J'ai reçu la DXRacer Tank en test et je l'ai installée pour bosser et jouer pendant plusieurs jours, et franchement pas mal ! Le truc qui frappe direct, c'est sa taille, elle est vraiment large et grande, et on se cale dedans et on y est vraiment bien. Pour tout vous dire j'ai commencé par la tester moi, puis je l'ai refilée à Korben en test derrière. On est tout les deux des gros gabarits, et franchement on est super bien dedans.
Cette largeur, c'est clairement ce que j'ai préféré. On ne se sent jamais serré, on bouge comme on veut, et pour un grand format comme moi (et Korben donc) c'est vraiment agréable. L'assise fait 63 cm et la chaise encaisse jusqu'à 180 kg sur sa base en aluminium, donc elle est taillée pour les costauds.
Là où j'ai un peu tiqué, c'est la mousse de l'assise. Je la trouve un peu dure, mais bon ça ne m'a pas dérangé, et c'est peut-être même mieux pour le dos quand on reste assis des heures, ça évite le syndrome du "je m'avachis", et c'est probablement mieux sur la durée.
Le dossier, lui, m'a fait un peu flipper au début. Quand on l'incline il part vite en arrière, il faut le savoir avant de se laisser aller dedans. Mais une fois qu'on est habitué, on sait le gérer comme il faut.
Pour le reste elle est nickel à vivre. Elle ne fait pas de bruit, elle glisse bien, elle pivote bien, elle tourne bien, tout est bien fluide, et elle a des roulettes en PU qui n'abîment pas le sol.
Un point m'a aussi laissé perplexe au début, c'est l'appui-tête aimanté. Sur le papier c'est malin, un coussin qui tient tout seul avec des aimants, mais faut s'y faire parce qu'il est un peu bizarre à positionner, trop haut quand on est grand et mal placé quand on est petit, il ne conviendra peut-être pas à tout le monde, mais globalement, ça va.
Côté finition on retrouve le costaud habituel de DXRacer, avec des accoudoirs 4D réglables dans tous les sens, un vérin hydraulique certifié et un cadre en acier bien épais. La chaise gaming Tank coûte en ce moment 599 euros au lieu de 699 , elle est en stock et expédiée depuis l'Europe avec deux ans de garantie.
Si vous êtes grand ou costaud et que vous cherchez une chaise gaming ergonomique dans laquelle vraiment vous vautrer, la Tank fait le job. Faut juste aimer l'assise ferme et composer avec cet appui-tête un peu capricieux.
Duolingo pensait sans doute faire plaisir à ses apprenants en musclant ses cours, et c'est plutôt l'inverse qui se produit. Depuis la refonte de neuf de ses cours de langues, une partie de la communauté râle très fort.
L'idée de départ n'était pourtant pas mauvaise. En avril, l'application a annoncé étoffer neuf grosses langues, dont le français, l'espagnol, l'allemand, l'italien et le japonais, pour permettre d'atteindre un niveau B2, soit un bon niveau intermédiaire avancé sur l'échelle européenne.
Sauf que ça ne s'est pas passé comme prévu, en réorganisant l'intégralité du parcours, Duolingo a aussi pas mal mélangé la progression des gens. Des utilisateurs très avancés, certains niveau 50 en italien, se sont retrouvés renvoyés vers des leçons de grand débutant incapable de commander une pizza au resto.
Le résultat est franchement incohérent par endroits. Des unités marquées comme terminées contiennent des notions jamais croisées, pendant que des leçons ajoutées après coup sont considérées comme déjà maîtrisées.
Le nouveau système de cartes de révision n'arrange d'ailleurs pas grand chose, avec des critères tellement stricts qu'une bonne réponse peut se voir refusée, et la reconnaissance vocale en rajoute une couche en recalant à l'oral des phrases pourtant correctes.
En plus de tout ce bordel, Duolingo a mis en place un système d'énergie, une sorte de jauge de vies limitées comme dans un jeu mobile, qui rationne le nombre d'exercices gratuits et agace encore plus ceux qui voulaient juste réviser tranquillement.
Beaucoup de membres parlent carrément de résilier leur abonnement.
Ce n'est pas la première fois que la marque se fâche avec son public, puisque l'an dernier déjà, sa stratégie tout IA, quitte à remplacer des humains par des machines, avait provoqué un tollé qui l'avait forcée à rétropédaler.
Vouloir pousser ses élèves plus loin, c'est une bonne idée, mais renvoyer un joueur niveau 50 réapprendre à dire bonjour, c'est le meilleur moyen de le faire filer chez la concurrence.
Source : Clubic
Alors ça, Google va adorer ! En effet, depuis hier (le 8 juillet), le navigateur DuckDuckGo bloque les pubs YouTube tout seul comme un grand. Le pre-roll interminable avant votre tuto Docker , la double coupure en plein milieu d'un unboxing, ou encore la pub pour une appli de casino que vous n'avez jamais demandée... tout dégage, en mode par défaut sans avoir besoin d'ajouter une extension.
iOS, Windows et Mac sont servis d'office, et sur Android ça s'active à la main dans Settings > Ad Blocking (le par défaut arrive bientôt).
Le canard américain ne réinvente rien puisqu'il embarque tout simplement les listes de filtres communautaires du projet uBlock Origin, mises à jour régulièrement pour suivre les parades de la régie pub de Google.
Sur son blog , ils annoncent donc que leur fonctionnalité bloque la "plupart" des publicités. Donc pas 100% et ils préviennent qu'un peu de buffering peut également apparaître au lancement d'une vidéo. Ouais ça c'est la petite astuce de Google pour contrarier les utilisateurs d'AdBlocker...
Mais une fois la lecture partie, plus d'interruption !
Sur ordi, vous verrez une petite icône vidéo à côté du bouclier vert dans la barre d'adresse, c'est là que ça se pilote.
Le réglage Ad Blocking, planqué dans le menu du navigateur
Sur mobile, je le précise encore parce que ça ne coule pas de source pour tout le monde, c'est seulement si vous ouvrez YouTube dans le navigateur DDG. L'application YouTube officielle, elle, continuera de vous balancer des tunnels de pubs tranquillement.
Et si vous utilisez déjà Duck Player , le mode théâtre sans cookies de pistage, les 2 fonctionnent ensemble sans se marcher dessus.
Bon, les blasés de la vie me diront que Brave fait ça nativement depuis des années et c'est vrai. Mais ce qui est intéressant ici, c'est que c'est un blocage activé par défaut pour madame et monsieur Tout-le-monde, sur un navigateur qui se télécharge gratuitement . Le blocage de pub n'est plus une bidouille de geek, mais c'est devenu un argument marketing pour "vendre" son navigateur.
Du coup, dans le bras de fer entre YouTube et les bloqueurs de pubs , qui s'est durci depuis fin 2023 à coups d'avertissements, de ralentissements volontaires et de lectures bloquées, je pense que la riposte de Google ne va pas tarder donc préparez les popcorns.
Mais quoi qu'il en soit, c'est encore un coup dur pour les youtubeurs. Bon, il restera toujours la possibilité de faire des segments sponsorisés directement dans la vidéo... Ah mais non, oups, c'est vrai, il y a SponsorBlock qui se débarrasse de ça aussi. Ouin !
Mais alors qu'est-ce qu'on va devenir, nous, les créateurs de contenu ?
Eh bien c'est simple. Si vous aimez bien ce qu'on fait, faut nous soutenir. Moi, par exemple, j'ai un Patreon et il y a plein de gens dessus qui me soutiennent, ce qui est super cool, j'ai vraiment beaucoup de chance. Et je les remercie tous.
J'encourage les autres créateurs de contenu à faire pareil, y compris les YouTubers, à mettre en place ce genre de système. Et sachez qu'on n'est pas obligé de se prendre la tête avec des contreparties...etc parce qu'on n'a pas vraiment le temps, on a déjà beaucoup de choses à faire. L'important c'est d'être transparent avec votre communauté, vous dites juste que c'est pour continuer à faire ce que vous faites d'habitude, c'est pour continuer à faire tourner la chaîne dans la joie, la bonne humeur et ça devrait très bien se passer.
Moi mon rêve c'est qu'un jour le Patreon ramène suffisamment d'argent pour que je puisse me passer à 100% de partenaires pub. Un jour peut-être, on verra bien.
Quitter Gmail, c'est vrai, tout le monde y pense. Pour ma part, c'est fait depuis très longtemps, mais c'est vrai qu'abandonner des années et des années de mails, de factures, de photos, etc., tout ce qu'on a reçu, il n'y a personne qui est très motivé pour ça. Alors il y a bien sûr des possibilités de transférer, mais c'est toujours un peu la galère.
Toutefois, j'ai une bonne nouvelle pour vous. Il y a Tuta qui vient de dégainer One-Click Migration , un outil de migration automatique de votre ancienne boîte, pour l'instant en bêta fermée.
Si vous débarquez, Tuta c'est anciennement TutaNota et c'est une messagerie allemande qui chiffre tout de bout en bout par défaut. Et sa nouvelle fonction permet de lier votre ancienne boîte mail, donc ça peut être Gmail, Outlook, tout ce qui cause en IMAP. Et une fois que c'est fait, tout l'historique de vos e-mails se déverse dans Tutamail, avec même la structure des dossiers qui est répliquée à l'identique.
Et ce n'est pas juste un simple import puisque la synchro tourne ensuite en continu à sens unique. Ça veut dire qu'un nouveau mail qui arrive dans votre Gmail atterrira aussi dans votre nouvelle boîte tuta. Tant que vous n'avez pas coupé ce lien ou fermé l'ancien compte, les mails seront acheminés de manière tout à fait transparente. Et vous pourrez les ranger par exemple dans un dossier dédié type "Archives" si vous préférez repartir vraiment sur un compte propre.
Maintenant côté sécurité, c'est comme d'hab avec Tuta, c'est du solide. Le chiffrement se fait directement sur votre ordinateur avant même que vos vieux e-mails ne partent chez eux sur leur serveur. Donc comme ça, il n'y a rien qui se balade en clair sur les serveurs. Tout ce que vous faites chez TUTA est chiffré en respectant des principes de zéro knowledge.
Notez que Proton propose déjà son Easy Switch, avec le même type de connexion continue pour Gmail, mais comme Tuta supporte l'IMAP au complet, ils sont compatibles avec n'importe quel fournisseur. C'est d'ailleurs assez marrant quand on sait que Tuta ne propose pas d'IMAP, de POP3 et ce genre de choses nativement sur ses services... Il faut soit passer par une app dédiée, soit passer par le site web pour accéder à ses emails sur Tuta.
Voilà pour la bonne nouvelle, donc en attendant si l'envie de larguer Gmail comme une vieille chaussette vous démange, sachez que j'ai déjà fait le tour des messageries sécurisées qui tiennent la route . Et pour les impatients, la bonne vieille migration IMAP à la main fonctionne toujours. Ah et en même temps que cette annonce, Tuta en a aussi profité pour annoncer l'arrivée de son application native Tuta Drive sur iOS et Android, pour ceux qui veulent aussi déménager leurs fichiers.
Voilà, la dernière bonne excuse pour rester chez Google vient de sauter ! Je vais surveiller ça de près.
Votre Nextcloud sait tout de vous. L'admin du serveur (vous, ou pire, quelqu'un d'autre) peut ouvrir n'importe quel fichier stocké dessus, parce que le chiffrement de bout en bout reste une option planquée dans un plugin.
C'est pourquoi Hoodik , un projet de Tibor Hudik prend le problème à l'envers. Parce que chez lui, le chiffrement, ce n'est pas une case à cocher, c'est l'architecture au complet.
Grâce à sa solution, vos fichiers sont chiffrés dans votre navigateur, avant même de partir sur le réseau, et à aucun moment le serveur ne voit vos fichiers en clair, ni ne reçoit les clés de chiffrement.
Votre clé privée ne quitte donc pas votre machine, et comme ça, même une intrusion sur le serveur ou un vol ne livrera jamais vos fichiers en clair.
L'interface web, sobre et sans fioritures
Et là où beaucoup d'outils chiffrés deviennent pénibles à l'usage, celui-ci garde les trucs du quotidien super pratiques. Y'a du partage entre comptes avec des rôles (lecture, édition, co-propriétaire), des notes Markdown chiffrées avec historique de versions, et même des aperçus photo et vidéo sans rien déchiffrer côté serveur, HEIC de l'iPhone compris.
La recherche fonctionne aussi alors que le serveur ne voit rien… En fait, votre navigateur découpe les noms de fichiers en petits morceaux, les hashe, et le serveur ne compare que ces empreintes, et jamais de texte en clair. Quant au partage public, la clé de déchiffrement voyage dans le fragment de l'URL, cette partie après le # que votre navigateur n'envoie jamais au serveur.
Au niveau de la crypto, le boulot se divise en deux, il y a d'un côté une paire RSA 2048 qui ne sert qu'à faire circuler les clés, et de l'autre, AEGIS-128L qui chiffre vos données, calculé en direct par le navigateur grâce à WebAssembly (du code quasi natif quoi...). Et avant que vous leviez un sourcil sur ce cipher au nom de Pokémon, AEGIS-128L est finaliste de CAESAR, un concours international de crypto, et est en cours de standardisation à l'IETF. Vous pouvez par exemple le retrouvé implémenté dans libsodium . C'est du sérieux, donc.
L'autre bonne surprise, c'est le poids plume de l'app. Le serveur est écrit en Rust (Actix-web) avec un front en Vue 3 et il tourne autour de 20 Mo de RAM au repos, alors que votre Nextcloud réclame ses 200 à 500 Mo pour afficher 3 photos de vacances.
Hoodik est dispo sous la forme d'une image docker pour AMD64 et ARM donc vous pouvez l'installer sur n'importe quoi, un Raspberry Pi, un vieux NAS, un vieux PC, ce que vous voulez...
docker run --name hoodik -d \
-e DATA_DIR='/data' \
-e APP_URL='https://my-app.example.com' \
--volume "$(pwd)/data:/data" \
-p 5443:5443 \
hudik/hoodik:latest
Pour vos téléphones, il y a également des applications Android et iOS dont le chiffrement tourne en Rust compilé dans l'appli elle-même (et pas une page web déguisée en application, on a assez donné...). Par contre elles passent en payant après 30 jours d'essai, sans tarif affiché publiquement sur le site... c'est le modèle économique du projet.
Autrement, c'est sous licence Creative Commons, le code est dispo sur GitHub , mais par contre notez bien que l'usage commercial est interdit sans l'accord de l'éditeur. Ajoutez à ça un projet encore jeune et aucun audit de sécurité indépendant publié, contrairement à Cryptomator qui est en GPLv3 et audité. Après ma comparaison s'arrête là par contre, parce que Cryptomator chiffre par-dessus un cloud existant alors que Hoodik c'est vous qui l'hébergez.
Quoi qu'il en soit, pour votre dossier de photos de famille, vos sauvegardes ou vos documents sensibles, le compromis se défend largement. Et si vous voulez explorer d'autres pistes, jetez un œil à OpenCloud pour du Nextcloud-like allégé, ou à Picocrypt pour chiffrer des fichiers à l'unité.
Allez, y'a plus qu'à ressusciter le vieux NAS qui prend la poussière et suivre le guide d'installation pour lancer votre docker compose up.
Votre nuage perso vous attend !
Merci à Camille Roux pour le lien !
On reçoit tous des mails un peu bizarres avec des liens qu'on n'ose pas ouvrir, et pourtant on est curieux, on est tenté parfois... C'est difficile de résister mais heureusement l'équipe de Linuxserver.io a pondu un truc super pour ça.
Il s'agit tout simplement d'une instance de Firefox qui tourne dans un conteneur Docker et qui est totalement pilotable depuis votre navigateur habituel.
Comme ça, quand vous recevez un lien louche que vous voulez ouvrir, vous le mettez là-dedans, dans une session jetable qui est totalement coupée de votre vraie machine. Et comme ça, si ça part en couille, vous butez le conteneur et on n'en parle plus.
Voilà, ça se présente juste comme une page HTTPS avec un navigateur dedans. Et comme c'est LinuxServer qui maintient l'image, vous êtes tranquille parce que c'est du sérieux.
L'avantage d'avoir ce truc, c'est qu'un Firefox en conteneur ne voit ni votre répertoire personnel, ni vos cookies, ni vos sessions Google, ni vos extensions, absolument rien, il est totalement isolé. Donc si un site tente un drive-by download ou un exploit navigateur, eh bien en principe les dégâts resteront coincés dans le conteneur. Et le simple fait de le redémarrer remettra tout à 0.
Attention quand même, un conteneur, ce n'est pas une machine virtuelle. Une vulnérabilité au niveau du noyau pourrait en théorie s'en échapper. Mais c'est pas le genre d'attaque qui se fait avec juste un clic douteux sur une page web.
Les chercheurs en sécu s'en servent pour ouvrir des pièces jointes chelou, les marketeux pour jongler avec 12 comptes ad sans cookie cross-tracking, et les paranos dans mon genre pour cliquer sur les liens des mecs bizarres de Discord sans rien flinguer chez eux.
Après y'a des petits inconvénients. Je pense aux perfs graphiques qui prennent une claque par rapport à un Firefox natif ou encore l'audio qui transite par le pipeline du navigateur, du coup ça crachote parfois sur les vidéos lourdes. Le copier-coller marche, mais en passant par la section presse-papiers de la barre latérale
Selkies
, pas en direct. Et la persistance ne tient que si vous mappez le volume /config comme il faut, sinon vos onglets et vos bookmarks gicleront dès que le conteneur sera recréé (à la première mise à jour d'image, typiquement).
Côté vie privée c'est plutôt une qualité mais pour un usage quotidien, ça peut devenir relou.
L'image officielle, c'est lscr.io/linuxserver/firefox:latest. Elle tourne sur Selkies depuis juin 2025 (avant c'était KasmVNC) et démarre en Wayland par défaut depuis mars 2026. Maintenant, si un site part en vrille à cause de ça, vous ajoutez le paramètre PIXELFLUX_WAYLAND=false à la commande Docker et vous serez de retour en X11.
La commande minimale ressemble à ça :
docker run -d \
--name=firefox \
-e PUID=1000 \
-e PGID=1000 \
-e TZ=Europe/Paris \
-e LC_ALL=fr_FR.UTF-8 \
-p 3001:3001 \
-v $HOME/firefox-config:/config \
--shm-size=1gb \
--restart unless-stopped \
lscr.io/linuxserver/firefox:latest
Le --shm-size=1gb, c'est la mémoire partagée de Docker et vous n'y couperez pas, désolé. Si vous le zappez, YouTube comme les sites un peu lourds vous planteront le navigateur. Le port 3001, c'est l'accès HTTPS, avec un certificat auto-signé qui fera râler votre Firefox principal (c'est normal, faut l'accepter). Y'a aussi un port 3000, mais lui c'est du HTTP en clair, à réserver derrière un reverse proxy genre SWAG et rien d'autre.
Ensuite, direction https://localhost:3001/ et un joli Firefox vous attend. Notez que par défaut, il n'y a AUCUNE authentification. Personne ne vous demande rien, alors si vous voulez l'exposer sur votre réseau, définissez bien un CUSTOM_USER et PASSWORD pour activer le basic auth avant qu'un petit malin de votre réseau ne tombe dessus.
Envie d'un setup versionnable, que vous pouvez reproduire ailleurs sans réfléchir ? Le compose fait ça mieux :
---
services:
firefox:
image: lscr.io/linuxserver/firefox:latest
container_name: firefox
environment:
- PUID=1000
- PGID=1000
- TZ=Europe/Paris
- LC_ALL=fr_FR.UTF-8
- CUSTOM_USER=korben
- PASSWORD=changezmoi
- HARDEN_DESKTOP=true
- HARDEN_OPENBOX=true
volumes:
- ./firefox-config:/config
ports:
- 3001:3001
shm_size: "1gb"
restart: unless-stopped
Ensuite, un docker compose up -d et roulez jeunesse. Le volume ./firefox-config conserve votre profil entre deux redémarrages avec bookmarks, extensions installées depuis le store Mozilla, tout reste en place.
Et si vous avez envie de repartir de zéro, on met le dossier à la poubelle, on relance, et voilà. Et pour glisser des outils tiers dans le conteneur (filezilla, un éditeur, ce genre de bidule), [proot-apps install](https://github.com/linuxserver/proot-apps) les posera dans $HOME, où ils survivront aux mises à jour de l'image.
Maintenant, le piège que la doc évoque du bout des lèvres et qui mérite d'être écrit en gros c'est que l'interface web embarque un terminal avec sudo passwordless. Traduction, quiconque accède à votre Firefox conteneurisé devient root dans le conteneur en deux clics. Exposez ça sur votre réseau, ou pire sur Internet, sans durcir le machin, et vous ouvrez un boulevard.
La parade tient en une variable : **HARDEN_DESKTOP=true**, qui pose les principaux verrous d'un coup. Ça coupe sudo, ça vire les terminaux, et ça bloque xdg-open et exo-open, qui pourraient lancer des trucs hors conteneur. Vous pouvez empiler ça avec HARDEN_OPENBOX=true par-dessus, histoire de neutraliser les raccourcis clavier dangereux genre Alt+F4, de désactiver le clic droit et de masquer le bouton de fermeture. Firefox reste parfaitement utilisable, mais impossible de s'évader pour faire mumuse avec le système derrière.
Et pour une exposition sur Internet, le basic auth CUSTOM_USER/PASSWORD ne suffira pas car c'est trop léger. Moi ce que je vous recommande, c'est de coller le tout derrière un
reverse proxy SWAG
avec une vraie couche OAuth2 ou Authelia. Le basic auth, gardez-le pour le LAN entre potes ou collègues de confiance, mais pas au-delà.
SealSkin , c'est la cerise sur le conteneur ^^. C'est une extension navigateur, dispo pour Chrome et Firefox, qui monte la garde sur votre navigateur principal et détourne ce qui sent mauvais vers le conteneur isolé. Un lien repéré comme suspect ? Hop, il s'ouvre direct dans le Firefox conteneurisé. Pareil pour les téléchargements, qui atterrissent dans le conteneur au lieu de finir sur votre machine.
Du coup, l'isolation devient un réflexe permanent au lieu d'un machin que vous activez à la main quand vous y pensez (c'est-à-dire jamais). Seule contrainte par contre, faudra héberger le serveur SealSkin vous-même, et installer l'extension dans votre vrai Firefox. Mais vous verrez, après quelques jours à ce régime, vous aurez du mal à faire autrement.
J'imagine que vous comptiez sur l'ancien tag kasm pour le tactile ? Eh bien c'est raté, puisque LinuxServer l'a déprécié début juillet. En échange, la barre latérale Selkies embarque désormais un trackpad virtuel et un clavier à l'écran, donc de quoi rendre l'interface utilisable depuis un iPad ou un smartphone sans bidouille en plus. On reste loin, c'est vrai, du confort d'un vrai desktop, et taper Ctrl+Tab au doigt c'est toujours la misère, mais pour dépanner ça fait le job.
Et voilà, votre Firefox jetable vit désormais dans son petit conteneur, bien au chaud. Comme ça, le prochain lien douteux, vous l'ouvrirez sans trembler... pour tester des sites au calme, difficile de trouver mieux, je pense.
Si vous lisez ça depuis Abidjan, Dakar, Douala ou Kinshasa, y'a une chance sur deux que votre téléphone soit un Tecno, un Infinix ou un itel. Trois marques, mais un seul patron : Transsion, qui trône sur près de la moitié des smartphones vendus en Afrique.
Et si je vous parle de ça aujourd'hui, c'est parce qu'un chercheur en sécu, Buchodi, vient de décortiquer ce que ces appareils racontent dans votre dos et c'est pas joli, joli.
Son terrain de jeu, c'est un Tecno Spark 40 tout ce qu'il y a de banal. En rétro-ingénierant le firmware, il tombe sur un framework maison signé Transsion, baptisé Athena pour la collecte et oneID pour le pistage entre applis. On n'est pas sur une appli lambda que vous auriez installée, mais un truc costaud câblé au niveau du système, avec les pleins pouvoirs.
Et ce qu'il remonte, c'est du lourd ! Votre position GPS précise, les antennes-relais autour de vous, la consommation réseau appli par appli sur une soixantaine d'applis, quelle appli est affichée à l'écran en temps réel, et même quelle appli vient d'allumer la caméra (pas ce que filme la caméra, hein, juste le fait qu'une appli l'ait activée).
Ensuite, tout ça part vers des domaines en shalltry.com et transsion-os.com. Shalltry, c'est la branche logicielle de Transsion, et les serveurs tournent sur du cloud loué en Europe.
Donc c'est de la télémétrie++ qui part chez le fabricant, mais le gros souci, c'est qu'on ne peut rien désactiver ni désinstaller facilement. C'est vraiment une brique essentielle du téléphone reposant sur le SDK du constructeur. Ça prend racine dans l'application Réglages (pour les paramètres), l'interface système, et surtout dans un module assez discret nommé com.hoffnung qui est bardé de permissions flippantes comme lire le presse-papier en arrière-plan, connaître toutes les applis installées, forcer l'arrêt des autres.
Alors oui, c'est chiffré avec un bon vieux AES, Sauf que ça ne sert pas à grand chose parce que la clé de déchiffrement est planquée dans le code de l'application elle-même. Autrement dit, quiconque met la main sur le fichier récupère la clé avec, et peut tout ouvrir. Le chiffrement n'est là que pour faire un peu de camouflage afin que vous ne puissiez pas voir facilement ce qui sort de votre poche. Mais ce n'est absolument pas de la confidentialité.
Et malheureusement, ça ne s'arrête pas à votre smartphone puisque ce même SDK se balade aussi dans des applications grand public très très populaires en Afrique comme Boomplay (100 millions de téléchargements et des poussières), StarTimes ou Orange Max it. Du coup, même avec un mobile d'un autre fabricant, vous pouvez trimballer ce mouchard sans le savoir.
Alors oui, c'est vrai, tous les smartphones font de la télémétrie. Google, Apple, Samsung, Xiaomi, tout le monde collecte des trucs, et des centaines d'applis passées au crible violaient déjà le RGPD début 2026. C'est déjà pas normal, mais ça peut normalement se désactiver assez facilement. Mais dans le cas de Transsion, c'est fait au niveau système, c'est totalement invisible et la destination est très opaque...
Puis surtout, ça concerne la moitié du continent !
Notez que ce n'est pas la première fois que les constructeurs chinois low cost se font choper puisqu' en 2016 déjà, une backdoor chinoise se planquait dans le firmware de smartphones low-cost et balançait contacts et SMS toutes les 72 heures. Plus récemment, il y a eu aussi un malware qui s'appelle Triada et qui a été préinstallé sur environ 53 000 Tecno W2 vendus en Éthiopie, au Ghana ou encore au Cameroun avec, s'il vous plaît, des abonnements souscrits totalement à l'insu de leur propriétaire.
C'était des composants différents à chaque fois, mais le motif se répète.
Alors que faire les amis ? Eh bien la bonne nouvelle, c'est qu'on peut quand même bloquer 2-3 trucs pour les empêcher de remonter des infos. Vu que tout transite par ces fameux domaines, il suffit de bloquer *.shalltry.com (et *.transsion-os.com tant qu'à faire) au niveau DNS.
Ça se fait facilement avec un NextDNS, un AdGuard ou un Pi-hole à la maison, ou directement sur le téléphone avec cette application qui s'appelle Personal DNS Filter , et comme ça, la télémétrie se retrouve isolée sans toucher au reste.
Par contre, ça ne sert à rien d'aller trifouiller les réglages du téléphone parce que ce n'est pas désactivable à partir de là. Désolé.
Snif, snif, macOS 28 ne lira plus vos disques chiffrés en Mac OS Étendu. C'est écrit dans un document de support Apple publié le 7 juillet, alors si vous stockiez là-dessus vos photos de 2014, vos factures, votre mémoire de fac ou une sauvegarde Time Machine chiffrée de l'ancienne époque, bah c'est grave le moment de vous en occuper.
Pas de panique cela dit, seul le chiffrement dégage. Un volume HFS+ non chiffré restera donc lisible sous macOS 28 et après. Ce qui part à la benne, c'est surtout CoreStorage, la couche qui chiffre ces volumes... Et c'est aussi elle qui fait tourner les Fusion Drives avec lesquels j'aimais bien m'amuser à l'époque. Mais hormis ça, rien ne change.
Et vu qu'APFS est le format par défaut depuis High Sierra en 2017, les disques concernés ont, pour la plupart, grosso modo 9 ans au compteur, donc ce sont des disques d'archives que vous ne branchez jamais j'imagine... jusqu'au jour où vous en avez vraiment besoin évidemment !
Alors pour vérifier si vous êtes concerné, ouvrez l'Utilitaire de disque et regardez le libellé sous le nom de vos volumes externes. S'il affiche "CoreStorage Logical Volume" avec la mention "Encrypted", c'est lui. Et si vous êtes sous macOS 26, le système peut aussi vous envoyer une notification quand il détecte un disque qui ne passera pas le cap. Même si ça fait chier, c'est quand même assez réglo de la part d'Apple de prévenir 1 an à l'avance.
Côté solutions, Apple vous laisse 2 portes de sortie. La douce d'abord... Vous faites un clic droit sur le volume dans le Finder pour le déchiffrer, et si le cœur vous en dit, vous le convertissez ensuite en APFS sans perdre le moindre fichier. Ou alors la radicale ensuite où vous reformatez le volume direct en APFS. Attention hein, ça efface tout, et définitivement donc on sauvegarde bien avant de jouer à ça, les amis ^^.
Apple prévient aussi que le déchiffrement prend beaucoup de temps, spécialement si le volume est gros. Du coup lancez la machine avant d'aller vous coucher, et vous pourrez ensuite faire un petit diskutil cs list dans le Terminal pour savoir où ça en est !
Malheureusement, la méthode douce, vous pouvez l'oublier pour les disques de sauvegarde Time Machine chiffrés. Howard Oakley en parlait déjà sur Eclectic Light Company 3 semaines avant que les gros sites américains ne captent le truc et il a expliqué pourquoi dans son article. En fait, ces vieilles sauvegardes s'appuient sur des liens en dur de répertoires, et c'est un mécanisme qu'APFS ne sait tout simplement pas reproduire.
Du coup, ces sauvegardes-là, c'est impossible de les convertir, donc... il faudra repartir de zéro avec une sauvegarde toute neuve. Rassurez-vous, vos fichiers actuels ne craignent rien. Par contre, tout votre historique de versions restera coincé sur le vieux disque, que vous pourrez encore lire sous macOS 26 et 27, et après, ce sera terminé.
Donc si vous êtes motivé (et avez-vous bien le choix ?), vous branchez vos vieux disques, vous faites des backups, vous checkez le format, vous déchiffrez ou reformatez ce qu'il faut puis vous relancez une sauvegarde propre, que vous pouvez d'ailleurs accélérer avec cette astuce . Allez, un petit week-end là-dessus à le laisser tourner et c'est plié !
Bref, prenez 10 minutes maintenant, plutôt que de vous retrouver dans 1 an devant un disque qui refusera de répondre. Votre moi du futur vous dira merci !!
Si vous avez déjà planqué un wagonnet dans un bloc d'escalier pour faire croire que votre perso Minecraft s'asseyait dans un fauteuil, vous savez de quoi je parle. En effet, depuis la version Classic de 2009, la communauté Minecraft bricole des trucs pas possibles pour un geste aussi simple que... poser ses fesses !!
Vous le savez également, le grand classique sur les serveurs, c'était le cochon sellé encastré dans le plancher du salon (le canapé qui grogne, ambiance Justin Bridou). Les puristes, eux, juraient par le porte-armure invisible, et les flemmards installaient carrément un gros mod de meubles.
Et tout ça parce que le jeu de Mojang ne savait pas faire de chaises sur lesquelles s'asseoir. Bref, les joueurs commençaient vraiment à être fatigués de ne pas pouvoir s'asseoir...
Hé bien, c'est terminé !! Le snapshot 3 de la version 26.3, publié ce 7 juillet côté édition Java, ajoute ENFIN un coussin officiel dispo !!
Alors oui, les puristes vous diront qu'on pouvait déjà s'asseoir dans un bateau ou un wagonnet mais là, on va vraiment pouvoir poser nos fesses sur commande sur un vrai meuble, sans mod ni bidouille.
Et pour ceux qui se demandent comment on s'assoit, hé bien, c'est simple ! Vous craftez le coussin avec 3 dalles de laine de la même couleur, vous le posez sur une surface plate, clic droit dessus et hop, votre bonhomme s'assoit ! 16 couleurs sont dispo, une par teinte de laine, donc de quoi l'assortir au tapis du salon pour ceux qui sont à fond dans la déco.
D'ailleurs, si vous cassez le bloc en dessous, le coussin pop et redevient un item comme les autres. Et comme il n'a pas de collision, il peut se poser sur à peu près tout... sauf un autre coussin (faut pas déconner non plus).
Et comme Mojang était chaud, la même mise à jour règle une autre demande vieille comme le jeu : le lit de paille. 3 bottes de foin vous donnent ainsi 4 lits à usage unique qui permettent de passer la nuit sans toucher à votre point de réapparition. Fini le lit posé en catastrophe qui écrase votre spawn... Par contre au Nether, pas de belle explosion à l'ancienne puisque le lit de paille se détruit direct si vous tentez le coup. La tradition se perd...
Y'a aussi, en vrac, une option de langue gotique (oui, la langue morte), le support des recettes de brasserie custom et de nouveaux effets de post-processing. Le tout est bien sûr testable dès maintenant en version Java (ça s'active direct dans le launcher) ou en preview Bedrock, avant d'arriver pour tout le monde avec la version 26.3.
Bref, foncez tester ce petit coussin pour votre popotin, et libérez vos cochons, ils ont assez donné !
Comme je vous le disais tout à l'heure, en avril 2026, le FBI a coincé un membre présumé de Scattered Spider. Le mec planquait son trafic derrière un VPN, avec des IP dans trois pays différents. Et devinez quoi ? Ce n'est pas une fausse manip qui l'a balancé mais un identifiant que votre Windows se trimballe H24 et que Microsoft refile aux autorités quand elles le demandent : le GDID. Je vous en ai déjà causé dans cet article , et après avoir écrit l'article, je me suis demandé si on pouvait le virer.
Du coup j'ai monté une petite VM Windows 11 Pro et j'ai mis les mains dedans en me faisant assister de mon LLM préféré et voilà ce que j'ai trouvé. Ce qui marche, et surtout ce qui ne marche pas du tout, vous allez voir.
Déjà, faut comprendre ce qu'est ce GDID. C'est pas le numéro de série de votre carte mère, c'est pas un hash en lien avec votre matos. Non, c'est un PUID de 64 bits, c'est-à-dire un identifiant que les serveurs de Microsoft collent à votre compte dès que vous ouvrez une session Windows. Il est écrit en clair dans votre registre, votre machine l'enregistre dans un annuaire côté Microsoft, et un service le fait remonter peinard quand c'est nécessaire. Et si vous changez d'IP avec un VPN, bah lui il s'en fout. Le GDID ne bouge pas d'un poil.
On commence par le voir de nos yeux. Ouvrez un PowerShell et collez ça :
$lid=(Get-ItemProperty 'HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties').LID
"g:$([Convert]::ToUInt64($lid,16))"
Sur ma VM, ça m'a craché g:6755487812206045. C'est celui que Microsoft peut raccrocher à tout ce que je fais. (En théorie hein, parce que c'est le code qui est associé à ma VM, donc je m'en fous et c'est pour ça que je vous le montre).
Vous venez de lire l'étiquette qu'on vous a collée dans le dos.
Réflexe de base, on efface la clé dans la base de registres HKCU:\SOFTWARE\Microsoft\IdentityCRL\ExtendedProperties et hop, plus de mouchard. C'est ce que j'ai testé au début... J'ai shooté la valeur, redémarré le service qui s'en occupe, et là plus rien. Gagné ? Ben non. J'ai ouvert le Microsoft Store durant deux petites secondes, et le GDID est revenu. Et pas un nouveau, hein, LE MÊME !!
C'est ça qui est fou. C'est que votre GDID n'est pas planqué sur votre disque, il est planqué chez Microsoft, bien accroché à votre compte comme une moule à son rocher. Votre PC ne fait que le retélécharger encore et encore. Après si vous réinstallez tout, Windows vous donne un nouveau numéro, d'accord, mais l'ancien et tout ce qui y était rattaché restent tout de même bien au chaud sur leurs serveurs. Le passé, on le récupère jamais...
Un autre conseil qu'on voit partout, c'est de désactiver la télémétrie de Windows. Sur ma VM, le service de télémétrie classique était déjà à l'arrêt. Et pourtant mon GDID était là, bien lisible, et les services qui le font remonter tournaient à plein régime. Le mouchard ne passe pas par la télémétrie que vous croyez couper. Il passe ailleurs, par les services de la plateforme d'appareils connectés et de l'optimisation de distribution.
Vous pouvez donc cliquer sur tous les boutons vie privée des réglages, il s'en tape.
Alors puisqu'on peut pas l'effacer, on va faire la seule chose qui est en notre pouvoir : L'empêcher de sortir. Et sans se déconnecter du compte Microsoft, histoire de garder un PC utilisable, hein.
Et pour ça, on a 2 leviers. Le premier, c'est de désactiver les services qui enregistrent et remontent les infos de votre machine. Le second, c'est de renvoyer les serveurs de Microsoft dans le décor simplement via le fichier hosts, comme ça même si les services qui mouchardent tournent, et bien ils ne peuvent plus joindre personne... Et surtout, on ne touche pas à login.live.com, sinon adieu la connexion à votre compte.
Toutefois, il y a un petit piège, vous vous en doutez... Le service qui fait remonter le GDID, DoSvc, refuse de se laisser désactiver par la voie normale. Même en admin, Windows vous balance "Accès refusé". La parade, c'est donc de le désactiver direct dans le registre, où l'admin a le droit d'écrire là où le gestionnaire de services vous bloque.
Maintenant pour faire ça, plutôt que de vous mettre des tonnes de lignes de code à copier-coller, j'ai tout regroupé dans des scripts propres, que j'ai testés, avec une commande pour tout remettre comme avant.
Le projet est là : no-gdid sur GitHub . Vous lancez d'abord l'audit en lecture seule pour voir où vous en êtes, puis les scripts de blocage en mode aperçu, et seulement après avec l'option qui applique vraiment. Testez dans une VM avec un snapshot avant de faire ça sur votre vraie bécane, parce qu'on désactive quand même des services système. Et si vous voulez juste couper le réseau d'un process précis sans tout ce cirque, ce bon vieux ProcNetBlocker fait déjà une partie du taf.
Ouvrez un PowerShell en administrateur, et la première fois faites-le dans une VM avec un snapshot histoire de tester et de vous familiariser avec les commandes. Étape 1, on clone le projet :
winget install --id Git.Git
git clone https://github.com/Korben00/no-gdid
cd no-gdid
D'abord on regarde sa propre situation. Cet audit est en lecture seule, il ne modifie rien, il vous affiche juste votre GDID et quels services de la chaîne tournent :
powershell -ExecutionPolicy Bypass -File .\audit\Get-GDID-Audit.ps1
Ensuite on regarde ce que la mitigation changerait, sans rien appliquer. Sans l'option -Apply, les deux scripts tournent en mode aperçu et se contentent de lister ce qu'ils feraient :
powershell -ExecutionPolicy Bypass -File .\mitigate\Disable-GDID-Services.ps1
powershell -ExecutionPolicy Bypass -File .\mitigate\Block-GDID-Endpoints.ps1
Si ça vous va, on coupe pour de vrai. Cette fois on ajoute -Apply : les services qui enregistrent et remontent l'appareil sont désactivés, et les serveurs de Microsoft correspondants sont renvoyés dans le vide via le fichier hosts. Votre compte Microsoft, lui, reste connecté :
powershell -ExecutionPolicy Bypass -File .\mitigate\Disable-GDID-Services.ps1 -Apply
powershell -ExecutionPolicy Bypass -File .\mitigate\Block-GDID-Endpoints.ps1 -Apply
Et pour tout remettre comme avant, une seule commande :
powershell -ExecutionPolicy Bypass -File .\mitigate\Revert-GDID.ps1
Une fois appliqué, tout redeviendra calme... les services d'enregistrement seront à l'arrêt, leurs serveurs injoignables, et votre compte Microsoft restera toujours connecté. Le GDID reste bien évidemment lisible sur le disque, mais il ne remontera plus chez Microsoft.
Après, je ne vais pas faire un tuto qui vous vend du rêve. Ces manips réduisent ce que Microsoft pourra corréler à l'avenir mais elles n'effacent pas votre GDID, qui traîne sur leurs serveurs depuis votre toute première connexion, et elles ne vous rendent pas anonyme. Ensuite, passer en compte local comme j'ai pu le lire ailleurs supprime le chemin qu'on vient de bloquer, mais rien ne prouve encore qu'un identifiant anonyme ne prend pas le relais derrière.
La seule vraie parade solide pour une activité sensible, est plus brutale : ne pas faire cette activité sous Windows. Un Linux live par exemple offre un contrôle total de ce qui sort de votre machine. Le reste, c'est que de la réduction des dégâts, rien de plus.
Voilà, défendre sa vie privée, ça commence par savoir ce qu'on vous colle sur le dos et maintenant vous le savez. Pas merci Microsoft.
Source : The Register et le reverse engineering de SmtimesIWndr .