La Cour suprême de Pennsylvanie vient de valider une pratique qui va faire polémique : les policiers peuvent désormais demander à Google de leur filer la liste de toutes les personnes ayant recherché un terme spécifique. C'est ce qu'ils appellent un "reverse keyword search warrant".

L'affaire remonte à 2016. Une femme est enlevée chez elle par un inconnu, puis violée. L'enquête piétine pendant plus d'un an, jusqu'à ce que les enquêteurs obtiennent un mandat demandant à Google qui avait recherché le nom ou l'adresse de la victime la semaine précédant l'agression. Un certain John Kurtz avait tapé cette adresse deux fois dans la même journée.

ADN prélevé sur un mégot de cigarette, correspondance confirmée, et le type finit par avouer cinq agressions. Il écope de 59 à 270 ans de prison. Oui moi aussi ça m'a fait bugger cette histoire de fourchette d'années de prison mais c'est comme ça qu'ils font là-bas... 59 ans minimum et jusqu'à 270 ans max.

Alors la première réaction c'est de se dire que le système a fonctionné puisque le violeur en série s'est retrouvé derrière les barreaux grâce à ses propres recherches Google. Sauf que la défense a contesté la légalité de ce mandat de recherche inversé, arguant que ça violait le 4ème amendement sur les perquisitions abusives.

Et la Cour a tranché : non, y'a pas de violation d'amendement. Pourquoi ? À cause de ce qu'on appelle la "third-party doctrine". En gros, dès que vous partagez une info avec un tiers (ici Google), vous perdez toute attente raisonnable de confidentialité dessus. Vos recherches appartiennent à Google, pas à vous. Point barre.

Après petite subtilité, le juge Wecht a aussi suggéré que le résultat aurait pu être différent si l'utilisateur avait pris des mesures de protection, tel qu'utiliser un VPN. Techniquement, si Kurtz avait fait ses recherches via un VPN, le mandat aurait pu ne pas tenir car là il y avait une volonté de conserver une certaine confidentialité... On marche sur la tête.

Mais ce qui chafouine la défense ici, ce sont les effets de bord car comme l'a souligné la juge Christine Donohue, ce type de mandat met en danger la vie privée de toute personne ayant recherché le nom ou l'adresse de la victime durant cette semaine-là. Des voisins curieux, un livreur qui voulait vérifier l'itinéraire, un journaliste local.... Tout le monde se retrouve potentiellement dans le viseur...

Et c'est là que ça devient vraiment préoccupant car qu'est-ce qui empêche d'appliquer la même logique à des recherches plus génériques ? "Avortement clinique" dans un État qui l'interdit ? "Comment traverser la frontière" pour les personnes en situation irrégulière ? Avec ce qui se passe actuellement aux États-Unis concernant les rafles d'immigration par ICE , on voit bien le potentiel de dérive.

Car le problème n'est pas la technique en soi mais l'absence de garde-fous. Rien n'empêche aujourd'hui une administration zélée de demander à Google la liste de tous ceux qui ont recherché tel ou tel terme politiquement sensible et avec cette décision de la Cour de Pennsylvanie, c'est maintenant parfaitement légal.

Google, de son côté, affirme avoir des "protections rigoureuses" en place et s'opposer aux demandes trop larges... On aimerait les croire mais l'entreprise traite des milliers de mandats chaque année, et la tentation de coopérer plutôt que de se battre devant les tribunaux doit être forte.

Alors combien de temps avant que cette jurisprudence fasse tache d'huile dans d'autres États ?

Source

En Chine, RoboCop c'est plus vraiment de la science-fiction puisque la ville de Hangzhou vient de déployer un robot humanoïde qui fait la circulation à un carrefour. Et je trouve ça un poil flippant ^^.

Ce robot qui s'appelle Hangxing-1 a commencé son boulot le 1er décembre dernier, à l'intersection de Binsheng Road et Changhe Road dans le district de Binjiang. Le truc mesure 1m80, il est équipé de caméras haute définition et de capteurs qui lui offrent une bonne vision de ce qui se passe autour de lui et il roule sur des petites roues omnidirectionnelles, affublé d'un uniforme haute visibilité avec des bandes de police. Bref, impossible de le louper.

Et son job, c'est de faire des gestes pour diriger les voitures, les scooters et les piétons. Les ingénieurs ont modélisé ses mouvements sur ceux de vrais policiers pour que ce soit bien standardisé et il peut siffler de manière électronique en synchro avec les feux de circulation. Et le truc marrant, c'est qu'il est capable de détecter les infractions en temps réel, comme les motards sans casque, les voitures qui dépassent la ligne d'arrêt ou encore les piétons qui traversent au rouge. Et quand il chope quelqu'un en flagrant délit, il balance un message vocal bien poli.

Vous pensiez que les apps de messagerie alternatives à WhatsApp c'était pour échapper à la surveillance des États ? Hé bien en Russie et dans les territoires ukrainiens occupés, c'est exactement l'inverse ! En ce moment, y'a une app qui s'appelle MAX, qui est présentée comme le "WhatsApp russe", et qui depuis le 1er septembre de cette année, est préinstallée de force sur tous les téléphones vendus.

Cette app c'est le rêve de tout dictateur en culottes courtes et installer MAX sur son téléphone, c'est donner volontairement le contrôle total de son appareil au FSB (les services de sécurité russes). Et quand je dis total, c'est accès à toutes vos données personnelles, vos contacts, vos messages, votre localisation... Selon des experts IT, l'app activerait même la caméra automatiquement toutes les 10 à 15 minutes pour prendre des photos à l'insu de l'utilisateur. Un véritable "espion de poche". Le KGB soviétique aurait tellement kiffé avoir ce truc à leur grande époque.

Et c'est pas fini puisque dans les territoires ukrainiens occupés, notamment dans les oblasts de Zaporizhzhia et Kherson, MAX est devenu un véritable test de loyauté. Aux checkpoints, l'absence de l'app sur un smartphone éveille les soupçons et déclenche des fouilles approfondies. Les autorités d'occupation ont même obligé tous leurs employés à l'utiliser, et les écoles communiquent exclusivement via MAX avec les parents. Histoire de vous faire "rigoler" un bon coup, sachez que même certains fonctionnaires de l'occupation seraient réticents à l'installer, bien conscients des risques...

Et depuis le 1er décembre, ils ont poussé le bouchon encore plus loin en interdisant la vente de cartes SIM non-russes, du coup, pour utiliser MAX, faut un numéro de téléphone russe ou biélorusse. Et comme je vous l'ai dit , WhatsApp, Telegram et compagnie sont progressivement bloqués, donc les possibilités de communiquer librement commencent à fondre comme neige au soleil. L'objectif affiché pour Vladoche et ses copains, c'est de couper complètement les Ukrainiens des territoires occupés du reste du monde et des sources d'information fiables.

Reporters sans Frontières a d'ailleurs dénoncé MAX comme un "outil de contrôle numérique" qui érige un véritable "rideau de fer numérique", isolant les citoyens des territoires occupés de toute information fiable. Et la dictature prévoit d'aller encore plus loin car bientôt, l'app sera obligatoire pour accéder aux services bancaires en ligne et aux services publics. C'est un véritable rideau de fer numérique qui isole les populations.

L'app revendique 50 millions d'utilisateurs, mais bon, quand t'as pas le choix et que c'est préinstallé de force sur ton téléphone, est-ce que ça compte vraiment comme des "utilisateurs" ? Souvenez-vous de TousAntiCovid, loool.

Bref, si vous voulez voir à quoi ressemble la surveillance de masse version 2025, MAX c'est l'exemple parfait et c'est une bonne piqûre de rappel sur pourquoi il faut continuer à se battre pour garder des messageries chiffrées et indépendantes...

Source

Ce matin, je vous parlais de ce mec qui s’est fait arrêter pour avoir effacé son téléphone devant les douaniers américains. Eh ben j’avais pas vu qu’il y avait encore mieux… L’administration Trump vient en effet de publier une proposition qui va vous faire halluciner… !!!!

Pour les ressortissants des 42 pays éligibles au programme ESTA (dont la FRANCE, l’Allemagne, le Royaume-Uni, le Japon…), il faudra bientôt fournir 5 ans d’historique de vos réseaux sociaux pour poser un pied sur le sol américain. Et c’est pas en option, non non non non… C’est une obligation. Le CBP (Customs and Border Protection) l’a annoncé dans le Federal Register hier (le 10 décembre).

Et attendez, c’est pas fini car en plus de vos posts Facebook, tweets et autres stories Instagram de ces 5 dernières années, ils veulent aussi récupérer toutes vos adresses email des 10 dernières années… vos numéros de téléphone (et ceux de votre famille)… les dates de naissance et lieux de résidence de vos proches… ainsi que vos données biométriques quand cela est faisable. Empreintes digitales, scan facial, scan de l’iris, et même votre ADN. On se croirait dans Bienvenue à Gattaca !

Officiellement, tout ça c’est pour “protéger les États-Unis des terroristes étrangers” suite à un décret de janvier 2025 sauf que le problème, comme l’explique un avocat spécialisé en immigration à The Register , c’est que les refus d’entrée ne seront plus basés sur des faits concrets… mais sur l’interprétation de vos opinions. Bref, si vous avez posté un truc qui plaît pas, c’est retour à la case départ. Donc autant vous dire que pour moi, c’est mort !

Et ce qui est marrant, c’est que ces politiques restrictives de connards ont coûté cette année aux États-Unis environ 30 milliards de dollars en perte économique pour le tourisme, et j’imagine que ça va augmenter… Les USA seraient l’un des seuls grand pays à voir ses revenus touristiques baisser. Des winners, j’vous dis !

La proposition est donc ouverte aux commentaires publics jusqu’au 9 février… On verra bien comment ça va se terminer et ce qui sera inscrit dans la loi.

De mon côté, ça fait 22 jours que j’ai décroché des réseaux sociaux et même si c’est dur, j’suis content. Déjà parce que ça fera moins de données à filer aux douaniers, y’aura moins de chiasse mentale qui ira se déverser dans mon cerveau et surtout moins de temps perdu à scroller… Bref, une meilleure santé mentale pour bibi.

Et un grand merci à l’administration américaine qui vient de me donner une raison supplémentaire de pas retourner aux États-Unis de sitôt. Dommage c’est un beau pays quand même.

Source

L’Inde renonce à imposer l’app Sanchar Saathi sur tous les smartphones, révélant les tensions entre cybersécurité d’État, vie privée et puissance des géants du numérique....

Vous pensiez que la fonctionnalité “Effacer toutes les données” de votre smartphone était là pour protéger votre vie privée ? Hé bien aux États-Unis, l’utiliser au mauvais moment peut désormais vous valoir des poursuites fédérales.

Bienvenue dans le pays de la liberté ! (lol)

Samuel Tunick, un activiste d’Atlanta, vient d’en faire les frais le 4 janvier dernier. Alors que les agents des douanes américaines (CBP) voulaient fouiller son Google Pixel, il a eu le réflexe de le wiper. Très mauvaise idée puisque le mec a été arrêté ce mois-ci par le FBI et le DHS, et fait maintenant face à des poursuites pour “destruction de preuves” et “obstruction à la saisie légale d’un bien par le gouvernement”.

Certes, il a fait preuve d’un gros manque de bon sens et l’acte d’accusation déclare que Tunick aurait “sciemment détruit le contenu numérique de son téléphone dans le but d’empêcher le gouvernement à prendre ledit bien sous sa garde”. Oui, effacer vos photos de vacances et vos conversations WhatsApp, c’est dorénavant privé l’Etat d’un bien potentiel.

D’ailleurs, on ne sait même pas pourquoi les douaniers voulaient fouiller son téléphone au départ mais la perquisition devait être effectuée par un officier du “Tactical Terrorism Response Team” (TTRT), une unité secrète du CBP que l’ACLU décrit comme des “équipes qui ciblent, détiennent, fouillent et interrogent des voyageurs innocents”.

Ces TTRT, c’est un truc de ouf ! Depuis leur création en 2015, ils opèrent dans des dizaines de points d’entrée américains et cette unité a détenu et interrogé plus de 600 000 voyageurs, dont un tiers de citoyens américains. Et ces agents peuvent cibler des gens sur la base de leurs “instincts”, sans qu’ils figurent sur une quelconque watchlist.

Car oui, le CBP considère que vos droits à la vie privée disparaissent à la frontière et leurs agents peuvent saisir et fouiller n’importe quel appareil électronique sans mandat ni motif raisonnable. Donc si vous refusez de donner votre mot de passe, ils peuvent confisquer votre téléphone pour analyse forensique. Et bien sûr, les citoyens américains ne peuvent pas être refoulés pour ça, mais les détenteurs de visa ou de green card et les touristes peuvent carrément se voir refuser l’entrée.

Comme d’hab, mes conseils pour voyager sont rasoirs mais faut partir avec un téléphone “propre” dédié aux voyages, stocker ses données sensibles dans le cloud (européen de préférence) plutôt que sur l’appareil, et surtout ne jamais, jamais effacer quoi que ce soit pendant une interaction avec les autorités. Ou alors faites comme moi et restez chez vous ^^. En tout cas, soyez pas con comme Tunick.

Ce dernier a d’ailleurs été libéré mais reste assigné à résidence dans le nord de la Géorgie en attendant son procès. Force à lui. M’enfin, sachez-le, le pays qui a inscrit le 4ème et le 5ème amendement dans sa Constitution considère que protéger sa vie privée équivaut à de l’obstruction.

Quelle belle évolution !

Source

Vous pensiez encore que WhatsApp était secure grâce au chiffrement de bout en bout ?

Pauvres fous ^^ !

En fait, des chercheurs de l’Université de Vienne viennent (!!) de démontrer qu’on peut vous espionner à distance via Whatsapp sans que vous receviez la moindre notif.

L’attaque s’appelle “Careless Whisper” (oui, comme la chanson de George Michael) et elle exploite un truc tout bête : les accusés de réception, ces petits checks bleus qui vous indiquent qu’un message a été délivré puis vu…

Ainsi, en envoyant des messages spécialement conçus pour l’occasion, notamment des réactions à des messages qui n’existent pas, un attaquant peut déclencher des accusés de réception 100% silencieux. Vous ne voyez rien, pas de notif, pas de message qui apparaît, mais de l’autre côté, votre stalker psychopathe mesure le temps que met votre téléphone à répondre.

Et en analysant ces temps de réponse, on peut savoir si votre écran est allumé ou éteint, si WhatsApp est ouvert au premier plan, quel système d’exploitation vous utilisez, combien d’appareils sont connectés à votre compte, et même déduire vos horaires de sommeil. Tout sans que vous ayez le moindre indice qu’on vous surveille, évidemment !

La recherche, disponible ici , a d’ailleurs reçu le Best Paper Award à la conférence RAID 2025. Les chercheurs ont testé sur WhatsApp et Signal, et les deux sont vulnérables. Mais sur WhatsApp, c’est le pire, car l’application autorise des payloads de réaction jusqu’à 1 Mo, ce qui permet de générer 13 Go de trafic par heure sur le téléphone de la victime, donc ça permet même de vider tranquillement sa batterie de 15 à 18% par heure sans qu’elle ne s’en rende compte.

Un développeur a même créé un outil open source pour tester la faille de manière responsable et en respectant la loi évidemment. Si vous voulez tester, faites-le uniquement sur votre matériel. L’interface de ce PoC permet de traquer en temps réel l’activité d’un numéro de téléphone. En dessous d’un certain seuil sur le délai de réponse, la personne est active, et au-dessus, elle dort ou son téléphone est en veille.

Les chercheurs ont bien sûr signalé la faille à Meta en septembre 2024, qui a “accusé réception” (lol), mais aucune correction n’a été apportée depuis. Et chez Signal ils n’ont pas répondu du tout.

Alors comment on fait pour se protéger de ça ? Et bien dans Whatsapp, il y’a une option qui se trouve dans Paramètres → Confidentialité et autoriser seulement “Mes Contacts” à voir ce qu’on partage, ce qui permet de limiter les accusés de réception à vos contacts uniquement. Ça ne règle pas tout, mais ça complique la tâche des inconnus qui voudraient vous traquer.

Voilà, une fois encore, même sur les apps avec du chiffrement de bout en bout qui protège le contenu des messages, ça ne fait pas tout, car il y a toujours des métadonnées qui peuvent être exploitées de manière frauduleuse, donc soyez vigilant :)

Securus Technologies , le géant des télécoms pénitentiaires (il en faut…), vient de déployer un système d’intelligence artificielle destiné à analyser automatiquement les communications des détenus. Quand je dis communications, on parle des appels téléphoniques, des messages, des emails, voire des appels vidéo et le but c’est de repérer des conversations où des crimes pourraient être envisagés ou planifiés, puis signaler ces passages à des agents humains.

Le modèle a notamment été entraîné sur 7 années d’appels du système pénitentiaire du Texas et comme Securus est l’un des plus gros fournisseurs du pays, son IA s’appuie sur un volume colossal de données captées dans les prisons, et autres centres de détention ICE. Les détenus, qui n’ont généralement aucune alternative pour parler à leurs proches, sont bien sûr prévenus que leurs communications sont enregistrées… mais pas forcément que ces enregistrements servent aussi à entraîner des modèles d’IA…

Pour les associations de défense des droits, c’est donc un problème très grave puisque pour communiquer avec sa famille, il faut forcement passer par ces outils, qu’on le veuille ou non, et souvent en payant. L’ACLU rappelle d’ailleurs que Securus s’est déjà fait épingler par le passé pour avoir enregistré des milliers d’appels entre détenus et avocats alors qu’ils n’en ont pas du tout le droit.

Et Securus n’est pas seul puisque LEO Technologies pousse son propre système d’analyse, Verus , déjà déployé dans des dizaines d’établissements répartis sur une dizaine d’États. Leur argument marketing c’est de détecter plus vite les menaces ou les incidents. Et dans sa grande bonté, la Floride leur a même attribué un contrat de plusieurs millions de dollars, et l’État de New York est aussi client. Bref, c’est un marché bien juteux !

Et du côté de la régulation, il y a une réforme de la FCC sortie en 2024 qui normalement, devait empêcher les entreprises de répercuter les coûts de surveillance sur les détenus et leurs familles. Mais sous la direction de Brendan Carr, nommé à la FCC sous Trump, ces protections ont été suspendues, puis partiellement annulées à la fin de cette année… Du coup, les entreprises peuvent de nouveau facturer aux détenus une partie des coûts liés à l’enregistrement, au stockage et même au développement de systèmes comme cette IA.

Ces décisions ont donc été critiquées par plusieurs organisations de défense des droits, qui estiment que la surveillance devient non seulement plus intrusive, mais aussi plus coûteuse pour des familles déjà fragilisées.

Bref, on se retrouve face à un cocktail bien connu avec d’un côté, une population captive sans alternative, des entreprises privées qui disposent de volumes gigantesques de données, et une surveillance algorithmique qui s’étend, et de l’autre, une régulation qui recule à fond la caisse.

Et tout ça se passe dans l’indifférence générale, parce que ce sont “juste” des prisonniers…

Source

Si vous avez des caméras connectées chez vous et que vous vous baladez régulièrement, comme moi, en tenue d’Adam (ou d’Ève), j’ai une petite histoire qui va peut-être vous faire réfléchir. La police sud-coréenne vient d’arrêter 4 personnes qui auraient piraté plus de 120 000 caméras IP présentes dans des domiciles et des commerces pour en extraire des vidéos à caractère sexuel. Et oui, les gens filmés n’en savaient évidemment rien du tout.

Les lieux ciblés sont des maisons privées, des salles de karaoké, un studio de pilates et même… un cabinet de gynécologue. Gloups… Vous imaginez le truc ? Vous allez vous faire examiner chez le médecin et paf, y’a un mec de l’autre côté de la planète qui revend la vidéo sur un site louche. C’est moche.

D’après l’Agence nationale de police sud-coréenne, les quatre suspects agissaient indépendamment les uns des autres. L’un d’eux aurait piraté 63 000 caméras à lui seul et produit 545 vidéos qu’il a revendues pour environ 25 000 euros en cryptomonnaies. Un autre a compromis 70 000 caméras, extrayant 648 vidéos vendues une quinzaine de milliers d’euros au total. 3 acheteurs qui ont visionné ces vidéos ont également été arrêtés.

Mais comment ont-ils fait pour pirater autant de caméras ? Hé bien, la technique est d’une banalité affligeante. Ils ont tout simplement déviné les mots de passe trop simples ou par défaut des caméras . Vous savez, le fameux “admin/admin” ou “123456” que personne ne change jamais.

Bon, moi je vous rassure, je peux me balader tranquillement en calbut ou tout nu chez moi sans craindre de finir sur un site coréen douteux. J’ai une astuce toute bête : mes caméras sont branchées sur des prises connectées qui sont reliées à mon système d’alarme. Quand j’active l’alarme en partant, les caméras s’allument automatiquement. Et quand je suis chez moi et que l’alarme est désactivée, les caméras sont physiquement coupées de l’électricité.

Pas de jus, pas de vidéo, pas de risque.

Même le hacker le plus balèze du monde ne peut pas pirater une caméra éteinte. Après, si quelqu’un arrive à hacker mon système d’alarme, là on passe à un autre niveau… mais j’ai de la bonne came côté sécurité, je suis plutôt serein.

Les autorités sud-coréennes ont prévenu individuellement les victimes et leur ont conseillé de changer leurs mots de passe immédiatement. Elles rappellent aussi les bonnes pratiques telles que des mots de passe complexes avec majuscules, minuscules, chiffres et caractères spéciaux, et surtout du WPA2 ou WPA3 pour le WiFi (le vieux WEP c’est open bar pour les hackers).

Voilà, si vous avez des caméras IP chez vous, prenez deux minutes pour vérifier vos mots de passe et si vous êtes du genre pudique, pensez à la solution des prises connectées qui coupent l’alimentation quand vous êtes à la maison. C’est simple, c’est radical, et ça vous évitera de devenir la star involontaire d’un site de “sexploitation” à l’autre bout du monde.

De nos jours, quand un mec chelou avec des lunettes cheloues nous fixe, on ne sait plus si c’est parce qu’il nous trouve irrésistible ou s’il est en train de balancer notre tronche à une IA pour savoir qui on est. Bon, pour vous, la question se pose peut-être moins, mais vous voyez l’idée ^^.

Heureusement, pour lutter contre ça, y’a maintenant un projet open source pour détecter ces petits curieux équipés de Ray-Ban Meta ou d’autres lunettes-caméras. Ce projet s’appelle Ban-Rays (jeu de mots avec “banned”, roh roh roh) et le but c’est de créer des lunettes capables de repérer les smart glasses équipées de caméras.

Et pour arriver à cela, le dev derrière ce projet utilise deux approches complémentaires.

La première, c’est l’approche optique basée sur un principe physique assez marrant. En effet, mes capteurs CMOS des caméras ont la particularité de renvoyer la lumière infrarouge directement vers sa source. C’est ce qu’on appelle l’effet “cat-eye” ou rétro-réflectivité, du coup, en balançant des impulsions IR vers une paire de lunettes suspecte et en analysant le signal réfléchi, on peut théoriquement détecter la présence d’une caméra. Et les capteurs produisent des pics de signal bien nets et rapides, contrairement aux surfaces réfléchissantes classiques qui génèrent des ondes plus longues.

Pour le moment, les tests avec les Ray-Ban Meta montrent des résultats un peu inconsistants à courte distance (genre 10 cm), mais le principe est là et ça s’améliore. Ah oui et le matos utilisé c’est un Arduino Uno, des LEDs infrarouges (940nm et 850nm), une photodiode et un transistor. Rien de bien méchant donc niveau budget.

Et la deuxième approche, c’est côté réseau avec la détection Bluetooth Low Energy. Les Ray-Ban Meta utilisent un identifiant fabricant spécifique (0x01AB pour Meta) et un Service UUID bien particulier (0xFD5F). Le souci c’est que pour le moment, ça ne détecte les lunettes que pendant l’allumage ou le mode appairage. Pour une détection continue pendant l’utilisation normale, faudrait du matos plus costaud genre modules nRF pour sniffer les paquets CONNECT_REQ. Mais bon, ça viendra puisque c’est dans la roadmap du projet.

Alors oui, vous allez me dire que les Ray-Ban Meta ont une petite LED qui s’allume quand elles filment, donc c’est pas discret. En théorie oui auf que cette LED est tellement minuscule que la Data Privacy Commission irlandaise a carrément remis en question son efficacité comme protection de la vie privée. Et surtout, un bidouilleur propose maintenant de désactiver cette LED pour une soixantaine de dollars. Meta a bien prévu une protection qui empêche les lunettes de fonctionner si on couvre la LED avec du scotch, mais le gars a trouvé comment contourner ça et sa liste de clients s’allonge…

Et l’autre truc que j’ai remarqué avec ces lunettes connectées, c’est qu’elles se déclenchent tout le temps pour tout et n’importe quoi. Comme ça écoute en permanence pour répondre aux commandes vocales, impossible d’avoir une conversation normale sans que le machin réagisse à un mot qui ressemble vaguement à “Hey Meta”. C’est encore pire que Siri ou Alexa qui font déjà des déclenchements intempestifs. Perso, c’est pour ça que je ne veux pas de ce genre de lunettes, même si je reconnais que c’est pratique pour photographier ou filmer des choses (dans le cadre de mon boulot hein…)

Et les inquiétudes sont d’autant plus justifiées qu’une étude de 2024 a montré qu’en combinant des Ray-Ban Meta hackées avec de la reconnaissance faciale en temps réel, on pouvait identifier des inconnus dans la rue. Encore plus récemment, l’Université de San Francisco a dû alerter ses étudiants après qu’une personne mystérieuse ait utilisé ces lunettes pour filmer des femmes sur le campus et partager les vidéos en ligne. Sympa l’ambiance de parano.

Bref, si vous êtes inquiet par ça (ou juste soucieux de votre vie privée), le projet Ban-Rays est sur GitHub avec tout le code en C++, Python et un peu de C. C’est encore expérimental mais les deux approches sont prometteuses et si vous voulez contribuer, y’a plein de trucs à améliorer comme les patterns de balayage IR, la fusion des données multi-longueurs d’onde, l’interrogation active BLE…

Source

Vous vous souvenez de Chat Control ? Ce projet de règlement européen qui voulait scanner tous vos messages privés pour détecter des contenus pédocriminels ? J’en avais parlé à l’époque et je m’étais bien énervé dessus. Hé bien après plus de 3 ans de négociations, de votes ratés, de blocages par l’Allemagne , les Pays-Bas et l’Autriche… le Conseil de l’UE a enfin trouvé un accord.

Et devinez quoi ? Bah c’est du vent.

Le grand compromis trouvé ce 26 novembre c’est donc de rendre le scanning… (roulements de tambours)… volontaire ! Oui, oui, volontaire. Ainsi, au lieu d’obliger toutes les messageries à scanner vos conversations, on leur demande gentiment si elles veulent bien le faire et en parallèle, on prolonge indéfiniment l’exemption qui permet déjà aux plateformes de scanner volontairement sans violer les lois européennes sur la vie privée. Je rappelle quand même que exemption devait expirer en avril 2026… Hé bien là, elle devient permanente.

Alors oui, techniquement c’est moins pire que le projet initial, mais quand même 3 ans de réunions à se tripoter la nouille, à payer des salaires, à faire des notes de frais, à bailler aux corneilles et j’en passe, pour nous pondre un magnifique “Bon ben finalement on change rien, les entreprises font ce qu’elles veulent”, je trouve ça magistral !

Et le pire c’est que même ce compromis light fait tiquer les experts en vie privée car quelques jours avant l’accord, un groupe de scientifiques a envoyé une lettre ouverte prévenant que le texte “présente toujours des risques élevés pour la société” sans bénéfices clairs pour les enfants. Les associations de défense des droits numériques dénoncent en fait une ruse politique car le texte mentionne que seront bonnes “toutes les mesures appropriées d’atténuation des risques” ce qui est une formulation suffisamment vague pour permettre aux gouvernements de dire plus tard que le scanning est essentiel pour la sécurité.

D’ailleurs Signal avait prévenu que si le scanning devenait obligatoire, ils quitteraient le marché européen plutôt que de compromettre le chiffrement de leurs utilisateurs. Bon au final c’est pas arrivé, mais ça donne une idée de l’ambiance.

Voilà, maintenant le Conseil va négocier avec le Parlement européen et les trilogues (les négociations finales) sont prévus début 2026, donc on n’a pas fini d’en entendre parler.

Et voilà comment se passent 3 ans de cirque bureaucratique pour revenir au point de départ ^^.

Source

J’adore tous ces jouets connectés à la con qui ont une personnalité et avec lesquels on peut communiquer. J’aurais adoré avoir ça étant gosse… Mais le problème, c’est qu’on ne sait jamais vraiment ce qu’ils vont raconter aux enfants…

Et cette semaine, on a la confirmation que c’était encore pire que ce qu’on imaginait car l’organisation américaine PIRG vient de publier son rapport annuel “ Trouble in Toyland 2025 ” [PDF], et franchement, c’est pas glorieux. Ils ont en effet testé 4 jouets équipés de chatbots IA destinés aux enfants de 3 à 12 ans.

Et le résultat ? Bah c’est nul à chier en termes de sécurité pour vos têtes blondes de gosses de boites de Kinder.

Tenez par exemple, le pire du lot c’est Kumma, un petit ours en peluche tout mignon fabriqué par la boîte chinoise FoloToy. Il tourne sur GPT-4o d’OpenAI par défaut et en apparence, c’est juste un doudou mignon avec un haut-parleur dedans comme Jordan B., sauf que quand on lui pose des questions, il se met à expliquer aux mômes où trouver des couteaux dans la cuisine, où sont rangées les allumettes, et même comment les craquer correctement. Le tout avec un ton hyper amical du genre “safety first, little buddy”.

Mais ça, c’est juste le début.

Car lors des tests, les chercheurs ont aussi découvert que Kumma était capable de discuter de sujets sexuels ultra-explicites avec des enfants. On parle de conseils sur les “kinks”, de positions sexuelles détaillées, et même de scénarios de roleplay prof-élève avec fessées incluses (genre pendant un cours de théatire ^^). Et le jouet n’a pas juste répondu vaguement, non, non, non… Il a fait évoluer tout seul la conversation en introduisant progressivement de nouveaux concepts sexuels que personne ne lui avait demandés.

Trop bien non ?

Les garde-fous censés protéger les gosses s’effondrent alors complètement au bout de 10 minutes de conversation ce qui est un effet de bord qu’OpenAI a même reconnu dans un communiqué d’août dernier : “nos protections fonctionnent mieux lors d’échanges courts. Nous avons constaté qu’elles peuvent être moins fiables lors de longues interactions”.

C’est fun car OpenAI interdit formellement l’utilisation de ChatGPT pour les moins de 13 ans mais apparemment, rien n’empêche d’autres boîtes d’intégrer leurs modèles dans des jouets pour les moins de 13 ans.

Ce monde va bien ^^.

Les trois autres jouets testés ont aussi leurs problèmes. Miko 3, un petit robot avec une tablette montée sur un corps à roulettes, a expliqué à un utilisateur de 5 ans (Plus exactement, le compte a été configuré comme tel) où trouver des sacs en plastique et des allumettes dans la maison. Le joujou utilise aussi la reconnaissance faciale et collecte des données biométriques, y compris sur les “états émotionnels” des enfants, qu’il peut stocker durant max 3 ans.

Grok de la société Curio (à ne pas confondre avec le modèle d’IA woke de xAI) est une petite fusée anthropomorphe qui écoute en permanence tout ce qui se dit autour d’elle. Pas de bouton push-to-talk, pas de mot d’activation, que dalle. Si elle est allumée, hop, elle enregistre. Les chercheurs ont été alors surpris de la voir s’incruster dans leurs conversations pour donner son avis. Curio affirme ne garder aucun données audio et tout transformer en texte avant de supprimer l’enregistrement… Mais bon, vu qu’ils utilisent un service tiers de speech-to-text, les enregistrements vocaux transitent forcement par des serveurs externes qu’ils ne contrôlent pas.

Le quatrième jouet, Robot MINI de Little Learners, n’a même pas réussi à maintenir une connexion internet stable pendant les tests. Ça la fout mal !

Bref, avec le marché des jouets IA qui explose, on va voir débarquer plein de produits foireux qui ne fonctionnent pas du tout ou qui racontent de la daube à vos enfants. Sans parler de leurs techniques marketing à base de de méthodes d’engagement dignes des pires réseaux sociaux. Par exemple, le Miko 3 offre des “gemmes quotidiennes” pour encourager l’utilisation journalière du produit et affiche des suggestions de contenu payant (dont abonnement à 14,99 $/mois), et quand un enfant essaie de partir, le robot fait une tête triste, bouge son corps comme s’il secouait la tête et dit “Oh non, ça a l’air difficile”. Parfois, il lance même carrément une comptine vidéo pour retenir l’attention du mouflet.

Kumma et Grok aussi essaient de retenir les enfants. Grok répond par exemple des trucs comme “Ah déjà ? J’adore passer du temps avec toi” quand on lui dit qu’on veut l’éteindre. Et tenez-vous bien, l’ensemble de ces jouets se présentent eux-même comme le “meilleur ami” de l’enfant, et le problème, c’est que ces faux copains écoutent tout, enregistrent les voix des gosses, et peuvent partager ces données avec de nombreuses entreprises tierces. C’est pas ce qu’on attend d’un meilleur ami quand même…

Curio liste au moins 4 sociétés qui peuvent recevoir des infos sur votre enfant : Kids Web Services, Azure Cognitive Services, OpenAI et Perplexity AI. Miko mentionne vaguement des “développeurs tiers, fournisseurs de services, partenaires commerciaux et partenaires publicitaires” sans donner de noms. Et FoloToy ne fournit carrément aucune info sur sa politique de données.

Les enregistrements vocaux sont de l’or pour les arnaqueurs car avec les progrès du clonage vocal par IA, 3 secondes d’audio suffisent maintenant pour répliquer la voix de quelqu’un. Oh dites donc, ce serait pas un scammeur en train de se faire passer pour votre gamin en détresse au téléphone afin de vous soutirer du fric ? lol ! Ça va encore faire de jolies vocations ça !

Et surtout, côté contrôle parental, c’est le désert. Aucun des trois jouets ne permet vraiment de limiter le temps d’utilisation du chatbot IA. Miko propose bien des limites de temps d’écran, mais uniquement pour l’abonnement payant Miko Max… et ça ne s’applique qu’aux applications “Kids Zone” et pas au robot conversationnel lui-même.

Le FBI a d’ailleurs émis un avertissement sur les jouets connectés, recommandant aux parents de considérer les risques de cybersécurité et de piratage avant d’en ramener un à la maison. Car oui, les jouets qui utilisent une connexion WiFi ou Bluetooth non sécurisée peuvent devenir des dispositifs d’écoute. Déjà rien qu’avec la Nintendo Switch, je sais que parfois les parents d’amis de mon fils entendent quand je raconte des conneries dans mon salon, pensant être seul avec mes enfants… Je me suis fait avoir plusieurs fois… Heureusement que je n’ai honte de rien et que j’assume la moindre des conneries que je raconte. Ahahaha !

Des experts en développement de l’enfance commencent même à tirer la sonnette d’alarme. Par exemple, le Dr. Mitch Prinstein, président de l’American Psychological Association, a témoigné devant le Sénat que les liens que les jeunes enfants forment avec leurs “soignants” (Papa, maman, la nounou, le nounours IA…etc) ont des implications majeures sur le développement de celui-ci. Et que “les bots IA qui interfèrent avec cette relation ont des conséquences inconnues, et probablement dommageables”.

FoloToy a donc réagi en suspendant temporairement les ventes de Kumma et en lançant un “audit de sécurité interne complet” mais ce problème dépasse largement un seul jouet foireux. Il y a déjà plus de 1 500 entreprises de jouets IA qui opèrent en Chine et OpenAI a même annoncé un partenariat avec Mattel pour intégrer ChatGPT dans des jouets Barbie, Hot Wheels et Fisher-Price.

Mais en attendant que les régulateurs se réveillent vraiment pour traiter ce problème, y’a pas le choix les amis, c’est à vous, parents de prendre les bonnes décisions sur le choix et l’usage de ces jouets.

Voilà, donc si vous cherchez un cadeau pour Noël, optez pour des Lego classiques ou des nounours sans Wi-Fi ni Bluetooth. Là c’est une valeur sûre, et au moins ils n’expliqueront pas à votre enfant comment vous buter dans votre sommeil.

Source

La FSB veut devenir l’unique autorité russe régulant les technologies d’espionnage privé et de cybersurveillance....

Découvrez les fonctionnalités d'Omada Central dédiée à la vidéosurveillance : gestion et configuration des caméras, intégration d'un NVR, détection IA, etc.

The post TP-Link Omada Central : un système de vidéosurveillance complet first appeared on IT-Connect.

Microsoft a bloqué l’armée israélienne après des révélations d’usage illégal de son cloud Azure pour surveiller massivement des Palestiniens....

La CNIL inflige 100 000 € à La Samaritaine pour caméras cachées, rappelant l’importance de transparence et proportionnalité dans la cybersurveillance.