Autoblog de korben.info

Posez la question à votre fournisseur d'accès internet. Orange, Free, Bouygues, SFR (ah non, RIP petit opérateur partit trop tôt) vous répondront poliment qu'ils respectent la loi. Et c'est vrai. La Loi de programmation militaire (LPM) en France, impose depuis plus de 10 ans aux FAI de conserver certaines métadonnées de connexion pendant un an.

Ce n'est pas le contenu de vos échanges. Pas vos emails, pas vos messages, pas ce que vous téléchargez. Mais assez d'informations pour reconstituer une carte détaillée de votre vie numérique. Quand vous vous connectez, depuis où, vers quels serveurs, pendant combien de temps.

Ce n'est pas une théorie du complot. C'est le cadre légal actuel. Et si cela ne vous dérange pas, tant mieux. Mais si l'idée que vos trajets numériques soient archivés par défaut vous interroge, il existe des moyens de reprendre la main. Un VPN comme Surfshark en fait partie, pas comme solution magique, mais comme outil de réduction de surface d'exposition.

Ce que votre FAI voit réellement

Quand vous naviguez sans protection, votre fournisseur d'accès a une vue directe sur votre trafic. Il ne lit pas nécessairement le contenu, grâce au chiffrement HTTPS, mais il observe les métadonnées :

• Les adresses IP des serveurs que vous contactez
• Les horaires et durées de vos sessions
• Le volume de données échangées
• Votre adresse IP publique, donc votre localisation approximative

L'air de rien ces informations, combinées, permettent pas mal de ciblage. Vos habitudes de sommeil, vos centres d'intérêt, vos relations professionnelles, voire vos opinions politiques. Pas besoin d'accéder au contenu pour dresser un profil comportemental précis.

La conservation légale de ces métadonnées vise officiellement la lutte contre le terrorisme et la criminalité organisée. Sauf qu'une fois stockées, ces données deviennent exploitables pour des réquisitions judiciaires, demandes administratives ou fuites accidentelles (et on voit chaque semaine le niveau des leaks made in hexagone). Plus il y a de copies, plus le risque augmente.

Ce qui change quand vous ajoutez un VPN

Activer un VPN comme Surfshark modifie fondamentalement ce que votre FAI peut observer. Votre trafic est chiffré entre votre appareil et le serveur VPN. Votre FAI voit toujours que vous êtes connecté, et il voit le volume de données échangées. Mais il ne voit plus les destinations finales. Tout transite vers une seule adresse IP, celle du serveur Surfshark.

Concrètement, au lieu de savoir que vous avez consulté tel site de santé, tel forum politique ou telle plateforme de signalement à telle heure, votre FAI constate uniquement une connexion chiffrée vers un serveur VPN. Le reste lui est invisible. La question se déplace et devient "faites-vous confiance à Surfshark plutôt qu'à votre FAI ?" C'est un choix conscient, pas une délégation aveugle. Et plusieurs éléments techniques permettent d'évaluer ce choix.

Les garde-fous techniques de Surfshark

La politique no-logs de Surfshark n'est pas une simple déclaration. Elle a été auditée à deux reprises par Deloitte (en 2024 et 2025), son infrastructure par SecuRing (en 2026), son protocole Dausos par Cure53 (2026), etc. Les rapports sont publics et détaillent les méthodes de vérification de l'inspection de l'infrastructure, à l'analyse du code client en passant par la revue des processus internes.

Autre point important, la majorité des serveurs Surfshark fonctionnent en mode RAM-only. Aucune donnée ne persiste sur disque. En cas de saisie physique d'un serveur ou d'intrusion, il n'y a tout simplement rien à récupérer. C'est du hardening au sens littéral.

La juridiction compte aussi. Surfshark est basé aux Pays-Bas, un pays membre de l'Union européenne, mais avec un cadre légal distinct de la France. Les réquisitions françaises ne s'appliquent pas automatiquement. Cela ne rend pas le service immunisé, disons que cela ajoute une couche de complexité juridique qui peut dissuader certaines demandes (probablement pas beaucoup, mais bon).

Le chiffrement utilisé (AES-256-GCM ou ChaCha20 selon l'appareil) protège le contenu du trafic contre l'interception. Le Kill Switch, en mode strict, coupe toute connexion si le tunnel VPN tombe, évitant les fuites accidentelles d'IP. La protection contre les fuites DNS et WebRTC empêche que votre véritable adresse ne filtre via des canaux secondaires.

Et Dausos dans tout ça ?

Surfshark a récemment développé son propre protocole, Dausos, et cette évolution touche directement la question de la souveraineté des données. Dausos fonctionne avec des tunnels dédiés par utilisateur, contrairement aux architectures classiques qui mutualisent le trafic de plusieurs sessions sur les mêmes canaux. Cette isolation réduit les risques de corrélation croisée. Même en cas d'analyse poussée des logs serveur, il devient plus difficile de relier des activités entre différents utilisateurs partageant la même infrastructure.

Le protocole utilise également AEGIS-256X2 pour le chiffrement, un algorithme moderne optimisé pour les processeurs récents. En plus d'offrir de meilleures performances, il maintient un niveau de sécurité équivalent aux standards actuels tout en étant conçu pour résister à certaines attaques cryptanalytiques avancées.

Autre élément notable, ce nouveau protocole intègre nativement une résistance post-quantique. Cela signifie que même si des acteurs stockent aujourd'hui votre trafic chiffré en attendant de pouvoir le déchiffrer demain avec un ordinateur quantique, cette stratégie devient beaucoup moins rentable. Vos métadonnées restent protégées sur le long terme.

Enfin, Dausos adapte dynamiquement ses paramètres selon la qualité du réseau. Si vous passez d'un Wi-Fi stable à une connexion mobile instable, le protocole ajuste son comportement pour maintenir le tunnel sans interruption. Cela évite les micro-coupures qui pourraient exposer temporairement votre trafic réel. Dausos est actuellement disponible en bêta sur macOS via l'App Store, avec un déploiement progressif prévu sur les autres plateformes.

Les limites à garder en tête

Utiliser un VPN ne vous rend pas invisible. Cela déplace le point de confiance. Votre FAI ne voit plus vos destinations, mais le fournisseur VPN, lui, pourrait théoriquement les observer. C'est précisément pour cette raison que la politique no-logs et ses audits indépendants sont essentiels. Si le fournisseur ne conserve rien, même sous contrainte légale, il n'y a pas de données à divulguer.

Une autre limite est que le VPN ne protège que le trafic qui transite par lui. Si vous vous connectez à un service en étant déjà authentifié (compte Google, réseau social), ce service continue de tracer votre activité, indépendamment du VPN. La protection réseau ne remplace pas une hygiène de compte rigoureuse. Enfin, la performance peut être impactée. Surfshark minimise cet effet grâce à WireGuard et encore plus via Dausos, mais un détour par un serveur VPN ajoute inévitablement un peu de latence. C'est le prix de la confidentialité.

Mettre en pratique

Si vous décidez d'utiliser Surfshark pour renforcer votre souveraineté numérique, quelques réglages méritent attention. Activez le Kill Switch en mode strict. Cela garantit qu'aucune donnée ne sort de votre appareil sans être chiffrée par le tunnel VPN.

Vérifiez l'absence de fuites DNS. Surfshark propose ses propres résolveurs DNS chiffrés, mais un test ponctuel via un outil comme dnsleaktest.com permet de confirmer que tout transite bien par le tunnel. Si vous êtes sur macOS, testez Dausos dans les paramètres de protocole. L'isolation des tunnels et l'adaptation dynamique peuvent apporter un bénéfice tangible, surtout sur des réseaux variables.

Enfin, documentez votre configuration. Notez les serveurs que vous utilisez, les protocoles activés, et la procédure de secours. La sécurité ne vaut que si elle est reproductible.

Et quand vous partez en voyage ?

Il y a un autre cas d'usage qui revient souvent quand on parle VPN et que je trouve assez sous-estimé, c'est le voyage. Vous partez en vacances ou en déplacement pro à l'étranger, et là, surprise, votre abonnement Netflix vous propose un catalogue complètement différent. Votre playlist Spotify perd des morceaux. Votre replay France TV refuse carrément de se lancer. Et ce documentaire Arte que vous vouliez finir dans le train ? Pas disponible.

Ce n'est pas un bug, c'est juste la géolocalisation par IP qui fait son boulot. Les plateformes déterminent ce qu'elles vous montrent en fonction du pays depuis lequel vous vous connectez, à cause des accords de licence régionaux. Sauf que vous, vous payez déjà votre abonnement en France, et l'idée de ne plus pouvoir regarder vos propres contenus parce que vous avez traversé une frontière, c'est franchement frustrant.

Connecter Surfshark à un serveur français pendant que vous êtes à l'étranger résout ce souci. Vos applis vous voient comme si vous étiez à la maison, votre catalogue habituel revient, et vous continuez à profiter de ce pour quoi vous payez déjà. Bonus non négligeable, le tunnel chiffré vous protège aussi des Wi-Fi d'hôtel et d'aéroport, qui ne sont franchement pas réputés pour leur hygiène réseau.

Petit rappel quand même, les VPN sont légaux dans la plupart des pays, mais utiliser un VPN pour accéder à un service en dehors de sa zone de licence peut enfreindre les conditions d'utilisation de la plateforme. Donc on reste sur l'usage "mes contenus, mon abonnement, juste en voyage", et on ne s'amuse pas à aller piocher dans les catalogues étrangers où on n'a pas les droits.

Mon point de vue

Je ne vois pas le VPN comme une solution absolue, c'est un outil de réduction de risque. En déplaçant la confiance de votre FAI vers un fournisseur qui affirme ne rien conserver, et qui le prouve par des audits publics, vous changez l'équation. Ce qui me convainc chez Surfshark, c'est la transparence sur ce qui est vérifiable. Pas de promesses vagues, pas de "we take privacy seriously" générique. Des rapports d'audit, des spécifications techniques, des explications claires sur les limites. Pour certains, ce compromis vaut le coup. Pour d'autres, non. L'important est de décider en connaissance de cause. Pas par défaut. Pas par peur. Mais par choix réfléchi.

L'arrivée de Dausos montre que l'éditeur n'attend pas que les standards évoluent pour adapter son offre. Développer un protocole maison, avec des choix techniques assumés comme les tunnels dédiés ou le chiffrement AEGIS, c'est prendre le contrôle sur la pile technique plutôt que de subir les contraintes des solutions génériques.

Est-ce que cela suffit à garantir une souveraineté totale ? Non. Mais cela réduit significativement la quantité de données exploitables stockées par des tiers, même légaux. Et dans un contexte où la conservation par défaut devient la norme, c'est déjà un levier d'action concret. La souveraineté des données ne se décrète pas. Elle se construit par des choix techniques conscients. Utiliser un VPN n'efface pas le cadre légal de conservation des métadonnées. Mais cela rend ce cadre moins opérant pour tracer vos activités spécifiques.

L'offre du moment

Côté tarif, Surfshark reste l'un des plus agressifs du marché : 2,4€ par mois (TTC) sur un engagement de 24 mois, trois mois offerts en plus (du coup le prix tombe à 2,13€ environ), et une garantie de remboursement d'un mois pour tester sans risque.

Le tout avec une couverture illimitée d'appareils, ce qui carrément intéressant si vous avez plusieurs terminaux à protéger dans la famille.

Profitez de l'offre Surfshark !

Ce lien est affilié. Cela n'impacte ni le prix que vous payez ni mon opinion sur le service. Mais cela participe au financement de ce site, en alternative aux régies publicitaires intrusives.

La bibliothèque libinput est passée en version 1.31.2, et pas pour ajouter des fonctions, mais pour boucher un trou de sécurité plutôt vilain. C'est elle qui gère vos périphériques d'entrée (clavier, souris, pavé tactile, manette) sur la quasi-totalité des Linux modernes, aussi bien sous Wayland que sous l'ancien serveur graphique X.Org.

Autant dire qu'elle tourne sur presque toutes les machines de bureau sous Linux, des plus grand public aux plus pointues.

Le problème permettait d'exécuter du code arbitraire avec les droits root, c'est-à-dire les pleins pouvoirs sur le système. Et tout ça en passant par un détail qu'on n'imagine pas dangereux, le nom physique d'un faux périphérique.

Sur Linux, n'importe quel logiciel peut fabriquer un périphérique virtuel via deux interfaces du noyau, uinput et uhid. Pour les regrouper, libinput s'appuie sur udev, le composant qui détecte et configure tout ce qu'on branche sur la machine.

Et c'est là que ça coince. Un attaquant pouvait créer un appareil bidon dont l'attribut PHYS, le chemin physique du matériel, contenait un simple retour à la ligne. Du coup, udev lisait cette unique valeur comme deux lignes séparées, donc deux paires clé-valeur, dont une totalement injectée par l'attaquant.

Cette ligne injectée suffisait à détourner le comportement de udev et, au bout de la chaîne, à faire tourner la commande de son choix en root. Une injection par saut de ligne. Bête, mais redoutable.

Reste une nuance importante. Fabriquer un tel périphérique demande normalement les droits root, ce qui limite déjà beaucoup le danger. Sauf que certaines règles udev personnalisées ouvrent la porte aux utilisateurs normaux.

L'exemple cité est parlant. Installer le paquet "steam-devices" sur Fedora, ce que fait n'importe quel joueur pour que ses manettes soient correctement reconnues, suffit à exposer la faille à toute personne connectée à la session. Un geste parfaitement banal, donc.

La faille a été repérée par un chercheur surnommé Csome, et Peter Hutterer, le mainteneur historique de libinput, a publié le correctif dans la 1.31.2. La marche à suivre tient en une ligne, mettre à jour dès que votre distribution pousse le paquet.

Une faille root planquée dans le nom d'une fausse manette, déclenchée par un paquet aussi anodin que celui de Steam, ça a quand même quelque chose de franchement pénible.

Source : Phoronix

Sur Linux, faire passer une vidéo trafiquée pour un vrai flux de webcam dans Zoom ou Discord, ça se fait depuis longtemps. Le souci, c'est que la méthode classique demande de taper des commandes assez obscures dans un terminal. Webcamoid propose de tout faire plus simplement.

Une webcam virtuelle, c'est une fausse caméra logicielle. Votre système et vos applis la voient comme une vraie webcam branchée en USB, sauf qu'à l'autre bout il n'y a aucun capteur : juste une vidéo que vous avez choisie, modifiée ou carrément bricolée avant de l'envoyer.

Webcamoid, c'est justement une application gratuite et open source écrite par l'Argentin Gonzalo Pedone, qui tourne aussi bien sur Linux que sur Mac, Windows, Android ou FreeBSD. Elle se place entre le petit visualiseur de webcam basique et les usines à gaz comme OBS Studio, le logiciel star du streaming.

Le principe est simple. Vous choisissez votre vraie caméra comme source, vous appliquez les effets que vous voulez parmi la soixantaine proposée, puis vous envoyez le résultat vers une caméra virtuelle. Les autres logiciels n'y voient que du feu.

À quoi ça sert concrètement ? À flouter ou remplacer votre arrière-plan pendant une visio, plaquer un filtre sur votre tête, ou carrément diffuser une vidéo enregistrée à l'avance pendant que vous êtes parti faire un café. Webcamoid sait d'ailleurs prendre comme source autre chose qu'une caméra : un fichier vidéo posé sur votre disque, un flux réseau, ou même une capture de votre écran.

Pour créer cette fausse caméra, deux pilotes sont possibles, un pilote étant le bout de logiciel qui fait le pont entre le matériel et le système. D'un côté v4l2loopback, qui marche en ligne de commande avec un modprobe et trois options. De l'autre AkVCam, plus carré, qui se configure via des fichiers et que Webcamoid préfère utiliser.

Bref, un outil qui pourrait bien vous servir de temps en temps, même si l'installation et la mise en route n'est pas toujours très fluide, comme ça a été raconté chez nos confrères de Hackaday.

Source :  Hackaday , Webcamoid

Emily Velasco , bricoleuse et artiste américaine, a fabriqué une carte électronique fonctionnelle à partir d'un simple disque d'argile tourné à la main, sans la moindre plaque de fibre de verre ni le moindre bain d'acide qu'on associe d'habitude à ce genre d'objet.

L'idée vient d'ailleurs. Elle raconte avoir été inspirée par un collectif de hackeuses européennes qui fabriquait ses propres circuits à partir d'argile creusée dans le sol et cuite dans un feu de camp, et comme elle développait déjà depuis un moment ses propres émaux au cuivre pour la poterie, elle a décidé de pousser l'expérience un cran plus loin.