vous les afficher. Sauf que votre IP, vos cookies, votre historique... Google n'en voit pas la couleur. C'est comme envoyer quelqu'un faire vos courses pour vous ^^.

Et là où ça devient vraiment intéressant dans le contexte actuel, c'est que Startpage est basé aux Pays-Bas. Du coup, il est soumis au RGPD et aux lois européennes sur la protection des données. Et SURTOUT PAS au Cloud Act américain qui permet aux autorités US de demander vos données même si elles sont stockées en Europe. C'est pas rien comme différence...

Bon, je dis pas que c'est parfait non plus hein. Rien ne l'est. Fin 2018, Privacy One Group, une filiale de System1 (société américaine spécialisée dans... la pub), a pris une participation majoritaire dans Startpage. L'annonce n'est tombée qu'en 2019, ce qui a fait tiquer pas mal de monde dans la communauté vie privée. PrivacyTools.io par exemple l'a même retiré de ses recommandations pendant un moment...

Mais depuis, Startpage a publié des clarifications... en fait selon eux, System1 n'a pas accès aux données de recherche, et la société reste opérée depuis les Pays-Bas avec des serveurs européens.

Côté fonctionnalités, y'a un truc que j'adore et que j'utilise quasi systématiquement depuis 3 semaines c'est le mode "Anonymous View". En fait quand vous cliquez sur un résultat de recherche, au lieu d'aller directement sur le site (qui peut alors tracker votre visite), Startpage peut ouvrir la page via un proxy. Le site que vous visitez ne voit alors que l'IP de Startpage et pas la vôtre. C'est un peu comme un proxy intégré pour chaque clic, qui bloque aussi les scripts de fingerprinting.

Pas mal non ?

D'ailleurs, niveau interface, c'est propre et sans fioritures. Y'a pas de doodles tout naze, pas de suggestions de recherche personnalisées, pas de "vous pourriez aussi aimer", pas d'Ads vers des sites frauduleux... Non, c'est comme à l'ancienne avec juste un bon vieux champ de recherche et des résultats. Ça nous change donc des pages d'accueil de Google qui sont devenues de véritables panneaux publicitaires et dans lesquelles on se perd assez vite.

Alors évidemment, y'a quelques inconvénients aussi... D'abord les résultats sont parfois un peu moins "personnalisés" que sur Google. Normal, vu qu'ils n'ont aucune idée de qui vous êtes, ils ne peuvent donc pas vous proposer le resto le plus proche de chez vous. Faudra donc parfois préciser "Paris", "Clermont-Ferrand" ou "France" dans vos recherches locales. J'ai galéré un peu au début avec ça, car on prend vite de mauvaises habitudes (merci la flemme) mais après j'ai découvert qu'on pouvait préciser ça dans les paramètres.

Et puis de temps en temps, Startpage peut avoir des ralentissements... les joies de l'intermédiation. Mais rien de rédhibitoire rassurez-vous !

Comparé à DuckDuckGo qui utilise principalement Bing comme source et qui est américain (bouuuuh, arrêtez de recommander cette bouze ^^), ou à Qwant qui galère un peu côté pertinence , Startpage offre un compromis intéressant. A savoir la qualité Google sans le tracking Google, et le tout hébergé en Europe.

Car oui avec tout ce qui se passe géopolitiquement en ce moment, je pense que c'est bien de changer un peu ses habitudes. Vous devriez essayer... Car entre les discussions sur le Cloud Act, les tensions transatlantiques sur les données personnelles, et les GAFAM américains qui aspirent nos données comme des Dyson sous amphét'... avoir une alternative européenne soumise au RGPD, c'est pas juste une question de principe. C'est une vraie question de souveraineté numérique. Les Pays-Bas, c'est pas parfait (aucun pays l'est), mais au moins c'est une juridiction où la CNIL locale a du mordant.

Maintenant pour l'utiliser, rien de sorcier. Vous allez sur startpage.com et vous pouvez même le configurer comme moteur par défaut dans votre navigateur. Attention par contre, sur certains navigateurs (Safari notamment), c'est un peu planqué dans les préférences. Y'a aussi une extension pour Firefox et Chrome si vous voulez. Et si vous voulez aller plus loin dans la protection de votre vie privée, combinez ça avec une extension qui gère vos cookies .

Et voilà, si vous en avez marre de voir des pubs ultra-ciblées qui semblent lire dans vos pensées, et d'offrir la moindre de vos requêtes aux américains, ce moteur de recherche néerlandais vaut vraiment le coup d'œil.

À découvrir ici !

  • ✇Korben
  • Tim Berners-Lee veut qu'on reprenne le contrôle d'Internet
    Tim Berners-Lee, le papa du Web, tape du poing sur la table . Dans cette interview accordée au Guardian aujourd'hui, il explique en gros qu'il est grand temps de "reprendre Internet" aux géants qui l'ont transformé en machine à fric. Il était temps que ça sorte ! Parce lui parle carrément d'une "bataille pour l'âme du web". Rien que ça ! Selon lui, le web actuel est devenu un truc "optimisé pour la méchanceté" et la surveillance de masse. Je ne peux pas le contredire sur la méchanceté et en effe

Tim Berners-Lee veut qu'on reprenne le contrôle d'Internet

Par : Korben
28 janvier 2026 à 23:09

Tim Berners-Lee, le papa du Web, tape du poing sur la table . Dans cette interview accordée au Guardian aujourd'hui, il explique en gros qu'il est grand temps de "reprendre Internet" aux géants qui l'ont transformé en machine à fric.

Il était temps que ça sorte !

Parce lui parle carrément d'une "bataille pour l'âme du web". Rien que ça ! Selon lui, le web actuel est devenu un truc "optimisé pour la méchanceté" et la surveillance de masse. Je ne peux pas le contredire sur la méchanceté et en effet, la centralisation excessive et le modèle actuel ont largement perverti sa vision d'origine.

Sa solution, vous en avez peut-être déjà entendu parler, c'est le projet Solid (porté notamment par sa startup Inrupt ) qui propose de stocker ses données dans des "pods" personnels. L'idée c'est de découpler les données des applications. Vous gardez vos infos dans votre pod (hébergé chez vous ou chez un fournisseur de confiance) et vous donnez accès aux apps au cas par cas. Comme ça on peut reprendre (un peu) le contrôle de notre vie en ligne.

Il s'inquiète aussi pour l'IA et réclame un "CERN de l'IA" pour éviter que la technologie ne nous échappe totalement. C'est mal barré ça je pense, même si je suis d'accord avec lui.

Perso en ce qui me concerne, j'ai jamais changé mon fusil d'épaule et vous le savez, puisque depuis toujours j'invite tout le monde dès que j'en ai l'occasion à créer son site, à créer son forum, à créer sa plateforme et à en finir avec ces conneries de plateformes centralisée.

Alors peut-être que ça ne marchera pas, ou peut-être que son appel sera entendu et que ça marchera. Mais en tout cas, si à un moment, vous voulez publier des trucs sur le web, essayez un tout petit peu d'héberger vos propres trucs vous-même. Attentio, je ne vous dis pas de monter un cluster Kubernetes dans votre salon (sauf si vous kiffez ça) ou de switcher en mode auto-hébergement pur et dur sur un Raspberry Pi (bien que ce soit très cool avec Yunohost )... Non, vous pouvez simplement prendre un hébergeur comme O2Switch par exemple. C'est pas très cher.

Je crois que quand on a une passion, on peut mettre un petit peu d'argent dedans pour se faire plaisir. Puis ça peut marcher dans l'autre sens aussi... À l'époque, moi je me souviens, il y avait un pote qui ouvrait son serveur pour qu'on puisse y mettre des pages web et ce genre de truc via un petit FTP. Donc ceux qui savent gérer des serveurs web, vous pouvez peut-être aussi envisager de créer un espace non pas accessible à la Terre entière, mais au moins accessible à vos amis, à des connaissances, gratuitement. Un truc un peu facile à utiliser, à l'ancienne...

Voilà, je trouverai ça vraiment cool que ça revienne un petit peu à la mode et que le web se repeuple. Qu'on sorte un peu des GAFAM et des algos toxiques...

Quelques pages statiques et c'est suffisant pour s'exprimer sans se prendre le chou avec la technique. J'en suis la preuve vivante ! Le site sur lequel vous êtes est 100% statique. On n'a pas besoin de monter une startup à chaque fois qu'on veut faire un site.

Je ne sais pas si les fournisseurs d'accès internet offrent toujours un petit bout d'espace web, mais si vous avez ça qui traîne, profitez-en aussi.

Bref, écoutez Papi Tim et Tonton Korben et ensemble, reprenons le contrôle, un serveur à la fois.

Source

  • ✇Korben
  • Johan Helsingius - L'homme qui planquait 700 000 vies secrètes dans sa cave
    Cet article fait partie de ma série spéciale hackers . Bonne lecture ! Imaginez un monde sans Google, sans Facebook, où pour se connecter, il faut débrancher le téléphone et écouter la symphonie stridente d'un modem 56k. Nous sommes en 1992... Quelque part à Helsinki, dans une cave mal ventilée, un ingénieur finlandais s'apprête à lancer un petit script Perl qui va faire trembler la planète entière. Johan Helsingius, ou "Julf" pour les intimes, vient de créer le premier grand service d'anonymat

Johan Helsingius - L'homme qui planquait 700 000 vies secrètes dans sa cave

Par : Korben
23 janvier 2026 à 10:00
Cet article fait partie de ma série spéciale hackers . Bonne lecture !

Imaginez un monde sans Google, sans Facebook, où pour se connecter, il faut débrancher le téléphone et écouter la symphonie stridente d'un modem 56k. Nous sommes en 1992... Quelque part à Helsinki, dans une cave mal ventilée, un ingénieur finlandais s'apprête à lancer un petit script Perl qui va faire trembler la planète entière. Johan Helsingius, ou "Julf" pour les intimes, vient de créer le premier grand service d'anonymat du Web : anon.penet.fi.

J'ai toujours eu une fascination pour ces pionniers qui ont bâti le Web avec trois bouts de ficelle et Julf est l'archétype du héros cypherpunk. Ce type, qui a étudié la musique avant de devenir un pilier du réseau, a notamment fondé EUnet Finlande, le premier FAI commercial du pays. Et tenez-vous bien, c'est lui qui a aussi aidé à tirer les premiers câbles pour connecter l'Union Soviétique à Internet. Rien que ça !

En 1992, alors qu'il traîne sur les newsgroups Usenet (l'ancêtre de Reddit ^^), une discussion éclate : doit-on obligatoirement signer ses messages de son vrai nom ? Pour Julf, c'est un "non" ferme et définitive, alors plutôt que de débattre pendant des heures, il fait ce que tout bon hacker fait et il code une solution. Il lance son serveur en octobre 1992 et c'est ce qu'on appelle un "remailer de type 0".

Concrètement, vous envoyez un mail à "pingouin@anon.penet.fi", le serveur efface votre nom et votre IP, vous attribue un pseudo genre "an1234" et transfère le message. Et voilà, le tour est joué !

Et la vraie révolution, c'est surtout que ça marchait dans les deux sens... Ainsi, si on répondait à "an1234", le serveur renvoyait le courrier dans votre vraie boîte. C'était la première fois qu'on pouvait avoir une conversation suivie tout en restant un fantôme.

Le genre de bécane qui faisait tourner le monde en 93

Le succès de son service a été immédiat et assez violent. En quelques mois, le petit serveur gérait plus de 10 000 messages par jour. Et au moment de sa fermeture, on comptait pas moins de 700 000 comptes enregistrés. C'est énorme pour l'époque ! On y trouvait des gens qui voulaient juste discuter tranquillement, mais aussi des victimes de violences conjugales, des groupes de soutien et des lanceurs d'alerte.

Perso, je trouve ça dingue quand on y repense. Et c'est là que les emmerdes arrivent car parmi les utilisateurs les plus actifs, on trouvait les critiques de l'Église de Scientologie. En 1995, la secte contre-attaque avec l'affaire "Miss Blood". Ils affirment qu'un utilisateur (identifié sous le pseudo "-AB-") a volé des fichiers secrets. Ils mettent alors Interpol et la police finlandaise dans la boucle et les flics débarquent chez Julf le geek juste parce qu'une secte américaine a fait son petit caprice.

source

Car oui, le système de Julf avait une faille mortelle : c'était un système centralisé. Pour que ça marche, le serveur devait garder une table de correspondance entre les vrais mails et les pseudos donc s'il donnait la base, il grillait 700 000 personnes. Julf a tenu bon et a négocié comme un chef, acceptant de ne révéler qu'une seule identité pour sauver toutes les autres. Mais la leçon était apprise : l'anonymat centralisé ne peut pas résister à la pression légale.

Comme si ça ne suffisait pas, la presse s'en est mêlée avec un article délirant de The Observer accusant le service d'héberger 90% de la pédopornographie mondiale. C'était techniquement impossible car le serveur avait une limite de 16 Ko par message, pile de quoi bloquer les images binaires de l'époque mais le mal était fait.

source

Alors le 30 août 1996, Julf annonce la fermeture. Le service s'arrête définitivement en septembre, laissant un vide immense mais pavant la voie aux outils modernes comme Tor. D'ailleurs, si vous voulez creuser le sujet, j'avais publié un guide pour créer votre relais Tor ou encore comment utiliser Tor avec Thunderbird .

Et aujourd'hui, Julf continue de bosser dans la tech, mais son héritage le plus fort reste ces trois années folles. Alors la prochaine fois que vous utilisez un VPN ou Signal, ayez une petite pensée pour l'homme qui, seul avec son 486 dans une cave finlandaise, a offert un masque à des centaines de milliers de visages juste par principe.

Source

  • ✇Korben
  • TermsTooLong - L'outil qui note les CGU que vous ne lisez jamais
    Pour une fois dans votre vie, soyez honnêtes !! Je le sais, vous le savez, PERSONNE ne lit les conditions d'utilisation. On clique sur "J'accepte" comme des automates, et on file nos données personnelles sans même savoir ce qu'on signe. Perso, la dernière fois que j'ai lu des CGU en entier, c'était... celles de hotmail.com en 1996. Et c'est exactement pour ça que TermsTooLong existe. Ce site analyse et note les politiques de confidentialité et les termes de service de plus de 200 plateformes,

TermsTooLong - L'outil qui note les CGU que vous ne lisez jamais

Par : Korben
6 janvier 2026 à 11:39

Pour une fois dans votre vie, soyez honnêtes !! Je le sais, vous le savez, PERSONNE ne lit les conditions d'utilisation. On clique sur "J'accepte" comme des automates, et on file nos données personnelles sans même savoir ce qu'on signe. Perso, la dernière fois que j'ai lu des CGU en entier, c'était... celles de hotmail.com en 1996.

Et c'est exactement pour ça que TermsTooLong existe. Ce site analyse et note les politiques de confidentialité et les termes de service de plus de 200 plateformes, de Mozilla à TikTok en passant par Discord et Blizzard. Du coup, au lieu de vous farcir 47 pages de jargon juridique, vous avez une note claire de A- à F.

Et les résultats sont assez révélateurs. Dans le camp des bons élèves, on retrouve Mozilla avec 8.8/10 (note A-), Signal au même niveau, et DuckDuckGo avec 8.5/10. Ces services collectent un minimum de données et sont plutôt transparents sur leur utilisation.

Et puis y'a les cancres. Ubisoft se tape un magnifique 1.8/10 (note F), Blizzard n'est pas loin avec 2.0/10, et TikTok récolte un joli 2.8/10. Si vous vous demandiez pourquoi ces services sont gratuits, vous avez maintenant une partie de la réponse.

Le truc cool, c'est la méthodologie car le site utilise une analyse assistée par IA pour décortiquer chaque document. Il cherche les clauses problématiques telles que la collecte excessive de données, la partage avec des tiers, l'absence de suppression sur demande, ce genre de joyeusetés. Le tout est ensuite vérifié et noté sur des critères précis par des humains.

Y'a même une fonction de comparaison côte à côte. Vous hésitez entre deux services de cloud ? Hop, vous comparez leurs politiques de confidentialité en un clic. Pratique pour faire des choix éclairés sans perdre trois heures à décrypter du juridique.

Voilà, si le sujet de la protection des données personnelles vous intéresse, ce site est une vraie mine d'or. Au moins maintenant, vous saurez exactement ce que vous acceptez quand vous cliquez sur ce fichu bouton.

Source

  • ✇Korben
  • LiteTube - L'extension Firefox qui fait sauter les verrous de YouTube
    Si vous passez un temps de fou sur YouTube et que vous en avez marre de vous faire traiter comme un criminel par Google parce que vous utilisez un bloqueur de pubs, j'ai peut-être trouvé la parade. En effet, depuis fin 2023, Google a déclaré la guerre aux utilisateurs d'adblockers . Et quand je dis guerre, c'est pas une figure de style. Ils ont commencé d'abord avec des popups "veuillez désactiver votre bloqueur", puis les vidéos qui refusent de démarrer, et maintenant le pompon : des ralentisse

LiteTube - L'extension Firefox qui fait sauter les verrous de YouTube

Par : Korben
6 janvier 2026 à 11:19

Si vous passez un temps de fou sur YouTube et que vous en avez marre de vous faire traiter comme un criminel par Google parce que vous utilisez un bloqueur de pubs, j'ai peut-être trouvé la parade.

En effet, depuis fin 2023, Google a déclaré la guerre aux utilisateurs d'adblockers . Et quand je dis guerre, c'est pas une figure de style. Ils ont commencé d'abord avec des popups "veuillez désactiver votre bloqueur", puis les vidéos qui refusent de démarrer, et maintenant le pompon : des ralentissements artificiels qui transforment votre expérience en torture. Voilà pourquoi Youtube devient "malade" dès qu'il détecte que vous ne voulez pas vous taper 3 pubs de 30 secondes pour regarder une vidéo de 2 minutes.

Et le pire, c'est que Firefox semble particulièrement visé (oui c'est le navigateur que j'utilise, alors je souffre plus que vous, OK ? ^^). Alors si vous voulez embrouiller les sites qui vous trackent , y'a des solutions, mais pour YouTube c'est une autre histoire. Vous utilisez simplement un navigateur qui respecte votre vie privée et hop, 5 secondes de lag avant chaque vidéo. Sympa les zamerloques de youteub !

LiteTube AdFree - l'extension qui contourne les restrictions YouTube

Heureusement, j'ai trouvé LiteTube, une extension Firefox et Chrome qui prend le problème à la racine. Au lieu de se battre contre les systèmes de détection de YouTube (une bataille perdue d'avance vu les moyens de Google), LiteTube passe par l'interface web mobile de YouTube (m.youtube.com). Et là, c'est le jour et la nuit.

L'astuce est simple mais efficace, l'interface mobile est beaucoup plus légère et contient moins de scripts anti-adblock que la version desktop. Du coup, plus de ralentissements, plus de popups qui vous culpabilisent, et surtout plus de vidéos qui mettent 10 plombes à charger.

Mais LiteTube ne se contente pas de régler le problème de lag. L'extension embarque aussi :

  • SponsorBlock intégré : les passages sponsorisés dans les vidéos sont automatiquement zappés (merci la communauté)
  • Lecture en arrière-plan : fermez l'onglet, la vidéo continue de jouer (genre c'est pas une feature basique qu'on devrait tous avoir ?)
  • Forçage 4K : même si YouTube essaie de vous servir du 720p pour "économiser de la bande passante"
  • Codec H.264 : pour ceux qui ont des soucis avec le VP9 sur certaines configs

Je l'ai testé et ça marche trop bien. Plus aucun lag artificiel, les pubs passent à la trappe, et j'ai même récupéré la lecture en arrière-plan que YouTube réserve normalement aux abonnés Premium. Bref, que du bon !

L'extension est développée par une petite équipe, et compte peu d'utilisateurs, ce qui fait qu'elle passe sous le radar de Google. Pour l'instant...

Google finira probablement par trouver un moyen de bloquer aussi cette extension ou de consolider sa version mobile mais en attendant, autant en profiter !

Pour installer LiteTube, rendez-vous sur la page de l'extension sur le site des addons Mozilla ou chez Google Chrome . C'est gratuit, open source , et ça prend 30 secondes !

Source

  • ✇Korben
  • Organic Maps - Le GPS open source qui ne vous flique pas
    Vous utilisez Google Maps pour vos balades ou vos trajets en bagnole, comme tout le monde. Sauf que vous savez aussi bien que moi ce que ça implique... Google qui sait où vous êtes, où vous allez, à quelle heure vous bougez, et combien de temps vous passez chez votre nouvelle voisine (pas assez longtemps à son goût). Mais bonne nouvelle les amis, y'a une alternative qui existe depuis un moment et qui mérite vraiment qu'on s'y intéresse. Ça s'appelle Organic Maps et c'est exactement ce que son no

Organic Maps - Le GPS open source qui ne vous flique pas

Par : Korben
31 décembre 2025 à 16:08

Vous utilisez Google Maps pour vos balades ou vos trajets en bagnole, comme tout le monde. Sauf que vous savez aussi bien que moi ce que ça implique... Google qui sait où vous êtes, où vous allez, à quelle heure vous bougez, et combien de temps vous passez chez votre nouvelle voisine (pas assez longtemps à son goût).

Mais bonne nouvelle les amis, y'a une alternative qui existe depuis un moment et qui mérite vraiment qu'on s'y intéresse. Ça s'appelle Organic Maps et c'est exactement ce que son nom suggère : des cartes propres, sans pesticides publicitaires ni tracking chimique.

Le principe est simple. Vous téléchargez les cartes des régions qui vous intéressent, et ensuite vous pouvez naviguer en mode 100% offline. Pas besoin de réseau, pas de connexion data qui se vide à l'étranger, rien. Votre téléphone devient un vrai GPS autonome, comme au bon vieux temps des Tomtom, mais en mieux.

Côté vie privée, c'est le jour et la nuit avec les apps classiques. Zéro pub, zéro tracking et surtout l'app a été vérifiée par Exodus Privacy Project et TrackerControl, donc c'est pas juste du blabla marketing. Même pas besoin de créer un compte pour l'utiliser, vous installez et hop c'est parti.

Pour les randonneurs et cyclistes, c'est là que ça devient vraiment sympa puisqu'Organic Maps affiche les courbes de niveau, les profils d'élévation, les sentiers de rando et les pistes cyclables. Y'a même un mode navigation turn-by-turn avec guidage vocal, et depuis 2024 le support Android Auto est dispo pour l'utiliser en voiture.

Les cartes viennent d'OpenStreetMap, donc c'est collaboratif et parfois plus à jour que ce qu'on trouve chez Google, surtout pour les petits chemins et les POI un peu obscurs. Perso, j'ai déjà trouvé des trucs sur OSM qui n'existaient même pas sur Maps, genre des fontaines d'eau potable en pleine montagne ou des refuges paumés.

L'app est dispo sur iOS , Android (y compris sur F-Droid pour les allergiques au Play Store), et même sur Linux en Flatpak . C'est open source sous licence Apache 2.0, donc vous pouvez aller fouiller le code si ça vous chante. Le projet est financé par des dons et des fondations comme NLnet, et pas par la revente de vos données de localisation.

Après la recherche est moins puissante que Google Maps, ce qui est normal vu qu'ils ont pas des milliards à claquer en IA. Et les infos de trafic en temps réel, bah y'en a pas. Mais pour de la rando, du vélo, ou même des trajets quotidiens quand on connaît un peu le coin, c'est largement suffisant.

Bref, si vous en avez marre de sentir le regard de Google dans votre dos à chaque déplacement, ou si vous voulez juste une app GPS qui marche sans réseau, foncez sur Organic Maps . C'est gratuit, et ça fait le taf !

  • ✇Korben
  • 25 ans de fidélité Apple et paf, compte bloqué sans explication
    Edit du 22/12/2025 : Bonne nouvelle ! Le développeur a finalement récupéré son compte. Un employé d'Apple Executive Relations basé à Singapour l'a contacté pour lui annoncer que tout était réglé. Il s'avère que la carte cadeau qu'il avait essayé d'utiliser avait déjà été "consommée" d'une manière ou d'une autre (probablement du tampering classique de carte cadeau), et son compte s'est retrouvé flaggé à cause de ça. Apple lui a conseillé de n'acheter des cartes cadeaux que directement chez eux et

25 ans de fidélité Apple et paf, compte bloqué sans explication

Par : Korben
22 décembre 2025 à 12:31

Edit du 22/12/2025 : Bonne nouvelle ! Le développeur a finalement récupéré son compte. Un employé d'Apple Executive Relations basé à Singapour l'a contacté pour lui annoncer que tout était réglé. Il s'avère que la carte cadeau qu'il avait essayé d'utiliser avait déjà été "consommée" d'une manière ou d'une autre (probablement du tampering classique de carte cadeau), et son compte s'est retrouvé flaggé à cause de ça. Apple lui a conseillé de n'acheter des cartes cadeaux que directement chez eux et quand il a demandé si ça signifiait que leur chaîne d'approvisionnement (Blackhawk Network, InComm et autres revendeurs) était peu fiable, Apple a refusé de commenter. Comme quoi, même après 25 ans de fidélité, faut quand même gueuler un bon coup pour que ça bouge...


Vous vous souvenez de mes conseils sur les backups ? Ceux que je vous rabâche régulièrement depuis des années ? Hé bien voici une histoire qui va vous donner envie de les suivre une bonne fois pour toutes.

Dr Paris Buttfield-Addison, c'est un développeur Apple depuis 25 ans. Le mec a écrit plus de 20 bouquins sur Objective-C et Swift, il co-organise le plus ancien événement développeur Apple non-officiel... Bref, c'est pas un random qui a téléchargé une app météo une fois. C'est un évangéliste Apple depuis 30 ans.

Et bien du jour au lendemain, son compte Apple ID a été fermé. Sans explication. Sans recours. Sans rien.

L'élément déclencheur ? Il a essayé de racheter une carte cadeau Apple de 500 dollars pour payer son abonnement iCloud+ de 6 To. Le code a foiré, le vendeur lui a proposé un remplacement, et quelques temps après... boom, compte verrouillé.

Résultat : environ 30 000 dollars de matos Apple devenu inutilisable, des milliers de dollars de logiciels et médias achetés auxquels il n'a plus accès, plus d'iMessage, et surtout des téraoctets de photos de famille qu'il ne peut plus récupérer. 25 ans de souvenirs numériques, volatilisés.

Le support Apple ? Réponse standard : fermé pour "conformité avec les conditions". Pas d'explication. Zéro escalade possible. Et comme conseil : créer un nouveau compte. Sauf que ça pourrait aussi le faire bannir ce nouveau compte. Logique Apple...

Et le pompon ? On lui a également suggéré de se présenter physiquement au siège australien d'Apple. Comme si le mec allait prendre un billet d'avion pour aller plaider sa cause en personne. C'est difficilement compréhensible comme réponse venant d'une boîte qui vaut 3000 milliards de dollars.

Le truc, c'est que cette histoire peut arriver à n'importe qui. Que ce soit chez Apple, Google ou Microsoft, vous êtes à la merci d'un algorithme qui décide un beau matin que votre compte est suspect. Et bonne chance pour trouver un interlocuteur prêt à mouiller sa chemise pour vous. Spoiler : y'en a pas.

Moi-même j'ai eu tellement de problèmes de synchro avec iCloud au fil des années que j'ai perdu des fichiers. C'est de la merde, vraiment. Optez pour un truc mieux si vous le pouvez.

Du coup, comment éviter ça ? L'idéal c'est l'auto-hébergement si vous avez le temps et les compétences. Sinon, au minimum, faites des backups réguliers de vos données. Pour Apple Notes par exemple, y'a un outil qui s'appelle Exporter qui permet d'exporter toutes vos notes vers du Markdown ou du HTML. Comme ça le jour où Tim Cook décide que votre tronche lui revient pas, vous aurez au moins une copie de vos données quelque part.

Bref, ne faites jamais confiance à 100% à ces plateformes avec vos données les plus précieuses. Elles peuvent vous couper l'accès du jour au lendemain, et vous n'aurez aucun recours...

Source : hey.paris

  • ✇Korben
  • Tor CGO - Quand chaque attaque se transforme en auto-sabotage
    Bonne nouvelle, les amis, Tor vient d’implémenter CGO (Counter Galois Onion) ! Si ça ne vous dit rien, c’est normal, moi non plus je ne connaissais pas, mais je vais tout vous expliquer ! Jusqu’à maintenant, le réseau Tor protégeait votre anonymat avec du chiffrement en oignon. Plusieurs couches de crypto, une par relais et ça marche bien… sauf qu’il existe une technique vicieuse qu’on appelle les attaques par tagging. Le tagging c’est quand un attaquant modifie votre trafic chiffré à différents

Tor CGO - Quand chaque attaque se transforme en auto-sabotage

Par : Korben
25 novembre 2025 à 12:03

Bonne nouvelle, les amis, Tor vient d’implémenter CGO (Counter Galois Onion) !

Si ça ne vous dit rien, c’est normal, moi non plus je ne connaissais pas, mais je vais tout vous expliquer !

Jusqu’à maintenant, le réseau Tor protégeait votre anonymat avec du chiffrement en oignon. Plusieurs couches de crypto, une par relais et ça marche bien… sauf qu’il existe une technique vicieuse qu’on appelle les attaques par tagging.

Le tagging c’est quand un attaquant modifie votre trafic chiffré à différents endroits du réseau (genre en ajoutant un marqueur invisible dans certains noeuds), puis il observe ce qui sort de l’autre côté pour vous tracer. C’est comme quand vous collez un traceur GPS dans votre voiture, sauf que là c’est des bits dans du trafic chiffré.

Et de son côté, CGO fait encore mieux que de bloquer cette attaque. En effet, il transforme chaque attaque en auto-sabotage ! Si quelqu’un modifie ne serait-ce qu’un seul bit de votre trafic chiffré, tout le message devient illisible. Et pas seulement ce message… tous les messages futurs de la session deviennent du bruit blanc irrécupérable.

Avec ça en place, l’attaquant se tire une balle dans le pied à chaque tentative.

Derrière ce système, il y a 4 cryptographes qui ont bossé très dur : Jean Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam. Ils ont publié leur recherche cette année et ça a été implémenté dans Arti, la version Rust de Tor et l’implémentation C arrive bientôt.

Ce qui change tout, c’est le calcul risque/bénéfice pour les attaquants car avant, tenter de tracer quelqu’un avait peu de conséquences si ça échouait. Mais maintenant, tenter de tracer quelqu’un détruit définitivement votre capacité à surveiller cette personne. Et vous vous en doutez, les agences de surveillance détestent perdre leur accès… Elles préfèrent observer en silence plutôt que de tout casser dans une tentative maladroite. Du coup CGO les force à choisir. Soit rester invisibles, soit tout perdre.

Et puis il y a un autre aspect génial à cette techno, c’est le forward secrecy renforcé que ça engendre car à chaque message, CGO transforme les clés de chiffrement de façon irréversible. Même si un attaquant récupère vos clés actuelles, il ne peut pas déchiffrer les messages précédents car les clés précédentes ont été broyées et remplacées à chaque étape.

CGO remplace aussi l’ancien système d’authentification qui utilisait un digest de 4 bytes par un authenticateur de 16 bytes. C’est donc bien plus costaud et plus difficile à falsifier ainsi qu’à contourner.

Comme d’hab, Tor publie l’algorithme en open source donc vous pouvez vous plonger dans le code si ça vous amuse.

Cette implémentation de CGO est encore expérimentale pour le moment, mais une fois que cela aura été éprouvé par la communauté et testé pendant plusieurs mois, voire des années, ce sera déployé officiellement dans les futurs relais, puis dans les services onion de Tor.

Voilà donc comment Tor fait de chaque tentative de surveillance un auto-sabotage irréversible, et ça les amis, c’est un message qui devrait faire réfléchir pas mal de gens dans des bureaux sans fenêtres.

Source

  • ✇Korben
  • FBI vs Archive.is - Le site qui archive sa propre disparition
    Le 30 octobre, l’opérateur anonyme qui se cache derrière le site Archive.is a posté un truc sur X. Pas un long message, hein, mais juste le scan d’une assignation en justice envoyée par le FBI daté du jour même, accompagné d’un seul mot : “canary”. Si vous me lisez depuis longtemps, vous savez ce que ça veut dire. Un warrant canary , c’est une technique pour contourner les bâillons juridiques. Ainsi, quand une agence gouvernementale vous sert une assignation avec interdiction d’en parler, vous

FBI vs Archive.is - Le site qui archive sa propre disparition

Par : Korben
9 novembre 2025 à 11:07

Le 30 octobre, l’opérateur anonyme qui se cache derrière le site Archive.is a posté un truc sur X. Pas un long message, hein, mais juste le scan d’une assignation en justice envoyée par le FBI daté du jour même, accompagné d’un seul mot : “canary”.

Si vous me lisez depuis longtemps, vous savez ce que ça veut dire. Un warrant canary , c’est une technique pour contourner les bâillons juridiques. Ainsi, quand une agence gouvernementale vous sert une assignation avec interdiction d’en parler, vous ne pouvez pas dire “hey les copains, j’ai reçu une assignation”. Par contre, vous pouvez publier régulièrement “je n’ai reçu aucune assignation”. Et le jour où vous arrêtez de publier cette phrase, tout le monde comprend que le canari est mort.

Sauf que là, le canari n’est pas mort. Il chante fort en publiant directement l’assignation elle-même.

Le document demande à Tucows, le registrar canadien qui gère les domaines Archive.is, Archive.ph et Archive.today, de balancer toutes les infos sur leur client : nom, adresse, numéros de téléphone, logs de paiement, tout. Le FBI a jusqu’au 29 novembre pour obtenir ces données et bien sûr, le document précise : “Vous êtes prié de ne pas divulguer l’existence de ce subpoena indéfiniment, car toute divulgation pourrait interférer avec une enquête en cours.

Raté, lol.

Depuis 2012, le domaine archive.is est enregistré sous le nom de “Denis Petrov”, à Prague. Denis Petrov, si vous voulez, c’est un peu l’équivalent russe de Jean Dupont donc autant dire que c’est probablement pas son vrai nom. Et durant ces 13 dernières années, personne n’a réussi à identifier la vraie personne qui se cache derrière ce service utilisé par des millions de personnes chaque mois.

En 2025, maintenir un service web aussi gros en terme de visites, tout en restant complètement anonyme, c’est un exploit. Il faut des serveurs et il faut payer ces serveurs. Il faut gérer les DNS, les noms de domaine, les sauvegardes donc à chaque étape, il y a normalement une trace. Un paiement, une facture, une identité à vérifier. Et pourtant…

Archive.is, pour ceux qui ne l’utilisent pas, c’est un service d’archivage web à la demande. En gros, vous lui balancez une URL, et il vous crache un snapshot de la page. Un genre d’instantané figé dans le temps. C’est donc un peu différent de la Wayback Machine de l’Internet Archive qui crawle méthodiquement le web pour garder une trace longue durée. Archive.is, c’est du court terme, du rapide, du “j’ai besoin d’archiver cette page maintenant avant qu’elle disparaisse”.

Et les gens utilisent ce service pour plein de raisons. Par exemple, archiver un thread Twitter avant qu’il soit supprimé, sauvegarder un article avant qu’il soit modifié ou encore documenter une preuve. Mais là où il excelle c’est dans le contournement des paywalls.

Et c’est ce dernier point qui énerve l’industrie médiatique. En juillet de cette année, la News/Media Alliance a même réussi à faire fermer 12ft.io, un autre service de contournement de paywall. Le fondateur, Thomas Millar, avait créé son service pendant la pandémie après avoir constaté que, je cite, “8 des 10 premiers liens sur Google étaient derrière un paywall”. 12ft.io était hébergé chez un provider classique, avec un nom et une adresse… Il s’est pris une menace légale, et le service a du fermer.

Mais Archive.is, lui, résiste. Comment ? Hé bien parce qu’il n’y a personne à assigner. Pas de boîte. Pas de CEO. Y’a juste un fantôme qui paie ses factures et maintient les serveurs.

A titre perso, je comprends pourquoi les paywalls existent… Les médias doivent se financer et le journalisme de qualité coûte cher. Mais quelque part, je trouve ça quand même hyper triste humainement et professionnellement, d’enquêter, de prendre le temps d’écrire un super truc afin d’informer les gens, pour au final être lu uniquement par trois pelés et un tondu…

Mais bon, c’est pas vraiment ça qui intéresse le FBI.

Ce qui les dérange, c’est pas le paywall. C’est l’anonymat. Cette idée qu’on puisse opérer une infrastructure critique sur web sans identité vérifiable, ça ne passe plus. Les gouvernements veulent savoir qui fait quoi et cela même si c’est légal, même si c’est utile. L’anonymat est devenu une anomalie.

Et c’est là que le “canary” prend tout son sens car en publiant cette assignation, l’opérateur d’Archive.is fait deux choses. D’abord, il prévient tout le monde qu’il est dans le viseur mais il transforme aussi un document juridique confidentiel en acte de résistance publique. Le FBI voulait enquêter en silence et maintenant, tout Internet sait.

Le FBI chasse un archiviste, c’est à dire quelqu’un dont le métier est de faire des snapshots de ce qu’on trouve sur le web avant que ça ne disparaisse. Et là, il vient d’archiver sa propre disparition potentielle. Son message Twitter est déjà dans les archives d’Archive.is lui-même…

Tucows, de son côté, a confirmé qu’ils “respectent les procédures légales valides”, ce qui veut dire qu’ils vont probablement fournir les infos. Sauf que si l’opérateur d’Archive.is a réussi à rester anonyme pendant 13 ans, je doute qu’il ait laissé son vrai nom et son adresse perso dans les champs du registrar. Il a probablement utilisé des services d’anonymisation de domaine, des boîtes postales, des paiements en crypto. Bref, le FBI va peut-être obtenir des données, mais ça mènera probablement à un autre fantôme… On verra bien.

Quoiqu’il en soit, dans 10 ans, tous les services web devront avoir un humain identifiable et assignable en justice derrière. C’est le sens de la vie… et cette époque où on pouvait lancer un service en ligne sans donner son identité, c’est terminé. Archive.is est donc peut-être le dernier dinosaure de cette ère révolue où Internet était encore un peu sauvage, un peu anonyme, un peu libre…

Le canari chante. Mais pour combien de temps encore ? Ça personne ne sait…

Source .

  • ✇Korben
  • Redlib - Lire Reddit sans que Reddit vous lise
    Vous scrollez tranquillement r/rance à 2h du mat’ pour tuer le temps avant de dormir, vous lisez quelques posts, regardez des memes, rigolez sur un truc débile. Mais savez-vous que Reddit enregistre chaque post que vous lisez, chaque image que vous ouvrez, chaque seconde que vous passez sur chaque thread ? Et ça, ils le font même si vous n’avez pas de compte y compris si vous êtes en navigation privée. Bienvenue dans le monde merveilleux du tracking obligatoire ! Heureusement, pour lutter contre

Redlib - Lire Reddit sans que Reddit vous lise

Par : Korben
1 octobre 2025 à 09:00

Vous scrollez tranquillement r/rance à 2h du mat’ pour tuer le temps avant de dormir, vous lisez quelques posts, regardez des memes, rigolez sur un truc débile. Mais savez-vous que Reddit enregistre chaque post que vous lisez, chaque image que vous ouvrez, chaque seconde que vous passez sur chaque thread ? Et ça, ils le font même si vous n’avez pas de compte y compris si vous êtes en navigation privée.

Bienvenue dans le monde merveilleux du tracking obligatoire !

Heureusement, pour lutter contre ça, sans se priver de Reddit, il existe Redlib , un front-end alternatif open source, codé en Rust, qui va vous permettre de lire Reddit sans que Reddit ne sache que vous existiez. Pas d’inscription, pas de JavaScript, pas de pubs, pas de tracking. Vous remplacez juste “reddit.com” par “redlib.tiekoetter.com” dans l’URL et hop, vous avez le même contenu sans la surveillance.

D’ailleurs, petite histoire rapide pour comprendre pourquoi Redlib existe…

En 2023, Reddit a décidé de tuer toutes les apps tierces populaires comme Apollo ou BaconReader en rendant son API hors de prix. Le vrai objectif n’était pas de monétiser l’API, mais plutôt de forcer tout le monde à passer par leur app officielle bourrée de trackers et de pubs. À cette époque, il existait Libreddit, un projet similaire à Redlib qui permettait de lire Reddit en privé mais Reddit a commencé à imposer des rate limits agressifs qui ont tué Libreddit… Projet tragiquement décédé, fin de l’histoire…

Sauf que non. Un dev a décidé de ressusciter Libreddit sous un nouveau nom : Redlib. Et là, coup de génie technique, au lieu de se connecter normalement à l’API Reddit, Redlib utilise une technique appelée OAuth token spoofing.

En gros, Redlib se fait passer pour l’application officielle Android de Reddit. Il envoie les mêmes headers HTTP, utilise les mêmes tokens d’authentification, et imite le comportement de l’app officielle. Du coup, Reddit pense que c’est son app qui fait des requêtes, et laisse tout passer sans bloquer. Alors évidemment, la première question qui vous vient surement c’est : Est ce légal ??

Et bien comme pour toutes les bonnes choses de la vie, techniquement, on est dans une “zone grise”. Mais après éthiquement parlant, vous lisez du contenu public que les gens ont posté gratuitement sur une plateforme publique, donc j’imagine que pour le concepteur de Redlib, y’a pas mort d’homme.

Donc pour utiliser Redlib, vous avez donc cette instance publique redlib.tiekoetter.com qui vous permet de libérer n’importe quel lien Reddit. Mais pour les plus geeks d’entre vous, ceux qui sont à fond dans l’auto-hébergement parce qu’ils ont beaucoup de temps libre (lol), vous pouvez le mettre en place chez vous également avec Docker. Le repo GitHub explique tout, c’est assez rapide à mettre en place.

La différence avec l’expérience Reddit normale est d’ailleurs flagrante car sur reddit.com, vous êtes bombardé de popups “Install our app”, de bannières de cookies, de pubs…etc. Le site est lourd, lent, et essaie constamment de vous pousser vers l’app mobile alors qu’au contraire, sur Redlib, c’est du contenu pur et dur. Pas de JavaScript, pas de popups, juste les threads et les commentaires. Et c’est super rapide !! Même les images passent par le serveur Redlib, donc Reddit ne voit jamais votre IP quand vous chargez une photo.

Maintenant, faut quand même savoir que Reddit n’est pas content de cette situation. Ils essaient régulièrement de bloquer les instances Redlib en bannissant des adresses IP. C’est pour cela que certaines instances publiques rencontrent parfois des erreurs du style “Failed to parse page JSON data”, mais la communauté Redlib réagit en général très vite, change d’IP, ajuste les tokens OAuth, et le service repart.

Bref, je vous conseille de tester, surtout si vous en avez marre de vous faire harceler par des messages vous incitant à installer l’app mobile.

Reddit, c’est bien mais Reddit sans surveillance, c’est mieux !

  • ✇Korben
  • TwitterViewer - L'outil pour espionner X sans donner un centime à Elon
    Vous vous souvenez de l’époque où on pouvait consulter Twitter sans avoir de compte ? Ah, c’était le bon temps mais depuis qu’ Elon Musk a instauré son login wall “temporaire” en juillet 2023 , impossible de jeter un œil à un profil ou un thread sans passer par la case inscription. Alors oui je sais, les réseaux sociaux avec Twitter en tête (pardon X), c’est devenu de la merde. L’effet de foule stupide & agressive y est devenu légion et c’est pourquoi j’ai arrêté d’y aller et de partager mes

TwitterViewer - L'outil pour espionner X sans donner un centime à Elon

Par : Korben
29 août 2025 à 09:43

Vous vous souvenez de l’époque où on pouvait consulter Twitter sans avoir de compte ? Ah, c’était le bon temps mais depuis qu’ Elon Musk a instauré son login wall “temporaire” en juillet 2023 , impossible de jeter un œil à un profil ou un thread sans passer par la case inscription.

Alors oui je sais, les réseaux sociaux avec Twitter en tête (pardon X), c’est devenu de la merde. L’effet de foule stupide & agressive y est devenu légion et c’est pourquoi j’ai arrêté d’y aller et de partager mes articles sur ces plateformes via mon compte @Korben . Mais faut reconnaître que sur certains comptes bien spécifiques qui se comptent sur les doigts d’une main, c’est quand même sympa pour la veille. Petite parenthèse, c’est d’ailleurs super dommage que ces gens qui font ce travail de veille la filent gratos à Elon Musk plutôt que de se faire un vrai site web, une newsletter ou un flux RSS. Bref, quelque chose qui leur appartient vraiment.

Heureusement, des développeurs malins ont créé des solutions pour contourner ce mur de connexion forcée. TwitterViewer en fait partie et c’est plutôt efficace. Le principe est simple puisque c’est un proxy qui se connecte à votre place et vous retransmet le contenu public des profils X. Vous entrez un nom d’utilisateur, et hop, vous avez accès à ses tweets, ses médias, et aux infos du profil, le tout de manière 100% anonyme.

Ça reste plus rapide que de créer un compte jetable à chaque fois qu’on veut vérifier un truc et le service se présente comme respectueux de la vie privée. Votre IP reste cachée, vos données de navigation ne sont pas collectées, et vous n’alimentez pas les algorithmes de X avec votre comportement.

Un compte bien vide… ^^

Mais TwitterViewer n’est pas seul sur ce créneau. Je pense par exemple à Nitter , une alternative open source historique déclarée morte en février 2024 qui a finalement ressuscité miraculeusement le 6 février dernier. Cette solution reste la plus complète si vous cherchez une interface épurée sans JavaScript ni trackers.

Il y a aussi Tweet Binder qui permet de suivre des hashtags et mots-clés sans compte, ce qui est pratique pour surveiller les tendances. Twillot propose également des extensions Chrome et des apps mobiles pour iOS et Android. Et si vous êtes vraiment désespéré, Google reste votre ami : tapez “site:x.com” suivi du nom d’utilisateur qui vous intéresse et vous aurez accès aux tweets indexés.

Musk avait quand même vendu son login wall comme une mesure d’urgence contre les scrapers de données mais au final, ces scrapers ont trouvé d’autres moyens d’accéder aux données, tandis que les utilisateurs lambda, eux, sont toujours bloqués. Même les développeurs tiers ont été éjectés avec l’augmentation délirante des prix de l’API, et maintenant on se retrouve avec un écosystème parallèle d’outils pour simplement consulter du contenu public.

Je trouve que TwitterViewer et ses alternatives représentent une sorte de résistance face à ce renfermement progressif des plateformes sociales. Et surtout, pourquoi est ce qu’on devrait se créer un compte sur ce site de nazⁱe juste pour lire un fois ou deux des tweets publics ?

  • ✇Korben
  • Torserv - Le serveur web anonyme qui fait tout le boulot
    Vos serveurs web classiques, les censeurs les trouvent en 3 clics. Même avec un VPN foireux, même caché derrière CloudFlare, même en priant très fort, alors imaginez que vous voulez publier un truc sur le web sans que personne ne puisse remonter jusqu’à vous ? Et bien en fait c’est hyper simple avec torserv qui lance automatiquement votre site comme service caché Tor. Il s’agit d’un serveur web statique durci qui intègre nativement Tor. Pas de base de données MySQL qui traîne, pas de PHP qui fui

Torserv - Le serveur web anonyme qui fait tout le boulot

Par : Korben
18 juin 2025 à 06:25

Vos serveurs web classiques, les censeurs les trouvent en 3 clics. Même avec un VPN foireux, même caché derrière CloudFlare, même en priant très fort, alors imaginez que vous voulez publier un truc sur le web sans que personne ne puisse remonter jusqu’à vous ? Et bien en fait c’est hyper simple avec torserv qui lance automatiquement votre site comme service caché Tor.

Il s’agit d’un serveur web statique durci qui intègre nativement Tor. Pas de base de données MySQL qui traîne, pas de PHP qui fuite, juste vos fichiers HTML, CSS et JavaScript servis proprement. Le truc génial, c’est la configuration zéro. Vous lancez le binaire et hop, votre site devient accessible via une adresse .onion automatiquement générée.

  • ✇Korben
  • Surveillance et anonymat – la CJUE chamboule la donne
    Vous connaissez tous notre amie Hadopi, cette bonne vieille haute autorité qui veille au grain sur les internets français pour protéger les pauvres ayants droits en coupant la connexion des vilains pirates que vous êtes ? Et bien figurez-vous que ces joyeux drilles viennent de se voir offrir un joli cadeau par la Cour de justice de l’Union européenne (CJUE). Anéfé, la Cour vient de rendre un arrêt le 30 avril 2024 qui inverse sa précédente jurisprudence sur la question de l’accès aux d

Surveillance et anonymat – la CJUE chamboule la donne

Par : Korben
30 avril 2024 à 12:45

Vous connaissez tous notre amie Hadopi, cette bonne vieille haute autorité qui veille au grain sur les internets français pour protéger les pauvres ayants droits en coupant la connexion des vilains pirates que vous êtes ?

Et bien figurez-vous que ces joyeux drilles viennent de se voir offrir un joli cadeau par la Cour de justice de l’Union européenne (CJUE).

Anéfé, la Cour vient de rendre un arrêt le 30 avril 2024 qui inverse sa précédente jurisprudence sur la question de l’accès aux données personnelles des internautes, et notamment aux fameuses adresses IP.

Avant, c’était motus et bouche cousue, seuls les cas de criminalité grave pouvaient justifier qu’on aille fouiner dans ces données sensibles. Mais maintenant, la CJUE autorise, sous certaines conditions, l’accès massif et automatisé à l’adresse IP associée à l’identité civile et au contenu d’une communication, sans contrôle préalable systématique par un juge ou une autorité administrative indépendante. C’est une sérieuse entaille dans le mur de la vie privée en ligne.

Hadopi est aux anges, forcément. Elle va pouvoir traquer plus facilement les vilains pirates, même si un contrôle judiciaire reste nécessaire dans certains cas. Un petit coup de fil aux FAI, et hop, voilà toutes les infos perso sur qui télécharge quoi.

Big Brother is watching you, comme dirait l’autre.

Alors OK, officiellement, c’est pour la « bonne » cause, lutter contre le piratage, tout ça mais on sait bien comment ça marche. Aujourd’hui, on autorise l’accès à votre nom, prénom et le contenu qui enfreint la loi, et demain, ce sera d’autres infos plus sensibles. D’autant que la CJUE dit aussi que bon, si les États ne jouent pas le jeu et n’appliquent pas ses décisions, elle finira par céder. C’est un peu con pour une institution censée faire respecter le droit.

Bref, c’est un coup dur pour l’anonymat en ligne, même s’il ne disparaît pas totalement. Ça risque de faire tache d’huile. Les assoces comme La Quadrature du Net sont déjà sur le pied de guerre, mais le mal est fait. Va falloir croiser les doigts pour que ça ne donne pas trop d’idées à nos chers dirigeants…

En attendant, un conseil : soyez prudents. Évitez de trop en faire sur les réseaux P2P, chiffrez vos données, sécurisez vos connexions…etc. Et si vous voulez en savoir plus sur le sujet et soutenir ceux qui se battent, allez faire un tour sur le site de la Quadrature, c’est toujours instructif.

❌
❌