Vue normale

Reçu avant avant-hier

Surfshark VPN : ce que l'outil fait vraiment, et ce qu'il ne fait pas

✇Korben
Par :Korben
10 avril 2026 à 09:36
-- Article en partenariat avec Surfshark --

On voit passer beaucoup d'affirmations sur les VPN. Certains promettent l'anonymat total. D'autres vendent l'idée qu'un simple clic suffit pour devenir invisible. La réalité est plus nuancée, et c'est tant mieux : comprendre les limites d'un outil, c'est déjà mieux l'utiliser.

Surfshark VPN est un bon exemple de service sérieux qui ne surpromet pas. Il fait très bien certaines choses, moins bien d'autres, et c'est important de savoir lesquelles avant de l'intégrer à votre setup ( mon setup ici si vous êtes curieux).

Ce qu'un VPN ne peut pas bloquer

Commençons par ce qui fâche : un VPN, seul, ne vous protège pas contre toutes les formes de traçage en ligne.

Le canvas fingerprinting, par exemple, exploite les particularités de rendu graphique de votre navigateur pour générer un identifiant unique. Cette technique ne dépend pas de votre adresse IP, mais de votre configuration matérielle et logicielle. Changer d'IP via un VPN n'y change rien.

Il y a aussi le fingerprinting navigateur, qui combine des dizaines de paramètres (polices installées, résolution d'écran, plugins, fuseau horaire) pour créer une empreinte statistiquement unique. Là encore, le VPN n'agit pas directement sur ces vecteurs.

Même constat pour les fuites WebRTC. Si votre navigateur expose votre adresse IP locale via cette API, un VPN mal configuré peut laisser filtrer cette information. Heureusement, Surfshark intègre une protection native contre ce type de fuite, mais cela reste une limite technique à connaître.

Cela ne rend pas l'outil inutile. Cela signifie simplement qu'il faut le considérer comme une pièce d'un puzzle plus large, pas comme une solution autonome.

Ce qu'un VPN fait bien : casser la corrélation par IP

Là où un bon VPN excelle, c'est dans la rupture de la corrélation inter-sessions par adresse IP.

Sans VPN, chaque requête que vous envoyez vers un site web transporte votre adresse IP publique. Cette adresse permet de relier vos différentes sessions de navigation, même en navigation privée. Les régies publicitaires, les analytics et certains trackers utilisent cette persistance pour construire des profils comportementaux. Profils qui finissent chez des data brokers qui vont à leur tour les vendre aux plus offrants. Vous connaissez le topo, j'en ai déjà parlé plusieurs fois.

En routant votre trafic via un serveur VPN, vous remplacez votre IP réelle par celle d'un serveur du parc Surfshark qui en compte plus de 4500. Chaque nouvelle connexion peut utiliser une IP différente (surtout avec l'IP Rotator), ce qui complique sérieusement la tâche des systèmes qui tentent de vous suivre dans le temps.

Ce n'est pas de l'invisibilité. C'est une réduction de la surface d'attaque. Et en sécurité, c'est souvent suffisant pour décourager l'adversaire moyen.

Les fonctionnalités de Surfshark qui comptent sur ce plan

Plusieurs options du VPN aux dents aiguisées méritent d'être activées si votre objectif est de limiter le traçage au maximum :

  • CleanWeb bloque les domaines connus pour héberger des trackers, des pubs et des scripts malveillants. Ce qui réduit le nombre de requêtes sortantes vers des serveurs tiers, diminuant d'autant les opportunités de fingerprinting.
  • La rotation d'IP automatique change régulièrement l'adresse IP de sortie pendant votre session. Utile contre les systèmes qui tentent de corréler vos activités sur la base d'une IP stable.
  • Le mode camouflage rend votre trafic VPN indiscernable d'un trafic HTTPS classique. Ça n'empêche pas le fingerprinting, mais cela évite que votre usage d'un VPN ne devienne lui-même un signal identifiable.
  • Le Kill Switch en mode strict coupe toute connexion internet si le tunnel VPN tombe. Il prévient les fuites accidentelles d'IP qui pourraient briser l'anonymat de session.
  • Il y a aussi le MultiHop qui fait transiter votre trafic par deux serveurs successifs. Ce qui va ajouter une couche de complexité pour quiconque tenterait de remonter la piste, même si cela impacte légèrement les performances.

Aucune de ces fonctionnalités n'est magique. Combinées, elles forment un ensemble cohérent qui rend le traçage passif plus difficile, sans exiger de compétences techniques particulières.

Le vol d'identité synthétique : une menace sous-estimée

Pendant qu'on parle de protection des données, un sujet mérite qu'on s'y arrête : le vol d'identité synthétique. Contrairement au vol d'identité classique, où un criminel utilise vos informations personnelles pour se faire passer pour vous, l'identité synthétique mélange des données réelles et fausses pour créer un profil fictif. Par exemple : un numéro de sécurité sociale valide (issu d'une fuite de données) associé à un nom existant, mais avec une date de naissance et une adresse inventées.

Ce profil hybride n'appartient à personne en particulier, ce qui le rend plus difficile à détecter. Les fraudeurs l'utilisent pour ouvrir des crédits, souscrire à des services ou blanchir de l'argent. Comme il n'y a pas de victime immédiate qui reçoit des relevés suspects, l'arnaque peut durer des mois avant d'être identifiée.

Les personnes les plus exposées sont celles qui partagent fréquemment des informations personnelles sur des sites peu fiables, réutilisent les mêmes détails sur de multiples plateformes, ou publient des données identifiables sur les réseaux sociaux.

Comment réduire les risques

La prévention repose sur des gestes simples. Sauf qu'ils doivent être constants, et c'est là toute la difficulté.

Ne partagez que le strict nécessaire lors des inscriptions en ligne. Si un service ne vérifie pas votre identité réelle, il n'a pas besoin de votre nom complet, de votre date de naissance ou de votre adresse physique.

Pensez à séparer vos identifiants. Utilisez des adresses email et numéros de téléphone dédiés pour les services secondaires. Cela limite la corrélation entre vos différentes activités en ligne.

Des outils comme Alternative ID , proposé par Surfshark, permettent de générer des profils secondaires (nom, email, adresse) pour les inscriptions à faible enjeu. Cela ne bloque pas le vol d'identité synthétique, mais cela réduit la quantité de données réelles en circulation, compliquant la tâche des fraudeurs.

Mon avis sur l'approche

Ce qui me plaît chez Surfshark, c'est l'honnêteté technique. Le service ne vend pas de l'anonymat absolu. Il propose des outils qui rendent le traçage plus coûteux, plus complexe, moins rentable pour ceux qui s'y livrent.

C'est une philosophie pragmatique. En sécurité, on ne cherche pas forcément toujours la perfection, on cherche à augmenter le coût de l'attaque au-delà de ce que l'adversaire est prêt à investir.

Si vous avez déjà un gestionnaire de mots de passe , activé la 2FA et sécurisé vos appareils, ajouter Surfshark complète efficacement ce dispositif. Ce n'est pas la fin du parcours, mais c'est une étape pertinente. Un VPN n'est pas une baguette magique. Il ne rend pas invisible, ne bloque pas toutes les formes de traçage, et ne remplace pas une hygiène numérique globale. Mais il fait très bien ce pour quoi il est conçu, c'est à dire rompre le lien entre votre identité réseau et vos activités en ligne. Dans une stratégie de défense en profondeur, c'est exactement le rôle qu'on attend de lui.

L'offre du moment

Surfshark propose toujours un engagement 24 mois à 2,26€ TTC par mois, avec en bonus 3 mois offerts et une garantie satisfait ou remboursé de 30 jours. L'abonnement couvre un nombre illimité d'appareils et de connexions simultanées. Un seul abo et vous protégez tout le monde à la maison (du laptop au PC de bureau en passant par la console, la TV intelligente et les téléphones portables).

✨ Profiter de l'offre Surfshark ici

Note : ce lien est affilié. Cela ne change rien pour vous, mais cela me permet de continuer à produire ce type de contenu sans vous saouler de blocs de pubs partout.

Pangolin - Proxy, VPN et auth enfin réunis

✇Korben
Par :Korben
30 mars 2026 à 08:09

Si vous auto-hébergez vos propres services parce que VOUS AVEZ DU TEMPS GRÂCE A VOTRE BULLSHIT JOB SURPAYÉ, vous connaissez la chanson... il vous faut un reverse proxy type Nginx Proxy Manager pour router le trafic, un tunnel Cloudflare ou WireGuard pour exposer vos services sans ouvrir de ports, et un truc genre Authentik pour l'auth. Donc 3 outils, 3 configs différentes, et surtout 3 trucs qui peuvent vous péter à la gueule à tout moment, surtout quand vous êtes en vacances ou en train de jouer avec vos enfants.

Mais heureusement, j'arrive à la rescousse avec Pangolin , un projet open source qui colle tout ça dans un seul paquet : Proxy inversé, tunnels WireGuard chiffrés, authentification zero-trust, le tout orchestré par Docker. Une commande de grosse feignasse dans le terminal et c'est installé !!

curl -fsSL https://static.pangolin.net/get-installer.sh | bash

Le truc peut tourner sur n'importe quel VPS avec une IP publique (Ubuntu 20.04+ ou Debian 11+, AMD64 ou ARM64). L'installeur pose Docker, Traefik et les conteneurs en 2-3 minutes chrono et ensuite vos services à la maison se connectent via des tunnels WireGuard... sans ouvrir le moindre port sur votre box ! Comme ça, que ce soit votre Jellyfin de cyberpirate, votre Nextcloud ou votre Gitea... tous deviennent accessibles depuis n'importe où, avec les certificats Let's Encrypt automatiques derrière qui vont bien.

Sous le capot, c'est du NAT traversal intelligent. Même derrière un CGNAT Orange ou un firewall restrictif de chez Free, les tunnels WireGuard trouvent, comme la vie dans Jurassic Park, toujours leur chemin via UDP. Pas besoin de DDNS, pas besoin de supplier votre FAI pour une IP fixe. Par contre, si vous avez déjà galéré avec du port forwarding sur une Livebox 5, vous savez à quel point c'est appréciable !

D'ailleurs, côté sécurité c'est carrément différent d'un VPN mesh classique type Tailscale . Au lieu de filer l'accès à tout un réseau (et prier pour que personne ne fasse n'importe quoi), Pangolin fonctionne en zero-trust : Chaque utilisateur n'accède qu'aux ressources que vous avez explicitement définies. SSH, RDP, bases de données, apps web... vous choisissez qui voit quoi et y'a même du MFA, du geo-blocking, voire du blocage par ASN si le cœur vous en dit.

Côté architecture, c'est un petit zoo : Pangolin (le serveur en TypeScript), Gerbil (le tunneling WireGuard), Newt (le connecteur réseau local) et Traefik comme reverse proxy. Oui, y'a un genre de thème "animaux fouisseurs"... à vrai dire c'est assez mignon tant que ça trimballe pas des virus. Et des clients natifs existent pour Mac, Windows, Linux, iOS et Android, pas forcément courant pour un projet de cette taille.

Pour l'auth, ça supporte Azure AD, Google, ou n'importe quel provider OAuth2/OIDC. Du coup, si vous utilisez déjà Pocket ID pour votre SSO passkey, ça s'emboîte bien (qui a dit "comme papa" ??). Pangolin c'est donc le top pour disposer d'un accès public à vos services (là où Tailscale gère le mesh privé).

Attention quand même, y'a 4 ports à ouvrir sur votre VPS : 80 et 443 en TCP (classique), plus 51820 et 21820 en UDP pour les tunnels WireGuard. Oubliez pas le 21820 sinon les clients ne se connecteront pas. La licence est dual : AGPL-3 pour la Community Edition (gratuite), et une licence commerciale pour l'Enterprise (gratuite aussi pour un usage perso et les boîtes sous 100K$ de CA). Si vous ne voulez pas gérer l'infra, y'a aussi une offre cloud managée et un installer one-click sur DigitalOcean.

CrowdSec , que j'adore, est même intégrable en option pour ajouter une couche de sécurité collaborative, et si vous utilisiez Nginx Proxy Manager avant, la migration vaut le coup d'être envisagée.

Bref, si votre stack self-hosted ressemble à un millefeuille de conteneurs, Pangolin mérite clairement un essai poussé. Et un grand merci à Tom Nook pour le partage !

Surfshark VPN : la couche réseau qui manque à votre stratégie de sécurité

✇Korben
Par :Korben
26 mars 2026 à 07:54
-- Article en partenariat avec Surfshark --

Vous avez probablement déjà un gestionnaire de mots de passe. Vous avez activé la double authentification partout où c'est possible. Peut-être même que vous hébergez vos propres services sur un NAS, avec un pare-feu correctement configuré.

C'est excellent. Mais il manque encore une pièce au puzzle : la protection de votre trafic réseau. C'est exactement là qu'intervient un VPN comme Surfshark. Pas comme solution miracle, plutôt comme couche complémentaire dans une approche de défense en profondeur.

Je vous explique pourquoi cette couche compte et comment Surfshark s'intègre concrètement dans une infrastructure personnelle ou professionnelle.

La défense en profondeur, rappelée simplement

Le principe est connu de tous les survivalistes numériques  : ne jamais compter sur une seule barrière de protection. 1 c'est 0, 2 c'est 1, toussa. Si votre mot de passe fuit, le 2FA bloque l'intrusion. Si votre 2FA est contournée, le pare-feu limite l'accès. Si le pare-feu est franchi, la segmentation réseau contient les dégâts.

Mais dans cette chaîne, un maillon reste souvent négligé. Le trafic entre votre appareil et le reste d'internet. Sans VPN, votre FAI voit tout ce que vous faites. Sur un réseau public, un attaquant peut intercepter vos données non chiffrées. Même chez vous, des applications peuvent communiquer en clair avec des serveurs tiers. Un VPN chiffre l'intégralité de ce trafic et le fait transiter par un tunnel sécurisé. Ce n'est pas une protection supplémentaire au même niveau que les autres, c'est une protection à un niveau différent, réseau plutôt qu'application.

Ce que Surfshark apporte techniquement

Surfshark ne se contente pas de proposer un bouton "se connecter". Plusieurs fonctionnalités techniques méritent l'attention si vous construisez une stratégie de sécurité sérieuse. Le chiffrement AES-256-GCM est le standard, mais le choix du protocole compte tout autant. Surfshark privilégie WireGuard, qui offre de meilleures performances avec un audit de code plus simple que les solutions historiques. Pour les utilisateurs avancés, l'application permet de forcer le protocole, de configurer des règles de split-tunneling, ou d'activer le kill switch en mode strict.

La politique no-logs a été auditée à deux reprises par Deloitte, en 2024 et 2025, par SecuRing en 2026, etc. Les rapports sont publics et détaillent les méthodes de vérification. Ce n'est pas une déclaration d'intention, mais une preuve vérifiable.

Autre point important : l'infrastructure. Surfshark opère plus de 4 500 serveurs (dont une majorité en mode RAM-only) et certains serveurs, notamment aux Pays-Bas, tournent déjà à 100 Gbps. Aucune donnée ne peut persister sur disque, ce qui réduit drastiquement les risques en cas de compromission physique d'un nœud. Enfin, les fonctionnalités désormais habituelles comme le MultiHop (double saut VPN) ou le mode Camouflage (obfuscation du trafic VPN) permettent d'adapter le niveau de protection au contexte d'usage, sans complexifier l'expérience pour les utilisateurs non techniques (ça ne vous concerne pas je sais, vous êtes les plus forts, vous lisez mon site).

Intégrer Surfshark dans votre setup existant

Ajouter un VPN à une infrastructure déjà en place ne doit pas être une usine à gaz. Voici comment procéder de manière pragmatique. Si vous utilisez déjà un gestionnaire de mots de passe, commencez par y stocker vos identifiants Surfshark avec une entrée dédiée. Activez la 2FA sur votre compte VPN, en privilégiant une application d'authentification plutôt que les SMS.

Pour le déploiement, privilégiez l'installation sur le routeur si vous voulez protéger tous les appareils du réseau domestique. Sinon, installez l'application sur chaque endpoint critique (ordinateur principal, téléphone professionnel, tablette de voyage & co). Configurez le kill switch en mode strict pour éviter toute fuite d'IP en cas de déconnexion. Activez ensuite  CleanWeb pour bloquer les trackers et les domaines malveillants au niveau DNS. Et si vous travaillez avec des données sensibles, envisagez MultiHop pour ajouter une couche de routage supplémentaire.

Enfin, documentez votre configuration. Notez les serveurs que vous utilisez habituellement, les règles de split-tunneling et la procédure de secours en cas de problème. La sécurité ne vaut que si elle est reproductible et compréhensible par ceux qui doivent l'utiliser.

Mon avis sur l'approche

Ce qui distingue Surfshark dans le paysage des VPN, ce n'est pas une fonctionnalité isolée, mais la cohérence d'ensemble. L'outil ne cherche pas à tout faire, par contre il fait bien ce qui compte (chiffrer le trafic, protéger les identifiants, limiter l'exposition aux trackers, etc.).

Pour un particulier exigeant, un freelance ou une petite structure, c'est un compromis pertinent entre simplicité et robustesse. Est-ce que cela remplace une infrastructure professionnelle ? Non. Mais en combinant protection réseau et contrôle des données personnelles, Surfshark propose une brique de sécurité plus complète que la moyenne.

L'offre actuelle

En ce moment Surfshark casse un peu les prix et propose un engagement sur 27 mois (dont 3 supplémentaires) qui revient à 61€ TTC au total (2.26€/mois, moins cher qu'un café), et une garantie satisfait ou remboursé de 30 jours. L'abonnement couvre un nombre illimité d'appareils, ce qui facilite le déploiement sur l'ensemble de votre parc personnel/familial.

🔗 Profiter de l'offre Surfshark VPN ici

Note : ce lien est affilié. Cela ne change rien pour vous, mais cela me permet de continuer à produire ce type de contenu sans dépendre de la publicité intrusive.

La sécurité numérique ne se résume pas à empiler des outils. Il s'agit de comprendre ce que chacun protège, et comment ces protections s'articulent. Un VPN comme Surfshark n'est pas une fin en soi. Mais dans une stratégie de défense en profondeur, il représente la couche réseau qui manquait peut-être à votre dispositif. C'est pragmatique, efficace, et ça ne demande pas de devenir expert en cryptographie pour en tirer parti.

Questions fréquentes :

  • Le VPN remplace-t-il un pare-feu ? Non, il le complète en protégeant le trafic hors du réseau local.
  • Puis-je utiliser Surfshark sur mon routeur ? Oui, des tutoriels sont disponibles pour les modèles compatibles.
  • La politique no-logs est-elle vérifiable ? Oui, les audits Deloitte et SecuRing sont publics.

J'ai mis un proxy entre claude et Internet

✇LinuxFr.org : les dépêches
Par :tito · palm123 · patrick_g · Julien Jorge · Pierre Jarillon
18 mars 2026 à 10:12

Je sais que le mot "IA" sur LinuxFr, c'est un peu comme prononcer "systemd" en 2015 ; ça ne laisse personne indifférent. Et je comprends. La merdification est réelle, la bulle est réelle, les externalités sont réelles. Je n'ai aucune envie d'en rajouter une couche. Mais voilà, les lignes sont devenues floues, et j'ai pris le virage du coding assisté. D'abord avec curiosité et prudence, et maintenant les deux pieds dans le plat : ça ne remplace pas ma façon de penser, mais ça m'a ouvert des portes : des concepts que je ne maîtrisais pas, des langages que je n'aurais pas pris le temps de toucher avant ; l'assistant me permet d'explorer, de comprendre, et de construire des outils qui m'aident. Et j'espère qu'ils aident d'autres personnes aussi.

Sauf que voilà. Au début, j'étais prudent. Je vérifiais chaque commande, chaque accès. Et puis petit à petit, j'ai lâché prise. J'ai désactivé les confirmations, laissé l'agent tourner sans supervision, accepté les permissions sans lire. On connaît tous ce moment où on clique "Allow" les yeux fermés parce que c'est la quinzième fois qu'il demande. J'ai fait exactement ce qu'on ne devrait jamais faire en sécurité : faire confiance par défaut.

Et un jour, je me suis dit : je n'ai aucune idée de ce que cet agent envoie sur le réseau. Aucune.

Alors j'ai construit un proxy un peu.. particulier.

Sommaire

Cher journal,

Ça fait un bail que je n'ai pas vraiment contribué à l'open source. Mes derniers vrais projets publics, c'était Kivy et les projets autour… ça remonte à quelques années maintenant, et j'ai pris ma "retraite" sur ces projets.

Mais je n'ai jamais arrêté de coder. J'ai juste réalisé un truc sur moi-même : le code, c'est un peu comme la musique pour moi. J'aime construire des choses. Je m'exprime mieux avec un éditeur et un terminal qu'avec ma voix ou mes mots. C'est probablement pour ça que je suis là à t'écrire un journal au lieu de faire un talk quelque part.

Le constat

On a passé des années à construire des pare-feux, des IDS, du monitoring pour nos serveurs de prod. Sur des entreprises plus grandes, on traque les connexions suspectes… Et puis un agent IA débarque sur notre machine de dev, on lui dit "tiens, refactore-moi ce module", et il fait ce qu'il veut sur le réseau sans qu'on le sache.

C'est quand même un peu absurde, non ?

Le truc, c'est qu'il n'existe pas vraiment d'équivalent à tcpdump ou iptables pour les agents IA sur nos machines. Pas de couche d'observabilité entre l'agent et Internet. Ou on contrôle, on se fait notre liste d'outils qu'on accepte, ou on fait confiance parce que bon, la sécurité, c'est pas si important… vraiment ?

Greywall et greyproxy

Avec l'équipe de Greyhaven, on a construit deux outils open source :

Greywall est un bac à sable deny-by-default pour les agents IA. Pas de Docker, pas de VM. Ça utilise directement les mécanismes du noyau Linux (namespaces, Landlock, Seccomp, eBPF) pour isoler le processus. Sur Linux, l'isolation réseau passe par un device TUN dans un namespace réseau dédié ; le processus sandboxé ne peut structurellement pas contourner le proxy. Sur macOS, c'est un peu moins élégant en utilisant des variables d'environnement pour forcer un proxy socks5h, si l'outil ne le supporte pas, il ne peut quand même pas sortir. Ça fait le job pour la plupart des outils.

Greyproxy est le plan de contrôle réseau. Un proxy SOCKS5/HTTP avec un dashboard web temps réel. Chaque connexion sortante de l'agent apparaît dans le dashboard. Si aucune règle ne matche, la connexion reste en attente et tu peux l'autoriser ou la refuser en direct, sans relancer la session.

Concrètement, ça donne :

greywall -- claude

Et hop, Claude Code tourne dans son bac à sable. Tu ouvres http://localhost:43080 et tu vois en direct chaque domaine qu'il tente de contacter. Tu autorises api.anthropic.com, tu autorises github.com pour les pushes, tu refuses le reste. Tout est interactif, tout est visible.

Ce que j'ai observé

Au début, c'était juste des connexions supplémentaires. Tiens, c'est quoi ces appels à opencode.ai quand je démarre opencode ? Tiens, pourquoi Claude appelle 2x toutes les 4 minutes un domaine chez Google ? Entre de la télémétrie que l'on ne peut pas désactiver, ou des requêtes qui font "office" de regarder si une nouvelle version est disponible… 2x toutes les 4 minutes. Ce n'est pas le meilleur argument, mais contrairement aux autres sandboxes, au moins ici je le vois en temps réel, et je peux dire oui ou non sur ce que peut accéder la commande.

Le dashboard de greyproxy rend tout ça visible. Tu vois passer les requêtes DNS, les connexions TCP, les domaines contactés. Tu peux construire progressivement une liste d'autorisations adaptée à ton projet. Il y a même un mode apprentissage qui trace les accès filesystem avec strace et génère automatiquement un profil de sécurité.

Ce n'est pas un outil pour les paranos. C'est un outil pour ceux qui pensent que l'observabilité, c'est un droit, pas un luxe.

Pourquoi ça compte

Je sais que l'enthousiasme pour l'IA est réellement différent en fonction des gens. Les questions sur la qualité du code généré, la consommation énergétique, la centralisation chez les GAFAM ; tout ça est légitime.

Mais justement. Si on utilise ces outils (et beaucoup d'entre nous le font, même ceux qui restent prudents), autant le faire avec les yeux ouverts. Greywall, c'est pas un outil pour promouvoir l'usage des agents IA. C'est un outil pour que, si tu en utilises un, tu gardes le contrôle.

Il y a une phrase qu'on a mise sur le site et qui résume bien l'idée :

"The security layer around your tools should be independent of the company selling you the AI."

La couche de sécurité autour de tes outils ne devrait pas dépendre de la boîte qui te vend l'IA. Claude a son propre sandbox intégré, Codex a le sien. Mais tu fais confiance aux entreprises pour te protéger d'elles-mêmes ? C'est un problème d'indépendance, pas de technologie.

Greywall est agnostique. Ça marche avec Claude Code, Codex, Cursor, Aider, Goose, Gemini CLI, Cline, et une dizaine d'autres. Tu changes d'agent, ta couche de sécurité reste la même.

Et après : vers un proxy sémantique

Le greyproxy actuel travaille au niveau des connexions : il voit les domaines, les ports, les IPs. Il ne déchiffre pas le TLS, il ne lit pas le contenu. C'est déjà très utile pour contrôler les accès réseau.

Mais là où ça devient vraiment intéressant, c'est quand on commence à reconstruire les conversations LLM qui passent par le proxy. Pas en cassant le chiffrement ; en instrumentant le flux côté client. L'idée, c'est de construire un proxy sémantique qui comprend ce que l'agent envoie et reçoit, qui peut faire du remplacement de variables d'environnement à la volée (pour ne jamais exposer tes vrais secrets à l'API du LLM), et qui te donne une vision complète de ce que l'IA fait en ton nom.

On en est au début, mais la direction est claire : remettre l'humain au milieu du système. Pas comme un goulot d'étranglement, mais comme un observateur informé qui peut intervenir quand c'est nécessaire. C'est ce qui manque cruellement à des systèmes comme OpenClaw et à la plupart des outils d'orchestration d'agents.

Pour essayer

Installation rapide :

# Homebrew
brew tap greyhavenhq/tap && brew install greywall

# Ou via curl (pas taper)
curl -fsSL https://raw.githubusercontent.com/GreyhavenHQ/greywall/main/install.sh | sh

Ça tourne sur Linux et macOS. Sur Linux, il te faut bubblewrap et socat comme dépendances. Greyproxy s'installe comme service systemd si tu veux qu'il tourne en permanence.

Si tu veux comprendre les détails techniques de l'architecture (les 5 couches de sécurité, pourquoi on a abandonné Docker, comment fonctionne la capture réseau transparente), on a écrit un article technique détaillé ici : https://greyhaven.co/insights/why-we-built-our-own-sandboxing-sytem

La question

J'ai une vraie question pour la communauté. Ceux d'entre vous qui utilisent des agents IA pour coder (même occasionnellement, même à contrecœur) : comment vous gérez la sécurité ? Vous faites confiance par défaut ? Vous avez mis en place quelque chose ? Ou vous préférez ne pas y penser ?

Et pour ceux qui n'utilisent pas d'agents IA : est-ce que le manque de transparence et de contrôle fait partie des raisons ?

Ça m'intéresse vraiment de savoir :)

Commentaires : voir le flux Atom ouvrir dans le navigateur

Un VPN gratuit débarque dans le prochain Firefox

✇Korben
Par :Korben
18 mars 2026 à 09:58

Un VPN gratuit, intégré direct dans Firefox, sans rien installer ça vous dit ??

Bah ça tombe bien car c'est ce que Mozilla nous balance avec la version 149 de son navigateur, qui débarquera le 24 mars, soit le LENDEMAIN de mon anniversaire 🥳 !! Et c'est pas juste un gadget marketing puisqu’ils offrent 50 Go de bande passante par mois, soit l'équivalent de 25 films en streaming SD, et qu'ils couvrent déjà la France, les États-Unis, l'Allemagne et le Royaume-Uni.

Leur intégration VPN route en fait tout le trafic de votre navigateur via un serveur proxy qui masque votre adresse IP et votre géolocalisation. Comme ça y'a pas besoin de télécharger une extension louche sur le store, puisque c'est natif. Depuis l'annonce, Mozilla nous a promis que ce service respectait ses principes en matière de protection des données, ce qui en langage courant veut dire qu'ils devraient faire un peu gaffe à nos données. On verra bien puisque les promesses n'engagent que ceux qui y croient mais bon, en général, ils respectent leurs paroles et leurs valeurs donc je leur ferais plutôt confiance sur le coup.

Par contre, 50 Go par mois, j'avoue c'est pas la fête du slip. Si vous streamez comme un gros cochon en HD tous les soirs, ça va fondre en une grosse semaine environ. Disons que ce VPN est plutôt dimensionné pour protéger votre navigation quotidienne, genre le petit Wi-Fi du café ou de l'hôtel. Et vous vous en doutez, y'aura un abonnement possible aussi mais les tarifs pour un éventuel plan "illimité" n'ont pas encore été annoncés.

L'autre grosse feature dans Firefox 149, c'est également le split view. Ça permet d'affichez deux pages côte à côte dans la même fenêtre ! Comme ça vous pouvez ouvrir Korben.info à gauche et pratiquer votre surf quotidien dans le panneau de droite. Je plaisante mais en tout cas, ça va m'éviter de jongler entre les onglets pour comparer deux trucs ou copier du texte d'un site à l'autre. ET OUI je sais, Vivaldi et Edge font ça depuis un moment déjà, mais moi je suis sous Firefox, donc c'est pour ça que je vous en parle. Parce que ça débarque enfin dans ma vraie life à moi !

Côté IA, je vous rappelle que Mozilla avait déjà ajouté un kill switch et des contrôles granulaires pour gérer chaque fonction IA individuellement et cette 149 pousse le truc encore plus loin puisque vous pouvez maintenant activer ou désactiver finement chaque brique, de la traduction automatique aux chatbots de la sidebar. Comme ça, vous pouvez garder ce qui vous sert en IA et vous virer le reste.

Y'a aussi Tab Notes qui arrive... C'est une fonctionnalité encore un peu expérimentale présente dans Firefox Labs, qui permet d'attacher des notes directement à vos onglets. Si comme moi, vvous faites de la veille sur macOS ou Linux avec 40 onglets ouverts et que vous voulez griffonner une remarque vite faire sur une page sans ouvrir un Notion ou équivalent à côté, c'est pas du luxe.

Mozilla bosse également sur Smart Window, un assistant contextuel qui affiche des définitions, des résumés d'articles ou des comparaisons de produits pendant votre navigation. J'sais pas trop si les gens vont utiliser ce truc... Moi j'suis pas certain en tout cas. Mais bon, pour le moment, c'est pas encore déployé, donc faudra patienter encore un peu avant de mettre la main dessus.

Et pour finir, le navigateur se refait une beauté. Nouvelles icônes, thèmes rafraîchis, et une mascotte toute neuve qui s'appelle Kit (Oui, le renard a un prénom maintenant !). Voilà les amis, la refonte complète des paramètres arrivera dans la Nightly à partir d'avril 2026 et rassurez vous les flippés, toutes les nouveautés IA resteront désactivées par défaut, comme pour la 148... faudra donc aller les activer à la main si vous en voulez.

Voilà, donc notez bien, Firefox 149 sort le 24 mars avec un VPN gratuit intégré nativement dans un navigateur ! On n'avait pas vu ça depuis Opera ! (lol)

Source

Voix clonée, vrais dégâts : comment Surfshark aide à résister aux scams IA

✇Korben
Par :Korben
16 mars 2026 à 12:03
-- Article en partenariat avec Surfshark --

Les scams vocaux par IA, c’est un peu la nouvelle génération de coup de fil foireux. Sauf que cette fois, la voix au bout du fil peut être celle de votre mère, de votre boss, ou de vous-même cloné en haute définition. Et ça, c’est nettement moins drôle.

C’est quoi un scam vocal par IA ?

En gros, un scam vocal par IA, c’est une arnaque où des petits malins utilisent de l’intelligence artificielle pour copier votre voix (ou celle de quelqu’un que vous connaissez) et s’en servent pour vous soutirer du fric ou des infos sensibles. Il leur suffit de quelques secondes d’enregistrement pour recréer votre timbre, votre rythme, votre accent, et vous faire dire des choses que vous n’avez jamais prononcées. À l’autre bout, le scammer joue la carte de l’urgence (“je suis en garde à vue”, “on a besoin d’un virement tout de suite”) histoire que vous paniquiez et que vous obéissiez sans réfléchir.

Comment ils clonent votre voix ?

La matière première, c’est vous sur Internet. Vidéos TikTok, Reels Instagram, YouTube, podcasts, interviews, vocaux WhatsApp, hack d'applications ou d'IA générative dont vous avez utilisé les commandes vocales, le message d'accueil de votre messagerie vocale ... bref tout ce qui contient votre voix peut servir de base à un modèle d’IA. Juste vous téléphoner pour vous faire parler suffit. Le logiciel analyse tout ça, fabrique une version numérique de votre voix, puis peut générer n’importe quelle phrase avec votre timbre, comme si vous lisiez un script en direct. Ensuite, soit ils envoient des messages vocaux “ultra crédibles”, soit ils passent carrément des appels avec une voix clonée branchée sur un synthé vocal en temps réel.

On retrouve quelques classiques déjà bien rodés et qui ne sont déjà plus de la science-fiction futuriste  :

  • Le faux appel d’urgence d’un proche : accident, arrestation, enlèvement fictif, avec demande de virement immédiat, souvent via des moyens impossibles à rembourser.
  • Le “CEO fraud” 2.0 : un dirigeant cloné qui demande à un employé un virement discret pour un “projet stratégique” ou une “opération confidentielle”.
  • Le faux conseiller bancaire ou crypto qui vous parle comme un pro, avec jargon et numéro de dossier, pour vous pousser à transférer des fonds “pour sécurité”.
  • Le contournement d’authentification vocale : la voix clonée sert à passer les systèmes qui utilisent la voix comme facteur de sécurité.
  • Les appels de masse en voix synthétique “propre” pour du support technique bidon, des fausses dettes ou des impôts.

Comment repérer le fake (et éviter de se faire plumer)

Même si la techno devient très bonne, il reste souvent des indices. Comme un rythme de parole un peu bizarre, des émotions mal placées, un ton trop lisse pour une situation censée être dramatique, une micro-latence avant les réponses ou encore un refus catégorique de passer en visio ou de rappeler sur un numéro officiel.

La bonne pratique c'est de ne jamais céder sous la pression d’un seul appel. Posez des questions que seul le vrai proche peut connaître, vous raccrochez et vous vérifiez via un autre canal (appel direct, message, numéro de la banque trouvé par vous-même, pas dans le mail ou le SMS reçu). Et plus vous limitez votre empreinte vocale publique, moins vous donnez de matière à ces outils de clonage.

Où Surfshark entre en jeu dans cette histoire

Soyons clairs : aucun outil ne peut empêcher un escroc de cloner une voix qu’il a déjà récupérée. Par contre, vous pouvez rendre sa vie beaucoup plus compliquée, et c’est là que l’écosystème Surfshark devient intéressant.

  • Le VPN Surfshark chiffre votre trafic et masque votre IP, ce qui limite la quantité d’infos qu’un attaquant peut recouper sur vous et rend le ciblage plus difficile.
  • Surfshark Alert vous signale si des données personnelles finissent dans une fuite, ce qui vous permet de réagir avant qu’elles soient utilisées pour rendre une arnaque vocale encore plus crédible.
  • L’antivirus Surfshark bloque les malwares, keyloggers et autres joyeusetés souvent utilisés en combo avec ce genre d’arnaque pour vider vos comptes une fois que vous avez mordu à l’hameçon.

Vous combinez ça avec un peu d’hygiène numérique (mots de passe costauds, double authentification, méfiance par défaut au téléphone), et vous devenez tout de suite une cible beaucoup moins rentable pour les arnaques vocales dopées à l’IA. Arrêtez aussi de répondre aux appels de numéros masqués, inconnus ou que vous ne connaissez pas.

Les principales fonctionnalités de Surfshark VPN

Surfshark VPN ne se contente pas de chiffrer votre connexion, il vient avec tout un arsenal de fonctionnalités pensées pour limiter la quantité de données que les arnaqueurs peuvent exploiter contre vous. Parmi les plus utiles, on retrouve le chiffrement de bout en bout du trafic, le masquage d’adresse IP, ainsi qu’une politique stricte de non-conservation des logs.

Vous pouvez aussi utiliser la connexion simultanée sur un nombre illimité d’appareils pour protéger en une fois votre smartphone, PC, tablette et même certains appareils connectés de la maison. Le Kill Switch coupe automatiquement votre connexion Internet si le VPN décroche, ce qui évite que votre trafic repasse à nu sans que vous ne vous en rendiez compte.

Les serveurs multi-hop (double VPN) permettent de faire transiter votre trafic par plusieurs pays à la fois, rendant le traçage encore plus compliqué pour quiconque essaierait de remonter jusqu’à vous. La fonction CleanWeb, elle, bloque pubs, trackers et une partie des sites malveillants, ce qui réduit les risques de tomber sur des pages de phishing utilisées en parallèle de scams vocaux.

Enfin, avec les serveurs spécialisés (par exemple pour le P2P) et les options de tunneling fractionné, vous pouvez décider quelles applications passent par le VPN et lesquelles utilisent une connexion normale. Ça vous permet d’ajuster finement le niveau de confidentialité sans sacrifier le confort d’usage au quotidien.

Avec un abonnement Starter Pack 2 ans à moins de 64.5 € TTC (plus 3 mois offerts), cela revient à moins de 2,39 € TTC par mois pour protéger en continu tous les appareils de la maison, 24h/24 et 7j/7. Ou 2.98€/mois TTC pour Surfshark One (avec l'antivirus, alert, alternative ID ...). C'est moins cher que le prix des abonnements en 2023, pas d'inflation chez la firme au requin.

🔗 Profiter de l'offre Surfshark VPN ici

❌