Christophe Boutry's avatar
Christophe Boutry
cedhaurus@christopheboutry.com
npub1nzjm...67g0
(Ex-DGSI) ̶H̶a̶u̶r̶u̶s̶ | #Cyber #Justice 💾 Auteur 📖 | Consultant en analyse criminelle | 🇫🇷 YouTube channel creator ➡️ https://youtube.com/@Ced_haurus > ⚡️ Projet nostr:npub1n2878xq8jmacnjsyun6a0nrys7tcglzq8znzv05s33ddrxupd36q6uhtpg ➡️ Relay wss://relay.nostrmap.net > 🔵 Fuites Infos (recensement des fuites de données impactant la France 🇫🇷 https://fuitesinfos.fr
👉 Accrochez-vous bien, on va franchir une nouvelle étape dans la dystopie Orwelienne qu'est la France de 2026. A partager autour de vous. Tes AirPods vont bientôt parler aux radars ! Qui vont également aspirer toutes les ondes sur leur chemin pour l'associer à ton immatriculation. On est pas mal là. Lisez donc. Leonardo, groupe de défense italien coté en bourse (capitalisation d'environ 29 milliards d'euros), commercialise une technologie baptisée SignalTrace. Le principe : greffer des capteurs sans fil sur les lecteurs automatiques de plaques d'immatriculation (LAPI) déjà en place pour aspirer les signaux Bluetooth, Wi-Fi et RFID de tous les appareils qui passent à portée. Smartphones. AirPods. Montres connectées. Trackers fitness. Capteurs de pression des pneus. Tablettes. Même les puces des animaux de compagnie. Chaque appareil émet un identifiant radio. Le système les capture, les croise avec ta plaque d'immatriculation et génère une empreinte numérique unique. Résultat : si tu changes de voiture ou couvres ta plaque, ton profil d'appareils te suit quand même. Ce n'est plus ton véhicule qu'on traque. C'est toi. Le brevet a été obtenu en 2024. Le produit est déjà commercialisé aux États-Unis, notamment via Flock Safety, opérateur de milliers de caméras ALPR sur le territoire. Plus de 50 agences gouvernementales américaines ont déjà utilisé ce type de système pour surveiller et ficher des manifestants se rendant à des rassemblements politiques. Sur la protection de la vie privée, Leonardo avance un argument : le système ne déchiffre pas le contenu des communications, il se contente de capturer des signaux diffusés dans l'espace public. Comme lire une plaque. Sauf que lire une plaque identifie un véhicule. Capturer l'ensemble des appareils d'un conducteur construit un dossier comportemental complet : domicile, lieu de travail, visites médicales, fréquentations. Et non, la randomisation des adresses MAC ne suffit pas. Le device fingerprinting, c'est-à-dire la corrélation de plusieurs signaux émis ensemble de façon récurrente, permet de contourner cette protection. Si deux appareils voyagent systématiquement ensemble et réapparaissent sur plusieurs points de détection, le système en déduit qu'un même individu se déplace, qu'importe si les identifiants ont changé. En France, Leonardo est déjà présent. Les LAPI sont massivement utilisés par la police nationale, la gendarmerie et les douanes, et le Sénat a approuvé leur déploiement généralisé fin 2023. SignalTrace n'est qu'une mise à niveau matérielle. La transition pourrait se faire de manière rapide et totalement invisible pour les citoyens. Le RGPD impose en théorie que toute collecte de données personnelles soit justifiée, proportionnée et limitée. Mais l'argument de "l'espace public" est précisément celui qu'utilise Leonardo pour justifier la collecte. La jurisprudence de la CJUE sur la conservation généralisée de données de connexion serait un frein, mais aucun texte n'interdit explicitement la captation passive de signaux Bluetooth en bord de route. Leonardo envisage d'ailleurs d'étendre SignalTrace au-delà des routes : gares, centres commerciaux, grands événements. L'infrastructure routière était une porte d'entrée. Le projet est plus large. On a longtemps pensé que surveiller quelqu'un nécessitait de l'identifier d'abord. SignalTrace inverse la logique : on collecte tout en permanence, et on interroge la base après coup quand un enquêteur en fait la demande. Ce n'est plus de la surveillance ciblée. C'est de l'archivage préventif de masse. Et là, là il va falloir commencer à se poser les bonnes questions.
👉 [Nouvelle vidéo] Votre voiture est officiellement le pire produit tech pour la vie privée. Blindée de trackers à l'intérieur. Vos données exploitées par les constructeurs, revendues au plus offrant, accessibles aux forces de l'ordre. Et à l'extérieur, elle est pistée à chaque instant par un réseau de surveillance de masse couvrant l'ensemble du territoire. Nos voitures se sont transformées en mouchards. Voici comment : 🔗
❗️❗️Urgent ❗️❗️🚨 #ChatControl Lundi, le trilogue final de la commission européenne va tenter d'entériner la vérification d'âge obligatoire dans les app stores européens ! Pour une application dans les semaines suivantes. Ce que ça veut dire dans votre vie quotidienne : pour télécharger WhatsApp, Signal, Telegram sur votre iPhone ou votre Android, vous devrez prouver votre âge à Apple ou Google. Pièce d'identité. Scan facial. Avant le moindre téléchargement. Et avec des OS de plus en plus verrouillés, vous n'aurez plus le choix. Sur iOS, il n'existe qu'une seule porte d'entrée officielle : l'App Store. Sur Android, Google Play domine. Ces stores ne sont pas des options, ce sont des infrastructures obligatoires pour 99% des utilisateurs. Vérification de l'âge et de l'identité pour communiquer. Vérification de l'âge en France en septembre pour accéder aux réseaux sociaux. Dans les prochaines semaines, vos libertés les plus fondamentales sont en jeu. 👉 Contactez vos eurodéputés. Demandez-leur de refuser toute vérification d’âge obligatoire pour accéder aux messageries privées et aux app stores. image
🔴 Le Conseil de l'UE vient de démontrer, une fois de plus, qu'il se fout totalement des votes démocratiques quand ils ne lui plaisent pas. #chatcontrol En mars 2026, le Parlement européen a rejeté à 311 voix contre 228 l'extension de Chat Control V1 qui a donc expiré. Rappel pour ceux qui ont manqué l'épisode : Chat Control V1, c'est la dérogation temporaire en place depuis 2021 qui autorisait Gmail, Facebook Messenger, Snapchat ou Xbox à scanner automatiquement l'intégralité de vos messages privés non chiffrés. Sans mandat judiciaire. Sans suspicion. Sans que vous en soyez informé. Du scanning de masse permanent, légalisé discrètement au nom de la lutte contre les contenus pédopornographiques, un argument rhétorique suffisamment blindé pour décourager toute opposition publique. Le Parlement a dit non. Le Conseil, lui, a refusé chaque compromis proposé et laissé la dérogation expirer sciemment... Des infos confidentielles ont fuité depuis : les États membres ne voulaient rien céder, de peur de créer un précédent qui fragiliserait leur position sur Chat Control V2. Résultat ? Google, Meta, Microsoft et Snap ont tranquillement annoncé qu'ils continueraient à scanner vos messages. Sans base légale. On apprend aujourd'hui qu'un accord en coulisse se prépare pour ressusciter Chat Control V1 ce vendredi au Conseil. Le même texte que le Parlement a rejeté il y a trois mois. On recommence le vote jusqu'à obtenir le bon résultat. C'est beau cette odeur de démocratie. 👉 Et lundi 29 juin, c'est le trilogue final sur Chat Control V2, le règlement CSAR permanent. Un enfer sans fin. V2, vous allez me dire, a été "nettoyé" du client-side scanning obligatoire. C'est vrai sur le papier : on ne forcera plus WhatsApp ou Signal à casser leur chiffrement de bout en bout. Mais dans le texte du Conseil se trouvent des "obligations de mitigation des risques" suffisamment vagues pour aboutir au même résultat sans jamais l'écrire clairement. Et une clause de révision qui laisse la porte ouverte au scanning obligatoire dans quelques années, quand l'opposition se sera fatiguée. Le cheval de Troie n'est pas devant la porte de Troie. Il est déjà dans le texte de loi. V2, c'est aussi la vérification d'âge obligatoire généralisée pour accéder aux messageries. Concrètement : la fin de toute communication anonyme en Europe. Lanceurs d'alerte, journalistes, opposants politiques, populations vulnérables, tous identifiés avant de pouvoir écrire le moindre message. Ce week-end, deux coups en 72 heures. V1 ressuscité discrètement vendredi. V2 verrouillé lundi. Le tout trois mois après un vote démocratique sans ambiguïté du seul organe élu de l'UE. Ce n'est pas de la négociation. Ce n'est pas de la politique. C'est du mépris. image
👉AKAOLIFE, sous-traitant de France Travail, viendrait de se faire salement poutrer. Et d'après la revendication publiée ce soir sur un forum cybercriminel, c'est une catastrophe. 14,4 millions de lignes. 60 Go de dumps SQL. 39 bases de données. 966 816 dossiers RH. 1 million de dossiers de mobilité professionnelle. 38 000 dossiers de santé au travail. 3 700 dossiers liés à des situations de handicap. Potentiellement des centaines de milliers de citoyens concernés. 🔓Des mots de passe en clair. Le code source. Des clés SSL/TLS.... Ce n'est pas une fuite. C'est un pillage en règle avec la porte grande ouverte. Vous vous en doutez, ça aurait pu être évité. Serveur non patché depuis 2022. Applications obsolètes. Accès MySQL administrateur exposé. Configuration laissée à l'abandon. Les attaquants disent être rentrés comme dans du beurre, parce que d'autres étaient déjà là avant eux, depuis avril 2024 selon les traces retrouvées. Les données elles-mêmes sont historiques et administratives. Des exemples remontent aux années 2010. Des dossiers de santé couvrant plus de 20 ans ! Ce n'est pas un dump homogène d'un seul jour : c'est des années d'accumulation qui se retrouvent dans la nature. On parle de données d'identité, de NIR, de parcours professionnels, de dossiers médicaux, de situations de handicap, de candidatures, de commentaires administratifs sur des agents et des usagers. Comment un prestataire qui gère des données aussi sensibles pour un service public peut-il fonctionner dans un état pareil ? Qui contrôle ces sous-traitants ? Qui audite leurs environnements ? Quand France Travail confie ses outils RH à un prestataire, ce n'est pas un logiciel qu'il délègue. Ce sont les dossiers de vie de centaines de milliers de personnes. Agents, collaborateurs, demandeurs d'emploi, personnes en situation de handicap. @CNIL - Encore une pépite française qui aurait dû être contrôlée. Suivi complet sur fuitesinfos.fr. Détails :
👉 Apple vient d’annoncer son intention de transférer tous les alias « Masquer mon e-mail » nouvellement générés du domaine familier « @ » vers « @ http://private.icloud.com ». Si avant il était impossible de distinguer les alias Apple des adresses légitimes, désormais de nombreux sites et plateformes vont facilement pouvoir empêcher l'usage de "masquer mon email".
🔴 Les iPhones XS, XR, 11, SE 2e Gen, définitivement compromis au niveau sécurité 🔽 Tu te souviens de checkm8 ? La faille qui permettait de jailbreaker tous les iPhone jusqu'au X. Elle n'avait jamais été corrigée parce qu'elle était dans la BootROM, le tout premier code exécuté au démarrage, gravé directement dans le silicium, que @Apple ne peut corriger. Son successeur vient de sortir. Il s'appelle usbliter8 et il touche les puces A12 et A13, soit les iPhone XS, XR, 11 (toute la gamme), SE 2e gen, et plusieurs iPad. Même principe, même conséquence : Apple ne pourra jamais corriger ça. Le bug vient du contrôleur USB intégré à la puce. En envoyant une séquence précise de paquets pendant le démarrage, les chercheurs de Paradigm Shift arrivent à prendre le contrôle total du processeur. Sur A13, Apple avait ajouté une protection spécifique contre ce type d'attaque. Ils l'ont contournée quand même. Une fois dedans, tu peux faire tourner du code non signé, désactiver les protections de sécurité, et te retrouver aux portes de la Secure Enclave, le coffre-fort de l'iPhone. Le code est public. Ces appareils ne recevront jamais de patch. Vulnérables à vie. Ce que ça permet en pratique : 👉 Supprimer les limites de tentatives sur le code d'accès et le brute-forcer en quelques heures. C'est exactement comme ça que fonctionnent les outils forensiques utilisés par les forces de l'ordre sur les appareils checkm8. Accès physique requis. Mais pour un appareil saisi ou volé, c'est suffisant. Source :
👉 N'acceptez plus jamais le traqueur publicitaire Utiq ! Je mets en ligne Utiq Tracker et son extension Utiq Detector 🔗 543 sites recensés utilisant Utiq en Europe et dans le monde, et la liste s'allonge chaque jour. Traduit en 9 langues pour le site et 41 langues pour l'extension, Utiq Tracker vous permet de comprendre le fonctionnement d'Utiq et de voir quelles plateformes ont choisi de vous traquer via votre opérateur téléphonique. ✅L'extension vous avertit lorsque vous naviguez sur un site utilisant Utiq, grâce à des indicateurs de détection fiables. Un site non référencé détecté ? Signalez-le directement depuis le pop-up pour l'ajouter à la liste. Tout est open-source, publié sur GitHub (lien sur le site). Servez-vous en, proposez des sites à ajouter, téléchargez la liste. #Privacy #Utiq
Palantir et la DGSI, la rupture. Il était temps, c’était 10 ans de trop. image
👉[Searcher] BFMTV et franceinfo ont offert une visibilité nationale à un service illégal de recherche dans des bases de données volées. Résultat : des milliers d'utilisateurs ont afflué sur leur Discord en quelques jours pour souscrire à la version payante. BFM, pendant ce temps, vos propres journalistes y sont menacés de swating et d'attaque à la bombe. Sous l'œil bienveillant du modérateur. Les administrateurs, tous Français, Emin D., Sohan G., Noam S., Sajid M., Ryad K., Omar M., Petra B., Aimane EB. sont pour la plupart connus des services de police. Parfaitement identifiables. Ils ont tenté de faire avaler aux journalistes que tout cela était légal. Ils savent très bien que non. Ils savent que les données viennent de cyberattaques. Et ils en collectent eux-mêmes. Les échanges internes ne laissent aucun doute : prix de revente, techniques d'acquisition, demandes de dox en flux continu, méthodes de hack. C'est le fond de commerce de tous ces lookups, qui devraient être démantelés depuis longtemps. 1/ Discord, vous laissez prospérer ce serveur jusqu'où ? 2/ Qu'est-ce qu'on attend pour faire fermer ce site ? Les fuites de données sont quotidiennes. Ces plateformes d'agrégation nous mettent tous en danger. Au prochain rapt crypto, personne ne pourra dire qu'il ne savait pas.
📲 Saviez-vous que dans iOS 27, Apple a prévu une liste de pays où le chiffrement des messages RCS (SMS) est interdit ? Chine 🇨🇳. Corée du Sud 🇰🇷. France 🇫🇷. Le reste du monde déploie l'E2EE, le chiffrement de bout en bout entre iPhone et Android. Une avancée majeure pour la confidentialité de vos SMS. En France, c'est bloqué. Les opérateurs sont prêts techniquement. Ce n'est pas un problème d'infrastructure. C'est un choix politique. Les raisons sont multiples, la France ayant toujours une longueur d'avance pour affaiblir votre sécurité et s'assurer de pouvoir garder un oeil sur vous. Mais l'une des pistes probables : La PNIJ - la Plateforme Nationale des Interceptions Judiciaires. Un outil qui permet à l'État d'accéder à vos communications. Le chiffrement de bout en bout sur ces millions d'échanges quotidiens lui couperait l'accès. Définitivement. Alors notre gouvernement fait tout pour que vous restiez exposés. image
🔴La DINUM reconnaît un incident sur Tchap Un attaquant a utilisé un compte légitime compromis pour accéder à la plateforme. Ce qui a pu être consulté, selon la DINUM : uniquement des salons publics. Ouverts à tous par conception. Non chiffrés. Les conversations privées restent protégées. Le compte malveillant a été identifié et bloqué. La CNIL a été notifiée. Le diagnostic est en cours. Le petit rappel à ses agents : un salon public Tchap peut être rejoint par n'importe quel utilisateur. Rien de sensible ne doit y circuler.... Vu ce qui a été publiée par le cybercriminel, je pense qu'il va falloir faire le ménage dans les salons. View quoted note →
🔴Un cybercriminel affirme avoir obtenu l’accès à un compte valide sur Tchap, la messagerie sécurisée de l’administration française. Quelques explications 🧵 À partir de ce compte, il prétend avoir pu collecter : 👉 73 467 comptes d’agents publics 👉 643 459 messages 👉 876 salons avec historique accessible 👉 plus de 59 000 fichiers 👉 environ 13,5 Go de données 👉 des métadonnées liées aux comptes, aux salons et aux terminaux À ce stade, prudence : il s’agit d’une revendication. Rien ne permet encore d’affirmer que tous les chiffres sont exacts, ni que tous les contenus annoncés sont sensibles. De quoi parle-t-on ? 🔽 Tchap est la messagerie interministérielle de l’État français. Elle est utilisée par des agents publics pour échanger dans un cadre professionnel, au sein d’administrations, de ministères ou de groupes de travail transversaux. Elle a été pensée comme une alternative souveraine aux messageries privées grand public, notamment WhatsApp, Telegram ou Signal, afin d’éviter que des échanges professionnels de l’administration française transitent par des services commerciaux étrangers. Techniquement, Tchap repose sur Matrix, un protocole de messagerie décentralisée. Matrix permet à plusieurs serveurs de communiquer entre eux, un peu comme le courrier électronique : un utilisateur d’un serveur peut échanger avec un utilisateur d’un autre serveur, si la fédération est autorisée. Tchap utilise cette logique pour organiser une messagerie répartie entre plusieurs environnements administratifs. Son interface vient de l’écosystème Element, le client Matrix le plus connu, adapté ici aux usages de l’administration. Attention ⚠️ Si les données revendiquées sont authentiques, cela ne signifie pas automatiquement que le chiffrement de Tchap aurait été cassé. Cela ne veut pas dire non plus que toute la plateforme aurait été compromise. Le scénario avancé ressemble plutôt à l’exploitation maximale d’un compte légitime. (ce que le cybercriminel revendique) Autrement dit : l’attaquant ne dit pas avoir “cassé Matrix”. Il affirme avoir obtenu un compte valide, puis utilisé ce compte pour voir tout ce qu’il pouvait voir. C'est là que le sujet devient intéressant. Ce que l’acteur affirme avoir exploité 🔎 Selon l’auteur de la revendication, l’accès initial aurait été obtenu par ingénierie sociale sur un compte lié à un agent de l’Éducation nationale. Une fois connecté, il aurait utilisé des fonctionnalités normales de Matrix pour : 👉 explorer l’annuaire des utilisateurs 👉 rechercher des salons 👉 consulter les espaces accessibles 👉 remonter l’historique des conversations disponibles 👉 récupérer les fichiers partagés dans ces échanges Dans Matrix, un compte peut voir plusieurs types d’informations selon la configuration du serveur et des salons : 👉 annuaire des utilisateurs 👉 salons publics ou semi-publics 👉 salons déjà rejoints 👉 salons thématiques 👉 espaces transversaux 👉 historiques visibles aux nouveaux membres 👉 médias partagés 👉 métadonnées de terminaux 👉 clés publiques des appareils Autrement dit, un compte compromis ne donne pas seulement accès à “ses messages privés”. Il peut aussi devenir une porte d’entrée vers tout ce que ce compte est autorisé à voir. Pourquoi 600 ou 800 salons seraient accessibles ? 🏛️ Accéder à plusieurs centaines de salons ne veut pas forcément dire que l’attaquant aurait forcé l’accès à des conversations privées. Sur Matrix, certains salons peuvent être publics, transversaux, thématiques ou joignables par tout agent authentifié. Des noms de salons comme : 👉 “Outils collaboratifs” 👉 “Droit pénal et procédure pénale” 👉 “Intelligence artificielle” 👉 “Médecine-santé” 👉 “Sécurité civile” ressemblent davantage à des espaces de discussion communautaires qu’à des canaux hautement confidentiels. Mais cela ne rend pas l’incident négligeable. Un salon public interne à l’administration n’est pas un salon public au sens d’Internet. Il peut contenir des échanges professionnels, des documents, des liens de réunion, des noms d’agents, des habitudes de travail, des informations contextuelles et des fichiers dont l’agrégation devient sensible. Le problème de l’annuaire 👥 L’acteur affirme avoir utilisé la fonction de recherche de l’annuaire Matrix pour énumérer les utilisateurs. Il aurait interrogé automatiquement la fonction de recherche des comptes pour reconstruire une liste de dizaines de milliers d’agents. Cette liste contiendrait notamment : 👉 noms d’affichage 👉 adresses professionnelles 👉 ministères ou organismes de rattachement 👉 serveurs d’origine 👉 métadonnées liées aux comptes et équipements Ce type d’énumération n’a rien d’impossible si la recherche n’est pas assez limitée, pas assez cloisonnée ou pas assez protégée contre les requêtes répétées. Ce n’est pas forcément un “piratage profond”. Cela peut être un abus massif d’une fonctionnalité légitime. Le sujet des fichiers 📁 Le point le plus préoccupant concerne les fichiers. L’auteur affirme avoir téléchargé plus de 59 000 médias et documents, pour environ 13,5 Go. Dans Matrix, les fichiers partagés dans les conversations sont référencés par des identifiants médias. Selon la configuration du serveur, connaître l’identifiant ou l’URL d’un fichier peut parfois permettre de le récupérer, ou au minimum faciliter son téléchargement via l’API média. Cela ne veut pas forcément dire que “tous les fichiers de Tchap” étaient librement accessibles. Le scénario le plus vraisemblable est plutôt celui-ci : L’attaquant aurait lu des messages accessibles au compte, extrait les liens ou identifiants de fichiers présents dans ces messages, puis téléchargé les pièces jointes correspondantes. Si ces messages provenaient de salons inter-administrations, les médias pouvaient être hébergés sur plusieurs serveurs Tchap. Les éléments sensibles revendiqués 🧨 L’acteur affirme également avoir trouvé : 👉 des liens Zoom 👉 des codes Webex 👉 des scripts PowerShell 👉 des références à des annuaires internes 👉 des identifiants techniques 👉 des mentions “Diffusion Restreinte” Ces affirmations doivent être prises avec précaution. Une mention “Diffusion Restreinte” dans un message ou un nom de fichier ne prouve pas automatiquement qu’un document protégé a été exfiltré. Un identifiant trouvé dans un script ne prouve pas non plus qu’il est encore actif ou exploitable. Mais ces éléments montrent un risque classique des messageries internes : les utilisateurs y déposent parfois des informations techniques ou opérationnelles qui ne devraient jamais circuler dans un salon. Le vrai problème n’est pas forcément Matrix 🧠 Matrix est un protocole puissant, pensé pour la fédération, l’interopérabilité et le chiffrement. Mais comme toute infrastructure collaborative, sa sécurité dépend énormément de sa configuration et de sa gouvernance. Les vraies questions sont donc : 👉 qui peut voir l’annuaire ? 👉 qui peut rejoindre quels salons ? 👉 un nouvel entrant peut-il lire l’historique ? 👉 les médias sont-ils protégés par l’appartenance au salon ? 👉 les salons publics internes sont-ils audités ? 👉 les pièces jointes sensibles sont-elles contrôlées ? 👉 les secrets techniques sont-ils détectés lorsqu’ils sont partagés ? Le chiffrement de bout en bout ne règle pas tout 🔐 Le chiffrement protège contre certains accès techniques non autorisés, mais il ne protège pas contre un compte légitime compromis qui lit ce qu’il est autorisé à lire. Si un agent est membre d’un salon, ou si un salon est accessible à tous les agents, le chiffrement ne transforme pas ce salon en coffre-fort. Le risque se déplace alors vers la gestion des droits, des usages et des espaces. Le vrai problème : non pas une preuve que Tchap serait “cassé”, mais la possibilité qu’un seul compte ait permis de cartographier beaucoup trop de choses. Quels risques si la revendication est confirmée ? 🚨 Si les éléments avancés sont exacts, l’incident serait sérieux pour plusieurs raisons. D’abord, l’énumération de plus de 73 000 agents permettrait de construire une base de ciblage très précieuse pour du phishing, de l’usurpation ou de l’ingénierie sociale. Ensuite, les messages et salons exposés pourraient révéler des habitudes de travail, des interactions entre services, des sujets internes et des informations organisationnelles. Enfin, les fichiers partagés peuvent contenir des documents administratifs, des captures, des pièces jointes, voire des informations techniques réutilisables dans d’autres attaques. Conclusion 🧭 À ce stade, rien ne permet d’affirmer que l’intégralité de Tchap aurait été compromise. Rien ne démontre non plus un casse du chiffrement Matrix. Le risque ne vient pas toujours d’un attaquant qui casse la porte. Parfois, il entre avec un badge valide, puis découvre que beaucoup trop de portes sont restées ouvertes.
👉 Yoti, plateforme de vérification d'âge, aurait "signalé" un utilisateur aux autorités pour détection d'usage de GrapheneOS Voici ce qui s'est passé. Un utilisateur tente de vérifier son âge sur PlayStation Network via Yoti . Son appareil tourne sous GrapheneOS. Le scan échoue à répétition, 8 à 10 fois. Il contacte le support Yoti pour comprendre. La réponse arrive de help@yoti[.]com : "Due to past security concerns, Yoti automatically flags multiple verification attempts and any devices running GrapheneOS. These instances are automatically reported to both the authorities and our security team." Traduction : "En raison de problèmes de sécurité passés, Yoti signale automatiquement les tentatives de vérification multiples ainsi que tout appareil fonctionnant sous Gra…"En raison de problèmes de sécurité passés, Yoti signale automatiquement les tentatives de vérification multiples ainsi que tout appareil fonctionnant sous GrapheneOS. Ces cas sont automatiquement signalés aux autorités ainsi qu'à notre équipe de sécurité." L'utilisateur avait fourni ses vrais documents d'identité. Il n'a pas contourné quoi que ce soit. C'est le système de Yoti qui semble avoir échoué à les traiter. Pourquoi ? GrapheneOS restreint les APIs caméra et biométriques. Un scan qui fonctionne sur Android stock peut échouer en boucle sur GrapheneOS. L'échec répété n'est pas une fraude. C'est une incompatibilité technique. Evidemment, il est très facile de détecter qu'un smartphone utilise GrapheneOS. GrapheneOS n'est interdit nulle part. C'est un Android open source durci, utilisé par des journalistes, des avocats, des chercheurs en sécurité, et des gens comme vous et moi, soucieux de leur sécurité. Mais pour Yoti, l'utiliser suffirait à vous classer comme suspect. En vertu de quoi ? Soit Yoti signale effectivement quelqu'un, quelque part, pour avoir utilisé un OS légal. Soit c'est une formule boilerplate conçue pour faire peur. Dans les deux cas, c'est un problème. Si c'est réel : aucun texte n'impose à un prestataire de vérification d'âge de signaler aux forces de l'ordre un utilisateur détecté sous GrapheneOS. C'est une politique unilatérale sans base légale identifiable. Si c'est un bluff : menacer un utilisateur d'une procédure légale fictive est une pratique commerciale déloyale dans la plupart des juridictions. En revanche, ce que ça révèle, c'est que petit à petit, utiliser des OS alternatifs va entraîner des restrictions, des suspicions, pour mieux permettre de déployer leurs systèmes de régulations. Et demain, ce ne sera pas seulement GrapheneOS. À chaque étape, on nous dira que c’est pour la sécurité, pour les enfants, pour la lutte contre la fraude, pour la conformité. Mais à la fin, le résultat sera le même : l’utilisateur qui cherche à se protéger devra se justifier, tandis que l’utilisateur entièrement traçable sera considéré comme normal. C’est cette inversion qu’il faut refuser. La vie privée ne doit pas devenir une circonstance aggravante. La sécurité numérique ne doit pas devenir un marqueur de suspicion. Et les infrastructures de vérification d’âge ne doivent pas devenir des postes-frontières privés où des entreprises privées décident, dans l’opacité, quels appareils sont acceptables et quels utilisateurs méritent d’être signalés. Si Yoti confirme cette pratique, il faudra demander sur quelle base juridique repose ce signalement, quelles autorités sont destinataires, quelles données sont transmises, combien d’utilisateurs sont concernés, combien de temps ces informations sont conservées, et quels recours sont offerts aux personnes faussement signalées. Et si Yoti ne la confirme pas, il faudra expliquer pourquoi son support a pu écrire une telle chose à un utilisateur. image
👉 Suite et fin du prétendu hack du Dossier Médical Partagé (DMP). L'Assurance Maladie annonce une action en justice pour la perturbation engendrée et le déficit d'image causé par la visibilité offerte par ce hacker. View quoted note →
👉Enfin un outil de transfert de fichiers européen, chiffré de bout en bout, et transparent sur ce qu'il fait de vos données ! ➡️ Oubliez WeTransfer, Dropbox & co. Vos fichiers y sont lisibles par l'hébergeur, analysables, transmissibles à des autorités étrangères. Retyc lance sa version pour toutes et tous. Partagez vos fichiers, contrats, documents sensibles sans sacrifier la sécurité et la confidentialité. Ce qui change vraiment : 🔐 Chiffrement de bout en bout, opéré dans votre navigateur avant l'envoi 🇫🇷 Hébergement 100% européen, zéro AWS, zéro Azure, zéro GCP 🕵️ Architecture zero-knowledge, ils ne peuvent pas lire vos fichiers, même s'ils le voulaient 🚫 Zéro IA, zéro tracking publicitaire, zéro script tiers 📄 White paper public, code crypto open-source, page de transparence exhaustive 💶 Gratuit pour démarrer Bravo aux Lyonnais de Retyc pour cette initiative ! ➡️ image