Des chercheurs de l’Université de Waterloo ont créé UnMarker, un outil qui efface les watermarks des images IA comme si c’était du Tipp-Ex numérique. Et ça marche sur absolument tous les systèmes de watermarking existants.
Ces fameux watermarks invisibles que Google, Meta et compagnie nous vendent comme LA solution miracle contre les deepfakes viennent de se prendre une grosse claque. Andre Kassis et Urs Hengartner, deux chercheurs canadiens, ont développé cet outil qui peut supprimer n’importe quelle marque de provenance en quelques minutes seulement, avec juste une carte graphique Nvidia A100 de 40 GB. Leur recherche détaillée a été présentée au symposium IEEE sur la sécurité et la confidentialité et le principe est assez malin.
Au lieu d’essayer de comprendre comment fonctionne chaque système de watermarking (ce qui serait un cauchemar), UnMarker cherche simplement les variations spectrales inhabituelles dans les images. Comme si vous cherchiez les endroits où quelqu’un a écrit à l’encre invisible sur une feuille… Pas besoin de savoir ce qui est écrit, juste de trouver où c’est écrit et de l’effacer.
D’ailleurs, les résultats sont édifiants puisque quand ils ont testé leur outil sur différents systèmes comme Stable Signature de Meta ou StegaStamp, le taux de détection des watermarks est tombé sous les 50%. Et sur SynthID de Google ? Il est passé de 100% à seulement 21% de détection. Autant dire que c’est mort.
L’outil fonctionne en deux étapes selon le type de watermarking. Je vous explique… Pour les méthodes qui modifient les détails fins de l’image, il applique des ajustements ciblés sur les hautes fréquences autour des bords et des textures. Et pour celles qui altèrent la structure globale, il introduit des perturbations subtiles sur des motifs de pixels plus larges. Tout ça sans que l’image ne change visuellement d’un poil.
Le code est même disponible sur GitHub pour ceux qui veulent tester. Ça prend littéralement deux minutes max pour traiter une image, et ça tourne offline sur votre machine. Pas besoin d’API, pas besoin de connaître les paramètres internes du watermark, rien. Bref, c’est universel.
En gros, avec cet outil, toute la stratégie de l’industrie tech pour lutter contre les deepfakes vient de prendre un sacré coup. La Maison Blanche avait obtenu des engagements de sept géants de la tech pour investir massivement dans ces technologies de watermarking et là on peut dire que ce sont des millions de dollars partis en fumée.
Andre Kassis l’explique très bien dans l’interview qu’il a donnée au Register. Le problème, c’est qu’on a mis la charrue avant les bœufs. On s’est excités sur cette technologie sans vraiment réfléchir à sa sécurité. Et ce n’est pas la première fois que des chercheurs tirent la sonnette d’alarme. En 2023, des universitaires du Maryland avaient déjà prévenu que les techniques de watermarking ne fonctionneraient pas. Plus récemment, en février, des chercheurs affiliés à Google DeepMind et l’Université du Wisconsin-Madison ont conclu qu’aucun système existant ne combinait robustesse, infalsifiabilité et détectabilité publique.
Alors oui, c’est inquiétant surtout qu’on ne peut plus vraiment faire confiance à ce qu’on voit… Alors maintenant qu’on découvre que la principale défense qu’on nous proposait est aussi efficace qu’un château de cartes face à un ouragan, y’a de quoi déprimer…
Les deepfakes restent aussi une menace énorme, et on n’a toujours pas de solution fiable pour les détecter. D’ailleurs, si vous cherchez des outils de détection de deepfakes, sachez qu’ils existent mais restent limités face à l’évolution constante des techniques de falsification. Bref, on continue à investir des millions dans ces technologies alors qu’on sait pertinemment qu’elles sont cassables, mais comme c’est devenu une industrie énorme, c’est dur de remettre le génie dans sa bouteille…
Pour finir sur une note un peu moins déprimante, cette recherche nous rappelle une leçon importante : la sécurité doit toujours passer en premier. Alors avant de s’emballer sur une nouvelle technologie “révolutionnaire”, il faudrait peut-être d’abord se demander comment elle pourrait être détournée… En attendant, continuez à vous méfier de tout ce que vous voyez en ligne car Watermark ou pas, la prudence reste votre meilleure défense contre fausses images / vidéo.
Bon, si vous êtes du genre à balader votre casque Sony WH-1000XM6 partout en ville, j’ai une mauvaise nouvelle. Des chercheurs viennent de découvrir que n’importe qui à 10 mètres de vous peut transformer vos écouteurs en dispositif d’écoute. Et ça concerne aussi JBL, Bose, Marshall et plein d’autres marques populaires.
La société de cybersécurité allemande ERNW a mis le doigt sur des vulnérabilités critiques dans les puces Bluetooth fabriquées par Airoha, un fournisseur taïwanais dont les composants équipent une tonne de casques et écouteurs qu’on adore tous. Le problème c’est que ces puces ont un protocole propriétaire qui permet d’accéder directement à la mémoire RAM et flash des appareils, sans authentification, sans appairage, sans rien du tout.
Concrètement, un pirate qui se trouve dans votre périmètre Bluetooth peut donc activer discrètement le micro de votre casque même quand il est inactif (mais allumé), écouter vos conversations, récupérer votre numéro de téléphone, votre historique d’appels et même voir ce que vous écoutez. Le plus flippant dans l’histoire, c’est que les chercheurs ont démontré qu’on pouvait créer un malware capable de se propager automatiquement d’un appareil à l’autre, façon virus zombie pour casques audio.
Les vulnérabilités en question portent les doux noms de CVE-2025-20700, CVE-2025-20701 et CVE-2025-20702, avec des scores de gravité allant jusqu’à 9.6/10 pour la plus critique, autant dire que c’est du sérieux. Pour vous donner une idée de l’ampleur du désastre, voici la liste des appareils confirmés comme vulnérables : les Sony WH-1000XM4, XM5 et XM6, les WF-1000XM3, XM4 et XM5, les Link Buds S, les Bose QuietComfort Earbuds, les Jabra Elite 8 Active, plusieurs modèles JBL et Marshall… Bref, probablement ce que vous avez sur les oreilles en ce moment.
Alors avant que vous ne jetiez vos écouteurs par la fenêtre, respirez un coup. Pour exploiter ces failles, il faut quand même un bon niveau technique et être physiquement proche de la cible. On n’est pas dans un scénario où le premier script kiddie venu peut pirater tous les casques du métro. Mais les chercheurs d’ERNW précisent que ça reste une menace sérieuse surtout pour des cibles de choix comme des journalistes, des diplomates ou des dirigeants d’entreprise.
Ce qui est particulièrement agaçant dans cette affaire, c’est qu’ERNW a signalé les vulnérabilités à Airoha le 25 mars 2025, mais la boîte n’a répondu que le 27 mai. Un SDK corrigé a été envoyé aux fabricants début juin, mais maintenant c’est à chaque marque de créer et distribuer des mises à jour firmware pour chaque modèle concerné. Et connaissant la vitesse à laquelle ces géants de l’électronique déploient leurs updates… on n’est pas sortis de l’auberge.
Alors en attendant que Sony, Bose et compagnie se bougent les fesses, qu’est-ce qu’on peut faire ?
Déjà, si vous êtes une personnalité publique ou si vous bossez sur des trucs sensibles, évitez d’utiliser vos casques Bluetooth dans les lieux publics. Et pour le commun des mortels, restez vigilants et guettez les mises à jour firmware de vos appareils. Vous pouvez aussi désactiver le Bluetooth quand vous ne l’utilisez pas, même si je sais que c’est chiant avec des écouteurs sans fil.
Pour ceux qui veulent vraiment être tranquilles, il reste toujours la bonne vieille solution du casque filaire. C’est has-been, mais au moins personne ne peut transformer vos Sennheiser IE 200 en micro-espion à distance. Parfois les vieilles solutions restent les plus sûres…
Encore une fois, nos gadgets connectés préférés peuvent se retourner contre nous. Entre les failles dans les routeurs, les caméras de surveillance hackables et maintenant nos casques audio qui peuvent nous espionner, on n’est pas sorti de l’auberge… Mais bon, on va pas revenir au baladeur cassette non plus donc restez juste prudents et mettez à jour vos appareils dès que possible.
Des chercheurs de l’Université de Waterloo ont créé UnMarker, un outil qui efface les watermarks des images IA comme si c’était du Tipp-Ex numérique. Et ça marche sur absolument tous les systèmes de watermarking existants.
Ces fameux watermarks invisibles que Google, Meta et compagnie nous vendent comme LA solution miracle contre les deepfakes viennent de se prendre une grosse claque. Andre Kassis et Urs Hengartner, deux chercheurs canadiens, ont développé cet outil qui peut supprimer n’importe quelle marque de provenance en quelques minutes seulement, avec juste une carte graphique Nvidia A100 de 40 GB. Leur recherche détaillée a été présentée au symposium IEEE sur la sécurité et la confidentialité et le principe est assez malin.
Au lieu d’essayer de comprendre comment fonctionne chaque système de watermarking (ce qui serait un cauchemar), UnMarker cherche simplement les variations spectrales inhabituelles dans les images. Comme si vous cherchiez les endroits où quelqu’un a écrit à l’encre invisible sur une feuille… Pas besoin de savoir ce qui est écrit, juste de trouver où c’est écrit et de l’effacer.
D’ailleurs, les résultats sont édifiants puisque quand ils ont testé leur outil sur différents systèmes comme Stable Signature de Meta ou StegaStamp, le taux de détection des watermarks est tombé sous les 50%. Et sur SynthID de Google ? Il est passé de 100% à seulement 21% de détection. Autant dire que c’est mort.
L’outil fonctionne en deux étapes selon le type de watermarking. Je vous explique… Pour les méthodes qui modifient les détails fins de l’image, il applique des ajustements ciblés sur les hautes fréquences autour des bords et des textures. Et pour celles qui altèrent la structure globale, il introduit des perturbations subtiles sur des motifs de pixels plus larges. Tout ça sans que l’image ne change visuellement d’un poil.
Le code est même disponible sur GitHub pour ceux qui veulent tester. Ça prend littéralement deux minutes max pour traiter une image, et ça tourne offline sur votre machine. Pas besoin d’API, pas besoin de connaître les paramètres internes du watermark, rien. Bref, c’est universel.
En gros, avec cet outil, toute la stratégie de l’industrie tech pour lutter contre les deepfakes vient de prendre un sacré coup. La Maison Blanche avait obtenu des engagements de sept géants de la tech pour investir massivement dans ces technologies de watermarking et là on peut dire que ce sont des millions de dollars partis en fumée.
Andre Kassis l’explique très bien dans l’interview qu’il a donnée au Register. Le problème, c’est qu’on a mis la charrue avant les bœufs. On s’est excités sur cette technologie sans vraiment réfléchir à sa sécurité. Et ce n’est pas la première fois que des chercheurs tirent la sonnette d’alarme. En 2023, des universitaires du Maryland avaient déjà prévenu que les techniques de watermarking ne fonctionneraient pas. Plus récemment, en février, des chercheurs affiliés à Google DeepMind et l’Université du Wisconsin-Madison ont conclu qu’aucun système existant ne combinait robustesse, infalsifiabilité et détectabilité publique.
Alors oui, c’est inquiétant surtout qu’on ne peut plus vraiment faire confiance à ce qu’on voit… Alors maintenant qu’on découvre que la principale défense qu’on nous proposait est aussi efficace qu’un château de cartes face à un ouragan, y’a de quoi déprimer…
Les deepfakes restent aussi une menace énorme, et on n’a toujours pas de solution fiable pour les détecter. D’ailleurs, si vous cherchez des outils de détection de deepfakes, sachez qu’ils existent mais restent limités face à l’évolution constante des techniques de falsification. Bref, on continue à investir des millions dans ces technologies alors qu’on sait pertinemment qu’elles sont cassables, mais comme c’est devenu une industrie énorme, c’est dur de remettre le génie dans sa bouteille…
Pour finir sur une note un peu moins déprimante, cette recherche nous rappelle une leçon importante : la sécurité doit toujours passer en premier. Alors avant de s’emballer sur une nouvelle technologie “révolutionnaire”, il faudrait peut-être d’abord se demander comment elle pourrait être détournée… En attendant, continuez à vous méfier de tout ce que vous voyez en ligne car Watermark ou pas, la prudence reste votre meilleure défense contre fausses images / vidéo.
Bon, si vous êtes du genre à balader votre casque Sony WH-1000XM6 partout en ville, j’ai une mauvaise nouvelle. Des chercheurs viennent de découvrir que n’importe qui à 10 mètres de vous peut transformer vos écouteurs en dispositif d’écoute. Et ça concerne aussi JBL, Bose, Marshall et plein d’autres marques populaires.
La société de cybersécurité allemande ERNW a mis le doigt sur des vulnérabilités critiques dans les puces Bluetooth fabriquées par Airoha, un fournisseur taïwanais dont les composants équipent une tonne de casques et écouteurs qu’on adore tous. Le problème c’est que ces puces ont un protocole propriétaire qui permet d’accéder directement à la mémoire RAM et flash des appareils, sans authentification, sans appairage, sans rien du tout.
Concrètement, un pirate qui se trouve dans votre périmètre Bluetooth peut donc activer discrètement le micro de votre casque même quand il est inactif (mais allumé), écouter vos conversations, récupérer votre numéro de téléphone, votre historique d’appels et même voir ce que vous écoutez. Le plus flippant dans l’histoire, c’est que les chercheurs ont démontré qu’on pouvait créer un malware capable de se propager automatiquement d’un appareil à l’autre, façon virus zombie pour casques audio.
Les vulnérabilités en question portent les doux noms de CVE-2025-20700, CVE-2025-20701 et CVE-2025-20702, avec des scores de gravité allant jusqu’à 9.6/10 pour la plus critique, autant dire que c’est du sérieux. Pour vous donner une idée de l’ampleur du désastre, voici la liste des appareils confirmés comme vulnérables : les Sony WH-1000XM4, XM5 et XM6, les WF-1000XM3, XM4 et XM5, les Link Buds S, les Bose QuietComfort Earbuds, les Jabra Elite 8 Active, plusieurs modèles JBL et Marshall… Bref, probablement ce que vous avez sur les oreilles en ce moment.
Alors avant que vous ne jetiez vos écouteurs par la fenêtre, respirez un coup. Pour exploiter ces failles, il faut quand même un bon niveau technique et être physiquement proche de la cible. On n’est pas dans un scénario où le premier script kiddie venu peut pirater tous les casques du métro. Mais les chercheurs d’ERNW précisent que ça reste une menace sérieuse surtout pour des cibles de choix comme des journalistes, des diplomates ou des dirigeants d’entreprise.
Ce qui est particulièrement agaçant dans cette affaire, c’est qu’ERNW a signalé les vulnérabilités à Airoha le 25 mars 2025, mais la boîte n’a répondu que le 27 mai. Un SDK corrigé a été envoyé aux fabricants début juin, mais maintenant c’est à chaque marque de créer et distribuer des mises à jour firmware pour chaque modèle concerné. Et connaissant la vitesse à laquelle ces géants de l’électronique déploient leurs updates… on n’est pas sortis de l’auberge.
Alors en attendant que Sony, Bose et compagnie se bougent les fesses, qu’est-ce qu’on peut faire ?
Déjà, si vous êtes une personnalité publique ou si vous bossez sur des trucs sensibles, évitez d’utiliser vos casques Bluetooth dans les lieux publics. Et pour le commun des mortels, restez vigilants et guettez les mises à jour firmware de vos appareils. Vous pouvez aussi désactiver le Bluetooth quand vous ne l’utilisez pas, même si je sais que c’est chiant avec des écouteurs sans fil.
Pour ceux qui veulent vraiment être tranquilles, il reste toujours la bonne vieille solution du casque filaire. C’est has-been, mais au moins personne ne peut transformer vos Sennheiser IE 200 en micro-espion à distance. Parfois les vieilles solutions restent les plus sûres…
Encore une fois, nos gadgets connectés préférés peuvent se retourner contre nous. Entre les failles dans les routeurs, les caméras de surveillance hackables et maintenant nos casques audio qui peuvent nous espionner, on n’est pas sorti de l’auberge… Mais bon, on va pas revenir au baladeur cassette non plus donc restez juste prudents et mettez à jour vos appareils dès que possible.
Mais bordel, on attend quoi pour se réveiller en France ?
Microsoft vient littéralement d’avouer devant le Sénat français qu’ils ne pouvaient PAS garantir que nos données restent bien chez nous. Et cela sous serment devant nos sénateurs probablement en pleine digestion.
Et on fait quoi ? Et bah RIEN.
C’était le 18 juin dernier, qu’Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a été auditionné par la commission d’enquête sénatoriale sur la commande publique. La question était simple : “Pouvez-vous nous garantir, sous serment, que les données des citoyens français ne peuvent pas être transmises au gouvernement américain sans l’accord explicite du gouvernement français ?”
Sa réponse ?
“Non, je ne peux pas le garantir.” BOUM. Voilà. C’est dit. Mais bon, apparemment à par moi, ça ne dérange personne.
Le Cloud Act, cette loi américaine de 2018, donne en effet le pouvoir au gouvernement US de récupérer TOUTES les données stockées par des entreprises américaines. Peu importe où elles sont physiquement.
Vos données médicales chez Microsoft Azure en France ? Les Américains peuvent les demander. Vos documents administratifs sensibles ? C’est pareil. Vos secrets industriels ? Allez, cadeau ! Et le pire dans tout ça c’est qu’on le sait depuis des années. Le Cloud Act est incompatible avec le RGPD européen puisque l’article 48 du RGPD dit clairement qu’aucune décision d’une juridiction étrangère ne peut forcer le transfert de données sans accord international. Mais le Cloud Act s’en tape royalement.
Et pendant ce temps, qu’est-ce qu’on fait en France ? Et bien on signe des contrats à 74 millions d’euros avec Microsoft pour l’Éducation nationale. On leur confie les données de santé des Français via le Health Data Hub. On migre nos administrations sur Microsoft 365. C’est du suicide de nos données personnelles, purement et simplement.
Et les excuses de Microsoft sont pathétiques : “On résiste aux demandes infondées”, “On demande à rediriger vers le client”…etc. Mais à la fin, s’ils reçoivent une injonction légale américaine, ils DOIVENT obéir. Point final.
Et ne me sortez pas l’argument du “ça n’est jamais arrivé” car c’est exactement ce qu’on disait avant Snowden, avant PRISM, bref, avant qu’on découvre l’ampleur de la surveillance américaine ou encore de l’existence des tribunaux secrets. Donc le fait que ça ne soit pas encore arrivé ne veut pas dire que ça n’arrivera pas. Surtout avec Trump au pouvoir.
La solution existe pourtant… Des hébergeurs français, des clouds européens : OVH, Scaleway, et des dizaines d’alternatives qui ne sont PAS soumises au Cloud Act. Mais non, on préfère donner nos millions à Microsoft parce que c’est “plus pratique” ou que parce que “tout le monde fait ça”.
Alors c’est quoi la prochaine étape du coup ? On va attendre qu’un scandale éclate ? Que les données médicales de millions de Français se retrouvent entre les mains de la NSA ? Que des secrets industriels français soient “mystérieusement” récupérés par des concurrents américains ? AWS et Google font exactement la même chose d’ailleurs. Ils tentent de nous rassurer avec leurs “clouds souverains” mais c’est du pipeau car tant qu’ils sont américains, ils sont soumis au Cloud Act, c’est aussi simple que ça.
Ce qui me rend dingue, c’est qu’on a TOUTES les cartes en main. L’Europe est un marché énorme et on pourrait imposer nos conditions, exiger de vraies garanties, développer nos propres solutions…etc… Mais non, on préfère se coucher devant les GAFAM et devant les Etats-Unis.
Il est temps je pense de dire STOP et d’arrêter ces contrats débiles avec des entreprises qui ne peuvent même pas garantir la protection de nos données. Ce serait bien de soutenir les acteurs européens du cloud, de respecter l’article 48 du RGPD et de commencer à construire notre souveraineté numérique au lieu de la brader. Parce que là, on est en train de donner les clés de la maison à des gens qui nous disent en face qu’ils pourront les filer à leur gouvernement quand il le demandera.
L’Internet Archive vient de décrocher le statut de Federal Depository Library. Hé oui, cette institution qui archive le web depuis presque 30 ans fait maintenant partie du programme officiel des bibliothèques fédérales américaines. Le Government Publishing Office (GPO) leur a remis la médaille, et franchement, il était temps.
Il faut savoir que le programme Federal Depository Library existe depuis 1813 et à l’époque, c’était pour distribuer des documents papier aux bibliothèques à travers les États-Unis. Et comme maintenant, en 2025, ce ne sont quasiment plus que des archives numériques, c’est normal que l’Internet Archive devienne la première organisation 100% numérique à rejoindre ce club très select.
Pour ceux qui ne connaissent pas (vraiment ?), l’Internet Archive c’est cette organisation à but non lucratif qui fait tourner la Wayback Machine. Vous savez, ce truc magique qui vous permet de retrouver à quoi ressemblait n’importe quel site web en 2007. Mais c’est bien plus que ça puisqu’ils archivaient déjà des documents gouvernementaux depuis des années… et maintenant c’est officiel !
Le timing est assez dingue quand on y pense car en octobre dernier, l’Internet Archive s’est fait défoncer par des cyberattaques massives. Ils ont perdu 31 millions de comptes utilisateurs dans la nature et quelques mois plus tard, paf, reconnaissance fédérale. Brewster Kahle, le fondateur, n’a d’ailleurs pas caché sa joie en déclarant que ça reconnaissait leur rôle crucial dans la préservation de l’information publique. Le mec archive le web depuis 1996, il peut bien savourer un peu.
Et sinon, qu’est-ce que ça change ??? Et bien d’abord, l’Internet Archive devient une source reconnue par l’Etat pour les documents gouvernementaux. Les chercheurs, les journalistes, et tous ceux qui ont besoin d’accéder à l’info publique ont maintenant un point d’accès reconnu par l’État. C’est énorme pour la transparence démocratique. Et puis il y a le côté préservation. Avec ce statut, l’Internet Archive peut désormais recevoir et archiver directement les publications gouvernementales sans avoir besoin de passer par des circuits compliqués ou de se demander si c’est légal. Ils font partie du système maintenant !
Le gouvernement américain reconnaît enfin ce que tout le monde savait déjà : l’Internet Archive fait un boulot indispensable. Combien de fois vous avez utilisé la Wayback Machine pour retrouver un article disparu ou vérifier une info ? Moi, c’est au moins une fois par semaine.
Cette reconnaissance arrive à un moment crucial à une époque où l’information disparaît à la vitesse de la lumière. Des sites ferment, des articles sont supprimés, des gouvernements changent et effacent leurs traces (coucou Trump !)… Alors avoir une institution qui préserve tout ça, c’est vital. Et pour l’équipe de l’Internet Archive, c’est aussi une forme de protection.
Bref, au final, je trouve que c’est une excellente nouvelle pour tous ceux qui croient en la liberté d’information et la préservation du patrimoine numérique. L’Internet Archive continue sa mission, mais avec la bénédiction de l’Oncle Sam. Et vu comment les choses évoluent sur le net, on va avoir besoin d’eux plus que jamais.
J’sais pas si vous avez vu, mais Microsoft vient de dévoiler quelque chose d’absolument incroyable. Non je déconne, c’est encore de la merde et ça s’appelle Windows Recall.
Windows Recall, pour ceux qui auraient raté le début du film, c’est cette fonctionnalité qui prend des screenshots de tout ce que vous faites sur votre PC toutes les quelques secondes. Microsoft nous vend ça comme un outil de productivité pour “retrouver vos pas numériques”. Perso, j’appelle ça Big Brother qui s’installe direct dans votre bécane.
Face à ce délire orwellien, les développeurs des apps qu’on utilise pour justement protéger notre vie privée ont décidé de ne pas se laisser faire. Signal a ouvert le bal en mai dernier, et maintenant Brave et AdGuard viennent grossir les rangs de la résistance.
AdGuard ne mâche pas ses mots et qualifie carrément la fonctionnalité de “dérangeante”. Ils expliquent que même avec les soit-disant garde-fous de Microsoft (authentification Windows Hello, chiffrement, et tout le tralala), il reste des failles béantes. Vous pouvez par exemple accéder à Recall avec juste votre code PIN après la config initiale… Pas de biométrie requise, et les filtres censés protéger vos données sensibles ratent régulièrement des trucs importants comme vos infos bancaires.
Le truc vraiment naze, c’est que Recall capture aussi les messages éphémères de Signal, Telegram ou WhatsApp. Comme ça, quand vous envoyez un message qui doit disparaître, et bien si votre correspondant a Recall activé, hop, c’est stocké pour l’éternité sur son PC. Sympa pour la confidentialité des messages “secrets”, non ?
Heureusement, Microsoft a quand même prévu des moyens pour que les développeurs puissent bloquer cette surveillance. Il y a donc deux méthodes principales : l’API SetInputScope et un flag DRM.
Signal a choisi l’option nucléaire avec le flag DRM. En gros, ils font croire à Windows que leur fenêtre diffuse du contenu protégé par copyright, ce qui empêche toute capture d’écran. C’est radical et ça a l’inconvénient que même les outils légitimes comme les lecteurs d’écran pour l’accessibilité ne peuvent plus fonctionner.
Brave a opté pour une approche plus fine avec l’API SetInputScope. Ils marquent toutes leurs fenêtres avec le flag IS_PRIVATE, ce qui dit à Windows “pas touche, c’est privé”. Comme ça, les captures d’écran normales continuent de marcher, et seul Recall est bloqué. La version 1.81 de Brave avec cette protection sortira le 5 août prochain.
AdGuard pousse le bouchon encore plus loin avec leur version 7.21. Quand vous activez la protection contre le tracking, ça bloque carrément Recall au niveau système. Le truc ne peut même plus se lancer, point barre.
Ce qui me fait marrer (jaune), c’est que les trois apps laissent quand même aux utilisateurs la possibilité de réactiver Recall s’ils le veulent vraiment. Genre “si vous tenez absolument à vous faire surveiller, libre à vous”. Mais bon, qui voudrait faire ça sérieux ?
Cette fronde des développeurs montre bien que les inquiétudes autour de Recall sont légitimes et Microsoft a beau promettre monts et merveilles niveau sécurité, je pense que personne n’est dupe.
Bref, y’a vraiment un sérieux problème avec ce truc…
Mais bordel, on attend quoi pour se réveiller en France ?
Microsoft vient littéralement d’avouer devant le Sénat français qu’ils ne pouvaient PAS garantir que nos données restent bien chez nous. Et cela sous serment devant nos sénateurs probablement en pleine digestion.
Et on fait quoi ? Et bah RIEN.
C’était le 18 juin dernier, qu’Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a été auditionné par la commission d’enquête sénatoriale sur la commande publique. La question était simple : “Pouvez-vous nous garantir, sous serment, que les données des citoyens français ne peuvent pas être transmises au gouvernement américain sans l’accord explicite du gouvernement français ?”
Sa réponse ?
“Non, je ne peux pas le garantir.” BOUM. Voilà. C’est dit. Mais bon, apparemment à par moi, ça ne dérange personne.
Le Cloud Act, cette loi américaine de 2018, donne en effet le pouvoir au gouvernement US de récupérer TOUTES les données stockées par des entreprises américaines. Peu importe où elles sont physiquement.
Vos données médicales chez Microsoft Azure en France ? Les Américains peuvent les demander. Vos documents administratifs sensibles ? C’est pareil. Vos secrets industriels ? Allez, cadeau ! Et le pire dans tout ça c’est qu’on le sait depuis des années. Le Cloud Act est incompatible avec le RGPD européen puisque l’article 48 du RGPD dit clairement qu’aucune décision d’une juridiction étrangère ne peut forcer le transfert de données sans accord international. Mais le Cloud Act s’en tape royalement.
Et pendant ce temps, qu’est-ce qu’on fait en France ? Et bien on signe des contrats à 74 millions d’euros avec Microsoft pour l’Éducation nationale. On leur confie les données de santé des Français via le Health Data Hub. On migre nos administrations sur Microsoft 365. C’est du suicide de nos données personnelles, purement et simplement.
Et les excuses de Microsoft sont pathétiques : “On résiste aux demandes infondées”, “On demande à rediriger vers le client”…etc. Mais à la fin, s’ils reçoivent une injonction légale américaine, ils DOIVENT obéir. Point final.
Et ne me sortez pas l’argument du “ça n’est jamais arrivé” car c’est exactement ce qu’on disait avant Snowden, avant PRISM, bref, avant qu’on découvre l’ampleur de la surveillance américaine ou encore de l’existence des tribunaux secrets. Donc le fait que ça ne soit pas encore arrivé ne veut pas dire que ça n’arrivera pas. Surtout avec Trump au pouvoir.
La solution existe pourtant… Des hébergeurs français, des clouds européens : OVH, Scaleway, et des dizaines d’alternatives qui ne sont PAS soumises au Cloud Act. Mais non, on préfère donner nos millions à Microsoft parce que c’est “plus pratique” ou que parce que “tout le monde fait ça”.
Alors c’est quoi la prochaine étape du coup ? On va attendre qu’un scandale éclate ? Que les données médicales de millions de Français se retrouvent entre les mains de la NSA ? Que des secrets industriels français soient “mystérieusement” récupérés par des concurrents américains ? AWS et Google font exactement la même chose d’ailleurs. Ils tentent de nous rassurer avec leurs “clouds souverains” mais c’est du pipeau car tant qu’ils sont américains, ils sont soumis au Cloud Act, c’est aussi simple que ça.
Ce qui me rend dingue, c’est qu’on a TOUTES les cartes en main. L’Europe est un marché énorme et on pourrait imposer nos conditions, exiger de vraies garanties, développer nos propres solutions…etc… Mais non, on préfère se coucher devant les GAFAM et devant les Etats-Unis.
Il est temps je pense de dire STOP et d’arrêter ces contrats débiles avec des entreprises qui ne peuvent même pas garantir la protection de nos données. Ce serait bien de soutenir les acteurs européens du cloud, de respecter l’article 48 du RGPD et de commencer à construire notre souveraineté numérique au lieu de la brader. Parce que là, on est en train de donner les clés de la maison à des gens qui nous disent en face qu’ils pourront les filer à leur gouvernement quand il le demandera.
L’Internet Archive vient de décrocher le statut de Federal Depository Library. Hé oui, cette institution qui archive le web depuis presque 30 ans fait maintenant partie du programme officiel des bibliothèques fédérales américaines. Le Government Publishing Office (GPO) leur a remis la médaille, et franchement, il était temps.
Il faut savoir que le programme Federal Depository Library existe depuis 1813 et à l’époque, c’était pour distribuer des documents papier aux bibliothèques à travers les États-Unis. Et comme maintenant, en 2025, ce ne sont quasiment plus que des archives numériques, c’est normal que l’Internet Archive devienne la première organisation 100% numérique à rejoindre ce club très select.
Pour ceux qui ne connaissent pas (vraiment ?), l’Internet Archive c’est cette organisation à but non lucratif qui fait tourner la Wayback Machine. Vous savez, ce truc magique qui vous permet de retrouver à quoi ressemblait n’importe quel site web en 2007. Mais c’est bien plus que ça puisqu’ils archivaient déjà des documents gouvernementaux depuis des années… et maintenant c’est officiel !
Le timing est assez dingue quand on y pense car en octobre dernier, l’Internet Archive s’est fait défoncer par des cyberattaques massives. Ils ont perdu 31 millions de comptes utilisateurs dans la nature et quelques mois plus tard, paf, reconnaissance fédérale. Brewster Kahle, le fondateur, n’a d’ailleurs pas caché sa joie en déclarant que ça reconnaissait leur rôle crucial dans la préservation de l’information publique. Le mec archive le web depuis 1996, il peut bien savourer un peu.
Et sinon, qu’est-ce que ça change ??? Et bien d’abord, l’Internet Archive devient une source reconnue par l’Etat pour les documents gouvernementaux. Les chercheurs, les journalistes, et tous ceux qui ont besoin d’accéder à l’info publique ont maintenant un point d’accès reconnu par l’État. C’est énorme pour la transparence démocratique. Et puis il y a le côté préservation. Avec ce statut, l’Internet Archive peut désormais recevoir et archiver directement les publications gouvernementales sans avoir besoin de passer par des circuits compliqués ou de se demander si c’est légal. Ils font partie du système maintenant !
Le gouvernement américain reconnaît enfin ce que tout le monde savait déjà : l’Internet Archive fait un boulot indispensable. Combien de fois vous avez utilisé la Wayback Machine pour retrouver un article disparu ou vérifier une info ? Moi, c’est au moins une fois par semaine.
Cette reconnaissance arrive à un moment crucial à une époque où l’information disparaît à la vitesse de la lumière. Des sites ferment, des articles sont supprimés, des gouvernements changent et effacent leurs traces (coucou Trump !)… Alors avoir une institution qui préserve tout ça, c’est vital. Et pour l’équipe de l’Internet Archive, c’est aussi une forme de protection.
Bref, au final, je trouve que c’est une excellente nouvelle pour tous ceux qui croient en la liberté d’information et la préservation du patrimoine numérique. L’Internet Archive continue sa mission, mais avec la bénédiction de l’Oncle Sam. Et vu comment les choses évoluent sur le net, on va avoir besoin d’eux plus que jamais.
J’sais pas si vous avez vu, mais Microsoft vient de dévoiler quelque chose d’absolument incroyable. Non je déconne, c’est encore de la merde et ça s’appelle Windows Recall.
Windows Recall, pour ceux qui auraient raté le début du film, c’est cette fonctionnalité qui prend des screenshots de tout ce que vous faites sur votre PC toutes les quelques secondes. Microsoft nous vend ça comme un outil de productivité pour “retrouver vos pas numériques”. Perso, j’appelle ça Big Brother qui s’installe direct dans votre bécane.
Face à ce délire orwellien, les développeurs des apps qu’on utilise pour justement protéger notre vie privée ont décidé de ne pas se laisser faire. Signal a ouvert le bal en mai dernier, et maintenant Brave et AdGuard viennent grossir les rangs de la résistance.
AdGuard ne mâche pas ses mots et qualifie carrément la fonctionnalité de “dérangeante”. Ils expliquent que même avec les soit-disant garde-fous de Microsoft (authentification Windows Hello, chiffrement, et tout le tralala), il reste des failles béantes. Vous pouvez par exemple accéder à Recall avec juste votre code PIN après la config initiale… Pas de biométrie requise, et les filtres censés protéger vos données sensibles ratent régulièrement des trucs importants comme vos infos bancaires.
Le truc vraiment naze, c’est que Recall capture aussi les messages éphémères de Signal, Telegram ou WhatsApp. Comme ça, quand vous envoyez un message qui doit disparaître, et bien si votre correspondant a Recall activé, hop, c’est stocké pour l’éternité sur son PC. Sympa pour la confidentialité des messages “secrets”, non ?
Heureusement, Microsoft a quand même prévu des moyens pour que les développeurs puissent bloquer cette surveillance. Il y a donc deux méthodes principales : l’API SetInputScope et un flag DRM.
Signal a choisi l’option nucléaire avec le flag DRM. En gros, ils font croire à Windows que leur fenêtre diffuse du contenu protégé par copyright, ce qui empêche toute capture d’écran. C’est radical et ça a l’inconvénient que même les outils légitimes comme les lecteurs d’écran pour l’accessibilité ne peuvent plus fonctionner.
Brave a opté pour une approche plus fine avec l’API SetInputScope. Ils marquent toutes leurs fenêtres avec le flag IS_PRIVATE, ce qui dit à Windows “pas touche, c’est privé”. Comme ça, les captures d’écran normales continuent de marcher, et seul Recall est bloqué. La version 1.81 de Brave avec cette protection sortira le 5 août prochain.
AdGuard pousse le bouchon encore plus loin avec leur version 7.21. Quand vous activez la protection contre le tracking, ça bloque carrément Recall au niveau système. Le truc ne peut même plus se lancer, point barre.
Ce qui me fait marrer (jaune), c’est que les trois apps laissent quand même aux utilisateurs la possibilité de réactiver Recall s’ils le veulent vraiment. Genre “si vous tenez absolument à vous faire surveiller, libre à vous”. Mais bon, qui voudrait faire ça sérieux ?
Cette fronde des développeurs montre bien que les inquiétudes autour de Recall sont légitimes et Microsoft a beau promettre monts et merveilles niveau sécurité, je pense que personne n’est dupe.
Bref, y’a vraiment un sérieux problème avec ce truc…
Les scientifiques du CERN ont encore frappé fort car après nous avoir fait flipper les complotistes avec leur collisionneur de particules qui devait créer des trous noirs miniatures qui nous avaleraient tout rond, ils viennent de fabriquer un truc encore plus chelou : un qubit d’antimatière.
Pour ceux qui ont séché les cours de physique, l’antimatière c’est comme la matière normale, mais en version “miroir maléfique”. Quand une particule de matière rencontre son équivalent en antimatière, pouf, elles s’annihilent mutuellement en libérant une quantité d’énergie monstrueuse. C’est pour ça que dans Star Trek, ils utilisent ça pour faire avancer l’Enterprise.
Cette bonne nouvelle nous vient de l’équipe de Barbara Latacz qui a réussi à maintenir un antiproton (l’équivalent antimatiériel du proton) dans un état quantique stable pendant 50 secondes. 50 secondes, ça peut paraître court, mais dans le monde de l’antimatière, c’est comme si vous aviez réussi à garder une bulle de savon intacte pendant une semaine.
Pour y arriver, ils ont utilisé une technique appelée “spectroscopie de transition quantique cohérente” (ouais, je sais, ça fait nom de sortilège dans Harry Potter). En gros, ils ont piégé l’antiproton dans un champ électromagnétique super sophistiqué appelé piège de Penning, et ils ont réussi à le faire osciller entre deux états quantiques, comme un pendule qui balance entre “haut” et “bas”.
La physicienne Barbara Latacz raconte d’ailleurs qu’elle a immédiatement ouvert une bouteille de champagne quand ils ont réussi, et après 5 ans de boulot acharné sur ce projet, elle l’avait bien mérité.
Mais alors pourquoi c’est si important ??? Eh bien figurez-vous que l’un des plus grands mystères de la physique, c’est de comprendre pourquoi notre univers est fait principalement de matière alors que théoriquement, il devrait y avoir autant de matière que d’antimatière. C’est comme si vous lanciez un million de pièces de 1 euros en l’air et qu’elles tombaient toutes sur face… statistiquement, c’est louche.
Cette expérience nommée BASE (Baryon Antibaryon Symmetry Experiment, pour ceux qui aiment les acronymes) permet justement d’étudier les propriétés de l’antimatière avec une précision jamais atteinte. En comparant le comportement des antiprotons avec celui des protons normaux, les scientifiques espèrent trouver une petite différence, un truc qui cloche, et qui expliquerait pourquoi on est là au lieu d’avoir été annihilés il y a 13,8 milliards d’années.
Stefan Ulmer, le porte-parole du projet BASE, explique que cette première mondiale ouvre la voie à l’application de toute une panoplie de méthodes de spectroscopie cohérente sur des systèmes de matière et d’antimatière. En gros, ils viennent de débloquer un nouveau niveau dans le jeu de la physique des particules.
Toutefois, avant que vous ne commenciez à fantasmer sur des ordinateurs quantiques à base d’antimatière (avouez, vous y avez pensé bande de coquins !), sachez que pour l’instant, c’est complètement irréaliste car produire et stocker de l’antimatière, c’est tellement compliqué et coûteux que ça n’a aucun sens pour faire de l’informatique quantique. Les qubits normaux font très bien le job, merci.
Par contre, ce qui est vraiment excitant, c’est le futur upgrade prévu : BASE-STEP. Cette nouvelle version permettra de transporter les antiprotons par camion (oui oui !) vers des environnements magnétiques plus calmes que l’usine à antimatière du CERN. L’équipe espère ainsi pouvoir maintenir la cohérence quantique pendant 10 fois plus longtemps, ce qui pourrait révolutionner notre compréhension de l’antimatière.
Bref, pendant que certains s’écharpent sur X pour savoir si les pâtes se cuisent avec ou sans couvercle, d’autres créent des qubits d’antimatière et percent les mystères de l’univers. Et ça, ça me redonne (un peu) foi en l’humanité.
Je vais enfin vous raconter dans les moindres détails l’histoire du hack le plus dévastateur de l’ère numérique. Pas en termes techniques, non, non… Mais plutôt en termes humains.
Ashley Madison, le site qui promettait des aventures extraconjugales discrètes avec son slogan “Life is short. Have an affair” (La vie est courte. Ayez une aventure) et dont les 37 millions d’utilisateurs inscrits pensaient que leurs secrets étaient en sécurité derrière leur mot de passe.
Grossière erreur.
Car en juillet 2015, un groupe mystérieux appelé Impact Team a décidé de faire tomber ce château de cartes. Et les conséquences ont été violentes. Des suicides documentés, des divorces par milliers, des carrières pulvérisées, et la révélation que le PDG lui-même, Noel Biderman, celui qui paradait dans les médias comme un mari fidèle, entretenait plusieurs liaisons payantes. Bref, voici l’histoire complète du hack qui a prouvé que sur Internet, il n’y a aucun secret qui tienne.
Ashley Madison - Le site qui a appris au monde entier que la discrétion absolue n’existait pas
L’histoire commence en 2001 avec Darren J. Morgenstern, un entrepreneur franco-canadien qui a l’idée de créer un site de rencontres pour personnes mariées. Le nom “Ashley Madison” combine alors simplement les deux prénoms féminins les plus populaires de l’époque. Le concept est révolutionnaire et controversé : un site assumant complètement l’adultère.
Mais c’est Noel Biderman qui va transformer cette idée en empire. Né le 24 novembre 1971 à Toronto, petit-fils de survivants de l’Holocauste, diplômé d’Osgoode Hall Law School en 1996, Biderman est avocat devenu agent sportif.
En 2007, Morgenstern vend Ashley Madison à Avid Life Media, et Biderman en devient le PDG. C’est là que l’histoire devient vraiment intéressante. Car Biderman, qui gérait les affaires sentimentales compliquées de ses clients athlètes, jonglant entre épouses et maîtresses, comprend parfaitement tout le potentiel du site.
Le concept est révolutionnaire pour l’époque et contrairement aux sites de rencontres classiques, Ashley Madison assume complètement son côté sulfureux. Pas de faux-semblants, pas d’hypocrisie. Vous êtes marié et vous voulez une aventure ? Venez chez nous, on s’occupe de tout. Le site garantit la discrétion absolue (spoiler : c’était du flanc), les profils peuvent être anonymes, les photos floutées, les paiements discrets sur les relevés bancaires.
Noel Biderman : le PDG “fidèle” qui cachait bien son jeu
Biderman transforme alors progressivement ce petit site canadien en empire mondial avec une stratégie marketing ultra-agressive. Des pubs pendant le Super Bowl (qui ont été refusées), des panneaux d’affichage géants, des campagnes provocantes. Biderman lui-même devient le visage du site, paradant dans les médias avec sa femme Amanda, une Sud-Africaine avec un background en marketing.
Et c’est là que ça devient croustillant car Biderman joue le parfait homme d’affaires familial. Marié depuis 2003, père de deux enfants, il répète partout : “Je suis fidèle à ma femme. Ashley Madison, c’est pour les autres, pas pour moi.” Amanda soutient publiquement son mari et son business controversé. Ils forment le couple parfait de l’hypocrisie entrepreneuriale.
Puis le site explose littéralement. En 2015, Ashley Madison revendique 37 millions d’utilisateurs dans 46 pays et le chiffre d’affaires annuel dépasse les 100 millions de dollars, avec des projections à 150 millions pour 2015. ALM possède aussi d’autres sites comme Established Men (pour les sugar daddies) et CougarLife. Mais Ashley Madison reste le fleuron, générant 90% des revenus.
La particularité d’Ashley Madison, c’est surtout son modèle économique. L’inscription est gratuite pour les femmes (histoire d’attirer du monde), payante pour les hommes et ces derniers doivent acheter des “crédits” pour envoyer des messages. Mais surtout, il y a cette fameuse option “Full Delete” à 19 dollars.
Pour ce prix, Ashley Madison promet d’effacer complètement votre profil et toutes vos données. “Removal of site usage history and personally identifiable information from the site”, disaient-ils. Rien que cette arnaque, euh pardon, cette option a rapporté 1,7 million de dollars en 2014.
Et c’est ce mensonge éhonté qui va tout déclencher.
Car en coulisses, la sécurité d’Ashley Madison est une vaste blague. En 2012, Raja Bhatia, le directeur technique fondateur, tire déjà la sonnette d’alarme. Dans un email interne, il prédit une “crise de sécurité éventuelle” qui pourrait “écorcher vive” la compagnie. Prophétique, le mec.
Et en mai 2015, Mark Steele, directeur de la sécurité, enfonce le clou. Dans un email à Biderman, il explique que leur code est “criblée” de vulnérabilités XSS et CSRF, faciles à exploiter pour n’importe quel script kiddie. Il mentionne aussi des failles plus graves comme l’injection SQL qui pourraient causer des fuites de données “beaucoup plus dommageables”. Les mots de passe étaient bien hachés avec bcrypt, mais tellement mal implémentés que 11 millions d’entre eux seront crackés en à peine 10 jours.
Mais Biderman et ALM s’en foutent royalement. La priorité, c’est la croissance et les profits, pas la sécurité. Cette négligence criminelle va leur coûter très, très cher…
Le 12 juillet 2015, les employés d’Avid Life Media arrivent au bureau pour un lundi pas comme les autres avec sur leurs écrans, un message menaçant : La musique “Thunderstruck” d’AC/DC résonne dans les bureaux et le message est signé “Impact Team”. Ce dernier menace de publier toutes les données de la compagnie et des 37 millions de clients si Ashley Madison et Established Men ne ferment pas immédiatement.
Le manifeste d’Impact Team est cinglant : “Avid Life Media a reçu l’ordre de retirer définitivement Ashley Madison et Established Men sous toutes ses formes, sous peine de voir toutes les données clients divulguées, y compris les profils contenant les fantasmes sexuels secrets des clients et les transactions correspondantes par carte de crédit, les noms et adresses réels, ainsi que les documents et e-mails des employés.”
Ils accusent surtout ALM de mentir sur le service “Full Delete”. Selon eux, même après avoir payé 19 dollars, les vraies informations des utilisateurs restent dans les bases de données.
Le 19 juillet, Impact Team publie leur ultimatum sur Pastebin, donnant 30 jours à ALM pour fermer les sites. Brian Krebs, le célèbre journaliste spécialisé en cybersécurité, révèle alors l’affaire le même jour. C’est la panique totale chez ALM.
Le 20 juillet, Ashley Madison publie trois communiqués minimisant l’incident. Ils parlent d’une “tentative par un tiers non autorisée d’accéder à nos systèmes” et annoncent une enquête avec les forces de l’ordre et Cycura et le compte Twitter habituellement hyperactif du site devient aussi muet comme une carpe.
Pour prouver leur sérieux, le 21 juillet, Impact Team publie 2 500 dossiers d’utilisateurs et le 22 juillet, ils révèlent l’identité complète de deux utilisateurs : un homme de Brockton, Massachusetts, et un autre de l’Ontario. Un avertissement clair : on a tout et on n’hésitera pas.
Les théories fusent alors sur l’identité d’Impact Team. La plus crédible : un inside job. Noel Biderman lui-même déclare peu après : “Nous sommes sur le point de confirmer l’identité du coupable… J’ai son profil sous les yeux, avec toutes ses références professionnelles. Il s’agit sans aucun doute d’une personne qui n’était pas employée ici, mais qui a certainement eu accès à nos services techniques.” Un contractuel ? Un ancien employé viré ? Le mystère reste entier.
John McAfee, le fondateur controversé de l’antivirus éponyme, y va également de sa théorie. Selon lui, c’est “la seule employée femme” d’ALM et les dumps MySQL complets indiquent une connaissance intime de l’infrastructure. “Les hackers ont rarement une connaissance approfondie de la stack technique d’une cible.”, affirme-t-il. Une théorie jamais confirmée, vous vous en doutez, mais qui fait jaser.
Screenshot
Le plus troublant c’est qu’Impact Team semblerait être une seule personne et pas un groupe. Le style d’écriture, la nature personnelle de la vendetta, le fait qu’ils n’aient jamais existé avant et disparaissent après… Tout suggère un individu avec une rancune spécifique. En 2023, Brian Krebs révèle même que le principal suspect se serait suicidé en 2014, AVANT que le hack ne soit rendu public. Si c’est vrai, ça veut dire qu’Impact Team a planifié l’attaque, attendu plus d’un an, puis publié les données. Un niveau de patience dingue.
Puis le délai de 30 jours expire. Nous sommes le 18 aout 2015 et Ashley Madison est toujours en ligne. Impact Team passe alors à l’exécution de ses menaces. Il publie un fichier torrent de 9,7 gigaoctets sur le dark web, accessible uniquement via Tor. Le fichier est signé avec une clé PGP pour prouver son authenticité. À l’intérieur : les infos d’environ 37 millions d’utilisateurs.
Et ces données sont dévastatrices. Noms, emails, adresses, préférences sexuelles, fantasmes secrets, messages privés, transactions par carte de crédit. Même les utilisateurs qui avaient payé pour le “Full Delete” sont là. Impact Team avait donc raison : le service était une arnaque totale.
Full Delete - L’option de confidentialité qui n’en était pas une.
Internet s’enflamme et des dizaines de sites se montent, permettant de vérifier si votre email est dans la fuite. Les journalistes fouillent frénétiquement. Des milliers d’adresses .gov et .mil sont découvertes. Politiciens, militaires, religieux, personnalités publiques… Tout le monde y passe.
Le 20 août, Impact Team frappe encore plus fort avec un deuxième dump de 20 gigaoctets. Cette fois, c’est l’intérieur d’ALM qui est exposé : emails internes, code source, et surtout… 300 emails personnels de Noel Biderman.
Les révélations sont explosives puisque Biderman, Monsieur “Je suis super fidèle”, entretenait une liaison de trois ans avec une escort de Toronto nommée Melisa. Rendez-vous payants de juillet 2012 à mai 2015. D’autres femmes aussi. Les emails détaillent tout : les rencontres, les paiements, les mensonges à Amanda.
Un email particulièrement crade montre Biderman investissant dans une idée d’app appelée “What’s Your Wife Worth?” qui permettrait d’attribuer une valeur monétaire aux femmes selon leur attractivité. Même pour le PDG d’un site d’adultère, c’est too much.
L’email envoyé par le hacker d’Ashley Madison
Le 21 août, dans une interview avec Vice, Impact Team lâche alors une bombe sur la sécurité d’ALM : “Personne ne surveillait. Aucune sécurité. Nous avons travaillé dur pour rendre l’attaque totalement indétectable, puis nous sommes entrés et n’avons rien trouvé à contourner. Vous pouviez utiliser un MotDePasse1234 trouvé sur Internet pour vous connecter au VPN et accéder à tous les serveurs.” Hey oui, la sécurité chez Ashley Madison était tellement nulle qu’il n’y avait rien à contourner.
Malheureusement, les conséquences humaines commencent à se faire sentir. Le 24 août, la police de Toronto annonce deux suicides non confirmés liés à la fuite. Des “crimes de haine” sont rapportés. Chantage, harcèlement, violence domestique… Les victimes du hack deviennent victimes dans la vraie vie.
L’histoire la plus tragique est celle de John Gibson, 56 ans, pasteur et professeur au New Orleans Baptist Theological Seminary. Six jours après la publication, sa femme Christi retrouve son corps. Dans sa note de suicide, Gibson parle de sa honte, de sa dépression, de son addiction sexuelle qu’il combattait depuis 25 ans. Il s’excuse auprès de sa famille. D’autres suivront, comme le capitaine de police Michael Gorham de San Antonio.
Sam Rader, YouTubeur chrétien populaire avec sa chaîne “Sam and Nia”, est aussi exposé. Son compte “dirty_little_secret_man” fait surface. D’abord, il nie puis plus tard, dans le documentaire Netflix, il avouera avoir menti. Il cherchait de l’excitation pendant ses gardes de nuit comme infirmier.
Le 28 août 2015, Biderman démissionne. Un communiqué laconique indique que c’est “dans le meilleur intérêt de la compagnie”. Exit le millionnaire hypocrite. Bizarrement, Amanda ne l’a pas quitté et le couple semble toujours marié aujourd’hui. L’amour ou le fric ? Mystère.
Les conséquences légales sont également massives. En juillet 2017, Ruby Corporation (nouveau nom d’ALM) accepte de payer 11,2 millions de dollars pour régler les procès collectifs. La Federal Trade Commission impose également 17,5 millions d’amende, mais n’en collecte que 1,66 million vu les difficultés financières.
Mais le plus dingue c’est quand même qu’Ashley Madison a survécu. Après le hack, tout le monde prédisait sa mort. Hey oui car qui oserait encore s’inscrire ? Pourtant, sous une nouvelle direction, et avec une sécurité renforcée (authentification à deux facteurs, navigation chiffrée, conformité PCI), le site renaît. En 2017, ils revendiquaient même 50 millions d’utilisateurs. Il faut croire que la demande pour l’adultère en ligne n’a pas disparu.
Le site Ashley Madison en 2025
Impact Team disparaît complètement après les fuites. Aucune revendication ultérieure, aucune autre action et malgré les enquêtes du FBI, de la police canadienne, d’Interpol, personne n’est jamais arrêté. L’identité d’Impact Team reste le plus grand mystère non résolu de toute cette histoire.
Et pour la première fois, des millions de personnes réalisent que leur vie numérique secrète peut devenir publique du jour au lendemain. La notion de vie privée en ligne est redéfinie. Les entreprises comprennent également que la sécurité n’est plus optionnelle et les régulateurs durcissent les lois. Le RGPD européen de 2018 cite même explicitement des cas comme Ashley Madison pour justifier des amendes jusqu’à 4% du chiffre d’affaires mondial.
Sans oublier des documentaires Netflix comme “Ashley Madison: Sex, Lies & Scandal” et Hulu “The Ashley Madison Affair” qui remettent régulièrement l’histoire sur le devant de la scène.
Et Noel Biderman dans tout ça ? Et bien il a su rebondir. Depuis 2024, il est PDG d’Avenue Insights à Toronto et conseiller stratégique chez WonderFi. Loin des projecteurs, il parle de ses nouveaux projets “éthiques” et sur LinkedIn, son profil reste très vague sur la période 2007-2015. L’ombre d’Ashley Madison le suivra pour toujours.
Aujourd’hui, quand on tape “Ashley Madison” dans Google, les premiers résultats sont les articles sur le hack, pas le site. C’est devenu LE cas d’école en cybersécurité, éthique numérique, psychologie sociale mais pour les millions de personnes exposées, c’est une blessure qui ne guérira jamais car les données sont toujours là, sur le dark web, prêtes à ressurgir telles une épée de Damoclès éternelle.
Alors la prochaine fois que vous créez un compte quelque part, pensez-y. Ne mettez jamais en ligne ce que vous ne voudriez pas voir en première page des médias car a question n’est pas “si” vos données seront diffusées mais “quand” et par “qui”.
Les scientifiques du CERN ont encore frappé fort car après nous avoir fait flipper les complotistes avec leur collisionneur de particules qui devait créer des trous noirs miniatures qui nous avaleraient tout rond, ils viennent de fabriquer un truc encore plus chelou : un qubit d’antimatière.
Pour ceux qui ont séché les cours de physique, l’antimatière c’est comme la matière normale, mais en version “miroir maléfique”. Quand une particule de matière rencontre son équivalent en antimatière, pouf, elles s’annihilent mutuellement en libérant une quantité d’énergie monstrueuse. C’est pour ça que dans Star Trek, ils utilisent ça pour faire avancer l’Enterprise.
Cette bonne nouvelle nous vient de l’équipe de Barbara Latacz qui a réussi à maintenir un antiproton (l’équivalent antimatiériel du proton) dans un état quantique stable pendant 50 secondes. 50 secondes, ça peut paraître court, mais dans le monde de l’antimatière, c’est comme si vous aviez réussi à garder une bulle de savon intacte pendant une semaine.
Pour y arriver, ils ont utilisé une technique appelée “spectroscopie de transition quantique cohérente” (ouais, je sais, ça fait nom de sortilège dans Harry Potter). En gros, ils ont piégé l’antiproton dans un champ électromagnétique super sophistiqué appelé piège de Penning, et ils ont réussi à le faire osciller entre deux états quantiques, comme un pendule qui balance entre “haut” et “bas”.
La physicienne Barbara Latacz raconte d’ailleurs qu’elle a immédiatement ouvert une bouteille de champagne quand ils ont réussi, et après 5 ans de boulot acharné sur ce projet, elle l’avait bien mérité.
Mais alors pourquoi c’est si important ??? Eh bien figurez-vous que l’un des plus grands mystères de la physique, c’est de comprendre pourquoi notre univers est fait principalement de matière alors que théoriquement, il devrait y avoir autant de matière que d’antimatière. C’est comme si vous lanciez un million de pièces de 1 euros en l’air et qu’elles tombaient toutes sur face… statistiquement, c’est louche.
Cette expérience nommée BASE (Baryon Antibaryon Symmetry Experiment, pour ceux qui aiment les acronymes) permet justement d’étudier les propriétés de l’antimatière avec une précision jamais atteinte. En comparant le comportement des antiprotons avec celui des protons normaux, les scientifiques espèrent trouver une petite différence, un truc qui cloche, et qui expliquerait pourquoi on est là au lieu d’avoir été annihilés il y a 13,8 milliards d’années.
Stefan Ulmer, le porte-parole du projet BASE, explique que cette première mondiale ouvre la voie à l’application de toute une panoplie de méthodes de spectroscopie cohérente sur des systèmes de matière et d’antimatière. En gros, ils viennent de débloquer un nouveau niveau dans le jeu de la physique des particules.
Toutefois, avant que vous ne commenciez à fantasmer sur des ordinateurs quantiques à base d’antimatière (avouez, vous y avez pensé bande de coquins !), sachez que pour l’instant, c’est complètement irréaliste car produire et stocker de l’antimatière, c’est tellement compliqué et coûteux que ça n’a aucun sens pour faire de l’informatique quantique. Les qubits normaux font très bien le job, merci.
Par contre, ce qui est vraiment excitant, c’est le futur upgrade prévu : BASE-STEP. Cette nouvelle version permettra de transporter les antiprotons par camion (oui oui !) vers des environnements magnétiques plus calmes que l’usine à antimatière du CERN. L’équipe espère ainsi pouvoir maintenir la cohérence quantique pendant 10 fois plus longtemps, ce qui pourrait révolutionner notre compréhension de l’antimatière.
Bref, pendant que certains s’écharpent sur X pour savoir si les pâtes se cuisent avec ou sans couvercle, d’autres créent des qubits d’antimatière et percent les mystères de l’univers. Et ça, ça me redonne (un peu) foi en l’humanité.
Je vais enfin vous raconter dans les moindres détails l’histoire du hack le plus dévastateur de l’ère numérique. Pas en termes techniques, non, non… Mais plutôt en termes humains.
Ashley Madison, le site qui promettait des aventures extraconjugales discrètes avec son slogan “Life is short. Have an affair” (La vie est courte. Ayez une aventure) et dont les 37 millions d’utilisateurs inscrits pensaient que leurs secrets étaient en sécurité derrière leur mot de passe.
Grossière erreur.
Car en juillet 2015, un groupe mystérieux appelé Impact Team a décidé de faire tomber ce château de cartes. Et les conséquences ont été violentes. Des suicides documentés, des divorces par milliers, des carrières pulvérisées, et la révélation que le PDG lui-même, Noel Biderman, celui qui paradait dans les médias comme un mari fidèle, entretenait plusieurs liaisons payantes. Bref, voici l’histoire complète du hack qui a prouvé que sur Internet, il n’y a aucun secret qui tienne.
Ashley Madison - Le site qui a appris au monde entier que la discrétion absolue n’existait pas
L’histoire commence en 2001 avec Darren J. Morgenstern, un entrepreneur franco-canadien qui a l’idée de créer un site de rencontres pour personnes mariées. Le nom “Ashley Madison” combine alors simplement les deux prénoms féminins les plus populaires de l’époque. Le concept est révolutionnaire et controversé : un site assumant complètement l’adultère.
Mais c’est Noel Biderman qui va transformer cette idée en empire. Né le 24 novembre 1971 à Toronto, petit-fils de survivants de l’Holocauste, diplômé d’Osgoode Hall Law School en 1996, Biderman est avocat devenu agent sportif.
En 2007, Morgenstern vend Ashley Madison à Avid Life Media, et Biderman en devient le PDG. C’est là que l’histoire devient vraiment intéressante. Car Biderman, qui gérait les affaires sentimentales compliquées de ses clients athlètes, jonglant entre épouses et maîtresses, comprend parfaitement tout le potentiel du site.
Le concept est révolutionnaire pour l’époque et contrairement aux sites de rencontres classiques, Ashley Madison assume complètement son côté sulfureux. Pas de faux-semblants, pas d’hypocrisie. Vous êtes marié et vous voulez une aventure ? Venez chez nous, on s’occupe de tout. Le site garantit la discrétion absolue (spoiler : c’était du flanc), les profils peuvent être anonymes, les photos floutées, les paiements discrets sur les relevés bancaires.
Noel Biderman : le PDG “fidèle” qui cachait bien son jeu
Biderman transforme alors progressivement ce petit site canadien en empire mondial avec une stratégie marketing ultra-agressive. Des pubs pendant le Super Bowl (qui ont été refusées), des panneaux d’affichage géants, des campagnes provocantes. Biderman lui-même devient le visage du site, paradant dans les médias avec sa femme Amanda, une Sud-Africaine avec un background en marketing.
Et c’est là que ça devient croustillant car Biderman joue le parfait homme d’affaires familial. Marié depuis 2003, père de deux enfants, il répète partout : “Je suis fidèle à ma femme. Ashley Madison, c’est pour les autres, pas pour moi.” Amanda soutient publiquement son mari et son business controversé. Ils forment le couple parfait de l’hypocrisie entrepreneuriale.
Puis le site explose littéralement. En 2015, Ashley Madison revendique 37 millions d’utilisateurs dans 46 pays et le chiffre d’affaires annuel dépasse les 100 millions de dollars, avec des projections à 150 millions pour 2015. ALM possède aussi d’autres sites comme Established Men (pour les sugar daddies) et CougarLife. Mais Ashley Madison reste le fleuron, générant 90% des revenus.
La particularité d’Ashley Madison, c’est surtout son modèle économique. L’inscription est gratuite pour les femmes (histoire d’attirer du monde), payante pour les hommes et ces derniers doivent acheter des “crédits” pour envoyer des messages. Mais surtout, il y a cette fameuse option “Full Delete” à 19 dollars.
Pour ce prix, Ashley Madison promet d’effacer complètement votre profil et toutes vos données. “Removal of site usage history and personally identifiable information from the site”, disaient-ils. Rien que cette arnaque, euh pardon, cette option a rapporté 1,7 million de dollars en 2014.
Et c’est ce mensonge éhonté qui va tout déclencher.
Car en coulisses, la sécurité d’Ashley Madison est une vaste blague. En 2012, Raja Bhatia, le directeur technique fondateur, tire déjà la sonnette d’alarme. Dans un email interne, il prédit une “crise de sécurité éventuelle” qui pourrait “écorcher vive” la compagnie. Prophétique, le mec.
Et en mai 2015, Mark Steele, directeur de la sécurité, enfonce le clou. Dans un email à Biderman, il explique que leur code est “criblée” de vulnérabilités XSS et CSRF, faciles à exploiter pour n’importe quel script kiddie. Il mentionne aussi des failles plus graves comme l’injection SQL qui pourraient causer des fuites de données “beaucoup plus dommageables”. Les mots de passe étaient bien hachés avec bcrypt, mais tellement mal implémentés que 11 millions d’entre eux seront crackés en à peine 10 jours.
Mais Biderman et ALM s’en foutent royalement. La priorité, c’est la croissance et les profits, pas la sécurité. Cette négligence criminelle va leur coûter très, très cher…
Le 12 juillet 2015, les employés d’Avid Life Media arrivent au bureau pour un lundi pas comme les autres avec sur leurs écrans, un message menaçant : La musique “Thunderstruck” d’AC/DC résonne dans les bureaux et le message est signé “Impact Team”. Ce dernier menace de publier toutes les données de la compagnie et des 37 millions de clients si Ashley Madison et Established Men ne ferment pas immédiatement.
Le manifeste d’Impact Team est cinglant : “Avid Life Media a reçu l’ordre de retirer définitivement Ashley Madison et Established Men sous toutes ses formes, sous peine de voir toutes les données clients divulguées, y compris les profils contenant les fantasmes sexuels secrets des clients et les transactions correspondantes par carte de crédit, les noms et adresses réels, ainsi que les documents et e-mails des employés.”
Ils accusent surtout ALM de mentir sur le service “Full Delete”. Selon eux, même après avoir payé 19 dollars, les vraies informations des utilisateurs restent dans les bases de données.
Le 19 juillet, Impact Team publie leur ultimatum sur Pastebin, donnant 30 jours à ALM pour fermer les sites. Brian Krebs, le célèbre journaliste spécialisé en cybersécurité, révèle alors l’affaire le même jour. C’est la panique totale chez ALM.
Le 20 juillet, Ashley Madison publie trois communiqués minimisant l’incident. Ils parlent d’une “tentative par un tiers non autorisée d’accéder à nos systèmes” et annoncent une enquête avec les forces de l’ordre et Cycura et le compte Twitter habituellement hyperactif du site devient aussi muet comme une carpe.
Pour prouver leur sérieux, le 21 juillet, Impact Team publie 2 500 dossiers d’utilisateurs et le 22 juillet, ils révèlent l’identité complète de deux utilisateurs : un homme de Brockton, Massachusetts, et un autre de l’Ontario. Un avertissement clair : on a tout et on n’hésitera pas.
Les théories fusent alors sur l’identité d’Impact Team. La plus crédible : un inside job. Noel Biderman lui-même déclare peu après : “Nous sommes sur le point de confirmer l’identité du coupable… J’ai son profil sous les yeux, avec toutes ses références professionnelles. Il s’agit sans aucun doute d’une personne qui n’était pas employée ici, mais qui a certainement eu accès à nos services techniques.” Un contractuel ? Un ancien employé viré ? Le mystère reste entier.
John McAfee, le fondateur controversé de l’antivirus éponyme, y va également de sa théorie. Selon lui, c’est “la seule employée femme” d’ALM et les dumps MySQL complets indiquent une connaissance intime de l’infrastructure. “Les hackers ont rarement une connaissance approfondie de la stack technique d’une cible.”, affirme-t-il. Une théorie jamais confirmée, vous vous en doutez, mais qui fait jaser.
Screenshot
Le plus troublant c’est qu’Impact Team semblerait être une seule personne et pas un groupe. Le style d’écriture, la nature personnelle de la vendetta, le fait qu’ils n’aient jamais existé avant et disparaissent après… Tout suggère un individu avec une rancune spécifique. En 2023, Brian Krebs révèle même que le principal suspect se serait suicidé en 2014, AVANT que le hack ne soit rendu public. Si c’est vrai, ça veut dire qu’Impact Team a planifié l’attaque, attendu plus d’un an, puis publié les données. Un niveau de patience dingue.
Puis le délai de 30 jours expire. Nous sommes le 18 aout 2015 et Ashley Madison est toujours en ligne. Impact Team passe alors à l’exécution de ses menaces. Il publie un fichier torrent de 9,7 gigaoctets sur le dark web, accessible uniquement via Tor. Le fichier est signé avec une clé PGP pour prouver son authenticité. À l’intérieur : les infos d’environ 37 millions d’utilisateurs.
Et ces données sont dévastatrices. Noms, emails, adresses, préférences sexuelles, fantasmes secrets, messages privés, transactions par carte de crédit. Même les utilisateurs qui avaient payé pour le “Full Delete” sont là. Impact Team avait donc raison : le service était une arnaque totale.
Full Delete - L’option de confidentialité qui n’en était pas une.
Internet s’enflamme et des dizaines de sites se montent, permettant de vérifier si votre email est dans la fuite. Les journalistes fouillent frénétiquement. Des milliers d’adresses .gov et .mil sont découvertes. Politiciens, militaires, religieux, personnalités publiques… Tout le monde y passe.
Le 20 août, Impact Team frappe encore plus fort avec un deuxième dump de 20 gigaoctets. Cette fois, c’est l’intérieur d’ALM qui est exposé : emails internes, code source, et surtout… 300 emails personnels de Noel Biderman.
Les révélations sont explosives puisque Biderman, Monsieur “Je suis super fidèle”, entretenait une liaison de trois ans avec une escort de Toronto nommée Melisa. Rendez-vous payants de juillet 2012 à mai 2015. D’autres femmes aussi. Les emails détaillent tout : les rencontres, les paiements, les mensonges à Amanda.
Un email particulièrement crade montre Biderman investissant dans une idée d’app appelée “What’s Your Wife Worth?” qui permettrait d’attribuer une valeur monétaire aux femmes selon leur attractivité. Même pour le PDG d’un site d’adultère, c’est too much.
L’email envoyé par le hacker d’Ashley Madison
Le 21 août, dans une interview avec Vice, Impact Team lâche alors une bombe sur la sécurité d’ALM : “Personne ne surveillait. Aucune sécurité. Nous avons travaillé dur pour rendre l’attaque totalement indétectable, puis nous sommes entrés et n’avons rien trouvé à contourner. Vous pouviez utiliser un MotDePasse1234 trouvé sur Internet pour vous connecter au VPN et accéder à tous les serveurs.” Hey oui, la sécurité chez Ashley Madison était tellement nulle qu’il n’y avait rien à contourner.
Malheureusement, les conséquences humaines commencent à se faire sentir. Le 24 août, la police de Toronto annonce deux suicides non confirmés liés à la fuite. Des “crimes de haine” sont rapportés. Chantage, harcèlement, violence domestique… Les victimes du hack deviennent victimes dans la vraie vie.
L’histoire la plus tragique est celle de John Gibson, 56 ans, pasteur et professeur au New Orleans Baptist Theological Seminary. Six jours après la publication, sa femme Christi retrouve son corps. Dans sa note de suicide, Gibson parle de sa honte, de sa dépression, de son addiction sexuelle qu’il combattait depuis 25 ans. Il s’excuse auprès de sa famille. D’autres suivront, comme le capitaine de police Michael Gorham de San Antonio.
Sam Rader, YouTubeur chrétien populaire avec sa chaîne “Sam and Nia”, est aussi exposé. Son compte “dirty_little_secret_man” fait surface. D’abord, il nie puis plus tard, dans le documentaire Netflix, il avouera avoir menti. Il cherchait de l’excitation pendant ses gardes de nuit comme infirmier.
Le 28 août 2015, Biderman démissionne. Un communiqué laconique indique que c’est “dans le meilleur intérêt de la compagnie”. Exit le millionnaire hypocrite. Bizarrement, Amanda ne l’a pas quitté et le couple semble toujours marié aujourd’hui. L’amour ou le fric ? Mystère.
Les conséquences légales sont également massives. En juillet 2017, Ruby Corporation (nouveau nom d’ALM) accepte de payer 11,2 millions de dollars pour régler les procès collectifs. La Federal Trade Commission impose également 17,5 millions d’amende, mais n’en collecte que 1,66 million vu les difficultés financières.
Mais le plus dingue c’est quand même qu’Ashley Madison a survécu. Après le hack, tout le monde prédisait sa mort. Hey oui car qui oserait encore s’inscrire ? Pourtant, sous une nouvelle direction, et avec une sécurité renforcée (authentification à deux facteurs, navigation chiffrée, conformité PCI), le site renaît. En 2017, ils revendiquaient même 50 millions d’utilisateurs. Il faut croire que la demande pour l’adultère en ligne n’a pas disparu.
Le site Ashley Madison en 2025
Impact Team disparaît complètement après les fuites. Aucune revendication ultérieure, aucune autre action et malgré les enquêtes du FBI, de la police canadienne, d’Interpol, personne n’est jamais arrêté. L’identité d’Impact Team reste le plus grand mystère non résolu de toute cette histoire.
Et pour la première fois, des millions de personnes réalisent que leur vie numérique secrète peut devenir publique du jour au lendemain. La notion de vie privée en ligne est redéfinie. Les entreprises comprennent également que la sécurité n’est plus optionnelle et les régulateurs durcissent les lois. Le RGPD européen de 2018 cite même explicitement des cas comme Ashley Madison pour justifier des amendes jusqu’à 4% du chiffre d’affaires mondial.
Sans oublier des documentaires Netflix comme “Ashley Madison: Sex, Lies & Scandal” et Hulu “The Ashley Madison Affair” qui remettent régulièrement l’histoire sur le devant de la scène.
Et Noel Biderman dans tout ça ? Et bien il a su rebondir. Depuis 2024, il est PDG d’Avenue Insights à Toronto et conseiller stratégique chez WonderFi. Loin des projecteurs, il parle de ses nouveaux projets “éthiques” et sur LinkedIn, son profil reste très vague sur la période 2007-2015. L’ombre d’Ashley Madison le suivra pour toujours.
Aujourd’hui, quand on tape “Ashley Madison” dans Google, les premiers résultats sont les articles sur le hack, pas le site. C’est devenu LE cas d’école en cybersécurité, éthique numérique, psychologie sociale mais pour les millions de personnes exposées, c’est une blessure qui ne guérira jamais car les données sont toujours là, sur le dark web, prêtes à ressurgir telles une épée de Damoclès éternelle.
Alors la prochaine fois que vous créez un compte quelque part, pensez-y. Ne mettez jamais en ligne ce que vous ne voudriez pas voir en première page des médias car a question n’est pas “si” vos données seront diffusées mais “quand” et par “qui”.
Alors là, c’est le pompon. Une app de rencontre censée protéger les femmes vient de se retrouver avec 72 000 photos perso sur 4chan. Selfies, permis de conduire, messages privés… tout ça parce que les devs ont laissé leur Firebase grand ouvert comme une porte de saloon. Force donc aux femmes qui vont subir le harcèlement des trolls à cause de cette incompétence monumentale.
TEA, c’est cette app qui cartonne en ce moment. Numéro 1 sur l’App Store cette semaine, elle revendique plus de 1,6 million d’utilisatrices et des dizaines de milliers d’avis.
Le concept ? Les femmes peuvent échanger des infos sur les mecs qu’elles rencontrent, vérifier s’ils sont clean, pas des catfish, et pas déjà en couple. Pour s’inscrire, faut donc prouver qu’on est une femme avec un selfie et une pièce d’identité. Logique pour éviter les infiltrations. Sauf que…
Les génies derrière l’app ont stocké TOUTES ces données de vérification dans un bucket Firebase sans aucune authentification. Genre vraiment aucune. Même pas un mot de passe basique. Les mecs de 4chan ont juste eu à trouver l’URL et hop, open bar pour le scrapping. “DRIVERS LICENSES AND FACE PICS! GET THE FUCK IN HERE BEFORE THEY SHUT IT DOWN!” qu’ils criaient sur leur forum de dégénérés. Comme des vautours qui ont trouvé une carcasse.
Le truc qui me tue, c’est que Firebase, c’est pas sécurisé par défaut. Amazon S3 verrouille tout, et faut vraiment le vouloir pour rendre public. Firebase, eux, non, c’est porte grande ouverte direct. Les devs qui l’utilisent peuvent choisir entre “Locked mode” (tout fermé) ou “Test mode” (tout ouvert) et devinez ce qu’ont choisi les champions de TEA ?
Et les trolls de 4chan ? Ils n’ont pas perdu une seconde. Ils ont créé des scripts Python pour automatiser le téléchargement de milliers de photos aspirées avant que Google ferme enfin le robinet. 13 000 selfies et permis de conduire. 59 000 images de posts et messages privés. Et des femmes qui pensaient être en sécurité et qui se retrouvent exposées aux pires raclures d’internet.
TEA essaie bien sûr de minimiser en disant que les données ont plus de 2 ans. Ah bah ça va alors, c’est des vieux permis de conduire ! Genre ça change quoi ? Les permis de conduire, ils n’expirent pas en 2 ans. Les adresses non plus. Et puis franchement, même si c’était des données d’hier ou d’il y a 10 ans, c’est inacceptable. Ces femmes ont fait confiance à une app qui promettait de les protéger, et résultat, elles sont servies sur un plateau aux harceleurs.
Mais le pire dans tout ça, c’est que c’est pas un cas isolé. En mars 2024, trois chercheurs en sécurité ont trouvé près de 20 millions de mots de passe en clair sur des Firebase mal configurés ainsi que 125 millions de dossiers utilisateurs exposés sur 916 sites web. Firebase, c’est donc devenu le paradis des fuites de données.
Et pourquoi ? Parce que les devs copient-collent des tutos Stack Overflow sans comprendre ce qu’ils font. “Tiens, ça marche en mode test, on ship !” Non mais allo quoi.
Bref, arrêtez avec Firebase si vous ne savez pas ce que vous faites. Prenez Supabase, c’est open source et sécurisé par défaut. Ou Appwrite qui a des SDK pour tout et qui prend la sécurité au sérieux. Même PocketBase, qui tient dans un seul fichier exécutable, est plus sûr que votre Firebase mal configuré. Ces alternatives ont d’ailleurs toutes un point commun : elles vous forcent à réfléchir à la sécurité au lieu de vous laisser tout grand ouvert.
Pour les utilisatrices de TEA, je sais que ça craint. Vérifiez vos comptes bancaires, changez vos mots de passe partout, et surveillez toute activité suspecte. Pensez aussi à utiliser un numéro virtuel pour les apps de rencontre à l’avenir. Et si vous recevez des messages chelous, bloquez et signalez. Puis si vous avez des preuves de harcèlement suite à cette fuite, portez plainte.
Bref, force à toutes celles qui vont devoir gérer les retombées de ce désastre. J’espère que TEA va prendre ses responsabilités, dédommager les victimes, et virer les incompétents.
Bon, Google va tuer goo.gl dans un mois et ce sont moins de 4 milliards de liens vont partir en fumée. Snif…
Vous le savez, ça fait des années que je dis qu’il ne faut JAMAIS utiliser ces services pour du long terme. J’ai même eu des discussions houleuses avec des internautes qui me trouvaient parano. “Mais nooooon, Google va pas fermer ça, tout le monde l’utilise !” Bah voilà, on y est. C’est d’ailleurs exactement pour ça que j’ai pris mon propre domaine kbn.im car au moins, je contrôle mes liens raccourcis.
Donc à partir du 25 août 2025, tous les liens créés avec le raccourcisseur de Google vont renvoyer une erreur 404. Cela représente 3,6 milliards de liens actifs répartis sur 3,2 millions de sites web. Des années d’archives, de QR codes, de campagnes marketing…etc… tout va disparaître d’un coup.
Alors pour comprendre comment on en est arrivé là, petit flashback…
Google avait fermé son service de raccourcissement d’URL en 2019. À l’époque, ils avaient cité des “changements dans la façon dont les gens trouvent du contenu sur internet” ce qui veut dire en langue Google que ça ne rapportait pas assez. Mais les liens existants ont continué à fonctionner, donc tout le monde s’est dit “ouf, on est sauvés”. Mais que nenni car depuis juillet 2024, Google affiche un message d’avertissement quand on clique sur un lien goo.gl. Genre “ce lien ne fonctionnera bientôt plus, bande de tocards”. Les gens ont bien sûr commencé à flipper, mais beaucoup se sont dit “bah on verra bien”. Et maintenant, c’est la sentence finale : extinction totale dans un mois.
Les raccourcisseurs d’URL, c’est vraiment la plaie du web moderne. D’abord, niveau sécurité, c’est une catastrophe. Par exemple, des chercheurs ont découvert que certaines URL raccourcies ne sont pas générées aléatoirement comme on pourrait le croire. Résultat ? On peut les deviner par force brute. Sur OneDrive, ils ont scanné 100 millions de liens courts et ont eu accès à 1,1 million de fichiers. Vos photos de vacances, vos factures, vos documents perso… tout ça accessible à n’importe qui avec un peu de patience. Sympa pour la confidentialité.
Et puis y’a le phishing. Quand vous cliquez sur un lien raccourci, vous ne savez pas où vous allez atterrir. C’est l’outil parfait pour les arnaqueurs. Sans compter que ces services peuvent être hackés. C’est arrivé à urlmin.com : un pirate a pris le contrôle du serveur et pouf, tous les liens raccourcis ont été détournés.
Du coup, qu’est-ce qu’on fait maintenant ? Et bien si vous avez des liens goo.gl, vous avez plusieurs options. Les alternatives classiques comme Bitly, TinyURL ou Rebrandly existent toujours. Mais franchement, vous allez refaire la même erreur ? Dans 5 ans, on aura le même problème quand l’un d’eux fermera boutique. Sinon, il y a aussi Shlink, une alternative moderne à YOURLS que j’aime bien.
L’avantage, c’est qu’avec ce genre d’outils, vous contrôlez tout. Les stats, les redirections, les personnalisations… Vous pouvez même faire des trucs marrants, genre des liens qui changent selon l’heure de la journée et surtout, si un jour vous arrêtez, vous pouvez toujours garder le domaine et faire des redirections manuelles pour les liens importants. Bref, un domaine court, ça coûte entre 10 et 50 euros par an selon l’extension. C’est le prix de quelques kebabs et franchement c’est rien comparé au bordel que ça évite.
En tout cas, Google, c’est le champion toutes catégories pour tuer ses services. Vous vous souvenez de Google Reader ? Google Wave ? Google+ ? Stadia ? Code Jam ? La liste est longue. Le site “Killed by Google” recense 297 produits morts. C’est leur spécialité… Ils lancent un truc, tout le monde devient accro, et paf ! “Désolé, ça correspond plus à notre stratégie”.
Bref, retenez cette leçon. Je sais que je radote avec mon “contrôlez vos données” mais là, on a la preuve en direct que moi et bien d’autres avons raison. Ne confiez jamais vos données critiques à un service que vous ne contrôlez pas. Que ce soit pour les raccourcisseurs d’URL, ou n’importe quoi d’autre. Le jour où le service ferme, vous êtes dans la merde. Prenez les devants, faites des backups et investissez dans votre propre infrastructure.
Un nom de domaine et un petit hébergement, c’est pas la mer à boire, et au moins vous dormez tranquille…
Ce matin, j’ai réalisé un truc de dingue. Je ne clique presque plus sur aucun lien quand je fais une recherche Google. L’IA me donne un résumé, et hop, je passe à autre chose. Et apparemment, je ne suis pas le seul dans ce cas.
D’ailleurs, une étude du Pew Research Center vient de sortir et les chiffres sont carrément déprimants. Sur 900 utilisateurs américains étudiés, seulement 1% (!!) cliquent encore sur les liens sources dans le résumé IA. C’est la mort du web tel qu’on le connaît, ni plus ni moins.
Le truc marrant c’est que Google prétend que tout va bien dans le meilleur des mondes. Pourtant, comme je l’expliquais récemment, les éditeurs web subissent déjà les conséquences. Sundar Pichai, le CEO, nous sort que l’IA “étend la façon dont les gens recherchent et accèdent à l’information”. Ouais, elle étend surtout le temps que les gens passent sur Google sans jamais aller voir ailleurs. Avec 2 milliards d’utilisateurs mensuels pour leurs AI Overviews, ils ont réussi leur coup : Transformer le web ouvert en jardin fermé.
Mais attendez, c’est pas fini. Vous vous souvenez quand Google AI a conseillé de mettre de la colle dans la pizza pour que le fromage tienne mieux ? Ou quand il a recommandé de manger “au moins une petite pierre par jour” pour la santé ? Ces erreurs dataient de mai 2024, mais l’IA continue ses bourdes. Elle a même conseillé que “les médecins recommandent de fumer 2-3 cigarettes par jour pendant la grossesse”. Google prétend que certaines captures d’écran étaient fausses, mais admet que son IA peut halluciner à cause des fameux “data voids”, des trous dans les données. En gros, quand l’IA ne sait pas, elle invente n’importe quoi avec la même assurance qu’un enfant.
Et surtout, ça nous rend littéralement plus cons. Une étude de Microsoft et Carnegie Mellon publiée cette année montre que l’utilisation intensive d’outils IA comme Copilot ou ChatGPT “atrophie” notre pensée critique. Les chercheurs parlent d’une “ironie de l’automatisation” car en confiant les tâches routinières à l’IA, on perd l’occasion de pratiquer notre jugement.
Et les chiffres parlent d’eux-même car selon BrightEdge, les impressions Google ont augmenté de 49% sur un an, mais les clics ont chuté de 30%. Pour les mots-clés informationnels avec AI Overview, le CTR (taux de clics) est passé de 7,3% en mars 2024 à 2,6% en mars 2025. Et quand une AI Overview apparaît, seulement 8% des utilisateurs cliquent sur un lien, contre 15% sans résumé IA. Traduction, Google montre plus de pages mais envoie moins de trafic vers les sites.
Ah et j’oubliais un détail important. Vous savez qui sont les grands gagnants dans cette histoire ? Wikipedia, Reddit et YouTube. L’IA pompe principalement sur ces trois sources maintenant. Les petits blogs indépendants, les sites spécialisés, …etc, tout ça est en train de crever. Google ne cite même plus les sources originales, il préfère les agrégateurs. Un problème qu’ils commence à reconnaître, même si c’est un peu tard.
Le pire dans tout ça, c’est que 18% des recherches Google génèrent maintenant un résumé IA selon Pew Research, mais ce chiffre grimpe à près de 90% pour les requêtes dans la santé et l’éducation d’après BrightEdge. Des domaines où les erreurs peuvent avoir des conséquences graves. Google Gemini a beau avoir un taux d’hallucination réduit à 0,7% selon les dernières données, quand on parle de santé, même 0,7% c’est trop.
Même les utilisateurs commencent à s’en rendre compte car d’après l’étude, les gens qui voient un résumé IA sont plus susceptibles de quitter Google complètement que de cliquer sur un lien. En gros, soit l’IA leur donne ce qu’ils veulent et ils s’arrêtent là, soit elle raconte n’importe quoi et ils vont voir ailleurs.
Sam Altman d’OpenAI l’a même dit en février dernier : “Je ne fais plus de recherches Google”, il préfère ChatGPT qui est devenu son “Oracle”. Mais paradoxalement, même lui admet que ChatGPT ne détrônera “probablement pas” Google, qu’il qualifie de “concurrent féroce”. Le problème, c’est que Google est en train de se tirer une balle dans le pied car en voulant garder les utilisateurs sur ses pages, il tue l’écosystème qui a fait sa richesse.
D’après l’étude Pew, les recherches avec 10 mots ou plus génèrent un résumé IA dans 53% des cas, contre seulement 8% pour les recherches d’un ou deux mots. Pour les requêtes informatives type “comment”, “quand”, “où”, les sites dans le top 4 ont vu leur CTR sur desktop chuter de 7,31 points. Et c’est logique car pourquoi cliquer quand l’IA te donne déjà la réponse (même si elle est potentiellement fausse) ?
Bon, je vous laisse méditer là-dessus. Perso, je vais essayer de forcer mes vieux réflexes et cliquer sur les liens au lieu de me contenter des résumés IA. Parce que si on continue comme ça, dans quelques années, il restera plus grand-chose du web qu’on aime tant… Mais juste des IA qui nous racontent ce qu’elles croient savoir, avec 2-3 gros sites en source.
Alors là, c’est le pompon. Une app de rencontre censée protéger les femmes vient de se retrouver avec 72 000 photos perso sur 4chan. Selfies, permis de conduire, messages privés… tout ça parce que les devs ont laissé leur Firebase grand ouvert comme une porte de saloon. Force donc aux femmes qui vont subir le harcèlement des trolls à cause de cette incompétence monumentale.
TEA, c’est cette app qui cartonne en ce moment. Numéro 1 sur l’App Store cette semaine, elle revendique plus de 1,6 million d’utilisatrices et des dizaines de milliers d’avis.
Le concept ? Les femmes peuvent échanger des infos sur les mecs qu’elles rencontrent, vérifier s’ils sont clean, pas des catfish, et pas déjà en couple. Pour s’inscrire, faut donc prouver qu’on est une femme avec un selfie et une pièce d’identité. Logique pour éviter les infiltrations. Sauf que…
Les génies derrière l’app ont stocké TOUTES ces données de vérification dans un bucket Firebase sans aucune authentification. Genre vraiment aucune. Même pas un mot de passe basique. Les mecs de 4chan ont juste eu à trouver l’URL et hop, open bar pour le scrapping. “DRIVERS LICENSES AND FACE PICS! GET THE FUCK IN HERE BEFORE THEY SHUT IT DOWN!” qu’ils criaient sur leur forum de dégénérés. Comme des vautours qui ont trouvé une carcasse.
Le truc qui me tue, c’est que Firebase, c’est pas sécurisé par défaut. Amazon S3 verrouille tout, et faut vraiment le vouloir pour rendre public. Firebase, eux, non, c’est porte grande ouverte direct. Les devs qui l’utilisent peuvent choisir entre “Locked mode” (tout fermé) ou “Test mode” (tout ouvert) et devinez ce qu’ont choisi les champions de TEA ?
Et les trolls de 4chan ? Ils n’ont pas perdu une seconde. Ils ont créé des scripts Python pour automatiser le téléchargement de milliers de photos aspirées avant que Google ferme enfin le robinet. 13 000 selfies et permis de conduire. 59 000 images de posts et messages privés. Et des femmes qui pensaient être en sécurité et qui se retrouvent exposées aux pires raclures d’internet.
TEA essaie bien sûr de minimiser en disant que les données ont plus de 2 ans. Ah bah ça va alors, c’est des vieux permis de conduire ! Genre ça change quoi ? Les permis de conduire, ils n’expirent pas en 2 ans. Les adresses non plus. Et puis franchement, même si c’était des données d’hier ou d’il y a 10 ans, c’est inacceptable. Ces femmes ont fait confiance à une app qui promettait de les protéger, et résultat, elles sont servies sur un plateau aux harceleurs.
Mais le pire dans tout ça, c’est que c’est pas un cas isolé. En mars 2024, trois chercheurs en sécurité ont trouvé près de 20 millions de mots de passe en clair sur des Firebase mal configurés ainsi que 125 millions de dossiers utilisateurs exposés sur 916 sites web. Firebase, c’est donc devenu le paradis des fuites de données.
Et pourquoi ? Parce que les devs copient-collent des tutos Stack Overflow sans comprendre ce qu’ils font. “Tiens, ça marche en mode test, on ship !” Non mais allo quoi.
Bref, arrêtez avec Firebase si vous ne savez pas ce que vous faites. Prenez Supabase, c’est open source et sécurisé par défaut. Ou Appwrite qui a des SDK pour tout et qui prend la sécurité au sérieux. Même PocketBase, qui tient dans un seul fichier exécutable, est plus sûr que votre Firebase mal configuré. Ces alternatives ont d’ailleurs toutes un point commun : elles vous forcent à réfléchir à la sécurité au lieu de vous laisser tout grand ouvert.
Pour les utilisatrices de TEA, je sais que ça craint. Vérifiez vos comptes bancaires, changez vos mots de passe partout, et surveillez toute activité suspecte. Pensez aussi à utiliser un numéro virtuel pour les apps de rencontre à l’avenir. Et si vous recevez des messages chelous, bloquez et signalez. Puis si vous avez des preuves de harcèlement suite à cette fuite, portez plainte.
Bref, force à toutes celles qui vont devoir gérer les retombées de ce désastre. J’espère que TEA va prendre ses responsabilités, dédommager les victimes, et virer les incompétents.
Bon, Google va tuer goo.gl dans un mois et ce sont moins de 4 milliards de liens vont partir en fumée. Snif…
Vous le savez, ça fait des années que je dis qu’il ne faut JAMAIS utiliser ces services pour du long terme. J’ai même eu des discussions houleuses avec des internautes qui me trouvaient parano. “Mais nooooon, Google va pas fermer ça, tout le monde l’utilise !” Bah voilà, on y est. C’est d’ailleurs exactement pour ça que j’ai pris mon propre domaine kbn.im car au moins, je contrôle mes liens raccourcis.
Donc à partir du 25 août 2025, tous les liens créés avec le raccourcisseur de Google vont renvoyer une erreur 404. Cela représente 3,6 milliards de liens actifs répartis sur 3,2 millions de sites web. Des années d’archives, de QR codes, de campagnes marketing…etc… tout va disparaître d’un coup.
Alors pour comprendre comment on en est arrivé là, petit flashback…
Google avait fermé son service de raccourcissement d’URL en 2019. À l’époque, ils avaient cité des “changements dans la façon dont les gens trouvent du contenu sur internet” ce qui veut dire en langue Google que ça ne rapportait pas assez. Mais les liens existants ont continué à fonctionner, donc tout le monde s’est dit “ouf, on est sauvés”. Mais que nenni car depuis juillet 2024, Google affiche un message d’avertissement quand on clique sur un lien goo.gl. Genre “ce lien ne fonctionnera bientôt plus, bande de tocards”. Les gens ont bien sûr commencé à flipper, mais beaucoup se sont dit “bah on verra bien”. Et maintenant, c’est la sentence finale : extinction totale dans un mois.
Les raccourcisseurs d’URL, c’est vraiment la plaie du web moderne. D’abord, niveau sécurité, c’est une catastrophe. Par exemple, des chercheurs ont découvert que certaines URL raccourcies ne sont pas générées aléatoirement comme on pourrait le croire. Résultat ? On peut les deviner par force brute. Sur OneDrive, ils ont scanné 100 millions de liens courts et ont eu accès à 1,1 million de fichiers. Vos photos de vacances, vos factures, vos documents perso… tout ça accessible à n’importe qui avec un peu de patience. Sympa pour la confidentialité.
Et puis y’a le phishing. Quand vous cliquez sur un lien raccourci, vous ne savez pas où vous allez atterrir. C’est l’outil parfait pour les arnaqueurs. Sans compter que ces services peuvent être hackés. C’est arrivé à urlmin.com : un pirate a pris le contrôle du serveur et pouf, tous les liens raccourcis ont été détournés.
Du coup, qu’est-ce qu’on fait maintenant ? Et bien si vous avez des liens goo.gl, vous avez plusieurs options. Les alternatives classiques comme Bitly, TinyURL ou Rebrandly existent toujours. Mais franchement, vous allez refaire la même erreur ? Dans 5 ans, on aura le même problème quand l’un d’eux fermera boutique. Sinon, il y a aussi Shlink, une alternative moderne à YOURLS que j’aime bien.
L’avantage, c’est qu’avec ce genre d’outils, vous contrôlez tout. Les stats, les redirections, les personnalisations… Vous pouvez même faire des trucs marrants, genre des liens qui changent selon l’heure de la journée et surtout, si un jour vous arrêtez, vous pouvez toujours garder le domaine et faire des redirections manuelles pour les liens importants. Bref, un domaine court, ça coûte entre 10 et 50 euros par an selon l’extension. C’est le prix de quelques kebabs et franchement c’est rien comparé au bordel que ça évite.
En tout cas, Google, c’est le champion toutes catégories pour tuer ses services. Vous vous souvenez de Google Reader ? Google Wave ? Google+ ? Stadia ? Code Jam ? La liste est longue. Le site “Killed by Google” recense 297 produits morts. C’est leur spécialité… Ils lancent un truc, tout le monde devient accro, et paf ! “Désolé, ça correspond plus à notre stratégie”.
Bref, retenez cette leçon. Je sais que je radote avec mon “contrôlez vos données” mais là, on a la preuve en direct que moi et bien d’autres avons raison. Ne confiez jamais vos données critiques à un service que vous ne contrôlez pas. Que ce soit pour les raccourcisseurs d’URL, ou n’importe quoi d’autre. Le jour où le service ferme, vous êtes dans la merde. Prenez les devants, faites des backups et investissez dans votre propre infrastructure.
Un nom de domaine et un petit hébergement, c’est pas la mer à boire, et au moins vous dormez tranquille…
Ce matin, j’ai réalisé un truc de dingue. Je ne clique presque plus sur aucun lien quand je fais une recherche Google. L’IA me donne un résumé, et hop, je passe à autre chose. Et apparemment, je ne suis pas le seul dans ce cas.
D’ailleurs, une étude du Pew Research Center vient de sortir et les chiffres sont carrément déprimants. Sur 900 utilisateurs américains étudiés, seulement 1% (!!) cliquent encore sur les liens sources dans le résumé IA. C’est la mort du web tel qu’on le connaît, ni plus ni moins.
Le truc marrant c’est que Google prétend que tout va bien dans le meilleur des mondes. Pourtant, comme je l’expliquais récemment, les éditeurs web subissent déjà les conséquences. Sundar Pichai, le CEO, nous sort que l’IA “étend la façon dont les gens recherchent et accèdent à l’information”. Ouais, elle étend surtout le temps que les gens passent sur Google sans jamais aller voir ailleurs. Avec 2 milliards d’utilisateurs mensuels pour leurs AI Overviews, ils ont réussi leur coup : Transformer le web ouvert en jardin fermé.
Mais attendez, c’est pas fini. Vous vous souvenez quand Google AI a conseillé de mettre de la colle dans la pizza pour que le fromage tienne mieux ? Ou quand il a recommandé de manger “au moins une petite pierre par jour” pour la santé ? Ces erreurs dataient de mai 2024, mais l’IA continue ses bourdes. Elle a même conseillé que “les médecins recommandent de fumer 2-3 cigarettes par jour pendant la grossesse”. Google prétend que certaines captures d’écran étaient fausses, mais admet que son IA peut halluciner à cause des fameux “data voids”, des trous dans les données. En gros, quand l’IA ne sait pas, elle invente n’importe quoi avec la même assurance qu’un enfant.
Et surtout, ça nous rend littéralement plus cons. Une étude de Microsoft et Carnegie Mellon publiée cette année montre que l’utilisation intensive d’outils IA comme Copilot ou ChatGPT “atrophie” notre pensée critique. Les chercheurs parlent d’une “ironie de l’automatisation” car en confiant les tâches routinières à l’IA, on perd l’occasion de pratiquer notre jugement.
Et les chiffres parlent d’eux-même car selon BrightEdge, les impressions Google ont augmenté de 49% sur un an, mais les clics ont chuté de 30%. Pour les mots-clés informationnels avec AI Overview, le CTR (taux de clics) est passé de 7,3% en mars 2024 à 2,6% en mars 2025. Et quand une AI Overview apparaît, seulement 8% des utilisateurs cliquent sur un lien, contre 15% sans résumé IA. Traduction, Google montre plus de pages mais envoie moins de trafic vers les sites.
Ah et j’oubliais un détail important. Vous savez qui sont les grands gagnants dans cette histoire ? Wikipedia, Reddit et YouTube. L’IA pompe principalement sur ces trois sources maintenant. Les petits blogs indépendants, les sites spécialisés, …etc, tout ça est en train de crever. Google ne cite même plus les sources originales, il préfère les agrégateurs. Un problème qu’ils commence à reconnaître, même si c’est un peu tard.
Le pire dans tout ça, c’est que 18% des recherches Google génèrent maintenant un résumé IA selon Pew Research, mais ce chiffre grimpe à près de 90% pour les requêtes dans la santé et l’éducation d’après BrightEdge. Des domaines où les erreurs peuvent avoir des conséquences graves. Google Gemini a beau avoir un taux d’hallucination réduit à 0,7% selon les dernières données, quand on parle de santé, même 0,7% c’est trop.
Même les utilisateurs commencent à s’en rendre compte car d’après l’étude, les gens qui voient un résumé IA sont plus susceptibles de quitter Google complètement que de cliquer sur un lien. En gros, soit l’IA leur donne ce qu’ils veulent et ils s’arrêtent là, soit elle raconte n’importe quoi et ils vont voir ailleurs.
Sam Altman d’OpenAI l’a même dit en février dernier : “Je ne fais plus de recherches Google”, il préfère ChatGPT qui est devenu son “Oracle”. Mais paradoxalement, même lui admet que ChatGPT ne détrônera “probablement pas” Google, qu’il qualifie de “concurrent féroce”. Le problème, c’est que Google est en train de se tirer une balle dans le pied car en voulant garder les utilisateurs sur ses pages, il tue l’écosystème qui a fait sa richesse.
D’après l’étude Pew, les recherches avec 10 mots ou plus génèrent un résumé IA dans 53% des cas, contre seulement 8% pour les recherches d’un ou deux mots. Pour les requêtes informatives type “comment”, “quand”, “où”, les sites dans le top 4 ont vu leur CTR sur desktop chuter de 7,31 points. Et c’est logique car pourquoi cliquer quand l’IA te donne déjà la réponse (même si elle est potentiellement fausse) ?
Bon, je vous laisse méditer là-dessus. Perso, je vais essayer de forcer mes vieux réflexes et cliquer sur les liens au lieu de me contenter des résumés IA. Parce que si on continue comme ça, dans quelques années, il restera plus grand-chose du web qu’on aime tant… Mais juste des IA qui nous racontent ce qu’elles croient savoir, avec 2-3 gros sites en source.
Bon, apparemment il suffit que des puces Nvidia soient “tombées du camion” pour qu’un milliard de dollars de GPU ultra puissants se retrouvent sur le marché noir chinois. Le Financial Times a enquêté et ce qu’ils ont découvert est assez dingue.
Alors que les États-Unis font tout pour empêcher la Chine d’accéder aux dernières technologies d’IA, des B200, H100 et H200 de Nvidia circulent tranquillement sur les réseaux sociaux chinois. Leur prix ? 50% au-dessus du tarif normal, mais visiblement ça ne freine personne. Les vendeurs proposent même des racks pré-assemblés avec 8 puces B200, prêts à brancher dans un datacenter. Genre tu commandes sur WeChat et hop, tu reçois ton rack de 150 kilos à 560 000 dollars.
D’après l’enquête du FT, rien qu’entre avril et juin 2025, c’est plus d’un milliard de dollars de matos qui aurait transité. Les puces passent par la Thaïlande, la Malaisie, et d’autres pays d’Asie du Sud-Est où les contrôles sont… disons plus souples. La Malaisie a d’ailleurs vu ses importations de GPU avancés exploser de 3400% début 2025. Coïncidence ? Je ne crois pas…
Le plus ironique dans l’histoire, c’est que ces restrictions viennent juste d’être assouplies pour les puces moins puissantes comme la H20. Mais bon, pourquoi se contenter d’une 2CV quand on peut avoir une Ferrari, même au marché noir ?
Une boîte chinoise basée à Shanghai, “Gate of the Era” (ça ne s’invente pas), créée en février juste avant que les restrictions ne tombent (le timing est parfait), aurait à elle seule écoulé pour 400 millions de dollars de systèmes B200. Ils vendent même des racks complets entre 3,9 et 3,95 millions de yuans pièce.
Un rack de B200
Et Nvidia, de son côté, fait la sourde oreille. Leur réponse officielle ? “Nous ne fournissons support et service qu’aux produits Nvidia autorisés”. Traduction : démerdez-vous avec vos GPU de contrebande. Mais bon, avec une valorisation de 4000 milliards de dollars, ils vont pas trop pleurer sur quelques puces qui s’égarent.
Ce qui est fascinant, c’est comment les Chinois ont industrialisé le contournement. Les vendeurs testent même les puces avant de les vendre pour garantir qu’elles fonctionnent. Service après-vente inclus apparemment. Un opérateur de datacenter chinois l’a dit cash au FT : “Les contrôles à l’export n’empêcheront pas les produits les plus avancés de Nvidia d’entrer en Chine. Ça ajoute juste de l’inefficacité et crée d’énormes profits pour les intermédiaires prêts à prendre des risques.”
Pendant ce temps, DeepSeek et d’autres boîtes d’IA chinoises prétendent faire aussi bien que les modèles américains avec beaucoup moins de ressources, mais visiblement, ça ne les empêche pas de quand même vouloir mettre la main sur les derniers joujoux de Nvidia.
Jensen Huang, le CEO de Nvidia né à Taiwan, voit toujours la Chine comme une opportunité énorme. C’est d’ailleurs lui qui aurait négocié avec Trump pour assouplir certaines restrictions. Mais pour les B200 et H100, c’est toujours un niet officiel !
Le gouvernement américain essaie surtout pendant ce temps de boucher les trous. Le Department of Commerce envisage par exemple d’imposer des contrôles plus stricts sur des pays comme la Thaïlande dès septembre. Mais franchement, quand y’a autant d’argent en jeu, croyez-moi, les contrebandiers trouveront toujours un moyen.
Au final, cette histoire montre bien les limites d’une guerre commerciale technologique. C’est un peu comme la drogue… Tu peux interdire, restreindre, sanctionner, mais quand la demande est là et que les profits sont juteux, le marché trouve toujours un chemin où les seuls qui s’enrichissent vraiment, ce sont les intermédiaires qui prennent leur commission de 50% au passage.
Alors ça, c’est le genre de news qui pourrait foutre en l’air le marché de l’or. En effet, une startup américaine, Marathon Fusion, vient de publier un papier scientifique où ils expliquent tranquillement comment transformer du mercure en or dans leurs réacteurs à fusion nucléaire. Et attention, je ne vous parle pas de trois grammes pour faire joli, mais bien de 5 tonnes d’or par gigawatt d’électricité produit par an.
C’est le rêve des alchimistes du Moyen Âge qui devient réalité grâce à la physique nucléaire. C’est un truc de fou, surtout que le principe est relativement simple (enfin, sur le papier). Vous prenez du mercure-198, un isotope assez commun du mercure. Vous le bombardez avec des neutrons rapides de 14 MeV générés par la fusion deutérium-tritium dans un tokamak. Le mercure-198 perd alors un neutron et devient du mercure-197, qui est instable. Et en 64 heures environ, pouf, il se transforme naturellement en or-197, le seul isotope stable de l’or.
Le cœur d’un réacteur Tokamak
D’après leurs calculs, un réacteur à fusion d’un gigawatt pourrait ainsi produire 5000 kilos d’or par an. Au cours actuel de l’or (environ 3400 dollars l’once), ça représente plus de 544 millions de dollars. De quoi donc largement rentabiliser l’exploitation du réacteur et avoir de quoi s’offrir un yacht ou deux.
Mais attendez, avant de vous emballer et de vendre tous vos lingots, y’a quelques détails importants à connaitre avant. D’abord, Marathon Fusion n’a pas encore construit de réacteur. Leur papier, intitulé “Scalable Chrysopoeia via (n, 2n) Reactions Driven by Deuterium-Tritium Fusion Neutrons” (la chrysopoeia, c’est le nom savant pour la transmutation en or), est encore en attente de validation par les pairs même si l’équipe a l’air solide avec des anciens de SpaceX, Helion Energy, TAE Technologies et une dizaine de PhD en physique et chimie.
Le physicien Ahmed Diallo du Department of Energy américain, qui a passé en revue l’étude, déclare : “Sur le papier, ça a l’air génial et tous ceux à qui j’en ai parlé jusqu’à présent restent intrigués et excités”. C’est plutôt bon signe quand même.
Ce qui est vraiment malin dans leur approche, c’est que la production d’or ne compromet pas la génération d’électricité du réacteur. En fait, les réactions (n, 2n) du mercure-198 participent à la multiplication des neutrons nécessaire au fonctionnement du réacteur. C’est du win-win car vous produisez de l’énergie propre ET de l’or en même temps.
Alors évidemment, si cette technologie devient réalité et se déploie à grande échelle, qu’est-ce que ça veut dire pour la valeur de l’or ? Et surtout, est-ce que le Bitcoin va enfin pouvoir prendre sa place comme “l’or numérique” ? Parce que bon, si on peut fabriquer de l’or à la chaîne dans des réacteurs, l’argument de la rareté du métal jaune prend un sacré coup.
Les experts en crypto sont déjà sur le coup. Standard Chartered prédit que le Bitcoin pourrait atteindre 200 000 dollars d’ici fin 2025, avec une trajectoire vers 500 000 dollars en 2028. VanEck table sur 180 000 dollars pour 2025. Et certains analystes plus optimistes parlent même de 220 000 dollars comme objectif “raisonnable”.
Le truc, c’est que le Bitcoin a cet avantage indéniable, à savoir que sa quantité est limitée à 21 millions d’unités, point barre. Pas moyen d’en créer plus avec un réacteur nucléaire ou d’aller en chercher dans l’espace. Cette rareté programmée pourrait devenir son principal atout face à un or qui deviendrait soudainement beaucoup moins rare.
Mais bon, restons réalistes deux secondes. Même si Marathon Fusion arrive à faire fonctionner leur truc, on parle de combien de réacteurs dans le monde ? Une centaine ? Deux cents dans le meilleur des cas ? À 5 tonnes par réacteur par an, ça fait maximum 1000 tonnes d’or supplémentaires par an. C’est beaucoup, mais la production minière actuelle est déjà d’environ 3000 tonnes par an. Donc on augmenterait la production de 33%, ce qui est significatif mais pas non plus apocalyptique pour le marché de l’or.
Et puis y’a la question du mercure. Pour produire tout cet or, il faut du mercure-198 enrichi à 90%. Le processus d’enrichissement n’est pas gratuit et le mercure n’est pas exactement un matériau super sympa à manipuler (coucou les problèmes environnementaux). N’empêche, l’idée qu’on puisse créer de l’or comme sous-produit de la production d’énergie propre, c’est quand même bluffant. Les alchimistes cherchaient la pierre philosophale, on a trouvé le tokamak. Et au passage, comme je vous le disais, ça pourrait bien donner un coup de boost au Bitcoin comme alternative à l’or physique.
Donc en attendant que Marathon Fusion construise son premier réacteur (ils n’ont pas donné de date, mais vu la complexité de la fusion, on peut tabler sur 10-15 ans minimum). Bref, on verra bien !
Aujourd’hui dans ma série “les ados qui ont failli déclencher la Troisième Guerre mondiale”, je vous présente l’histoire complètement dingue de Mathew et Richard, respectivement 21 ans de Cardiff et 16 ans de la banlieue londonienne, qui ont réussi l’exploit de faire trembler le Pentagone armés d’un simple modem 56k et d’une obsession maladive pour les petits hommes verts.
Le Pentagone, cette forteresse imprenable… sauf pour deux ados obsédés par X-Files
Si comme moi, vous êtes fans de X-Files, vous allez kiffer cette histoire. Mathew Bevan, alias “Kuji”, et Richard Pryce, surnommé “Datastream Cowboy” (déjà rien que les pseudos, c’est tout un programme) ont piraté pendant des mois les systèmes les plus secrets de l’armée américaine. Et leur but étaint encore plus fou : Prouver que le gouvernement américain cache l’existence des extraterrestres. Cheh !
Et ils ont effectivement réussi à s’introduire dans ces systèmes ultra-sensibles. Pire encore, ils ont failli créer un incident diplomatique majeur. Un agent du Pentagone a même qualifié Kuji de “plus grande menace pour la paix mondiale depuis Adolf Hitler”. Rien que ça ! C’est beau, j’en suis ému.
L’histoire commence donc dans les bureaux du Rome Laboratory à Griffiss Air Force Base, dans l’État de New York. Les administrateurs système découvrent qu’un programme espion, un “sniffer”, a été installé clandestinement sur leur réseau et le machin avait collecté tellement de mots de passe et d’informations qu’il avait saturé le disque dur et fait crasher le système. Breeeef, imaginez la tronche des admins : le laboratoire de recherche le plus secret de l’US Air Force, celui qui développe l’intelligence artificielle militaire et les systèmes de guidage radar, venait de se faire trouer comme un emmental.
Rome Laboratory, le cerveau technologique de l’US Air Force… infiltré par deux ados
Le 28 mars 1994, Jim Christy, chef des investigations cybercriminelles de l’Air Force Office of Special Investigations (AFOSI) de l’époque, reçoit l’appel qui va bouleverser sa vie.
“On a un problème”, lui annonce son équipe. Ancien de la NSA reconverti dans la lutte contre la cybercriminalité militaire, Christy comprend immédiatement l’ampleur du désastre. Rome Lab, c’est pas n’importe quoi, c’est l’endroit où se développent les armes du futur de l’armée américaine.
L’équipe de Christy découvre alors rapidement que les intrus utilisent deux pseudonymes : “Datastream” et “Kuji”. Deux hackers fantômes qui se baladent dans les systèmes militaires américains comme dans leur salon mais le pire reste à venir puisqu’ils utilisent les serveurs compromis de Rome Lab comme tremplin pour attaquer d’autres cibles : La NASA, Wright-Patterson Air Force Base (vous savez, là où sont censés être planqués les aliens), Hanscom Air Force Base, et même des contractants de défense en Californie et au Texas.
Pendant 26 jours, Christy et ses équipes surveillent les deux pirates sans intervenir. Ils veulent comprendre l’ampleur de l’attaque et remonter jusqu’aux coupables. Ce qu’ils découvrent les fait flipper grave : plus de 150 intrusions sur Rome Lab, des téraoctets de données sensibles copiées, des emails d’officiers lus et effacés, et des programmes de simulation de champ de bataille téléchargés. Hé oui, c’est qu’ont découvert les enquêteurs.
Jim Christy quelques années avant la traque des cyber-intrus
Mais le véritable moment de panique arrive quand les agents voient Datastream tenter d’accéder à un ordinateur dans un laboratoire nucléaire en Corée.
“Holy shit”, se dit Christy. On est en 1994, les États-Unis sont en pleine négociation tendue avec la Corée du Nord sur son programme nucléaire alors si les Nord-Coréens détectent une attaque sur leur installation nucléaire venant d’une base aérienne américaine, ils vont croire à un acte de guerre.
Les agents retiennent leur souffle. Heureusement, ils découvrent par la suite que la cible était en Corée du Sud, pas au Nord. Mais Datastream a quand même téléchargé les données du Korean Atomic Energy Research Institute et les a transférées sur les serveurs de l’US Air Force. Et si les Sud-Coréens découvrent ce transfert, c’est l’incident diplomatique assuré. Elle est pas belle la vie ?
Mais alors qui est ce mystérieux Kuji qui fait trembler le Pentagone ? Et bien c’est Mathew Bevan, né le 10 juin 1974 à Cardiff, au Pays de Galles. Un gamin qui vit un calvaire à l’école, harcelé par ses camarades, en difficulté scolaire, alors la nuit, pendant que ses parents dorment, il trouve refuge dans les bulletin boards (BBS) et les premiers forums Internet.
L’univers de Mathew Bevan : une chambre, un ordinateur, et des rêves d’extraterrestres
C’est là qu’il découvre le phone phreaking, l’art de manipuler les systèmes téléphoniques pour passer des appels gratuits n’importe où dans le monde. Cette compétence devient son passeport pour le monde du hacking et un jour, quelqu’un lui donne accès à Sin City, un bulletin board belge, repaire de hackers bien connu de l’époque. En échange de ses techniques de phone phreaking, les habitants de Sin City lui offrent alors documents et méthodes pour pirater des ordinateurs.
Mais le véritable déclic arrive quand Bevan tombe sur Destiny Stone, un bulletin board géré par un phone phreaker australien surnommé Ripmax. “Ce que j’ai trouvé sur son système, c’étaient des centaines de documents sur les OVNIs, les dissimulations gouvernementales et les théories du complot”, se souvient Bevan. Il y découvre notamment l’histoire de 40 hackers qui auraient disparu mystérieusement après avoir ciblé des systèmes militaires pour découvrir la vérité sur les OVNIs.
X-Files - La série qui a inspiré toute une génération de hackers conspirationnistes
Et là, c’est le moment “eureka” de Bevan car si ces 40 hackers ont disparu en cherchant la vérité sur les OVNIs, c’est qu’il y a forcément quelque chose à cacher. Sa mission est donc toute trouvée : reprendre là où les disparus se sont arrêtés, pirater chacune des bases militaires citées par le magazine underground PHRACK, et prouver une bonne fois pour toutes que le gouvernement américain cache l’existence des extraterrestres.
En 1994, Bevan entre alors en contact via IRC avec Richard Pryce, un gamin de 16 ans passionné de musique et d’informatique. Pryce, qui se fait appeler “Datastream Cowboy”, partage la même fascination pour les théories du complot. Il admire les compétences techniques de son aîné et accepte de devenir son “apprenti” dans cette quête de vérité.
IRC : le terrain de jeu des hackers des années 90
C’est Pryce qui découvre Rome Laboratory par hasard, en scannant les adresses IP du réseau militaire américain. “Regarde ce que j’ai trouvé”, écrit-il à Kuji. “Un labo de recherche de l’Air Force avec des sécurités ridiculement faibles.” Bevan comprend immédiatement l’opportunité. Rome Lab est un nœud central du réseau militaire américain, une porte d’entrée vers des dizaines d’autres installations.
Mais contrairement aux espions professionnels, les deux compères ne cherchent pas à passer inaperçus. Ils laissent des traces partout, copient des gigaoctets de données sans discrimination, et communiquent entre eux sans précaution particulière. C’est cette négligence va permettre à Christy de les traquer.
Pour traquer les deux fantômes, l’AFOSI fait appel à son réseau d’informateurs sur Internet. Un de ces informateurs parvient à entrer en contact avec Datastream Cowboy sur Cyberspace, un fournisseur d’accès à Seattle. Le gamin, naïf et impatient de communiquer avec d’autres hackers, tombe alors directement dans le piège et donne son numéro de téléphone personnel à l’informateur.
Le 12 mai 1994, Scotland Yard arrête Richard Pryce à son domicile de Colindale. Le gosse est terrorisé et il avoue tout : les intrusions dans Rome Lab, les attaques contre la NASA, le transfert des données coréennes. Mais surtout, il balance son complice Kuji, même s’il ne connaît pas sa véritable identité.
Pryce comparaît devant la Woolwich Crown Court en mars 1996. Il plaide coupable pour 12 infractions au Computer Misuse Act britannique et écope d’une amende dérisoire de 1 200 livres sterling. Pas de prison, pas de casier judiciaire lourd.
Pendant ce temps, Christy continue sa traque obsessionnelle de Kuji et l’AFOSI met des moyens considérables sur l’enquête. Les experts en profilage psychologique dressent un portrait-robot : homme, entre 25 et 35 ans, très intelligent, formation scientifique, probablement financé par une organisation étatique. Le Senate Permanent Subcommittee on Investigations va même jusqu’à qualifier Kuji “d’agent étranger, possiblement d’origine est-européenne”.
Ils se plantent complètement puisque Kuji n’est qu’un jeune employé informatique de Cardiff, obsédé par X-Files et financé par son maigre salaire dans une petite boîte galloise. Breeeef, les profileurs du FBI peuvent aller se rhabiller.
Le matos de Mathew Bevan à l’époque
Le 21 juin 1996, à l’aube, une escouade de Scotland Yard débarque chez Mathew Bevan. Ils s’attendent à tomber sur un espion professionnel, un agent dormant est-européen et ils découvrent un geek de 21 ans vivant chez ses parents dont la chambre est tapissée d’affiches d’X-Files et de science-fiction. “Les agents ont finalement découvert que l’identité de Kuji était Mathew Bevan, 21 ans, un informaticien avec une fascination pour la science-fiction”, rapporte le dossier d’enquête.
Bevan est arrêté et inculpé, mais contrairement à son jeune complice, il refuse de coopérer. Son père étant policier, il connaît ses droits et prend un avocat. S’ensuit un bras de fer judiciaire de 20 audiences. En novembre 1997, coup de théâtre : le Crown Prosecution Service abandonne toutes les charges. “Décision commerciale”, justifie le procureur. Traduction : ça coûte trop cher et l’opinion publique s’en fout.
Bevan sort libre mais marqué à vie. “Je ne peux plus faire de mal à une mouche maintenant”, confie-t-il. Il se reconvertit dans la sécurité informatique éthique, rejoint Tiger Computer Security, devient développeur chez Nintendo, et finit par fonder sa propre entreprise, Kuji Media Corporation. L’ironie de l’histoire veut que l’ancien pirate du Pentagone soit aujourd’hui payé pour empêcher d’autres de faire ce qu’il a fait.
De hacker à protecteur : la reconversion réussie de Mathew Bevan
Quant à Pryce, traumatisé par son arrestation, il disparaît complètement des radars. Après la confiscation de son ordinateur, il n’en rachète même pas un nouveau. Certains disent qu’il a repris ses études de musique, d’autres qu’il s’est reconverti totalement. Une chose est sûre : l’expérience l’a vacciné à vie contre le hacking.
Le rapport d’évaluation des dégâts, publié le 31 octobre 1994, chiffre les pertes directes de l’US Air Force à 211 722 dollars, sans compter les coûts de l’enquête et du nettoyage des systèmes. Mais les enquêteurs admettent n’avoir découvert que la partie émergée de l’iceberg. Combien d’autres Kuji et Datastream Cowboy se baladent dans les systèmes militaires américains ? On verra bien…
Avant 1994, les militaires américains considéraient leurs réseaux comme protégés par leur complexité technique mais après Kuji et Datastream Cowboy, ils comprennent qu’Internet a aboli les frontières et que n’importe quel ado avec un modem peut devenir une menace nationale. Cette prise de conscience va déclencher une révolution dans la cybersécurité militaire, avec des milliards de dollars investis pour sécuriser ce que deux gamins britanniques avaient démontré être un gruyère numérique.
Et la mauvaise nouvelle, c’est que malgré des mois d’intrusions dans les systèmes les plus secrets de l’US Air Force et de la NASA, Bevan n’a jamais trouvé la moindre preuve de l’existence d’extraterrestres. Pas de débris de Roswell, pas de documents sur la Zone 51, pas de technologies aliens. “J’ai fouillé partout”, confiera-t-il. “Wright-Patterson, la NASA, tous les endroits où étaient supposés être cachés les secrets sur les OVNIs. Rien, nada, que dalle.”
Cette conclusion aurait dû clore le débat, mais les théoriciens du complot ont retourné l’argument : si Kuji n’a rien trouvé, c’est justement la preuve que la conspiration existe et qu’elle est plus complexe et secrète que ce qu’on pourrait imaginer. The truth is ‘still’ out there, comme dirait Mulder… Mais elle n’est pas dans les serveurs du Pentagone visiblement…
Bon, apparemment il suffit que des puces Nvidia soient “tombées du camion” pour qu’un milliard de dollars de GPU ultra puissants se retrouvent sur le marché noir chinois. Le Financial Times a enquêté et ce qu’ils ont découvert est assez dingue.
Alors que les États-Unis font tout pour empêcher la Chine d’accéder aux dernières technologies d’IA, des B200, H100 et H200 de Nvidia circulent tranquillement sur les réseaux sociaux chinois. Leur prix ? 50% au-dessus du tarif normal, mais visiblement ça ne freine personne. Les vendeurs proposent même des racks pré-assemblés avec 8 puces B200, prêts à brancher dans un datacenter. Genre tu commandes sur WeChat et hop, tu reçois ton rack de 150 kilos à 560 000 dollars.
D’après l’enquête du FT, rien qu’entre avril et juin 2025, c’est plus d’un milliard de dollars de matos qui aurait transité. Les puces passent par la Thaïlande, la Malaisie, et d’autres pays d’Asie du Sud-Est où les contrôles sont… disons plus souples. La Malaisie a d’ailleurs vu ses importations de GPU avancés exploser de 3400% début 2025. Coïncidence ? Je ne crois pas…
Le plus ironique dans l’histoire, c’est que ces restrictions viennent juste d’être assouplies pour les puces moins puissantes comme la H20. Mais bon, pourquoi se contenter d’une 2CV quand on peut avoir une Ferrari, même au marché noir ?
Une boîte chinoise basée à Shanghai, “Gate of the Era” (ça ne s’invente pas), créée en février juste avant que les restrictions ne tombent (le timing est parfait), aurait à elle seule écoulé pour 400 millions de dollars de systèmes B200. Ils vendent même des racks complets entre 3,9 et 3,95 millions de yuans pièce.
Un rack de B200
Et Nvidia, de son côté, fait la sourde oreille. Leur réponse officielle ? “Nous ne fournissons support et service qu’aux produits Nvidia autorisés”. Traduction : démerdez-vous avec vos GPU de contrebande. Mais bon, avec une valorisation de 4000 milliards de dollars, ils vont pas trop pleurer sur quelques puces qui s’égarent.
Ce qui est fascinant, c’est comment les Chinois ont industrialisé le contournement. Les vendeurs testent même les puces avant de les vendre pour garantir qu’elles fonctionnent. Service après-vente inclus apparemment. Un opérateur de datacenter chinois l’a dit cash au FT : “Les contrôles à l’export n’empêcheront pas les produits les plus avancés de Nvidia d’entrer en Chine. Ça ajoute juste de l’inefficacité et crée d’énormes profits pour les intermédiaires prêts à prendre des risques.”
Pendant ce temps, DeepSeek et d’autres boîtes d’IA chinoises prétendent faire aussi bien que les modèles américains avec beaucoup moins de ressources, mais visiblement, ça ne les empêche pas de quand même vouloir mettre la main sur les derniers joujoux de Nvidia.
Jensen Huang, le CEO de Nvidia né à Taiwan, voit toujours la Chine comme une opportunité énorme. C’est d’ailleurs lui qui aurait négocié avec Trump pour assouplir certaines restrictions. Mais pour les B200 et H100, c’est toujours un niet officiel !
Le gouvernement américain essaie surtout pendant ce temps de boucher les trous. Le Department of Commerce envisage par exemple d’imposer des contrôles plus stricts sur des pays comme la Thaïlande dès septembre. Mais franchement, quand y’a autant d’argent en jeu, croyez-moi, les contrebandiers trouveront toujours un moyen.
Au final, cette histoire montre bien les limites d’une guerre commerciale technologique. C’est un peu comme la drogue… Tu peux interdire, restreindre, sanctionner, mais quand la demande est là et que les profits sont juteux, le marché trouve toujours un chemin où les seuls qui s’enrichissent vraiment, ce sont les intermédiaires qui prennent leur commission de 50% au passage.
Connexion
