Archives de catégorie : Justice

Cybersécurité, Justice

Le Congrès américain veut prolonger la loi clé sur le partage cyber

Une commission du Congrès a validé la prolongation de la loi de 2015 sur le partage d’informations cyber, outil central pour sécuriser les échanges entre entreprises privées et gouvernement.

La loi américaine sur le partage d’informations cyber, adoptée en 2015 après le piratage massif de l’Office of Personnel Management, arrive à expiration le 30 septembre. Une commission de la Chambre a approuvé son renouvellement via le WIMWIG Act, qui prolongerait le dispositif de dix ans. Le texte protège les entreprises de poursuites lorsqu’elles transmettent des renseignements sur des menaces informatiques aux autorités fédérales. S’il est jugé crucial pour la coopération public/privé, le processus de révision suscite des critiques sur la transparence et alimente un débat politique autour du rôle de l’agence CISA, accusée par certains élus républicains de censure en matière de désinformation.

Un cadre légal en sursis

Adoptée en 2015, la loi Cybersecurity and Information Sharing Act (CISA) autorise les acteurs privés à transmettre des renseignements sur des cybermenaces aux autorités fédérales sans crainte de poursuites. Elle devait expirer le 30 septembre. La commission de la Sécurité intérieure de la Chambre a validé mercredi une extension baptisée WIMWIG Act, pour Widespread Information Management for the Welfare of Infrastructure and Government. Cette reconduction de dix ans doit désormais être examinée en séance plénière.

L’adoption initiale de la loi avait marqué un tournant après l’onde de choc provoquée par la fuite massive des données de l’Office of Personnel Management en 2015, qui avait exposé les informations de plus de 21 millions de fonctionnaires. L’affaire avait levé les dernières résistances nées des révélations d’Edward Snowden en 2013 sur les abus de surveillance. Depuis, la loi a permis d’ancrer une coopération jugée essentielle entre infrastructures critiques et gouvernement fédéral.

Des amendements techniques contestés

Le renouvellement du texte a été examiné sans opposition frontale sur le fond. Mais le démocrate Bennie Thompson, élu du Mississippi et chef de file minoritaire, a dénoncé une procédure expéditive. Selon lui, le président de la commission Andrew Garbarino, républicain de New York, a « écourté inutilement » les discussions, la version publique n’ayant été dévoilée que deux jours avant l’examen.

Plusieurs amendements techniques ont été intégrés sans provoquer de débat majeur. Les critiques se sont concentrées sur la méthode, révélant les tensions partisanes autour du dossier, plus que sur la substance du dispositif de partage d’informations lui-même.

Le sujet le plus sensible reste le rôle de l’agence Cybersecurity and Infrastructure Security Agency (CISA). Certains élus républicains redoutent que cette structure fédérale, au cœur du dispositif, ne serve d’outil pour limiter la liberté d’expression. Ces craintes, relayées par le sénateur Rand Paul, président républicain de la commission sénatoriale de la Sécurité intérieure, pourraient peser lors de l’examen au Sénat. Paul, défenseur intransigeant du premier amendement, a annoncé vouloir insérer des garanties interdisant toute action assimilée à de la censure.

Les critiques s’appuient sur les campagnes menées par la CISA autour des élections de 2020, lorsqu’elle avait travaillé avec les plateformes en ligne pour contrer la désinformation. Pour ses détracteurs, ces actions auraient exercé une pression inconstitutionnelle sur des entreprises privées, aboutissant à la suppression de contenus jugés favorables aux conservateurs. Garbarino a confirmé avoir échangé avec Paul sur un texte en préparation visant directement l’agence, sans préciser s’il s’agissait d’un amendement au WIMWIG Act ou d’une proposition distincte.

Le renouvellement du cadre de partage d’informations cyber reste perçu comme indispensable pour protéger les infrastructures critiques. Mais les débats sur le rôle de la CISA et la crainte d’une dérive vers la censure pourraient-ils freiner l’adoption finale d’un dispositif pourtant jugé vital par les acteurs du renseignement et de la cybersécurité ?

Cybersécurité, Espionnage Spy, Justice

Disney sanctionné pour collecte illégale de données d’enfants

Disney a accepté de verser 10 M$ (9,3 M€) à la FTC pour avoir violé la loi COPPA en mal étiquetant des vidéos YouTube destinées aux enfants, permettant la collecte de données personnelles sans consentement parental.

Le règlement impose à Disney de revoir sa gestion de contenus en ligne. L’affaire révèle un problème plus large : les limites du système actuel de protection de la vie privée des mineurs, alors que la publicité ciblée et l’IA façonnent déjà l’écosystème numérique des plus jeunes.

Disney face aux accusations de la FTC

La FTC reproche à Disney d’avoir utilisé des paramètres par défaut au niveau des chaînes plutôt qu’une classification vidéo par vidéo. Résultat : des contenus pour enfants issus de franchises comme Frozen, Toy Story ou Les Indestructibles ont été étiquetés « non destinés aux enfants ». Cette erreur a ouvert la voie à la collecte de données et à la publicité personnalisée, pratiques interdites par la COPPA.

En 2020, YouTube avait pourtant corrigé plus de 300 vidéos mal classées, les passant en « contenu enfant ». Malgré ce signalement, Disney a maintenu son système de réglage global, y compris sur des chaînes explicitement dédiées aux plus jeunes comme Disney Junior, Mickey Mouse ou Pixar Cars. L’absence de contrôle individuel a ainsi prolongé les violations de la loi.

Selon la FTC, ces erreurs ont exposé les enfants à des fonctionnalités interdites, telles que l’autoplay ou les annonces ciblées. Disney, qui tire profit des revenus publicitaires générés sur YouTube, est accusé d’avoir négligé sa responsabilité en matière de protection des mineurs.

Les obligations du règlement

L’amende de 10 M$ (≈ 9,3 M€) n’est qu’un aspect de la sanction. Disney devra désormais informer clairement les parents avant toute collecte de données personnelles concernant des enfants de moins de 13 ans et obtenir leur accord préalable.

L’entreprise est également contrainte de mettre en place un programme complet de vérification de l’ensemble de ses vidéos YouTube. Cette obligation pourrait être levée uniquement si YouTube déploie une « technologie d’assurance d’âge » : un système capable de vérifier automatiquement l’âge réel des spectateurs.

Cette perspective ouvre un débat plus large. Jusqu’ici, les plateformes reposaient sur l’autodéclaration et le bon vouloir des entreprises pour étiqueter correctement leurs contenus. L’exigence de solutions automatisées marque un tournant vers une identification systématique et centralisée des spectateurs mineurs, avec tout ce que cela implique en termes de surveillance numérique.

Une première pour les créateurs de contenus YouTube

Le président de la FTC, Andrew Ferguson, a résumé l’enjeu : « Notre décision sanctionne l’abus de confiance des parents par Disney. » Au-delà du cas particulier, ce règlement illustre une évolution : les autorités ne se contentent plus de cibler les plateformes, elles sanctionnent désormais aussi les producteurs de contenus.

C’est la première fois qu’une procédure COPPA vise directement un fournisseur de vidéos sur YouTube, et non la plateforme elle-même. En 2019, Google et YouTube avaient conclu un accord record de 170 M$ (≈ 157,7 M€) pour des violations similaires. L’affaire Disney s’inscrit donc dans la continuité d’un durcissement de la régulation, où les grandes marques ne sont pas à l’abri.

Si Disney se conforme aux nouvelles règles, les contenus destinés aux enfants devraient être correctement classés à l’avenir, limitant l’exposition aux publicités ciblées et améliorant la protection des données. Mais l’affaire rappelle surtout que la protection des mineurs ne peut être laissée au seul bon sens des entreprises, même celles qui incarnent une image familiale.

L’affaire révèle un basculement : le contrôle des contenus pour enfants se déplace vers des mécanismes de vérification technique. La question reste ouverte : jusqu’où l’« assurance d’âge » automatisée peut-elle protéger les enfants sans instaurer une surveillance généralisée des internautes ?

Cybersécurité, Espionnage Spy, Fuite de données, Justice

Pékin accuse Nvidia : soupçons de backdoors dans les puces IA H20

Nvidia dans le viseur de la Chine : Pékin suspecte ses puces IA H20 d’abriter des backdoors, ravivant la guerre technologique sur fond de cybersurveillance mondiale.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

La Chine vient d’interpeller Nvidia, géant américain des semi-conducteurs, au sujet de présumés backdoors dans ses puces H20 destinées à l’intelligence artificielle locale. Pékin s’appuie sur de nouvelles lois sur la cybersécurité pour exiger transparence et garanties techniques, tandis que Washington impose, de son côté, des restrictions et des mécanismes de contrôle dans les puces exportées. Cet épisode cristallise la montée en puissance des tensions entre les deux superpuissances numériques, où la sécurité, la souveraineté et la capacité de renseignement s’entremêlent. Retour sur les dessous d’un affrontement qui redéfinit les équilibres du cyberespace mondial.

L’ombre du renseignement : Pékin convoque Nvidia

Au matin du 31 juillet 2025, une rumeur parcourt les couloirs feutrés des grandes universités technologiques de Pékin. Dans un communiqué solennel, la Cyberspace Administration of China (CAC), autorité suprême du cyberespace, annonce avoir convoqué l’un des plus puissants fabricants mondiaux de puces d’intelligence artificielle : Nvidia.

La raison officielle ? La présence de « vulnérabilités de sécurité sérieuses » – des backdoors selon l’administration – dans les puces H20, version modifiée et bridée, spécialement conçue pour satisfaire aux exigences américaines en matière d’exportation vers la Chine.

Derrière la formule administrative, la réalité est bien plus explosive. Car depuis 2023, le secteur mondial des semi-conducteurs est l’objet de toutes les tensions, chaque acteur jouant une partie d’échecs à très haut risque, où chaque mouvement peut avoir des conséquences stratégiques majeures.

Washington, dans une course effrénée à la suprématie technologique, a multiplié les restrictions à l’exportation, craignant que ses technologies ne viennent renforcer la puissance militaire et cybernétique chinoise. Mais la diplomatie du silicium ne se limite pas à un simple jeu de barrières douanières. Depuis quelques mois, la législation américaine va plus loin : avec le Chip Security Act, toute puce IA exportée doit embarquer des fonctions de traçage GPS, de localisation et de coupure à distance.

Pour Pékin, c’est une déclaration de guerre numérique à peine voilée.

La cyberguerre dans le silicium : l’art du soupçon et de la riposte

La convocation de Nvidia par les autorités chinoises n’est pas un geste isolé. Elle s’inscrit dans une stratégie globale, où la souveraineté numérique est devenue une priorité nationale. La Chine, qui ne cesse de rappeler son attachement à la « cybersécurité et à la protection des données des utilisateurs », applique strictement ses lois : Cybersecurity Law, Data Security Law et Personal Information Protection Law.

Au centre de l’enquête, une question : les puces H20, qui font tourner nombre d’algorithmes d’intelligence artificielle en Chine, sont-elles vraiment sûres ?

En creux, la peur d’un sabotage à distance. Si les puces américaines comportent effectivement des modules de tracking ou de télécommande, Washington pourrait, en cas de crise, désactiver à volonté une partie de l’infrastructure numérique chinoise. Un scénario digne de la cyberguerre froide, mais qui devient, à la lumière des technologies actuelles, de plus en plus crédible.

La réponse de Nvidia ne s’est pas fait attendre. L’entreprise, par la voix d’un de ses porte-paroles, nie toute présence de backdoor : « La cybersécurité est essentielle pour nous. Nvidia ne place aucune porte dérobée dans ses puces permettant un accès ou un contrôle à distance par un tiers. »

Mais la défiance est tenace, et pour cause : dans le même temps, le marché noir s’empare du sujet. Selon les estimations, pour plus d’un milliard de dollars (environ 920 millions d’euros) de puces Nvidia, parfois des modèles officiellement bannis comme les B200, H10 ou H200, auraient trouvé leur chemin vers la Chine via des circuits parallèles. Kits complets, racks prêts à l’emploi, tout s’arrache sous le manteau – preuve que le besoin de puissance de calcul reste insatiable, quelles que soient les réglementations.

Sécurité nationale, souveraineté et rivalité : le vrai visage de la crise

Ce bras de fer n’est pas qu’une affaire de technique : il symbolise la nouvelle géopolitique du renseignement à l’ère de l’IA. En exigeant de Nvidia la remise de « preuves », de « documents techniques » et d’« explications détaillées », Pékin affiche sa volonté de contrôler la chaîne technologique, mais aussi de démontrer à ses propres acteurs économiques la nécessité d’une indépendance stratégique.

Les failles supposées des puces H20 ne sont en réalité que l’arbre qui cache la forêt. Car malgré les efforts de géants nationaux comme Huawei ou SMIC, la Chine reste encore dépendante, pour les applications de pointe, des technologies américaines. Le lancement du dernier notebook Huawei, salué comme une avancée nationale, a aussi révélé le retard technologique du pays – des générations entières de retard, difficilement comblables sans coopération internationale.

La bataille se joue également sur le terrain du renseignement : dans le cyberespace, tout composant étranger est désormais considéré comme une menace potentielle. L’incertitude est totale. Qui détient vraiment la clé du contrôle de ces puces ? Les circuits imprimés sont-ils de simples outils, ou des armes silencieuses, prêtes à être activées à distance ?

Pour Pékin, la réponse est claire : seule une maîtrise totale de la chaîne technologique, du design à la production, en passant par le contrôle des codes sources, permettra de garantir la sécurité nationale. En attendant, la Chine redouble d’efforts pour stimuler son industrie, investir massivement dans la recherche et l’innovation, et limiter sa dépendance à l’Occident.

Mais la tâche est titanesque. Face à une Silicon Valley toujours à la pointe, les ambitions chinoises se heurtent à des décennies de domination américaine. Le feuilleton des puces Nvidia H20 n’est qu’un épisode de plus dans une série au long cours : celle de la conquête, puis de la sécurisation, du cyberespace mondial.

Chiffrement, Entreprise, Justice, Mise à jour

WeTransfer dans la tourmente : vos fichiers peuvent-ils vraiment être utilisés pour entraîner une IA ?

WeTransfer a récemment déclenché une vague d’indignation en modifiant discrètement ses conditions générales d’utilisation. En jeu : une licence d’exploitation massive sur vos fichiers… et potentiellement leur usage dans des intelligences artificielles.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

En juillet 2025, la plateforme de transfert de fichiers WeTransfer, prisée par des millions de créatifs, journalistes et professionnels, a discrètement mis à jour ses conditions générales d’utilisation. Une nouvelle clause a suscité une vive polémique : elle accordait à l’entreprise une licence étendue pour exploiter les fichiers transférés – incluant la possibilité de les modifier, reproduire, distribuer… voire les utiliser à des fins d’entraînement d’intelligence artificielle.

Face à une levée de boucliers sur Reddit, LinkedIn et dans les cercles créatifs, la société a fait machine arrière. Mais l’affaire soulève des questions cruciales : que devient réellement ce que vous transférez ? Et à quel prix pour votre confidentialité ?

Une licence qui va (très) loin

La version de juillet 2025 des CGU de WeTransfer stipulait que les utilisateurs concédaient une licence perpétuelle, mondiale, gratuite, transférable et sous-licenciable à l’entreprise sur tous les fichiers envoyés via la plateforme.

Dans le détail, cette licence permettait à WeTransfer de :

  • reproduire vos fichiers,

  • créer des œuvres dérivées,

  • les modifier,

  • les distribuer,

  • les afficher publiquement,

  • et même… les utiliser pour former ses propres modèles d’intelligence artificielle.

Autrement dit, vos projets de design, vos photos confidentielles, vos productions vidéos ou fichiers journalistiques pouvaient servir d’alimentation à une IA maison, sans votre consentement explicite… ni compensation.

« C’est totalement fou. On transfère nos rushs à nos clients, et là on apprend que WeTransfer peut les réutiliser comme bon lui semble ? » — témoignage d’un monteur freelance sur Reddit

Le retour de bâton : colère, buzz, et retrait partiel

La clause n’est pas passée inaperçue. Sur les réseaux sociaux, les réactions ont été instantanées et virulentes :

  • Reddit a vu fleurir des topics avec des titres comme “WeTransfer just gave itself full rights to your files” ou “Alerte, ils veulent nourrir leur IA avec nos projets”.

  • LinkedIn a vu des appels au boycott, notamment du côté des créateurs de contenu et photographes professionnels.

  • Plusieurs juristes ont également pointé une potentielle incompatibilité avec le RGPD.

Résultat : à peine une semaine plus tard, WeTransfer a publié une mise à jour. La société y assure ne pas utiliser les fichiers des utilisateurs pour entraîner d’intelligence artificielle ni les monétiser auprès de tiers.

Mais — et c’est un point crucial — la licence d’utilisation étendue n’a pas été totalement retirée. Elle demeure, même sans l’usage de l’IA.

Action Description
Lire les CGU Avant chaque envoi, surtout pour les plateformes freemium.
Ne pas utiliser WeTransfer pour des fichiers sensibles Données clients, fichiers juridiques, créations inédites : passez votre tour.
Préférer un chiffrement en amont Crypter localement vos fichiers (ex : avec VeraCrypt, 7-Zip AES).
Opter pour des alternatives plus transparentes Par exemple : SwissTransfer (serveurs suisses), SpiderOak, Tresorit (protection juridique forte, pas de clause d’usage commercial). Le service Bluefiles est une alternative parfaite. (protection juridique forte, Français).
Suivre les mises à jour légales Les CGU changent vite et souvent. Mieux vaut les suivre comme on suit une météo instable.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Sécurité : chiffrée, mais pas invisible

Sur le plan de la sécurité technique, WeTransfer communique volontiers sur sa conformité avec le RGPD et sur l’utilisation de mesures solides :

  • Chiffrement TLS et AES-256 pour les transferts.

  • Suppression automatique des fichiers après 48h ou selon durée choisie (jusqu’à 1 an si compte Pro).

  • Serveurs conformes aux clauses contractuelles types de l’UE pour les transferts hors EEE.

  • Audits et accès restreints au personnel autorisé.

Sur le papier, c’est rassurant. Mais une question subsiste : à quoi bon crypter si, contractuellement, l’entreprise se réserve le droit de consulter, modifier ou dupliquer le contenu ?

Autrement dit : la sécurité technique ne compense pas une politique de droits d’usage agressive.

Ce que dit le droit (et ce qu’il ne dit pas)

WeTransfer s’appuie sur un principe juridico-commercial courant dans le numérique : l’octroi de licence large pour assurer le bon fonctionnement du service. En clair, permettre à un serveur de copier temporairement un fichier, c’est techniquement une « reproduction ».

Mais là où beaucoup d’acteurs s’arrêtent à une licence limitée à l’exploitation nécessaire du service, WeTransfer avait franchi la ligne avec :

  • la possibilité de créer des œuvres dérivées,

  • l’autorisation de sous-licencier à des tiers,

  • l’usage dans des “produits, services ou technologies futurs”, ce qui inclut… l’IA.

Même après la suppression de la mention IA, ces points restent valides.

Un cas d’école sur le consentement numérique

L’affaire WeTransfer montre à quel point le texte des conditions générales n’est jamais anodin. Derrière un service pratique et populaire peut se cacher une stratégie d’exploitation des données, souvent camouflée dans des formulations juridiques d’apparence banale.

Cette tentative de licence “gloutonne” — et son retrait partiel sous pression — illustre :

  • le déséquilibre informationnel entre plateformes et utilisateurs ;

  • la fragilité de notre consentement numérique ;

  • l’importance d’une veille active sur les pratiques contractuelles, surtout pour les pros de la création, du journalisme et de la cybersécurité.

WeTransfer reste un outil rapide, intuitif, et pratique pour échanger de gros fichiers. Mais sa politique d’utilisation soulève des interrogations profondes sur la monétisation des données, le respect de la vie privée, et l’évolution des rapports de force entre utilisateur et plateforme.

En 2025, le cloud ne vaut pas que par sa vitesse de transfert. Il vaut aussi par ce qu’il nous fait perdre — ou garder — de nos droits fondamentaux sur nos propres données.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Cybersécurité, Justice

Coup de frein sur la cybersécurité fédérale

La CISA perdrait près d’un tiers de son personnel dans le budget 2026 proposé par l’administration Trump, alors que les menaces numériques s’intensifient.

Alors que les cyberattaques d’origine étatique et les campagnes criminelles numériques s’intensifient à travers le monde, le gouvernement fédéral américain envisage une réduction majeure de sa principale agence de cybersécurité. La Cybersecurity and Infrastructure Security Agency (CISA) pourrait perdre près de 1 000 employés à temps plein dès le prochain exercice budgétaire, selon les documents officiels publiés vendredi 31 mai 2025. Une réorientation budgétaire majeure qui suscite de nombreuses inquiétudes dans le secteur de la sécurité numérique, tant au sein de l’administration que parmi les experts en cybersécurité.

Un recul budgétaire sans précédent pour la cybersécurité civile

Selon le supplément budgétaire détaillé dévoilé en fin de semaine par la Maison-Blanche, la CISA verrait son effectif passer de 3 292 à 2 324 employés dès le 1er octobre 2025, date de début de l’exercice fiscal 2026. Soit une baisse d’environ 30 %, qui s’accompagne d’une coupe nette dans les ressources financières de l’agence. Son budget total chuterait de 2,38 milliards de dollars à 1,89 milliard (soit environ 1,74 milliard d’euros), selon un document de justification budgétaire consulté par Nextgov/FCW. Cela représente une diminution de 495 millions de dollars (environ 455 millions d’euros) par rapport à l’année précédente. Bref, ce qui avait été promis en mars 2025 s’affiche officiellement comme DataSecurityBreach.fr vous l’écrivait à l’époque.

L’ensemble des lignes budgétaires principales, opérations cyber, engagement des parties prenantes, soutien aux missions, serait touché. L’un des pans les plus sensibles, l’Election Security Program, qui comptait 14 postes et un financement de 39,6 millions de dollars (environ 36,5 millions d’euros), serait tout simplement supprimé. Cette fermeture était anticipée depuis l’annonce par la CISA, en mars dernier, de la fin de son soutien à ce programme clé pour les administrations électorales locales et étatiques. Parallèlement, les efforts de formation et d’éducation à la cybersécurité perdraient 45 millions de dollars (environ 41 millions d’euros), et le National Risk Management Center, pilier de l’analyse des menaces contre les infrastructures critiques, verrait 35 postes supprimés ainsi que 70 millions de dollars de crédits en moins (environ 64 millions d’euros).

Bien que le financement des programmes de sécurité physique des infrastructures soit légèrement rehaussé, cela ne compense en rien les coupes dans les missions cyber, cœur d’activité de l’agence.

Un effet domino sur l’ensemble de l’écosystème cyber fédéral

La réduction envisagée ne se limite pas  (PDF) à la CISA. D’autres entités fédérales impliquées dans la cybersécurité sont également concernées. Le FBI, chargé de la lutte contre la cybercriminalité intérieure, perdrait près de 1 900 employés et verrait ses obligations financières diminuer de 560 millions de dollars (environ 515 millions d’euros).

La National Security Division du département de la Justice, qui supervise notamment les questions de surveillance électronique et de contre-espionnage, verrait son budget passer de 133 à 119 millions de dollars (environ 122 à 109 millions d’euros), une baisse accompagnée de la suppression de 19 postes. Autre victime collatérale : le Department of Energy. Son Office of Cybersecurity, Energy Security and Emergency Response, qui sécurise notamment le réseau électrique national, subirait une coupe de 222 à 179 millions de dollars (environ 204 à 165 millions d’euros), et une réduction de plus de 30 % de ses effectifs. La National Science Foundation, pilier du soutien à la recherche en informatique, verrait son financement plonger de 952 à 346 millions de dollars (environ 875 à 318 millions d’euros). Une chute drastique qui pourrait freiner l’innovation technologique dans le domaine de la cybersécurité.

Même la General Services Administration, responsable des achats et services numériques gouvernementaux, verrait ses fonds fondre de 335 à 217 millions de dollars (environ 308 à 199 millions d’euros). Au département du Trésor, l’Office of Terrorism and Financial Intelligence, clé dans la lutte contre les crimes financiers, subirait une réduction de 274 à 254 millions de dollars (environ 252 à 233 millions d’euros).

L’Office of the National Cyber Director, créé récemment pour coordonner la stratégie numérique fédérale, perdrait 2 millions de dollars (environ 1,8 million d’euros) mais conserverait ses 85 employés.

Des choix politiques marqués, des critiques en perspective

Les arbitrages budgétaires marquent un tournant dans la posture fédérale face aux menaces numériques. La CISA, créée en 2018 sous la première présidence Trump, est devenue ces dernières années l’un des visages publics de la réponse fédérale aux attaques cyber et aux interférences étrangères dans le processus démocratique. Son implication dans le démantèlement des théories de fraude électorale en 2020, et sa communication sur les menaces de désinformation, en ont fait une cible de l’ancien président.

Aujourd’hui, plusieurs directions opérationnelles de l’agence sont sans responsable permanent, tout comme la moitié des antennes régionales. Le climat interne est marqué par les incertitudes, notamment en raison du programme de démission différée offert aux employés, qui permet aux agents de quitter progressivement le service fédéral tout en restant rémunérés jusqu’à la fin de l’exercice en cours.

Le candidat désigné pour diriger la CISA (PDF), Sean Plankey, devra s’expliquer ce jeudi devant le Congrès, en même temps que Sean Cairncross, pressenti pour le poste de directeur national du cyber. Leur audition devrait donner lieu à des échanges nourris sur ces orientations budgétaires, avant que le Congrès ne statue sur les propositions de l’exécutif.

Des hausses ciblées et un statu quo pour certains organismes

Tous les organes fédéraux ne sont pas logés à la même enseigne. L’Intelligence Community Management Account, qui coordonne l’action des 18 agences de renseignement, obtiendrait une hausse modeste de ses crédits, passant de 687 à 700 millions de dollars (environ 632 à 644 millions d’euros).

La Privacy and Civil Liberties Oversight Board, instance chargée de surveiller les atteintes aux libertés publiques par les agences de renseignement, ne connaîtrait quasiment aucun changement en termes de personnel ou de financement. Elle est actuellement engagée dans une procédure judiciaire contre l’administration Trump, en lien avec la révocation de ses membres démocrates.

Cybersécurité, Entreprise, Fuite de données, Justice

Vodafone sanctionné de 45 millions d’euros pour violations graves de la protection des données

L’autorité allemande de protection des données inflige une amende historique à Vodafone pour des manquements graves liés à des pratiques commerciales frauduleuses et des failles de sécurité.

Rejoignez-nous sur vos réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

 

Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018, l’Union européenne a multiplié les sanctions contre les entreprises ne respectant pas les règles strictes imposées en matière de confidentialité et de sécurité. L’Allemagne, particulièrement vigilante sur ce terrain, vient de frapper fort en sanctionnant Vodafone à hauteur de 45 millions d’euros. En cause, des pratiques commerciales trompeuses menées par des agences partenaires de l’opérateur et des failles importantes dans ses systèmes d’authentification, qui ont exposé les données de ses clients. Une décision qui s’inscrit dans une tendance croissante de surveillance renforcée par les régulateurs européens, soucieux de garantir la confiance numérique des citoyens.

Un double manquement pointé par le régulateur

Le 3 juin 2024, le Bureau fédéral de la protection des données (BfDI), autorité allemande indépendante chargée de veiller au respect du RGPD, a annoncé avoir infligé à Vodafone une amende totale de 45 millions d’euros (51,2 millions de dollars). Cette décision découle de deux types d’infractions distinctes. D’abord, le régulateur a reproché à l’entreprise son absence de contrôle sur les agences de vente partenaires, responsables de pratiques qualifiées de « malveillantes ». Ensuite, il a dénoncé des « failles critiques » dans les procédures d’authentification de Vodafone, qui ont permis à des tiers non autorisés d’accéder à des profils de clients, notamment à travers le système eSIM.

Selon le communiqué publié par le BfDI, l’enquête a révélé que certaines agences partenaires, mandatées pour vendre des services au nom de Vodafone, ont abusé de leur position. Elles auraient manipulé les contrats, falsifié des données clients ou modifié les termes sans consentement, dans le but d’atteindre des objectifs commerciaux.

La seconde infraction, bien plus lourde sur le plan financier, concerne les mécanismes d’authentification utilisés par Vodafone dans son portail en ligne et via sa hotline. Le BfDI estime que ces systèmes présentaient des vulnérabilités importantes qui ont facilité l’accès non autorisé à des données personnelles sensibles.

« Les failles découvertes permettaient notamment à des tiers d’accéder illégalement aux profils eSIM des utilisateurs« , a précisé l’autorité dans son communiqué.

Cette deuxième série de manquements a justifié une sanction de 30 millions d’euros (34 millions de dollars), les services de l’État considérant que Vodafone n’avait pas pris les mesures minimales nécessaires pour garantir la confidentialité des informations. Or, le RGPD exige des entreprises qu’elles mettent en œuvre des technologies et des protocoles de sécurité rigoureux, dès la conception de leurs produits et services.

Réactions et mesures correctives

Face à ces accusations, Vodafone a reconnu des insuffisances dans ses systèmes de protection des données. Dans un communiqué publié le jour même de la sanction, l’entreprise a exprimé ses regrets et a indiqué avoir revu en profondeur ses procédures internes.

« Les actions des agences partenaires ont révélé des lacunes dans nos contrôles de protection des données« , a déclaré un porte-parole de Vodafone. « Nous regrettons que des clients aient été impactés négativement« .

« Les systèmes et les mesures en place à l’époque se sont révélés insuffisants« , ajoute l’entreprise, affirmant que la nouvelle direction a fait de la protection des données une priorité absolue.

Depuis le début de l’enquête menée par le BfDI, Vodafone affirme avoir renforcé de manière significative ses mesures de sécurité. Des audits internes ont été menés et des mécanismes d’authentification plus robustes ont été déployés sur ses plateformes. Le régulateur a confirmé que des « progrès notables » ont été constatés dans les mois ayant suivi le début de la procédure.

Cette sanction contre Vodafone s’inscrit dans un contexte européen marqué par une augmentation significative des sanctions liées à la protection des données personnelles. Les autorités européennes, coordonnées par le Comité européen de la protection des données (EDPB), appliquent désormais avec rigueur les dispositions du RGPD.

️ VEILLE ZATAZ, VOTRE RADAR CYBER

Adoptée et approuvée par 96 % de nos abonnés !

Découvrir la veille maintenant

Aucune publicité. Alerte directe. Veille éthique.

En mai 2023, Meta avait été condamnée à une amende record de 1,2 milliard d’euros (1,37 milliard de dollars) pour des transferts de données jugés non conformes entre l’Union européenne et les États-Unis. Uber, de son côté, a écopé d’une sanction de 290 millions d’euros (330 millions de dollars) pour avoir transféré des données de conducteurs sans garanties suffisantes.

Pour Louisa Specht-Riemenschneider, la commissaire fédérale allemande à la protection des données, cette vigilance accrue est essentielle pour préserver la confiance du public. « La protection des données est un facteur de confiance pour les utilisateurs de services numériques et peut devenir un avantage concurrentiel », a-t-elle souligné dans un communiqué.

La responsable insiste également sur l’importance de la prévention, affirmant que « les entreprises doivent être en mesure de respecter la législation en matière de protection des données avant même que les violations ne surviennent ».

Une surveillance qui s’intensifie

L’affaire Vodafone illustre clairement les attentes grandissantes des régulateurs à l’égard des multinationales. Si la répression devient plus visible, c’est aussi parce que la société numérique génère des volumes de données toujours plus importants, augmentant ainsi les risques d’exploitation abusive ou de compromission.

En Allemagne, le BfDI multiplie depuis deux ans les contrôles sectoriels, notamment dans les télécommunications et les services bancaires. Ces secteurs traitent quotidiennement des données hautement sensibles, allant des informations d’identification jusqu’aux transactions financières. Toute faille ou dérive dans la gestion de ces données expose les entreprises à des sanctions sévères.

Vodafone, présent dans plus de 20 pays, n’est pas à sa première controverse en matière de gestion des données. En 2019, l’opérateur avait déjà été interpellé en Italie pour avoir laissé des agents commerciaux sous-traitants démarcher illégalement des clients, ce qui avait entraîné une sanction de 12 millions d’euros par le Garante per la protezione dei dati personali.

La répétition de ces incidents montre que la gestion des partenaires externes représente un maillon faible pour les grandes entreprises opérant dans plusieurs juridictions. C’est d’ailleurs un point d’attention majeur dans les audits RGPD, qui insistent sur la nécessité de responsabiliser l’ensemble de la chaîne de traitement des données, sous-traitants compris.

Un avertissement pour l’ensemble du secteur

Avec cette nouvelle sanction, le message du BfDI est clair : les entreprises qui ne surveillent pas leurs partenaires ou qui négligent la sécurité des données encourent des conséquences financières lourdes. Au-delà du montant de l’amende, c’est aussi l’image de l’entreprise qui en sort écornée, dans un contexte où la protection des données est devenue un critère de différenciation pour les consommateurs.

Les prochains mois diront si Vodafone parvient à restaurer la confiance et à faire oublier cet épisode. Pour l’heure, l’entreprise affirme avoir « fondamentalement revu ses systèmes et processus« , tout en assurant que la protection des données est désormais « une priorité de la direction« . Reste à savoir si ces mesures suffiront à prévenir de nouveaux incidents.

Rejoignez-nous sur vos réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

Cybersécurité, Justice, Piratage

Un Yéménite accusé d’avoir lancé Black Kingdom contre des hôpitaux

Un ressortissant yéménite est accusé d’avoir orchestré une vaste campagne de cyberattaques avec le rançongiciel Black Kingdom, ciblant écoles, cliniques et entreprises aux États-Unis, depuis le Yémen.

Le ministère américain de la Justice a levé le voile sur un nouvel épisode inquiétant de la cyberguerre mondiale. Le 2 mai 2025, les autorités américaines ont annoncé l’inculpation de Rami Khaled Ahmed, un Yéménite de 36 ans, accusé d’avoir dirigé une campagne d’attaques informatiques via le ransomware Black Kingdom entre mars 2021 et juin 2023. Depuis Sanaa, la capitale du Yémen, Ahmed aurait mené une série d’opérations visant à extorquer des sommes en cryptomonnaie en paralysant des réseaux informatiques critiques, notamment dans les domaines de la santé, de l’éducation et des services aux entreprises. Cette affaire, révélée dans un contexte de répression renforcée contre les cybercriminels à l’échelle internationale, soulève de nombreuses questions sur la coordination de la lutte contre la cybercriminalité, les failles persistantes dans les infrastructures numériques et les limites de la souveraineté judiciaire face à des menaces transnationales.

D’après l’acte d’accusation rendu public par le Département de la Justice américain (DoJ), Rami Khaled Ahmed aurait exploité une faille de sécurité critique baptisée ProxyLogon, découverte dans les serveurs Microsoft Exchange début 2021. Cette vulnérabilité, qui permet à un pirate de prendre le contrôle total d’un serveur sans authentification préalable, a été rapidement exploitée par de nombreux groupes malveillants à travers le monde. Dans le cas du Yéménite, elle aurait permis l’installation du ransomware Black Kingdom sur environ 1 500 systèmes informatiques, principalement aux États-Unis mais aussi dans d’autres pays.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Parmi les cibles confirmées figurent une entreprise de services de facturation médicale à Encino, une station de ski dans l’Oregon, un district scolaire en Pennsylvanie et une clinique de santé dans le Wisconsin. Après avoir pénétré les réseaux, le malware procédait au chiffrement des données sensibles, empêchant tout accès pour les utilisateurs légitimes. Une note de rançon apparaissait ensuite sur les écrans des victimes, les invitant à transférer 10 000 dollars (environ 9 300 euros) en bitcoins à une adresse contrôlée par un complice. Un canal de communication par e-mail permettait aux victimes de prouver le paiement et de recevoir, potentiellement, une clé de déchiffrement.

« Black Kingdom est l’une des premières familles de ransomwares à avoir exploité ProxyLogon. Elle a marqué une étape dans la sophistication des attaques contre les systèmes Exchange Server« , a expliqué Microsoft dans une analyse publiée fin mars 2021.

Connue également sous le nom de Pydomer, la famille de ransomwares Black Kingdom n’est pas nouvelle dans le paysage des menaces cyber. Elle avait déjà été repérée dans des attaques utilisant une autre faille de sécurité majeure : celle du VPN Pulse Secure, référencée CVE-2019-11510. Ces vulnérabilités, connues et documentées, n’en restent pas moins redoutables, notamment lorsque les correctifs ne sont pas appliqués à temps par les administrateurs système.

Si Rami Khaled Ahmed est reconnu coupable, il risque une peine pouvant aller jusqu’à 15 ans de prison fédérale aux États-Unis, soit cinq ans pour chacun des trois chefs d’accusation retenus contre lui : complot, dommage intentionnel à un ordinateur protégé, et menaces de dommage à un ordinateur protégé. Cependant, l’accusé réside toujours au Yémen, pays avec lequel les États-Unis n’ont pas de traité d’extradition en vigueur. Son arrestation dépendra donc de l’évolution des relations diplomatiques et sécuritaires dans la région.

Cette inculpation n’est pas un cas isolé. Elle s’inscrit dans une vague plus large d’actions coordonnées menées par les autorités américaines pour lutter contre la cybercriminalité transnationale. Ces derniers mois, plusieurs arrestations ont été annoncées, illustrant la diversité et l’internationalisation des menaces numériques.

Parmi elles, celle d’Artem Stryzhak, un Ukrainien arrêté en Espagne en juin 2024, affilié au ransomware Nefilim. Extradé vers les États-Unis le 30 avril 2025, il est accusé d’avoir mené des cyberattaques depuis 2021, avec à la clé des demandes de rançon similaires à celles de Black Kingdom. Son procès pourrait également se solder par une peine de cinq ans de prison fédérale.

Dans un autre dossier très médiatisé, Tyler Robert Buchanan, citoyen britannique soupçonné d’appartenir au groupe Scattered Spider, a également été extradé depuis l’Espagne. Il fait face à des accusations de fraude électronique et d’usurpation d’identité, deux infractions couramment associées aux campagnes de phishing et aux compromissions de comptes à grande échelle.

Plus troublant encore : certaines ramifications de ces affaires convergent vers des réseaux aux pratiques encore plus sinistres.

Les noms de Leonidas Varagiannis, alias War, et de Prasan Nepal, alias Trippy, tous deux âgés d’à peine 20 ans, ont fait surface dans un scandale d’envergure. Les deux hommes, décrits comme les chefs du groupe 764, sont accusés d’avoir organisé la diffusion de contenus pédopornographiques en exploitant au moins huit mineurs. Leur groupe, 764, est affilié à une constellation de collectifs criminels appelés The Com, dont ferait également partie Scattered Spider. L’un des membres, Richard Anthony Reyna Densmore, a déjà été condamné à 30 ans de réclusion aux États-Unis en novembre 2024 pour exploitation sexuelle d’enfants.

Ces accusations interviennent dans le contexte d’une série d’annonces des autorités gouvernementales américaines contre diverses activités criminelles.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Le ministère de la Justice a rendu public un acte d’accusation accusant le citoyen ukrainien Artem Stryzhak d’avoir attaqué des entreprises à l’aide du ransomware Nefilim depuis qu’il est devenu affilié en juin 2021. Il a été arrêté en Espagne en juin 2024 et extradé vers les États-Unis le 30 avril 2025. S’il est reconnu coupable de cette accusation, Stryzhak risque jusqu’à cinq ans d’emprisonnement.

Tyler Robert Buchanan, un ressortissant britannique soupçonné d’appartenir au célèbre groupe de cybercriminalité Scattered Spider, a été extradé d’Espagne vers les États-Unis pour répondre à des accusations de fraude électronique et d’usurpation d’identité aggravée. Buchanan a été arrêté en Espagne en juin 2024. Les accusations portées contre lui et d’autres membres de Scattered Spider ont été annoncées par les États-Unis en novembre 2024.

Leonidas Varagiannis (alias War), 21 ans, et Prasan Nepal (alias Trippy), 20 ans, les deux chefs présumés du groupe d’extorsion d’enfants 764, ont été arrêtés et accusés d’avoir dirigé et diffusé du matériel pédopornographique. Les deux hommes sont accusés d’avoir exploité au moins huit victimes mineures.

Richard Anthony Reyna Densmore, un autre membre du 764, a été condamné à 30 ans de prison aux États-Unis en novembre 2024 pour exploitation sexuelle d’un enfant. Les membres du 764 sont affiliés à The Com , un ensemble hétéroclite de groupes aux liens étroits qui commettent des crimes sexuels et violents à motivation financière. Scattered Spider fait également partie de ce groupe.

Le Réseau de lutte contre la criminalité financière (FinCEN) du Département du Trésor américain a désigné le conglomérat cambodgien HuiOne Group comme une « institution particulièrement préoccupante en matière de blanchiment d’argent » pour les réseaux transnationaux de cybercriminalité d’Asie du Sud-Est, car il facilite les escroqueries amoureuses et sert de plaque tournante essentielle au blanchiment des produits des cyberattaques perpétrées par la République populaire démocratique de Corée (RPDC). La licence bancaire de HuiOne Pay a été révoquée en mars 2025 par la Banque nationale du Cambodge.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cybersécurité, Justice

La CNIL alerte sur la sécurité des grandes bases de données

Les fuites massives de données en 2024 ont exposé les failles de sécurité des grandes bases contenant des millions de données personnelles. La CNIL émet ses consignes pour muscler la cybersécurité.

En 2024, la France a été le théâtre d’une vague inédite de violations de données personnelles. Ces incidents, souvent dus à des négligences techniques et à des pratiques de sécurité insuffisantes, ont mis en lumière la fragilité des systèmes traitant des volumes massifs d’informations comme a pu le prouver ZATAZ.COM dès septembre 2023. La Commission nationale de l’informatique et des libertés (CNIL) a publié une série de recommandations destinées à renforcer les mesures de sécurité. Une démarche devenue cruciale, à l’heure où les bases de données numériques, qu’elles soient publiques ou privées, cristallisent un enjeu majeur de souveraineté, de confiance et de résilience numérique.

Des failles structurelles mises à nu par une année noire

L’année 2024 aura servi de révélateur brutal. Des millions de personnes ont vu leurs données personnelles exposées à la suite d’attaques informatiques ciblant aussi bien des organismes publics que des entreprises privées. Le site ZATAZ.COM, référence de l’actualité dédiée à la lutte contre la cybercriminalité, avait lancé l’alerte dès 2023. Ces fuites ne sont pas l’œuvre de cybercriminels d’élite, mais bien d’attaques dites « opportunistes », facilitées par des failles répétitives : comptes usurpés protégés par de simples mots de passe (les pirates ont exploité dans la plupart des cas des infos stealers), surveillance inexistante des intrusions (une veille qui ne doit pas être négligée), ou encore sous-traitants négligents. Selon les rapports de la CNIL, près de 80 % des violations majeures enregistrées proviennent d’identifiants compromis.

Ces lacunes soulignent un déséquilibre préoccupant : les systèmes manipulant les données de plusieurs millions d’individus ne bénéficient pas toujours des dispositifs de sécurité à la hauteur des risques encourus. Or, ces bases de données géantes – qu’il s’agisse de CRM, de services cloud ou de plateformes clients – concentrent une mine d’informations sensibles : identités, coordonnées, historiques de consommation, voire données bancaires.

80 % des violations massives en 2024 ont été rendues possibles par des identifiants volés et une absence d’authentification renforcée.

Des mesures à la hauteur des enjeux

Face à cette situation alarmante, la CNIL insiste sur la nécessité d’une « défense en profondeur » pour les grandes bases de données. Il ne s’agit plus seulement de protéger la périphérie d’un système, mais bien d’organiser sa sécurité de manière holistique. Cela inclut des couches successives de protection, une surveillance active, une journalisation rigoureuse des activités et une politique d’accès strictement contrôlée.

L’autorité rappelle que les articles 5.1.f et 32 du Règlement général sur la protection des données (RGPD) imposent aux responsables de traitement comme aux sous-traitants de garantir une sécurité adaptée à la nature des données traitées et aux menaces qui les guettent. Cela implique une mise à jour constante des dispositifs techniques, mais aussi une réflexion en amont sur les architectures et les processus organisationnels.

La CNIL recommande notamment l’intégration systématique de l’authentification multifacteur (2fa/mfa) pour tout accès à distance à des données massives. Elle pointe également l’importance de limiter les capacités d’extraction de données en cas d’intrusion, ainsi que la nécessité de mettre en place des dispositifs de journalisation performants permettant de détecter rapidement toute activité anormale.

Multifacteur et journalisation : piliers de la nouvelle sécurité

La double authentification constitue aujourd’hui un rempart incontournable face à l’explosion des attaques par hameçonnage ou par réutilisation d’identifiants compromis (credential stuffing). Ce dispositif, qui combine mot de passe et preuve de possession (comme un code envoyé sur un téléphone ou une application dédiée), réduit considérablement le risque d’accès frauduleux… mais n’empêche aucunement l’accumulation de données personnelles. Les pirates ont compris depuis bien longtemps comme accéder à des espaces privées via, par exemple, le social engineering.

La CNIL n’ignore pas les contraintes opérationnelles que peut engendrer sa mise en œuvre, notamment pour les structures peu dotées en ressources humaines ou techniques. Mais l’autorité considère cet effort comme proportionné aux risques encourus. Surtout, elle prévient que l’absence d’une telle mesure sur des bases sensibles pourra, à compter de 2026, justifier l’ouverture de procédures de sanction.

Autre axe fort : la journalisation des activités. Les responsables de traitement sont appelés à mettre en place une traçabilité fine des accès, actions et flux de données. L’objectif est double : détecter les intrusions le plus tôt possible et disposer d’éléments d’analyse en cas d’incident. Les logs doivent être conservés entre six mois et un an, selon des modalités qui garantissent leur intégrité et leur exploitation. L’enjeu n’est pas tant d’accumuler des volumes de données que de savoir les interpréter et d’agir rapidement. Des logs qui pourront permettre de savoir si l’ennemi ne vient pas de l’intérieur !

La CNIL exigera dès 2026 l’authentification multifacteur sur toutes les grandes bases de données accessibles à distance, sous peine de sanctions.

Former pour anticiper : la vigilance humaine en première ligne

La technique ne peut à elle seule garantir la sécurité des données. Les erreurs humaines, trop souvent à l’origine des incidents, doivent être anticipées. La CNIL encourage les entreprises à organiser régulièrement des sessions de formation et de sensibilisation adaptées à chaque profil d’utilisateur : employés, développeurs, prestataires, décideurs. Data Security Breach, par le biais de son fondateur, Damien Bancal, propose des rendez-vous de sensibilisation [contact]. L’implication des utilisateurs est cruciale. Dans bien des cas, un simple doute exprimé par un salarié aurait pu éviter une fuite. D’où l’importance de disposer de référents identifiés et de canaux de remontée d’alerte efficaces. La CNIL considère que l’absence de telles mesures constitue un manquement à part entière.

Un point de vigilance majeur concerne la chaîne de sous-traitance. Les bases de données de grande ampleur sont souvent hébergées ou gérées par des prestataires externes, parfois situés à l’étranger. La CNIL rappelle que le RGPD impose de formaliser, par contrat, l’ensemble des obligations sécuritaires, incluant les clauses sur les violations de données, l’usage de sous-traitants secondaires et la transparence sur les mesures techniques employées.

Le responsable de traitement reste, dans tous les cas, redevable du niveau de sécurité. Il lui revient de s’assurer que le prestataire respecte les recommandations de l’autorité, dispose des certifications nécessaires et se soumet à des audits réguliers. Cette exigence vaut aussi bien pour les sous-traitants directs que pour les fournisseurs cloud, très présents dans l’hébergement de données massives.

La CNIL recommande notamment d’annexer au contrat la politique de sécurité de l’information du prestataire, ainsi que les preuves de ses certifications. Elle insiste sur l’importance d’un suivi continu, et non ponctuel, du niveau de conformité du sous-traitant. Bref, rien de nouveau. Cela devrait être inclus depuis la mise en place du RGPD, en mai 2018 !

2025 : le virage de la fermeté

Avec son plan stratégique 2025-2028, la CNIL franchit un cap dans son approche de la cybersécurité. Elle annonce une intensification de ses contrôles, en ciblant plus particulièrement les structures manipulant des données à très grande échelle. Un accompagnement est prévu, mais la pédagogie laissera peu à peu place à une exigence renforcée de conformité.

L’autorité prévient : les entreprises ayant déjà connu des fuites et qui n’auraient pas renforcé leur sécurité s’exposent à des sanctions accrues. Le message est clair : les incidents passés doivent servir de leçon. Les organismes ont désormais à leur disposition tous les outils pour anticiper, prévenir et réagir.

Les sanctions, qui peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, ne sont pas une menace théorique. Elles ont déjà été prononcées par la CNIL à plusieurs reprises ces dernières années. À l’avenir, le non-recours à l’authentification multifacteur sur des bases critiques sera considéré comme une négligence inacceptable.

Vers une maturité numérique collective ?

Ce tournant amorcé par la CNIL marque une volonté claire de responsabiliser l’ensemble de l’écosystème numérique. À l’heure où les données personnelles deviennent une ressource stratégique, leur protection ne saurait être une option. Elle est le socle de la confiance numérique, et donc de la compétitivité des entreprises comme de la légitimité des institutions.

Mais une question demeure : les acteurs économiques, souvent contraints par des logiques de rentabilité et de rapidité, seront-ils prêts à consacrer les ressources nécessaires à cette sécurisation ? Et au-delà des injonctions, la culture de la cybersécurité peut-elle réellement s’ancrer durablement dans les pratiques quotidiennes des organisations surtout face à des pirates informatiques qui ont du temps pour réfléchir à comment rentrer chez vous !

Cybersécurité, Justice

OpenDNS coupé en Belgique : une bataille entre justice, streaming et liberté numérique

Depuis le 11 avril 2025, OpenDNS n’est plus accessible aux internautes belges, conséquence d’une décision judiciaire liée à la lutte contre le piratage. En toile de fond : DAZN, le streaming sportif et la neutralité technologique.

Le bras de fer entre les ayants droit du sport et les services de contournement numérique franchit une nouvelle étape en Belgique. OpenDNS, service alternatif de résolution DNS appartenant à Cisco, a suspendu ses activités dans le pays suite à une décision du tribunal de commerce francophone de Bruxelles. En cause : une plainte déposée par la plateforme DAZN contre des centaines de sites de streaming illégaux, accusés de diffuser sans autorisation des contenus sportifs. Cette décision judiciaire impose désormais à des services technologiques comme OpenDNS d’empêcher l’accès à ces plateformes illicites. Face à cette injonction, Cisco a choisi de retirer complètement son service DNS du territoire belge, soulignant un débat crucial sur la neutralité du Net.

DNS : la boussole d’Internet que l’on oublie trop souvent

Pour comprendre l’affaire, il faut d’abord saisir ce qu’est un DNS. Le Domain Name System (DNS) est un système fondamental d’Internet créé par David Ulevitch il y a bientôt 20 ans : il convertit les noms de domaine que nous tapons — comme datasecuritybreach.fr ou netflix.com — en adresses IP, compréhensibles par les machines. En d’autres termes, il s’agit d’un annuaire géant qui permet à nos navigateurs de retrouver les sites web. Sans DNS, il faudrait mémoriser les séries de chiffres correspondant à chaque site, une tâche irréalisable pour la plupart des internautes.

Traditionnellement, les fournisseurs d’accès à Internet (FAI) proposent leurs propres serveurs DNS. Mais de nombreux utilisateurs, pour des raisons de performance, de sécurité ou de confidentialité, préfèrent des services alternatifs comme OpenDNS, Cloudflare ou Google DNS. Ces services, souvent plus rapides, filtrent aussi les contenus malveillants, protègent contre les attaques et permettent de contourner certaines restrictions géographiques.

OpenDNS, racheté par Cisco en 2015 pour 635 millions de dollars (environ 595 millions d’euros), offrait une alternative rapide et sécurisée aux serveurs DNS traditionnels.

OpenDNS, justement, se distingue depuis sa création en 2006 par sa capacité à sécuriser les connexions et à accélérer la navigation. Depuis son acquisition par Cisco, géant américain des infrastructures réseau, le service est resté gratuit pour les particuliers. Mais c’est cette même accessibilité qui le rend aujourd’hui problématique dans le contexte juridique belge.

La plainte de DAZN : une lutte contre le piratage massif

DAZN, plateforme spécialisée dans la diffusion de compétitions sportives, a porté plainte devant la justice belge contre plusieurs centaines de sites diffusant illégalement ses contenus. Pour les ayants droit, ces plateformes représentent une perte de revenus colossale et menacent le modèle économique des retransmissions sportives, où les droits audiovisuels se chiffrent en milliards. Dazn a déjà agi, avec plus ou moins de réussites, en France, en Espagne, Etc.

C’est dans ce cadre que le tribunal a rendu une ordonnance obligeant les fournisseurs d’accès, mais aussi certains services de résolution DNS, à bloquer l’accès à une longue liste de sites jugés illégaux. Concrètement, cela signifie que des entreprises comme Cisco doivent manipuler leur infrastructure DNS pour empêcher les utilisateurs belges de se connecter à ces sites.

Or, pour Cisco, cette demande va à l’encontre de la neutralité technologique. Dans un communiqué, l’entreprise a exprimé son désaccord avec cette approche. Elle estime que la responsabilité d’un tel blocage devrait incomber aux hébergeurs ou aux plateformes de contenu, pas aux intermédiaires techniques comme les services DNS.

Plutôt que de modifier ses services pour répondre à cette obligation spécifique à la Belgique, Cisco a fait le choix radical de suspendre complètement l’accès à OpenDNS dans le pays. Une décision inédite, qui suscite de nombreuses réactions, tant sur le plan juridique que technologique.

Pour les défenseurs des libertés numériques, cette affaire illustre les dérives potentielles d’une régulation trop intrusive. Le fait qu’un service mondial soit contraint de modifier son fonctionnement à l’échelle d’un pays, voire de cesser ses activités, pose la question de la souveraineté numérique mais aussi de l’universalité d’Internet. À l’inverse, les ayants droit et les acteurs de l’audiovisuel saluent une décision qui donne enfin des moyens concrets pour lutter contre le piratage.

Dans les faits, cette suspension d’OpenDNS crée une zone grise pour les internautes belges. Beaucoup se tournent désormais vers d’autres services DNS ou utilisent des VPN pour contourner cette nouvelle restriction. Une ironie, puisque la mesure censée freiner l’accès au contenu illégal pourrait, à terme, encourager encore davantage les pratiques de contournement.

Un précédent inquiétant pour les technologies neutres ?

Le cas belge pourrait-il devenir un cas d’école ? C’est l’une des préoccupations majeures des acteurs du numérique. Si chaque pays peut exiger d’un prestataire DNS ou d’un autre service technique d’intervenir dans le filtrage du web, cela ouvre la porte à une fragmentation d’Internet. Un Internet à plusieurs vitesses, où l’accès aux services dépendrait de critères géopolitiques ou juridiques.

La neutralité du Net, un principe fondateur d’Internet, en sort fragilisée. Ce principe veut que tous les flux de données soient traités de manière égale, sans discrimination ni interférence. En demandant à un service neutre comme OpenDNS d’exclure certains sites, la justice belge brouille cette ligne de séparation entre contenu et infrastructure.

Mais les défenseurs du droit d’auteur rappellent que l’impunité ne peut plus durer. Le streaming illégal prive les créateurs de revenus légitimes, et les plateformes comme DAZN ont besoin de recours concrets pour protéger leurs investissements.

Banque, Entreprise, Justice

L’Australie frappe fort contre les escroqueries financières en ligne

L’Australie a révoqué les licences de 95 entreprises soupçonnées d’être impliquées dans des escroqueries financières, marquant un tournant décisif dans la lutte contre les fraudes aux investissements.

Alors que les arnaques aux investissements prolifèrent sur internet, les autorités australiennes passent à l’offensive. Le régulateur financier national, l’Australian Securities and Investments Commission (ASIC), a obtenu en mars dernier l’approbation d’un juge fédéral pour radier 93 sociétés soupçonnées d’activités frauduleuses et prévoit de liquider deux autres entreprises disposant encore d’actifs. Ces entités sont accusées d’avoir trompé des consommateurs en leur faisant miroiter des gains dans des domaines spéculatifs comme le marché des changes, les cryptomonnaies ou les matières premières. Une opération d’envergure qui s’inscrit dans un contexte où les cyberescroqueries gagnent en sophistication et en audace. Cette décision illustre la volonté des autorités de restaurer la confiance des épargnants et de freiner l’hémorragie financière causée par ces manœuvres frauduleuses.

La décision de l’ASIC d’éradiquer ces sociétés s’appuie sur une vaste enquête révélant que la majorité d’entre elles utilisaient de faux directeurs — souvent inscrits à leur insu — et des adresses fictives. Dans certains cas, les entreprises affichaient une façade officielle en utilisant des logos et des bureaux de représentation, mais ceux-ci se révélaient déserts ou inexistants. Cette stratégie vise à duper les investisseurs en leur donnant l’illusion de traiter avec des institutions légitimes et solides.

Parmi les entreprises visées, Titan Capital Markets fait figure de cas emblématique. Connue pour avoir sponsorisé le club de football anglais Fulham, la société semblait jouir d’une certaine notoriété. Mais derrière cette vitrine, les apparences étaient trompeuses. Une enquête sur place menée à Canberra, supposée abriter les bureaux de Titan, a révélé un local vide, avec du courrier systématiquement retourné. Des investisseurs, principalement originaires d’Inde, ont adressé pas moins de 80 courriels aux liquidateurs, exprimant leur inquiétude et soulignant les sommes importantes qu’ils avaient engagées. Titan Capital Markets, malgré les sollicitations, est restée silencieuse.

Êtes-vous dans les petits papiers des pirates ?

« Ces escroqueries sont comme des hydres : on en coupe une, deux autres surgissent », a déclaré Sarah Court, vice-présidente de l’ASIC. Une image forte, qui résume bien le défi auquel fait face le régulateur australien. Chaque semaine, ce dernier fait fermer environ 130 sites frauduleux, mais les plateformes illicites renaissent presque aussitôt ailleurs, souvent sous une nouvelle identité ou via des entités de couverture.

Selon l’ASIC, le mécanisme est désormais bien rodé : les fraudeurs créent des entreprises enregistrées légalement, mais qui n’ont aucune activité réelle. Elles servent uniquement à donner une crédibilité artificielle à des plateformes de trading fictives ou à des offres d’investissement fallacieuses. En plus de flouer des particuliers, ces structures compliquent le travail des enquêteurs en créant un labyrinthe juridique et administratif difficile à démêler.

L’intervention de la justice fédérale est donc une réponse musclée, mais nécessaire. En ordonnant la radiation immédiate de 93 entreprises et la liquidation surveillée de deux autres, la cour entérine la volonté de l’État australien de reprendre la main sur un secteur miné par les abus. Et l’enquête est loin d’être terminée : selon les documents judiciaires, l’ASIC continue de creuser les ramifications financières et légales de ces sociétés, dans le but de démanteler entièrement le réseau de fraude.

Cette baisse, bien que significative, ne saurait masquer l’ampleur du phénomène. L’Australie fait face à une vague mondiale de cybercriminalité financière, où les escrocs exploitent les nouvelles technologies, les lacunes réglementaires et parfois même la naïveté des investisseurs pour amasser des fortunes. La promesse de rendements élevés dans un contexte d’incertitude économique agit comme un aimant, notamment dans des pays où les systèmes de régulation sont moins robustes et où les victimes se comptent par milliers.

C’est dans ce climat tendu que s’inscrit la stratégie de l’ASIC. Plutôt que de poursuivre chaque site individuellement, l’organisme cible désormais les structures légales qui permettent à ces arnaques de prospérer. En coupant l’accès à l’enregistrement officiel d’entreprises frauduleuses, le régulateur cherche à tarir la source même de leur légitimité apparente.

Les répercussions de cette opération pourraient se faire sentir bien au-delà des frontières australiennes. Nombre des victimes identifiées dans le cas de Titan Capital Markets ne résident pas en Australie. Cela démontre que les escroqueries opérées depuis un pays peuvent avoir des conséquences mondiales, touchant des particuliers à des milliers de kilomètres. L’Inde, en particulier, semble avoir été une cible privilégiée pour certaines de ces entreprises frauduleuses, qui promettaient des retours sur investissement rapides dans des secteurs à la mode comme le trading de devises ou les actifs numériques.

La dimension internationale de ces fraudes pose également un défi en matière de coopération judiciaire et de traçabilité financière. Les fonds investis par les victimes sont souvent rapidement transférés vers des comptes offshore ou blanchis à travers un réseau complexe de sociétés-écrans. Cela rend leur récupération extrêmement difficile, voire impossible, pour la majorité des investisseurs floués.

Mais la lutte contre ces arnaques ne peut pas reposer uniquement sur l’action des autorités. Elle exige aussi une sensibilisation accrue du public. Trop souvent, les victimes sont attirées par des offres trop belles pour être vraies, sans prendre le temps de vérifier les antécédents des sociétés ou les garanties proposées. Une éducation financière de base, couplée à une vigilance constante, constitue une première ligne de défense essentielle contre ces pratiques malveillantes.

Si les mesures prises par l’ASIC sont saluées par les défenseurs des consommateurs, elles n’en soulèvent pas moins une question cruciale : cette stratégie d’élimination des sociétés frauduleuses peut-elle réellement freiner une industrie souterraine en constante mutation, qui semble toujours avoir un temps d’avance ? Dans un monde où les escrocs deviennent de plus en plus technophiles et agiles, la régulation peut-elle suivre le rythme sans se contenter de colmater les brèches ?

Voici la liste complète des entreprises dont la liquidation ou la radiation a été ordonnée dans le cadre de l’affaire ASIC v 24-U Pty Ltd [2025] FCA 321. [Compilation datasecuritybreach.fr)

24-U Pty Ltd
Rootie Tech Solutions Pty Ltd
Aleos Capital Markets Pty Ltd
Aleos Capital Pty Ltd
Cloud Bridge Capital Pty Ltd
Como Trade Pty Ltd
Discovery Capital Group Pty Ltd
Enclave Prime Pty Ltd
Extreme Global Pty Ltd
Extrend Cap International Pty Ltd
Gaoman Capital Group Trading Pty Ltd
Gold Rush Global Group Pty Ltd
Gold Rush Group Pty Ltd
Goldwell Global Pty Ltd
GTS Energy Markets Group Pty Ltd
Invdom Pty Ltd
Khama Capita Pty Ltd
QRS Global Pty Ltd
Rayz Liquidity Pty Ltd
Topmax Global Pty Ltd
Tradewill Global Pty Ltd
Tshan Markets Pty Ltd
Upone Global Financial Services Pty Ltd
19 Securities Pty Ltd
Ausfit Mart Pty Ltd
Aximtrade Pty Ltd
Caitu International Securities Pty Ltd
Genesis Capital Resources Pty Ltd
Gongde International Pty Ltd
Great Plan Service Pty Ltd
Great Virtue Pty Ltd
Guang Quan International Pty Ltd
Guofa International Pty Ltd
Guotai International Pty Ltd
Jinhou International Pty Ltd
Jinte Net Blockchain Pty Ltd
Juncheng Trade Pty Ltd
Nasd Trading Group Pty Ltd
Oceanus Wealth Securities Pty Ltd
Rac Markets Pty Ltd
Rich Gold Group Pty Ltd
Ridder Trader Pty Ltd
Rising Sun Capital Pty Ltd
RN Prime Pty Ltd
Ruifu International Pty Ltd
Ruisen Securities Pty Ltd
Shan Yu International Pty Ltd
Tradehall Pty Ltd
Trillion Global Capital Pty Ltd
Tuotenda Capital Group Pty Ltd
Yinrui International Pty Ltd
Zhongke Global Pty Ltd
Zhongying Global Pty Ltd
Audrn Financial Group Pty Ltd
Aus Financial Australia Pty Ltd
Compilation zataz.com
BHP Markets Pty Ltd
CLSA Capital Group Inv Pty Ltd
Katy Capital Pty Ltd
Rena Markets Pty Ltd
Sophie Capital Financial Trading Pty Ltd
Aleos Capital Pty Ltd
Aximtrade Pty Ltd
Caitu International Securities Pty Ltd
CLSA Capital Group Inv Pty Ltd
Cloud Bridge Capital Pty Ltd
Discovery Capital Group Pty Ltd
Enclave Prime Pty Ltd
Extrend Cap International Pty Ltd
Gaoman Capital Group Trading Pty Ltd
Genesis Capital Resources Pty Ltd
Gongde International Pty Ltd
Great Plan Service Pty Ltd
Great Virtue Pty Ltd
Guang Quan International Pty Ltd
Guofa International Pty Ltd
Guotai International Pty Ltd
Invdom Pty Ltd
Jinhou International Pty Ltd
Jinte Net Blockchain Pty Ltd
Juncheng Trade Pty Ltd
Khama Capita Pty Ltd
Mercury Securities Group Pty Ltd
Nasd Trading Group Pty Ltd
Oceanus Wealth Securities Pty Ltd
Compilation zataz.com
Rac Markets Pty Ltd
Rayz Liquidity Pty Ltd
Ridder Trader Pty Ltd
Rising Sun Capital Pty Ltd
RN Prime Pty Ltd
Rootie Tech Solutions Pty Ltd
Ruifu International Pty Ltd
Ruisen Securities Pty Ltd
Seventy Investech Pty Ltd
Shan Yu International Pty Ltd
Tradehall Pty Ltd