Christophe Boutry's avatar
Christophe Boutry
cedhaurus@christopheboutry.com
npub1nzjm...67g0
(Ex-DGSI) ̶H̶a̶u̶r̶u̶s̶ | #Cyber #Justice 💾 Auteur 📖 | Consultant en analyse criminelle | 🇫🇷 YouTube channel creator ➡️ https://youtube.com/@Ced_haurus > ⚡️ Projet nostr:npub1n2878xq8jmacnjsyun6a0nrys7tcglzq8znzv05s33ddrxupd36q6uhtpg ➡️ Relay wss://relay.nostrmap.net > 🔵 Fuites Infos (recensement des fuites de données impactant la France 🇫🇷 https://fuitesinfos.fr
🔴 Les systèmes de vérification d'âge et d'identité en ligne sont des passoires. Exemple N°87876 Onfido (désormais @Entrust_Corp), l'un des géants mondiaux de la vérification d'identité, aurait subi une fuite de données. 👉 @Spiko_finance, plateforme fintech de placement de trésorerie, alerte ses clients... 10 MOIS après les faits, que son prestataire KYC (Onfido/Entrust) a subi un accès non autorisé à son compte. Données concernées : pièces d'identité et selfies de vérification faciale. 3 fois rien. La plateforme Spiko elle-même n'est pas compromise, c'est bien le prestataire tiers qui l'est. Mais le problème reste entier : vos papiers d'identité et votre visage finissent stockés chez un tiers, avec un délai de notification de près d'un an. Alors @EmmanuelMacron, prêts pour le grand lancement en septembre ? Prêts à faire fuiter les papiers de vos concitoyens ? image
👉 Excellent article de @Korben qui vous donne quelques astuces pour reprendre la main sur le GDID, cet identifiant que Windows colle à votre installation dès la toute première connexion, et que ni VPN, ni changement d'IP, ni passage en compte local ne parviennent à effacer. Le service qui le fait remonter (DoSvc) refuse même de se laisser désactiver par un admin classique. Korben a testé la manip sur une VM et publié des scripts (audit en lecture seule, puis blocage) sur GitHub, avec une commande pour tout annuler si besoin. Attention toutefois : ça réduit ce que Microsoft pourra corréler à l'avenir, mais ça n'efface pas le GDID déjà enregistré sur leurs serveurs depuis votre première connexion. Pour une activité vraiment sensible, la seule vraie parade reste de ne pas utiliser Windows du tout : un Linux live offre un contrôle total sur ce qui sort de la machine. Avant de toucher au registre, testez d'abord sur une VM avec un snapshot. On parle de services système.
👉Microsoft peut faire tomber toutes tes protections. Ton VPN, ton IP masquée, tes comptes cloisonnés, rien de tout ça ne suffit face à un identifiant que Windows attribue à ta machine et que tu ne peux pas désactiver. Et un cybercriminel vient d'en faire les frais 🔽 Peter Stokes, 19 ans, double nationalité américano-estonienne, vient d'être extradé de Finlande vers les États-Unis. Il est accusé d'association de malfaiteurs et de piratage lié à une demande de rançon de 8 millions de dollars contre un bijoutier de luxe en mai 2025, dans le cadre de l'affaire Scattered Spider. La façon dont les autorités avec l'aide de Microsoft, ont réussis à l'identifier est finalement assez simple : le fournisseur d'OS a une visibilité que ni le VPN ni les réglages de confidentialité ne peuvent contrer. ▶️ Le concept clé : le GDID Le Global Device Identifier est un identifiant unique attribué à chaque installation de Windows. Il sert normalement au diagnostic, au crash reporting, à l'analyse d'usage des fonctionnalités, et à la détection d'abus (comptes multiples pour contourner des essais gratuits, par exemple). Les équipes de sécurité l'utilisent aussi de façon défensive : une connexion depuis un appareil inconnu sur un compte connu, ou l'inverse, est un signal classique de compromission. Ce GDID ne change pas, sauf réinstallation complète de l'OS. Tu peux changer de VPN, de compte, de pseudonyme. La machine, elle, reste identifiable. ▶️Comment Microsoft a fait le lien Stokes a créé un compte ngrok (utilisé pour exposer des services locaux à Internet, technique courante dans ce type d'intrusion) en passant par un VPN pour masquer son adresse IP. Le VPN a bien masqué l'IP. Mais Microsoft, sur réquisition judiciaire, a pu établir que le même GDID avait accédé à la page d'inscription ngrok exactement au moment de la création du compte. L'identifiant machine a fait le lien que l'IP ne pouvait pas faire. À partir de là, les enquêteurs ont recoupé l'historique d'adresses IP associées à ce GDID avec les horodatages de connexion sur Snapchat, Apple et Facebook, retrouvant des correspondances à Tallinn, New York et en Thaïlande. Pourquoi c'est Microsoft qui tient la clé, pas toi Le VPN protège la couche réseau. Il ne protège pas la couche appareil. Et cette couche appareil, c'est Microsoft qui la contrôle, pas toi. Tant que ta machine physique reste la même sous Windows, elle porte un identifiant persistant que toi-même tu ne peux ni voir ni désactiver par un simple réglage. ▶️Une précision que je tiens à faire Plusieurs posts viraux affirment que Microsoft aurait eu accès à "l'historique complet de navigation" ou à "l'activité de jeux vidéo" de Stokes. Ce n'est pas ce que disent les documents judiciaires rendus publics. Ce qui est documenté, c'est la corrélation GDID/horodatage sur l'inscription ngrok, puis le recoupement avec les journaux de connexion d'autres plateformes. Je préfère rester sur ce qui est vérifiable : le pouvoir réel de Microsoft ici est déjà suffisamment important sans en rajouter. Une raison de plus de se passer de Microsoft... Source images : @thecomfeed
👉 Protégez-vous de la surveillance mobile 📱 Android propose depuis la version 16 une option qui peut vous alerter si votre téléphone se connecte à un réseau mobile suspect ou non sécurisé, y compris dans certains scénarios compatibles avec une fausse antenne-relais : IMSI catcher, Stingray, SMS blaster, etc. 📲 Comment vérifier Allez dans Paramètres > Réseau et Internet > Sécurité du réseau mobile. Si votre téléphone est compatible, vous devriez y trouver deux réglages importants : • Notifications relatives aux réseaux • Réglage 2G / Autoriser la 2G La bonne pratique : activez les notifications réseau, et désactivez la 2G. Attention : cette page n’apparaît que si votre téléphone, son modem et l’intégration du constructeur le permettent. J’y reviens plus bas. ⚡ Ce qui protège vraiment bien : désactiver la 2G La 2G n’a jamais été conçue avec une authentification mutuelle robuste entre le téléphone et le réseau. En clair : le téléphone doit prouver son identité au réseau, mais le réseau ne prouve pas suffisamment la sienne au téléphone. C’est précisément ce qui rend possibles beaucoup d’attaques par fausse antenne bon marché, notamment les “SMS blasters”, qui forcent un retour vers la 2G pour injecter des SMS de phishing en contournant les filtres antispam des opérateurs. Désactiver la 2G ferme cette porte. C’est la seule brique qui ressemble vraiment à un blocage, plutôt qu’à une simple alerte. 🔔 Ce qui est plus nuancé : les notifications réseau Ici, Android ne bloque pas tout. Il alerte. Deux signaux sont notamment surveillés : • une connexion mobile non chiffrée ; • un accès par le réseau à des identifiants uniques du téléphone ou de la carte SIM, comme l’IMSI ou l’IMEI. Ce deuxième signal peut aider à repérer certains comportements suspects, y compris sur des réseaux plus modernes que la 2G. Des attaques LTE/4G peuvent chercher à forcer ou exploiter des procédures de signalisation pour récupérer l’identité permanente d’un abonné, ou relier cette identité à des identifiants temporaires. Mais attention : un échange isolé d’identifiants peut aussi être normal, par exemple après une reconnexion, un changement de réseau ou une sortie du mode avion. Donc une notification ne prouve jamais à elle seule qu’il y a surveillance. C’est un indice à interpréter, pas une preuve. 📡 Et la 5G ? La 5G introduit le SUCI, qui vise à masquer l’IMSI avant transmission radio. Sur le papier, c’est un progrès majeur par rapport aux générations précédentes. Mais la protection réelle dépend de l’architecture utilisée par l’opérateur. En 5G NSA, très répandue, le réseau s’appuie encore en partie sur l’infrastructure 4G/LTE. En 5G SA, la protection de l’identité permanente est meilleure, mais cela ne rend pas toute forme de traçage ou de corrélation impossible. Autrement dit : l’icône “5G” sur votre téléphone ne suffit pas à garantir que vous êtes protégé contre tous les scénarios de fausse antenne ou de surveillance radio. ⚙️ Le vrai frein : la disponibilité matérielle Ce paramètre n’apparaît que si votre appareil supporte les bonnes API radio côté Android, avec un modem compatible et une intégration constructeur adaptée. Il ne suffit donc pas d’avoir Android 16 ou plus. Il faut aussi le bon matériel. Résultat : une grande partie du parc Android actuel ne verra probablement pas encore cette page, ou pas toutes les options. ✅ En résumé Désactivez la 2G si l’option existe. C’est une vraie mesure de protection contre une famille d’attaques encore très utilisée. Activez aussi les notifications réseau. C’est utile, mais ce n’est pas un bouclier magique : cela vous donne un signal, pas une certitude. Et si vous ne voyez pas ces réglages, ce n’est pas forcément une erreur : votre téléphone ou son modem ne les supporte peut-être pas encore.
Protégeons la planète, réduisons notre consommation d'électricité. image
▶️ Recherche d'inspiration Quel sujet souhaiteriez-vous que je traite sur la chaîne pour la prochaine vidéo ?
👉 Accrochez-vous bien, on va franchir une nouvelle étape dans la dystopie Orwelienne qu'est la France de 2026. A partager autour de vous. Tes AirPods vont bientôt parler aux radars ! Qui vont également aspirer toutes les ondes sur leur chemin pour l'associer à ton immatriculation. On est pas mal là. Lisez donc. Leonardo, groupe de défense italien coté en bourse (capitalisation d'environ 29 milliards d'euros), commercialise une technologie baptisée SignalTrace. Le principe : greffer des capteurs sans fil sur les lecteurs automatiques de plaques d'immatriculation (LAPI) déjà en place pour aspirer les signaux Bluetooth, Wi-Fi et RFID de tous les appareils qui passent à portée. Smartphones. AirPods. Montres connectées. Trackers fitness. Capteurs de pression des pneus. Tablettes. Même les puces des animaux de compagnie. Chaque appareil émet un identifiant radio. Le système les capture, les croise avec ta plaque d'immatriculation et génère une empreinte numérique unique. Résultat : si tu changes de voiture ou couvres ta plaque, ton profil d'appareils te suit quand même. Ce n'est plus ton véhicule qu'on traque. C'est toi. Le brevet a été obtenu en 2024. Le produit est déjà commercialisé aux États-Unis, notamment via Flock Safety, opérateur de milliers de caméras ALPR sur le territoire. Plus de 50 agences gouvernementales américaines ont déjà utilisé ce type de système pour surveiller et ficher des manifestants se rendant à des rassemblements politiques. Sur la protection de la vie privée, Leonardo avance un argument : le système ne déchiffre pas le contenu des communications, il se contente de capturer des signaux diffusés dans l'espace public. Comme lire une plaque. Sauf que lire une plaque identifie un véhicule. Capturer l'ensemble des appareils d'un conducteur construit un dossier comportemental complet : domicile, lieu de travail, visites médicales, fréquentations. Et non, la randomisation des adresses MAC ne suffit pas. Le device fingerprinting, c'est-à-dire la corrélation de plusieurs signaux émis ensemble de façon récurrente, permet de contourner cette protection. Si deux appareils voyagent systématiquement ensemble et réapparaissent sur plusieurs points de détection, le système en déduit qu'un même individu se déplace, qu'importe si les identifiants ont changé. En France, Leonardo est déjà présent. Les LAPI sont massivement utilisés par la police nationale, la gendarmerie et les douanes, et le Sénat a approuvé leur déploiement généralisé fin 2023. SignalTrace n'est qu'une mise à niveau matérielle. La transition pourrait se faire de manière rapide et totalement invisible pour les citoyens. Le RGPD impose en théorie que toute collecte de données personnelles soit justifiée, proportionnée et limitée. Mais l'argument de "l'espace public" est précisément celui qu'utilise Leonardo pour justifier la collecte. La jurisprudence de la CJUE sur la conservation généralisée de données de connexion serait un frein, mais aucun texte n'interdit explicitement la captation passive de signaux Bluetooth en bord de route. Leonardo envisage d'ailleurs d'étendre SignalTrace au-delà des routes : gares, centres commerciaux, grands événements. L'infrastructure routière était une porte d'entrée. Le projet est plus large. On a longtemps pensé que surveiller quelqu'un nécessitait de l'identifier d'abord. SignalTrace inverse la logique : on collecte tout en permanence, et on interroge la base après coup quand un enquêteur en fait la demande. Ce n'est plus de la surveillance ciblée. C'est de l'archivage préventif de masse. Et là, là il va falloir commencer à se poser les bonnes questions.
👉 [Nouvelle vidéo] Votre voiture est officiellement le pire produit tech pour la vie privée. Blindée de trackers à l'intérieur. Vos données exploitées par les constructeurs, revendues au plus offrant, accessibles aux forces de l'ordre. Et à l'extérieur, elle est pistée à chaque instant par un réseau de surveillance de masse couvrant l'ensemble du territoire. Nos voitures se sont transformées en mouchards. Voici comment : 🔗
❗️❗️Urgent ❗️❗️🚨 #ChatControl Lundi, le trilogue final de la commission européenne va tenter d'entériner la vérification d'âge obligatoire dans les app stores européens ! Pour une application dans les semaines suivantes. Ce que ça veut dire dans votre vie quotidienne : pour télécharger WhatsApp, Signal, Telegram sur votre iPhone ou votre Android, vous devrez prouver votre âge à Apple ou Google. Pièce d'identité. Scan facial. Avant le moindre téléchargement. Et avec des OS de plus en plus verrouillés, vous n'aurez plus le choix. Sur iOS, il n'existe qu'une seule porte d'entrée officielle : l'App Store. Sur Android, Google Play domine. Ces stores ne sont pas des options, ce sont des infrastructures obligatoires pour 99% des utilisateurs. Vérification de l'âge et de l'identité pour communiquer. Vérification de l'âge en France en septembre pour accéder aux réseaux sociaux. Dans les prochaines semaines, vos libertés les plus fondamentales sont en jeu. 👉 Contactez vos eurodéputés. Demandez-leur de refuser toute vérification d’âge obligatoire pour accéder aux messageries privées et aux app stores. image
🔴 Le Conseil de l'UE vient de démontrer, une fois de plus, qu'il se fout totalement des votes démocratiques quand ils ne lui plaisent pas. #chatcontrol En mars 2026, le Parlement européen a rejeté à 311 voix contre 228 l'extension de Chat Control V1 qui a donc expiré. Rappel pour ceux qui ont manqué l'épisode : Chat Control V1, c'est la dérogation temporaire en place depuis 2021 qui autorisait Gmail, Facebook Messenger, Snapchat ou Xbox à scanner automatiquement l'intégralité de vos messages privés non chiffrés. Sans mandat judiciaire. Sans suspicion. Sans que vous en soyez informé. Du scanning de masse permanent, légalisé discrètement au nom de la lutte contre les contenus pédopornographiques, un argument rhétorique suffisamment blindé pour décourager toute opposition publique. Le Parlement a dit non. Le Conseil, lui, a refusé chaque compromis proposé et laissé la dérogation expirer sciemment... Des infos confidentielles ont fuité depuis : les États membres ne voulaient rien céder, de peur de créer un précédent qui fragiliserait leur position sur Chat Control V2. Résultat ? Google, Meta, Microsoft et Snap ont tranquillement annoncé qu'ils continueraient à scanner vos messages. Sans base légale. On apprend aujourd'hui qu'un accord en coulisse se prépare pour ressusciter Chat Control V1 ce vendredi au Conseil. Le même texte que le Parlement a rejeté il y a trois mois. On recommence le vote jusqu'à obtenir le bon résultat. C'est beau cette odeur de démocratie. 👉 Et lundi 29 juin, c'est le trilogue final sur Chat Control V2, le règlement CSAR permanent. Un enfer sans fin. V2, vous allez me dire, a été "nettoyé" du client-side scanning obligatoire. C'est vrai sur le papier : on ne forcera plus WhatsApp ou Signal à casser leur chiffrement de bout en bout. Mais dans le texte du Conseil se trouvent des "obligations de mitigation des risques" suffisamment vagues pour aboutir au même résultat sans jamais l'écrire clairement. Et une clause de révision qui laisse la porte ouverte au scanning obligatoire dans quelques années, quand l'opposition se sera fatiguée. Le cheval de Troie n'est pas devant la porte de Troie. Il est déjà dans le texte de loi. V2, c'est aussi la vérification d'âge obligatoire généralisée pour accéder aux messageries. Concrètement : la fin de toute communication anonyme en Europe. Lanceurs d'alerte, journalistes, opposants politiques, populations vulnérables, tous identifiés avant de pouvoir écrire le moindre message. Ce week-end, deux coups en 72 heures. V1 ressuscité discrètement vendredi. V2 verrouillé lundi. Le tout trois mois après un vote démocratique sans ambiguïté du seul organe élu de l'UE. Ce n'est pas de la négociation. Ce n'est pas de la politique. C'est du mépris. image
👉AKAOLIFE, sous-traitant de France Travail, viendrait de se faire salement poutrer. Et d'après la revendication publiée ce soir sur un forum cybercriminel, c'est une catastrophe. 14,4 millions de lignes. 60 Go de dumps SQL. 39 bases de données. 966 816 dossiers RH. 1 million de dossiers de mobilité professionnelle. 38 000 dossiers de santé au travail. 3 700 dossiers liés à des situations de handicap. Potentiellement des centaines de milliers de citoyens concernés. 🔓Des mots de passe en clair. Le code source. Des clés SSL/TLS.... Ce n'est pas une fuite. C'est un pillage en règle avec la porte grande ouverte. Vous vous en doutez, ça aurait pu être évité. Serveur non patché depuis 2022. Applications obsolètes. Accès MySQL administrateur exposé. Configuration laissée à l'abandon. Les attaquants disent être rentrés comme dans du beurre, parce que d'autres étaient déjà là avant eux, depuis avril 2024 selon les traces retrouvées. Les données elles-mêmes sont historiques et administratives. Des exemples remontent aux années 2010. Des dossiers de santé couvrant plus de 20 ans ! Ce n'est pas un dump homogène d'un seul jour : c'est des années d'accumulation qui se retrouvent dans la nature. On parle de données d'identité, de NIR, de parcours professionnels, de dossiers médicaux, de situations de handicap, de candidatures, de commentaires administratifs sur des agents et des usagers. Comment un prestataire qui gère des données aussi sensibles pour un service public peut-il fonctionner dans un état pareil ? Qui contrôle ces sous-traitants ? Qui audite leurs environnements ? Quand France Travail confie ses outils RH à un prestataire, ce n'est pas un logiciel qu'il délègue. Ce sont les dossiers de vie de centaines de milliers de personnes. Agents, collaborateurs, demandeurs d'emploi, personnes en situation de handicap. @CNIL - Encore une pépite française qui aurait dû être contrôlée. Suivi complet sur fuitesinfos.fr. Détails :
👉 Apple vient d’annoncer son intention de transférer tous les alias « Masquer mon e-mail » nouvellement générés du domaine familier « @ » vers « @ http://private.icloud.com ». Si avant il était impossible de distinguer les alias Apple des adresses légitimes, désormais de nombreux sites et plateformes vont facilement pouvoir empêcher l'usage de "masquer mon email".
🔴 Les iPhones XS, XR, 11, SE 2e Gen, définitivement compromis au niveau sécurité 🔽 Tu te souviens de checkm8 ? La faille qui permettait de jailbreaker tous les iPhone jusqu'au X. Elle n'avait jamais été corrigée parce qu'elle était dans la BootROM, le tout premier code exécuté au démarrage, gravé directement dans le silicium, que @Apple ne peut corriger. Son successeur vient de sortir. Il s'appelle usbliter8 et il touche les puces A12 et A13, soit les iPhone XS, XR, 11 (toute la gamme), SE 2e gen, et plusieurs iPad. Même principe, même conséquence : Apple ne pourra jamais corriger ça. Le bug vient du contrôleur USB intégré à la puce. En envoyant une séquence précise de paquets pendant le démarrage, les chercheurs de Paradigm Shift arrivent à prendre le contrôle total du processeur. Sur A13, Apple avait ajouté une protection spécifique contre ce type d'attaque. Ils l'ont contournée quand même. Une fois dedans, tu peux faire tourner du code non signé, désactiver les protections de sécurité, et te retrouver aux portes de la Secure Enclave, le coffre-fort de l'iPhone. Le code est public. Ces appareils ne recevront jamais de patch. Vulnérables à vie. Ce que ça permet en pratique : 👉 Supprimer les limites de tentatives sur le code d'accès et le brute-forcer en quelques heures. C'est exactement comme ça que fonctionnent les outils forensiques utilisés par les forces de l'ordre sur les appareils checkm8. Accès physique requis. Mais pour un appareil saisi ou volé, c'est suffisant. Source :
👉 N'acceptez plus jamais le traqueur publicitaire Utiq ! Je mets en ligne Utiq Tracker et son extension Utiq Detector 🔗 543 sites recensés utilisant Utiq en Europe et dans le monde, et la liste s'allonge chaque jour. Traduit en 9 langues pour le site et 41 langues pour l'extension, Utiq Tracker vous permet de comprendre le fonctionnement d'Utiq et de voir quelles plateformes ont choisi de vous traquer via votre opérateur téléphonique. ✅L'extension vous avertit lorsque vous naviguez sur un site utilisant Utiq, grâce à des indicateurs de détection fiables. Un site non référencé détecté ? Signalez-le directement depuis le pop-up pour l'ajouter à la liste. Tout est open-source, publié sur GitHub (lien sur le site). Servez-vous en, proposez des sites à ajouter, téléchargez la liste. #Privacy #Utiq
Palantir et la DGSI, la rupture. Il était temps, c’était 10 ans de trop. image