Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

Secret bancaire en danger ? Renforcer les pouvoirs de la police.

Le ministère de l’Intérieur russe souhaite renforcer ses pouvoirs pour lutter plus efficacement contre la fraude bancaire numérique. Parmi les demandes : saisir les comptes en banque avant les arrestations !

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

 

DataSecurityBreach.fr a repéré une actualité qui nous a semblé intéressante. Elle concerne la Russie et l’environnement bancaire local. Lors d’une réunion récente du Conseil de la Fédération, le chef du département de droit pénal du département contractuel et juridique du ministère de l’Intérieur de la Russie, Alexeï Plotnitski, a plaidé pour une modification du Code de procédure pénale afin de doter la police de nouveaux outils dans sa lutte contre la fraude, en particulier dans le domaine des délits informatiques.

Selon Plotnitski, le principal obstacle rencontré par les services d’enquête est l’incapacité de bloquer rapidement les fonds dérobés avant leur retrait ou leur transfert vers des comptes introuvables. Il a expliqué que, dans l’état actuel de la législation russe, la suspension des opérations bancaires n’est possible qu’après l’obtention d’une autorisation du parquet ou d’une décision judiciaire. Un processus qui peut durer plusieurs jours, voire plus, alors que les délinquants n’ont besoin que de quelques minutes pour déplacer les fonds.

L’objectif du ministère est d’introduire un mécanisme de gel temporaire des transactions sans qu’il s’agisse d’une arrestation judiciaire formelle. Cette mesure viserait à créer un laps de temps suffisant pour permettre une intervention policière avant que l’argent ne disparaisse. « Il est très important pour nous d’arrêter les mouvements de fonds au plus vite. Mais lorsque nous obtenons toutes les autorisations, l’argent a déjà été retiré« , a déclaré Plotnitski lors de la séance.

Cette proposition de modification du code de procédure est actuellement en discussion. Face aux critiques qui y voient une atteinte aux droits fondamentaux et une possible source d’abus, Plotnitski a insisté sur la nécessité d’équilibrer les droits des suspects avec la réalité de la cybercriminalité. « La question est : voulons-nous créer un désagrément temporaire pour le suspect ou lui permettre de retirer l’argent en toute tranquillité ?« , a-t-il interrogé.

VEILLE ZATAZ, VOTRE RADAR CYBER ENTREPRISE

Adoptée et approuvée par 96 % de nos entreprises partenaires !

Découvrir la veille maintenant

Un autre point soulevé par le responsable concerne l’accès aux informations bancaires. Actuellement, les enquêteurs du ministère de l’Intérieur n’ont pas accès direct aux données protégées par le secret bancaire, ce qui limite leur capacité à réagir rapidement et à remonter les filières de transferts frauduleux. Plotnitski a toutefois tenu à préciser que le ministère ne cherche pas à abolir le secret bancaire, mais uniquement à permettre un accès ciblé pour les besoins des enquêtes pénales.

Il a affirmé que les fuites de données bancaires ne provenaient pas des services du ministère de l’Intérieur, mais des établissements de crédit eux-mêmes, mettant en cause la responsabilité de ces derniers dans la chaîne de sécurité. Le manque de réactivité des banques face aux demandes de la police a aussi été critiqué : il n’est pas rare que les réponses mettent plusieurs semaines, voire des mois, à parvenir aux autorités.

Pour remédier à cette lenteur, le ministère propose donc d’introduire un délai légal contraignant de trois jours maximum pour la transmission des informations bancaires aux forces de l’ordre. Plotnitski a estimé que même ce délai était trop long compte tenu de la vitesse des opérations frauduleuses. Il a comparé l’action de la police à celle des pompiers, appelés à intervenir quand l’incendie a déjà tout consumé.

Le ministère de l’Intérieur russe souligne depuis plusieurs mois maintenant [lire ici et ] la nécessité de moderniser son arsenal juridique pour mieux répondre aux défis de la cyberfraude, un phénomène en constante expansion. Aucune donnée chiffrée sur l’ampleur exacte des pertes ou du nombre de cas traités n’a été présentée lors de la réunion, mais la récurrence des cas de détournement rapide de fonds via Internet motive la volonté d’agir plus vite.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

EchoLeak : faille inédite pour Microsoft 365 Copilot

Un groupe de chercheurs a identifié une vulnérabilité critique baptisée EchoLeak, capable d’extraire des données confidentielles de Microsoft 365 Copilot sans interaction de l’utilisateur.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

 

EchoLeak est la première attaque documentée exploitant des modèles de langage génératifs pour dérober des informations internes. La faille a été découverte en janvier 2025 par les chercheurs en sécurité de la société Aim Security, et a reçu l’identifiant CVE-2025-32711. Microsoft a classé cette vulnérabilité comme critique et a déployé un correctif en mai 2025. Aucun cas d’exploitation active n’a été détecté jusqu’à présent.

Copilot, intégré dans la suite Microsoft 365, repose sur les modèles GPT d’OpenAI couplés à Microsoft Graph pour répondre à des requêtes à partir de données internes à l’organisation. La vulnérabilité EchoLeak détourne ce mécanisme en exploitant la chaîne de traitement de type RAG (Retrieval-Augmented Generation).

L’attaque commence par l’envoi d’un courriel apparemment anodin, contenant un prompt caché conçu pour contourner les filtres de sécurité de Microsoft. Ce contenu malveillant est injecté dans le contexte conversationnel de Copilot lorsque l’utilisateur interagit avec l’outil, sans qu’il soit nécessaire de cliquer ou d’interagir directement avec le message.

Une fois le contexte contaminé, le modèle LLM peut être amené à insérer involontairement des données sensibles dans des liens ou des images. Certaines syntaxes Markdown peuvent alors envoyer automatiquement ces données vers un serveur distant. La faille repose en partie sur le fait que des URL issues de Microsoft Teams et SharePoint sont considérées comme de confiance, ce qui permet de contourner certaines restrictions.

« Cette attaque révèle une nouvelle classe de menaces spécifiques aux LLM : la violation de leur domaine de contexte« , soulignent les chercheurs.

️ VEILLE ZATAZ, VOTRE RADAR CYBER

Adoptée et approuvée par 96 % de nos abonnés !

Découvrir la veille maintenant

Aucune publicité. Alerte directe. Veille éthique.

Une mise en lumière inédite des faiblesses systémiques des IA génératives

EchoLeak met en évidence un angle mort de la sécurité (CVE 2025-32711) : la confiance implicite accordée aux données internes et la capacité d’un modèle LLM à agir comme vecteur de fuite. Bien que Microsoft ait corrigé le problème en modifiant les paramètres côté serveur, les experts insistent sur la nécessité de mesures complémentaires.

Parmi les recommandations, les chercheurs défendent une filtration plus rigoureuse des entrées et sorties de Copilot, un accès restreint aux sources documentaires exploitées par le RAG et le blocage automatique des réponses contenant des URL externes ou des objets potentiellement exploitables.

Microsoft n’a pas précisé le nombre de clients potentiellement exposés avant le correctif. Aucun signalement de fuite de données ne figure dans les registres officiels à ce jour.

L’incident pose d’importantes questions sur la sécurité des assistants IA intégrés aux plateformes collaboratives. L’exploitation d’un prompt caché montre que la simple présence d’un message dans la boîte de réception suffit à constituer une menace, sans qu’aucune action volontaire de l’utilisateur ne soit nécessaire.

EchoLeak pourrait ainsi marquer un tournant dans la manière dont les entreprises abordent la sécurité des systèmes à base d’IA générative, en révélant leur exposition à des attaques invisibles et silencieuses, d’autant plus redoutables qu’elles s’appuient sur les capacités mêmes de l’outil ciblé.

Une faille critique dans Secure Boot menace des millions de PC

Une nouvelle vulnérabilité critique dans le démarrage sécurisé UEFI remet en cause la confiance accordée à l’infrastructure de démarrage sur des millions d’appareils dans le monde.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

Le 10 juin 2025, la société de cybersécurité BINARLY a révélé la vulnérabilité CVE-2025-3052 affectant le composant UEFI « Dtbios-efi64-71.22.efi », signé par le certificat Microsoft UEFI CA 2011. Ce fichier, chargé avant le système d’exploitation, est exécuté comme un composant de firmware sur les systèmes compatibles Secure Boot, indépendamment de l’OS installé. Le probléme, noté 8,2 sur 10 a été notifié CVE 2025-3052.

Un rapport détaillé démontrant que cette application effectue des écritures non sécurisées en mémoire à partir de la variable NVRAM nommée « IhisiParamBuffer ». Le module vulnérable, utilisé notamment dans certains firmwares basés sur InsydeH2O, exécute plusieurs opérations de copie mémoire sans valider les adresses cibles. Cela ouvre la voie à une attaque de type « arbitrary write », permettant à un utilisateur disposant de privilèges administrateur de manipuler des pointeurs sensibles, y compris ceux gérant la sécurité de démarrage.

Le Secure Boot peut être désactivé à distance

Lors d’une démonstration technique, les chercheurs de BINARLY ont montré qu’un attaquant peut neutraliser le démarrage sécurisé UEFI en réinitialisant à zéro un pointeur vers la structure « gSecurity2 », responsable de la vérification des modules signés. Une fois cette structure désactivée, le système accepte n’importe quel module, même non signé, autorisant ainsi l’installation de bootkits ou de malwares avant que l’OS ne démarre.

Cette attaque affecte tous les systèmes où la condition de boucle initiale est remplie et où le certificat Microsoft UEFI CA 2011 est approuvé.

L’un des éléments les plus préoccupants est que le fichier vulnérable, signé par Microsoft, a été retrouvé sur la plateforme VirusTotal, ce qui confirme sa présence dans la nature. Cette signature garantit que l’exécutable est accepté par la majorité des plateformes utilisant le Secure Boot activé par défaut, y compris sous Windows et certaines distributions Linux compatibles UEFI.

La présence de cette signature légitime empêche son blocage automatique, ce qui rend l’exploitation d’autant plus simple pour des attaquants capables d’obtenir un accès local avec privilèges élevés.

️ VEILLE ZATAZ, VOTRE RADAR CYBER

Adoptée et approuvée par 96 % de nos abonnés !

Découvrir la veille maintenant

Aucune publicité. Alerte directe. Veille éthique.

Une menace à large échelle, dépendante du firmware

La gravité de la faille, classée 8,2 sur l’échelle CVSSv3.1, découle de sa présence dans un composant certifié et dans des conditions d’exécution fréquentes. Toutefois, tous les systèmes ne sont pas également vulnérables. BINARLY note que l’attaque dépend de l’implémentation du BIOS et de la gestion des variables NVRAM.

Par exemple, les firmwares d’Insyde peuvent restreindre l’accès aux variables NVRAM en dehors de certaines phases du cycle d’amorçage. Cependant, cette protection n’est pas infaillible. Si une autre faille permet d’accéder à la NVRAM ou d’injecter des valeurs, la vulnérabilité redevient exploitable.

La centralité du certificat Microsoft UEFI CA 2011 dans cette attaque augmente sa surface d’impact. Ce certificat est intégré à la base de données de confiance (« db ») de la plupart des plateformes, ce qui signifie que des millions d’appareils sont potentiellement exposés. Aucun changement dans les réglages utilisateur ne suffit à corriger ce problème sans mise à jour du firmware ou révocation explicite du binaire vulnérable.

BINARLY appelle les éditeurs de BIOS/UEFI à supprimer les appels non sécurisés au tampon NVRAM « IhisiParamBuffer » et à renforcer les protections des variables NVRAM. Surtout, il est recommandé d’ajouter l’empreinte du binaire vulnérable à la liste noire UEFI dbx (UEFI Forbidden Signature Database), permettant son rejet explicite lors du démarrage.

Microsoft sous pression, 65 failles corrigées en juin

Microsoft a publié ce mois-ci des correctifs pour 65 vulnérabilités de sécurité, dont 9 critiques, dans le cadre de son traditionnel Patch Tuesday.

Depuis le début de l’année, le rythme des correctifs s’intensifie pour Microsoft. Avec déjà près de la moitié du total de vulnérabilités corrigées en 2024, l’éditeur est confronté à une pression croissante pour contenir les failles, dont certaines sont activement exploitées. En juin, 65 vulnérabilités (CVE) ont été corrigées, selon les informations officielles publiées par le Microsoft Security Response Center (MSRC), dont 9 critiques. Deux vulnérabilités zero day sont recensées, dont une fait déjà l’objet d’une exploitation active à grande échelle. Plusieurs failles restent cependant non corrigées, comme BadSuccessor, soulevant des inquiétudes sur le rythme et la portée de la réponse sécuritaire de l’éditeur.

Une CVE activement exploitée dès sa divulgation

Parmi les vulnérabilités les plus notables de ce Patch Tuesday figure la CVE-2025-33053. Il s’agit d’une faille d’exécution de code à distance dans le composant WebDAV (Web Distributed Authoring and Versioning), un protocole étendant les capacités de HTTP. Cette CVE est classée comme critique par Microsoft, et son exploitation a été confirmée. Wilfried Bécard, chercheur en cybersécurité chez Synacktiv, a mis au jour cette vulnérabilité majeure dans Active Directory. Elle permet l’exécution de code à distance et l’élévation de privilèges sur les systèmes Windows sans signature SMB (config par défaut). Check Point Research indique que le groupe Stealth Falcon exploiterait ce 0day.

Les attaquants utilisent des fichiers .url piégés pour inciter les cibles à exécuter du code malveillant. Cette méthode a permis une prise de contrôle distante sans interaction supplémentaire. La faille touche les systèmes Windows exposant le service WebDAV non protégé. L’exploitation a été observée dans plusieurs campagnes ciblées.

La CVE-2025-33053 est une des rares vulnérabilités zero day signalées et exploitées activement dès le jour du Patch Tuesday. (une découverte de la société Sinaktiv)

Microsoft a publié un correctif dans son Patch Tuesday de juin. La base de connaissance KB5039705, consultée le 11 juin 2025, fournit les détails de la vulnérabilité ainsi que les systèmes affectés. Les systèmes Windows Server 2016, 2019, 2022 et Windows 10/11 sont concernés, notamment lorsque les services WebDAV sont activés.

BadSuccessor reste non corrigée malgré une divulgation publique

À l’inverse, Microsoft n’a pas encore corrigé la vulnérabilité CVE non référencée mais surnommée « BadSuccessor« , découverte par les chercheurs d’Akamai. Cette faille permet une élévation de privilèges dans les environnements Active Directory. Elle a été divulguée publiquement le 21 mai 2025 par Akamai, preuve de concept à l’appui.

L’exploitation repose sur l’existence d’au moins un contrôleur de domaine sous Windows Server 2025. Selon Tenable, cette configuration ne concerne qu’environ 0,7 % des domaines Active Directory étudiés. Malgré sa portée limitée, la disponibilité publique d’un exploit, notamment via l’outil SharpSuccessor intégré dans les frameworks d’attaque NetExec et BloodyAD, renforce les risques.

Microsoft a confirmé qu’un correctif est prévu, mais aucune date précise n’a été fournie au moment de la publication de cet article. Le MSRC n’a pas encore attribué de CVE officielle à cette faille. Les administrateurs sont invités à limiter les permissions dans Active Directory et à surveiller tout comportement anormal des identités disposant de privilèges élevés.

Une autre zero day divulguée mais non exploitée

La deuxième faille zero day identifiée en juin, selon Microsoft, fait l’objet d’une divulgation publique, mais aucun cas d’exploitation n’a été confirmé à ce jour. Il s’agit de la CVE-2025-33632, une vulnérabilité de type « information disclosure » affectant Windows Kernel. Cette CVE a été notifiée par un chercheur indépendant, mais Microsoft classe le risque comme modéré, la faille ne permettant pas d’exécution de code ou d’élévation directe de privilèges.

Selon le rapport du MSRC, consulté le 11 juin 2025, cette vulnérabilité est cependant considérée comme suffisamment sensible pour avoir justifié un correctif immédiat.

Un patch controversé pour la CVE-2025-21204

En avril dernier, Microsoft corrigeait la CVE-2025-21204, une faille d’élévation de privilèges. Dans le cadre de la mise à jour cumulative publiée ce mois-ci, l’éditeur a modifié sa méthode de sécurisation. Un dossier nommé %systemdrive%\inetpub est désormais généré pour renforcer certaines permissions du système. Cependant, plusieurs utilisateurs l’ont supprimé manuellement, craignant une modification non documentée.

Face aux inquiétudes, Microsoft a publié un script de remédiation, consulté le 11 juin 2025, permettant de restaurer ce répertoire avec les bonnes permissions et de rétablir les listes de contrôle d’accès (ACL) appropriées. Il est explicitement recommandé à toute organisation ayant supprimé manuellement le dossier de lancer ce script, sous peine de dysfonctionnements des services dépendants.

Microsoft publie un script officiel pour corriger manuellement la suppression du dossier système créé lors du correctif de la CVE-2025-21204.

Un volume de correctifs toujours soutenu

Avec les 65 vulnérabilités corrigées ce mois-ci, le total des CVE publiées par Microsoft en 2025 atteint désormais 486, selon le suivi de Tenable Research. À mi-parcours de l’année, ce chiffre représente déjà près de 48 % du total de 2024, qui s’élevait à 1 009 vulnérabilités selon les archives du MSRC.

La majorité des failles de juin sont classées « importantes » par Microsoft, car elles permettent généralement une élévation de privilèges, un contournement de fonctionnalités de sécurité ou une divulgation d’informations. Elles concernent un éventail large de produits, notamment Microsoft Office, Windows Kernel, les navigateurs Edge basés sur Chromium, ainsi que des composants tels que Microsoft Dynamics 365.

Le détail complet de ces vulnérabilités est accessible sur la page officielle MSRC – June 2025 Security Updates, consultée le 11 juin 2025. Chaque CVE y est documentée avec son score CVSS, sa description, les produits concernés et les références aux correctifs correspondants.

Satnam Narang, ingénieur principal chez Tenable, souligne la pression croissante qui s’exerce sur les équipes de sécurité informatique : « Le nombre de CVE corrigées en 2025 nous rapproche déjà de la moitié du total de l’année dernière. À mesure que ce chiffre augmente chaque année, la pression sur les défenseurs du cyberespace pour atténuer efficacement ces vulnérabilités s’intensifie également.« 

Cette dynamique reflète une tendance plus large : l’augmentation continue des surfaces d’attaque, l’évolution rapide des techniques d’exploitation, et la démocratisation d’outils de type « exploit framework » qui facilitent l’industrialisation des campagnes malveillantes.

Certaines failles, comme celles utilisées par le groupe Cl0p en 2023 contre les logiciels de transfert de fichiers (MOVEit, GoAnywhere), ont démontré la vitesse avec laquelle une vulnérabilité zero day peut être exploitée à grande échelle, motivée par des gains financiers immédiats. L’exploitation rapide de la CVE-2025-33053 semble suivre une trajectoire similaire.

Coup de frein sur la cybersécurité fédérale

La CISA perdrait près d’un tiers de son personnel dans le budget 2026 proposé par l’administration Trump, alors que les menaces numériques s’intensifient.

Alors que les cyberattaques d’origine étatique et les campagnes criminelles numériques s’intensifient à travers le monde, le gouvernement fédéral américain envisage une réduction majeure de sa principale agence de cybersécurité. La Cybersecurity and Infrastructure Security Agency (CISA) pourrait perdre près de 1 000 employés à temps plein dès le prochain exercice budgétaire, selon les documents officiels publiés vendredi 31 mai 2025. Une réorientation budgétaire majeure qui suscite de nombreuses inquiétudes dans le secteur de la sécurité numérique, tant au sein de l’administration que parmi les experts en cybersécurité.

Un recul budgétaire sans précédent pour la cybersécurité civile

Selon le supplément budgétaire détaillé dévoilé en fin de semaine par la Maison-Blanche, la CISA verrait son effectif passer de 3 292 à 2 324 employés dès le 1er octobre 2025, date de début de l’exercice fiscal 2026. Soit une baisse d’environ 30 %, qui s’accompagne d’une coupe nette dans les ressources financières de l’agence. Son budget total chuterait de 2,38 milliards de dollars à 1,89 milliard (soit environ 1,74 milliard d’euros), selon un document de justification budgétaire consulté par Nextgov/FCW. Cela représente une diminution de 495 millions de dollars (environ 455 millions d’euros) par rapport à l’année précédente. Bref, ce qui avait été promis en mars 2025 s’affiche officiellement comme DataSecurityBreach.fr vous l’écrivait à l’époque.

L’ensemble des lignes budgétaires principales, opérations cyber, engagement des parties prenantes, soutien aux missions, serait touché. L’un des pans les plus sensibles, l’Election Security Program, qui comptait 14 postes et un financement de 39,6 millions de dollars (environ 36,5 millions d’euros), serait tout simplement supprimé. Cette fermeture était anticipée depuis l’annonce par la CISA, en mars dernier, de la fin de son soutien à ce programme clé pour les administrations électorales locales et étatiques. Parallèlement, les efforts de formation et d’éducation à la cybersécurité perdraient 45 millions de dollars (environ 41 millions d’euros), et le National Risk Management Center, pilier de l’analyse des menaces contre les infrastructures critiques, verrait 35 postes supprimés ainsi que 70 millions de dollars de crédits en moins (environ 64 millions d’euros).

Bien que le financement des programmes de sécurité physique des infrastructures soit légèrement rehaussé, cela ne compense en rien les coupes dans les missions cyber, cœur d’activité de l’agence.

Un effet domino sur l’ensemble de l’écosystème cyber fédéral

La réduction envisagée ne se limite pas  (PDF) à la CISA. D’autres entités fédérales impliquées dans la cybersécurité sont également concernées. Le FBI, chargé de la lutte contre la cybercriminalité intérieure, perdrait près de 1 900 employés et verrait ses obligations financières diminuer de 560 millions de dollars (environ 515 millions d’euros).

La National Security Division du département de la Justice, qui supervise notamment les questions de surveillance électronique et de contre-espionnage, verrait son budget passer de 133 à 119 millions de dollars (environ 122 à 109 millions d’euros), une baisse accompagnée de la suppression de 19 postes. Autre victime collatérale : le Department of Energy. Son Office of Cybersecurity, Energy Security and Emergency Response, qui sécurise notamment le réseau électrique national, subirait une coupe de 222 à 179 millions de dollars (environ 204 à 165 millions d’euros), et une réduction de plus de 30 % de ses effectifs. La National Science Foundation, pilier du soutien à la recherche en informatique, verrait son financement plonger de 952 à 346 millions de dollars (environ 875 à 318 millions d’euros). Une chute drastique qui pourrait freiner l’innovation technologique dans le domaine de la cybersécurité.

Même la General Services Administration, responsable des achats et services numériques gouvernementaux, verrait ses fonds fondre de 335 à 217 millions de dollars (environ 308 à 199 millions d’euros). Au département du Trésor, l’Office of Terrorism and Financial Intelligence, clé dans la lutte contre les crimes financiers, subirait une réduction de 274 à 254 millions de dollars (environ 252 à 233 millions d’euros).

L’Office of the National Cyber Director, créé récemment pour coordonner la stratégie numérique fédérale, perdrait 2 millions de dollars (environ 1,8 million d’euros) mais conserverait ses 85 employés.

Des choix politiques marqués, des critiques en perspective

Les arbitrages budgétaires marquent un tournant dans la posture fédérale face aux menaces numériques. La CISA, créée en 2018 sous la première présidence Trump, est devenue ces dernières années l’un des visages publics de la réponse fédérale aux attaques cyber et aux interférences étrangères dans le processus démocratique. Son implication dans le démantèlement des théories de fraude électorale en 2020, et sa communication sur les menaces de désinformation, en ont fait une cible de l’ancien président.

Aujourd’hui, plusieurs directions opérationnelles de l’agence sont sans responsable permanent, tout comme la moitié des antennes régionales. Le climat interne est marqué par les incertitudes, notamment en raison du programme de démission différée offert aux employés, qui permet aux agents de quitter progressivement le service fédéral tout en restant rémunérés jusqu’à la fin de l’exercice en cours.

Le candidat désigné pour diriger la CISA (PDF), Sean Plankey, devra s’expliquer ce jeudi devant le Congrès, en même temps que Sean Cairncross, pressenti pour le poste de directeur national du cyber. Leur audition devrait donner lieu à des échanges nourris sur ces orientations budgétaires, avant que le Congrès ne statue sur les propositions de l’exécutif.

Des hausses ciblées et un statu quo pour certains organismes

Tous les organes fédéraux ne sont pas logés à la même enseigne. L’Intelligence Community Management Account, qui coordonne l’action des 18 agences de renseignement, obtiendrait une hausse modeste de ses crédits, passant de 687 à 700 millions de dollars (environ 632 à 644 millions d’euros).

La Privacy and Civil Liberties Oversight Board, instance chargée de surveiller les atteintes aux libertés publiques par les agences de renseignement, ne connaîtrait quasiment aucun changement en termes de personnel ou de financement. Elle est actuellement engagée dans une procédure judiciaire contre l’administration Trump, en lien avec la révocation de ses membres démocrates.

Minage furtif en Corée, un cybercafé piégé en pleine mémoire vive

Un pirate a détourné la puissance de calcul d’un cybercafé sud-coréen grâce à un malware injecté directement dans la mémoire, contournant toutes les protections classiques.

Dans un incident révélateur des nouvelles techniques d’attaque numérique, un cybercafé sud-coréen a été la cible d’un piratage particulièrement sophistiqué. L’assaillant, loin de se contenter de déposer un simple fichier malveillant, a infiltré directement la mémoire vive des ordinateurs, exploitant des failles comportementales pour dissimuler ses traces. Une cyberattaque qui a non seulement défié les logiciels antivirus, mais qui révèle aussi une nouvelle étape dans l’évolution du minage de cryptomonnaies à des fins frauduleuses.

Une infection furtive et ciblée

L’attaque ne s’est pas appuyée sur une diffusion massive de logiciels malveillants, mais sur une stratégie beaucoup plus ciblée, fondée sur la connaissance approfondie de l’environnement logiciel des cybercafés. L’assaillant a utilisé Gh0st RAT, un cheval de Troie d’accès à distance bien connu, pour prendre le contrôle des systèmes informatiques. Mais plutôt que d’installer l’outil de minage de manière classique, il a injecté un code directement dans la mémoire des processus en cours, une technique souvent qualifiée d’ »injection en mémoire » ou « fileless malware » dans le jargon de la cybersécurité.

Cette méthode repose sur l’identification d’un processus légitime déjà en exécution. Une fois identifié, le logiciel malveillant compare sa structure avec un modèle de référence, puis modifie dynamiquement sa mémoire. L’opération permet d’exécuter du code sans écrire de fichier sur le disque dur, ce qui empêche les antivirus traditionnels de repérer l’intrusion.

« Le fichier exécutable cmd.exe du dossier système a également été remplacé« , a précisé Ekaterina Edemskaya. « Cela permettait au code malveillant de se lancer lors de certaines actions, comme s’il faisait partie du fonctionnement normal du système.« 

L’objectif de l’attaquant était clair : miner des cryptomonnaies en utilisant les ressources matérielles puissantes du cybercafé, conçues pour supporter des jeux vidéo gourmands en performances graphiques. Pour ce faire, il a choisi le mineur T-Rex, un logiciel spécialisé dans l’extraction de cryptomonnaies par GPU, compatible notamment avec les cartes graphiques Nvidia, largement utilisées dans les ordinateurs de gaming.

Ce choix est tout sauf anodin. Le mineur T-Rex est réputé pour sa stabilité, sa compatibilité avec des algorithmes variés, et surtout pour sa capacité à fonctionner discrètement en arrière-plan. Dans un environnement comme celui d’un cybercafé, où la puissance graphique est abondante et les utilisateurs nombreux, les profits potentiels issus du minage peuvent rapidement devenir substantiels.

Les cybercafés représentent une cible idéale pour ce type d’attaque. Le renouvellement fréquent des utilisateurs, l’accès physique limité à la maintenance du système, et la puissance matérielle disponible en font un terrain propice pour des opérations de minage frauduleux, surtout si aucune solution de sécurité avancée n’est en place.

Des antivirus dépassés, des solutions à repenser

L’un des enseignements majeurs de cette attaque est la limite des solutions de cybersécurité traditionnelles face aux menaces modernes. Les antivirus classiques reposent principalement sur l’analyse de fichiers présents sur le disque et l’identification de signatures connues. Or, dans le cas d’une attaque « fileless« , où le code malveillant réside uniquement en mémoire, ces systèmes sont pratiquement aveugles.

« Les antivirus standards échouent souvent dans ce domaine« , a mis en garde Edemskaya. « Les systèmes capables d’analyser le comportement des utilisateurs et des processus en dynamique sont donc particulièrement utiles.« 

Parmi ces solutions figurent les outils d’EDR (Endpoint Detection and Response), capables de détecter des anomalies comportementales, même en l’absence de fichiers suspects. Ces systèmes analysent en temps réel les processus actifs, leur consommation de ressources, les appels système, et peuvent ainsi détecter une activité de minage non déclarée ou une tentative d’injection mémoire.

Le cas du cybercafé sud-coréen montre également la nécessité de former les gestionnaires de systèmes informatiques à reconnaître les signes d’activités anormales. Une élévation soudaine de la consommation GPU, un comportement inhabituel de processus système comme cmd.exe, ou encore des ralentissements globaux peuvent être des indicateurs d’une exploitation malveillante.

Une tendance inquiétante, mais pas isolée

L’injection en mémoire n’est pas une technique nouvelle, mais son application au minage de cryptomonnaies en environnement public et commercial marque une évolution préoccupante. Selon les données de Kaspersky, les attaques liées au cryptojacking (minage frauduleux de cryptomonnaies via des machines tierces) ont augmenté de 40 % au premier trimestre 2024 par rapport à la même période en 2023.

L’un des attraits majeurs de ces attaques réside dans leur rentabilité discrète. Contrairement à un ransomware, qui expose immédiatement l’attaque en bloquant l’accès aux données, le cryptojacking permet à l’attaquant de générer des revenus passifs pendant des semaines, voire des mois, sans éveiller de soupçons.

Le coût énergétique, transféré à l’opérateur du cybercafé, et l’usure prématurée du matériel sont des conséquences directes de cette activité invisible. Dans un contexte de hausse des prix de l’électricité, cette forme de cybercriminalité s’inscrit dans une logique d’exploitation maximale des ressources disponibles.

Enfin, l’attaque souligne aussi une possible industrialisation de la méthode. Le recours à des outils comme Gh0st RAT, largement utilisés dans des campagnes d’espionnage informatique d’État ou d’organisations criminelles, montre que ces attaques ne relèvent plus du simple hobby de pirates isolés, mais d’une stratégie potentiellement automatisée et reproductible.

Vodafone sanctionné de 45 millions d’euros pour violations graves de la protection des données

L’autorité allemande de protection des données inflige une amende historique à Vodafone pour des manquements graves liés à des pratiques commerciales frauduleuses et des failles de sécurité.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

 

Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018, l’Union européenne a multiplié les sanctions contre les entreprises ne respectant pas les règles strictes imposées en matière de confidentialité et de sécurité. L’Allemagne, particulièrement vigilante sur ce terrain, vient de frapper fort en sanctionnant Vodafone à hauteur de 45 millions d’euros. En cause, des pratiques commerciales trompeuses menées par des agences partenaires de l’opérateur et des failles importantes dans ses systèmes d’authentification, qui ont exposé les données de ses clients. Une décision qui s’inscrit dans une tendance croissante de surveillance renforcée par les régulateurs européens, soucieux de garantir la confiance numérique des citoyens.

Un double manquement pointé par le régulateur

Le 3 juin 2024, le Bureau fédéral de la protection des données (BfDI), autorité allemande indépendante chargée de veiller au respect du RGPD, a annoncé avoir infligé à Vodafone une amende totale de 45 millions d’euros (51,2 millions de dollars). Cette décision découle de deux types d’infractions distinctes. D’abord, le régulateur a reproché à l’entreprise son absence de contrôle sur les agences de vente partenaires, responsables de pratiques qualifiées de « malveillantes ». Ensuite, il a dénoncé des « failles critiques » dans les procédures d’authentification de Vodafone, qui ont permis à des tiers non autorisés d’accéder à des profils de clients, notamment à travers le système eSIM.

Selon le communiqué publié par le BfDI, l’enquête a révélé que certaines agences partenaires, mandatées pour vendre des services au nom de Vodafone, ont abusé de leur position. Elles auraient manipulé les contrats, falsifié des données clients ou modifié les termes sans consentement, dans le but d’atteindre des objectifs commerciaux.

La seconde infraction, bien plus lourde sur le plan financier, concerne les mécanismes d’authentification utilisés par Vodafone dans son portail en ligne et via sa hotline. Le BfDI estime que ces systèmes présentaient des vulnérabilités importantes qui ont facilité l’accès non autorisé à des données personnelles sensibles.

« Les failles découvertes permettaient notamment à des tiers d’accéder illégalement aux profils eSIM des utilisateurs« , a précisé l’autorité dans son communiqué.

Cette deuxième série de manquements a justifié une sanction de 30 millions d’euros (34 millions de dollars), les services de l’État considérant que Vodafone n’avait pas pris les mesures minimales nécessaires pour garantir la confidentialité des informations. Or, le RGPD exige des entreprises qu’elles mettent en œuvre des technologies et des protocoles de sécurité rigoureux, dès la conception de leurs produits et services.

Réactions et mesures correctives

Face à ces accusations, Vodafone a reconnu des insuffisances dans ses systèmes de protection des données. Dans un communiqué publié le jour même de la sanction, l’entreprise a exprimé ses regrets et a indiqué avoir revu en profondeur ses procédures internes.

« Les actions des agences partenaires ont révélé des lacunes dans nos contrôles de protection des données« , a déclaré un porte-parole de Vodafone. « Nous regrettons que des clients aient été impactés négativement« .

« Les systèmes et les mesures en place à l’époque se sont révélés insuffisants« , ajoute l’entreprise, affirmant que la nouvelle direction a fait de la protection des données une priorité absolue.

Depuis le début de l’enquête menée par le BfDI, Vodafone affirme avoir renforcé de manière significative ses mesures de sécurité. Des audits internes ont été menés et des mécanismes d’authentification plus robustes ont été déployés sur ses plateformes. Le régulateur a confirmé que des « progrès notables » ont été constatés dans les mois ayant suivi le début de la procédure.

Cette sanction contre Vodafone s’inscrit dans un contexte européen marqué par une augmentation significative des sanctions liées à la protection des données personnelles. Les autorités européennes, coordonnées par le Comité européen de la protection des données (EDPB), appliquent désormais avec rigueur les dispositions du RGPD.

️ VEILLE ZATAZ, VOTRE RADAR CYBER

Adoptée et approuvée par 96 % de nos abonnés !

Découvrir la veille maintenant

Aucune publicité. Alerte directe. Veille éthique.

En mai 2023, Meta avait été condamnée à une amende record de 1,2 milliard d’euros (1,37 milliard de dollars) pour des transferts de données jugés non conformes entre l’Union européenne et les États-Unis. Uber, de son côté, a écopé d’une sanction de 290 millions d’euros (330 millions de dollars) pour avoir transféré des données de conducteurs sans garanties suffisantes.

Pour Louisa Specht-Riemenschneider, la commissaire fédérale allemande à la protection des données, cette vigilance accrue est essentielle pour préserver la confiance du public. « La protection des données est un facteur de confiance pour les utilisateurs de services numériques et peut devenir un avantage concurrentiel », a-t-elle souligné dans un communiqué.

La responsable insiste également sur l’importance de la prévention, affirmant que « les entreprises doivent être en mesure de respecter la législation en matière de protection des données avant même que les violations ne surviennent ».

Une surveillance qui s’intensifie

L’affaire Vodafone illustre clairement les attentes grandissantes des régulateurs à l’égard des multinationales. Si la répression devient plus visible, c’est aussi parce que la société numérique génère des volumes de données toujours plus importants, augmentant ainsi les risques d’exploitation abusive ou de compromission.

En Allemagne, le BfDI multiplie depuis deux ans les contrôles sectoriels, notamment dans les télécommunications et les services bancaires. Ces secteurs traitent quotidiennement des données hautement sensibles, allant des informations d’identification jusqu’aux transactions financières. Toute faille ou dérive dans la gestion de ces données expose les entreprises à des sanctions sévères.

Vodafone, présent dans plus de 20 pays, n’est pas à sa première controverse en matière de gestion des données. En 2019, l’opérateur avait déjà été interpellé en Italie pour avoir laissé des agents commerciaux sous-traitants démarcher illégalement des clients, ce qui avait entraîné une sanction de 12 millions d’euros par le Garante per la protezione dei dati personali.

La répétition de ces incidents montre que la gestion des partenaires externes représente un maillon faible pour les grandes entreprises opérant dans plusieurs juridictions. C’est d’ailleurs un point d’attention majeur dans les audits RGPD, qui insistent sur la nécessité de responsabiliser l’ensemble de la chaîne de traitement des données, sous-traitants compris.

Un avertissement pour l’ensemble du secteur

Avec cette nouvelle sanction, le message du BfDI est clair : les entreprises qui ne surveillent pas leurs partenaires ou qui négligent la sécurité des données encourent des conséquences financières lourdes. Au-delà du montant de l’amende, c’est aussi l’image de l’entreprise qui en sort écornée, dans un contexte où la protection des données est devenue un critère de différenciation pour les consommateurs.

Les prochains mois diront si Vodafone parvient à restaurer la confiance et à faire oublier cet épisode. Pour l’heure, l’entreprise affirme avoir « fondamentalement revu ses systèmes et processus« , tout en assurant que la protection des données est désormais « une priorité de la direction« . Reste à savoir si ces mesures suffiront à prévenir de nouveaux incidents.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

Crocodilus, le cheval de Troie Android qui infiltre les contacts pour piéger les victimes

Un nouveau malware bancaire Android nommé Crocodilus manipule les carnets de contacts pour se faire passer pour des services officiels et voler les données bancaires des utilisateurs.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

 

Apparu en mars 2025, le malware bancaire Crocodilus connaît une progression fulgurante. En quelques mois, il a étendu ses opérations en Europe, en Amérique du Sud et en Asie, en perfectionnant ses méthodes d’attaque. Dernière nouveauté, les chercheurs de ThreatFabric ont révélé que ce cheval de Troie est désormais capable d’ajouter de faux contacts dans les répertoires des victimes. Ces entrées frauduleuses usurpent l’identité de lignes de support bancaires pour piéger les utilisateurs via des appels malveillants. Ce procédé, qui pourrait tromper les systèmes de prévention de fraude reposant sur la reconnaissance des numéros, témoigne d’un degré de sophistication croissant. Derrière ce développement rapide, les experts soupçonnent un groupe bien structuré et doté de moyens importants, bien qu’aucune attribution officielle n’ait été formulée à ce stade.

Une menace polymorphe aux méthodes évolutives

Crocodilus s’inscrit dans la lignée des chevaux de Troie bancaires Android, des logiciels malveillants capables de s’introduire dans les smartphones pour intercepter des informations sensibles telles que les identifiants bancaires, les SMS d’authentification ou les mots de passe à usage unique. Là où il se démarque, c’est par sa capacité à évoluer rapidement et à adopter de nouvelles fonctionnalités destinées à contourner les protections mises en place par les systèmes d’exploitation mobiles et les applications financières.

Le malware peut désormais ajouter des contacts fictifs dans le carnet d’adresses du téléphone infecté. L’objectif est de faire passer des appels malveillants pour des communications officielles. Cette technique vise à duper l’utilisateur en affichant des noms familiers ou attendus, comme « Assistance bancaire », ce qui pourrait le pousser à répondre sans méfiance. Ces appels frauduleux, associés à des scénarios d’ingénierie sociale, servent à récolter des informations complémentaires ou à inciter à installer d’autres logiciels malveillants.

L’analyse précise que Crocodilus est principalement diffusé via des publicités malveillantes sur Facebook. Ces annonces restent en ligne entre une et deux heures, le temps d’être vues plus de 1 000 fois en moyenne. Le profil type des victimes : des utilisateurs de plus de 35 ans, ce qui laisse penser à une cible financièrement stable. Une fois le lien cliqué, l’utilisateur est redirigé vers un site web frauduleux qui télécharge un dropper, c’est-à-dire un logiciel servant à installer discrètement le malware sur le téléphone.

Le dropper de Crocodilus a la capacité de contourner les restrictions de sécurité introduites par Android 13, ce qui le rend particulièrement dangereux pour les terminaux récents. En s’infiltrant à ce niveau du système, il peut ensuite demander des autorisations sensibles et s’installer de manière persistante, échappant aux contrôles classiques.

Une campagne mondiale aux multiples visages

Initialement repéré dans le cadre de campagnes de test restreintes, Crocodilus a rapidement étendu son champ d’action. En Pologne, le cheval de Troie a été diffusé via des publicités Facebook se faisant passer pour des applications bancaires et de commerce en ligne populaires. En Turquie, il a pris l’apparence d’un casino en ligne, en superposant de fausses interfaces de connexion sur de véritables applications financières. En Espagne, les campagnes ont pris la forme de fausses mises à jour de navigateur ciblant presque toutes les grandes banques du pays.

️ VEILLE ZATAZ, VOTRE RADAR CYBER

Adoptée et approuvée par 96 % de nos abonnés !

Découvrir la veille maintenant

Aucune publicité. Alerte directe. Veille éthique.

Les chercheurs ont également observé des campagnes actives en Argentine, au Brésil, en Inde, en Indonésie et aux États-Unis. Dans chacun de ces pays, le malware adapte ses méthodes d’usurpation en fonction des habitudes numériques locales et des institutions financières les plus utilisées. L’ampleur géographique de ces attaques et leur niveau de personnalisation indiquent, selon les experts, une organisation bien structurée, capable de coordonner des campagnes complexes sur plusieurs continents.

Pour l’heure, aucune piste officielle ne permet d’attribuer Crocodilus à un groupe criminel identifié. Toutefois, son développement rapide, sa capacité d’adaptation et ses fonctionnalités avancées suggèrent l’implication d’un acteur disposant de ressources importantes et d’une expertise technique confirmée.

Les chevaux de Troie bancaires, une menace persistante sur Android

Les chevaux de Troie bancaires sont l’un des types de logiciels malveillants les plus répandus sur Android. Ils sont conçus pour détourner les données bancaires des utilisateurs et permettent aux attaquants de réaliser des transactions non autorisées ou de prendre le contrôle complet d’un compte. Une fois les identifiants collectés, les cybercriminels peuvent contourner les mécanismes d’authentification à deux facteurs et vider les comptes en quelques minutes.

Crocodilus n’est pas un cas isolé. En septembre 2024, des chercheurs ont découvert Ajina Banker, un autre malware Android visant les clients bancaires d’Asie centrale. Ce cheval de Troie était dissimulé dans des fichiers malveillants imitant des applications financières officielles ou des services administratifs, exploitant la confiance des utilisateurs dans les outils institutionnels.

En parallèle, Chavecloak cible principalement les utilisateurs brésiliens. Ce malware se diffuse via des fichiers PDF piégés et récupère les informations de connexion bancaire. Dans la majorité des cas, les victimes ne se rendent compte de l’infection qu’après la perte effective de fonds. Ces exemples soulignent une tendance inquiétante : les malwares se complexifient et s’infiltrent de plus en plus dans les outils du quotidien, rendant leur détection difficile pour les utilisateurs non avertis.

Les systèmes de protection intégrés à Android, comme Google Play Protect, sont souvent inefficaces contre ces malwares lorsque ceux-ci sont diffusés en dehors du Play Store officiel. L’éducation des utilisateurs, le renforcement des campagnes de sensibilisation et la collaboration entre les plateformes sociales et les éditeurs de sécurité sont autant de leviers nécessaires pour limiter la propagation de ces menaces.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

Google mise sur l’IA locale avec AI Edge Gallery

Une nouvelle application expérimentale permet d’exécuter des modèles d’intelligence artificielle directement sur son téléphone, sans connexion à un serveur distant.

Développée par Google et encore au stade alpha, l’application AI Edge Gallery ambitionne de transformer notre rapport à l’intelligence artificielle en plaçant les modèles au plus près de l’utilisateur. Conçue pour fonctionner hors ligne, elle ouvre la voie à une IA plus privée, plus efficace et potentiellement moins énergivore. Derrière cette initiative, un objectif clair : proposer une alternative à l’omniprésence du cloud dans les usages courants de l’intelligence artificielle. Mais cette approche peut-elle rivaliser avec la puissance centralisée des grands serveurs ?

Lancée discrètement sur GitHub par les équipes de Google, AI Edge Gallery est pour l’instant uniquement disponible sous forme de code source à compiler sur un appareil Android. Son objectif est de proposer une interface simple permettant à tout utilisateur de rechercher, télécharger et exécuter des modèles d’IA capables d’opérer localement, directement sur les processeurs des téléphones, tablettes ou autres appareils périphériques. Ce type de déploiement, encore marginal, prend une importance stratégique croissante pour les géants du numérique. L’approche s’inscrit dans une tendance plus large d’ »edge computing » : faire travailler les appareils eux-mêmes, au lieu de tout déporter vers des serveurs distants.

Selon la page GitHub du projet, l’application fonctionne comme une mini galerie de modèles IA. Une fois installée, elle permet de rechercher un modèle adapté à une tâche précise — par exemple, chatter avec une IA, identifier des objets dans une photo ou générer une image à partir d’une description. Lorsque l’utilisateur sélectionne une tâche, AI Edge Gallery propose une liste de modèles légers (souvent au format TensorFlow Lite), compatibles avec les performances d’un appareil mobile. L’enjeu est double : offrir des performances acceptables tout en assurant que les données restent stockées localement, sans transiter par Internet.

La question de la confidentialité est au cœur de cette nouvelle orientation. Lorsqu’un utilisateur interagit avec un assistant vocal, une IA de correction grammaticale ou une application de retouche photo, les données sont souvent envoyées vers un serveur distant pour traitement. Ce transfert soulève des inquiétudes légitimes en matière de vie privée, notamment dans les domaines sensibles comme la santé, la finance ou l’éducation. Avec une IA locale, les données restent sur l’appareil, ce qui élimine une grande partie des risques liés à l’interception ou à la réutilisation des données personnelles.

Le projet, toutefois, en est encore à ses débuts. Il ne s’agit pas d’une application prête à l’emploi pour le grand public, mais plutôt d’un outil destiné aux développeurs ou aux curieux capables de compiler le projet eux-mêmes. À l’heure actuelle, il n’existe pas encore de version officielle sur le Google Play Store, ni de communiqué de presse confirmant une sortie imminente sur iOS. Google précise que le développement est en phase « alpha expérimentale » et que la stabilité, la compatibilité et la performance des modèles intégrés peuvent varier considérablement selon les appareils.

Cela n’empêche pas AI Edge Gallery de susciter l’intérêt. Le dépôt GitHub est sous licence Apache 2.0, ce qui signifie que d’autres développeurs peuvent le modifier, y contribuer ou l’intégrer dans des applications plus vastes. Cette ouverture pourrait favoriser une communauté dynamique autour des IA locales, à l’image de ce qui s’est déjà produit pour des projets comme Stable Diffusion ou LLaMA, adaptés eux aussi pour une exécution hors ligne sur certains appareils puissants.

Pour que cette approche prenne réellement de l’ampleur, encore faut-il que les modèles soient à la hauteur. Aujourd’hui, les IA locales restent bien souvent moins puissantes que leurs équivalents dans le cloud, faute de puissance de calcul. Un modèle de génération d’images tel que Stable Diffusion Mini peut fonctionner sur un smartphone haut de gamme, mais il demandera plusieurs secondes, voire minutes, pour produire une image. De même, les modèles de type LLM (Large Language Model) fonctionnant en local sont encore limités en vocabulaire, en mémoire contextuelle et en fluidité.

Cela dit, le développement matériel rattrape peu à peu le fossé. De plus en plus de téléphones embarquent des puces dédiées à l’intelligence artificielle, comme les NPU (Neural Processing Unit) intégrés dans les dernières générations de Snapdragon ou Tensor. Ces processeurs permettent d’exécuter des modèles IA plus lourds sans impacter l’autonomie ou les performances générales du téléphone. Google, avec son propre SoC Tensor G3, semble vouloir s’appuyer sur ces capacités pour pousser l’IA locale comme standard futur de ses appareils Pixel.

À travers AI Edge Gallery, Google explore aussi une forme de décentralisation de l’intelligence artificielle. Là où l’IA actuelle repose massivement sur des architectures cloud (comme celles d’OpenAI, d’Anthropic ou de Meta), le choix d’un fonctionnement local déplace l’équilibre. Le traitement des données personnelles devient un choix utilisateur. L’utilisateur télécharge un modèle, l’exécute localement, puis interagit avec lui sans jamais transmettre ses données à un serveur tiers. Ce changement de paradigme est crucial dans le contexte actuel, où la régulation des données personnelles se renforce, notamment en Europe avec le RGPD, ou en Californie avec le CCPA.

L’approche soulève néanmoins des défis. Comment s’assurer que les modèles téléchargés sont sécurisés, non modifiés, ou exempts de biais ? Google indique que l’application AI Edge Gallery pourrait à terme inclure des mécanismes de validation ou de signature des modèles. Mais pour l’instant, cette vérification est laissée à la responsabilité de l’utilisateur ou du développeur tiers.

En toile de fond, se dessine une nouvelle vision de l’intelligence artificielle : plus distribuée, plus personnelle, plus respectueuse de la vie privée. Google n’est pas le seul à explorer cette piste. Apple, avec ses puces Neural Engine, a intégré depuis plusieurs années des fonctions IA directement dans iOS, sans passer par des serveurs externes. Mais l’approche de Google, via AI Edge Gallery, va plus loin : elle propose un écosystème complet pour la recherche, la sélection et le test de modèles IA embarqués.

Il reste à voir si cette vision pourra se généraliser.

Apple muscle sa lutte contre la fraude : 9 milliards de dollars déjoués en cinq ans

Apple affirme avoir empêché pour plus de 9 milliards de dollars (environ 8,3 milliards d’euros) de fraudes sur son App Store en cinq ans, dont plus de 2 milliards rien qu’en 2024.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

 

Dans un écosystème numérique de plus en plus exposé aux manipulations, Apple se pose en rempart contre les abus. Son dernier rapport sur la sécurité de l’App Store met en lumière des chiffres impressionnants : des millions de tentatives de fraudes ont été bloquées, des centaines de milliers de comptes supprimés, et des dizaines de milliers d’applications malveillantes rejetées. Cette vigilance accrue intervient alors que la pression réglementaire s’intensifie aux États-Unis, notamment sur les systèmes de paiement, et que la concurrence, comme Google, redouble elle aussi d’efforts pour sécuriser ses plateformes. Face à ces menaces en constante mutation, Apple entend prouver que son modèle fermé, longtemps critiqué, reste une barrière efficace contre la fraude numérique.

Des chiffres qui illustrent une surveillance de chaque instant

Apple n’a pas ménagé ses efforts en 2024 pour protéger ses utilisateurs. Selon les données publiées, la firme de Cupertino a bloqué plus de 2 milliards de dollars (environ 1,84 milliard d’euros) de transactions frauduleuses en une seule année. Ce chiffre record s’appuie sur une stratégie qui combine l’intelligence artificielle, la modération humaine et des outils d’analyse comportementale sophistiqués.

L’entreprise a supprimé plus de 46 000 comptes de développeurs pour comportement frauduleux, et en a rejeté 139 000 autres avant même qu’ils ne puissent publier quoi que ce soit. Cela traduit un durcissement du contrôle dès les premières étapes de validation, une mesure nécessaire dans un environnement où les fausses applications et les escroqueries évoluent rapidement.

Apple a également porté une attention particulière aux faux comptes et aux avis manipulés, deux fléaux qui minent la confiance des utilisateurs dans l’App Store. En 2024, plus de 711 millions de comptes utilisateurs soupçonnés de comportements frauduleux ont été bloqués, dont 129 millions désactivés pour leur implication dans le spam ou la manipulation de notes. La suppression de 143 millions de faux avis montre à quel point ces pratiques sont répandues et nuisibles.

Cette lutte s’étend aussi aux paiements : l’entreprise a identifié et bloqué 4,7 millions de cartes bancaires volées, empêchant 1,6 million de comptes d’en tirer profit. Une prouesse technologique qui repose sur des systèmes de détection sophistiqués et une coopération étroite avec les institutions financières.

Des applications écartées avant même leur apparition

Au-delà des comptes frauduleux, c’est l’écosystème applicatif tout entier que la marque a scruté avec rigueur. Près de 2 millions de candidatures d’applications ont été refusées pour non-conformité aux règles de confidentialité et de sécurité, ce qui révèle une ligne éditoriale de plus en plus stricte. Certaines applications sont rejetées avant même d’avoir atteint la phase de publication, notamment lorsqu’elles contiennent des fonctionnalités dissimulées ou des intentions douteuses.

En tout, plus de 37 000 applications ont été supprimées pour fraude avérée, et 43 000 autres rejetées pour avoir tenté d’introduire des fonctionnalités non déclarées. Le contrôle va jusqu’à la détection d’éléments cachés dans le code, ce qui nécessite une analyse approfondie des fichiers fournis par les développeurs.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

 

La lutte s’étend également hors de l’App Store. Apple affirme avoir bloqué l’installation de 10 000 applications piratées et stoppé 4,6 millions de tentatives de téléchargement de logiciels malveillants provenant de sources non officielles. Cela montre à quel point le périmètre de la surveillance s’est élargi, englobant aussi les zones grises du téléchargement parallèle.

Ce rapport est publié dans un contexte particulier. Aux États-Unis, de nouvelles règles imposent à Apple de permettre aux applications d’utiliser des méthodes de paiement alternatives, contournant ainsi l’App Store. Cette décision affaiblit le contrôle centralisé qui permettait à Apple de sécuriser chaque étape des transactions.

Apple se sert donc de ces résultats comme d’un argument. En montrant l’efficacité de son système fermé, la firme tente de défendre son modèle économique et son monopole sur les paiements intégrés. Selon elle, autoriser des paiements alternatifs pourrait ouvrir la porte à des fraudes plus difficiles à détecter, voire incontrôlables.

De son côté, Google n’est pas en reste. En 2024, son Play Store a bloqué plus de 2,36 millions d’applications malveillantes et supprimé 158 000 comptes considérés comme dangereux. Les deux géants américains semblent ainsi engagés dans une course à la sécurité, chacun cherchant à rassurer ses utilisateurs et à répondre aux critiques croissantes sur la surveillance des contenus numériques.

Vers une responsabilisation croissante des plateformes

La publication de tels chiffres traduit un changement profond dans la manière dont les grandes plateformes numériques conçoivent leur rôle. Il ne s’agit plus seulement de distribuer des applications, mais aussi de garantir un environnement sain, sécurisé et digne de confiance. Les géants comme Apple ou Google savent que leur réputation repose sur la fiabilité de leurs services.

Apple revendique désormais un rôle quasi institutionnel de gardien du numérique, ce qui l’oblige à investir massivement dans la modération, la cybersécurité et l’intelligence artificielle. Mais cette posture soulève aussi des interrogations sur la concentration des pouvoirs entre les mains d’une poignée d’entreprises privées.

La question de l’équilibre entre ouverture du marché, respect des règles de concurrence et sécurité des utilisateurs devient centrale. Si le modèle fermé d’Apple a prouvé son efficacité, il n’est pas exempt de critiques, notamment sur le manque de transparence de ses procédures et la possibilité d’abus dans la sélection des applications autorisées.

Rejoignez-nous sur vos réseaux sociaux

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.