Avec iOS 26.5, Apple corrige enfin un manque que tout le monde signalait depuis l'arrivée du RCS sur iPhone : les messages échangés entre un iPhone et un Android n'étaient pas chiffrés.

Côté iPhone-vers-iPhone, les iMessage sont protégés de bout en bout depuis des années. Mais sitôt que la conversation passait par Android, la communication redevenait en clair, comme un bon vieux SMS. Plus pour longtemps.

Apple a travaillé avec la GSMA pour finaliser la version 3.0 de l'Universal Profile RCS, qui intègre le chiffrement de bout en bout en s'appuyant sur le protocole MLS (Messaging Layer Security). MLS, c'est ce qu'Apple, Google, Facebook et d'autres ont construit ensemble pour standardiser le chiffrement des messageries de groupe à l'échelle d'Internet.

Les RCS de l'iPhone vers Google Messages (et inversement) profitent maintenant directement de cette nouveauté, avec un petit cadenas dans la conversation pour vous le signaler.

Quelques contraintes quand même. Pour que le chiffrement marche, l'iPhone devra tourner sous iOS 26.5 ou plus récent, et l'Android doit être sur la dernière version de Google Messages. Surtout, l'opérateur télécom des deux côtés doit supporter cette mouture du RCS, ce qui n'est pas garanti partout dans le monde, et certains MVNO (les opérateurs sans réseau, type Sosh ou RED en France) traînent toujours sur les anciennes versions.

Le déploiement va donc se faire petit à petit. Sur le reste, plusieurs limitations de iMessage entre plateformes persistent : pas de message rappel, pas de réponse à un fil précis, pas de réactions emoji.

iOS 26.5 est en bêta depuis fin mars, en release candidate depuis cette semaine, et la sortie publique est attendue dans les jours qui viennent sans qu'Apple ait encore donné de date officielle. Le chiffrement RCS sera activé par défaut, avec un toggle dans les réglages de Messages pour le couper si vraiment vous voulez (ce qui n'a pas un grand sens, mais bon, vous faites ce que vous voulez de votre vie privée).

Bref, Apple boucle enfin la dernière brèche du RCS multiplateforme, presque deux ans après son intégration initiale.

Source : Ghacks

Je suis complètement passé à côté de ce truc jusqu'à ce que David (merci à lui !) m'envoie un petit message pour me dire : "Hé Korben, t'as vu Anytype ? C'est comme Notion mais en mieux". Du coup, j'ai testé et j'ai vraiment halluciné.

Si vous êtes du genre à noter tout ce qui vous passe par la tête dans Notion ou Evernote, vous connaissez le problème. Vos données sont hébergées on ne sait où, et le jour où la boite décide de changer ses conditions d'utilisation ou de fermer boutique, vous êtes marron.

Hé bien Anytype, c'est la réponse à cette angoisse.

C'est une application open source, local-first et chiffrée de bout en bout qui permet de créer votre propre "internet personnel". En gros, tout ce que vous créez (notes, tâches, documents, tableaux) est stocké localement sur votre machine. Pas de cloud obscur, pas de tracking, c'est votre disque dur, vos règles.

Leur point fort, c'est leur protocole AnySync car ça permet de synchroniser vos données entre vos appareils (ordi, téléphone, tablette) en peer-to-peer comme ça y'a pas besoin de serveur central. Vos appareils discutent directement entre eux, un peu comme si vous aviez votre propre réseau privé.

Au niveau de l'interface, on retrouve ce système de blocs qu'on aime bien chez la concurrence, mais avec une approche "objet". Dans AnyType comme chez Ikea, tout est un objet : une tâche, une personne, une note, un livre. Et vous pouvez lier tous ces objets entre eux pour créer un véritable graphe de connaissances tel un grand architecte de la matrice du dimanche).

Ce qui est cool aussi, c'est que l'équipe a déjà ajouté une fonction de publication web (vos pages peuvent devenir des pages publiques statiques) et propose une API côté desktop qui tourne en local. Elle travaille aussi sur l'intégration d'une IA locale . Parce que oui, avoir une IA qui vous aide à trier vos notes sans envoyer vos données à l'autre bout du monde, c'est quand même plus rassurant.

Si vous voulez aller encore plus loin, vous pouvez même héberger votre propre "noeud" de sauvegarde sur un serveur à la maison. D'ailleurs si vous aimez ce genre d'outils souverains, jetez un oeil à Local Deep Research pour vos recherches. Comme ça, vous avez une copie de secours chiffrée, accessible 24/7, sans dépendre de personne.

Bref, si vous cherchez une alternative souveraine pour gérer votre vie numérique, foncez voir ça. C'est gratuit jusqu'à 100 MB de stockage, c'est beau, et ça respecte votre vie privée. Que demande le peuple ?

Merci encore à David pour la découverte !

Source

Vous connaissez le concept de déni plausible appliqué aux mots de passe ? L'idée c'est que si quelqu'un chope votre coffre-fort de passwords et tente de le cracker en brute force, il va obtenir des résultats... mais jamais savoir si ce sont les bons. Niark niark !

Hé bien c'est exactement le principe de Mistikee , un gestionnaire de mots de passe développé par un dev indé français. Le truc qui le différencie de tout ce qu'on connait (Bitwarden, KeePass et compagnie), c'est que le mot de passe maitre n'est JAMAIS stocké. Du coup, peu importe ce que vous tapez comme mot de passe maitre, Mistikee va toujours vous donner une réponse. Sauf que seul le bon mot de passe maitre donnera la bonne réponse... les autres donneront des résultats tout aussi crédibles mais complètement faux.

Mistikee, le gestionnaire de mots de passe à déni plausible

En gros, un attaquant qui tente un brute force va se retrouver avec des milliers de réponses plausibles et aucun moyen de savoir laquelle est la bonne. Bon courage ! Comme si chaque clé ouvrait la serrure, mais donnait accès à une pièce différente (et y'a qu'une seule vraie pièce). Oui, comme dans Peacemaker ^^.

Côté technique, l'app régénère vos mots de passe à la volée à partir du mot de passe maitre via une dérivation cryptographique. Pas de base de données déchiffrable, pas de fichier .kdbx qu'on peut attaquer avec hashcat ou john.

Attention quand même : Faut choisir un mot de passe maitre SOLIDE, hein... parce que si vous mettez "1234", le déni plausible ne va pas faire de miracles. Et si vous oubliez votre vrai mot de passe maitre ? Terminé. Aucune récupération possible (c'est le revers de la médaille, forcément).

Les écrans de Mistikee sur mobile

L'outil est dispo sur Android, iOS, macOS et Windows et tout est stocké en local sur votre appareil avec une synchro chiffrée de bout en bout via le cloud si vous voulez utiliser plusieurs appareils. Par contre, pas d'extension navigateur pour le moment, faudra copier-coller à la main... c'est pas le plus pratique si vous avez 50 comptes sur lesquels vous connecter dans la journée. Et le modèle économique est honnête, c'est gratuit avec une option premium en paiement unique à 4,99 euros (pas d'abonnement, ça nous change des Dashlane et compagnie qui vous ponctionnent +40 balles par an).

Voilà j'ai fait le tour... Alors ça ne remplacera pas forcément votre gestionnaire habituel pour le quotidien, surtout si vous avez 200+ entrées avec des TOTP et tout le bazar. Mais faut voir ça plutôt un coffre-fort complémentaire pour vos secrets les plus sensibles, ceux où vous voulez vraiment cette couche de protection supplémentaire contre le brute force. Par exemple pour un journaliste ou un activiste qui traverse une frontière avec son laptop c'est pas rien.

Le Lockdown Mode d'Apple, vous en avez déjà entendu parler non ? C'est cette fonctionnalité un peu planquée dans les réglages de votre iPhone qui permet de transformer votre téléphone en véritable forteresse. Et enfin, on vient d'avoir la preuve que ça marche pour de vrai.

En effet, le FBI a perquisitionné le domicile d'une journaliste du Washington Post, Hannah Natanson, en janvier dernier. L'objectif c'était de récupérer ses appareils électroniques dans le cadre d'une enquête sur des fuites d'informations classifiées. Les agents ont donc saisi entre autres un MacBook Pro, un iPhone, un enregistreur audio et un disque dur externe.

Sauf que voilà, l'iPhone était en mode isolement...

Du coup, le CART (l'équipe d'analyse forensique du FBI) s'est retrouvé comme des cons devant l'écran verrouillé. Et 2 semaines après la saisie, toujours rien. Impossible d'extraire la moindre donnée. D'habitude, avec un Cellebrite UFED Premium ou un GrayKey, c'est l'affaire de quelques heures... mais là, que dalle.

Et perso, ça me fait bien marrer.

Parce que pour ceux qui débarquent, ce mode isolement c'est un bouclier qu'Apple a conçu à la base pour protéger les utilisateurs ciblés par des spywares type Pegasus . Ça bloque la plupart des pièces jointes dans les messages, ça charge les pages web différemment et surtout, ça empêche toute connexion USB à un accessoire tant que l'appareil n'est pas déverrouillé. Et c'est justement ce dernier point qui est intéressant car les outils forensiques type GrayKey ou Cellebrite ont aussi besoin de se brancher physiquement au téléphone pour faire leur boulot.

Faut savoir que les mandats de perquisition autorisaient même les agents à appuyer les doigts de la journaliste sur ses appareils ou à les placer devant son visage pour les déverrouiller par biométrie. Sympa l'ambiance aux USA...

Et ça a d'ailleurs fonctionné sur son MacBook Pro. Pas de chance.

Mais l'iPhone, lui, a tenu bon. C'est assez rare d'avoir une confirmation aussi directe de l'efficacité de cette protection via un document judiciaire. D'habitude, on reste dans le flou total sur ce que les forces de l'ordre arrivent ou n'arrivent pas à cracker.

Voilà alors petit rappel pour ceux qui veulent blinder leur iPhone . Pour activer le mode isolement, c'est dans Réglages > Confidentialité et sécurité > Mode Isolement > Activer.

Attention quand même, votre iPhone va redémarrer et certaines fonctionnalités seront limitées (messages, navigation web, FaceTime avec des inconnus), donc c'est un peu handicapant au quotidien. Faudra choisir entre confort et blindage, y'a pas de magie. Mais si vous avez des trucs sensibles à protéger, le choix est vite fait. Combiné avec les protections d'iOS 18 qui font passer automatiquement votre iPhone en mode "Before First Unlock" après 72 heures d'inactivité, ça commence à faire une sacrée forteresse.

Bref, si vous êtes journaliste, activiste, ou juste un peu parano (aucun jugement), activez-le. Ça marche !

Source

Si vous êtes du genre détendu, vous avez forcément un fichier texte quelque part dans votre ordi avec des bouts de code, des clés API, des mots de passe... le tout en clair dans un fichier avec un nom équivoque genre passwords.txt posé OKLM dans ~/Desktop/.

Alors bien sûr, on est nombreux à utiliser un gestionnaire de mots de passe classique pour éviter ça, mais en fait le souci c'est pas les mots de passe. C'est tous ces petits snippets qu'on copie-colle 15 fois par jour... des commandes Docker, des tokens temporaires, des regex que j'oublie à chaque fois. Bref, il nous manque un bidule entre le presse-papier et le coffre-fort.

Et c'est exactement ce que fait Sklad !! Cet outil est un gestionnaire de snippets chiffrés qui vit dans votre barre de tâches et auquel vous balancez tout ce que vous copiez-collez régulièrement. Ensuite, vous organisez ça dans des dossiers, et hop, un clic gauche sur l'icône de la barre de menu et ça copie directement le dernier snippet utilisé. C'est carrément mieux qu'un clipboard manager classique type CopyQ parce qu'il y a du chiffrement AES-256 avec dérivation Argon2, ce qui est plutôt rassurant pour stocker du token.

Du coup, tout reste en local sur votre machine et le fichier de données atterrit dans ~/Library/Application Support/sklad/ sur macOS (ou l'équivalent AppData sur Windows). Ainsi, en cas de vol de ce fichier, le gars qui l'a récupérer devra se débrouiller avec de l'AES-256... bon courage.

Côté raccourcis, y'a Cmd+K (ou Ctrl+K sur Windows/Linux) pour chercher dans vos snippets. Pratique pour retrouver vos commandes kubectl par exemple et si vous avez des snippets avec des caractères spéciaux (genre des backticks dans du code Markdown), j'ai remarqué que le copier-coller peut parfois foirer selon le terminal. iTerm2 s'en sort bien, mais sur le Terminal.app natif j'ai eu des soucis avec les guillemets échappés. Rien de dramatique, mais faut le savoir.

Y'a le thème sombre et le thème clair et l'app est dispo en binaires pré-compilés pour Windows (.msi), macOS (ARM et Intel en .dmg) et Linux (.deb et .AppImage). Notez que comme d'hab, au premier lancement sur macOS, faudra passer par Réglages > Confidentialité pour autoriser l'app... Apple oblige.

Sklad est encore un projet hyper jeune donc ça risque de bouger pas mal et surtout, ça ne remplace pas un KeePass ou un Bitwarden. Pourquoi ? Hé bien parce que c'est pas le même usage. Voyez plutôt Sklad comme votre tiroir à snippets chiffrés qui conviendra pour tout ce qui ne peut pas aller dans votre gestionnaire de mot de passe.

Bref, si ça vous tente, c'est par ici !

Merci à lorenper pour la découverte.

Vous avez déjà remarqué à quel point nos claviers Android sont devenus bavards ? Que ce soit Gboard ou SwiftKey , ils ont tous la fâcheuse tendance à vouloir "améliorer l'expérience utilisateur" en envoyant vos habitudes de frappe sur des serveurs distants. Forcément, quand on sait que tout ce qu'on tape, des mots de passe aux messages privés, passe par cette petite interface, ça peut vite donner des sueurs froides niveau vie privée.

Alors c'est exactement pour contrer cette tendance qu'un nouveau projet open source vient de pointer le bout de son nez : Urik .

Pas de télémétrie dans ce clavier, et pour les plus paranos, sachez que le dictionnaire personnalisé et l'apprentissage des mots sont également stockés dans une base de données locale chiffrée avec SQLCipher. Vos frappes restent donc chez vous et nulle part ailleurs. On est dans la même philosophie que FUTO Voice Input , ce qui prouve qu'on peut avoir des outils intelligents sans pour autant sacrifier sa vie privée.

Côté technique, Urik n'est pas un clavier au rabais. Développé en Kotlin, sous licence GPL-3.0, il propose tout ce qu'on attend d'un outil moderne : la saisie par glissement (swipe), le contrôle du curseur via la barre d'espace et le support de dispositions alternatives comme le Dvorak, le Colemak ou le Workman.

Et pour la correction orthographique, il s'appuie sur l'algorithme SymSpell qui tourne lui aussi intégralement sur le téléphone. L'intelligence du truc permet d'ailleurs d'éviter de corriger bêtement les URLs ou les adresses email, ce qui évite pas mal de frustrations au quotidien.

Petite parenthèse, pour ceux qui ont besoin d'outils de protection supplémentaires sur mobile, n'hésitez pas aussi à jeter un œil à Oversec pour chiffrer vos communications.

Urik, de son côté, soigne aussi l'accessibilité avec un support complet de TalkBack et des thèmes à haut contraste conformes aux normes WCAG AA. L'application nécessite au minimum Android 8.0 et bien qu'elle soit encore officiellement en bêta, elle est déjà très stable pour un usage quotidien.

Alors oui, ça demande un petit temps d'adaptation quand on quitte les géants du secteur, mais le gain en sérénité est immédiat. Plus besoin de se demander si votre prochain message va finir dans une base de données publicitaire.

Sachez aussi que le projet est entièrement financé par sa communauté, ce qui garantit une certaine indépendance vis-à-vis des trackers habituels. Bref, si vous cherchez à reprendre le contrôle sur ce que vous saisissez, c'est clairement une alternative à tester d'urgence sur votre smartphone.

A télécharger ici sur le PlayStore !

Merci à Lorenper pour le partage !

Il faut bien se rendre à l'évidence qu'une bonne partie des fuites de données en entreprise passent par des fichiers mal sécurisés. Par exemple ce fameux document Excel avec les salaires qui traîne sur le serveur depuis 2019, le ZIP envoyé via WeTransfer "parce que c'est plus simple", ou encore le dossier client partagé sur Google Drive avec le lien accessible à quiconque a l'URL.

Bref, c'est le Far West total en matière de sécurité et de confidentialité !

Maintenant si vous avez lu mon article sur LockPass (le gestionnaire de mots de passe certifié ANSSI), vous savez déjà que LockSelf fait les choses sérieusement. Et c'est pourquoi, aujourd'hui je vais vous présenter deux autres de leurs outils : LockTransfer pour les fichiers en transit, et LockFiles pour les fichiers au repos.

Le problème c'est que vos collègues et autres collaborateurs ne sont pas stupides. Tout ce qu'ils veulent, c'est bosser efficacement. Alors quand l'outil officiel de l'entreprise est une usine à gaz, ils se rabattent sur leur Dropbox perso, sur un WeTransfer, ou pire encore. C'est ce qu'on appelle le Shadow IT, et pour les RSSI c'est le cauchemar absolu.

Heureusement, LockTransfer règle tout ça en proposant un système d'envoi de fichiers chiffrés de bout en bout, avec un plugin Outlook/Office 365 qui s'intègre direct dans votre l'environnement de travail de vos collaborateurs. Comme ça, vous envoyez votre pièce jointe sensible, et elle part chiffrée avec une authentification forte vers le destinataire (2FA, PIN). Voilà, c'est aussi simple que ça, et surtout, y'a plus besoin de chercher des alternatives douteuses.

Au niveau de la sécurité, LockTransfer ne fait pas les choses à moitié et permet à la DSI de garder la main sur ce qui circule. Vous pouvez définir des restrictions globales pour toute la boite ou laisser de la souplesse par groupe d'utilisateurs. Ça va de la gestion des gros fichiers à la limitation du nombre de téléchargements, en passant par les dates d'expiration automatiques ou l'obligation de mettre un mot de passe. Et le plus important : tout est archivé (jusqu'à 10 ans si besoin) et tracé dans le dashboard. Vous savez donc exactement qui a partagé quoi, quand et avec qui. C'est indispensable pour la gouvernance et ça évite les mauvaises surprises.

Un autre gros point fort de LockTransfer, c'est les boîtes de dépôt. Vous pouvez créer un espace sécurisé pour que vos clients ou partenaires vous envoient des documents sans avoir besoin de créer un compte. Genre le cabinet comptable qui récupère les justificatifs de ses clients, ou le service RH qui collecte les pièces des candidats... Je pense que ça c'est une fonctionnalité qui doit manquer à beaucoup d'entreprise.

Mais parlons maintenant de LockFiles , qui est l'autre face de la médaille. C'est un coffre-fort numérique pour stocker vos fichiers sensibles tels que des contrats, des documents RH, des données stratégiques, et tout ce qui ne doit pas se balader n'importe où. Il y a bien évidemment un chiffrement AES-256, une gestion fine des droits d'accès, et une traçabilité détaillée de qui a accédé à quoi et quand.

D'ailleurs, en parlant de mauvaises surprises, LockFiles et LockTransfer sont aussi d'excellents alliés pour votre PCA/PRA (Plan de Continuité/Reprise d'Activité). Si votre SI se fait chiffrer par un ransomware, avoir vos documents critiques et vos procédures de crise hébergés dans un cloud privé sécurisé (et dans un outil certifié CSPN par l'ANSSI), ça vous sauve la vie. Vous gardez l'accès à l'essentiel pour redémarrer. Et si vos mails sont compromis, LockTransfer devient votre canal de secours chiffré pour communiquer avec l'ANSSI ou votre prestataire de réponse à incident. C'est aussi un très bon point pour votre conformité NIS2 ou DORA.

Mais maintenant revenons un peu à nos moutons... Pourquoi choisir LockSelf plutôt qu'un autre ?

Bon ben déjà, c'est 100% français. Un hébergement souverain chez Scaleway ou Outscale (ou on-premise si vous êtes parano), une certification ANSSI CSPN, ce qui n'est pas rien quand on parle de conformité NIS2 et DORA. Et il y a déjà plus de 3000 entreprises françaises qui utilisent leurs solutions, dont des noms prestigieux comme EY, SNCF, AP-HP ou France TV.

Et côté administration, ça s'intègrera très bien avec votre Active Directory, Microsoft Entra ID ou Okta. Et tous les logs peuvent partir vers votre SIEM pour les audits. Bref, c'est de l'or en barre pour les équipes sécu qui doivent prouver leur conformité.

Le pricing de LockSelf démarre à 3,10€ HT par utilisateur et par mois et rassurez-vous, si vous êtes tenté d'essayer, vous n'aurez pas de mauvaise surprise, car vous pouvez tester tout ça gratuitement durant 14 jours pour voir si ça colle à vos besoins.

À découvrir ici !

Vous vous souvenez de Moxie Marlinspike ?

Mais si, le créateur de Signal qui a, grosso modo, appris au monde entier ce qu'était le chiffrement de bout en bout accessible à tous.

Hé bien, le garçon est de retour et cette fois, il ne s'attaque pas à vos SMS, mais à vos conversations avec les Intelligences Artificielles.

Son nouveau projet s'appelle Confer et autant vous le dire tout de suite, c'est du lourd car son idée c'est de faire pour les chatbots IA ce que Signal a fait pour la messagerie instantanée. C'est-à-dire rendre le tout réellement privé, avec des garanties techniques tellement fortes que personne, ni lui, ni les hébergeurs, ni la police, ne puisse (en théorie) mettre le nez dans vos prompts.

Alors pour ceux d'entre vous qui se demandent "Quelle est la meilleure alternative privée à ChatGPT ?", vous tenez peut-être la réponse.

Car le problème avec les IA actuelles c'est que quand vous papotez avec ChatGPT, Gemini ou Claude, c'est un peu comme si vous confessiez tous vos secrets dans un mégaphone au milieu de la place publique. Ces modèles ont soif de données et Sam Altman d'OpenAI a lui-même souligné que les décisions de justice obligeant à conserver les logs (même supprimés) posaient un vrai problème, allant jusqu'à dire que même des sessions de psychothérapie pourraient ne pas rester privées.

Et c'est là que Confer change la donne.

Alors comment ça marche ? Hé bien Confer utilise une approche radicale puisque tout le backend (les serveurs, les modèles LLM) tourne dans ce qu'on appelle un TEE (Trusted Execution Environment). En gros, c'est une enclave sécurisée au niveau du processeur de la machine qui empêche même les administrateurs du serveur de voir ce qui s'y passe. Et pour prouver que c'est bien le bon code qui tourne, ils utilisent un système d'attestation distante .

Les données sont chiffrées avec des clés qui restent sur votre appareil et Confer utilise les Passkeys (WebAuthn) pour dériver un matériel de clé de 32 octets. Ainsi, la clé privée reste protégée sur votre machine (dans le stockage sécurisé type Secure Enclave ou TPM selon votre matos).

Du coup, quand vous envoyez un message à l'IA, le flux est conçu pour être :

1. Chiffré depuis chez vous.
2. Traité dans l'enclave sécurisée du serveur (TEE).
3. Déchiffré uniquement dans la mémoire volatile de l'enclave.
4. Rechiffré immédiatement pour la réponse.

C'est propre, c'est élégant, c'est du Moxie à 100% !

Bien sûr, Confer n'est pas le seul sur le créneau. J'ai vu passer des initiatives comme Venice (qui stocke tout en local) ou Lumo de Proton. Si vous utilisez déjà des outils comme OnionShare pour vos fichiers, cette approche "zéro trust" vous parlera forcément.

Mais la force de Confer, c'est l'expérience utilisateur car comme Signal à son époque, ça marche tout simplement. Suffit de 2 clics, une authentification biométrique, et boum, vous êtes connecté et vos historiques sont synchronisés entre vos appareils (de manière chiffrée, vérifiable via le log de transparence). En plus vous pouvez même importer votre contenu depuis ChatGPT.

L'outil est open source et le code auditable. De plus le support natif est dispo sur les dernières versions de macOS, iOS et Android. Je l'ai testé et ça répond vite et bien. Après je ne sais pas si c'est un LLM from scratch ou un modèle libre fine tuné. Et je n'ai pas fait assez de tests pour tenter de lui faire dire des choses qu'il n'a pas envie mais il a l'air pas pour le moment.

Pour l'utiliser sous Windows, il faudra passer par un authentificateur tiers pour le moment et pour Linux... une extension existe déjà pour faire le pont en attendant mieux. Par contre, c'est limité à 20 messages par jour et si vous en voulez plus, faudra passer au payant pour 35$ par mois. Mais on a rien sans rien. Après si vous vous inscrivez avec mon code KORBEN vous aurez 1 mois gratuit et moi aussi ^^

Bref, si vous cherchiez comment mettre un peu de vie privée dans vos délires avec l'IA, je vous invite grandement à jeter un œil à Confer. J'sais pas vous mais moi je trouve que ça fait du bien de voir des projets qui remettent un peu l'utilisateur aux commandes.

Source

Vous avez des dossiers sensibles que vous aimeriez chiffrer avant de les balancer sur un cloud ou un disque externe ? Ça tombe bien, je vous ai trouvé un petit outil en Rust qui va vous plaire.

Obsidenc , c'est son nom, est un utilitaire de chiffrement que son créateur qualifie de "paranoid-grade". Et après avoir jeté un œil au code source, je peux vous dire que c'est pas du marketing puisque ce truc archive votre répertoire en TAR et le chiffre avec XChaCha20-Poly1305, un algorithme AEAD moderne qui assure à la fois la confidentialité et l'intégrité de vos données.

Côté dérivation de clé, ça utilise Argon2id conforme à la RFC 9106. Pour les non-initiés, Argon2id c'est l'algo qui a gagné le Password Hashing Competition et qui est spécifiquement conçu pour résister aux attaques par GPU et circuits spécialisés (ASIC). L'outil adapte automatiquement les paramètres à votre machine en utilisant 85% de votre RAM disponible (entre 512 Mo minimum et 2 Go maximum) afin de rendre le brute-force astronomiquement coûteux. Et si vous avez moins de RAM dispo, il compense en augmentant le nombre d'itérations.

C'est du code Rust bien propre qui utilise les bibliothèques cryptographiques RustCrypto (bien auditées par la communauté) et le code implémente des bonnes pratiques de sécurité comme le memory locking (mlock sur Unix, VirtualLock sur Windows) pour éviter que vos clés se retrouvent dans le swap, et le zeroize pour effacer la mémoire sensible après utilisation.

Vous compilez ça avec cargo build --release, puis pour chiffrer un dossier :

obsidenc encrypt ~/mon-dossier ~/mon-dossier.oen

Pour déchiffrer :

obsidenc decrypt ~/mon-dossier.oen ~/mon-dossier-dechiffre

Le mot de passe doit faire minimum 20 caractères (pas de négociation possible, déso pas déso) et vous devez le confirmer deux fois. Vous pouvez aussi ajouter un fichier de clé en plus du mot de passe pour du 2FA old-school.

L'outil a aussi quelques protections défensives sympas. Par exemple, il refuse les symlinks (vecteur d'attaque classique), limite le nombre de fichiers à 1 million et la longueur des chemins à 4096 caractères pour éviter les zip bombs. Sur les systèmes Unix, il vérifie même que votre fichier de clé n'est pas lisible par tout le monde (chmod 600 obligatoire).

Cet outil part du principe qu'un attaquant peut avoir accès à votre fichier chiffré et dispose de temps illimité pour tenter de le casser, du coup, tout est conçu pour rendre l'attaque offline la plus douloureuse possible.

Bref, si vous cherchez un moyen de sauvegarder vos dossiers sensibles de manière vraiment sécurisée avant de les balancer sur un cloud ou un disque externe, obsidenc fait le taf et en plus c'est open source (MIT/Apache 2.0) !

J’ai découvert un truc qui m’a laissé sur le cul (c’est le cas de le dire). Kohler, le fabricant de sanitaires américain, vient de lancer Dekoda . Il s’agit d’une caméra à 599 dollars que vous collez sur le rebord de vos toilettes pour photographier vos beaux étrons. Je vous jure que je n’invente rien, allez voir le site !

Voici grosso merdo (oui, ça va être la thématique de cet article ^^) le pitch commercial : Analyser vos déjections avec de l’IA pour suivre votre santé intestinale. Tout un programme !

La caméra capture des images de vos joyeuses productions fécales après chaque passage, les envoie à une app iPhone (Android arrivera plus tard parce que bon, les utilisateurs Android peuvent bien attendre pour faire analyser leur merde), et l’intelligence artificielle vous dit si tout va bien au sein de vos entrailles. Le système se base sur l’échelle de Bristol, qui est une classification médicale qui note vos selles de 1 (crottes de bique) à 7 (diarrhée de compétition).

Et bon appétit !

Côté fonctionnalités, Dekoda peut détecter la présence de sang dans les urines ou les selles… ce qui effectivement peut indiquer des problèmes allant de l’infection au cancer. L’app suit également vos tendances sur la durée et vous alerte si quelque chose cloche. Le truc peut même analyser votre niveau d’hydratation en scrutant votre pipi.

Mais attention, le vrai problème n’est pas que cette caméra existe. Le problème c’est la sécurité de vos données intimes car Kohler affirme que tout est protégé par un “chiffrement de bout en bout” (E2E), sauf que quand on creuse un peu, c’est du pipeau. Un chercheur en sécurité a mis en évidence que ce fameux E2E… c’est juste du HTTPS classique. La “deuxième extrémité” du chiffrement, c’est Kohler lui-même qui peut déchiffrer vos photos de toilettes comme bon lui semble. Donc, l’argument commercial de chiffrement E2E est un mensonge.

Et ça va encore plus loin puisque dans les conditions d’utilisation, vous acceptez que vos données “dé-identifiées” servent à entraîner leurs algorithmes d’IA et soient potentiellement partagées avec des tiers pour “améliorer les produits et services”. En gros, quelque part dans un datacenter, vos cacas anonymisés servent à éduquer des modèles de machine learning gratuitement. Comme c’est romantique.

Et si un jour, il y a fist de données, euh pardon, fuite de données, le monde entier pourra associer ces jolies photos à votre nom, et en extraire de l’info médicale sensible qui pourrait intéresser votre assureur ou votre employeur.

Le dispositif se fixe sur la plupart des cuvettes sans outil, par contre si vous avez des toilettes noires ou foncées, ça risque de ne pas fonctionner car les capteurs ont besoin de réflexion lumineuse pour fonctionner.

Côté tarifs, en plus des 599 dollars pour l’appareil, il faut également prendre un abonnement entre 70 et 156 dollars par an pour l’analyse IA de votre caca.

Alors certes, surveiller sa santé intestinale c’est important et les changements dans les selles peuvent effectivement être des indicateurs précoces de problèmes de santé mais entre ça et installer une caméra connectée dans vos toilettes et que toute parte sur les serveurs d’une entreprise américaine avec un “chiffrement” bidon… y’a peut-être un juste milieu.

Genre, regarder vous-même comment ça se passe de temps en temps ?

Source

Marre de passer par WeTransfer ou Google Drive pour envoyer un fichier à quelqu’un ? Bah ouais, faut se créer des comptes, attendre que ça upload sur un serveur tiers, et puis est ce que vous savez ce qu’ils font réellement de vos données ?

Ça tombe bien alors car AltSendme est fait pour vous ! C’est un fork

C’est une application desktop open source (sous licence AGPL-3.0) qui permet d’envoyer des fichiers directement d’un ordi à un autre en peer-to-peer. Pas de serveur intermédiaire, pas de stockage cloud, pas de compte à avoir, vous déposez simple votre fichier sur l’app et celle-ci génère un code de partage (un “ticket”) que vous devez ensuite envoyer à votre destinataire par le moyen de votre choix (mail, SMS, chat, pigeon voyageur…), et le transfert se fait en direct !

Le truc cool avec AltSendme c’est que ça utilise, tout comme SendMe , la techno Iroh pour le networking P2P avec du QUIC + TLS 1.3 pour le chiffrement. Donc vos fichiers sont chiffrés de bout en bout et ne transitent jamais par un serveur tiers. Et si la connexion directe entre les deux machines n’est pas possible (becoz du NAT un peu capricieux), l’app fait du hole punching automatique et peut basculer sur un relais chiffré en fallback.

Côté performances, ça peut monter jusqu’à 4 Gbps en théorie ce qui est pas mal pour du P2P. Et si votre connexion saute en plein transfert, pas de panique les amis puisque les téléchargements peuvent reprendre là où ils en étaient.

L’application est dispo sur Windows, macOS et Linux et le code est sur GitHub . Y’a même une interopérabilité possible avec l’outil CLI sendme pour ceux qui préfèrent le terminal. Notez aussi que le dev accepte les dons via Buy Me a Coffee ou GitHub Sponsors si vous voulez soutenir le projet.

Bref, si vous cherchez une alternative à WeTransfer qui respecte votre vie privée et qui ne fait pas transiter vos fichiers par des vilains serveurs d’américains, AltSendme vaut le détour !

Merci à Lorenper pour la découverte !

Une grosse lacune de Signal sur iPhone c’est qu’il était impossible de sauvegarder proprement son historique de messages. Par exemple, si vous changiez de téléphone ou si vous deviez réinstaller l’app, pouf, tout disparaissait.

Hé bien maintenant c’est terminé puisqu’ils viennent de lancer les Secure Backups sur iOS avec la version 7.86.

Techniquement, rien de magique, c’est simplement une sauvegarde chiffrée de bout en bout de tous vos messages et médias, protégée par une clé de récupération de 64 caractères générée localement. Et comme cette clé n’est jamais partagée avec les serveurs de Signal, cela veut dire que personne (même pas Signal) ne peut lire ou restaurer vos données sans elle. Les fichiers médias sont même chiffrés deux fois et modifiés pour masquer leur taille. Bref, du costaud niveau sécu.

Maintenant côté pratique, y’a deux formules. La version gratuite vous permet de stocker jusqu’à 100 Mo de messages texte, plus les photos, vidéos et fichiers des 45 derniers jours. Et si ça vous suffit pas parce que vous êtes un salop de riche ^^, y’a une offre payante à 1,99$/mois qui débloque le stockage de tout votre historique de messages plus jusqu’à 100 Go de médias sans la limite des 45 jours.

C’est d’ailleurs la première fois que Signal propose un truc payant donc ça va encore whiner chez les radins, mais l’idée c’est de couvrir les coûts de stockage des gros fichiers médias sans passer par la pub ou la revente de données. Bref, c’est cohérent.

Maintenant, pour activer tout ça, c’est hyper simple ! Vous allez dans Réglages > Sauvegardes > Configurer > Activer les sauvegardes. Et voilà… L’app génèrera votre clé de récupération, vous choisissez votre formule, et c’est parti mon kiki.

Signal avait déjà lancé cette fonctionnalité sur Android en septembre dernier et pour la suite, ils prévoient d’étendre les sauvegardes sécurisées à l’application desktop et de permettre le transfert d’historique chiffré entre Android, iOS et desktop. Cool non ?

Bref, si vous utilisez Signal sur iPhone, mettez à jour et activez les sauvegardes parce que perdre des années de conversations et tous les contacts de votre cartel pour un changement de téléphone, c’est vraiment pas cool ^^.

Source

Vous vous souvenez de Chat Control ? Ce projet de règlement européen qui voulait scanner tous vos messages privés pour détecter des contenus pédocriminels ? J’en avais parlé à l’époque et je m’étais bien énervé dessus. Hé bien après plus de 3 ans de négociations, de votes ratés, de blocages par l’Allemagne , les Pays-Bas et l’Autriche… le Conseil de l’UE a enfin trouvé un accord.

Et devinez quoi ? Bah c’est du vent.

Le grand compromis trouvé ce 26 novembre c’est donc de rendre le scanning… (roulements de tambours)… volontaire ! Oui, oui, volontaire. Ainsi, au lieu d’obliger toutes les messageries à scanner vos conversations, on leur demande gentiment si elles veulent bien le faire et en parallèle, on prolonge indéfiniment l’exemption qui permet déjà aux plateformes de scanner volontairement sans violer les lois européennes sur la vie privée. Je rappelle quand même que exemption devait expirer en avril 2026… Hé bien là, elle devient permanente.

Alors oui, techniquement c’est moins pire que le projet initial, mais quand même 3 ans de réunions à se tripoter la nouille, à payer des salaires, à faire des notes de frais, à bailler aux corneilles et j’en passe, pour nous pondre un magnifique “Bon ben finalement on change rien, les entreprises font ce qu’elles veulent”, je trouve ça magistral !

Et le pire c’est que même ce compromis light fait tiquer les experts en vie privée car quelques jours avant l’accord, un groupe de scientifiques a envoyé une lettre ouverte prévenant que le texte “présente toujours des risques élevés pour la société” sans bénéfices clairs pour les enfants. Les associations de défense des droits numériques dénoncent en fait une ruse politique car le texte mentionne que seront bonnes “toutes les mesures appropriées d’atténuation des risques” ce qui est une formulation suffisamment vague pour permettre aux gouvernements de dire plus tard que le scanning est essentiel pour la sécurité.

D’ailleurs Signal avait prévenu que si le scanning devenait obligatoire, ils quitteraient le marché européen plutôt que de compromettre le chiffrement de leurs utilisateurs. Bon au final c’est pas arrivé, mais ça donne une idée de l’ambiance.

Voilà, maintenant le Conseil va négocier avec le Parlement européen et les trilogues (les négociations finales) sont prévus début 2026, donc on n’a pas fini d’en entendre parler.

Et voilà comment se passent 3 ans de cirque bureaucratique pour revenir au point de départ ^^.

Source

Bonne nouvelle, les amis, Tor vient d’implémenter CGO (Counter Galois Onion) !

Si ça ne vous dit rien, c’est normal, moi non plus je ne connaissais pas, mais je vais tout vous expliquer !

Jusqu’à maintenant, le réseau Tor protégeait votre anonymat avec du chiffrement en oignon. Plusieurs couches de crypto, une par relais et ça marche bien… sauf qu’il existe une technique vicieuse qu’on appelle les attaques par tagging.

Le tagging c’est quand un attaquant modifie votre trafic chiffré à différents endroits du réseau (genre en ajoutant un marqueur invisible dans certains noeuds), puis il observe ce qui sort de l’autre côté pour vous tracer. C’est comme quand vous collez un traceur GPS dans votre voiture, sauf que là c’est des bits dans du trafic chiffré.

Et de son côté, CGO fait encore mieux que de bloquer cette attaque. En effet, il transforme chaque attaque en auto-sabotage ! Si quelqu’un modifie ne serait-ce qu’un seul bit de votre trafic chiffré, tout le message devient illisible. Et pas seulement ce message… tous les messages futurs de la session deviennent du bruit blanc irrécupérable.

Avec ça en place, l’attaquant se tire une balle dans le pied à chaque tentative.

Derrière ce système, il y a 4 cryptographes qui ont bossé très dur : Jean Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam. Ils ont publié leur recherche cette année et ça a été implémenté dans Arti, la version Rust de Tor et l’implémentation C arrive bientôt.

Ce qui change tout, c’est le calcul risque/bénéfice pour les attaquants car avant, tenter de tracer quelqu’un avait peu de conséquences si ça échouait. Mais maintenant, tenter de tracer quelqu’un détruit définitivement votre capacité à surveiller cette personne. Et vous vous en doutez, les agences de surveillance détestent perdre leur accès… Elles préfèrent observer en silence plutôt que de tout casser dans une tentative maladroite. Du coup CGO les force à choisir. Soit rester invisibles, soit tout perdre.

Et puis il y a un autre aspect génial à cette techno, c’est le forward secrecy renforcé que ça engendre car à chaque message, CGO transforme les clés de chiffrement de façon irréversible. Même si un attaquant récupère vos clés actuelles, il ne peut pas déchiffrer les messages précédents car les clés précédentes ont été broyées et remplacées à chaque étape.

CGO remplace aussi l’ancien système d’authentification qui utilisait un digest de 4 bytes par un authenticateur de 16 bytes. C’est donc bien plus costaud et plus difficile à falsifier ainsi qu’à contourner.

Comme d’hab, Tor publie l’algorithme en open source donc vous pouvez vous plonger dans le code si ça vous amuse.

Cette implémentation de CGO est encore expérimentale pour le moment, mais une fois que cela aura été éprouvé par la communauté et testé pendant plusieurs mois, voire des années, ce sera déployé officiellement dans les futurs relais, puis dans les services onion de Tor.

Voilà donc comment Tor fait de chaque tentative de surveillance un auto-sabotage irréversible, et ça les amis, c’est un message qui devrait faire réfléchir pas mal de gens dans des bureaux sans fenêtres.

Source

Vous savez, ce script bash de backup que vous avez écrit en 2018 et que vous n’osez plus toucher ? Celui avec les 150 lignes de mysqldump + tar + gzip + aws s3 cp qui marche à moitié et que vous relancez manuellement quand il plante ?

Hé bien vous allez pouvoir le foutre à la poubelle parce que maintenant y’a GoBackup !

GoBackup c’est un binaire codé en Go qui remplace tous vos scripts de backup maison d’un coup. MySQL, PostgreSQL, MongoDB, Redis, peu importe. Local, FTP, S3, Google Cloud, Azure, peu importe. Vous installez, vous configurez un fichier YAML, et c’est fini.

Ensuite, vous n’aurez plus jamais besoin de retoucher à tout ce bordel.

Avant GoBackup y’avait backup/backup, une gem Ruby qui faisait exactement ce job avec de la sauvegarde automatique, multi-bases, multi-destinations et c’était bien. Sauf que Ruby c’est lourd et les dépendances Ruby c’est l’enfer. Du coup le projet est mort tout doucement. Heureusement, huacnlee, un dev chinois, en a eu marre alors il a tout réécrit en Go. Zéro dépendance externe et un seul binaire compilé (installable aussi avec Brew pour ceux qui sont sous macOS).

Vous pouvez l’installer comme ceci (vérifiez le script) :

curl -sSL https://gobackup.github.io/install | sh

Ou via homebrew comme ceci :

brew install gobackup

Avec GoBackup, vous définissez vos bases de données, vos fichiers à archiver, vos destinations de stockage, votre planning, tout dans un fichier YAML propre et ensuite le binaire gère tout : Compression, chiffrement, upload, rotation des backups, notifications si ça échoue…etc. Bref, tout ce que vous faisiez à la main avec vos scripts pourris.

Et GoBackup est pas juste un CLI (Interface en ligne de commande). C’est un CLI + un daemon + une Web UI + un scheduler. Comme ça vous lancez “gobackup start” et ça tourne en background.

Le daemon surveille alors le planning défini dans votre config et lance les backups automatiquement. Et l’interface web vous permet de voir l’état des backups, les logs, les erreurs.

Avec GoBackup, vous remplacez littéralement 5 outils en un : votre script bash + cron + un monitoring pourri + un truc pour lire les logs + l’interface d’admin que vous avez jamais eu le temps de faire.

Votre config ressemble à ça :

models:
 mon_app:
 compress:
 type: tgz
 databases:
 mon_mysql:
 type: mysql
 host: localhost
 database: ma_base
 username: user
 password: $MYSQL_PASSWORD
 storages:
 mon_s3:
 type: s3
 bucket: mes-backups
 region: eu-west-1
 access_key_id: $AWS_KEY
 secret_access_key: $AWS_SECRET
 schedule:
 every: 1day
 at: "04:05"

Et c’est tout. Avec ce fichier, GoBackup dump votre base MySQL tous les jours à 4h05, compresse en .tar.gz, chiffre si vous voulez, et upload sur S3. Et si ça échoue vous recevez une notif. Et si ça marche vous avez les logs comme ça, pas besoin de surveiller, ni de débugger à 3h du matin parce que le backup a planté et que vous avez perdu 6 mois de données.

Notez quand même que GoBackup fait du backup classique, et pas du backup incrémental intelligent à la Restic ou à la Borg donc si vous avez 500 GB de données à backup tous les jours vous allez peut-être préférer un outil plus sophistiqué mais pour 90% des cas d’usage sysadmin standard, GoBackup suffira largement.

Votre script bash dégeu a eu une belle vie, il peut maintenant partir à la retraite.

Vous en avez marre de WhatsApp, Telegram ou Discord qui lisent vos messages, stockent vos données et décident de qui peut parler à qui ? Ça tombe bien car il existe une alternative radicale qui vient de sortir en version 1.0.

Ça s’appelle Xeres , et contrairement à tout ce que vous utilisez aujourd’hui, ça ne passe par aucun serveur. Que dalle.

Il s’agit d’un vrai réseau Friend-to-Friend, c’est à dire que vous ne vous connectez qu’aux gens que vous connaissez vraiment. Pas de serveur central qui pourrait tomber, être saisi par le FBI ou décider de vendre vos conversations à des annonceurs. Juste vous et vos potes, en direct, chiffrés de bout en bout avec du PGP v4 et du RSA 3072 bits. Votre IP est uniquement visible par vos amis directs, et si vous voulez parler à un ami de votre ami, ça passe par des tunnels anonymes.

Le truc, c’est que Xeres est compatible avec Retroshare , ce vieux de la vieille du P2P décentralisé qui existe depuis des années. Donc si vous avez des potes qui utilisent déjà Retroshare 0.6.6 ou plus récent, vous pouvez vous connecter à eux sans problème. C’est un peu comme si Signal et BitTorrent avaient eu un enfant qui aurait grandi dans les années 90 en écoutant du punk et en lisant des manifestes crypto-anarchistes.

Mais alors comment ça marche techniquement, me direz-vous ? Et bien c’est simple. Vous installez Xeres sur votre machine (Windows, Linux, macOS, ou même Android), vous générez votre identité cryptographique, et vous échangez vos certificats avec vos amis. Pas de login, pas de mot de passe à retenir, pas de numéro de téléphone à fournir. Juste un échange de clés comme au bon vieux temps.

Une fois connecté, vous avez alors accès à tout un tas de services décentralisés. Du chat bien sûr, mais aussi des salons de discussion, des forums, du partage de fichiers, et même la possibilité de discuter avec des gens que vous ne connaissez pas directement via les fameux tunnels anonymes dont je vous parlais. C’est votre propre petit bout d’Internet privé avec vos amis, quoi.

Cette nouvelle release qui vient de sortir apporte pas mal d’améliorations . Meilleures perf avec Java, support macOS restauré, stickers dans les chats, alias de discussion, et même un système de mise à jour automatique sous Windows. Les versions précédentes avaient déjà ajouté un client Android pour se connecter à distance à votre instance qui tourne chez vous, du support pour les architectures ARM sous Linux, et plein d’autres trucs sympas.

D’ailleurs, parlons un peu de cette histoire de Friend-to-Friend (F2F) vs P2P classique. Dans un réseau P2P normal, tout le monde connaît l’IP de tout le monde. Pratique pour partager des fichiers, mais niveau anonymat et vie privée, c’est moyen. Dans un réseau F2F , vous ne voyez que vos contacts directs, et le reste du réseau vous est invisible. Ça limite un peu la portée, mais ça renforce énormément la sécurité et l’anonymat.

Xeres va même plus loin en supportant les transports via Tor et I2P en mode client. Donc si vous voulez vraiment rester anonyme, vous pouvez faire passer toutes vos connexions par ces réseaux. Ainsi vos amis directs ne verront même pas votre vraie IP. Oui, c’est pour les paranos, mais c’est top !

Maintenant pour l’installer, rendez-vous sur la page de téléchargement et choisissez la version qui correspond à votre système. Il y a des installeurs pour Windows, des paquets .deb pour Ubuntu, des images DMG pour macOS (Intel et Apple Silicon), et même une image Docker si vous voulez faire tourner ça sur un serveur en mode headless.

Toutes les releases sont signées avec une clé PGP, donc vous pouvez vérifier que personne n’a trafiqué le fichier que vous téléchargez. Donc prenez 30 secondes pour vérifier la signature, ça vaut le coup pour un logiciel de communication chiffré.

Et une fois installé, vous verrez, l’interface est plutôt moderne avec plusieurs thèmes au choix. Rien à voir avec les vieilles interfaces des logiciels P2P des années 2000. C’est propre, c’est réactif, et ça utilise JavaFX pour l’accélération matérielle. Oui, c’est du Java moderne qui ne fait pas ramer votre machine.

Le projet est disponible en open source sur GitHub sous licence GPL-3.0.

Bref, l’idée derrière Xeres, c’est de promouvoir la liberté d’expression en créant une alternative aux plateformes centralisées qui peuvent censurer, surveiller ou tout simplement disparaître du jour au lendemain. C’est un peu radical, mais vu l’état actuel de la centralisation du web, c’est pas plus mal d’avoir ce genre d’alternative.

Vous trouverez toute la documentation sur le site officiel , avec des guides de démarrage, des explications sur l’architecture, et des options de ligne de commande pour ceux qui veulent pousser le truc plus loin. Il y a même un mode client/serveur pour que votre instance tourne en permanence chez vous et que vous puissiez vous y connecter depuis votre téléphone Android.

Sympa non ?

On le sait tous, utiliser des services de cloud comme OneDrive ou Google Drive nous expose à une violation de notre vie privée par des organismes gouvernementaux mais aussi à de simples piratages, ransomwares et fuites de données qui pourraient rendre publics nos fichiers.

Alors, si vous voulez vraiment utiliser ce genre de services, il n’y a qu’un seul moyen de protéger efficacement ses données : Les chiffrer.

Et pour chiffrer ses données avant de les envoyer là-bas loin, dans les data centers, il existe un soft gratuit et open source baptisé Duplicati pour vous aider.

Duplicati est un outil pour Windows, macOS et Linux qui vous permet de programmer des sauvegardes chiffrées des répertoires de votre choix. La version 2.1 stable apporte une refonte complète avec une interface web moderne accessible depuis votre navigateur et le chiffrement se fait toujours en AES-256 (ou GNU Privacy Guard si vous préférez), garantissant que vos fichiers sont sécurisés localement avant même de quitter votre machine.

Le logiciel supporte une liste impressionnante de destinations : serveurs personnels (via SFTP/FTP/WebDAV), mais aussi Google Drive, Dropbox, OneDrive, Backblaze B2, Amazon S3, MEGA, Box, et bien d’autres. Vous pouvez même sauvegarder sur des disques locaux, clés USB ou partages SMB.

Le système de sauvegarde incrémentale est particulièrement efficace… Après une première sauvegarde complète, seules les modifications sont envoyées. Si vous modifiez un document de 2 Mo dans un dossier de 10 Go, seuls ces 2 Mo seront transférés lors de la prochaine sauvegarde. Économie en bande passante et en espace disque !!

Le planificateur intégré vous permet aussi d’automatiser complètement vos sauvegardes. Plus besoin d’y penser, Duplicati s’occupe de tout aux heures que vous avez définies. Un système de notification vous prévient même des mises à jour disponibles.

Attention cependant, y’a quelques points de vigilance comme la base de données qui peut parfois se corrompre en cas de coupure pendant une sauvegarde, et l’interface qui propose tellement d’options avancées qu’il vaut mieux se documenter avant de toucher aux paramètres complexes. Si vous cherchez des alternatives, Rclone, Restic, Macrium Reflect ou Veeam sont aussi des options solides selon vos besoins.

Pour l’installation, rendez-vous sur le GitHub officiel, téléchargez la version pour votre OS et lancez l’installation. La configuration initiale est simple. Vous créez une nouvelle sauvegarde, sélectionnez vos dossiers, choisissez votre destination cloud, définissez un mot de passe de chiffrement (à conserver précieusement !), et vous programmez la fréquence.

Je vous conseille quand même de commencez avec un petit dossier de test pour vous familiariser avec l’interface et SURTOUT, testez régulièrement la restauration de vos fichiers, car une sauvegarde qu’on ne peut pas restaurer ne sert à rien !

Voilà avec toutes les menaces qui pèsent sur nos données, une solution de sauvegarde chiffrée n’est plus une option. Duplicati reste une excellente solution gratuite et open source pour protéger efficacement vos fichiers dans le cloud.

Article publié initialement le 25/11/2014 et mis à jour le 05/08/2025.

Je viens de tomber sur un outil open source qui s’utilise sous la forme d’une web app et qui est plutôt cool puisqu’il permet de crypter des fichiers à l’aide de passkeys (clés d’accès) pour ensuite les partager.

Si je vous en parle, c’est parce que concernant le cryptage de fichiers, c’est toujours un peu compliqué. Soit c’est trop complexe avec des clés PGP et des commandes dans le terminal à n’en plus finir, soit trop léger avec des solutions cloud qui stockent vos données sur leurs serveurs sans qu’on sache forcement bien comment c’est CRYPTÉ.

Vous cherchez un moyen simple et efficace de sécuriser vos fichiers ?

Ça tombe bien, je vous ai déniché un petit outil bien pratique nommé File-Encryptor qui est un programme développé en Rust vous permettant de chiffrer et déchiffrer vos fichiers en un clin d’œil.

Ce programme utilise l’algorithme de chiffrement AES-GCM (Advanced Encryption Standard-Galois/Counter Mode), connu pour être très robuste, avec une clé de 256 bits. Le gros avantage de File-Encryptor, c’est qu’il supporte le chiffrement basé sur un mot de passe. Comme ça, pas besoin de vous trimballer une clé USB avec votre précieuse clé de chiffrement. Il vous suffit de choisir une phrase secrète, et hop, vos fichiers sont chiffrés en un rien de temps. Et si vous voulez rajouter une couche de sécurité supplémentaire, vous pouvez même ajouter des données d’authentification en bonus (comme votre mail par exemple).

Bref, si vous avez des documents sensibles à envoyer par email ou via une clé USB ou si vous voulez faire une sauvegarde bien sécurisée de vos précieux fichiers sur un cloud ou un disque dur externe, et bien un petit tour avec notre ami File-Encryptor et vous pouvez dormir sur vos deux oreilles.

Allez, assez parlé, je vous fais une petite démo pour que vous compreniez comment ça marche.

Première étape : générer une clé de chiffrement.

Ouvrez un terminal et tapez :

file-encryptor keygen > mykey.key

Vous pouvez aussi utiliser l’option -p ou --password pour générer une clé à partir d’un mot de passe de votre choix. Par exemple :

file-encryptor keygen -p "motdepasse123" > mykey.key

Notez bien que la clé AES256 générée est obtenue en hashant votre mot de passe avec l’algorithme SHA256. Bon à savoir !

Maintenant, passons au chiffrement proprement dit. Mettons que vous ayez un fichier texte nommé « secret.txt » à chiffrer. Rien de plus simple :

file-encryptor seal secret.txt < mykey.key > secret.encrypted

Et si vous voulez ajouter des données d’authentification, rajoutez l’option -a suivie d’une chaîne de caractères. Par exemple votre email :

file-encryptor seal secret.txt -a "james@bond.mi6" < mykey.key > secret.encrypted

Pour déchiffrer votre fichier, c’est tout aussi facile. Il vous suffit de taper :

file-encryptor open secret.encrypted < mykey.key > secret.decrypted.txt

Et n’oubliez pas de préciser les données d’authentification si vous en aviez utilisé lors du chiffrement :

file-encryptor open secret.encrypted -a "james@bond.mi6" < mykey.key > secret.decrypted.txt

Et voilà, le tour est joué ! Vous savez désormais comment chiffrer et déchiffrer des fichiers comme un pro avec File-Encryptor. Franchement, c’est pas sorcier et ça peut dépanner dans un tas de situations.

Cliquez ici pour mettre la main sur ce petit outil bien pratique. Et n’oubliez pas : la paranoïa est votre meilleure amie dans ce monde de brute (force) !

Vous en avez ras le bol que vos données personnelles se baladent à poil sur Internet, scrutées par les GAFAM et aspirées par la NSA ?

Alors PrivateBin est fait pour vous ! Cette alternative open source et respectueuse de la vie privée à Pastebin permet de partager du texte et des fichiers de façon ultra sécurisée. Lors de la création d’un paste, le contenu est chiffré directement dans votre navigateur en utilisant AES-256 et même les petits gars de PrivateBin ne peuvent pas mettre leur nez dans vos affaires. C’est ça qu’on appelle le « zero knowledge« , mes amis !

La clé de chiffrement est générée à partir du contenu lui-même et n’est jamais transmise au serveur. Seul le contenu chiffré est stocké. Ainsi, lorsqu’un utilisateur souhaite accéder au paste, il récupère le contenu chiffré et le déchiffre dans son navigateur.

Et l’outil ne fait pas les choses à moitié question sécurité. Il embarque des fonctionnalités de ouf comme le chiffrement des discussions, la protection par mot de passe, des options d’expiration du contenu, et même la possibilité de « burn after reading« . Côté utilisateur, rien de plus simple. Une interface toute bête, tu colles ton texte ou tes fichiers, tu personnalises les options de sécurité et de confidentialité, et bam, t’as un lien à partager. On peut même faire son 007 en scannant un QR code pour transférer direct le lien sur notre smartphone.

De plus, PrivateBin s’installe en deux coups de cuillère à pot grâce à son script d’installation et sa configuration sécurisée par défaut. Pas besoin de sortir de Saint-Cyr pour mettre en place son propre serveur privé et si vous êtes encore plus parano, vous pouvez même l’installer sur un serveur onion (Tor).

D’un point de vue plus technique, c’est écrit en PHP mais pas de panique, les développeurs ont optimisé le bouzin pour le rendre plus rapide et efficace. Ils ont même intégré un système de cache pour améliorer les performances. Et grâce à l’utilisation de bibliothèques éprouvées comme GnuPG pour le chiffrement et Twig pour le templating, le code est propre et maintenable.

Les pastes sont automatiquement supprimés après 30 jours par défaut (mais vous pouvez choisir une durée plus courte) et pour l’utiliser au mieux, il y a même un client CLI (en ligne de commande), qui vous permettra de créer et récupérer de la donnée via PrivateBin sans quitter votre terminal.

Alors, prêt à tester PrivateBin ?

Cryptr, c’est un script bash bien pratique qui va vous permettre de chiffrer et déchiffrer vos fichiers sensibles en deux temps trois mouvements, le tout proprement et avec une sécurité au top grâce à OpenSSL AES-256.

Si comme moi, vous avez tendance à stocker tout un tas de données confidentielles sur votre ordi (mots de passe, documents perso, photos compromettantes de votre dernière soirée déguisée…), vous savez à quel point c’est important de les protéger des regards indiscrets. Bon ok, on n’est pas tous paranos au point d’avoir peur que la NSA ou Gérald vienne fouiller dans nos fichiers, mais on n’est jamais trop prudent !

Avec ce truc, fini de vous prendre la tête avec des solutions de chiffrement compliquées à mettre en place. Il vous suffit de cloner le projet depuis le dépôt GitHub :

git clone https://github.com/nodesocket/cryptr.git

Ensuite, créez un lien symbolique vers le script cryptr.bash pour pouvoir l’utiliser facilement depuis n’importe où :

ln -s "$PWD"/cryptr/cryptr.bash /usr/local/bin/cryptr

Et voilà, vous êtes parés pour chiffrer vos petits secrets comme un pro ! La commande encrypt vous permet de chiffrer un fichier en lui ajoutant l’extension .aes, tandis que decrypt fait l’opération inverse.

➜ cryptr encrypt ./secret-file
enter aes-256-cbc encryption password:
Verifying - enter aes-256-cbc encryption password:
➜ ls -alh
-rw-r--r-- 1 user group 1.0G Oct 1 13:33 secret-file
-rw-r--r-- 1 user group 1.0G Oct 1 13:34 secret-file.aes

Vous pouvez même définir le mot de passe à utiliser via la variable d’environnement CRYPTR_PASSWORD pour automatiser le processus :

➜ CRYPTR_PASSWORD=motdepasse007 cryptr encrypt ./secret-file

Franchement, c’est tellement simple et efficace que même James Bond Raymonde peut en faire son outil préféré. Bref, si vous cherchez une solution de chiffrement simple et efficace pour protéger vos données sensibles, je vous recommande vraiment de tester Cryptr.

— Article en partenariat avec Arx One —

Arx One est une solution de sauvegarde permettant aux petites comme aux grandes entreprises de protéger les données de leur parc machines. Conçue et développée en France, cette suite complète d’outils permet de sauvegarder simplement et efficacement tous types de données, peu importe la machine où elles se trouvent.

L’outil s’appuie en premier lieu sur une console centrale. C’est elle qui permet de superviser et d’administrer l’ensemble machines et leur sauvegardes. À travers cette console d’administration, on peut définir, entre autres, les machines à rattacher, la politique de sauvegarde, les plannings, les points de restauration, etc.

Ensuite, il y a les agents qui ce sont de petits logiciels discrets, déployés sur les machines à sauvegarder (Windows, Linux, macOS…) qui sont alors capables de réaliser des sauvegardes selon les paramètres définis à distance dans la console. Les données sont évidemment dé-dupliquées et tout est chiffré à la source avant d’être envoyées vers le stockage distant.

La solution est particulièrement adaptée aux boites qui manipulent des données sensibles et qui doivent les sécuriser (données de santé, données financières…) car tout est stocké sur le sol français. C’est parfait aussi pour les sociétés qui doivent respecter des normes strictes en termes de sécurité et de conformité (ISO27001, HDS, RGPD…).

Arx One est très complet puisqu’il permet ainsi de sauvegarder des choses aussi diverses que :

• Des serveurs physiques Windows et Linux
• Des machines virtuelles Proxmox, Hyper-V
• Des postes de travail et ordinateurs portables Windows, macOS, Linux
• Des NAS Synology, QNAP
• Et également des applications telles que des bases de données (MySQL, HFSQL, SQL Server…etc.), des messageries Exchange / Microsoft 365, etc.

Ensuite, pour le stockage, Arx One offre 2 possibilités. Soit de la sauvegarde externalisée et dans ce cas là, les données sont stockées dans leur cloud sécurisé. Ce sont leurs propres serveurs situés dans des datacenters en France (Nantes et Lyon) ce qui permet d’offrir à leur client un cloud souverain, certifié ISO27001 et HDS (Hébergeur de Données de Santé).

Ou sinon, y’a aussi moyen d’opter pour la sauvegarde centralisée. et dans ce cas, les données sont stockées sur vos propres infrastructures de stockage et tout est géré par vous.

Quoiqu’il en soit, dans les 2 cas, vos données seront toujours sécurisées avec du chiffrement de bout en bout en AES256, de la déduplication, des mises à jour automatique, des tests d’intégrité, une conformité RGPD, et ainsi de suite.

Alors maintenant comment ça s’installe ? Et bien j’ai fait des tests et je vais vous parler de mon expérience. J’ai commencé par la console de gestion qui s’installer en 2 secondes sur n’importe quel Windows. C’est cette machine qui fait alors office de poste de gestion central.

Visuellement, ça fonctionne sur un principe d’onglet comme un navigateur. L’écran de bienvenue permet de visualiser d’un seul coup d’oeil l’ensemble du parc des « agents », les opérations de backup ou de restauration en cours et les problèmes éventuels, ainsi que la place restante sur les serveurs d’Arx One pour le stockage. À partir de là, on commence à administrer des comptes et leur appliquer des stratégies de sauvegarde (j’y reviendrai plus tard). L’idée c’est que pour chaque machine à sauvegarder, vous allez devoir créer un compte descendant. Ce sont des comptes qui sont rattachés à votre compte principal. 1 compte par agent et donc par machine.

Une fois tout ça crée, y’a plus qu’à installer les agents sur les machines. Cela peut se faire en récupérant un binaire pour Windows, macOS ou Linux sur le site de Arx One, ou en lançant quelques lignes de commande si vous voulez par exemple déployer ça sur un serveur ou sur un NAS. La documentation concernant les agents est ici.

Ensuite, y’a plus qu’à rattacher votre agent à la console en saisissant au moment de l’installation de l’agent, l’identifiant du compte descendant et son mot de passe créé pour l’occasion. Pensez à bien rafraîchir la console pour avoir les données à jour ensuite.

Après au niveau de l’usage, la console web offre une excellente supervision et cela en temps réel. On peut y voir tous les agents rattachés, les paramétrer, mais également afficher différents tableaux de bord qui permettent d’avoir une bonne vue d’ensemble de l’état des sauvegardes, de l’espace de stockage qu’il vous reste, des derniers points de restauration, mais également de voir les alertes (sauvegarde en erreur, espace disque faible…).

Et bien sûr, même si on ne le souhaite pas, à un moment, il faudra restaurer des données. Et bien encore une fois, tout peut se faire à distance via la console. Il suffira de sélectionner les fichiers à récupérer et d’indiquer à l’outil leur destination. La restauration sera alors lancée sur le poste ou le serveur distant.

Concernant les stratégies de sauvegarde, c’est peut-être la partie la plus barbue de l’outil puisque cela va nécessiter de lire la documentation, mais si vous êtes administrateur système, vous avez forcément l’habitude de ce genre de chose. En gros, c’est une série de clés et de valeurs que vous pouvez définir pour permettre à l’agent plus ou moins de choses comme l’accès à l’interface, la sauvegarde continue, la taille maximale des objets à sauvegarder, l’endroit où sera créé le cache local…etc.

Voici un exemple qui permet d’avoir une sauvegarde continue sur les documents, avec un délai de déclenchement à 60 secondes, une taille max de fichiers à sauvegarder de 50 MB sans éclater le quota de 10 GB autorisé :

Voilà pour le tour d’horizon… Arx One est donc un excellent choix pour vos sauvegardes qui a réussi à éviter le côté usine à gaz d’autres solutions concurrentes que j’ai pu tester par le passé. Ça se déploie facilement, et le fait que le sauvegarde puisse être externalisée chez eux (en France !), de manière chiffrée et sécurisée, ça élimine pour leurs clients, la problématique parfois épineuse de la gestion et de la sécurisation du stockage.

Si ça vous dit de tester Arx One, je vous invite à cliquer ici pour en savoir plus.

La FDN (French Data Network), cette association de héros du Net qui défend nos libertés numériques propose un VPN public en accès libre ! Oui, un accès VPN gratuit et accessible à tous, pour surfer sur la Toile en mode ninja.

Pour rappel, un VPN (Virtual Private Network), c’est comme le tunnel magique d’El Chapo, sauf que ça chiffre toutes vos données quand vous vous baladez sur Internet. Vos échanges étant chiffrés de bout en bout, même les vilains FAI qui voudraient mettre leur nez dans vos petites affaires en ligne ne verront que du charabia incompréhensible. Avec le VPN de la FDN, vous allez pouvoir semer les mouchards, contourner la censure et naviguer en toute tranquillité, même sur les réseaux publics craignos.

Pour en profiter, c’est super simple. Il vous suffit d’installer le client OpenVPN sur votre ordi, votre smartphone ou votre tablette. Ensuite, vous téléchargez la configuration du VPN de la FDN, et hop, vous voilà paré.

Le VPN public de la FDN utilise les serveurs de l’asso, et s’engage à respecter votre vie privée et à ne pas logger vos données. Ça rend bien service donc et en plus, c’est l’occasion de soutenir la FDN qui se bat au quotidien pour nos droits et libertés sur Internet en leur faisant un petit don ou en rejoignant l’association si vous pouvez.

Personnellement, je dis un grand merci à toute l’équipe de la FDN pour cette initiative géniale. Ça fait du bien de voir qu’on peut encore compter sur des assos comme ça pour défendre l’intérêt général.

Pour essayer ce VPN, foncez sur https://vpn-public.fdn.fr.

Source

Depuis maintenant plusieurs années, les utilisateurs de Windows ont la possibilité de sécuriser leurs données avec Bitlocker, l’outil de chiffrement de Microsoft. C’est hyper simple à mettre en place et les constructeurs l’ont adopté depuis longtemps en intégrant à leurs ordinateurs la fameuse puce TPM (Trusted Platform Module).

Ce qui permet à Bitlocker d’y stocker toutes les informations critiques relatives à la configuration de l’ordinateur, mais surtout la Master Key, c’est-à-dire la clé qui permet de déchiffrer tout le contenu.

C’est là qu’entre en scène le chercheur en sécurité StackSmashing qui a mis au point un moyen d’extraire physiquement cette clé à l’air d’un Raspberry Pi Pico à moins de 10 balles, d’un peu de soft, et d’un petit PCB maison. Grâce aux pins de son PCB, il peut alors se brancher directement au bus LPC de la puce TPM qui se trouve au dos de la carte mère, ce qui permet d’intercepter les messages transmis (donc la master key) entre la puce TPM et le CPU de l’ordinateur.

Comme vous pouvez le voir sur la vidéo, son bricolage est spécifique à certains modèles de laptop Lenovo (Thinkpad), mais ça peut-être facilement adapté (ou alors en soudant des fils) à tout type d’ordinateur comme il le montre à la fin, avec la Surface Pro (et un petit trou dans sa carlingue)

Toutefois, n’allez pas croire que votre ordinateur est forcément sensible à cette attaque surtout s’il est récent puisqu’à présent, les fabricants de processeurs comme Intel ou AMD ont directement intégré le TPM au CPU, donc c’est plus la même partie de plaisir.

Source