Préparez-vous à une avalanche de nouvelles failles CPU !

Six autres failles matérielles seraient en cours d’analyse chez Intel. Quatre d’entre elles présenteraient un risque de sécurité élevé. Leur publication serait prévue d’ici au mois d’août.

Intel, ARM et consorts viennent de dévoiler deux nouvelles failles qui touchent un grand nombre de processeurs, mais dont le niveau de risque reste somme toute modéré. En réalité, il ne s’agit là probablement que du prélude d’une avalanche de nouvelles failles matérielles, dont certaines pourraient avoir un impact bien plus élevé. Début mai, le magazine allemand c’t avait révélé qu’Intel planchait sur huit nouvelles failles matérielles en plus des trois que l’on connaissait déjà (Meltdown, Spectre 1, Spectre 2). Deux des nouvelles failles venant d’être dévoilées, il en reste donc encore six à venir. La publication de ces failles serait prévue d’ici au mois d’août.

À lire : Pourquoi la faille Spectre continuera longtemps de hanter nos processeurs

Alerte sur les services cloud

Évidemment, aucune information technique précise n’est disponible à ce jour sur ces nouvelles failles. Mais selon c’t, deux seraient cataloguées avec un risque de sécurité moyen et quatre avec un risque élevé. Parmi les failles les plus critiques, l’une permettrait d’exécuter aisément du code malveillant dans une machine virtuelle et, à partir de là, d’attaquer le système hôte. Un scénario qui pourrait particulièrement fragiliser les services cloud de type Amazon, Google ou Cloudflare. Pour l’industrie informatique, l’été risque donc d’être particulièrement chaud.
En tous cas, cette nouvelle fournée confirme ce que bon nombre d’experts avaient déjà prédit : Meltdown et Spectre n’étaient que le début d’une longue série de révélations. D’une certaine manière, c’est assez logique. Pendant des dizaines d’années, les fabricants de puces n’ont pas suffisamment pris en considération les éventuels problèmes de sécurité de leurs architectures. Ils doivent maintenant payer les pots cassés. Et nous aussi.

 

 

REF.:

FontCode, un subtil moyen de cacher un message secret... dans une police de caractères

Des chercheurs ont trouvé un moyen d’encoder un message dans les variations graphiques des lettres d’un texte. Subtil et efficace.

Un groupe de chercheurs de l’université américaine de Columbia vient de présenter une nouvelle technique de stéganographie. Pour rappel, cet art mathématique permet de dissimuler des messages dans un autre, l’exemple le plus courant étant de les cacher dans des fichiers d’image ou de son. Ce que l’on peut faire avec des logiciels open source tels que Anubis ou OpenStego. Même les pirates commencent à utiliser la stéganographie pour diffuser leurs malwares.
Baptisée FontCode, cette nouvelle technique encode le message secret dans des variations graphiques subtiles des caractères. Pour chaque lettre d’une police donnée, Times New Roman par exemple, les chercheurs vont établir une série de variantes que l’on pourra associer à des chiffres. En fonction du message secret à dissimuler, FontCode remplacera alors chaque caractère par l’une de ces variantes.

Le résultat final pourra être sauvegardé sous la forme d’un document PDF ou d’une image. Le texte peut également être imprimé sur un support papier sans que l’encodage en soit affecté. Pour décoder le message, il suffit de faire analyser le fichier par un logiciel dédié. Dans le cas d’un support imprimé, le destinataire du message peut également le scanner au travers d’un smartphone. Dans les deux cas, la reconnaissance des différentes variantes s’appuie sur des algorithmes d’apprentissage automatique, en occurrence un réseau neuronal convolutif. Les chercheurs ont diffusé en ligne une démonstration vidéo de leur nouvelle technique.

La quantité de données que l’on peut intégrer dépend évidemment de la longueur du texte initial. Un texte d’environ 40.000 caractères permet de dissimuler environ 70 kilobits de données. Ce n’est pas énorme, mais suffisant pour diffuser un message secret. Les cas d’usage de FontCode sont d’ailleurs multiples. Le plus évident est celui de pouvoir créer un canal de communication secret entre plusieurs personnes. Ceux-ci pourront même aller jusqu’à chiffrer le message caché, à condition qu’ils se mettent d’accord sur une clé commune.
FontCode peut également servir pour intégrer de manière invisible des métadonnées pour apporter des informations sur le texte et/ou l’auteur ou simplement insérer un lien hypertexte façon QRCode. FontCode permet également d’insérer un tatouage numérique pour lutter contre le piratage ou une signature numérique pour garantir l’authenticité du texte et lutter contre des falsifications.

 

 

REF.:

Sécurité Internet: un guide de l'utilisateur avancé pour rester en sécurité en ligne mot de passe

REF.: Jon Porter
Il existe de nombreuses mesures simples que vous pouvez prendre pour protéger votre vie privée en ligne. Passez quelques minutes maintenant à vous mettre en place, et vous ne vous inquiéterez plus jamais.Vous aurez souvent entendu parler de l'importance de protéger votre vie privée et votre sécurité en ligne. Vous ne laisseriez pas votre numéro d'identification personnel, alors pourquoi joueriez-vous vite avec vos mots de passe en ligne alors qu'ils peuvent donner accès aux mêmes comptes bancaires?Heureusement, être un peu plus en sécurité en ligne n'est pas aussi compliqué que cela puisse paraître au premier abord. La plupart des étapes que nous avons décrites ci-dessous prennent quelques minutes pour se terminer, après quoi vous pouvez continuer votre vie comme d'habitude.Après avoir dressé la liste des étapes recommandées, nous nous sommes entretenus avec l'expert en cybersécurité Ed Williams, qui dirige les SpiderLabs à Trustwave EMEA. Ed a passé la meilleure partie de la décennie à faire des tests de pénétration et de consultation pour diverses organisations gouvernementales et privées.Sans plus tarder, voici les mesures les plus efficaces que vous pouvez prendre pour rester en sécurité en ligne.1) Utilisez un gestionnaire de mots de passeClassement d'efficacité d'Ed Williams - 5/5De toutes les étapes que vous pouvez prendre dans notre liste, un gestionnaire de mot de passe est le plus efficace. Lors du test de vulnérabilités, les mots de passe faibles sont la première chose que Williams et son équipe attaquent, car beaucoup de gens utilisent soit des mots de passe faciles à deviner, soit des mots de passe utilisés sur plusieurs comptes en ligne.«Moi, par exemple, j'utilise de 20 à 30 mots de passe par jour et je suis sûr que la plupart des gens sont les mêmes, alors avoir quelque chose qui gère tout cela et s'assurer que ces mots de passe sont partagés est vraiment important. .Un gestionnaire de mot de passe est important parce que l'utilisation du même mot de passe pour chaque site Web est incroyablement peu sûre. Les chances qu'Amazon soit piraté et que le mot de passe de votre compte soit volé est assez faible. Mais si vous utilisez le même mot de passe pour un site beaucoup plus petit et moins sécurisé, un pirate pourrait facilement accéder à votre compte Amazon de cette façon.Un gestionnaire de mots de passe résout ce problème en facilitant la création d'un mot de passe unique et sécurisé pour chaque site. Il s'en souvient alors pour vous et vous permet d'y accéder à partir de n'importe quel appareil dont vous avez besoin.Vous avez quelques options si vous voulez commencer à utiliser un gestionnaire de mot de passe. LastPass est le gestionnaire avec lequel nous avons le plus d'expérience, mais consultez notre guide complet ci-dessous pour tous nos meilleurs choix.Connexe: Meilleur gestionnaire de mot de passeUne fois que vous avez défini votre gestionnaire de mots de passe, vous devez importer tous vos mots de passe, parcourir votre liste et générer des mots de passe uniques pour tous les comptes qui utilisent exactement les mêmes informations de connexion.Cela prend un peu de temps, mais une fois que tout est configuré, votre gestionnaire de mot de passe vous aidera à créer un nouveau mot de passe que vous n'avez pas utilisé ailleurs.Enregistrez-vous pour recevoir le bulletin d'informationsRecevez des nouvelles, des concours et des offres spéciales directement dans votre boîte de réceptionVotre adresse email:Montre plusLe dernier point est de s'assurer que votre «mot de passe principal» - que vous utilisez pour déverrouiller votre gestionnaire de mot de passe - est aussi sécurisé que possible. Nous recommandons la méthode Diceware pour générer un mot de passe à la fois fort et raisonnablement facile à retenir.Pour l'amour de Dieu, s'il vous plaît ne réutilisez pas votre mot de passe tout.2) Activer l'authentification à deux facteursClassement d'efficacité d'Ed Williams - 5/5Avec un mot de passe fort et unique, l'authentification à deux facteurs (2FA) est un must si vous voulez rester en sécurité.«Si vos mots de passe sont compromis pour une raison ou une autre, que ce soit un site compromis ou que vous ayez glissé, ce deuxième facteur d'authentification rend l'accès à votre compte beaucoup plus difficile», explique Williams.Vous savez quand vous essayez de vous connecter à un service et qu'il vous envoie un SMS avec un code que vous devez entrer? C'est une authentification à deux facteurs, qui empêche quiconque d'accéder à votre compte, même s'il a trouvé votre mot de passe.Cela dit, si vous utilisez toujours des SMS pour obtenir vos codes, vous vous exposez à une vulnérabilité assez sérieuse.Google Authenticator est une excellente application gratuite pour tous vos besoins d'authentification à deux facteursComme l'explique Williams, «vous ne devriez pas utiliser l'authentification à deux facteurs avec SMS parce que SMS n'est pas un protocole sécurisé.» Cela rend potentiellement votre code vulnérable aux snoopers.Au lieu de cela, il est préférable d'utiliser une application d'authentification dédiée, et il y a beaucoup d'options disponibles. Williams recommande Google Authenticator pour sa simplicité, mais nous aimons aussi Duo car certains sites supporteront les notifications push, ce qui réduit considérablement le temps de connexion.Pour vous familiariser avec ces applications, il vous suffit d'utiliser l'application pour scanner un code QR sur le site Web sur lequel vous souhaitez activer 2FA, et de rechercher les détails d'authentification à deux facteurs du site Web à l'aide de Google.
 
Si vous vous êtes déjà connecté avec 2FA une fois, la plupart des sites vous permettront d'enregistrer votre navigateur pendant un certain temps, ce qui signifie que vous n'aurez pas à chercher constamment votre téléphone juste pour obtenir sur Twitter.

3) Obtenez votre navigateur mis en place pour security

Ed classement de l'efficacité de Williams - 3-5 / 5

Le navigateur est votre passerelle vers l'Internet, il est donc logique de le rendre aussi sécurisé que possible. Il existe des navigateurs sécurisés spécialisés là-bas comme Tor ou Avast Secure Browser, mais quand nous avons demandé à Williams à propos de ces derniers, il pensait que la plupart des utilisateurs seraient mieux servis en mettant en ligne leur navigateur favori avec des extensions soigneusement sélectionnées. Vous devrez peut-être obtenir une extension qui fait tout, ou choisir une extension distincte pour chaque tâche. Un couple de ces paramètres peut être géré avec le navigateur lui-même, sans avoir besoin de logiciel tiers.

 Le plus important est de bloquer automatiquement les logiciels tiers comme Flash et Javascript (une décision que Williams classe 5 / 5 pour l'efficacité). De nouvelles vulnérabilités de sécurité sont constamment découvertes dans ce genre de logiciel, et même si elles sont souvent corrigées, vous pouvez toujours vous trouver exposé. Williams avertit même que ces plugins peuvent être compromis dans la mesure où ils permettent à quelqu'un de prendre le contrôle de votre ordinateur portable .
Ceci est un paramètre que vous pouvez changer depuis Chrome ou Firefox, et vous devriez toujours avoir votre navigateur configuré pour bloquer les plugins par défaut. Certaines applications Web utiles en dépendent, mais dans ces cas, il est toujours préférable de les activer individuellement une fois que vous savez qu'ils utilisent le plugin pour un usage utile. 

La suite est un adblocker (que Williams donne 4.5 / 5) ) pour à peu près la même raison. Les publicités sont souvent la source de codes malveillants sur les sites Web, ce qui fait d'un adblocker un outil utile pour rester en ligne. Cela dit, une grande partie du Web repose uniquement sur la publicité pour générer des revenus, et le blocage de chaque annonce détruirait Internet. nous le savons. Heureusement, des extensions comme Adblock vous permettent de laisser passer des publicités jugées non-intrusives. Nous recommandons d'activer cette option.

 Le troisième changement de navigateur le plus important à faire est de le forcer à utiliser HTTPS plutôt que HTTP dans la mesure du possible (noté 4/5). HTTPS est un protocole beaucoup plus sécurisé pour naviguer sur le Web, mais de nombreux sites ne l'utilisent pas par défaut. Bien qu'il soit impossible de forcer chaque site à utiliser HTTPS, avec la bonne extension, vous pouvez vous assurer qu'il est toujours utilisé quand il y a une possibilité de le faire. Les deux dernières étapes que vous pouvez suivre sont plus optionnelles que nécessaires. vous pouvez toujours les trouver utiles. 
La première consiste à obscurcir les données de localisation (notées 3/5 par Ed). Lorsque vous vous déplacez sur Internet, il y a relativement peu de raisons légitimes pour qu'un site Web sache d'où vous y accédez (par exemple, Google Maps doit savoir où vous êtes pour fournir des instructions), il est donc préférable de laisser cela Par défaut, certaines extensions vous permettront de masquer plus d'informations à votre sujet, par exemple en masquant le type et la version du navigateur que vous utilisez. Oui, cela vous permet de vous anonymiser davantage en ligne, mais le bénéfice est minime à ce stade. C'est une longue liste de choses à accomplir, mais en fonction de ce que vous optez pour, vous pouvez les couvrir avec juste Nous avons d'abord aimé l'extension DuckDuckGo car elle inclut une grande partie de ce dont nous avons parlé plus haut, ainsi que quelques fonctionnalités supplémentaires comme le blocage des trackers publicitaires ("Vous pouvez simplement l'activer et ne pas trop y penser, "Dit Williams. Cela fonctionne bien, mais nous avons été frustrés par la façon dont il nous a forcés à utiliser le moteur de recherche de DuckDuckGo par défaut. Par conséquent, pour la majorité des options ci-dessus, nous vous conseillons de modifier vos paramètres Chrome ou Firefox. adblocker tiers comme Adblock sur le dernier navigateur. L'extension HTTPS Everywhere est une bonne option sur Chrome si vous voulez forcer les sites à supporter le protocole crypté dans la mesure du possible. 

4) Utilisez un classement sécurisé DNS
Ed Williams - 4 / 5
Vous n'avez peut-être jamais entendu parler de DNS auparavant. C'est l'une de ces parties incroyablement désagréables du fonctionnement du Web, et c'est essentiellement responsable de transformer les mots www.trustedreviews.com dans l'adresse IP spécifique qui permettra à votre navigateur d'afficher le contenu de notre site.Par défaut, vous êtes »Il y a eu un certain nombre de problèmes et un certain nombre de vulnérabilités autour du DNS au cours des 25 dernières années», explique Williams, «le problème est que le service DNS par défaut de votre FAI est très mauvais. raison principale pour cela est que tout est juste un texte clair, de sorte que les fournisseurs de services Internet sont grands organisations sont très rapidement capables de déterminer ce que vous regardez et ce que vous faites en ligne. »Heureusement, votre DNS est la chose la plus facile à résoudre au sujet de votre configuration Internet, et vous obtiendrez même un petit boost de vitesse le service.Cloudfire 1.1.1.1 DNS est une petite mais efficace mesure que vous pouvez prendre pour protéger votre vie privée en ligne.
Le service DNS qui fait des vagues récemment avec son engagement à la sécurité et la confidentialité est le service de CloudFire. L'adresse DNS principale que vous voulez utiliser ici est 1.1.1.1, tandis que la seconde est 1.0.0.1. Le propre service DNS de Google (8.8.8.8 / 8.8.4.4) cryptera également votre trafic, mais CloudFire s'est également engagé à purger ses journaux tous les jours afin de limiter la quantité de données qu'il détient au fil du temps. Le moyen le plus efficace de changer votre DNS les paramètres sont d'entrer dans les paramètres de votre routeur et de modifier les paramètres là. Vous pouvez vous connecter à votre routeur en entrant l'adresse IP généralement imprimée sur un autocollant sur le routeur et en accédant aux options avancées. Après ce point, tout appareil connecté à votre réseau domestique accédera à Internet via ce DNS sécurisé. Vous pouvez également modifier vos paramètres DNS appareil par appareil, ce qui est utile si vous avez un téléphone ou un ordinateur portable connecté à différents hotspots Wi-Fi tout au long de la journée. La modification de ces paramètres DNS varie en fonction de votre système d'exploitation. Il est donc préférable de rechercher vous-même ces informations.Sur toutes les options de cette liste, la modification de vos paramètres DNS prend le moins de temps possible. 

 Activer le classement de l'efficacité de votre antivirus
Ed Williams - 4 / 5
Utiliser une forme de logiciel antivirus est essentiel au moment où vous connectez votre ordinateur à Internet, mais Williams est moins convaincu que vous avez besoin d'installer des logiciels tiers en plus de ce qui est déjà construit dans votre système d'exploitation. »Il y a eu beaucoup de problèmes et beaucoup de vulnérabilités associés aux logiciels antivirus parce qu'ils créent une interface supplémentaire. Le logiciel antivirus devra fonctionner avec de gros privilèges sur votre machine, car il doit tout voir ", prévient Williams. "Personnellement, je m'en tiens à ce qui est intégré." Cependant, juste parce que votre système d'exploitation a un antivirus intégré, cela ne signifie pas que vous pouvez l'allumer et l'oublier.Il recommande de vérifier qu'il est configuré pour scanner tout votre ordinateur téléchargements à partir d'Internet, pour éviter que du code malveillant ne pénètre sur votre appareil. En outre, assurez-vous d'agir sur les notifications que votre système vous envoie.Comme Williams le dit, "Antivirus n'est pas une solution miracle, mais c'est mieux que rien de nos jours." 

6) Utilisez un VPN si Vous êtes sérieux
 Classement de l'efficacité d'Ed Williams - 2-3 / 5
VPN ont explosé en popularité ces dernières années, et avec raison. La technologie agit essentiellement comme un tunnel crypté, prenant votre trafic et le livrant partout dans le monde que vous avez spécifié. Si quelqu'un fouille sur votre trafic, il sera capable de voir que vous vous connectez à un VPN, mais Cependant, même si Williams reconnaît que les VPN sont très performants, il pense qu'ils sont moins utiles pour le consommateur moyen. "Je sais que les VPN sont très bons, mais sont-ils raisonnables pour la plupart des utilisateurs? Je dirais probablement qu'ils ne le sont pas ", prévient-il," si vous mettez tout le reste en place comme un gestionnaire de mots de passe et une authentification à deux facteurs, alors je dirais qu'un VPN est moins important. " À moins que vous n'utilisiez un VPN pour accéder à du contenu d'un autre pays, vous n'avez probablement pas besoin de vous en soucier pour protéger votre vie privée et votre sécurité en ligne.

Réflexions finales: 
Messagerie cryptée
De loin, nous avons principalement discuté des mesures que vous pouvez prendre pour naviguer sur Internet en toute sécurité, mais bien sûr une grande partie de ce que nous utilisons pour Internet est la messagerie, qui n'est pas nécessairement cryptée par défaut. La bonne nouvelle est qu'un nombre croissant d'applications de messagerie cryptent vos conversations. Le plus important d'entre eux est WhatsApp, qui offre un cryptage de bout en bout pour ses messages depuis 2016. Cela signifie que personne, pas même WhatsApp, ne peut voir ce que vous envoyez à vos amis. L'iMessage d'Apple est également crypté de la même manière.Si vous voulez une application de messagerie encore plus sécurisée, vous pouvez envisager d'utiliser Signal, qui non seulement crypte vos messages, mais supprime également vos métadonnées chaque fois qu'il le peut, offrant une couche supplémentaire d'intimité. Tout le monde utiliserait Signal, mais en réalité, vous aurez probablement besoin de faire des compromis afin d'être sur la même plate-forme que vos contacts. Dans ces cas, nous pensons que WhatsApp est un compromis acceptable. Essayez d'éviter d'utiliser des SMS pour envoyer des informations sensibles, car elles sont entièrement non cryptées. vous avez été prévenu.



REF.:

Lorsque Windows est planté ou ne démarre plus, il est plus difficile de récupérer la clé produit mais cela reste possible.
Vous souhaitez réinstaller Windows et vous avez besoin de la clé produit.
Dans cet article, vous trouverez plusieurs solutions afin de pouvoir récupérer la clé produit d’un Windows planté.
Quelques rappels, il existe déjà un article sur le site qui explique comment récupérer la clé produit de Windows depuis ce dernier : Comment récupérer la clé produit de Windows
Pour réinstaller Windows 8 et Windows 10, la clé produit n’est pas nécessaire, la licence se trouve dans le BIOS.
Le programme d’installation de Windows détecte, récupère la clé et active directement Windows.

Table des matières [masquer]

• 1 Comment récupérer la clé produit de Windows quand planté ou ne démarre plus
  • 1.1 CD Live Malekal
  • 1.2 Depuis GNU/Linux
• 2 Liens autour des clés produits de Windows

Comment récupérer la clé produit de Windows quand planté ou ne démarre plus

Plusieurs solutions sont données afin de pouvoir récupérer la clé produit de Windows.

CD Live Malekal

Le CD Live Malekal inclut les programmes ProductKey et ShowKeyPlus, cela est donc intéressant si vous devez récupérer vos clés Windows mais que ce dernier ne démarre plus.
L’outil peut extraire la clé Windows lorsqu’elle se trouve dans le BIOS de la machine.

En vidéo, récupérer sa clé Windows avec le CD Live Malekal, pratique dans le cas où Windows ne démarre plus et vous souhaitez réinstaller Windows sans avoir noté la clé avant.

Depuis GNU/Linux

Si vous avez un Dual-boot ou à partir du Live CD Ubuntu par exemple, il est possible de récupérer une clé produit avec Linux.
Pour cela, ouvrez un terminal puis saisissez la commande :

sudo cat /sys/firmware/acpi/tables/MSDM

Le modèle de l’ordinateur et la clé doit apparaître.
Dans certains cas, il faut saisir la commande suivante :

Liens autour des clés produits de Windows

Les liens autour des licences et activations de Windows.

• Licences et activation de Windows
• Comment sauvegarder sa licence OEM pour Windows 7 ou Vista
• Comment vérifier si Windows est authentique ou piraté

REF.:

Clé logicielle : Revendeur agréé, marché gris : comment bien acheter une clé logicielle ?

Revendeur agréé, marché gris : comment bien acheter une clé logicielle ?

REF.: Johan Gautreau,

Sommaire

1. Le marché des clés logicielles

2. Les revendeurs de clés à la loupe

3. Eviter un site frauduleux : nos conseils

4. Liste des revendeurs certifiés

Les plus anciens de nos lecteurs se souviennent probablement avec nostalgie des grosses boites en carton contenant il y a plus de 20 ans les CD de jeux vidéo et logiciels PC. La grande époque est maintenant révolue. Les bons vieux CD et leurs grosses boites ont cédé la place au dématérialisé.

Maintenant, acheter un jeu, c'est généralement acheter une clé logicielle (et éventuellement une petite boite vide avec juste un papier contenant le code à l'intérieur). Un marché juteux dont certains n'hésitent pas à contourner les règles pour leur propre intérêt.

Rapidement, des acteurs plus ou moins légaux ont vu les nombreux bénéfices qu'ils pouvaient réaliser avec la vente de clés numériques. Ce marché gris a cependant des limites, et il existe quelques bonnes pratiques pour éviter les fraudes.

Qu'est-ce qu'une clé logicielle ?

Lorsque vous achetez un jeu ou tout autre logiciel dématérialisé, vous achetez une clé logicielle, parfois aussi appelée clé numérique ou clé d'activation. Il s'agit d'une suite de chiffres et de lettres unique créée par l'éditeur dudit logiciel. Cette chaine de caractère garantit que le produit n'est pas une contrefaçon et qu'il n'est utilisé que par une seule personne : l'acheteur.

Selon la plateforme utilisée, cette clé logicielle peut être définitivement associée à un compte. Si ce dernier est effacé, vous perdez alors immédiatement les jeux liés à vos clés. C'est une gestion proche des DRM, qui imposent des contraires similaires. Afin de vérifier la validité d'une clé, les éditeurs recourent souvent à une vérification via une connexion internet.

D'où proviennent les clés d'activation ?

Il existe des dizaines de plateformes en ligne qui vendent des clés logicielles, souvent à des prix défiant toute concurrence. Certaines sont totalement légales, mais d'autres sont bien plus floues sur leur fonctionnement...

Pour se procurer les clés numériques, ces plateformes emploient diverses méthodes. Les revendeurs agréés achètent à prix préférentiel des lots de clés directement auprès des éditeurs ou de grossistes officiels. Ils sont aussi autorisés à pratiquer des soldes lors des périodes appropriées. C'est totalement légal. En fait, c'est la seule méthode parfaitement légale, les autres moyens utilisés par certains revendeurs étant bien moins honnêtes.

Dans la famille « récup' de clés logicielles pas chères », nous avons le rachat de stocks de vieux CD invendus. Les clés utilisées sur ces CD sont officielles, car fournies à l'origine par les éditeurs. Mais en France, ce type de pratique n'est pas toléré par la loi. D'autres pays comme l'Allemagne sont plus souples sur cette façon de procéder.

Dans la même veine, certains revendeurs n'hésitent pas à acheter des CD officiels vendus quelques euros dans des pays étrangers avec un moindre niveau de vie comme la Pologne ou la Russie par exemple. Dès lors, ces revendeurs invitent les utilisateurs à utiliser des VPN pour valider les clés auprès des serveurs de vérification à l'étranger. Tout comme le rachat de stocks d'invendus, cette méthode est plus ou moins tolérée selon les pays. En France, elle est interdite.

Au milieu de toutes ces méthodes plus ou moins obscures, on trouve aussi quelques petits malins qui demandent des clés d'activation auprès des développeurs indépendants à des fins de tests (revue écrite, vidéo YouTube, etc...), puis les revendent ensuite sur les marketplaces.

On passe maintenant dans l'illégalité pure. Les revendeurs les moins scrupuleux n'hésitent pas à racheter du matériel usagé afin d'en extraire les clés d'activation avec des logiciels spécifiques. Pire encore : certaines clés sont achetées avec des cartes bancaires volées. Inutile de dire que c'est totalement illégal...

Qu'est-ce que je risque à utiliser une clé « grise » ?

Vous avez acheté une clé d'activation sur un site qui s'avère assez flou sur ses pratiques ? Dans le meilleur des cas, il n'arrivera rien. Vous pourrez utiliser votre jeu vidéo ou votre logiciel normalement pour une période illimitée.

Mais dans beaucoup de cas, les utilisateurs voient leur clé désactivée au bout d'un moment, voire ne pas être acceptée lors de l'activation auprès du service. En 2015, Ubisoft avait ainsi bloqué les clés illégales de centaines de joueurs de FarCry 4, avant de finalement se raviser. Ces clés avaient été achetées sur la plateforme officielle Origin avant d'être revendues à prix discount sur diverses marketplaces comme G2A ou Kinguin.

Si voir son achat être désactivé n'est pas agréable, le pire qui puisse arriver est la clôture complète de votre compte et le bannissement de la plateforme que vous utilisez. Certains joueurs Steam en ont fait les frais suite à l'utilisation de clés frauduleuses. Ces mesures extrêmes restent assez rares, étant donné le flou légal entourant le marché des clés logicielles.

Petit tour d'horizon des revendeurs

Voyons maintenant quelles sont les diverses plateformes existantes sur le marché du dématérialisé.

Editeurs

EA, Ubisoft, Blizzard sont de gros noms du jeu vidéo. C'est donc tout naturellement qu'ils ont basculé une partie de leurs boutiques vers le dématérialisé. Ces gros éditeurs possèdent ainsi des sites dédiés à la vente de leurs jeux phares comme Les Sims 4 ou Diablo III. Toute clé achetée sur ces sites est activable sur les applications dédiées Origin (EA), Uplay (Ubisoft) et Battle.net (Blizzard). Si les jeux sont vendus au prix légal recommandé - ou MSRP - vous aurez la garantie d'avoir des clés logicielles totalement officielles.

Revendeurs agréés

Toujours du côté de la légalité, on trouve ensuite les revendeurs approuvés par les éditeurs. La plus célèbre plateforme de vente en dématérialisé est Steam. De nombreux développeurs indépendants la privilégie pour tenter de faire connaitre leur dernier titre. Rares sont les éditeurs à ne pas afficher leurs œuvres sur Steam.

Mais le bébé de Gabe Newell n'est pas le seul à proposer la vente de clés officielles. Notre partenaire Gamesplanet est aussi un endroit de choix pour dégotter des jeux à prix réduit. Cette plateforme française fait partie des revendeurs de confiance de nombreux éditeurs connus.

Mais on peut aussi citer DLgamer, Humble Bundle, GOG... Le choix est suffisamment vaste pour agrandir votre médiathèque sans entrer dans l'illégalité.

Les revendeurs « gris »

S'il y a du choix dans les plateformes de revente légale, que dire des revendeurs plus flous sur leurs pratiques ? Ils écument le Net, surfant sur les failles de la loi afin de réaliser un maximum de profit au détriment des développeurs et éditeurs...
La plus connue des joueurs est probablement Instant-Gaming, qui propose souvent des jeux à -50% le jour de leur sortie officielle. Basée à Hong-Kong, cette plateforme de vente de clés d'activation utilise des clés CD scannées : un procédé légal dans certains pays, mais pas en France.

Si IG vend les clés en son nom propre et possède son propre réseau de « récupération », il existe à ses côtés de nombreuses marketplaces plus ou moins obscures. Ces sites mettent en rapport des vendeurs de clés avec les acheteurs. Il devient dès lors difficile de savoir si la clé que vous allez acquérir est légale ou provient d'un achat avec une CB volée ou autre fraude. Il y a de fortes chances qu'elle fonctionne bien après son achat, mais qu'elle se retrouve bloquée après quelques jours ou semaines...

Parmi ces places de marché, les plus connues sont G2A et Kinguin. Elles proposent les prix les plus bas du marché, mais acheter là-bas n'est pas conseillé comme on pu le constater les joueurs de FarCry 4 en 2015. On peut aussi citer d'autres revendeurs de ce type comme MMOGA ou SCDkey, qui opèrent à plus petite échelle.

Comment repérer un site frauduleux ?

Dégager le bon grain de l'ivraie n'est pas simple quand on cherche à réaliser des économies tout en restant dans la légalité. Voici quelques astuces pour éviter d'engraisser des sites illégaux.

Vérifier l'emplacement de la société

Avant tout achat compulsif, l'idéal est de faire un tour par les conditions générales et autres informations légales du site de vente. La présence d'un numéro SIRET pour les sociétés basées en France et une immatriculation au RCS sont de bonnes bases pour une structure légale.

Si vous utilisez une plateforme européenne, vous devrez vérifier que les informations légales concordent bien avec celles du pays d'hébergement. Et en dehors de l'UE, on ne peut que vous conseiller de faire doublement attention. Evitez les revendeurs situés en Chine ou en Russie...

TVA : une obligation légale pour la France

Un autre indice qui peut indiquer qu'un revendeur de clés d'activation est honnête est son comportement vis-à-vis de la TVA. En France, toute clé numérique commercialisée doit faire l'objet de cette taxe. Si des sites comme Gamesplanet, Humble Bundle ou Steam indiquent clairement lors de l'achat que la TVA est appliquée, ce n'est pas le cas pour Instant-Gaming ou G2A.

Un tel fait est une fraude en France ou plus largement en Europe. L'excuse souvent invoquée par ces plateformes est que ce sont les utilisateurs qui doivent déclarer leur achat auprès du fisc afin de s'acquitter de la taxe... Vérifiez donc bien que la TVA est appliquée lors de votre acquisition afin de rester en règle avec la loi !

Revendeur agréé ou menteur avéré ?

Plusieurs revendeurs se vantent sur la toile d'être des partenaires officiels des plus gros éditeurs. Pourtant, avec quelques recherches, on se rend vite compte que c'est loin d'être la réalité. Instant-Gaming affirme avec fierté que ses clés sont achetées de manière officielle à des distributeurs agréés. Or ce site ne figure sur aucune liste officielle des éditeurs. Un flou qui n'incite pas à la confiance... L'idéal reste donc de passer quelques minutes à vérifier les revendeurs agréés sur les sites officiels des éditeurs.

Voici quelques pistes pour bien commencer :

• EA : https://www.ea.com/fr-fr/boutiques
• Ubisoft : https://support.ubi.com/fr-FR/Faqs/000023753/Liste-des-revendeurs-agréés
• Blizzard : https://eu.battle.net/forums/fr/wow/topic/10762236231#2
• Bethesda : https://forums.elderscrollsonline.com/en/discussion/171736

Vérifier les avis sur les forums

Si vous tentez un achat sur une place de marché, nous vous recommandons avant tout de vérifier les avis. La plupart des plateformes possèdent un système de notation des vendeurs. Un vendeur malhonnête sera vite bombardé de commentaires négatifs, fuyez ce genre de personnage comme la peste.

Plus largement, si vous avez un doute quant à la légalité d'un revendeur, nous vous recommandons de parcourir quelques forums spécialisés. Vous verrez vite si des clés logicielles provenant de ce site ont été désactivées.

Présentation des revendeurs certifiés et marketplaces les plus connus

Pour terminer ce petit dossier - qui nous l'espérons vous aura aidé à y voir plus clair sur le marché des clés logicielles - nous vous proposons un petit tour d'horizon des revendeurs les plus prisés par les joueurs. Certains sont honnêtes, d'autres marchent plus dans l'obscurité. A vous de voir si un prix plus bas au mépris de la loi vous semble justifié...

Metaboli - Gamesplanet

Partenaire de longue date de Clubic, Gamesplanet est l'une des plus grosses plateformes de vente de clés numériques en France. Fondé par la société Metaboli, Gamesplanet est un revendeur agréé par les plus gros éditeurs du monde. Basé en France, ce site offre des prix plus intéressants que sur Steam sans pour autant contourner les lois. C'est un exemple de ce que devrait être tout revendeur de clé d'activation pour PC et Mac.

Visiter Gamesplanet

DLgamer

Autre acteur français basé à Paris, DLgamer montre patte blanche quant à ses pratiques. Ce revendeur est lui aussi totalement approuvé par les éditeurs, ce qui en fait un site de confiance quand il s'agit d'acheter des clés logicielles pour PC et Mac. Les réductions pratiquées restent de l'ordre de 10 à 20%. Un programme VIP permet d'obtenir jusqu'à 5% supplémentaires sur vos achats ainsi que des bonus lors des précommandes de jeux.

Visiter DLGamer

Instant-Gaming

Ce site basé en Chine est le plus prisé des joueurs. Un succès dû aux prix impressionnants proposés par la plateforme, allant parfois jusqu'à -70% pour des jeux encore récents. Le revendeur n'est cependant pas des plus transparents : il n'applique pas la TVA et il n'est pas agréé par les éditeurs. Les clés fournies sont des scans récupérés sur des boitiers de CD officiels. Une pratique illégale en France, mais autorisée dans d'autres pays d'Europe. Malgré les prix attractifs pratiqués par Instant-Gaming, ses méthodes restent assez floues. Cependant, rares sont les joueurs ayant reporté un blocage des clés achetées sur ce site.

Visiter Instant-Gaming

Gamivo

Entretenue par une société maltaise, Gamivo est une place de marché destinée à la vente de clés logicielles PC/Mac. On y trouve aussi des cartes prépayées pour le Play Store de Google ou encore le eShop de Nintendo. C'est plutôt complet ! Comme toute marketplace, il faut trouver le bon revendeur pour éviter de se faire arnaquer, ce qui n'est pas toujours une mince affaire. Un système de notation permet néanmoins de se faire une idée de la qualité d'un vendeur. Le site permet aussi de déclarer la TVA de 20% obligatoire en France. Notez toutefois que par défaut, cette option n'est pas activée lors de la commande. En tant que marketplace, Gamivo ne fait pas partie des revendeurs agréés par les éditeurs.

Visiter Gamivo

G2A

Tout comme Gamivo, G2A est une place de marché. On y trouve des clés numériques pour PC et Mac, des cartes cadeaux iTunes ou Play Store, le tout à des prix défiants toute concurrence. Basé à Hong Kong comme son concurrent Instant-Gaming, G2A applique la TVA lors des achats et offre un système de notation afin de vérifier la qualité des vendeurs. Cette plateforme de revente de clés d'activation a cependant vu sa réputation entachée à plusieurs reprises, des vendeurs peu scrupuleux n'hésitant pas à placer des offres sur des clés obtenues de façon illégale... G2A n'est d'ailleurs pas parmi les sites recommandés par les éditeurs.

Visiter G2A

Kinguin

Face à G2A et IG, on trouve Kinguin. Une autre place de marché chinoise qui met en relation vendeurs et acheteurs de clés numériques. Tout comme G2A, le site a parfois la réputation de vendre des clés logicielles douteuses provenant de Russie et activables uniquement en passant par un VPN. De plus, le site n'applique aucune TVA. Bien entendu, il n'est pas recommandé par les éditeurs.

Visiter Kinguin

MMOGA

Encore une place de marché chinoise dont le siège se trouve à Hong Kong. Tout comme ses concurrentes, MMOGA ne tient pas compte de la TVA et ne figure pas parmi les revendeurs certifiés. Ajoutez à ça une interface mal traduite et pas forcément très conviviale... Un petit tour sur les forums permet aussi de se rendre compte que la qualité de service est loin d'être fiable, ce qui rend cette plateforme difficile à recommander.

Visiter MMOGA

SCDkey

Dernière plateforme de revente de clés de notre sélection, SCDkey est aussi basée à Hong Kong. Comme Instant-Gaming, ce site vend des clés CD récupérées dans des boitiers officiels. SCDkey affirme récupérer ces clés numériques auprès de revendeurs certifiés, mais impossible de vérifier la véracité de cette affirmation. La plateforme n'est pas présente parmi les revendeurs certifiés des éditeurs et n'applique pas de TVA, ce qui laisse planer le doute quant à sa légalité...

Visiter SCDKey

Acheter au meilleur prix

Vous l'aurez compris, le Net recèle de vendeurs plus ou moins honnêtes permettant de se procurer des clés d'activation à moindre prix. S'il est toujours tentant d'obtenir un gros jeu AAA à -50% le jour de sa sortie, il convient aussi de se poser quelques questions sur les marchands qui proposent de telles offres.

Afin de vous faciliter la tâche, voici quelques sites légaux que nous vous recommandons. Les tarifs sont souvent proches du prix public conseillé, mais vous aurez la garantie de ne pas sortir des clous légaux. De plus, vous serez assuré que votre argent ira bien dans les poches des développeurs et éditeurs.

• Steam : l'incontournable qui propose de belles baisses de prix lors des soldes.
• Origin : la plateforme officielle d'Electronic Arts.
• Uplay : l'endroit idéal pour acheter vos jeux Ubisoft.
• Battle.net : le meilleur de Blizzard.
• Gamesplanet : un revendeur français et agréé par les éditeurs avec des prix attractifs.
• DLgamer : plateforme française et agréée de revente de clés numériques.
• Humble Bundle : revendeur agréé qui reverse une partie de ses fonds aux œuvres de charité.
• GOG : le meilleur des jeux rétro avec des prix attrayants, tout en étant reconnu par les éditeurs.
• Fanatical (ex-Bundle Stars) : un site de revente approuvé par les éditeurs avec des bundles de jeux très attractifs.

Il ne vous reste plus qu'à faire vos courses en toute sérénité ! N'hésitez pas à nous dire dans les commentaires quelle est votre crémerie préférée et pourquoi vous l'avez privilégiée.

REF.: