Wiki

DDoS = envoyer tant de requêtes qu'un serveur crash. Classique: 1000s de bot = botnets, chacun envoie du trafic. Pourquoi difficile? C'est du trafic 'légitime' techniquement. Défense: rate-limiting, CDN (Cloudflare, Akamai), IP whitelisting, WAF (Web Application Firewall).

Botnet = milliers d'ordinateurs infectés = 'bots'. Ils reçoivent des ordres d'un C2 (command&control) = attaques DDoS, spam, mining de crypto. T'as un botnet si: ordi lent, trafic réseau bizarre, fan bruyant. Éviter: pas de crack, update OS, antivirus, pas RDP exposé.

JWT = stateless, idéal pour API/microservices, mais plus gros à chaque requête + révocation difficile. Session = stockée serveur, plus sûr mais moins scalable. Hybride: courte session + JWT refresh = best practice.

Si tu dois donner ton password à chaque app = disaster (app malveillante la vole). OAuth2 = tu autorises l'app sans donner ton password (Google/GitHub/Discord handles l'auth). Plus sûr, plus simple, revoquable.

Au moins 2 'facteurs': quelque chose que tu SAIS (password) + quelque chose que tu AS (téléphone, clé hardware) + quelque chose que tu ES (empreinte). 2FA courant: password + app TOTP (Google Authenticator). Physique: clés Yubikey (plus dur à hacker).

Finds a faille → préviens l'entreprise EN PRIVÉ (pas Twitter) → 90j pour fixer → tu peux publier. Pas de disclosure irresponsable (casser leurs serveurs). Platforms: HackerOne, Bugcrowd pour les officiels. Reward: 100€ à 100k€+ dépend de la faille.

Toi → message chiffré avec clé publique du destinataire → serveur reçoit du charabia → destinataire déchiffre avec sa clé privée. Le serveur ne peut PAS lire. Signal, ProtonMail = exemples. Slack, WhatsApp (paradoxe) = disent que c'est end-to-end mais...

RSA = basé sur factorisation (dur de factoriser gros nombres). EC = courbes elliptiques (même sécu avec clés plus courtes, plus rapide). EC c'est l'avenir. Mais pour 99% des gens : c'est du détail. Utilise ce que ton outil propose.

Oui, potentiellement. Les algo de chiffrement actuels (RSA, ECDSA) = cassables par un quantum computer assez puissant. Mais on a pas ça aujourd'hui. Les gouvernements y travaillent (post-quantum cryptography). Pour aujourd'hui? T'es safe. Demain? À voir.

GitHub: regarde les 'good first issues' de projets comme Signal, Tor, cryptography libs. Ou audit du code (cherche les bugs). Ou doc/tests. Ou même juste rapporter une vulnérabilité via responsible disclosure. Communauté = accueillante si tu es respectueux.

Chemin: 1) Réseau (TCP/IP, DNS, HTTP) → 2) Linux (shell, permissions, processes) → 3) Crypto (bases math) → 4) Développement (bugsy code) → 5) Pentest (outils, méthodologie). Ressources: TryHackMe, HackTheBox (capture flags), OSINT challenges, livres (Black Hat Python), YouTube, CTF competitions.

CEH = reconnue mais pas hardcore (juste connaissance). OSCP = respect (pentest hands-on, difficile). Security+ = basique. CompTIA 2FA = déjà OK pour beaucoup d'emplois. Regarde ce que tu veux faire: dev sécu → aucune cert, pentest → OSCP, IT classique → Sec+.

Blog (articles hebdo/bimensuel) → Wiki (dossiers techniques permanents, approfondis) → FAQ (tu es là). Les articles sont souvent des intros croustillantes, le wiki c'est la doc complète. Discord pour les discus en live.

Compte sur 1–2 articles/semaine + des mises à jour du wiki. Pas de contenu de la merde juste pour remplir. On privilégie la qualité mieux un super dossier tous les 10 jours qu'une vieille histoire chaque jour.

Lis d'abord: mots de passe robustes → authentification 2FA → VPN basique → chiffrement des données sensibles. Puis explore les articles 'débutant' du blog. Après 1 mois de lecture, tu vas déjà bien kiffer pourquoi ta grand-mère devrait faire pareil.

Un gestionnaire de mots de passe (Bitwarden = free, open-source). Ensuite, active 2FA partout (même ton email, surtout ton email). Ces deux trucs te protègent contre 80% des conneries.

Non. Un mot de passe d'acier + 2FA = oui. Juste un mot de passe = risque de breach (tes infos fuient du site, les hackers testent partout). 2FA te sauve même si le mot de passe is leaked.

GDPR = loi UE sur la protection des données. Si tu es en UE, tu as des droits: savoir ce qu'on a sur toi, le faire supprimer (droit à l'oubli), portable-data right, consentement explicite. Si une boîte viole = amende énorme. En pratique: demande tes données Google/Meta, c'est ton droit.

Google, Meta, Amazon = collectent, segmentent, vendent des profils aux marketeurs. Brokers de données (Clearview AI, brokers anonymes) = achètent de sites, revendent. Gouvernements = achètent ou demandent légalement. Solutions: adblockers, DNT headers, GDPR requests pour supprimer.

Ton téléphone/app envoie ton GPS en continu. Google/Apple savent où tu dors (domicile), travailles, dragues, médecins tu vas. Gouvernements l'achètent (ou demandent). Résultat: profilage de fou. Fix: location permission = toujours demander (pas 'toujours'), GPS off par défaut, VPN pour brouiller.

AnonSecLab est un collectif focalisé sur la cybersécurité, l'opsec, le networking, et les techniques de renseignement numériques (OSINT). On décortique les menaces, on partage des méthodes éprouvées, et on donne les outils pour se protéger ou comprendre comment les attaquants bossent. Zéro compromis sur la privacy.

Pas exclusivement. On y parle de cybersec au sens large : protection perso, comprendre les risques, tech de chiffrement, réseau, architecture. Si tu fais du pentest pro, de la sécurité défensive, ou tu veux juste sécuriser ta vie numérique bienvenue. Les hackers au sens créatif/curieux aussi.

Non. Certains dossiers sont ELI5 (explique-moi comme j'ai 5 ans), d'autres vont en profondeur technique. On marque toujours le niveau de difficulté. Si un truc n'est pas clair, demande sur Discordles gens kiffent expliquer.

Un site demande 'entrez le pseudo' → tu mets ' OR '1'='1 → soudain tu as accès à la base de données. L'app n'a pas filtré ton input. Résultat: tous les passwords leakent. La fix: prepared statements, valider les inputs, jamais concaténer du SQL avec du user input.

XSS = Cross-Site Scripting. Un site laisse injector du JavaScript → tu mets <script>alert('hacked')</script> → boom, ça s'exécute. Un attaquant peut voler des sessions, crédits, etc. Fix: échapper le HTML, utiliser des templates sûrs (JSX, Vue templates), CSP headers.

1) Authentification (JWT, OAuth2) 2) Rate-limiting (pas 1M requêtes/sec) 3) CORS bien configuré 4) Valider/filtrer TOUS les inputs 5) HTTPS obligatoire 6) Logger les accès suspects 7) Versioning + deprecate progressivement 8) Secrets en variables d'env, jamais en code.

CSRF = Cross-Site Request Forgery. Un site malveillant envoie des requêtes à ta banque en ton nom (si t'es loggé). Exemple: <img src='https://bank.com/transfer?to=hacker&amount=1000'>. Fix: tokens CSRF uniques, vérifier l'origin, SameSite cookies.

Oui. Rust force à gérer la mémoire proprement (ownership, borrow checker). Pas de buffer overflows, use-after-free, data races = gros problèmes en C/C++. Rust = plus dur à apprendre mais code plus sûr par défaut. Les crypto libraries critiques vont vers Rust.

Tu utilises une lib tierce → elle a une faille de sécurité → tout ton projet est en danger. Tools: npm audit, snyk, OWASP Dependency-Check. Regarde régulièrement les CVE de tes dépendances. Mise à jour = primordiale mais test d'abord (ça peut break ton code).

1) Code review (des yeux humains) 2) SAST = scanner statique (SonarQube) 3) DAST = tester dynamiquement (ZAP, Burp Suite) 4) Dépendances (npm audit, snyk) 5) Test de pénétration manuel 6) Fuzz testing (envoyer du bruit au hasard) 7) Load testing (ça crash pas sous attaque ?). Pas un seul outil suffit.

JAMAIS en texte brut. Solutions: variables d'environnement (.env, .env.local), secret managers (Vault, 1Password Business, AWS Secrets Manager). En production: gestionnaire dédié. En dev: fichier .env localement, jamais commit sur Git. Même pour les keys 'publiques' (client-side) = une mauvaise idea.

Petit appareil USB/NFC. Quand tu te login, tu appuies sur le bouton → 'oui c'est moi'. Pas de code à entrer (donc pas vulnérable aux keyloggers), pas de téléphone à hacker. Meilleure défense contre le phishing + password leaks. Un peu cher mais worth it.

Pas nécessaire pour la sécu, mais ça coupe l'attaque de surface (réseau moins accessible). L'électricité c'est l'intérêt vrai. Si t'utilises un VPN perso sur le routeur (Pi-hole, WireGuard) = bon move. Sinon, pas critique. Mais c'est cool pour la batterie de vie privée.

SSH key pair = public key (partage-la) + private key (toi seul). Au lieu d'envoyer un password (peut être intercepté/brute-forcé), tu prouves que tu as la clé privée. Plus sûr, plus rapide. Linux/Mac: ssh-keygen, Windows: PuTTY ou clés Git GitHub.

Oui. Quelqu'un sur le même réseau peut sniffer le trafic (même en HTTPS ça dépend), faire du MITM, injecter du code. Solution: ne JAMAIS brancher sans VPN, utiliser HTTPS toujours, 2FA pour les logins sensibles. Oublie la banque sur Starbucks.

50/50. Oui, gouvernements + corps pistent ta vie. Oui, une breach = disaster. Mais 99% des gens = pas ciblés individuellement. Balance: bon sense (2FA, unique passwords, updates) vs paranoia (Faraday cage). La majorité bénéficie de saine opsec, pas de délire total.

Friction: 2FA = 1 seconde supplémentaire × 100 logins = énervant. Passwords complexes = dur à mémoriser. Privacy = invisible (tu notifies pas que tes data vont où). Éducation = faible. Tant que pas de pain, ça intéresse pas les gens. Vrai problème = UX + incentives.

Analogies: mot de passe = clé maison, 2FA = serrure + caméra, VPN = tunnel privé, chiffrement = enveloppe scellée. Montre des exemples: 'ta voisine a été hacké et elle a perdu 1000€'. Pas de jargon. Commence par: password + 2FA sur email. Le reste attend.

Limiter les permissions d'apps, utiliser un navigateur configuré pour la privacy, activer DoH/DoT, préférer services privacy-first, et nettoyer régulièrement métadonnées et traces publiques.

Règle 3-2-1: 3 copies, 2 supports différents, 1 hors-site. Testez la restauration, chiffrez les sauvegardes et automatisez le processus pour éviter les oublis.

TryHackMe, HackTheBox, CTFs, livres de référence, documentations officielles, et communautés (GitHub, forums, Discord). Commencez par les bases réseau/Linux puis montez la complexité.

Appliquer les mises à jour automatiques, désactiver les services non utilisés, utiliser des comptes sans privilèges pour les tâches quotidiennes, activer un pare-feu local (ufw/iptables) et surveiller les logs. L'usage de clés SSH et la rotation des credentials sont essentiels.

Principes: least privilege, séparer les rôles, utiliser sudo plutôt que des root-shells, auditer les binaries setuid et appliquer des politiques AppArmor/SELinux lorsque possible.

Linux = plus transparent (open-source), tu contrôles plus (permissions, firewall, updates). Windows/Mac = propriétaires. Mais 'Linux' = juste le kernel, la sécu dépend de la distribution + tes choix. Une distro durcie (Qubes, Fedora Silverblue) > Windows standard. Mais un Windows bien configuré > Linux négligé.

Qubes = OS ultra-sécurisé: chaque app = VM isolée (si une app pwned, les autres safe). Édith Snowden l'utilise. Très sûr mais complexe/lent. Pour: journalistes, activistes, parano max. Pas pour gaming/casual.

SELinux = contextes de sécurité (granulaire mais complexe). AppArmor = profils simples (l'app A peut juste accéder à /var/log). Deux approches pour isoler les apps de l'OS. Améliore la sécu mais c'est technique. La plupart des distros = pas configuré à fond.

Zéro. On explique comment ça marche pour que tu te protèges et que tu comprennes les risques. Savoir qu'une faille existe ≠ l'exploiter. On suit les lois, on respecte l'éthique hacker (pas de dégâts, responsabilité disclosure). Dox/piratage = pas notre délire.

Oui et non. Chiffrer tes comms = légal. Utiliser un VPN = légal. Mais si tu commets un crime derrière c'est une crime. L'opsec, c'est surtout pour protéger ta privacy contre les spammeurs, les gouvernements, les corpos. C'est pas un passe-droit.

L'OSINT = Open Source Intelligence, c'est du renseignement via sources publiques (Google, LinkedIn, Twitter, etc.). Complètement légal. Utiliser ces infos pour traquer quelqu'un = problème. On parle jamais de dox ici on parle d'infosec intelligente.

Partiellement. Antivirus détecte les virus 'connus' (signatures). Malware 'zero-day' = pas détecté. Meilleure défense: comportement sain (pas télécharger des .exe aléatoires), update OS/apps, navigateur en bac à sable. Les antivirus = couche supplémentaire, pas salut.

Malware qui chiffre tes fichiers, demande rançon pour la clé. Tu peux perdre tout. Prévention: sauvegardes offline (disque externe), pas d'admin privileges quotidien, email caution (attachements + liens), pas de RDP exposé sur internet. Si attaqué: pas payer (60% des fois pas de clé), restaurer des backups.

Virus = se copie à lui-même (besoin d'un host). Vers = se propage seul (ex Conficker). Trojan = se fait passer pour quelque chose d'utile (tu l'installes volontairement). En pratique, la différence = académique. Le résultat = ton ordi est pwné.

Signal = E2E par défaut, open-source, pas de serveur à l'état. Telegram = chiffré optionnel (secret chats), crypto propriétaire. WhatsApp = E2E (Signal algo!) mais Facebook le possède (privacy policy = chelou). Pour privacy absolue: Signal. Pour fun: n'importe lequel tant que E2E activé.

Non. Email classique = texte brut, tout le monde le voit (FAI, serveur email, MTA, destinataire). Solution: PGP/GPG (encrypt des emails individuels, durée vie courte) ou ProtonMail (E2E par défaut, mais juste ProtonMail à ProtonMail si pas chiffré spécialement). Pas d'email = vraiment sûr à 100% par défaut.

Signes: navigateur bizarre (homepage change), pop-ups, slow performance, factures inattendues, emails de password reset que tu as pas demandé, comptes avec des activités que tu reconnais pas. Check: Have I Been Pwned (met ton email), regarder les logs de compte (Discord, Google, GitHub login activity).

Si ton identité peut être volée (data breach), oui. Credit freeze = les services de crédit demandent un PIN avant d'ouvrir un compte en ton nom. Gratuit, réversible. Équivalent EU: monitoring crédit. Dossier = déclarer à la police, contacter les créditeurs.

Gratuit: Have I Been Pwned, Firefox Monitor. Payant: 1Password, Dashlane (alerte si email dans breach). C'est utile mais faut pas espérer un salut magique. La vraie défense: 2FA partout (leak = moins grave) et unique passwords (Bitwarden).

Firefox (open-source, bonne config possible) > Brave (Chromium mais privacy-first) > Chrome (Google le possède, regarde tout). Safari (Apple) = OK si macOS/iOS. Opera/Edge = non. Pimpe Firefox avec uBlock Origin, HTTPS Everywhere, Privacy Badger, NoScript.

Oui. Une extension = accès à tes données, clics, keystroke, historique. Malveillantes deviennent rares (les stores vérifient) mais ça existe. Rule: installer que des extensions populaires/vérifiées, vérifier permissions avant install, réduire le nombre. Un script-blocker (NoScript) = juste dire non au JS random.

Mode incognito = ne sauvegarde pas l'historique/cookies localement. Mais ton FAI/ISP voit toujours où tu vas, le site voit toujours ton IP. C'est juste pour éviter que le coloc trouve tes trucs. Pour privacy vraie: VPN + Tor + navigateur hardened.

OSINT = Open Source Intelligence. Trouver des infos sur quelqu'un/quelquechose avec des sources publiques (Google, métadonnées de photos, réseaux sociaux, whois, etc.). Complètement légal. Le dox c'est de l'OSINT devenu malveillant + traçage IRL. Nous, on parle infosec, pas chasse aux sorcières.

Google (opérateurs: site:, intitle:, filetype:) → Shodan (cherche des devices/serveurs) → Whois (infos domaine) → Reverse image search → Wayback Machine (archive web) → DuckDuckGo. Combine-les = résultats dingues. Pas besoin d'outils payants complexes.

Oui. Une photo contient souvent EXIF = localisation GPS, appareil, date, etc. Si tu posts une photo sur Instagram et quelqu'un l'extrait, ils ont ton adresse. Solution: utiliser des outils pour stripper EXIF avant de poster, ou les désactiver directement.

Anonymise-toi: pas de photos reconnaissables, pseudo différent par service, info fake sur réseaux sociaux, requête GDPR pour supprimer tes infos des moteurs de recherche. Utilise un VPN + ad-blocker + script-blocker (uBlock Origin). Suis pas les liens 'trop beaux' (phishing). Regarde tes paramètres de confidentialité.

Souvent oui, si le pseudo est utilisé partout (Reddit, Twitter, GitHub, Discord). Combine les profils = dates de création, images, bios, liens, amis → portrait du personnage. Reverse email search aide aussi. La 'vraie' anonymité = pseudos différents par plateforme + infos inconsistentes.

Utiliser gestionnaire de mots de passe, activer 2FA, vérifier les permissions des apps, minimiser les traces publiques (pseudos séparés), et éviter de réutiliser des identifiants. Faire des sauvegardes chiffrées et limiter les données partagées.

Le pentest est une évaluation contrôlée d'une surface d'attaque pour identifier des vulnérabilités avant des acteurs malveillants. Il suit une méthodologie (reconnaissance, exploitation éthique, rapport et remediation) et doit être autorisé par contrat.

Web: applications et API; IoT: firmware, interfaces matérielles et mise à jour; Réseau: protocoles, infra et équipements. Chaque champ nécessite des outils et des contrôles spécifiques, ainsi qu'une approche éthique et légalement encadrée.

Vérifier l'URL (https://genuine-amazon.com vs https://genu1ne-amazon.com), pas de clic sur liens email (aller directement sur le site), vérifier l'expéditeur (vraie adresse?), la grammaire (souvent mauvaise), urgence artificielle ('agis maintenant!'), demander des passwords. Doute? Appelle directement l'entreprise.

Hack l'humain au lieu de la tech: appel en se faisant passer pour IT, email urgent de 'la banque', prétendre être un fournisseur. Marche parce qu'on est habitué à faire confiance. Défense: jamais divulguer d'infos perso par téléphone/email, vérifier les sources, penser d'abord.

Formation (95% des breaches = erreur humaine). Email filtering (détecter domaines similaires). 2FA (même si password leaks). DMARC/SPF/DKIM (vérifier que l'email est vraiment de nous). Pas de liens directs dans les emails (rediriger vers le site). Déclarer phishing = récompense.

Les pubs = parfois malveillantes (malvertising: pubs = malware). Les trackers = te suivent partout. Ad-blocker + tracker-blocker (uBlock Origin, Ghostery) = plus rapide, plus sûr, plus privé. Bonus: sites chargent 3x plus vite.

Cookies = petits fichiers stockés sur ton navigateur pour 'mémoriser' ton login/préférences (utile). Mais tracking cookies = te suivent partout (mauvais). Solution: accepter que les essentiels, utiliser un gestionnaire de cookies (Cookie AutoDelete), ou navigation privée. Un cookie à lui seul = pas dangereux, l'aggrégation = oui.

Fingerprinting = ils tracent ta résolution écran, timezone, fonts, user agent, plugins, comportement souris → profil unique de toi. Pixel trackers = image 1x1 invisible qui envoie ta visite. Local storage + iframes tierces. Solutions: NavigatorBadDefaults, extensions anti-fingerprinting, Tor pour l'anonymat max.

Quantum computers = casse RSA/ECDSA. Post-quantum crypto = algos qui restent sûrs même contre quantum (lattice-based, hash-based). NIST sélectionne les standards (2022). Pour aujourd'hui: pas urgent. Demain: chiffrement courte-durée peut être un risque (harvest now, decrypt later).

Pas de panic. Les créateurs de standards sont dessus. Si tu stockes des données ultra-secrètes 20+ ans → considère chiffrer deux fois (courante + post-quantum algo). Sinon: watch et stay educated. Rust crypto libs adoptent ça déjà (dalek, rustcrypto).

L'informatique quantique utilise les qubits et la superposition pour résoudre certains problèmes plus efficacement que les ordinateurs classiques, notamment en cryptanalyse et simulation de systèmes quantiques. La technologie est encore naissante mais progresse rapidement.

Certains algorithmes (RSA, ECDSA) sont vulnérables à des attaques quantiques, mais la cryptographie post-quantique se développe pour remplacer ces primitives. La transition prendra des années et la recherche propose déjà des alternatives standards.

Actuellement: démonstrations, simulations chimiques limitées et recherche. Les machines commerciales n'ont pas encore la puissance pour casser la cryptographie à grande échelle; la plupart des usages pratiques sont encore expérimentaux.

Oui: les intuitions sur réalité, mesure et causalité ont inspiré débats philosophiques (interprétations de la mécanique quantique). Ces discussions enrichissent la pensée critique mais ne remplacent pas la méthode scientifique.

Commencez par des introductions accessibles, puis livres universitaires. Recommandés: 'Quantum Mechanics' (Griffiths) pour technique, et des ouvrages populaires pour intuition; compléter avec cours en ligne et articles de revue.

Segmenter le réseau (VLANs, sous-réseaux, DMZ) limite la surface d'attaque et contient les incidents. Séparez les systèmes critiques, appliquez des ACL strictes et surveillez les flux entre segments via logs et IDS.

Déployer RPKI/ROA, monitorer les annonces BGP et utiliser des fournisseurs CDN capables d'absorber l'irrégularité. La détection précoce et la relation avec les upstreams réduisent l'impact des détournements.

7 couches: Physique → Lien → Réseau (IP) → Transport (TCP/UDP) → Session → Présentation → Application (HTTP, DNS). Chaque couche a ses risques. Attaque couche 2 (ARP spoofing) ≠ couche 7 (SQL injection). Comprendre l'OSI = comprendre où/comment se défendre.

Adresse IP = l'adresse de ton device sur internet, comme une adresse postale. Tout ce que tu fais en ligne revient à cette IP. Les sites la voient, ton FAI la voit, les hackers peuvent te doxxer avec. VPN → cache ton IP réelle derrière une autre.

DNS = tu demandes 'où est google.com ?' et le serveur répond 'c'est à 142.251.33.14'. Mais le serveur DNS voit TON IP + ton historique de requêtes. Donc c'est espionnage banal. Solution: DNS-over-HTTPS ou Tor.

BGP = Border Gateway Protocol, c'est le protocole qui dit 'ce réseau est à tel endroit'. Mais il fait confiance aveuglément (pas d'auth) → quelqu'un peut dire des mensonges et intercepter du trafic intercontinental. Des pays l'exploitent. Fixe: RPKI, mais c'est lent à se mettre en place.

HTTP + TLS = HTTPS. TLS = chiffre ton trafic entre toi et le serveur (le FAI voit que tu visites le site, pas ce que tu fais dedans). Certificat SSL = prouve que tu parles au vrai Google, pas un imposteur. Sans ça, c'est du clair. Toujours HTTPS.

Self-hosting = tu héberges tes services chez toi/VPS perso (Nextcloud, Synapse/Matrix, Pi-hole, etc.) au lieu de Google/Cloud. Plus privé (tes données ≠ sur les serveurs de big tech). Mais: tu maintiens la sécu (updates, backups, firewall). Pas pour tout le monde, mais possible.

Nextcloud = drag-drop (Docker), vous héberge les fichiers/calendar/contacts. Collabora Online = Office online. Matomo = analytics sans tracking (au lieu de Google Analytics). Oui, c'est du travail (update, backup, troubleshoot) mais doable même pour débutants via Yunohost (interface simple).

Oui. Pi-hole = Raspberry Pi + logiciel = DNS local filtrant les pubs/trackers pour tout ton réseau. Ou Adguard Home (plus simple). Ou même un VPN sur ton routeur (WireGuard). Setup = 1h, résultat = pas de pub sur aucun device du réseau.

Vérifiez les sources, recherchez des preuves indépendantes, méfiez-vous des récits qui expliquent tout avec un seul coupable, et privilégiez les publications scientifiques et journalistes reconnus. La pensée critique et la vérification multi-sources sont essentielles.

Reverse image search, métadonnées EXIF (si disponibles), vérification de la source et de la chronologie, et outils de fact-checking. Pour les vidéos, comparer les frames et vérifier la piste audio aide à détecter les manipulations.

La manipulation cognitive exploite biais, émotion et répétition pour faire accepter des idées. Se protéger: diversification des sources, pause critique avant de partager, vérifier les faits et comprendre les mécanismes émotionnels en jeu.

Algorithmes recommandent du contenu basé sur l'engagement, ce qui peut amplifier les récits polarisants et faux. Comprendre le modèle d'engagement et diversifier volontairement les sources réduit cet effet.

C'est complexe: combinaison d'éducation, outils techniques (détection automatique), politiques publiques et responsabilité des plateformes. La prévention par l'éducation critique reste la mesure la plus durable.

Non, c'est un piège courant. Un VPN cache ton IP du site que tu visites (le site voit l'IP du VPN, pas la tienne). Mais le fournisseur VPN voit où tu vas. Et ton navigateur, tes cookies, ton OS... te trahissent quand même. VPN = étape 1, pas la solution magique.

On recommande pas de VPN spécifique (c'est une affaire perso). Mais les critères: open-source (Wireguard idéal), no-log policy vérifiée légalement, basé hors de États-Unis, et pas gratuit (les VPNs gratuits vendent tes data). Mullvad, Proton VPN = bonnes options.

VPN = tunnel chiffré entre ton device et serveur VPN (rapide, bon pour quotidien). Proxy = juste le routage, pas de chiffrement obligatoire (obsolète sauf SOCKS5). Tor = chaîne de 3+ relais avec chiffrement en oignon, ultra-sûr mais lent. Tor pour l'anonymat hardcore, VPN pour la vie de tous les jours.

Activer les mises à jour automatiques, usage d'un compte non admin pour l'usage courant, activer BitLocker pour le disque, et conserver des sauvegardes hors-ligne. Utiliser Defender + règles d'application pour réduire le risque d'exécution de code non fiable.

Limiter les droits des comptes, segmenter le réseau, appliquer des politiques d'exécution (AppLocker), tenir les logiciels à jour et éduquer les utilisateurs contre le phishing. Les sauvegardes immuables facilitent la récupération.

Hollywood lie. Y a des hackers talentueux mais personne peut vraiment 'tout hacker'. Un cryptographe fort = tu peux rien faire (Tinfoil hat). Des backdoors existent (NSA/CIA) mais c'est pas un hacker random. La réalité = 95% des breaches = human error ou weak passwords.

Probable via NSA/GCHQ (documents Snowden = Prism, etc.). Mais pas 'universelle'. Plus comme: accès sélectif (via ISP, serveurs), pression sur les compagnies (Apple, Microsoft), légal warrants (ex: FBI vs iPhone). Chiffrement fort = assez + pour toi vs govs. Vs NSA = difficile.

Nope. Chiffrement E2E = même govs peuvent pas lire. Tor = anonyme pour la plupart. Problème = 'internet' = juste une partie (darknet existe, air-gapped networks existent). Public web = oui, tes trucs sont partout. Mais 'rien de secret' = peur-mongering.