Archives de catégorie : Justice

Prison ferme requise contre une vendeuse de téléphones Encrochat

25 mars 2025 Damien Bancal

Le parquet néerlandais a requis une peine de quatre ans de prison à l’encontre d’une femme de 28 ans, originaire de Den Bosch, accusée d’avoir vendu des téléphones EncroChat destinés à des criminels. Ces appareils permettaient d’envoyer des messages cryptés et d’assurer une communication totalement anonyme, facilitant ainsi l’organisation d’activités illégales.

Entre avril 2019 et juin 2020, la suspecte aurait vendu ces téléphones sécurisés à une clientèle bien particulière : des trafiquants de drogue et des criminels organisés. Si la vente de téléphones chiffrés n’est pas illégale en soi, le parquet affirme que les appareils fournis par la suspecte étaient utilisés exclusivement à des fins criminelles.

« En vendant ces téléphones, la prévenue a contribué à rendre plus difficile la détection de crimes graves, comme le trafic de drogue à grande échelle. Son seul objectif était de faire de l’argent rapidement, » a déclaré le procureur dans un communiqué.

La femme est également accusée d’avoir effacé à distance les données des téléphones de ses clients lorsque ceux-ci étaient arrêtés, supprimant ainsi les messages échangés et entravant le travail des enquêteurs.

La suspecte a été arrêtée en septembre 2021 après avoir été identifiée comme revendeuse dans le cadre d’une autre enquête criminelle. Lors de son interrogatoire, elle a affirmé ne pas connaître ses clients. Une version que le parquet juge peu crédible, compte tenu des montants en espèces reçus et de la nature criminelle de sa clientèle.

Une activité très rentable

Selon les calculs du parquet, la vente de ces téléphones EncroChat aurait rapporté à la suspecte environ 630 840 € en un peu plus d’un an. Elle agissait en tant que sous-revendeuse, travaillant pour un autre suspect qui gérait un réseau d’environ 30 autres distributeurs de téléphones EncroChat.

Ce modèle de distribution a permis de créer un marché clandestin de téléphones cryptés spécifiquement conçu pour contourner les systèmes de surveillance et de détection des forces de l’ordre. Les criminels pouvaient ainsi organiser leurs activités en toute discrétion, échappant à la surveillance des autorités.

« La vente de ces téléphones cryptés a permis aux organisations criminelles de se structurer et de coordonner leurs opérations en toute impunité, » a souligné le parquet.

Le tournant décisif de juillet 2020

L’histoire d’EncroChat a connu un tournant majeur en juillet 2020, lorsque les autorités néerlandaises et françaises sont parvenues à percer le système de chiffrement. Pendant plusieurs mois, les forces de l’ordre ont pu intercepter et surveiller les échanges entre criminels. Plus de 20 millions de messages ont été récupérés, mettant en lumière un vaste réseau de trafic de drogue, de trafic d’armes et de blanchiment d’argent.

Dans les semaines suivant la découverte, la police néerlandaise a procédé à une série de coups de filet spectaculaires : 100 suspects arrêtés ; 19 laboratoires de drogue démantelés ; Des dizaines d’armes à feu saisies ; Près de 10 000 kg de drogues confisqués et un trésor de guerre d’environ 20 millions d’euros en liquide récupérés.

De nombreuses informations clés – noms, photos et messages – ont été extraites des téléphones EncroChat, permettant d’identifier et de poursuivre de nombreux criminels. Cette percée technologique a été qualifiée de « game-changer » par le directeur du service national d’enquête criminelle des Pays-Bas.

Une peine exemplaire pour marquer les esprits

Le parquet néerlandais considère que la prévenue n’était pas une simple revendeuse, mais une actrice clé dans la facilitation des activités criminelles. En effaçant les données des téléphones et en protégeant ses clients, elle aurait sciemment participé à la stratégie d’évasion des trafiquants.

« Ce type de complicité technologique constitue une menace directe pour la sécurité publique. La peine de prison requise doit servir d’exemple pour dissuader d’autres individus de participer à ce type d’activités, » a déclaré le procureur.

La chute d’EncroChat a eu des répercussions majeures sur le crime organisé en Europe. De nombreux réseaux de trafic de drogue et d’armes ont été perturbés, et la capacité des criminels à communiquer en toute sécurité a été fortement réduite. D’autres systèmes de communication cryptés, comme Sky ECC ou Anom, prendront la main… avant d’être démantelés.

Le jugement de la cour, prévu pour le 15 avril 2025, pourrait établir un précédent important dans la lutte contre les technologies facilitant le crime organisé. Si la peine de quatre ans est confirmée, elle pourrait envoyer un signal fort aux acteurs du marché des téléphones cryptés… ou pas !

La répression judiciaire suffira-t-elle à endiguer l’usage des technologies cryptées par le crime organisé, ou les criminels parviendront-ils à contourner une fois de plus les systèmes de surveillance ? Une des questions auxquelles les députés français ont tenté de répondre, il y a peu, avec la loi sur le narcotrafic.

Cybersécurité, Justice

La justice annule la condamnation de Paige Thompson pour le piratage de Capital One

20 mars 2025 Damien Bancal

Une cour d’appel fédérale a annulé cette semaine la peine de cinq ans de probation infligée à Paige Thompson pour le piratage de Capital One. La cour a jugé cette peine « substantiellement déraisonnable » compte tenu des dommages causés.

Paige Thompson, ancienne ingénieure chez Amazon Web Services, avait exploité une faille dans le pare-feu du système de cloud computing de Capital One, accédant ainsi aux données sensibles de 106 millions de clients. Deux des trois juges de la cour d’appel du 9e circuit ont estimé que la sanction initiale était trop clémente par rapport à la gravité des faits.

Un piratage d’une ampleur exceptionnelle

Le piratage orchestré par Paige Thompson en 2019 est considéré comme la deuxième plus grande violation de données de l’histoire des États-Unis à l’époque. En exploitant une mauvaise configuration du pare-feu de Capital One, Thompson a volé des données bancaires, des numéros de sécurité sociale et des informations personnelles appartenant à 106 millions de clients.

L’enquête a révélé que Thompson ne s’était pas arrêtée à Capital One. Les autorités ont découvert plusieurs téraoctets de données supplémentaires volées à plus de 30 autres organisations. Les dommages financiers et réputationnels causés par cette fuite massive sont estimés à des dizaines de millions de dollars.

Le piratage a provoqué des préjudices financiers et émotionnels considérables pour les victimes.

Lors du procès initial en 2022, le juge de district Robert Lasnik avait néanmoins décidé de ne pas infliger une peine d’emprisonnement à Thompson. Il avait pris en compte son parcours personnel, soulignant qu’elle était transgenre, autiste et qu’elle avait été confrontée à des traumatismes importants dans son passé. Le juge Lasnik avait également considéré que le piratage n’avait pas été commis dans une intention malveillante, mais plutôt comme une forme de « tourmente personnelle ».

Cette interprétation a été remise en cause par la cour d’appel, qui a considéré que Thompson avait clairement agi avec préméditation. L’ancienne ingénieure avait en effet revendiqué ses actes sur des forums en ligne et encouragé d’autres hackers à en faire de même.

Une peine jugée trop clémente

Les procureurs fédéraux ont rapidement contesté la peine de probation décidée par le juge Lasnik. Nick Brown, le procureur américain de l’époque, avait déclaré que cette décision ne représentait pas une sanction appropriée face à la gravité des faits.

La juge Danielle Forrest, soutenue par le juge Johnnie Rawlinson, a estimé que le juge de district avait accordé une importance excessive aux circonstances personnelles de Thompson.

« Les parcours personnels doivent être pris en compte dans la détermination d’une peine, mais ils ne peuvent pas constituer l’unique base d’une condamnation aussi clémente dans un dossier de cette gravité », a écrit la juge Forrest dans la décision.

La cour a également contesté l’idée selon laquelle le piratage n’était pas malveillant. La décision précise que Thompson a montré peu de remords après son acte et a plutôt cherché à mettre en avant l’incompétence de Capital One. Elle aurait même encouragé d’autres hackers à exploiter des failles similaires.

Cependant, la juge Jennifer Sung, qui a exprimé une opinion dissidente, a estimé que la peine initiale n’était pas entachée d’une erreur de procédure. Selon elle, le juge Lasnik avait légitimement pris en compte la situation personnelle de Thompson et les potentielles difficultés qu’elle pourrait rencontrer en prison en tant que personne transgenre.

Une décision aux implications plus larges

L’affaire Thompson dépasse le cadre du simple jugement individuel. Le Centre pour la politique et le droit de la cybersécurité a déposé un mémoire en soutien à l’appel du gouvernement, soulignant les risques pour la recherche en cybersécurité.

Le Centre a insisté sur la nécessité de maintenir une distinction claire entre la recherche éthique en cybersécurité et les actes criminels comme ceux de Thompson. Il a averti que l’assimilation des deux pourrait fragiliser la confiance entre les chercheurs en sécurité, le secteur privé et les institutions gouvernementales. La cour d’appel n’a pas directement abordé cette question dans sa décision. Toutefois, la reconnaissance explicite par le tribunal que le comportement de Thompson ne relevait pas de la recherche en sécurité de bonne foi pourrait influencer les futures affaires de cybersécurité.

L’affaire est désormais renvoyée devant le tribunal de district pour une nouvelle détermination de la peine. La question centrale sera de savoir si la reconnaissance des circonstances personnelles de Thompson doit continuer à influencer la sentence ou si la gravité des actes justifie une peine plus lourde.

Cybersécurité, Justice

La cybercriminalité en France en 2024 : analyse des 348 000 infractions enregistrées

17 mars 2025 Damien Bancal

En 2024, la cybercriminalité en France a atteint un niveau alarmant avec 348 000 infractions enregistrées. Les atteintes aux biens, aux personnes et aux institutions progressent.

La cybercriminalité continue de croître en France. En 2024, les services de sécurité ont recensé 348 000 crimes et délits liés au numérique, confirmant une tendance préoccupante. Si les atteintes aux biens numériques restent majoritaires, les infractions visant les personnes, les institutions et les législations spécifiques au numérique enregistrent une forte hausse. Le profil des victimes révèle des disparités notables : les femmes sont plus souvent ciblées par des atteintes aux personnes, tandis que les hommes sont davantage concernés par les infractions liées aux biens. Le recours à la plateforme Thésée pour signaler les escroqueries numériques se développe, traduisant une prise de conscience croissante du phénomène. Cette analyse met en lumière la nécessité d’adapter les dispositifs de prévention et de répression face à une cybercriminalité qui se complexifie.

Les atteintes numériques aux biens : une baisse légère mais une menace persistante

En 2024, les atteintes numériques aux biens restent la catégorie d’infractions la plus fréquente, représentant 226 300 cas. Ce chiffre marque une légère baisse de 1 % par rapport à 2023, signalant une stabilisation relative après plusieurs années de hausse.

Parmi ces infractions :

50 800 plaintes ont été déposées via la plateforme Thésée, dédiée aux escroqueries numériques.
Les atteintes aux biens numériques incluent le vol de données bancaires, la fraude en ligne, le piratage de comptes, ainsi que les arnaques à la fausse identité.

« 50 800 escroqueries numériques signalées via Thésée en 2024, confirmant l’ampleur du phénomène. »

Bien que la tendance globale soit à la baisse, la menace reste préoccupante en raison de la sophistication croissante des techniques utilisées par les cybercriminels. L’augmentation des méthodes de phishing (hameçonnage) et des ransomwares (logiciels de rançon) illustre cette adaptation constante des fraudeurs.

Les atteintes numériques aux personnes : une hausse inquiétante

En 2024, les atteintes numériques aux personnes ont connu une augmentation marquée de 7 %, atteignant 103 300 infractions. Ce chiffre reflète la montée des cyberharcèlements, des usurpations d’identité et des atteintes à la vie privée.

Les victimes sont majoritairement des femmes :

66 % des victimes majeures sont des femmes.
70 % des victimes mineures sont également des filles.

Ce déséquilibre souligne la vulnérabilité accrue des femmes face à certaines formes de violence numérique, notamment le revenge porn (diffusion non consentie d’images intimes) et le cyberharcèlement sexuel.

« Deux tiers des victimes d’atteintes numériques aux personnes sont des femmes, révélant une vulnérabilité spécifique. »

La progression constante des cyberattaques ciblant les individus appelle une réponse renforcée, notamment à travers une sensibilisation accrue des jeunes publics et un accompagnement juridique adapté.

Service de Veille ZATAZ – 96% de satisfaction

Les atteintes numériques aux institutions et aux législations spécifiques : une croissance rapide

Atteintes numériques aux institutions

Les attaques visant les institutions (administrations, entreprises publiques, collectivités) ont également progressé de 7 % en 2024, avec 1 700 infractions recensées.

Les attaques par déni de service (DDoS) et les intrusions dans les réseaux informatiques sont les techniques les plus employées.
Les attaques ayant pour objectif de déstabiliser les services publics ou de voler des données sensibles sont en augmentation.

Atteintes aux législations spécifiques

Les infractions liées aux législations numériques (non-respect du RGPD, violation des droits d’auteur, contenus illicites) progressent plus rapidement, avec une hausse de 10 % en 2024 pour atteindre 1 500 infractions.

La forte augmentation du nombre de personnes mises en cause pour ce type d’infractions (+41 %) illustre la complexité croissante des litiges numériques.
Les sanctions liées aux infractions numériques sont également en augmentation, traduisant une volonté des autorités de renforcer la réponse judiciaire face à ces délits.

Le profil des auteurs : des tendances qui se confirment

Le nombre de personnes mises en cause pour des infractions numériques progresse également :

+3 % pour les atteintes numériques aux biens.
+6 % pour les atteintes numériques aux personnes.
+14 % pour les atteintes numériques aux institutions (contre +30 % sur la période 2016-2023).
+41 % pour les infractions aux législations numériques (contre +2 % sur la période 2016-2023).

Cette hausse rapide du nombre de mises en cause montre une professionnalisation des cybercriminels, souvent organisés en réseaux. Les atteintes directement dirigées contre les infrastructures numériques (piratage, virus, attaques DDoS) ont reculé de 4 % en 2024, avec 17 100 infractions recensées. Cette baisse pourrait s’expliquer par le renforcement des dispositifs de cybersécurité déployés par les institutions publiques et les grandes entreprises. Cependant, les cybercriminels adaptent constamment leurs méthodes, rendant cette baisse potentiellement temporaire.

Type d’atteinte	Nombre d’infractions (2024)	Évolution par rapport à 2023	Nombre de mises en cause (2024)	Évolution des mises en cause
Atteintes aux biens	226 300	-1 %	+3 %	Stabilité
Atteintes aux personnes	103 300	+7 %	+6 %	Hausse constante
Atteintes aux institutions	1 700	+7 %	+14 %	Ralentissement
Atteintes aux législations spécifiques	1 500	+10 %	+41 %	Forte hausse
ASTAD	17 100	-4 %	Non communiqué	—

Pour rester informé des dernières menaces numériques et des bonnes pratiques de sécurité, abonnez-vous à notre newsletter cyber et suivez-nous sur WhatsApp.

Cybersécurité, IA, Justice

Trump dynamite la protection des données : vers un open bar numérique ?

27 février 2025 Damien Bancal

La récente décision de l’administration Trump de démanteler le Privacy and Civil Liberties Oversight Board (PCLOB) marque un tournant critique dans les relations transatlantiques en matière de protection des données.

Depuis des années, l’Europe tente de résister aux assauts américains sur la protection des données. Mais si vous pensiez que la bataille était déjà un champ de ruines, Trump vient d’arriver avec un bulldozer. Le président républicain supprime les dernières barrières juridiques qui protégeaient les citoyens étrangers contre la collecte et l’exploitation massive de leurs informations personnelles par les entreprises américaines.

Une privacité numérique déjà en miettes

Le Cloud Act et le Patriot Act avaient déjà sérieusement entaillé la vie privée numérique. Le Privacy Shield, censé encadrer le transfert des données entre l’Europe et les États-Unis, a été invalidé deux fois (2015 et 2020) par la Cour de justice de l’UE pour non-respect du RGPD et des droits fondamentaux. Aujourd’hui, les entreprises européennes qui utilisent AWS, Microsoft ou Google verront leurs données encore plus exposées.

L’IA américaine et la surveillance globale

Les données collectées alimenteront directement les modèles d’intelligence artificielle made in U.S.A. Grok 3, le dernier-né d’Elon Musk, s’entraîne déjà sur tous les échanges de X (ex-Twitter) et sur les informations exfiltrées par ses DOGE kids. Si demain, plus aucune restriction ne protège les données étrangères, ce sont des milliards d’informations personnelles qui nourriront ces modèles et renforceront les capacités de surveillance de l’État américain.

Les implications sont immenses. Non seulement les entreprises privées américaines, mais également le gouvernement des États-Unis, auront accès à une quantité illimitée de données européennes. Une surveillance renforcée s’installe, avec un contrôle accru sur les flux d’informations, les transactions commerciales et même les interactions sociales.

Le Royaume-Uni : un précédent inquiétant

Apple a annoncé ne plus pouvoir proposer de chiffrage avancé sur son cloud au Royaume-Uni, une décision qui, selon la presse américaine, ferait suite à une demande des autorités britanniques d’accéder aux données de ses utilisateurs. L’entreprise californienne affirme qu’elle n’a jamais mis en place de « porte dérobée » ou de « clé principale », mais le gouvernement britannique aurait demandé un accès aux données stockées sur le cloud, au nom de la sécurité nationale.

Cette affaire illustre comment les gouvernements exercent une pression croissante sur les entreprises technologiques pour accéder aux informations privées des citoyens. Les utilisateurs britanniques d’Apple qui n’avaient pas activé la fonction « protection avancée des données » (ADP) ne pourront plus le faire. Ceux qui l’ont déjà activée devront la désactiver sous peine de voir leurs services réduits.

Conséquences directes : Une réduction drastique des protections pour les données personnelles. Une augmentation du risque de surveillance gouvernementale. Une remise en cause du chiffrement des sauvegardes iCloud, des photos, notes et mémos vocaux.

L’Europe doit-elle enfin se défendre ?

L’UE et la Suisse sont-elles prêtes à faire face ? Voient-elles seulement le vent tourner ? Quand nos échanges, nos décisions, nos savoirs deviennent une matière première pour d’autres, ce n’est plus seulement une fuite, c’est une perte de souveraineté.

L’Union européenne, face à l’invalidation du Privacy Shield, peine à trouver une solution. Le RGPD, bien que strict, se heurte aux réalités technologiques et à la puissance des géants américains du numérique. Le risque est immense : une dépendance totale au cloud américain, et donc une vulnérabilité accrue face à la collecte massive des données européennes.

Faut-il enterrer définitivement l’idée d’un Privacy Shield 3 ou est-ce le moment de sortir du piège d’un cloud américain en mode open bar ?

Ce qui se joue ici n’est pas qu’une question de vie privée, mais bien de survie numérique. L’Europe doit-elle se résoudre à devenir une colonie digitale des États-Unis, ou peut-elle encore défendre sa souveraineté ?

Pour suivre l’actualité cybersécurité en temps réel, inscrivez-vous à la newsletter et rejoignez nos canaux WhatsApp et réseaux sociaux !

Banque, Cybersécurité, Justice

Blanchiment d’argent : Près de 2 millions de comptes mules détectés en 2024

4 février 2025 Damien Bancal

En 2024, près de 2 millions de comptes bancaires ont été identifiés comme mules financières, révélant l’ampleur croissante du blanchiment d’argent à l’échelle mondiale.

Le blanchiment d’argent demeure une menace persistante pour le système financier international. Selon un rapport de BioCatch, spécialiste en détection de fraude numérique, environ 2 millions de comptes mules ont été signalés en 2024 par 257 institutions financières réparties dans 21 pays sur cinq continents. Ces comptes, utilisés pour dissimuler l’origine de fonds illicites, illustrent les méthodes sophistiquées employées par le crime organisé. Les jeunes adultes, notamment ceux âgés de 25 à 35 ans, sont particulièrement ciblés pour servir de passeurs d’argent, souvent attirés par la promesse de gains faciles. Cette situation souligne l’urgence de renforcer les mesures de prévention et de sensibilisation pour contrer cette forme de criminalité financière.

Les comptes mules : un maillon essentiel du blanchiment d’argent

Les comptes mules sont des comptes bancaires utilisés par des criminels pour transférer des fonds d’origine frauduleuse, rendant ainsi plus difficile la traçabilité de l’argent sale. Les titulaires de ces comptes, appelés « mules financières », sont souvent recrutés par le biais d’annonces promettant des gains rapides et faciles. Selon la société, les 2 millions de comptes mules signalés en 2024 ne représentent probablement qu’une fraction des comptes utilisés ou dormants au sein des 44 000 institutions financières dans le monde.

Les jeunes adultes : une cible privilégiée

Les criminels ciblent principalement les jeunes adultes pour servir de mules financières. Au Royaume-Uni, près des deux tiers des passeurs de fonds ont moins de 30 ans. Aux États-Unis, la tranche d’âge la plus vulnérable se situe entre 25 et 35 ans. Ces jeunes sont souvent attirés par la perspective d’une rémunération facile et peu risquée, sans être pleinement conscients des conséquences légales de leurs actions.

Sanctions sévères et risques encourus

Participer au blanchiment d’argent en tant que mule financière expose à des sanctions pénales sévères. Aux États-Unis, la peine moyenne pour blanchiment d’argent est de 71 mois d’emprisonnement. En France, cette infraction est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende. De plus, les mules financières peuvent également être tenues responsables des dettes contractées sur les comptes utilisés pour les transactions illicites.

L’essor des réseaux de blanchiment d’argent

Le rapport intitulé « Réseaux mondiaux de passeurs d’argent : l’utilisation de l’intelligence comportementale et des appareils pour faire la lumière sur le blanchiment d’argent » met en lumière la complexité des réseaux de blanchiment d’argent. Ces réseaux utilisent divers types de mules pour transférer des fonds illicites, rendant la détection et la prévention du blanchiment d’argent de plus en plus difficiles.

Augmentation des cas de blanchiment d’argent

Entre 2019 et 2023, les cas de blanchiment d’argent aux États-Unis ont augmenté de 14%. Cette hausse peut être attribuée à une attention accrue portée à ce phénomène, à une amélioration des techniques de détection, ou à une augmentation réelle de l’activité criminelle. Quoi qu’il en soit, cette tendance souligne la nécessité de renforcer les efforts de lutte contre le blanchiment d’argent à l’échelle mondiale.

Cybersécurité, Entreprise, Justice

GoDaddy épinglé par la FTC : Un avertissement pour le secteur de l’hébergement Web

3 février 2025 Damien Bancal

La FTC US exige des réformes drastiques de GoDaddy suite à plusieurs failles de cybersécurité majeures. Cette décision souligne l’importance croissante de la sécurité des données dans un monde numérique en constante évolution.

La Federal Trade Commission (FTC) des États-Unis a frappé un grand coup en pointant du doigt les manquements de GoDaddy, un acteur majeur de l’hébergement Web, en matière de cybersécurité. L’agence accuse l’entreprise d’avoir échoué à mettre en œuvre des mesures de sécurité conformes aux normes du secteur, entraînant des violations critiques entre 2019 et 2022. Des millions de petites entreprises qui dépendent de GoDaddy pour sécuriser leurs sites Web ont été exposées à des attaques, redirigeant parfois les utilisateurs vers des sites malveillants et compromettant leurs données personnelles. Cette décision marque un tournant pour les entreprises technologiques, en rappelant que les défaillances en matière de cybersécurité ne resteront pas impunies. Retour sur une affaire qui résonne dans tout le secteur numérique.

Des lacunes de cybersécurité au cœur du problème

Entre 2019 et 2022, GoDaddy a été confronté à des failles de sécurité répétées, mettant en lumière des lacunes significatives dans sa gestion des cybermenaces. Ces incidents ont permis à des pirates informatiques d’accéder aux données sensibles des clients et de détourner des visiteurs vers des sites malveillants. Selon la FTC, l’entreprise n’a pas respecté des pratiques de base comme la mise à jour régulière des logiciels ou l’isolation des plateformes d’hébergement partagé, pourtant indispensables pour garantir la sécurité des données.

Une analyse approfondie de ces incidents révèle que GoDaddy a également manqué à son devoir de transparence envers ses clients. L’entreprise aurait exagéré ses efforts pour sécuriser ses services, affirmant se conformer aux cadres internationaux en matière de protection des données. Ces affirmations trompeuses ont aggravé les préjudices subis par les consommateurs, déjà victimes de violations.

Ces manquements soulignent un défi global pour l’industrie de l’hébergement Web, où les exigences en matière de sécurité deviennent de plus en plus complexes. La FTC a comparé cette situation à celle de Marriott, une autre entreprise sommée de réformer ses pratiques après plusieurs violations de données. Dans un secteur où la confiance est essentielle, l’affaire GoDaddy envoie un message fort : négliger la cybersécurité peut avoir des conséquences graves, non seulement pour les entreprises, mais aussi pour leurs millions de clients.

Les mesures imposées par la FTC

Pour corriger ces lacunes, la FTC a imposé à GoDaddy un ensemble de réformes strictes. Parmi les exigences clés figurent la création d’un programme de sécurité de l’information complet, l’évaluation externe régulière de ce programme, et l’interdiction pour GoDaddy de publier des déclarations trompeuses concernant ses pratiques de sécurité.

Un programme de sécurité renforcé. GoDaddy devra désormais mettre en place des mécanismes avancés pour analyser et répondre aux menaces. Cela inclut la gestion proactive des mises à jour logicielles et la surveillance continue des incidents de cybersécurité. Ce programme devra être conforme aux normes internationales et être audité tous les deux ans par un tiers indépendant.

Transparence accrue. La FTC insiste également sur une communication honnête envers les clients. Toute exagération sur les capacités de sécurité sera désormais considérée comme une infraction. Cette transparence est cruciale pour rétablir la confiance, essentielle pour les petites entreprises qui dépendent de ces services.

Cette décision fait écho à une tendance plus large où les régulateurs demandent aux entreprises de technologie de respecter des normes plus élevées. Alors que le nombre d’incidents de cybersécurité continue de croître, les entreprises comme GoDaddy sont de plus en plus tenues responsables de leurs défaillances. Cette affaire pourrait bien servir de modèle pour d’autres actions similaires dans le futur.

Un signal d’alarme pour l’industrie

L’affaire GoDaddy met en lumière un problème systémique dans le secteur de l’hébergement Web : une sous-estimation des cybermenaces. Alors que des millions de petites entreprises et particuliers confient leurs données à des fournisseurs comme GoDaddy, ces derniers doivent impérativement investir dans des infrastructures de sécurité robustes.

La pression des régulateurs. En imposant des mesures strictes, la FTC envoie un message clair : aucune négligence ne sera tolérée. Pour les entreprises d’hébergement Web, cela signifie un changement de paradigme. Désormais, la cybersécurité ne peut plus être reléguée au second plan ; elle doit devenir une priorité stratégique.

L’importance de l’éducation des consommateurs. Les utilisateurs doivent également être conscients des risques associés à la sécurité en ligne et demander des garanties solides à leurs fournisseurs. Des outils comme l’authentification à deux facteurs ou la sauvegarde régulière des données peuvent faire une différence significative.

Enfin, cette affaire souligne l’importance de partenariats solides entre régulateurs et entreprises pour renforcer l’écosystème numérique. Alors que les cyberattaques deviennent de plus en plus sophistiquées, seule une approche collective permettra de relever ce défi.

La décision de la FTC contre GoDaddy marque un tournant dans la régulation des pratiques de cybersécurité. Les entreprises technologiques doivent désormais adopter des normes élevées pour protéger les données de leurs clients. Pour les professionnels et les particuliers, c’est un rappel que la sécurité en ligne n’est pas optionnelle.

Entreprise, IA, Justice

LinkedIn accusée de partager des données privées : une controverse autour de la confidentialité et de l’IA

25 janvier 2025 Damien Bancal

LinkedIn, réseau professionnel de Microsoft, est accusé aux États-Unis d’avoir partagé des données privées d’abonnés Premium pour former des modèles d’intelligence artificielle, déclenchant une controverse sur la confidentialité des utilisateurs.

LinkedIn, plateforme professionnelle appartenant à Microsoft, est sous le feu des projecteurs après des accusations graves concernant la confidentialité des données de ses utilisateurs Premium. Ces derniers affirment que leurs messages privés auraient été partagés à des tiers, sans leur consentement explicite, pour entraîner des modèles d’intelligence artificielle (IA). Cette affaire, désormais portée devant le tribunal fédéral de San Jose en Californie, soulève de nombreuses questions sur l’éthique des pratiques de la plateforme. En août, LinkedIn aurait introduit discrètement un paramètre de confidentialité permettant de désactiver ce partage, suivi d’une mise à jour controversée de sa politique en septembre. Les plaignants réclament des réparations financières significatives, dénonçant une violation de la vie privée et un manquement aux promesses contractuelles. Cet épisode soulève des inquiétudes croissantes quant à l’impact de l’IA sur la protection des données personnelles.

Une mise en accusation fondée sur la violation de la vie privée

La plainte déposée contre LinkedIn repose sur une accusation précise : la plateforme aurait utilisé les données personnelles de ses abonnés Premium pour alimenter des modèles d’intelligence artificielle sans leur consentement éclairé. Les messages privés, souvent considérés comme inviolables par les utilisateurs, auraient été analysés et traités dans ce but. Cette situation est perçue comme une rupture de confiance entre les abonnés et LinkedIn, une entreprise qui s’est pourtant engagée publiquement à protéger la confidentialité de ses utilisateurs.

L’un des aspects les plus troublants de cette affaire réside dans l’introduction d’un paramètre de confidentialité en août dernier. Ce paramètre permettait aux abonnés de désactiver le partage de leurs données personnelles, mais il aurait été mis en place discrètement, sans notification explicite aux utilisateurs. En septembre, une mise à jour de la politique de confidentialité aurait confirmé que ces données pouvaient être utilisées à des fins d’apprentissage automatique. Cette opacité dans la communication a renforcé la colère des utilisateurs concernés.

Un autre élément central de cette affaire est l’accusation selon laquelle LinkedIn était « pleinement consciente » des violations de la vie privée qu’elle aurait commises. Cette affirmation découle des preuves apportées dans la plainte, notamment les modifications successives des paramètres de confidentialité et de la politique d’utilisation des données. Cela soulève une question cruciale : jusqu’où une plateforme professionnelle peut-elle aller dans l’exploitation des données personnelles sans franchir les limites éthiques et légales ?

Les enjeux juridiques et financiers pour LinkedIn

Sur le plan juridique, l’affaire a été portée devant le tribunal fédéral de San Jose, en Californie. La plainte exige des dommages-intérêts pour rupture de contrat et non-respect des lois californiennes sur la confidentialité des données. Une des demandes les plus marquantes concerne une compensation de 1 000 dollars par utilisateur pour violation d’une loi fédérale. Si cette indemnisation était accordée, elle pourrait représenter des millions de dollars pour LinkedIn, étant donné l’ampleur de sa base d’abonnés Premium.

Ce procès met également en lumière la manière dont les plateformes numériques interprètent les législations existantes en matière de protection des données. La Californie, avec son « California Consumer Privacy Act » (CCPA), impose des normes élevées en matière de confidentialité. Cependant, les plaignants affirment que LinkedIn n’a pas respecté ces obligations, en particulier concernant le consentement explicite et l’information des utilisateurs.

Pour LinkedIn, cette affaire pourrait avoir des conséquences importantes, non seulement en termes financiers, mais aussi sur sa réputation. La plateforme, qui revendique être un lieu sûr pour les professionnels, risque de perdre la confiance de ses utilisateurs si les accusations sont avérées. Cette perte de confiance pourrait entraîner une baisse des abonnements Premium, une source de revenus clé pour LinkedIn.

Par ailleurs, cette affaire soulève une question plus large : celle de l’utilisation des données personnelles dans le développement des technologies d’intelligence artificielle. À une époque où l’IA est de plus en plus intégrée dans les outils professionnels et personnels, les utilisateurs sont en droit de s’interroger sur la transparence des pratiques des entreprises technologiques. Microsoft, maison-mère de LinkedIn, pourrait également être impactée par cette controverse, notamment en raison de son rôle dans l’intégration de l’IA dans ses outils phares, tels que Word et Excel.

Confidentialité, IA et avenir des plateformes numériques

Cette affaire LinkedIn met en lumière un problème fondamental : l’équilibre délicat entre innovation technologique et protection des droits des utilisateurs. L’intégration de l’intelligence artificielle dans les plateformes numériques offre des opportunités inédites, mais elle pose également des défis éthiques majeurs. Les utilisateurs souhaitent profiter des avantages de l’IA sans compromettre leur vie privée.

Pour les abonnés Premium de LinkedIn, la possibilité que leurs messages privés aient été utilisés pour entraîner des modèles d’IA représente une atteinte grave à leur confiance. Ce cas met également en évidence la nécessité pour les plateformes de mettre en place des politiques claires et transparentes concernant l’utilisation des données. Les utilisateurs doivent être informés de manière proactive et avoir un contrôle total sur leurs informations personnelles.

Cette affaire pourrait également avoir un impact au-delà de LinkedIn. Les régulateurs et législateurs, déjà préoccupés par la protection des données dans un monde de plus en plus connecté, pourraient utiliser ce cas comme un exemple pour renforcer les lois existantes. À l’échelle mondiale, des initiatives telles que le Règlement général sur la protection des données (RGPD) en Europe ont déjà montré l’importance de cadres juridiques solides pour protéger les consommateurs.

Enfin, cette controverse souligne une réalité préoccupante : l’IA, bien qu’elle soit un outil puissant, dépend largement des données qu’elle consomme. Les entreprises technologiques doivent trouver des moyens d’entraîner leurs modèles sans porter atteinte à la vie privée des utilisateurs. Cela pourrait passer par des solutions telles que la fédération des données ou l’anonymisation, mais ces technologies nécessitent des investissements significatifs et un engagement ferme envers des pratiques éthiques.

Apple, Entreprise, Justice

Apple accusée de surveillance intrusive

16 décembre 2024 Damien Bancal

Un employé d’Apple accuse l’entreprise de surveiller la vie privée de ses salariés via iCloud et des dispositifs intrusifs, soulevant un débat sur les droits numériques.

Apple fait face à des accusations graves de la part de l’un de ses employés, Amar Bhakta, responsable de la publicité numérique depuis 2020. Ce dernier a déposé une plainte devant un tribunal californien le 1er décembre, affirmant que l’entreprise impose des pratiques de surveillance intrusive qui interfèrent avec la vie privée des employés. Selon la plainte, Apple exige que les employés relient leurs comptes iCloud personnels aux systèmes d’entreprise, ce qui permettrait à l’entreprise d’accéder à leurs e-mails, photos, vidéos et même données de localisation, y compris en dehors des heures de travail.

Le procès met également en lumière des restrictions sur la liberté d’expression des employés, des dispositifs de surveillance dans les bureaux à domicile, et des violations présumées des droits du travail californien. Apple a nié catégoriquement ces accusations, mais cette affaire relance le débat sur la vie privée des salariés dans un monde professionnel de plus en plus numérisé et connecté.

La plainte déposée par Amar Bhakta accuse Apple de pratiques de surveillance numérique invasive via sa politique de conduite commerciale (BCP). Cette politique stipule que l’entreprise peut accéder et archiver toutes les données liées aux appareils et comptes des employés, y compris leurs comptes personnels iCloud. Selon Bhakta, cette mesure donne à Apple un accès potentiel à des informations privées telles que les photos, vidéos, e-mails, et données de localisation de ses salariés, même en dehors des heures de travail.

L’affaire va plus loin, alléguant qu’Apple impose également des restrictions aux employés dans leurs communications personnelles et professionnelles. Bhakta affirme qu’il lui a été interdit de discuter de son travail sur des podcasts, et qu’Apple a exigé qu’il supprime certaines informations professionnelles de son profil LinkedIn. De plus, il dénonce l’installation de dispositifs de surveillance dans les bureaux à domicile des employés, une pratique qui enfreindrait le droit californien du travail.

Si les accusations s’avèrent fondées, cette affaire pourrait entraîner des sanctions substantielles contre Apple en vertu du California Private Attorney General Act. Apple, de son côté, nie fermement ces allégations. Un porte-parole a déclaré que l’entreprise assure une formation annuelle à ses employés sur leurs droits, notamment sur la discussion des salaires, des horaires et des conditions de travail.

Pourtant, cette plainte met en lumière une problématique plus large : celle de la surveillance numérique sur le lieu de travail moderne. Une enquête récente révèle qu’un employé sur cinq est surveillé via des outils numériques, comme des trackers d’activité ou le Wi-Fi. Cependant, aucune preuve n’indique que ces pratiques améliorent réellement la productivité, ce qui soulève des questions sur leur nécessité.

Cette affaire n’est pas un incident isolé pour Apple. L’entreprise a déjà été poursuivie par le National Labor Relations Board (NLRB) des États-Unis pour avoir imposé à ses employés des accords de confidentialité, de non-divulgation et de non-concurrence contenant des clauses jugées illégales. Ces pratiques auraient enfreint les droits fédéraux des travailleurs à s’organiser et à défendre collectivement leurs conditions de travail.

Le débat sur la frontière entre vie personnelle et vie professionnelle prend une nouvelle dimension dans un monde de plus en plus connecté. Alors que des entreprises comme Apple investissent dans des outils numériques pour accroître leur efficacité, elles risquent de brouiller les limites de la vie privée, au détriment des droits individuels de leurs employés.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Entreprise, Justice, loi

La Russie renforce les restrictions sur les hébergeurs étrangers

16 décembre 2024 Damien Bancal

Roskomnadzor a restreint l’accès à de nombreux hébergeurs étrangers pour non-conformité à la législation russe. AWS et GoDaddy viennent de rejoindre la liste des interdits.

Roskomnadzor (RKN), l’autorité de régulation des communications en Russie, continue de durcir ses mesures contre les hébergeurs étrangers qui ne respectent pas les exigences de la loi dite « d’atterrissage » (loi fédérale n° 236-FZ). Après avoir limité l’accès à huit fournisseurs en mars et avril 2024, le régulateur vient de bloquer Amazon Web Services (AWS) et GoDaddy, laissant seulement Hetzner Online GmbH et FastComet hors de ces restrictions.

La loi impose aux entreprises étrangères fournissant des services en Russie d’ouvrir des bureaux locaux, de créer un compte officiel sur le site de Roskomnadzor et de fournir un formulaire de contact pour les citoyens et organisations russes. Les fournisseurs qui ne respectent pas ces obligations sont non seulement bloqués, mais leurs sites peuvent être marqués comme non conformes dans les résultats des moteurs de recherche russes, compliquant davantage leur visibilité et leur accessibilité.

Depuis le printemps 2024, Roskomnadzor a progressivement restreint l’accès aux services de huit hébergeurs étrangers, invoquant leur non-respect des dispositions prévues par la loi fédérale n° 236-FZ. Ces restrictions ont concerné des sociétés majeures, parmi lesquelles :

Kamatera Inc. (25 mars 2024)
HostGator.com LLC (29 mars 2024)
DigitalOcean LLC (10 avril 2024)
DreamHost LLC (3 avril 2024)

Conformément à la loi, ces entreprises auraient dû créer un compte personnel sur le site de Roskomnadzor. Publier un formulaire de commentaires pour les citoyens et organisations russes. Ouvrir un bureau local pour gérer leurs opérations en Russie. Les Américains et l’Europe imposent aussi ce type de contrôle.

Malgré plusieurs avertissements, les fournisseurs n’ont pas respecté les exigences de Roskomnadzor. Le ministére a d’abord utilisé des outils de sensibilisation publique, tels que des avertissements dans les résultats de recherche sur Yandex pour signaler les violations. Lorsque cela n’a pas suffi, le régulateur a imposé des restrictions totales d’accès aux ressources concernées.

Les récentes décisions de Roskomnadzor marquent une escalade dans les tensions entre le régulateur russe et les hébergeurs étrangers. En mai 2024, les sites de deux autres fournisseurs notables, Amazon Web Services (AWS) et GoDaddy, ont été bloqués pour des raisons similaires. AWS et GoDaddy avaient pourtant évité les premières vagues de restrictions, mais leur incapacité à se conformer aux obligations légales a conduit à leur inclusion dans la liste noire. Il faut dire aussi qu’avoir un bureau en Russie n’est plus possible pour Amazon Web Services ou GoDaddy.

Avec ces nouveaux ajouts, seules Hetzner Online GmbH et FastComet restent autorisées parmi les fournisseurs initialement listés par Roskomnadzor. Cependant, leur situation pourrait également changer si elles ne respectent pas rapidement les règles en vigueur. Les moteurs de recherche russes, tels que Yandex, continuent de signaler les entreprises non conformes, rendant difficile leur utilisation pour les citoyens russes.

Ces mesures s’inscrivent dans un cadre plus large visant à limiter la dépendance de la Russie aux infrastructures étrangères et à garantir que les données des utilisateurs russes soient protégées selon les normes locales. Roskomnadzor a également souligné que les hébergeurs étrangers ne pouvaient pas garantir la sécurité des données, évoquant des risques d’accès non autorisé et d’utilisation des serveurs pour diffuser des contenus interdits.

Blocages !

Facebook et Instagram : En mars 2022, Roskomnadzor a bloqué l’accès à ces plateformes, les qualifiant d' »extrémistes » après que Meta Platforms a autorisé des messages appelant à la violence contre les forces russes.

BBC News : Le site de la BBC a été bloqué en mars 2022, les autorités russes accusant les médias occidentaux de diffuser de la désinformation sur l’invasion de l’Ukraine.

Twitter : Bien que Twitter ne soit pas complètement bloqué, son accès est fortement restreint depuis mars 2022, rendant son utilisation difficile pour les internautes russes.

Deezer : Le service de streaming musical Deezer est également inaccessible en Russie depuis mars 2022, dans le cadre des restrictions sur les plateformes occidentales.

Chess.com : En avril 2022, le site d’échecs en ligne a été bloqué après la publication d’articles critiques sur l’invasion russe en Ukraine.

Applications VPN : Depuis juillet 2024, environ 25 services de VPN, dont Proton VPN, ont été retirés de l’App Store en Russie, limitant les moyens de contourner la censure.

YouTube : En août 2024, les autorités russes ont considérablement ralenti l’accès à YouTube, réduisant le débit à environ 128 kilobits par seconde, rendant la plateforme pratiquement inutilisable.

Entreprise, Justice, RGPD

Marriott et Starwood : un règlement de 52 millions de dollars pour violation de données personnelles

25 octobre 2024 Damien Bancal

Marriott International, ainsi que sa filiale Starwood Hotels, ont accepté de verser 52 millions de dollars dans le cadre d’un règlement suite à une série de violations de données ayant exposé les informations personnelles de 344 millions de clients.

Le parcours de Marriott et Starwood en matière de sécurité des données est marqué par trois violations majeures. En juin 2014, une première faille chez Starwood a compromis les informations relatives aux cartes de paiement des clients, une fuite qui est restée non détectée pendant 14 mois. L’ampleur de cet incident a augmenté le risque pour des millions de clients, dont les informations étaient à la merci des cybercriminels.

Un deuxième incident s’est produit en juillet 2014, révélant cette fois 339 millions de dossiers clients, dont 5,25 millions de numéros de passeport non cryptés. Ce n’est qu’en septembre 2018 que cette faille a été découverte, laissant les clients dans une situation de vulnérabilité prolongée. Ces deux événements, antérieurs à l’acquisition de Starwood par Marriott, ont néanmoins rendu ce dernier responsable de la protection des données à la suite de l’intégration.

En septembre 2018, Marriott a également été directement touché par une attaque. Cette fois, les informations personnelles de 5,2 millions de clients ont été compromises, incluant les noms, adresses e-mail, numéros de téléphone, dates de naissance et informations liées aux comptes de fidélité. Bien que cet incident ait eu lieu en 2018, la fuite n’a été découverte qu’en février 2020, mettant en évidence des failles dans la détection et la gestion des incidents de cybersécurité.

Les conséquences du règlement pour Marriott et ses clients

Cet accord intervient après plusieurs incidents de sécurité, dont certains remontent à 2014, avant même l’acquisition de Starwood par Marriott en 2016. Outre l’amende, Marriott devra mettre en place un programme de cybersécurité complet, offrir aux clients la possibilité de supprimer leurs données personnelles et limiter la quantité d’informations stockées.

Pour faire face aux répercussions de ces violations, Marriott a accepté de verser 52 millions de dollars aux autorités de 49 États américains. L’entreprise devra également instaurer des mesures de sécurité renforcées, parmi lesquelles l’implémentation d’un programme complet de protection des données, des audits tiers réguliers, et des limitations strictes quant aux données clients stockées. Ces efforts visent à empêcher de futurs incidents similaires, en assurant que seules les informations nécessaires sont conservées et en offrant aux clients la possibilité de demander la suppression de leurs données personnelles.

Cet accord, bien que coûteux pour Marriott, constitue un signal fort quant à l’importance de la cybersécurité dans un monde de plus en plus connecté. Avec plus de 7 000 hôtels répartis dans 130 pays, Marriott est une entreprise qui gère une quantité massive de données personnelles. La multiplication des attaques informatiques visant les grandes entreprises a souligné l’urgence d’investir dans des systèmes de protection robustes et d’assurer une vigilance constante face aux menaces cybernétiques.

La Federal Trade Commission (FTC) des États-Unis, qui a surveillé de près les différentes violations, a souligné que les entreprises doivent non seulement protéger les données de leurs clients, mais également être en mesure de détecter rapidement toute faille de sécurité pour minimiser les risques. Le cas de Marriott illustre parfaitement l’importance de la détection précoce : une fuite restée inaperçue pendant plusieurs mois, voire années, expose non seulement l’entreprise à des sanctions sévères, mais surtout met en danger les informations sensibles de millions de personnes.

Des changements structurels pour une meilleure gestion des données

L’une des principales mesures prises par Marriott dans le cadre de cet accord est l’audit régulier de ses systèmes de sécurité par des tiers. Cette pratique permettra de garantir que les nouvelles politiques de sécurité mises en place sont effectivement respectées et fonctionnent efficacement. Limiter la quantité de données stockées est également une réponse directe aux violations antérieures, où des informations non nécessaires étaient conservées, augmentant inutilement les risques en cas de piratage.

Offrir aux clients la possibilité de supprimer leurs données personnelles est une autre mesure significative, permettant une transparence accrue et un contrôle direct sur les informations partagées. Ce droit de suppression répond aux attentes croissantes en matière de protection des données dans le cadre des législations internationales, telles que le Règlement général sur la protection des données (RGPD) en Europe.