Sorti l’été dernier, l’Energizer H67G (Android) revient sur le devant de la scène cet été avec un positionnement tarifaire agressif. Ce smartphone 5G au look solide séduit sur le papier : batterie de 4900 mAh, certification IP68, triple capteur photo […]
Des chercheurs de l’Université de Waterloo ont créé UnMarker, un outil qui efface les watermarks des images IA comme si c’était du Tipp-Ex numérique. Et ça marche sur absolument tous les systèmes de watermarking existants.
Ces fameux watermarks invisibles que Google, Meta et compagnie nous vendent comme LA solution miracle contre les deepfakes viennent de se prendre une grosse claque. Andre Kassis et Urs Hengartner, deux chercheurs canadiens, ont développé cet outil qui peut supprimer n’importe quelle marque de provenance en quelques minutes seulement, avec juste une carte graphique Nvidia A100 de 40 GB. Leur recherche détaillée a été présentée au symposium IEEE sur la sécurité et la confidentialité et le principe est assez malin.
Au lieu d’essayer de comprendre comment fonctionne chaque système de watermarking (ce qui serait un cauchemar), UnMarker cherche simplement les variations spectrales inhabituelles dans les images. Comme si vous cherchiez les endroits où quelqu’un a écrit à l’encre invisible sur une feuille… Pas besoin de savoir ce qui est écrit, juste de trouver où c’est écrit et de l’effacer.
D’ailleurs, les résultats sont édifiants puisque quand ils ont testé leur outil sur différents systèmes comme Stable Signature de Meta ou StegaStamp, le taux de détection des watermarks est tombé sous les 50%. Et sur SynthID de Google ? Il est passé de 100% à seulement 21% de détection. Autant dire que c’est mort.
L’outil fonctionne en deux étapes selon le type de watermarking. Je vous explique… Pour les méthodes qui modifient les détails fins de l’image, il applique des ajustements ciblés sur les hautes fréquences autour des bords et des textures. Et pour celles qui altèrent la structure globale, il introduit des perturbations subtiles sur des motifs de pixels plus larges. Tout ça sans que l’image ne change visuellement d’un poil.
Le code est même disponible sur GitHub pour ceux qui veulent tester. Ça prend littéralement deux minutes max pour traiter une image, et ça tourne offline sur votre machine. Pas besoin d’API, pas besoin de connaître les paramètres internes du watermark, rien. Bref, c’est universel.
En gros, avec cet outil, toute la stratégie de l’industrie tech pour lutter contre les deepfakes vient de prendre un sacré coup. La Maison Blanche avait obtenu des engagements de sept géants de la tech pour investir massivement dans ces technologies de watermarking et là on peut dire que ce sont des millions de dollars partis en fumée.
Andre Kassis l’explique très bien dans l’interview qu’il a donnée au Register. Le problème, c’est qu’on a mis la charrue avant les bœufs. On s’est excités sur cette technologie sans vraiment réfléchir à sa sécurité. Et ce n’est pas la première fois que des chercheurs tirent la sonnette d’alarme. En 2023, des universitaires du Maryland avaient déjà prévenu que les techniques de watermarking ne fonctionneraient pas. Plus récemment, en février, des chercheurs affiliés à Google DeepMind et l’Université du Wisconsin-Madison ont conclu qu’aucun système existant ne combinait robustesse, infalsifiabilité et détectabilité publique.
Alors oui, c’est inquiétant surtout qu’on ne peut plus vraiment faire confiance à ce qu’on voit… Alors maintenant qu’on découvre que la principale défense qu’on nous proposait est aussi efficace qu’un château de cartes face à un ouragan, y’a de quoi déprimer…
Les deepfakes restent aussi une menace énorme, et on n’a toujours pas de solution fiable pour les détecter. D’ailleurs, si vous cherchez des outils de détection de deepfakes, sachez qu’ils existent mais restent limités face à l’évolution constante des techniques de falsification. Bref, on continue à investir des millions dans ces technologies alors qu’on sait pertinemment qu’elles sont cassables, mais comme c’est devenu une industrie énorme, c’est dur de remettre le génie dans sa bouteille…
Pour finir sur une note un peu moins déprimante, cette recherche nous rappelle une leçon importante : la sécurité doit toujours passer en premier. Alors avant de s’emballer sur une nouvelle technologie “révolutionnaire”, il faudrait peut-être d’abord se demander comment elle pourrait être détournée… En attendant, continuez à vous méfier de tout ce que vous voyez en ligne car Watermark ou pas, la prudence reste votre meilleure défense contre fausses images / vidéo.
Bon, si vous êtes du genre à balader votre casque Sony WH-1000XM6 partout en ville, j’ai une mauvaise nouvelle. Des chercheurs viennent de découvrir que n’importe qui à 10 mètres de vous peut transformer vos écouteurs en dispositif d’écoute. Et ça concerne aussi JBL, Bose, Marshall et plein d’autres marques populaires.
La société de cybersécurité allemande ERNW a mis le doigt sur des vulnérabilités critiques dans les puces Bluetooth fabriquées par Airoha, un fournisseur taïwanais dont les composants équipent une tonne de casques et écouteurs qu’on adore tous. Le problème c’est que ces puces ont un protocole propriétaire qui permet d’accéder directement à la mémoire RAM et flash des appareils, sans authentification, sans appairage, sans rien du tout.
Concrètement, un pirate qui se trouve dans votre périmètre Bluetooth peut donc activer discrètement le micro de votre casque même quand il est inactif (mais allumé), écouter vos conversations, récupérer votre numéro de téléphone, votre historique d’appels et même voir ce que vous écoutez. Le plus flippant dans l’histoire, c’est que les chercheurs ont démontré qu’on pouvait créer un malware capable de se propager automatiquement d’un appareil à l’autre, façon virus zombie pour casques audio.
Les vulnérabilités en question portent les doux noms de CVE-2025-20700, CVE-2025-20701 et CVE-2025-20702, avec des scores de gravité allant jusqu’à 9.6/10 pour la plus critique, autant dire que c’est du sérieux. Pour vous donner une idée de l’ampleur du désastre, voici la liste des appareils confirmés comme vulnérables : les Sony WH-1000XM4, XM5 et XM6, les WF-1000XM3, XM4 et XM5, les Link Buds S, les Bose QuietComfort Earbuds, les Jabra Elite 8 Active, plusieurs modèles JBL et Marshall… Bref, probablement ce que vous avez sur les oreilles en ce moment.
Alors avant que vous ne jetiez vos écouteurs par la fenêtre, respirez un coup. Pour exploiter ces failles, il faut quand même un bon niveau technique et être physiquement proche de la cible. On n’est pas dans un scénario où le premier script kiddie venu peut pirater tous les casques du métro. Mais les chercheurs d’ERNW précisent que ça reste une menace sérieuse surtout pour des cibles de choix comme des journalistes, des diplomates ou des dirigeants d’entreprise.
Ce qui est particulièrement agaçant dans cette affaire, c’est qu’ERNW a signalé les vulnérabilités à Airoha le 25 mars 2025, mais la boîte n’a répondu que le 27 mai. Un SDK corrigé a été envoyé aux fabricants début juin, mais maintenant c’est à chaque marque de créer et distribuer des mises à jour firmware pour chaque modèle concerné. Et connaissant la vitesse à laquelle ces géants de l’électronique déploient leurs updates… on n’est pas sortis de l’auberge.
Alors en attendant que Sony, Bose et compagnie se bougent les fesses, qu’est-ce qu’on peut faire ?
Déjà, si vous êtes une personnalité publique ou si vous bossez sur des trucs sensibles, évitez d’utiliser vos casques Bluetooth dans les lieux publics. Et pour le commun des mortels, restez vigilants et guettez les mises à jour firmware de vos appareils. Vous pouvez aussi désactiver le Bluetooth quand vous ne l’utilisez pas, même si je sais que c’est chiant avec des écouteurs sans fil.
Pour ceux qui veulent vraiment être tranquilles, il reste toujours la bonne vieille solution du casque filaire. C’est has-been, mais au moins personne ne peut transformer vos Sennheiser IE 200 en micro-espion à distance. Parfois les vieilles solutions restent les plus sûres…
Encore une fois, nos gadgets connectés préférés peuvent se retourner contre nous. Entre les failles dans les routeurs, les caméras de surveillance hackables et maintenant nos casques audio qui peuvent nous espionner, on n’est pas sorti de l’auberge… Mais bon, on va pas revenir au baladeur cassette non plus donc restez juste prudents et mettez à jour vos appareils dès que possible.
Mais bordel, on attend quoi pour se réveiller en France ?
Microsoft vient littéralement d’avouer devant le Sénat français qu’ils ne pouvaient PAS garantir que nos données restent bien chez nous. Et cela sous serment devant nos sénateurs probablement en pleine digestion.
Et on fait quoi ? Et bah RIEN.
C’était le 18 juin dernier, qu’Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, a été auditionné par la commission d’enquête sénatoriale sur la commande publique. La question était simple : “Pouvez-vous nous garantir, sous serment, que les données des citoyens français ne peuvent pas être transmises au gouvernement américain sans l’accord explicite du gouvernement français ?”
Sa réponse ?
“Non, je ne peux pas le garantir.” BOUM. Voilà. C’est dit. Mais bon, apparemment à par moi, ça ne dérange personne.
Le Cloud Act, cette loi américaine de 2018, donne en effet le pouvoir au gouvernement US de récupérer TOUTES les données stockées par des entreprises américaines. Peu importe où elles sont physiquement.
Vos données médicales chez Microsoft Azure en France ? Les Américains peuvent les demander. Vos documents administratifs sensibles ? C’est pareil. Vos secrets industriels ? Allez, cadeau ! Et le pire dans tout ça c’est qu’on le sait depuis des années. Le Cloud Act est incompatible avec le RGPD européen puisque l’article 48 du RGPD dit clairement qu’aucune décision d’une juridiction étrangère ne peut forcer le transfert de données sans accord international. Mais le Cloud Act s’en tape royalement.
Et pendant ce temps, qu’est-ce qu’on fait en France ? Et bien on signe des contrats à 74 millions d’euros avec Microsoft pour l’Éducation nationale. On leur confie les données de santé des Français via le Health Data Hub. On migre nos administrations sur Microsoft 365. C’est du suicide de nos données personnelles, purement et simplement.
Et les excuses de Microsoft sont pathétiques : “On résiste aux demandes infondées”, “On demande à rediriger vers le client”…etc. Mais à la fin, s’ils reçoivent une injonction légale américaine, ils DOIVENT obéir. Point final.
Et ne me sortez pas l’argument du “ça n’est jamais arrivé” car c’est exactement ce qu’on disait avant Snowden, avant PRISM, bref, avant qu’on découvre l’ampleur de la surveillance américaine ou encore de l’existence des tribunaux secrets. Donc le fait que ça ne soit pas encore arrivé ne veut pas dire que ça n’arrivera pas. Surtout avec Trump au pouvoir.
La solution existe pourtant… Des hébergeurs français, des clouds européens : OVH, Scaleway, et des dizaines d’alternatives qui ne sont PAS soumises au Cloud Act. Mais non, on préfère donner nos millions à Microsoft parce que c’est “plus pratique” ou que parce que “tout le monde fait ça”.
Alors c’est quoi la prochaine étape du coup ? On va attendre qu’un scandale éclate ? Que les données médicales de millions de Français se retrouvent entre les mains de la NSA ? Que des secrets industriels français soient “mystérieusement” récupérés par des concurrents américains ? AWS et Google font exactement la même chose d’ailleurs. Ils tentent de nous rassurer avec leurs “clouds souverains” mais c’est du pipeau car tant qu’ils sont américains, ils sont soumis au Cloud Act, c’est aussi simple que ça.
Ce qui me rend dingue, c’est qu’on a TOUTES les cartes en main. L’Europe est un marché énorme et on pourrait imposer nos conditions, exiger de vraies garanties, développer nos propres solutions…etc… Mais non, on préfère se coucher devant les GAFAM et devant les Etats-Unis.
Il est temps je pense de dire STOP et d’arrêter ces contrats débiles avec des entreprises qui ne peuvent même pas garantir la protection de nos données. Ce serait bien de soutenir les acteurs européens du cloud, de respecter l’article 48 du RGPD et de commencer à construire notre souveraineté numérique au lieu de la brader. Parce que là, on est en train de donner les clés de la maison à des gens qui nous disent en face qu’ils pourront les filer à leur gouvernement quand il le demandera.
L’Internet Archive vient de décrocher le statut de Federal Depository Library. Hé oui, cette institution qui archive le web depuis presque 30 ans fait maintenant partie du programme officiel des bibliothèques fédérales américaines. Le Government Publishing Office (GPO) leur a remis la médaille, et franchement, il était temps.
Il faut savoir que le programme Federal Depository Library existe depuis 1813 et à l’époque, c’était pour distribuer des documents papier aux bibliothèques à travers les États-Unis. Et comme maintenant, en 2025, ce ne sont quasiment plus que des archives numériques, c’est normal que l’Internet Archive devienne la première organisation 100% numérique à rejoindre ce club très select.
Pour ceux qui ne connaissent pas (vraiment ?), l’Internet Archive c’est cette organisation à but non lucratif qui fait tourner la Wayback Machine. Vous savez, ce truc magique qui vous permet de retrouver à quoi ressemblait n’importe quel site web en 2007. Mais c’est bien plus que ça puisqu’ils archivaient déjà des documents gouvernementaux depuis des années… et maintenant c’est officiel !
Le timing est assez dingue quand on y pense car en octobre dernier, l’Internet Archive s’est fait défoncer par des cyberattaques massives. Ils ont perdu 31 millions de comptes utilisateurs dans la nature et quelques mois plus tard, paf, reconnaissance fédérale. Brewster Kahle, le fondateur, n’a d’ailleurs pas caché sa joie en déclarant que ça reconnaissait leur rôle crucial dans la préservation de l’information publique. Le mec archive le web depuis 1996, il peut bien savourer un peu.
Et sinon, qu’est-ce que ça change ??? Et bien d’abord, l’Internet Archive devient une source reconnue par l’Etat pour les documents gouvernementaux. Les chercheurs, les journalistes, et tous ceux qui ont besoin d’accéder à l’info publique ont maintenant un point d’accès reconnu par l’État. C’est énorme pour la transparence démocratique. Et puis il y a le côté préservation. Avec ce statut, l’Internet Archive peut désormais recevoir et archiver directement les publications gouvernementales sans avoir besoin de passer par des circuits compliqués ou de se demander si c’est légal. Ils font partie du système maintenant !
Le gouvernement américain reconnaît enfin ce que tout le monde savait déjà : l’Internet Archive fait un boulot indispensable. Combien de fois vous avez utilisé la Wayback Machine pour retrouver un article disparu ou vérifier une info ? Moi, c’est au moins une fois par semaine.
Cette reconnaissance arrive à un moment crucial à une époque où l’information disparaît à la vitesse de la lumière. Des sites ferment, des articles sont supprimés, des gouvernements changent et effacent leurs traces (coucou Trump !)… Alors avoir une institution qui préserve tout ça, c’est vital. Et pour l’équipe de l’Internet Archive, c’est aussi une forme de protection.
Bref, au final, je trouve que c’est une excellente nouvelle pour tous ceux qui croient en la liberté d’information et la préservation du patrimoine numérique. L’Internet Archive continue sa mission, mais avec la bénédiction de l’Oncle Sam. Et vu comment les choses évoluent sur le net, on va avoir besoin d’eux plus que jamais.
J’sais pas si vous avez vu, mais Microsoft vient de dévoiler quelque chose d’absolument incroyable. Non je déconne, c’est encore de la merde et ça s’appelle Windows Recall.
Windows Recall, pour ceux qui auraient raté le début du film, c’est cette fonctionnalité qui prend des screenshots de tout ce que vous faites sur votre PC toutes les quelques secondes. Microsoft nous vend ça comme un outil de productivité pour “retrouver vos pas numériques”. Perso, j’appelle ça Big Brother qui s’installe direct dans votre bécane.
Face à ce délire orwellien, les développeurs des apps qu’on utilise pour justement protéger notre vie privée ont décidé de ne pas se laisser faire. Signal a ouvert le bal en mai dernier, et maintenant Brave et AdGuard viennent grossir les rangs de la résistance.
AdGuard ne mâche pas ses mots et qualifie carrément la fonctionnalité de “dérangeante”. Ils expliquent que même avec les soit-disant garde-fous de Microsoft (authentification Windows Hello, chiffrement, et tout le tralala), il reste des failles béantes. Vous pouvez par exemple accéder à Recall avec juste votre code PIN après la config initiale… Pas de biométrie requise, et les filtres censés protéger vos données sensibles ratent régulièrement des trucs importants comme vos infos bancaires.
Le truc vraiment naze, c’est que Recall capture aussi les messages éphémères de Signal, Telegram ou WhatsApp. Comme ça, quand vous envoyez un message qui doit disparaître, et bien si votre correspondant a Recall activé, hop, c’est stocké pour l’éternité sur son PC. Sympa pour la confidentialité des messages “secrets”, non ?
Heureusement, Microsoft a quand même prévu des moyens pour que les développeurs puissent bloquer cette surveillance. Il y a donc deux méthodes principales : l’API SetInputScope et un flag DRM.
Signal a choisi l’option nucléaire avec le flag DRM. En gros, ils font croire à Windows que leur fenêtre diffuse du contenu protégé par copyright, ce qui empêche toute capture d’écran. C’est radical et ça a l’inconvénient que même les outils légitimes comme les lecteurs d’écran pour l’accessibilité ne peuvent plus fonctionner.
Brave a opté pour une approche plus fine avec l’API SetInputScope. Ils marquent toutes leurs fenêtres avec le flag IS_PRIVATE, ce qui dit à Windows “pas touche, c’est privé”. Comme ça, les captures d’écran normales continuent de marcher, et seul Recall est bloqué. La version 1.81 de Brave avec cette protection sortira le 5 août prochain.
AdGuard pousse le bouchon encore plus loin avec leur version 7.21. Quand vous activez la protection contre le tracking, ça bloque carrément Recall au niveau système. Le truc ne peut même plus se lancer, point barre.
Ce qui me fait marrer (jaune), c’est que les trois apps laissent quand même aux utilisateurs la possibilité de réactiver Recall s’ils le veulent vraiment. Genre “si vous tenez absolument à vous faire surveiller, libre à vous”. Mais bon, qui voudrait faire ça sérieux ?
Cette fronde des développeurs montre bien que les inquiétudes autour de Recall sont légitimes et Microsoft a beau promettre monts et merveilles niveau sécurité, je pense que personne n’est dupe.
Bref, y’a vraiment un sérieux problème avec ce truc…
Au Computex 2025 qui s'est tenu au mois de mai, AMD avait officialisé ses deux nouvelles séries de processeurs Ryzen Threadripper à architecture Zen 5 : Les Ryzen Threadripper PRO 9000 WX pour stations de travail et les Ryzen Threadripper 9000 pour les PC de bureaux hautes performances (HEDT). Au mo...
Les scientifiques du CERN ont encore frappé fort car après nous avoir fait flipper les complotistes avec leur collisionneur de particules qui devait créer des trous noirs miniatures qui nous avaleraient tout rond, ils viennent de fabriquer un truc encore plus chelou : un qubit d’antimatière.
Pour ceux qui ont séché les cours de physique, l’antimatière c’est comme la matière normale, mais en version “miroir maléfique”. Quand une particule de matière rencontre son équivalent en antimatière, pouf, elles s’annihilent mutuellement en libérant une quantité d’énergie monstrueuse. C’est pour ça que dans Star Trek, ils utilisent ça pour faire avancer l’Enterprise.
Cette bonne nouvelle nous vient de l’équipe de Barbara Latacz qui a réussi à maintenir un antiproton (l’équivalent antimatiériel du proton) dans un état quantique stable pendant 50 secondes. 50 secondes, ça peut paraître court, mais dans le monde de l’antimatière, c’est comme si vous aviez réussi à garder une bulle de savon intacte pendant une semaine.
Pour y arriver, ils ont utilisé une technique appelée “spectroscopie de transition quantique cohérente” (ouais, je sais, ça fait nom de sortilège dans Harry Potter). En gros, ils ont piégé l’antiproton dans un champ électromagnétique super sophistiqué appelé piège de Penning, et ils ont réussi à le faire osciller entre deux états quantiques, comme un pendule qui balance entre “haut” et “bas”.
La physicienne Barbara Latacz raconte d’ailleurs qu’elle a immédiatement ouvert une bouteille de champagne quand ils ont réussi, et après 5 ans de boulot acharné sur ce projet, elle l’avait bien mérité.
Mais alors pourquoi c’est si important ??? Eh bien figurez-vous que l’un des plus grands mystères de la physique, c’est de comprendre pourquoi notre univers est fait principalement de matière alors que théoriquement, il devrait y avoir autant de matière que d’antimatière. C’est comme si vous lanciez un million de pièces de 1 euros en l’air et qu’elles tombaient toutes sur face… statistiquement, c’est louche.
Cette expérience nommée BASE (Baryon Antibaryon Symmetry Experiment, pour ceux qui aiment les acronymes) permet justement d’étudier les propriétés de l’antimatière avec une précision jamais atteinte. En comparant le comportement des antiprotons avec celui des protons normaux, les scientifiques espèrent trouver une petite différence, un truc qui cloche, et qui expliquerait pourquoi on est là au lieu d’avoir été annihilés il y a 13,8 milliards d’années.
Stefan Ulmer, le porte-parole du projet BASE, explique que cette première mondiale ouvre la voie à l’application de toute une panoplie de méthodes de spectroscopie cohérente sur des systèmes de matière et d’antimatière. En gros, ils viennent de débloquer un nouveau niveau dans le jeu de la physique des particules.
Toutefois, avant que vous ne commenciez à fantasmer sur des ordinateurs quantiques à base d’antimatière (avouez, vous y avez pensé bande de coquins !), sachez que pour l’instant, c’est complètement irréaliste car produire et stocker de l’antimatière, c’est tellement compliqué et coûteux que ça n’a aucun sens pour faire de l’informatique quantique. Les qubits normaux font très bien le job, merci.
Par contre, ce qui est vraiment excitant, c’est le futur upgrade prévu : BASE-STEP. Cette nouvelle version permettra de transporter les antiprotons par camion (oui oui !) vers des environnements magnétiques plus calmes que l’usine à antimatière du CERN. L’équipe espère ainsi pouvoir maintenir la cohérence quantique pendant 10 fois plus longtemps, ce qui pourrait révolutionner notre compréhension de l’antimatière.
Bref, pendant que certains s’écharpent sur X pour savoir si les pâtes se cuisent avec ou sans couvercle, d’autres créent des qubits d’antimatière et percent les mystères de l’univers. Et ça, ça me redonne (un peu) foi en l’humanité.
Je vais enfin vous raconter dans les moindres détails l’histoire du hack le plus dévastateur de l’ère numérique. Pas en termes techniques, non, non… Mais plutôt en termes humains.
Ashley Madison, le site qui promettait des aventures extraconjugales discrètes avec son slogan “Life is short. Have an affair” (La vie est courte. Ayez une aventure) et dont les 37 millions d’utilisateurs inscrits pensaient que leurs secrets étaient en sécurité derrière leur mot de passe.
Grossière erreur.
Car en juillet 2015, un groupe mystérieux appelé Impact Team a décidé de faire tomber ce château de cartes. Et les conséquences ont été violentes. Des suicides documentés, des divorces par milliers, des carrières pulvérisées, et la révélation que le PDG lui-même, Noel Biderman, celui qui paradait dans les médias comme un mari fidèle, entretenait plusieurs liaisons payantes. Bref, voici l’histoire complète du hack qui a prouvé que sur Internet, il n’y a aucun secret qui tienne.
Ashley Madison - Le site qui a appris au monde entier que la discrétion absolue n’existait pas
L’histoire commence en 2001 avec Darren J. Morgenstern, un entrepreneur franco-canadien qui a l’idée de créer un site de rencontres pour personnes mariées. Le nom “Ashley Madison” combine alors simplement les deux prénoms féminins les plus populaires de l’époque. Le concept est révolutionnaire et controversé : un site assumant complètement l’adultère.
Mais c’est Noel Biderman qui va transformer cette idée en empire. Né le 24 novembre 1971 à Toronto, petit-fils de survivants de l’Holocauste, diplômé d’Osgoode Hall Law School en 1996, Biderman est avocat devenu agent sportif.
En 2007, Morgenstern vend Ashley Madison à Avid Life Media, et Biderman en devient le PDG. C’est là que l’histoire devient vraiment intéressante. Car Biderman, qui gérait les affaires sentimentales compliquées de ses clients athlètes, jonglant entre épouses et maîtresses, comprend parfaitement tout le potentiel du site.
Le concept est révolutionnaire pour l’époque et contrairement aux sites de rencontres classiques, Ashley Madison assume complètement son côté sulfureux. Pas de faux-semblants, pas d’hypocrisie. Vous êtes marié et vous voulez une aventure ? Venez chez nous, on s’occupe de tout. Le site garantit la discrétion absolue (spoiler : c’était du flanc), les profils peuvent être anonymes, les photos floutées, les paiements discrets sur les relevés bancaires.
Noel Biderman : le PDG “fidèle” qui cachait bien son jeu
Biderman transforme alors progressivement ce petit site canadien en empire mondial avec une stratégie marketing ultra-agressive. Des pubs pendant le Super Bowl (qui ont été refusées), des panneaux d’affichage géants, des campagnes provocantes. Biderman lui-même devient le visage du site, paradant dans les médias avec sa femme Amanda, une Sud-Africaine avec un background en marketing.
Et c’est là que ça devient croustillant car Biderman joue le parfait homme d’affaires familial. Marié depuis 2003, père de deux enfants, il répète partout : “Je suis fidèle à ma femme. Ashley Madison, c’est pour les autres, pas pour moi.” Amanda soutient publiquement son mari et son business controversé. Ils forment le couple parfait de l’hypocrisie entrepreneuriale.
Puis le site explose littéralement. En 2015, Ashley Madison revendique 37 millions d’utilisateurs dans 46 pays et le chiffre d’affaires annuel dépasse les 100 millions de dollars, avec des projections à 150 millions pour 2015. ALM possède aussi d’autres sites comme Established Men (pour les sugar daddies) et CougarLife. Mais Ashley Madison reste le fleuron, générant 90% des revenus.
La particularité d’Ashley Madison, c’est surtout son modèle économique. L’inscription est gratuite pour les femmes (histoire d’attirer du monde), payante pour les hommes et ces derniers doivent acheter des “crédits” pour envoyer des messages. Mais surtout, il y a cette fameuse option “Full Delete” à 19 dollars.
Pour ce prix, Ashley Madison promet d’effacer complètement votre profil et toutes vos données. “Removal of site usage history and personally identifiable information from the site”, disaient-ils. Rien que cette arnaque, euh pardon, cette option a rapporté 1,7 million de dollars en 2014.
Et c’est ce mensonge éhonté qui va tout déclencher.
Car en coulisses, la sécurité d’Ashley Madison est une vaste blague. En 2012, Raja Bhatia, le directeur technique fondateur, tire déjà la sonnette d’alarme. Dans un email interne, il prédit une “crise de sécurité éventuelle” qui pourrait “écorcher vive” la compagnie. Prophétique, le mec.
Et en mai 2015, Mark Steele, directeur de la sécurité, enfonce le clou. Dans un email à Biderman, il explique que leur code est “criblée” de vulnérabilités XSS et CSRF, faciles à exploiter pour n’importe quel script kiddie. Il mentionne aussi des failles plus graves comme l’injection SQL qui pourraient causer des fuites de données “beaucoup plus dommageables”. Les mots de passe étaient bien hachés avec bcrypt, mais tellement mal implémentés que 11 millions d’entre eux seront crackés en à peine 10 jours.
Mais Biderman et ALM s’en foutent royalement. La priorité, c’est la croissance et les profits, pas la sécurité. Cette négligence criminelle va leur coûter très, très cher…
Le 12 juillet 2015, les employés d’Avid Life Media arrivent au bureau pour un lundi pas comme les autres avec sur leurs écrans, un message menaçant : La musique “Thunderstruck” d’AC/DC résonne dans les bureaux et le message est signé “Impact Team”. Ce dernier menace de publier toutes les données de la compagnie et des 37 millions de clients si Ashley Madison et Established Men ne ferment pas immédiatement.
Le manifeste d’Impact Team est cinglant : “Avid Life Media a reçu l’ordre de retirer définitivement Ashley Madison et Established Men sous toutes ses formes, sous peine de voir toutes les données clients divulguées, y compris les profils contenant les fantasmes sexuels secrets des clients et les transactions correspondantes par carte de crédit, les noms et adresses réels, ainsi que les documents et e-mails des employés.”
Ils accusent surtout ALM de mentir sur le service “Full Delete”. Selon eux, même après avoir payé 19 dollars, les vraies informations des utilisateurs restent dans les bases de données.
Le 19 juillet, Impact Team publie leur ultimatum sur Pastebin, donnant 30 jours à ALM pour fermer les sites. Brian Krebs, le célèbre journaliste spécialisé en cybersécurité, révèle alors l’affaire le même jour. C’est la panique totale chez ALM.
Le 20 juillet, Ashley Madison publie trois communiqués minimisant l’incident. Ils parlent d’une “tentative par un tiers non autorisée d’accéder à nos systèmes” et annoncent une enquête avec les forces de l’ordre et Cycura et le compte Twitter habituellement hyperactif du site devient aussi muet comme une carpe.
Pour prouver leur sérieux, le 21 juillet, Impact Team publie 2 500 dossiers d’utilisateurs et le 22 juillet, ils révèlent l’identité complète de deux utilisateurs : un homme de Brockton, Massachusetts, et un autre de l’Ontario. Un avertissement clair : on a tout et on n’hésitera pas.
Les théories fusent alors sur l’identité d’Impact Team. La plus crédible : un inside job. Noel Biderman lui-même déclare peu après : “Nous sommes sur le point de confirmer l’identité du coupable… J’ai son profil sous les yeux, avec toutes ses références professionnelles. Il s’agit sans aucun doute d’une personne qui n’était pas employée ici, mais qui a certainement eu accès à nos services techniques.” Un contractuel ? Un ancien employé viré ? Le mystère reste entier.
John McAfee, le fondateur controversé de l’antivirus éponyme, y va également de sa théorie. Selon lui, c’est “la seule employée femme” d’ALM et les dumps MySQL complets indiquent une connaissance intime de l’infrastructure. “Les hackers ont rarement une connaissance approfondie de la stack technique d’une cible.”, affirme-t-il. Une théorie jamais confirmée, vous vous en doutez, mais qui fait jaser.
Screenshot
Le plus troublant c’est qu’Impact Team semblerait être une seule personne et pas un groupe. Le style d’écriture, la nature personnelle de la vendetta, le fait qu’ils n’aient jamais existé avant et disparaissent après… Tout suggère un individu avec une rancune spécifique. En 2023, Brian Krebs révèle même que le principal suspect se serait suicidé en 2014, AVANT que le hack ne soit rendu public. Si c’est vrai, ça veut dire qu’Impact Team a planifié l’attaque, attendu plus d’un an, puis publié les données. Un niveau de patience dingue.
Puis le délai de 30 jours expire. Nous sommes le 18 aout 2015 et Ashley Madison est toujours en ligne. Impact Team passe alors à l’exécution de ses menaces. Il publie un fichier torrent de 9,7 gigaoctets sur le dark web, accessible uniquement via Tor. Le fichier est signé avec une clé PGP pour prouver son authenticité. À l’intérieur : les infos d’environ 37 millions d’utilisateurs.
Et ces données sont dévastatrices. Noms, emails, adresses, préférences sexuelles, fantasmes secrets, messages privés, transactions par carte de crédit. Même les utilisateurs qui avaient payé pour le “Full Delete” sont là. Impact Team avait donc raison : le service était une arnaque totale.
Full Delete - L’option de confidentialité qui n’en était pas une.
Internet s’enflamme et des dizaines de sites se montent, permettant de vérifier si votre email est dans la fuite. Les journalistes fouillent frénétiquement. Des milliers d’adresses .gov et .mil sont découvertes. Politiciens, militaires, religieux, personnalités publiques… Tout le monde y passe.
Le 20 août, Impact Team frappe encore plus fort avec un deuxième dump de 20 gigaoctets. Cette fois, c’est l’intérieur d’ALM qui est exposé : emails internes, code source, et surtout… 300 emails personnels de Noel Biderman.
Les révélations sont explosives puisque Biderman, Monsieur “Je suis super fidèle”, entretenait une liaison de trois ans avec une escort de Toronto nommée Melisa. Rendez-vous payants de juillet 2012 à mai 2015. D’autres femmes aussi. Les emails détaillent tout : les rencontres, les paiements, les mensonges à Amanda.
Un email particulièrement crade montre Biderman investissant dans une idée d’app appelée “What’s Your Wife Worth?” qui permettrait d’attribuer une valeur monétaire aux femmes selon leur attractivité. Même pour le PDG d’un site d’adultère, c’est too much.
L’email envoyé par le hacker d’Ashley Madison
Le 21 août, dans une interview avec Vice, Impact Team lâche alors une bombe sur la sécurité d’ALM : “Personne ne surveillait. Aucune sécurité. Nous avons travaillé dur pour rendre l’attaque totalement indétectable, puis nous sommes entrés et n’avons rien trouvé à contourner. Vous pouviez utiliser un MotDePasse1234 trouvé sur Internet pour vous connecter au VPN et accéder à tous les serveurs.” Hey oui, la sécurité chez Ashley Madison était tellement nulle qu’il n’y avait rien à contourner.
Malheureusement, les conséquences humaines commencent à se faire sentir. Le 24 août, la police de Toronto annonce deux suicides non confirmés liés à la fuite. Des “crimes de haine” sont rapportés. Chantage, harcèlement, violence domestique… Les victimes du hack deviennent victimes dans la vraie vie.
L’histoire la plus tragique est celle de John Gibson, 56 ans, pasteur et professeur au New Orleans Baptist Theological Seminary. Six jours après la publication, sa femme Christi retrouve son corps. Dans sa note de suicide, Gibson parle de sa honte, de sa dépression, de son addiction sexuelle qu’il combattait depuis 25 ans. Il s’excuse auprès de sa famille. D’autres suivront, comme le capitaine de police Michael Gorham de San Antonio.
Sam Rader, YouTubeur chrétien populaire avec sa chaîne “Sam and Nia”, est aussi exposé. Son compte “dirty_little_secret_man” fait surface. D’abord, il nie puis plus tard, dans le documentaire Netflix, il avouera avoir menti. Il cherchait de l’excitation pendant ses gardes de nuit comme infirmier.
Le 28 août 2015, Biderman démissionne. Un communiqué laconique indique que c’est “dans le meilleur intérêt de la compagnie”. Exit le millionnaire hypocrite. Bizarrement, Amanda ne l’a pas quitté et le couple semble toujours marié aujourd’hui. L’amour ou le fric ? Mystère.
Les conséquences légales sont également massives. En juillet 2017, Ruby Corporation (nouveau nom d’ALM) accepte de payer 11,2 millions de dollars pour régler les procès collectifs. La Federal Trade Commission impose également 17,5 millions d’amende, mais n’en collecte que 1,66 million vu les difficultés financières.
Mais le plus dingue c’est quand même qu’Ashley Madison a survécu. Après le hack, tout le monde prédisait sa mort. Hey oui car qui oserait encore s’inscrire ? Pourtant, sous une nouvelle direction, et avec une sécurité renforcée (authentification à deux facteurs, navigation chiffrée, conformité PCI), le site renaît. En 2017, ils revendiquaient même 50 millions d’utilisateurs. Il faut croire que la demande pour l’adultère en ligne n’a pas disparu.
Le site Ashley Madison en 2025
Impact Team disparaît complètement après les fuites. Aucune revendication ultérieure, aucune autre action et malgré les enquêtes du FBI, de la police canadienne, d’Interpol, personne n’est jamais arrêté. L’identité d’Impact Team reste le plus grand mystère non résolu de toute cette histoire.
Et pour la première fois, des millions de personnes réalisent que leur vie numérique secrète peut devenir publique du jour au lendemain. La notion de vie privée en ligne est redéfinie. Les entreprises comprennent également que la sécurité n’est plus optionnelle et les régulateurs durcissent les lois. Le RGPD européen de 2018 cite même explicitement des cas comme Ashley Madison pour justifier des amendes jusqu’à 4% du chiffre d’affaires mondial.
Sans oublier des documentaires Netflix comme “Ashley Madison: Sex, Lies & Scandal” et Hulu “The Ashley Madison Affair” qui remettent régulièrement l’histoire sur le devant de la scène.
Et Noel Biderman dans tout ça ? Et bien il a su rebondir. Depuis 2024, il est PDG d’Avenue Insights à Toronto et conseiller stratégique chez WonderFi. Loin des projecteurs, il parle de ses nouveaux projets “éthiques” et sur LinkedIn, son profil reste très vague sur la période 2007-2015. L’ombre d’Ashley Madison le suivra pour toujours.
Aujourd’hui, quand on tape “Ashley Madison” dans Google, les premiers résultats sont les articles sur le hack, pas le site. C’est devenu LE cas d’école en cybersécurité, éthique numérique, psychologie sociale mais pour les millions de personnes exposées, c’est une blessure qui ne guérira jamais car les données sont toujours là, sur le dark web, prêtes à ressurgir telles une épée de Damoclès éternelle.
Alors la prochaine fois que vous créez un compte quelque part, pensez-y. Ne mettez jamais en ligne ce que vous ne voudriez pas voir en première page des médias car a question n’est pas “si” vos données seront diffusées mais “quand” et par “qui”.
Le 25 avril 2023, AMD inaugurait sa toute nouvelle gamme de processeurs destinés aux consoles portables sous Windows : les Ryzen Z1 Series. Deux processeurs étaient alors proposés : le Ryzen Z1 Extreme qui était finalement un Ryzen 7 7840U avec quelques optimisations pour mieux performer dans une co...
En juin, LG lançait son UltraFine 40WT95UF, un écran de 40 puces avec une définition "5K2K" et une dalle IPS Black, mais aussi du Thunderbolt 5. Avec celui-ci, le fabricant vise les pros de "la finance et de l'informatique". Cependant, il s'avère que ce modèle se destine au marché B2B (Business to B...
Les écrans sur les AIO, c'est la mode du moment, ils ont pris la place des LEDs ARGB dans la fashion du watercooling. De plus en plus de systèmes en intègrent sur le waterblock et les fabricants sont actuellement engagés dans une course à l'écran le plus grand. Dans ce contexte, Jonsbo aussi a lancé...
Le débat est ouvert Mesdames et Messieurs : les MX Master ne seraient-elles pas la série de souris la plus emblématique finalement de la marque Logitech ? Bon difficile peut-être de détrôner la série G502, mais force est de constater que la concurrence est désormais gigantesque sur le marché des sou...
Ce jeudi, le 24 juillet 2025, WUCHANG: Fallen Feathers sortait avec une situation assez absurde : d'un côté des avis des tests très positifs et de l'autre des avis d'acheteurs globalement très négatifs pour ce nouveau RPG soulslike développé par Leenzee Games et édité par 505 Games. Mais alors, qu'e...
En France, un fournisseur de VPN se distingue de la masse. Son nom est CyberGhost, et il vous fait profiter d'une remise particulièrement avantageuse en ce moment.
Le marché de la console portable "handheld", un mini PC miniaturisé, va enfin voir arriver le 5 octobre prochain ses deux références les plus solides. Et pour cause, les Ryzen Strix Halo AI Max+ 395 et AI Max 385 vont équiper ces deux bousins que vous retrouverez sous la marque GPD et le doux patron...
Connexion
Au Computex 2025 qui s'est tenu au mois de mai, AMD avait officialisé ses deux nouvelles séries de processeurs Ryzen Threadripper à architecture Zen 5 : Les Ryzen Threadripper PRO 9000 WX pour stations de travail et les Ryzen Threadripper 9000 pour les PC de bureaux hautes performances (HEDT). Au mo...
Le 25 avril 2023, AMD inaugurait sa toute nouvelle gamme de processeurs destinés aux consoles portables sous Windows : les Ryzen Z1 Series. Deux processeurs étaient alors proposés : le Ryzen Z1 Extreme qui était finalement un Ryzen 7 7840U avec quelques optimisations pour mieux performer dans une co...
En juin, LG lançait son UltraFine 40WT95UF, un écran de 40 puces avec une définition "5K2K" et une dalle IPS Black, mais aussi du Thunderbolt 5. Avec celui-ci, le fabricant vise les pros de "la finance et de l'informatique". Cependant, il s'avère que ce modèle se destine au marché B2B (Business to B...
Les écrans sur les AIO, c'est la mode du moment, ils ont pris la place des LEDs ARGB dans la fashion du watercooling. De plus en plus de systèmes en intègrent sur le waterblock et les fabricants sont actuellement engagés dans une course à l'écran le plus grand. Dans ce contexte, Jonsbo aussi a lancé...
Le débat est ouvert Mesdames et Messieurs : les MX Master ne seraient-elles pas la série de souris la plus emblématique finalement de la marque Logitech ? Bon difficile peut-être de détrôner la série G502, mais force est de constater que la concurrence est désormais gigantesque sur le marché des sou...
Ce jeudi, le 24 juillet 2025, WUCHANG: Fallen Feathers sortait avec une situation assez absurde : d'un côté des avis des tests très positifs et de l'autre des avis d'acheteurs globalement très négatifs pour ce nouveau RPG soulslike développé par Leenzee Games et édité par 505 Games. Mais alors, qu'e...
Le marché de la console portable "handheld", un mini PC miniaturisé, va enfin voir arriver le 5 octobre prochain ses deux références les plus solides. Et pour cause, les Ryzen Strix Halo AI Max+ 395 et AI Max 385 vont équiper ces deux bousins que vous retrouverez sous la marque GPD et le doux patron...