Florian Trayon

Qu’est-ce que c’est que cette merde encore ? On va aussi devoir se battre contre les ahuris qui pondent des apps vibecodées "privacy" pour se faire un peu de pub et quelques euros ? Et tous ces abonnés qui vont confier leur connexion à ce "VPN"..... Help Et alors le charabia jargon techno qui n'a aucun sens : “pas qu’un simple VPN”, “Deep Shield”, “brouille complètement ton empreinte matérielle”, Canvas, WebGL, AudioContext, batterie, fuseau horaire, polices, etc. Sauf que Canvas, WebGL et AudioContext, ce sont d’abord des surfaces de fingerprinting de navigateur. Elles existent parce qu’un site web peut exécuter du JavaScript, interroger certaines APIs, mesurer le rendu graphique/audio, puis produire une empreinte relativement stable de ton environnement. Sur une app mobile native, ça n’a pas du tout la même portée. Une app installée depuis l’App Store ou Google Play ne peut pas par magie modifier la manière dont Safari, Chrome, Instagram, TikTok, X ou les autres apps voient ton appareil. Elle ne peut pas réécrire l’OS. Elle ne peut pas masquer globalement les capteurs, les tokens push, l’identifiant publicitaire, le modèle d’appareil, la résolution, la version système ou les signaux accessibles aux autres apps. Donc soit leur “Deep Shield” ne protège que l’environnement interne de l’application, probablement une WebView ou un navigateur embarqué. Dans ce cas, il faut le dire clairement : ça ne protège pas “ton téléphone”, ça protège seulement la navigation faite dans leur app. Donc ça sert à que dalle. Soit ils prétendent agir au niveau système sans root, sans extension navigateur, sans profil MDM, sans intégration OS profonde. Permettez moi d'en douter. Et là, on est dans le bullshit à 1000% Même chose pour le fuseau horaire. Un VPN peut déplacer ton IP. Il ne change pas le fuseau horaire système de ton téléphone. Si un site voit une IP islandaise mais un appareil en français, avec timezone Europe/Paris, clavier français, locale française et comportement français, ce n’est pas “aucune anomalie détectable”. C’est précisément le genre d’incohérence qui renforce une empreinte... Le passage sur la batterie c'est Banger La Battery API est un vieux sujet de fingerprinting web. Mais sur smartphone moderne, ce n’est pas un interrupteur magique qu’une app tierce peut brouiller pour tout le système. Là encore, au mieux, ils mentent dans leur propre WebView. Soient pardonnez leur mais ils ne savent pas ce qu'ils font. Pour le reste en vrac : Rien de clair sur IDFA / GAID. Rien de clair sur les tokens push. Rien de clair sur le fingerprinting par capteurs. Rien de clair sur les limites iOS / Android. Rien de clair sur ce qui est protégé dans l’app, dans le navigateur, dans les autres apps, ou au niveau réseau. Le seul élément techniquement banal et plausible, c’est le tunnel WireGuard vers l’Islande. Autrement dit : un VPN... Bravo. Très bien. Mais un VPN ne rend pas anonyme. Il masque principalement l’IP côté destination et déplace la confiance vers l’opérateur du VPN. Et là, autre problème justement : l’opérateur. 😂 Le site explique que c’est gratuit, sans abonnement, sans limite, sans revente, financé par les dons. Très bien, mais des serveurs VPN, de la bande passante et de la maintenance, ça coûte de l’argent. Qui exploite juridiquement le service ? Qui reçoit les dons ? Qui administre les serveurs ? Qui répond aux demandes légales ? Qui a accès à l’infra ? Où est l’audit ? Où est le code ? Répondez nous, les français veulent savoir ! Où est la politique de logs sérieuse ? Où sont les métriques de financement ? Cerise sur le gâteau : le service dit nécessiter un compte avec email et mot de passe. 🤡 On a très envie de leur confier ces données. Donc on vend une app “libre et anonyme”, mais on commence par créer un compte chez un opérateur non identifié proprement. Et alors "l'open-source" sans source, au top D’un côté : “oui, le code est consultable”. De l’autre : “le code a vocation à être publié”. Donc il est publié ou il ne l’est pas ? Parce qu’en vie privée, “faites-nous confiance, on publiera plus tard”, ce n’est pas un vraiment un argument. Le plus gênant, ce n’est même pas qu’un projet gratuit veuille aider des gens à mieux protéger leur navigation. Le plus gênant, c’est le foutage de gueule qui joue sur la fear-privacy On prend la panique légitime autour de la surveillance, de la vérification d’âge, des stores et du traçage. On colle dessus du vocabulaire privacy. On ajoute “WireGuard”, “Islande”, “Deep Shield”, “Canvas”, “WebGL”, “AudioContext”. Et on vend l’idée que ça règle un problème que l'app ne résoudra pas. C’est au mieux un VPN avec navigateur embarqué et quelques rustines anti-fingerprinting web. Au pire, c’est du privacy-washing pour gens déjà inquiets, avec des promesses impossibles à vérifier par des amateurs en mal de notoriété. Franchement, il y a assez d'arnaques et d'escrocs. De grâce n'en rajoutez pas. Parce qu'à force, plus personne ne prendra au sérieux les véritables solutions.