La Freebox HD complètement pwned grâce à... Doom
Enorme nouvelle pour tous les amateurs de rétro-ingénierie et très mauvaise nouvelle pour Free ! Au 39C3 (le Chaos Communication Congress de cette année), un chercheur français du nom de Frédéric Hoguin (que je salue) a présenté un talk absolument dingue sur le hack de la Freebox HD. Et tenez-vous bien, l'une des failles utilisées se trouve dans... le port de Doom intégré à la box !
Pour la petite histoire, la Freebox HD c'est ce bon vieux boîtier décodeur que Free a sorti en 2006. Bientôt 20 ans au compteur et toujours maintenue jusqu'à fin 2025. Du coup, Frédéric s'est dit que ça ferait un super terrain de jeu pour du reverse engineering à l'ancienne. Et là, il a découvert deux failles 0-day qui permettent de prendre le contrôle total de la box.
La première vulnérabilité se planque dans PrBoom, le célèbre port open source de Doom qui tourne sur la Freebox. Vous savez, le jeu qu'on peut lancer depuis le menu de la box. Bref, une faille dans un jeu vieux de 30 ans qui permet une première étape d'exploitation. La deuxième, c'est du lourd puisqu'il s'agit d'un 0-day dans le noyau Linux de la box qui permet une sandbox escape complète. Ça me rappelle le hack de la PS3 par Fail0verflow présenté au CCC il y a quelques années, où les hackers avaient réussi à extraire les clés privées de la console.
Et Frédéric a fait les choses bien : inspection physique du hardware, désassemblage complet, analyse de la surface d'attaque, et hop, deux 0-days tombés du ciel. Pour ceux qui se demandent si Free a subi un piratage, techniquement oui, mais pas de vos données. C'est la box elle-même qui peut être compromise, pas votre compte Free. D'ailleurs, si vous vous souvenez de la faille CSRF dans la Freebox v6 dont j'avais parlé, on reste dans la même lignée... Visiblement, les box françaises ont encore quelques secrets à livrer.
Quoiqu'il en soit, c'est un coup dur pour Free qui va devoir se pencher sur ces vulnérabilités. Bon après, la Freebox HD arrive en fin de vie, donc on verra si un patch est vraiment poussé d'ici la fin de l'année.
Hâte de voir si d'autres chercheurs vont maintenant s'attaquer aux Freebox plus récentes avec cette méthodologie. En attendant, si vous avez encore une Freebox HD qui traîne, vous savez ce qu'il vous reste à faire… ou pas. Car comment sécuriser sa Freebox face à ce genre d'attaque ? Honnêtement, tant que Free n'a pas patché, la meilleure défense c'est de… ne pas laisser un hacker jouer à Doom sur votre décodeur !
Un grand merci à G1doot pour m'avoir signalé ce talk !
Transformez votre Steam Deck en mini borne d'arcade grâce à l'impression 3D
Vous avez une imprimante 3D qui prend la poussière et un Steam Deck qui traîne sur le canapé ? Tom Patty vient de publier sur MakerWorld un projet qui va vous réconcilier avec les deux. L'idée c'est de transformer la console portable de Valve en mini borne d'arcade avec un vrai joystick et de vrais boutons, comme dans les salles de notre jeunesse (oui je suis vieux, je sais).
Le projet s'appelle Mini Arcade Steam Deck et c'est une version compacte d'un précédent design du même créateur. L'avantage de cette nouvelle mouture, c'est qu'elle ne nécessite ni moniteur externe ni haut-parleurs, du coup n'importe qui possédant déjà un Steam Deck peut se lancer. Bref, c'est du DIY accessible.
Le Mini Arcade Steam Deck dans toute sa splendeur ( Source )
Côté matos à prévoir en plus des pièces imprimées, il vous faudra une carte contrôleur Picade Max de chez Pimoroni, leur joystick arcade, 12 boutons d'arcade de la même marque, le faisceau de câblage V2 qui va avec, un câble USB-C et 4 petites vis M5 avec leurs écrous. Un hub USB-C optionnel permet de charger la console pendant les sessions de jeu, ce qui n'est pas du luxe vu l'autonomie de la bête.
L'impression prend environ 31 heures et demie sur 8 plaques différentes en 0.16mm de couche avec 15% de remplissage. Ça fait un sacré projet, mais le résultat a de la gueule ! L'assemblage se fait ensuite à la superglue en suivant les instructions fournies, avec des chevilles hexagonales pour bien aligner les pièces. Le design a été pensé pour le plateau d'impression d'une Bambu Lab P1S, mais d'après les retours de la communauté, ça passe aussi sur une A1 sans modification.
Le Steam Deck est facile d'accès
Et si l'idée de fabriquer votre propre borne d'arcade vous titille depuis un moment, c'est peut-être le projet idéal pour vous lancer. Pas besoin de savoir souder ou de se taper l'électronique complexe d'une borne complète, la carte Picade Max fait tout le boulot de conversion des entrées.
Le modèle est gratuit à télécharger sur MakerWorld et la communauté autour du projet est plutôt active. Y'a déjà des discussions sur l'ajout de trous d'aération dans une future V2 pour éviter que le Steam Deck ne chauffe trop pendant les longues sessions.
Ça fait envie n'est-ce pas ?
Merci à Lorenper pour l'info !
CrossPaste - Le presse-papier universel qui se synchronise entre toutes vos machines
Vous connaissez ce moment relou où vous copiez un truc sur votre PC et vous vous retrouvez comme un idiot devant votre Mac parce que le presse-papier ne suit pas ? Hé bien y'a une solution open source qui règle ce problème, et elle s'appelle CrossPaste .
Vous installez l'app sur tous vos appareils (Windows, macOS, Linux) et hop, tout ce que vous copiez sur l'un se retrouve automatiquement disponible sur les autres. Du texte, des images, des URLs, du HTML, du RTF, des fichiers... Tout y passe. Et le truc cool c'est que ça fonctionne sur votre réseau local en mode "LAN-only serverless", donc vos données ne transitent pas par un serveur central quelque part dans le cloud de Donald Duck, euh Trump.
Car oui, la sécurité c'est pas en option avec CrossPaste. Toutes les données sont chiffrées de bout en bout avec un système de chiffrement asymétrique. Du coup, même si quelqu'un sniffe votre réseau local (votre voisin super haxxor par exemple), il ne verra que du charabia incompréhensible. Et comme y'a pas de serveur central, y'a rien à pirater côté infrastructure non plus.
L'interface est unifiée sur toutes les plateformes grâce à Compose Multiplatform (c'est du Kotlin sous le capot pour les curieux) et vous avez un historique de tout ce que vous avez copié, avec une gestion automatique du stockage pour pas que ça finisse par bouffer tout votre disque dur. Pratique pour retrouver ce lien que vous aviez copié y'a 3 jours et que vous avez oublié de sauvegarder quelque part...
Le projet est sous licence AGPL-3.0, donc c'est du vrai open source avec le code disponible sur GitHub. Si vous êtes du genre à vouloir bidouiller ou simplement vérifier qu'il n'y a pas de cochonneries planquées dedans, vous pouvez compiler vous-même. Y'a juste besoin de Gradle et d'un ./gradlew app:run pour compiler et lancer le tout.
Bref, si vous jonglez entre plusieurs machines au quotidien et que vous en avez marre de vous envoyer des trucs par email ou par Slack juste pour les avoir sur un autre ordi, CrossPaste ça va vous faire économiser pas mal de temps et d'énergie. Et en plus c'est gratuit \o/
Merci à Lorenper pour l'info !
Une hacktiviste déguisée en Pink Ranger supprime des sites de nazis en live au 39C3
Vous savez ce qui est encore mieux qu'un bon film de super-héros ?
Une hacktiviste déguisée en Pink Ranger des Power Rangers qui supprime en direct des sites de nazis devant une salle comble de hackers en délire. Et ce moment de liesse s'est passé fin décembre au 39C3 , le Chaos Communication Congress à Hambourg. Mais avant d'en arriver là, il a fallu une sacrée investigation.
Tout commence avec WhiteDate, une sorte de Tinder pour suprémacistes blancs. À côté, deux autres sites du même acabit : WhiteChild (un truc glauque pour matcher des donneurs de sperme et d'ovules "de race pure") et WhiteDeal (une marketplace pour embaucher uniquement des racistes). Ça devait être sympa l'ambiance, n'empêche !
Les stats de WhiteDate parlent d'elles-mêmes puisque le site comptait environ 3600 profils aux USA, 600 en Allemagne, et la France, le Canada et le UK loin derrière. Et surtout 86% d'hommes. On imagine bien le niveau des conversations sur ce site de losers qui cherchent l'âme sœur aryenne dans un océan de testostérone frustrée.
Les trois sites étaient gérés par une certaine "Liff Heide". Un pseudo un peu trop allemand pour être vrai. Deux journalistes, Eva Hoffmann (investigatrice freelance) et Christian Fuchs (qui couvre l'extrême droite depuis 20 ans), ont mené l'enquête pour Die Zeit et ont fini par identifier la vraie personne : Christiane Haar, 57 ans, qui vit près de Kiel en Allemagne.
Et comment l'ont-ils trouvée ? Hé bien par l'enregistrement de la marque déposée "WhiteDeal" au registre du commerce allemand. Parce que oui, quand tu montes un réseau clandestin de nazis, tu n'oublies pas de déposer ta marque à l'INPI local.
Le souci du détail administratif, c'est toujours magique.
Le parcours de Christiane Haar est d'ailleurs assez dingue. Ancienne pianiste prodige, elle a vécu à Paris dans les années 2000 où elle a épousé un banquier... dont le père avait survécu à la Shoah. Oui, vous avez bien lu... Son ex-mari a raconté aux journalistes qu'elle s'était radicalisée après 2014, persuadée que l'attentat de Charlie Hebdo était une "opération false flag". La descente aux enfers conspirationniste classique. Et le brave homme a fini par divorcer "pour raisons politiques" après qu'elle ait pété un câble antisémite lors d'un dîner avec des amis.
Côté autorités allemandes, c'est la lose totale par contre. Le Verfassungsschutz (les services de renseignement intérieur) surveillait le dossier depuis 2019... sauf qu'ils ont passé des années à traquer la mauvaise personne. Il existe en effet une romancière qui s'appelle vraiment Liff Heide, et ces brillants enquêteurs ont confondu les deux femmes malgré des différences flagrantes : pas le même âge, pas la même couleur de cheveux, l'une vivait à Paris depuis des décennies, l'autre à Berlin. Résultat, la pauvre romancière a perdu son job dans une université berlinoise à cause de cette bourde monumentale.
C'est là qu'entre en scène Martha Root (un pseudo, évidemment), une hacktiviste qui a décidé de faire ce que les services de renseignement n'avaient pas réussi en six ans.
Pour infiltrer ces plateformes, elle a utilisé des chatbots IA (Llama et compagnie). Elle a créé un faux profil avec une photo générée par IA, et quand son compte a bugué à force de bidouiller les champs de texte, elle a contacté le support. Ces génies lui ont non seulement débloqué son compte, mais lui ont offert 3 mois de premium gratuit. Merci les gars.
Mais le meilleur c'est quand Martha a demandé à une connaisseuse plus calée qu'elle de jeter un œil. Cinq minutes plus tard (pour de vrai), sa pote lui envoie la faille. Il suffisait de taper WhiteDate.net/download-all-users dans la barre d'adresse. C'est tout. Pas d'injection SQL sophistiquée, pas d'exploit zero-day... juste une URL en clair dans l'API WordPress. La "race supérieure" a oublié de protéger son endpoint JSON.
Comme l'a dit Martha Root : "Avant de vouloir dominer le monde, apprenez déjà à sécuriser un WordPress". C'est drôle ^^.
Martha Root est donc montée sur scène au 39C3, déguisée en Pink Ranger, aux côtés des deux journalistes. Et au lieu de se contenter de slides PowerPoint bien sages, elle a décidé de passer à l'action : une suppression en direct des trois sites devant une salle en délire.
Les données récupérées (100 Go quand même) ont été transmises à DDoSecrets, le collectif qui a pris la relève de WikiLeaks pour ce genre de fuites. Ils ont baptisé ça "WhiteLeaks" et le partagent avec les journalistes et chercheurs vérifiés. Comme le faisait Anonymous à la grande époque, le hacktivisme continue de faire le ménage là où les autorités traînent des pieds.
L'admin des sites a réagi sur X en pleurnichant que c'était du "cyberterrorisme" et en promettant des représailles. Elle envoie même chaque mois un fax (oui, un fax) aux journalistes pour réclamer de la thune en dédommagement. Ah oui, parce que supprimer des sites de nazis, c'est du terrorisme, mais matcher des donneurs de sperme pour la pureté raciale, c'est juste un hobby sympa entre amis.
Pour couronner le tout, le site WhiteDate était développé par une boîte IT en Inde, avec la comptabilité gérée depuis Madagascar. L'internationale brune qui sous-traite à l'étranger, ça ne s'invente pas, les amis...
Bref, ce que Martha a trouvé en quelques jours, toute l'infrastructure de renseignement allemande n'a pas réussi à le faire en six ans.
Encore raté.
La clé magique qui déverrouille tous les scooters Äike
Vous connaissez le concept de clé maître ? Hé bien Rasmus Moorats, un chercheur en sécurité estonien, vient d'en trouver une qui déverrouille l'intégralité du parc de scooters électriques Äike. Et vous vous en doutez, c'est pas vraiment ce que le fabricant avait prévu.
Le bougre a décidé de reverse-engineerer son propre deux-roues connecté après que la boîte ait fait faillite en 2025. Logique, quand le cloud menace de fermer, autant comprendre comment fonctionne sa bécane. Du coup il a décompilé l'app React Native, hooké les communications Bluetooth avec Frida, et là... surprise !
L'authentification entre l'app et l'engin utilise un système de challenge-response. Le scooter envoie un défi aléatoire, l'app le concatène avec une clé secrète, hash le tout en SHA-1, et renvoie le résultat. Simple et efficace. Sauf que la clé secrète en question, c'est FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF. Vingt octets de FF.
Vous l'aurez peut-être compris, c'est la valeur par défaut du SDK fourni par le fabricant du module IoT.
Bref, les devs d'Äike n'ont jamais personnalisé cette clé. Chaque scooter sorti d'usine embarque exactement la même. Du coup avec un script Python et la lib bleak, n'importe qui peut déverrouiller n'importe quel Äike qui passe dans la rue. Hop, on scanne, on répond au challenge avec la clé universelle, et on envoie les commandes : déverrouiller, activer le mode éco, ouvrir le compartiment batterie... tout y passe.
Le plus rigolo dans l'histoire c'est que la société sœur Tuul, qui fait de la location de trottinettes, n'a pas de Bluetooth sur ses engins ! Du coup elle n'est pas touchée. Comme quoi, parfois l'absence de fonctionnalité devient une feature de sécurité.
Évidemment, Rasmus a fait les choses proprement avec une disclosure responsable en septembre dernier. Le fabricant a alors confirmé que c'était bien leur faute, et pas celle du fournisseur du module. Mais bon, maintenant que la boîte a coulé, les correctifs risquent d'attendre looongtemps.
Web-Check - Radiographiez n'importe quel site en un clic
Vous vous êtes déjà demandé ce que cache vraiment un site web ? Genre, au-delà de sa jolie façade ? Hé bien je vous présente Web-Check , un scanner OSINT qui va déshabiller n'importe quel domaine pour vous montrer tout ce qui se passe sous le capot.
Je vous ai déjà parlé d'OSINT.rocks qui centralise pas mal d'outils d'investigation. Et bien là, c'est un peu le même délire mais orienté analyse de sites web. Vous balancez une URL et hop, le projet vous ressort un rapport complet avec tout ce qu'il y a à savoir : certificat SSL, enregistrements DNS, en-têtes HTTP, géolocalisation du serveur, ports ouverts, stack technique utilisée... Bref, une vraie radio du site.
Ce qui est cool avec cette boîte à outils, c'est qu'elle ne se contente pas de gratter la surface puisque ça effectue plus de 30 types d'analyses différentes ! Vous voulez savoir si un site utilise un WAF (Web Application Firewall) ? Vérifier la configuration email (SPF, DKIM, DMARC) ? Voir l'historique du domaine via la Wayback Machine ? Tout est possible ! Et même les Core Web Vitals pour les obsédés de la performance !
Pour l'installer, c'est ultra simple. Si vous êtes team Docker (et vous devriez l'être), une seule commande suffit :
docker run -p 3000:3000 lissy93/web-check
Et vous avez votre instance perso qui tourne sur localhost:3000. Pas besoin de galérer avec des dépendances ou de configurer quoi que ce soit. Du coup, vous pouvez scanner vos propres sites sans que vos requêtes passent par un service tiers.
Pratique pour les paranos de la vie privée !
Le projet tourne sous TypeScript avec Astro en front, et tout le code est disponible sur GitHub sous licence MIT. Ça veut dire que vous pouvez le modifier, l'héberger où vous voulez, et même contribuer si le coeur vous en dit.
La partie détection de stack technique me plait beaucoup. C'est un peu comme ce que fait SSH-Audit pour les serveurs , sauf que l'outil identifie automatiquement les frameworks, CMS, bibliothèques JavaScript et autres composants utilisés par un site. Super utile donc pour les pentesters qui veulent mapper rapidement une cible, ou simplement pour les curieux qui se demandent "tiens, c'est quoi cette techno qu'ils utilisent ?".
Vous avez aussi une démo en ligne sur web-check.xyz si vous voulez tester avant d'installer quoi que ce soit. Mais bon, pour une utilisation régulière, je vous conseille vraiment l'instance locale. C'est plus rapide et vous gardez le contrôle sur vos données.
Voilà, si vous bossez dans la sécu, si vous êtes journaliste d'investigation, ou si vous êtes juste curieux de savoir ce que racontent les sites que vous visitez, ce scanner OSINT devrait rejoindre votre boîte à outils.
Allez jeter un œil, et vous me remercierez je pense !
Test du Engwe P20 : le petit vélo électrique urbain qui me suit partout
– Article invité, rédigé par Vincent Lautier, contient des liens affiliés Amazon –
Et bien écoutez, on va commencer par vous souhaiter la bonne année. Avec amour, gloire, argent, mais aussi santé. Et du coup je vais peut-être vous y aider, en vous évitant de prendre la voiture tout le temps pour aller bosser ou aller à la boulangerie.
On va donc parler mobilité douce avec un vélo électrique , vendu sur Amazon à prix franchement contenu, qui m'a franchement surpris. On a l'habitude de voir la marque Engwe sortir des "Fat Bikes" assez massifs, taillés pour rouler dans la neige ou le sable avec des pneus énormes. Mais avec ce modèle, le P20 , la marque propose quelque chose de très différent. C'est un vélo pliant, urbain, franchement mignon et surtout équipé d'une transmission par courroie. J'ai passé plusieurs semaines avec ce petit bolide pour voir s'il peut vraiment remplacer ma voiture ou les transports en commun au quotidien, et je dois dire que pour le prix, c'est une excellente surprise.
La première chose qui frappe dès le déballage, c'est le poids. Si vous avez déjà eu affaire aux tanks habituels du marché électrique, les 18,5 kg du P20 vont vous sembler franchement légers. C'est vraiment un vélo facile à manipuler, ce qui signifie qu'on peut enfin le monter dans l'appartement ou le glisser dans le coffre de la voiture sans risquer le tour de reins. Côté look, c'est très propre avec un cadre en alliage d'aluminium aux lignes angulaires et futuristes, des soudures lisses et une finition mat qui ne fait pas du tout "jouet". L'assemblage est d'ailleurs un jeu d'enfant, il faut juste enclencher les pédales, fixer le garde-boue et l'éclairage, et c'est parti.
Une fois en selle, l'expérience de conduite est étonnamment propre pour un vélo qui tourne autour des 1000 euros. Le gros point fort, c'est l'abandon de la chaîne classique au profit d'une courroie en carbone de marque JK. Fini le cambouis sur le bas de pantalon et l'entretien mega relou, c'est propre, silencieux et annoncé pour durer 33 000 km.
Couplé à un capteur de couple très réactif, le moteur arrière de 250W délivre une assistance fluide et naturelle. Contrairement aux capteurs de cadence basiques qui vous propulsent brutalement, ici le moteur amplifie votre effort instantanément. On a vraiment cette sensation agréable d'avoir des jambes bioniques ou un vent permanent dans le dos, ce qui rend le faufilement dans la circulation urbaine tout à fait agréable.
Il faut tout de même garder à l'esprit que le P20 est un "single-speed", c'est-à-dire qu'il n'a qu'une seule vitesse. Sur le plat et les faux-plats, c'est un régal absolu et le vélo est vif et nerveux. En revanche, si votre trajet implique des murs à plus de 15% de dénivelé, le petit moteur montrera quelques limites et il faudra accepter de pousser un peu. Maintenant je vous dis ça, je le teste sur les côtes de Clermont-Ferrand depuis plusieurs semaines, et c'est vraiment sans problème. Quoi qu'il en soit c'est un vélo optimisé pour rouler confortablement entre 20 et 25 km/h, ce qui est, soyons honnêtes, idéal pour les trajets de tous les jours.
Au quotidien, ce P20 se révèle donc être un compagnon très pratique. Le pliage se fait en trois étapes simples et prend moins de trente secondes, ce qui permet de le caser facilement au bureau ou dans un coffre de voiture standard. La batterie de 345Wh, discrètement intégrée derrière la tige de selle, est amovible pour la recharge. Si la marque promet jusqu'à 100 km d'autonomie, comptez plutôt sur 60 à 80km réels en utilisant une assistance confortable, selon votre poids, ce qui est largement suffisant pour la majorité des trajets. J'ai aussi beaucoup apprécié les bons freins qui assurent un freinage mordant même sous la pluie, et les clignotants intégrés aux haubans arrière, un petit détail sécurisant pour signaler ses intentions en ville.
Bref, selon moi le Engwe P20 est une réussite qui offre un rapport qualité-prix assez bluffant. Il vient chatouiller des concurrents bien plus onéreux, en proposant des technologies premium comme la courroie et le capteur de couple à un tarif accessible. Si vous cherchez un petit vélo nerveux, stylé et pratique pour tous pour vos trajets urbains, sans avoir à vendre un rein, c'est une option que je valide totalement. Et en plus il est sur Amazon, ce qui est bien pratique. Dispo à 1099 euros en cliquant ici !
Article invité publié par Vincent Lautier . Vous pouvez aussi faire un saut sur mon blog , ma page de recommandations Amazon , ou lire tous les tests que je publie dans la catégorie "Gadgets Tech" , comme cette liseuse Android de dingue ou ces AirTags pour Android !
Des lunettes autofocus qui rendent les verres progressifs inutiles
Vous portez des verres progressifs mais le truc relou c'est que ça vous oblige à pencher la tête dans tous les sens pour lire le menu au resto ou regarder votre écran... Alors ça tombe bien puisqu'une startup finlandaise vient de trouver LA solution pour nous débarrasser de cette galère.
En effet, IXI (anciennement Pixieray) a développé des lunettes autofocus qui font la mise au point toutes seules en fonction de ce que vous regardez. Le concept existe depuis un moment dans les labos, mais ça a été suffisamment miniaturisé pour ne rajouter que quelques grammes à des montures qui ressemblent à de vraies lunettes, et pas à un casque de réalité virtuelle.
Le prototype IXI mis à nu, avec sa finition élégante. ( Source )
En fait, ça fonctionne avec des cristaux liquides intégrés dans les verres, et des capteurs infrarouges et des LEDs permettent de tracker vos yeux et de calculer à quelle distance se trouve ce que vous fixez. Du coup, les verres ajustent automatiquement leur correction en quelques millisecondes. Vous regardez votre téléphone ? Correction de près. Vous levez les yeux vers la route ? Correction de loin. Et tout ça sans avoir à bouger la tête.
Et l'équipe derrière ce projet, c'est pas des rigolos puisque ce sont des anciens de chez Nokia, Microsoft HoloLens et Varjo (les gars qui font les casques VR haut de gamme). Ils sont 75 employés et ont levé 36,5 millions de dollars, avec notamment Amazon dans les investisseurs via leur Alexa Fund. Ça vous donne donc une idée du potentiel que les gros du secteur voient dans cette techno.
Perso, ce qui me plaît dans ce concept, c'est qu'on élimine enfin les zones aveugles des verres progressifs. Ce sont ces endroits sur les côtés du verre où tout devient flou alors qu'avec les cristaux liquides, toute la surface du verre est utilisable. Et pour ceux qui flipperaient à l'idée de porter des lunettes high-tech au volant, IXI a prévu un mode failsafe qui fait que si le système plante, les verres se calent automatiquement sur la vision de loin. Pas bête.
Niveau fabrication, l'électronique sort des usines finlandaises et les montures sont finies à la main en Italie. Le prix n'est pas encore annoncé bien sûr mais ce sera pour les richous qui en ont marre de jongler avec deux ou trois paires de lunettes.
Les lunettes IXI, élégantes comme des lunettes classiques, oh yeah ! ( Source )
Le lancement est prévu dans l'année qui vient. En attendant, si vous voulez en savoir plus sur ces histoires de lunettes connectées et de vie privée, jetez un oeil à Ban-Rays , un projet open source qui fait l'inverse à savoir détecter les gens qui vous filment avec leurs Ray-Ban Meta.
TermsTooLong - L'outil qui note les CGU que vous ne lisez jamais
Pour une fois dans votre vie, soyez honnêtes !! Je le sais, vous le savez, PERSONNE ne lit les conditions d'utilisation. On clique sur "J'accepte" comme des automates, et on file nos données personnelles sans même savoir ce qu'on signe. Perso, la dernière fois que j'ai lu des CGU en entier, c'était... celles de hotmail.com en 1996.
Et c'est exactement pour ça que TermsTooLong existe. Ce site analyse et note les politiques de confidentialité et les termes de service de plus de 200 plateformes, de Mozilla à TikTok en passant par Discord et Blizzard. Du coup, au lieu de vous farcir 47 pages de jargon juridique, vous avez une note claire de A- à F.
Et les résultats sont assez révélateurs. Dans le camp des bons élèves, on retrouve Mozilla avec 8.8/10 (note A-), Signal au même niveau, et DuckDuckGo avec 8.5/10. Ces services collectent un minimum de données et sont plutôt transparents sur leur utilisation.
Et puis y'a les cancres. Ubisoft se tape un magnifique 1.8/10 (note F), Blizzard n'est pas loin avec 2.0/10, et TikTok récolte un joli 2.8/10. Si vous vous demandiez pourquoi ces services sont gratuits, vous avez maintenant une partie de la réponse.
Le truc cool, c'est la méthodologie car le site utilise une analyse assistée par IA pour décortiquer chaque document. Il cherche les clauses problématiques telles que la collecte excessive de données, le partage avec des tiers, l'absence de suppression sur demande, ce genre de joyeusetés. Le tout est ensuite vérifié et noté sur des critères précis par des humains.
Y'a même une fonction de comparaison côte à côte. Vous hésitez entre deux services de cloud ? Hop, vous comparez leurs politiques de confidentialité en un clic. Pratique pour faire des choix éclairés sans perdre trois heures à décrypter du juridique.
Voilà, si le sujet de la protection des données personnelles vous intéresse, ce site est une vraie mine d'or. Au moins maintenant, vous saurez exactement ce que vous acceptez quand vous cliquez sur ce fichu bouton.
DoNotNotify - Reprenez le contrôle de vos notifications Android
Vous le savez, les notifications sur Android c'est devenu n'importe quoi. Entre les promos, les rappels débiles et les alertes dont vous n'avez strictement rien à foutre, votre téléphone vibre plus qu'un marteau-piqueur ou que le jouet préféré de votre sœur. Et les options natives d'Android pour gérer tout ça ? Bof, c'est du tout ou rien.
Bref, c'est là qu'arrive DoNotNotify, un petit pare-feu pour vos alertes qui fait exactement ce que son nom indique.
Ça vous permet de créer des règles pour bloquer ce qui vous gonfle, et vous gardez ce qui compte vraiment. Vous pouvez ainsi filtrer par application, par mots-clés dans le contenu du message, ou même utiliser des expressions régulières pour les plus geeks d'entre vous. Du coup, fini les popups "Profitez de -20% !" toutes les 5 minutes pendant que vous essayez de vous concentrer sur vos orteils pour la méditation guidée.
Et le truc vraiment cool, c'est le système de whitelist/blacklist. Vous pouvez mettre une app en mode "je bloque tout sauf les messages urgents" ou au contraire "je garde tout sauf ce spam précis". Hop, vous configurez ça une fois et c'est réglé.
L'interface de création de règles - sobre et efficace
L'autre point qui m'a bien plu, c'est que l'app garde un historique de TOUTES vos alertes, y compris celles que vous avez bloquées. C'est super pratique si vous avez un doute et que vous voulez vérifier que vous n'avez pas loupé un truc important.
L'historique des notifications bloquées - rien ne vous échappe
Côté vie privée, c'est du béton. Tout se passe en local sur votre téléphone, zéro serveur externe, zéro tracking, zéro pub. L'app ne collecte aucune donnée personnelle, ce qui est plutôt rare pour une app gratuite et d'ailleurs, si le sujet vous intéresse, j'avais parlé d' Oversec pour chiffrer vos messages Android , c'est dans la même philosophie.
Pour l'installer, direction le Play Store ou tapez simplement "DoNotNotify" dans le champ de recherche. L'app pèse que dalle et ne bouffe pas de batterie en arrière-plan.
Seul bémol, les notifications "Live Update" d'Android ne peuvent pas être bloquées (c'est une limitation système) et l'app vous prévient avec une petite icône quand c'est le cas.
Voilà de quoi enfin retrouver un peu de sérénité sur votre smartphone !