Archives de catégorie : Justice

backdoor, Cybersécurité, Espionnage Spy, Justice

Caméras cachées : la CNIL inflige 100 000 € à La Samaritaine

La CNIL sanctionne La Samaritaine pour usage de caméras dissimulées dans ses réserves. Une affaire révélant les dérives technologiques en matière de surveillance interne et de protection des données.

 

Rejoignez ZATAZ sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

La Commission nationale de l’informatique et des libertés (CNIL) a infligé une amende de 100 000 € à La Samaritaine, grand magasin parisien, pour avoir utilisé des caméras cachées dans ses zones de stockage. L’autorité a estimé que ces dispositifs, dissimulés dans de faux détecteurs de fumée et capables d’enregistrer le son, violaient les règles du Règlement général sur la protection des données (RGPD). Les salariés n’avaient pas été informés de la surveillance, et aucune analyse d’impact n’avait été réalisée. Cette affaire illustre les tensions croissantes entre sécurité interne et respect des droits fondamentaux à l’ère numérique.

Une surveillance dissimulée dans les réserves du magasin

Le dossier commence par une découverte en apparence anodine. Dans les zones de stockage de La Samaritaine, rénovée et rouverte au public en 2021, des dispositifs de surveillance avaient été installés. Contrairement aux caméras classiques visibles à l’entrée ou dans les espaces de vente, celles-ci ne se repéraient pas. Elles étaient intégrées dans de faux boîtiers de détecteurs de fumée, positionnés au plafond. Leur apparence inoffensive masquait une capacité d’enregistrement vidéo et sonore.

Selon l’enquête de la CNIL, ces caméras avaient pour objectif de surveiller les flux de marchandises et les activités du personnel dans les réserves. L’enseigne n’avait toutefois pas pris les mesures nécessaires pour garantir la transparence de cette surveillance. Les salariés, directement concernés, n’avaient reçu aucune information préalable. Les visiteurs ou prestataires extérieurs qui pouvaient également pénétrer dans ces espaces n’étaient pas davantage avertis.

La CNIL a jugé que ce dispositif de surveillance constituait une atteinte au droit fondamental à la protection des données personnelles. Le caractère dissimulé des caméras accentuait la gravité de l’infraction.

 

⚠️ Êtes-vous une proie facile ?⚠️  ️

Scanner de menaces ZATAZ -> identifiez vos expositions avant l’attaque✅ Scanner mes risques
Confidentiel • Instantané • Sécurisé • 100 % Made in France

Des manquements multiples au RGPD

L’autorité de contrôle a identifié plusieurs manquements au Règlement général sur la protection des données. Le premier concerne l’absence de transparence. Toute installation de vidéosurveillance doit être signalée clairement aux personnes filmées, ce qui n’était pas le cas. Le deuxième point tient à l’absence d’analyse d’impact, pourtant obligatoire pour des dispositifs susceptibles de générer un risque élevé pour les droits et libertés des personnes. Une telle analyse aurait permis de mesurer les risques et de définir des mesures correctrices.

Le troisième manquement porte sur la proportionnalité. La CNIL estime que le recours à des caméras cachées ne peut être justifié que dans des cas exceptionnels, par exemple lors d’enquêtes ciblées et temporaires. Ici, le dispositif était permanent et concernait l’ensemble du personnel circulant dans les zones de réserve. Enfin, l’autorité a relevé un défaut de base légale, puisque le recours à ce type de surveillance ne pouvait être légitimé par une simple nécessité interne de sécurité ou de gestion.

Ces manquements cumulés ont conduit à une sanction pécuniaire significative. L’amende de 100 000 € reflète la volonté de la CNIL de rappeler aux entreprises que la vidéosurveillance, surtout lorsqu’elle est cachée, ne peut s’affranchir des règles européennes.

Un signal fort pour le monde du travail et la cybersurveillance

Au-delà de la sanction financière, l’affaire La Samaritaine envoie un signal clair. Dans le monde du travail, la surveillance technologique ne cesse de s’étendre. Capteurs, logiciels de suivi d’activité, géolocalisation : les dispositifs sont nombreux. L’installation de caméras cachées illustre une tendance inquiétante, où la frontière entre sécurité et intrusion se brouille.

La CNIL rappelle que la confiance au sein de l’entreprise repose sur la transparence. Le fait de cacher un dispositif de surveillance détruit ce principe et fragilise la relation employeur-salarié. Dans un contexte plus large, cette affaire résonne avec les enjeux de cybersurveillance. Les mêmes logiques de disproportion et d’opacité se retrouvent dans certains usages des technologies de suivi numérique.

En sanctionnant La Samaritaine, la CNIL veut montrer que les entreprises, même prestigieuses, doivent respecter les règles. La mise en conformité ne relève pas d’un simple formalisme administratif. Elle constitue une obligation légale et un garde-fou essentiel contre les abus.

Cette sanction pose une question clé : comment concilier les besoins de sécurité interne avec le respect strict des règles de transparence et de proportionnalité en matière de surveillance numérique ?

Rejoignez ZATAZ sur les réseaux :

Newsletter
WhatsApp
Twitter/X
LinkedIn
YouTube
Google News
Aucun spam – Désinscription en un clic – Vie privée respectée

backdoor, Cybersécurité, Espionnage Spy, Justice

Meta accusée de graves manquements en cybersécurité

Un ex-employé de WhatsApp accuse Meta d’avoir ignoré des failles critiques et d’avoir réprimé ses alertes. L’affaire implique Mark Zuckerberg et relance le débat sur la transparence des géants du numérique.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Attaullah Baig, ancien ingénieur de WhatsApp, affirme que des centaines de salariés pouvaient accéder sans restriction aux données sensibles des utilisateurs. Il accuse Meta d’avoir violé un accord conclu avec la FTC en 2020, de ne pas avoir signalé ces risques à la SEC et de l’avoir licencié après ses alertes. L’entreprise conteste, évoquant un collaborateur de faible niveau et mal noté. Mais le procès, qui met en cause directement Zuckerberg, soulève une question centrale : la gouvernance interne de Meta est-elle compatible avec la sécurité des données de milliards d’usagers ?

Des accusations directes contre la gouvernance de Meta

L’affaire débute par une série de découvertes que Baig dit avoir faites au sein de WhatsApp. Selon lui, des centaines d’ingénieurs disposaient d’un accès illimité aux informations personnelles des utilisateurs. Cet accès, décrit comme injustifié et incontrôlé, contreviendrait frontalement à l’engagement pris par Meta en 2020 devant la Federal Trade Commission (FTC). L’accord, conclu après plusieurs scandales liés à la vie privée, imposait un contrôle strict des accès internes et une responsabilisation accrue des dirigeants.

Baig soutient que non seulement ces obligations n’ont pas été respectées, mais que l’entreprise aurait sciemment fermé les yeux sur les vols de comptes. Les signalements de compromission d’identités numériques, fréquents sur WhatsApp, auraient été minimisés dans la communication interne et externe. L’ingénieur affirme aussi que Meta a manqué à ses devoirs de transparence envers la Securities and Exchange Commission (SEC) en omettant de déclarer ces risques dans les documents officiels remis aux investisseurs. Cette omission pourrait être assimilée à une fraude boursière.

Selon sa plainte, Baig a personnellement alerté Mark Zuckerberg, directeur général de Meta, et Will Cathcart, patron de WhatsApp. Plutôt que de traiter les failles, il décrit une réaction hostile : dénigrement de ses performances, microgestion intrusive et démantèlement des fonctionnalités de sécurité conçues par son équipe. Estimant avoir été victime de représailles, il a ensuite saisi la SEC. Peu après, il a été licencié.

Aujourd’hui, l’ancien ingénieur réclame sa réintégration, des compensations financières et un procès devant jury. Pour Meta, l’affaire ne repose sur rien : les représentants du groupe affirment que Baig n’était pas un responsable sécurité mais un simple manager de développement logiciel de niveau junior, dont les résultats jugés médiocres justifiaient le licenciement.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces qui vous visent avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Entre obligations réglementaires et enjeux stratégiques

L’aspect juridique de l’affaire repose sur deux points clés : le respect de l’accord FTC de 2020 et la communication à la SEC. L’accord imposait à Meta un dispositif de contrôle interne renforcé, notamment sur la gestion des accès aux données personnelles. Tout manquement à ces obligations pourrait exposer l’entreprise à de lourdes sanctions.

La SEC, de son côté, sanctionne toute dissimulation d’informations pouvant influencer les investisseurs. Si les accusations de Baig sont confirmées, Meta pourrait être poursuivie pour avoir présenté une image trompeuse de sa maîtrise des risques liés à la sécurité et à la confidentialité.

Au-delà du droit, le dossier révèle la tension permanente entre impératifs économiques et exigences de cybersécurité. WhatsApp, propriété de Meta depuis 2014, compte plus de deux milliards d’utilisateurs. Toute faille ou compromission massive aurait un impact mondial. L’accusation d’accès incontrôlé à grande échelle questionne directement la capacité du groupe à protéger les données sensibles, alors même que son modèle repose sur la confiance des utilisateurs et des annonceurs.

La défense de Meta s’appuie sur des éléments factuels : le département du Travail américain a déjà rejeté une plainte antérieure de Baig, estimant que son licenciement ne relevait pas de représailles. Pour l’entreprise, il s’agit donc d’un contentieux personnel monté en épingle. Mais le fait que l’affaire cite explicitement Mark Zuckerberg met sous tension la communication du groupe.

Cybersécurité et renseignement : une faille stratégique

L’accusation centrale, celle d’un accès illimité aux données utilisateurs par un trop grand nombre d’ingénieurs, mérite une lecture stratégique. Dans toute organisation numérique, la gestion des accès est l’un des piliers de la cybersécurité. Multiplier les accès sans justification augmente mécaniquement les risques d’abus, d’espionnage industriel ou d’ingérences étatiques.

Pour une plateforme mondiale comme WhatsApp, utilisée aussi bien par des particuliers que par des entreprises, des ONG ou des responsables politiques, la question prend une dimension de renseignement. L’hypothèse qu’un nombre élevé d’employés ait pu explorer les données personnelles ouvre la possibilité d’une exploitation malveillante interne ou externe.

Les services de renseignement, qui suivent de près les pratiques des grandes plateformes, s’intéressent à ce type de faille. Une infrastructure comptant des milliards d’utilisateurs représente une cible idéale pour l’espionnage, qu’il soit mené par des acteurs étatiques ou criminels. Les accusations de Baig, si elles se vérifient, signifieraient que Meta aurait facilité malgré elle la tâche de tout acteur souhaitant infiltrer ses systèmes.

La portée de l’affaire dépasse donc largement le cas d’un licenciement contesté. Elle interroge sur la gouvernance de la donnée au sein d’une entreprise devenue un nœud stratégique de communication mondiale.

Une crise de confiance pour Meta ?

Le groupe de Menlo Park se trouve à nouveau confronté à une crise de confiance. Depuis Cambridge Analytica, Meta traîne une réputation fragile en matière de protection des données. Chaque révélation ou accusation relance les doutes sur sa capacité à garantir la confidentialité.

Pour les régulateurs, cette affaire pourrait devenir un test. Si le procès confirme les accusations, la FTC et la SEC seraient contraintes de durcir encore leur contrôle. Si, au contraire, les arguments de Meta l’emportent, le cas illustrerait la difficulté pour un lanceur d’alerte interne de se faire entendre dans un groupe tentaculaire.

Dans les deux scénarios, l’impact est réel : la question de la sécurité des données chez Meta reste ouverte. La mention directe de Zuckerberg dans le dossier montre que la responsabilité personnelle des dirigeants est désormais au cœur des débats.

La cybersécurité, longtemps traitée comme une fonction technique, devient ici un enjeu de gouvernance et de confiance publique. Dans un monde où la donnée est ressource stratégique, chaque faille non traitée peut se transformer en crise globale.

Au-delà du conflit personnel entre un ex-ingénieur et son employeur, l’affaire Baig révèle les tensions profondes qui traversent les géants du numérique : comment concilier croissance, gouvernance et sécurité dans un environnement où la donnée est devenue cible de convoitises multiples ? La justice américaine devra déterminer si Meta a failli à ses obligations. Mais la question qui reste est plus large : si même un acteur central comme WhatsApp ne parvient pas à maîtriser ses accès internes, quels garde-fous restent aux utilisateurs et aux États face aux risques d’ingérence ?

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

Sources

Cybersécurité, Justice

Le Congrès américain veut prolonger la loi clé sur le partage cyber

Une commission du Congrès a validé la prolongation de la loi de 2015 sur le partage d’informations cyber, outil central pour sécuriser les échanges entre entreprises privées et gouvernement.

La loi américaine sur le partage d’informations cyber, adoptée en 2015 après le piratage massif de l’Office of Personnel Management, arrive à expiration le 30 septembre. Une commission de la Chambre a approuvé son renouvellement via le WIMWIG Act, qui prolongerait le dispositif de dix ans. Le texte protège les entreprises de poursuites lorsqu’elles transmettent des renseignements sur des menaces informatiques aux autorités fédérales. S’il est jugé crucial pour la coopération public/privé, le processus de révision suscite des critiques sur la transparence et alimente un débat politique autour du rôle de l’agence CISA, accusée par certains élus républicains de censure en matière de désinformation.

Un cadre légal en sursis

Adoptée en 2015, la loi Cybersecurity and Information Sharing Act (CISA) autorise les acteurs privés à transmettre des renseignements sur des cybermenaces aux autorités fédérales sans crainte de poursuites. Elle devait expirer le 30 septembre. La commission de la Sécurité intérieure de la Chambre a validé mercredi une extension baptisée WIMWIG Act, pour Widespread Information Management for the Welfare of Infrastructure and Government. Cette reconduction de dix ans doit désormais être examinée en séance plénière.

L’adoption initiale de la loi avait marqué un tournant après l’onde de choc provoquée par la fuite massive des données de l’Office of Personnel Management en 2015, qui avait exposé les informations de plus de 21 millions de fonctionnaires. L’affaire avait levé les dernières résistances nées des révélations d’Edward Snowden en 2013 sur les abus de surveillance. Depuis, la loi a permis d’ancrer une coopération jugée essentielle entre infrastructures critiques et gouvernement fédéral.

Des amendements techniques contestés

Le renouvellement du texte a été examiné sans opposition frontale sur le fond. Mais le démocrate Bennie Thompson, élu du Mississippi et chef de file minoritaire, a dénoncé une procédure expéditive. Selon lui, le président de la commission Andrew Garbarino, républicain de New York, a « écourté inutilement » les discussions, la version publique n’ayant été dévoilée que deux jours avant l’examen.

Plusieurs amendements techniques ont été intégrés sans provoquer de débat majeur. Les critiques se sont concentrées sur la méthode, révélant les tensions partisanes autour du dossier, plus que sur la substance du dispositif de partage d’informations lui-même.

Le sujet le plus sensible reste le rôle de l’agence Cybersecurity and Infrastructure Security Agency (CISA). Certains élus républicains redoutent que cette structure fédérale, au cœur du dispositif, ne serve d’outil pour limiter la liberté d’expression. Ces craintes, relayées par le sénateur Rand Paul, président républicain de la commission sénatoriale de la Sécurité intérieure, pourraient peser lors de l’examen au Sénat. Paul, défenseur intransigeant du premier amendement, a annoncé vouloir insérer des garanties interdisant toute action assimilée à de la censure.

Les critiques s’appuient sur les campagnes menées par la CISA autour des élections de 2020, lorsqu’elle avait travaillé avec les plateformes en ligne pour contrer la désinformation. Pour ses détracteurs, ces actions auraient exercé une pression inconstitutionnelle sur des entreprises privées, aboutissant à la suppression de contenus jugés favorables aux conservateurs. Garbarino a confirmé avoir échangé avec Paul sur un texte en préparation visant directement l’agence, sans préciser s’il s’agissait d’un amendement au WIMWIG Act ou d’une proposition distincte.

Le renouvellement du cadre de partage d’informations cyber reste perçu comme indispensable pour protéger les infrastructures critiques. Mais les débats sur le rôle de la CISA et la crainte d’une dérive vers la censure pourraient-ils freiner l’adoption finale d’un dispositif pourtant jugé vital par les acteurs du renseignement et de la cybersécurité ?

Cybersécurité, Espionnage Spy, Justice

Disney sanctionné pour collecte illégale de données d’enfants

Disney a accepté de verser 10 M$ (9,3 M€) à la FTC pour avoir violé la loi COPPA en mal étiquetant des vidéos YouTube destinées aux enfants, permettant la collecte de données personnelles sans consentement parental.

Le règlement impose à Disney de revoir sa gestion de contenus en ligne. L’affaire révèle un problème plus large : les limites du système actuel de protection de la vie privée des mineurs, alors que la publicité ciblée et l’IA façonnent déjà l’écosystème numérique des plus jeunes.

Disney face aux accusations de la FTC

La FTC reproche à Disney d’avoir utilisé des paramètres par défaut au niveau des chaînes plutôt qu’une classification vidéo par vidéo. Résultat : des contenus pour enfants issus de franchises comme Frozen, Toy Story ou Les Indestructibles ont été étiquetés « non destinés aux enfants ». Cette erreur a ouvert la voie à la collecte de données et à la publicité personnalisée, pratiques interdites par la COPPA.

En 2020, YouTube avait pourtant corrigé plus de 300 vidéos mal classées, les passant en « contenu enfant ». Malgré ce signalement, Disney a maintenu son système de réglage global, y compris sur des chaînes explicitement dédiées aux plus jeunes comme Disney Junior, Mickey Mouse ou Pixar Cars. L’absence de contrôle individuel a ainsi prolongé les violations de la loi.

Selon la FTC, ces erreurs ont exposé les enfants à des fonctionnalités interdites, telles que l’autoplay ou les annonces ciblées. Disney, qui tire profit des revenus publicitaires générés sur YouTube, est accusé d’avoir négligé sa responsabilité en matière de protection des mineurs.

Les obligations du règlement

L’amende de 10 M$ (≈ 9,3 M€) n’est qu’un aspect de la sanction. Disney devra désormais informer clairement les parents avant toute collecte de données personnelles concernant des enfants de moins de 13 ans et obtenir leur accord préalable.

L’entreprise est également contrainte de mettre en place un programme complet de vérification de l’ensemble de ses vidéos YouTube. Cette obligation pourrait être levée uniquement si YouTube déploie une « technologie d’assurance d’âge » : un système capable de vérifier automatiquement l’âge réel des spectateurs.

Cette perspective ouvre un débat plus large. Jusqu’ici, les plateformes reposaient sur l’autodéclaration et le bon vouloir des entreprises pour étiqueter correctement leurs contenus. L’exigence de solutions automatisées marque un tournant vers une identification systématique et centralisée des spectateurs mineurs, avec tout ce que cela implique en termes de surveillance numérique.

Une première pour les créateurs de contenus YouTube

Le président de la FTC, Andrew Ferguson, a résumé l’enjeu : « Notre décision sanctionne l’abus de confiance des parents par Disney. » Au-delà du cas particulier, ce règlement illustre une évolution : les autorités ne se contentent plus de cibler les plateformes, elles sanctionnent désormais aussi les producteurs de contenus.

C’est la première fois qu’une procédure COPPA vise directement un fournisseur de vidéos sur YouTube, et non la plateforme elle-même. En 2019, Google et YouTube avaient conclu un accord record de 170 M$ (≈ 157,7 M€) pour des violations similaires. L’affaire Disney s’inscrit donc dans la continuité d’un durcissement de la régulation, où les grandes marques ne sont pas à l’abri.

Si Disney se conforme aux nouvelles règles, les contenus destinés aux enfants devraient être correctement classés à l’avenir, limitant l’exposition aux publicités ciblées et améliorant la protection des données. Mais l’affaire rappelle surtout que la protection des mineurs ne peut être laissée au seul bon sens des entreprises, même celles qui incarnent une image familiale.

L’affaire révèle un basculement : le contrôle des contenus pour enfants se déplace vers des mécanismes de vérification technique. La question reste ouverte : jusqu’où l’« assurance d’âge » automatisée peut-elle protéger les enfants sans instaurer une surveillance généralisée des internautes ?

Cybersécurité, Espionnage Spy, Fuite de données, Justice

Pékin accuse Nvidia : soupçons de backdoors dans les puces IA H20

Nvidia dans le viseur de la Chine : Pékin suspecte ses puces IA H20 d’abriter des backdoors, ravivant la guerre technologique sur fond de cybersurveillance mondiale.

 

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

La Chine vient d’interpeller Nvidia, géant américain des semi-conducteurs, au sujet de présumés backdoors dans ses puces H20 destinées à l’intelligence artificielle locale. Pékin s’appuie sur de nouvelles lois sur la cybersécurité pour exiger transparence et garanties techniques, tandis que Washington impose, de son côté, des restrictions et des mécanismes de contrôle dans les puces exportées. Cet épisode cristallise la montée en puissance des tensions entre les deux superpuissances numériques, où la sécurité, la souveraineté et la capacité de renseignement s’entremêlent. Retour sur les dessous d’un affrontement qui redéfinit les équilibres du cyberespace mondial.

L’ombre du renseignement : Pékin convoque Nvidia

Au matin du 31 juillet 2025, une rumeur parcourt les couloirs feutrés des grandes universités technologiques de Pékin. Dans un communiqué solennel, la Cyberspace Administration of China (CAC), autorité suprême du cyberespace, annonce avoir convoqué l’un des plus puissants fabricants mondiaux de puces d’intelligence artificielle : Nvidia.

La raison officielle ? La présence de « vulnérabilités de sécurité sérieuses » – des backdoors selon l’administration – dans les puces H20, version modifiée et bridée, spécialement conçue pour satisfaire aux exigences américaines en matière d’exportation vers la Chine.

Derrière la formule administrative, la réalité est bien plus explosive. Car depuis 2023, le secteur mondial des semi-conducteurs est l’objet de toutes les tensions, chaque acteur jouant une partie d’échecs à très haut risque, où chaque mouvement peut avoir des conséquences stratégiques majeures.

Washington, dans une course effrénée à la suprématie technologique, a multiplié les restrictions à l’exportation, craignant que ses technologies ne viennent renforcer la puissance militaire et cybernétique chinoise. Mais la diplomatie du silicium ne se limite pas à un simple jeu de barrières douanières. Depuis quelques mois, la législation américaine va plus loin : avec le Chip Security Act, toute puce IA exportée doit embarquer des fonctions de traçage GPS, de localisation et de coupure à distance.

Pour Pékin, c’est une déclaration de guerre numérique à peine voilée.

La cyberguerre dans le silicium : l’art du soupçon et de la riposte

La convocation de Nvidia par les autorités chinoises n’est pas un geste isolé. Elle s’inscrit dans une stratégie globale, où la souveraineté numérique est devenue une priorité nationale. La Chine, qui ne cesse de rappeler son attachement à la « cybersécurité et à la protection des données des utilisateurs », applique strictement ses lois : Cybersecurity Law, Data Security Law et Personal Information Protection Law.

Au centre de l’enquête, une question : les puces H20, qui font tourner nombre d’algorithmes d’intelligence artificielle en Chine, sont-elles vraiment sûres ?

En creux, la peur d’un sabotage à distance. Si les puces américaines comportent effectivement des modules de tracking ou de télécommande, Washington pourrait, en cas de crise, désactiver à volonté une partie de l’infrastructure numérique chinoise. Un scénario digne de la cyberguerre froide, mais qui devient, à la lumière des technologies actuelles, de plus en plus crédible.

La réponse de Nvidia ne s’est pas fait attendre. L’entreprise, par la voix d’un de ses porte-paroles, nie toute présence de backdoor : « La cybersécurité est essentielle pour nous. Nvidia ne place aucune porte dérobée dans ses puces permettant un accès ou un contrôle à distance par un tiers. »

Mais la défiance est tenace, et pour cause : dans le même temps, le marché noir s’empare du sujet. Selon les estimations, pour plus d’un milliard de dollars (environ 920 millions d’euros) de puces Nvidia, parfois des modèles officiellement bannis comme les B200, H10 ou H200, auraient trouvé leur chemin vers la Chine via des circuits parallèles. Kits complets, racks prêts à l’emploi, tout s’arrache sous le manteau – preuve que le besoin de puissance de calcul reste insatiable, quelles que soient les réglementations.

Sécurité nationale, souveraineté et rivalité : le vrai visage de la crise

Ce bras de fer n’est pas qu’une affaire de technique : il symbolise la nouvelle géopolitique du renseignement à l’ère de l’IA. En exigeant de Nvidia la remise de « preuves », de « documents techniques » et d’« explications détaillées », Pékin affiche sa volonté de contrôler la chaîne technologique, mais aussi de démontrer à ses propres acteurs économiques la nécessité d’une indépendance stratégique.

Les failles supposées des puces H20 ne sont en réalité que l’arbre qui cache la forêt. Car malgré les efforts de géants nationaux comme Huawei ou SMIC, la Chine reste encore dépendante, pour les applications de pointe, des technologies américaines. Le lancement du dernier notebook Huawei, salué comme une avancée nationale, a aussi révélé le retard technologique du pays – des générations entières de retard, difficilement comblables sans coopération internationale.

La bataille se joue également sur le terrain du renseignement : dans le cyberespace, tout composant étranger est désormais considéré comme une menace potentielle. L’incertitude est totale. Qui détient vraiment la clé du contrôle de ces puces ? Les circuits imprimés sont-ils de simples outils, ou des armes silencieuses, prêtes à être activées à distance ?

Pour Pékin, la réponse est claire : seule une maîtrise totale de la chaîne technologique, du design à la production, en passant par le contrôle des codes sources, permettra de garantir la sécurité nationale. En attendant, la Chine redouble d’efforts pour stimuler son industrie, investir massivement dans la recherche et l’innovation, et limiter sa dépendance à l’Occident.

Mais la tâche est titanesque. Face à une Silicon Valley toujours à la pointe, les ambitions chinoises se heurtent à des décennies de domination américaine. Le feuilleton des puces Nvidia H20 n’est qu’un épisode de plus dans une série au long cours : celle de la conquête, puis de la sécurisation, du cyberespace mondial.

Chiffrement, Entreprise, Justice, Mise à jour

WeTransfer dans la tourmente : vos fichiers peuvent-ils vraiment être utilisés pour entraîner une IA ?

WeTransfer a récemment déclenché une vague d’indignation en modifiant discrètement ses conditions générales d’utilisation. En jeu : une licence d’exploitation massive sur vos fichiers… et potentiellement leur usage dans des intelligences artificielles.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

 

En juillet 2025, la plateforme de transfert de fichiers WeTransfer, prisée par des millions de créatifs, journalistes et professionnels, a discrètement mis à jour ses conditions générales d’utilisation. Une nouvelle clause a suscité une vive polémique : elle accordait à l’entreprise une licence étendue pour exploiter les fichiers transférés – incluant la possibilité de les modifier, reproduire, distribuer… voire les utiliser à des fins d’entraînement d’intelligence artificielle.

Face à une levée de boucliers sur Reddit, LinkedIn et dans les cercles créatifs, la société a fait machine arrière. Mais l’affaire soulève des questions cruciales : que devient réellement ce que vous transférez ? Et à quel prix pour votre confidentialité ?

Une licence qui va (très) loin

La version de juillet 2025 des CGU de WeTransfer stipulait que les utilisateurs concédaient une licence perpétuelle, mondiale, gratuite, transférable et sous-licenciable à l’entreprise sur tous les fichiers envoyés via la plateforme.

Dans le détail, cette licence permettait à WeTransfer de :

  • reproduire vos fichiers,

  • créer des œuvres dérivées,

  • les modifier,

  • les distribuer,

  • les afficher publiquement,

  • et même… les utiliser pour former ses propres modèles d’intelligence artificielle.

Autrement dit, vos projets de design, vos photos confidentielles, vos productions vidéos ou fichiers journalistiques pouvaient servir d’alimentation à une IA maison, sans votre consentement explicite… ni compensation.

« C’est totalement fou. On transfère nos rushs à nos clients, et là on apprend que WeTransfer peut les réutiliser comme bon lui semble ? » — témoignage d’un monteur freelance sur Reddit

Le retour de bâton : colère, buzz, et retrait partiel

La clause n’est pas passée inaperçue. Sur les réseaux sociaux, les réactions ont été instantanées et virulentes :

  • Reddit a vu fleurir des topics avec des titres comme “WeTransfer just gave itself full rights to your files” ou “Alerte, ils veulent nourrir leur IA avec nos projets”.

  • LinkedIn a vu des appels au boycott, notamment du côté des créateurs de contenu et photographes professionnels.

  • Plusieurs juristes ont également pointé une potentielle incompatibilité avec le RGPD.

Résultat : à peine une semaine plus tard, WeTransfer a publié une mise à jour. La société y assure ne pas utiliser les fichiers des utilisateurs pour entraîner d’intelligence artificielle ni les monétiser auprès de tiers.

Mais — et c’est un point crucial — la licence d’utilisation étendue n’a pas été totalement retirée. Elle demeure, même sans l’usage de l’IA.

Action Description
Lire les CGU Avant chaque envoi, surtout pour les plateformes freemium.
Ne pas utiliser WeTransfer pour des fichiers sensibles Données clients, fichiers juridiques, créations inédites : passez votre tour.
Préférer un chiffrement en amont Crypter localement vos fichiers (ex : avec VeraCrypt, 7-Zip AES).
Opter pour des alternatives plus transparentes Par exemple : SwissTransfer (serveurs suisses), SpiderOak, Tresorit (protection juridique forte, pas de clause d’usage commercial). Le service Bluefiles est une alternative parfaite. (protection juridique forte, Français).
Suivre les mises à jour légales Les CGU changent vite et souvent. Mieux vaut les suivre comme on suit une météo instable.

⏳ Jusqu’où tolérerez-vous d’être piraté ?

CTI ZATAZ – Scannez les menaces vous concernant avant qu’il ne soit trop tard.

✅ Scanner mes risques

Confidentiel. Instantané. Sécurisé. Zéro intermédiaire. 100 % Made in France.

Sécurité : chiffrée, mais pas invisible

Sur le plan de la sécurité technique, WeTransfer communique volontiers sur sa conformité avec le RGPD et sur l’utilisation de mesures solides :

  • Chiffrement TLS et AES-256 pour les transferts.

  • Suppression automatique des fichiers après 48h ou selon durée choisie (jusqu’à 1 an si compte Pro).

  • Serveurs conformes aux clauses contractuelles types de l’UE pour les transferts hors EEE.

  • Audits et accès restreints au personnel autorisé.

Sur le papier, c’est rassurant. Mais une question subsiste : à quoi bon crypter si, contractuellement, l’entreprise se réserve le droit de consulter, modifier ou dupliquer le contenu ?

Autrement dit : la sécurité technique ne compense pas une politique de droits d’usage agressive.

Ce que dit le droit (et ce qu’il ne dit pas)

WeTransfer s’appuie sur un principe juridico-commercial courant dans le numérique : l’octroi de licence large pour assurer le bon fonctionnement du service. En clair, permettre à un serveur de copier temporairement un fichier, c’est techniquement une « reproduction ».

Mais là où beaucoup d’acteurs s’arrêtent à une licence limitée à l’exploitation nécessaire du service, WeTransfer avait franchi la ligne avec :

  • la possibilité de créer des œuvres dérivées,

  • l’autorisation de sous-licencier à des tiers,

  • l’usage dans des “produits, services ou technologies futurs”, ce qui inclut… l’IA.

Même après la suppression de la mention IA, ces points restent valides.

Un cas d’école sur le consentement numérique

L’affaire WeTransfer montre à quel point le texte des conditions générales n’est jamais anodin. Derrière un service pratique et populaire peut se cacher une stratégie d’exploitation des données, souvent camouflée dans des formulations juridiques d’apparence banale.

Cette tentative de licence “gloutonne” — et son retrait partiel sous pression — illustre :

  • le déséquilibre informationnel entre plateformes et utilisateurs ;

  • la fragilité de notre consentement numérique ;

  • l’importance d’une veille active sur les pratiques contractuelles, surtout pour les pros de la création, du journalisme et de la cybersécurité.

WeTransfer reste un outil rapide, intuitif, et pratique pour échanger de gros fichiers. Mais sa politique d’utilisation soulève des interrogations profondes sur la monétisation des données, le respect de la vie privée, et l’évolution des rapports de force entre utilisateur et plateforme.

En 2025, le cloud ne vaut pas que par sa vitesse de transfert. Il vaut aussi par ce qu’il nous fait perdre — ou garder — de nos droits fondamentaux sur nos propres données.

Rejoignez-nous sur les réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam – Désinscription en un clic – Vie privée respectée

Cybersécurité, Justice

Coup de frein sur la cybersécurité fédérale

La CISA perdrait près d’un tiers de son personnel dans le budget 2026 proposé par l’administration Trump, alors que les menaces numériques s’intensifient.

Alors que les cyberattaques d’origine étatique et les campagnes criminelles numériques s’intensifient à travers le monde, le gouvernement fédéral américain envisage une réduction majeure de sa principale agence de cybersécurité. La Cybersecurity and Infrastructure Security Agency (CISA) pourrait perdre près de 1 000 employés à temps plein dès le prochain exercice budgétaire, selon les documents officiels publiés vendredi 31 mai 2025. Une réorientation budgétaire majeure qui suscite de nombreuses inquiétudes dans le secteur de la sécurité numérique, tant au sein de l’administration que parmi les experts en cybersécurité.

Un recul budgétaire sans précédent pour la cybersécurité civile

Selon le supplément budgétaire détaillé dévoilé en fin de semaine par la Maison-Blanche, la CISA verrait son effectif passer de 3 292 à 2 324 employés dès le 1er octobre 2025, date de début de l’exercice fiscal 2026. Soit une baisse d’environ 30 %, qui s’accompagne d’une coupe nette dans les ressources financières de l’agence. Son budget total chuterait de 2,38 milliards de dollars à 1,89 milliard (soit environ 1,74 milliard d’euros), selon un document de justification budgétaire consulté par Nextgov/FCW. Cela représente une diminution de 495 millions de dollars (environ 455 millions d’euros) par rapport à l’année précédente. Bref, ce qui avait été promis en mars 2025 s’affiche officiellement comme DataSecurityBreach.fr vous l’écrivait à l’époque.

L’ensemble des lignes budgétaires principales, opérations cyber, engagement des parties prenantes, soutien aux missions, serait touché. L’un des pans les plus sensibles, l’Election Security Program, qui comptait 14 postes et un financement de 39,6 millions de dollars (environ 36,5 millions d’euros), serait tout simplement supprimé. Cette fermeture était anticipée depuis l’annonce par la CISA, en mars dernier, de la fin de son soutien à ce programme clé pour les administrations électorales locales et étatiques. Parallèlement, les efforts de formation et d’éducation à la cybersécurité perdraient 45 millions de dollars (environ 41 millions d’euros), et le National Risk Management Center, pilier de l’analyse des menaces contre les infrastructures critiques, verrait 35 postes supprimés ainsi que 70 millions de dollars de crédits en moins (environ 64 millions d’euros).

Bien que le financement des programmes de sécurité physique des infrastructures soit légèrement rehaussé, cela ne compense en rien les coupes dans les missions cyber, cœur d’activité de l’agence.

Un effet domino sur l’ensemble de l’écosystème cyber fédéral

La réduction envisagée ne se limite pas  (PDF) à la CISA. D’autres entités fédérales impliquées dans la cybersécurité sont également concernées. Le FBI, chargé de la lutte contre la cybercriminalité intérieure, perdrait près de 1 900 employés et verrait ses obligations financières diminuer de 560 millions de dollars (environ 515 millions d’euros).

La National Security Division du département de la Justice, qui supervise notamment les questions de surveillance électronique et de contre-espionnage, verrait son budget passer de 133 à 119 millions de dollars (environ 122 à 109 millions d’euros), une baisse accompagnée de la suppression de 19 postes. Autre victime collatérale : le Department of Energy. Son Office of Cybersecurity, Energy Security and Emergency Response, qui sécurise notamment le réseau électrique national, subirait une coupe de 222 à 179 millions de dollars (environ 204 à 165 millions d’euros), et une réduction de plus de 30 % de ses effectifs. La National Science Foundation, pilier du soutien à la recherche en informatique, verrait son financement plonger de 952 à 346 millions de dollars (environ 875 à 318 millions d’euros). Une chute drastique qui pourrait freiner l’innovation technologique dans le domaine de la cybersécurité.

Même la General Services Administration, responsable des achats et services numériques gouvernementaux, verrait ses fonds fondre de 335 à 217 millions de dollars (environ 308 à 199 millions d’euros). Au département du Trésor, l’Office of Terrorism and Financial Intelligence, clé dans la lutte contre les crimes financiers, subirait une réduction de 274 à 254 millions de dollars (environ 252 à 233 millions d’euros).

L’Office of the National Cyber Director, créé récemment pour coordonner la stratégie numérique fédérale, perdrait 2 millions de dollars (environ 1,8 million d’euros) mais conserverait ses 85 employés.

Des choix politiques marqués, des critiques en perspective

Les arbitrages budgétaires marquent un tournant dans la posture fédérale face aux menaces numériques. La CISA, créée en 2018 sous la première présidence Trump, est devenue ces dernières années l’un des visages publics de la réponse fédérale aux attaques cyber et aux interférences étrangères dans le processus démocratique. Son implication dans le démantèlement des théories de fraude électorale en 2020, et sa communication sur les menaces de désinformation, en ont fait une cible de l’ancien président.

Aujourd’hui, plusieurs directions opérationnelles de l’agence sont sans responsable permanent, tout comme la moitié des antennes régionales. Le climat interne est marqué par les incertitudes, notamment en raison du programme de démission différée offert aux employés, qui permet aux agents de quitter progressivement le service fédéral tout en restant rémunérés jusqu’à la fin de l’exercice en cours.

Le candidat désigné pour diriger la CISA (PDF), Sean Plankey, devra s’expliquer ce jeudi devant le Congrès, en même temps que Sean Cairncross, pressenti pour le poste de directeur national du cyber. Leur audition devrait donner lieu à des échanges nourris sur ces orientations budgétaires, avant que le Congrès ne statue sur les propositions de l’exécutif.

Des hausses ciblées et un statu quo pour certains organismes

Tous les organes fédéraux ne sont pas logés à la même enseigne. L’Intelligence Community Management Account, qui coordonne l’action des 18 agences de renseignement, obtiendrait une hausse modeste de ses crédits, passant de 687 à 700 millions de dollars (environ 632 à 644 millions d’euros).

La Privacy and Civil Liberties Oversight Board, instance chargée de surveiller les atteintes aux libertés publiques par les agences de renseignement, ne connaîtrait quasiment aucun changement en termes de personnel ou de financement. Elle est actuellement engagée dans une procédure judiciaire contre l’administration Trump, en lien avec la révocation de ses membres démocrates.

Cybersécurité, Entreprise, Fuite de données, Justice

Vodafone sanctionné de 45 millions d’euros pour violations graves de la protection des données

L’autorité allemande de protection des données inflige une amende historique à Vodafone pour des manquements graves liés à des pratiques commerciales frauduleuses et des failles de sécurité.

Rejoignez-nous sur vos réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

 

Depuis l’entrée en vigueur du Règlement général sur la protection des données (RGPD) en 2018, l’Union européenne a multiplié les sanctions contre les entreprises ne respectant pas les règles strictes imposées en matière de confidentialité et de sécurité. L’Allemagne, particulièrement vigilante sur ce terrain, vient de frapper fort en sanctionnant Vodafone à hauteur de 45 millions d’euros. En cause, des pratiques commerciales trompeuses menées par des agences partenaires de l’opérateur et des failles importantes dans ses systèmes d’authentification, qui ont exposé les données de ses clients. Une décision qui s’inscrit dans une tendance croissante de surveillance renforcée par les régulateurs européens, soucieux de garantir la confiance numérique des citoyens.

Un double manquement pointé par le régulateur

Le 3 juin 2024, le Bureau fédéral de la protection des données (BfDI), autorité allemande indépendante chargée de veiller au respect du RGPD, a annoncé avoir infligé à Vodafone une amende totale de 45 millions d’euros (51,2 millions de dollars). Cette décision découle de deux types d’infractions distinctes. D’abord, le régulateur a reproché à l’entreprise son absence de contrôle sur les agences de vente partenaires, responsables de pratiques qualifiées de « malveillantes ». Ensuite, il a dénoncé des « failles critiques » dans les procédures d’authentification de Vodafone, qui ont permis à des tiers non autorisés d’accéder à des profils de clients, notamment à travers le système eSIM.

Selon le communiqué publié par le BfDI, l’enquête a révélé que certaines agences partenaires, mandatées pour vendre des services au nom de Vodafone, ont abusé de leur position. Elles auraient manipulé les contrats, falsifié des données clients ou modifié les termes sans consentement, dans le but d’atteindre des objectifs commerciaux.

La seconde infraction, bien plus lourde sur le plan financier, concerne les mécanismes d’authentification utilisés par Vodafone dans son portail en ligne et via sa hotline. Le BfDI estime que ces systèmes présentaient des vulnérabilités importantes qui ont facilité l’accès non autorisé à des données personnelles sensibles.

« Les failles découvertes permettaient notamment à des tiers d’accéder illégalement aux profils eSIM des utilisateurs« , a précisé l’autorité dans son communiqué.

Cette deuxième série de manquements a justifié une sanction de 30 millions d’euros (34 millions de dollars), les services de l’État considérant que Vodafone n’avait pas pris les mesures minimales nécessaires pour garantir la confidentialité des informations. Or, le RGPD exige des entreprises qu’elles mettent en œuvre des technologies et des protocoles de sécurité rigoureux, dès la conception de leurs produits et services.

Réactions et mesures correctives

Face à ces accusations, Vodafone a reconnu des insuffisances dans ses systèmes de protection des données. Dans un communiqué publié le jour même de la sanction, l’entreprise a exprimé ses regrets et a indiqué avoir revu en profondeur ses procédures internes.

« Les actions des agences partenaires ont révélé des lacunes dans nos contrôles de protection des données« , a déclaré un porte-parole de Vodafone. « Nous regrettons que des clients aient été impactés négativement« .

« Les systèmes et les mesures en place à l’époque se sont révélés insuffisants« , ajoute l’entreprise, affirmant que la nouvelle direction a fait de la protection des données une priorité absolue.

Depuis le début de l’enquête menée par le BfDI, Vodafone affirme avoir renforcé de manière significative ses mesures de sécurité. Des audits internes ont été menés et des mécanismes d’authentification plus robustes ont été déployés sur ses plateformes. Le régulateur a confirmé que des « progrès notables » ont été constatés dans les mois ayant suivi le début de la procédure.

Cette sanction contre Vodafone s’inscrit dans un contexte européen marqué par une augmentation significative des sanctions liées à la protection des données personnelles. Les autorités européennes, coordonnées par le Comité européen de la protection des données (EDPB), appliquent désormais avec rigueur les dispositions du RGPD.

️ VEILLE ZATAZ, VOTRE RADAR CYBER

Adoptée et approuvée par 96 % de nos abonnés !

Découvrir la veille maintenant

Aucune publicité. Alerte directe. Veille éthique.

En mai 2023, Meta avait été condamnée à une amende record de 1,2 milliard d’euros (1,37 milliard de dollars) pour des transferts de données jugés non conformes entre l’Union européenne et les États-Unis. Uber, de son côté, a écopé d’une sanction de 290 millions d’euros (330 millions de dollars) pour avoir transféré des données de conducteurs sans garanties suffisantes.

Pour Louisa Specht-Riemenschneider, la commissaire fédérale allemande à la protection des données, cette vigilance accrue est essentielle pour préserver la confiance du public. « La protection des données est un facteur de confiance pour les utilisateurs de services numériques et peut devenir un avantage concurrentiel », a-t-elle souligné dans un communiqué.

La responsable insiste également sur l’importance de la prévention, affirmant que « les entreprises doivent être en mesure de respecter la législation en matière de protection des données avant même que les violations ne surviennent ».

Une surveillance qui s’intensifie

L’affaire Vodafone illustre clairement les attentes grandissantes des régulateurs à l’égard des multinationales. Si la répression devient plus visible, c’est aussi parce que la société numérique génère des volumes de données toujours plus importants, augmentant ainsi les risques d’exploitation abusive ou de compromission.

En Allemagne, le BfDI multiplie depuis deux ans les contrôles sectoriels, notamment dans les télécommunications et les services bancaires. Ces secteurs traitent quotidiennement des données hautement sensibles, allant des informations d’identification jusqu’aux transactions financières. Toute faille ou dérive dans la gestion de ces données expose les entreprises à des sanctions sévères.

Vodafone, présent dans plus de 20 pays, n’est pas à sa première controverse en matière de gestion des données. En 2019, l’opérateur avait déjà été interpellé en Italie pour avoir laissé des agents commerciaux sous-traitants démarcher illégalement des clients, ce qui avait entraîné une sanction de 12 millions d’euros par le Garante per la protezione dei dati personali.

La répétition de ces incidents montre que la gestion des partenaires externes représente un maillon faible pour les grandes entreprises opérant dans plusieurs juridictions. C’est d’ailleurs un point d’attention majeur dans les audits RGPD, qui insistent sur la nécessité de responsabiliser l’ensemble de la chaîne de traitement des données, sous-traitants compris.

Un avertissement pour l’ensemble du secteur

Avec cette nouvelle sanction, le message du BfDI est clair : les entreprises qui ne surveillent pas leurs partenaires ou qui négligent la sécurité des données encourent des conséquences financières lourdes. Au-delà du montant de l’amende, c’est aussi l’image de l’entreprise qui en sort écornée, dans un contexte où la protection des données est devenue un critère de différenciation pour les consommateurs.

Les prochains mois diront si Vodafone parvient à restaurer la confiance et à faire oublier cet épisode. Pour l’heure, l’entreprise affirme avoir « fondamentalement revu ses systèmes et processus« , tout en assurant que la protection des données est désormais « une priorité de la direction« . Reste à savoir si ces mesures suffiront à prévenir de nouveaux incidents.

Rejoignez-nous sur vos réseaux sociaux

Newsletter

WhatsApp

Twitter/X

LinkedIn

YouTube

Google News

Aucun spam. Désinscription en un clic. Votre vie privée est respectée.

Cybersécurité, Justice, Piratage

Un Yéménite accusé d’avoir lancé Black Kingdom contre des hôpitaux

Un ressortissant yéménite est accusé d’avoir orchestré une vaste campagne de cyberattaques avec le rançongiciel Black Kingdom, ciblant écoles, cliniques et entreprises aux États-Unis, depuis le Yémen.

Le ministère américain de la Justice a levé le voile sur un nouvel épisode inquiétant de la cyberguerre mondiale. Le 2 mai 2025, les autorités américaines ont annoncé l’inculpation de Rami Khaled Ahmed, un Yéménite de 36 ans, accusé d’avoir dirigé une campagne d’attaques informatiques via le ransomware Black Kingdom entre mars 2021 et juin 2023. Depuis Sanaa, la capitale du Yémen, Ahmed aurait mené une série d’opérations visant à extorquer des sommes en cryptomonnaie en paralysant des réseaux informatiques critiques, notamment dans les domaines de la santé, de l’éducation et des services aux entreprises. Cette affaire, révélée dans un contexte de répression renforcée contre les cybercriminels à l’échelle internationale, soulève de nombreuses questions sur la coordination de la lutte contre la cybercriminalité, les failles persistantes dans les infrastructures numériques et les limites de la souveraineté judiciaire face à des menaces transnationales.

D’après l’acte d’accusation rendu public par le Département de la Justice américain (DoJ), Rami Khaled Ahmed aurait exploité une faille de sécurité critique baptisée ProxyLogon, découverte dans les serveurs Microsoft Exchange début 2021. Cette vulnérabilité, qui permet à un pirate de prendre le contrôle total d’un serveur sans authentification préalable, a été rapidement exploitée par de nombreux groupes malveillants à travers le monde. Dans le cas du Yéménite, elle aurait permis l’installation du ransomware Black Kingdom sur environ 1 500 systèmes informatiques, principalement aux États-Unis mais aussi dans d’autres pays.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Parmi les cibles confirmées figurent une entreprise de services de facturation médicale à Encino, une station de ski dans l’Oregon, un district scolaire en Pennsylvanie et une clinique de santé dans le Wisconsin. Après avoir pénétré les réseaux, le malware procédait au chiffrement des données sensibles, empêchant tout accès pour les utilisateurs légitimes. Une note de rançon apparaissait ensuite sur les écrans des victimes, les invitant à transférer 10 000 dollars (environ 9 300 euros) en bitcoins à une adresse contrôlée par un complice. Un canal de communication par e-mail permettait aux victimes de prouver le paiement et de recevoir, potentiellement, une clé de déchiffrement.

« Black Kingdom est l’une des premières familles de ransomwares à avoir exploité ProxyLogon. Elle a marqué une étape dans la sophistication des attaques contre les systèmes Exchange Server« , a expliqué Microsoft dans une analyse publiée fin mars 2021.

Connue également sous le nom de Pydomer, la famille de ransomwares Black Kingdom n’est pas nouvelle dans le paysage des menaces cyber. Elle avait déjà été repérée dans des attaques utilisant une autre faille de sécurité majeure : celle du VPN Pulse Secure, référencée CVE-2019-11510. Ces vulnérabilités, connues et documentées, n’en restent pas moins redoutables, notamment lorsque les correctifs ne sont pas appliqués à temps par les administrateurs système.

Si Rami Khaled Ahmed est reconnu coupable, il risque une peine pouvant aller jusqu’à 15 ans de prison fédérale aux États-Unis, soit cinq ans pour chacun des trois chefs d’accusation retenus contre lui : complot, dommage intentionnel à un ordinateur protégé, et menaces de dommage à un ordinateur protégé. Cependant, l’accusé réside toujours au Yémen, pays avec lequel les États-Unis n’ont pas de traité d’extradition en vigueur. Son arrestation dépendra donc de l’évolution des relations diplomatiques et sécuritaires dans la région.

Cette inculpation n’est pas un cas isolé. Elle s’inscrit dans une vague plus large d’actions coordonnées menées par les autorités américaines pour lutter contre la cybercriminalité transnationale. Ces derniers mois, plusieurs arrestations ont été annoncées, illustrant la diversité et l’internationalisation des menaces numériques.

Parmi elles, celle d’Artem Stryzhak, un Ukrainien arrêté en Espagne en juin 2024, affilié au ransomware Nefilim. Extradé vers les États-Unis le 30 avril 2025, il est accusé d’avoir mené des cyberattaques depuis 2021, avec à la clé des demandes de rançon similaires à celles de Black Kingdom. Son procès pourrait également se solder par une peine de cinq ans de prison fédérale.

Dans un autre dossier très médiatisé, Tyler Robert Buchanan, citoyen britannique soupçonné d’appartenir au groupe Scattered Spider, a également été extradé depuis l’Espagne. Il fait face à des accusations de fraude électronique et d’usurpation d’identité, deux infractions couramment associées aux campagnes de phishing et aux compromissions de comptes à grande échelle.

Plus troublant encore : certaines ramifications de ces affaires convergent vers des réseaux aux pratiques encore plus sinistres.

Les noms de Leonidas Varagiannis, alias War, et de Prasan Nepal, alias Trippy, tous deux âgés d’à peine 20 ans, ont fait surface dans un scandale d’envergure. Les deux hommes, décrits comme les chefs du groupe 764, sont accusés d’avoir organisé la diffusion de contenus pédopornographiques en exploitant au moins huit mineurs. Leur groupe, 764, est affilié à une constellation de collectifs criminels appelés The Com, dont ferait également partie Scattered Spider. L’un des membres, Richard Anthony Reyna Densmore, a déjà été condamné à 30 ans de réclusion aux États-Unis en novembre 2024 pour exploitation sexuelle d’enfants.

Ces accusations interviennent dans le contexte d’une série d’annonces des autorités gouvernementales américaines contre diverses activités criminelles.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Le ministère de la Justice a rendu public un acte d’accusation accusant le citoyen ukrainien Artem Stryzhak d’avoir attaqué des entreprises à l’aide du ransomware Nefilim depuis qu’il est devenu affilié en juin 2021. Il a été arrêté en Espagne en juin 2024 et extradé vers les États-Unis le 30 avril 2025. S’il est reconnu coupable de cette accusation, Stryzhak risque jusqu’à cinq ans d’emprisonnement.

Tyler Robert Buchanan, un ressortissant britannique soupçonné d’appartenir au célèbre groupe de cybercriminalité Scattered Spider, a été extradé d’Espagne vers les États-Unis pour répondre à des accusations de fraude électronique et d’usurpation d’identité aggravée. Buchanan a été arrêté en Espagne en juin 2024. Les accusations portées contre lui et d’autres membres de Scattered Spider ont été annoncées par les États-Unis en novembre 2024.

Leonidas Varagiannis (alias War), 21 ans, et Prasan Nepal (alias Trippy), 20 ans, les deux chefs présumés du groupe d’extorsion d’enfants 764, ont été arrêtés et accusés d’avoir dirigé et diffusé du matériel pédopornographique. Les deux hommes sont accusés d’avoir exploité au moins huit victimes mineures.

Richard Anthony Reyna Densmore, un autre membre du 764, a été condamné à 30 ans de prison aux États-Unis en novembre 2024 pour exploitation sexuelle d’un enfant. Les membres du 764 sont affiliés à The Com , un ensemble hétéroclite de groupes aux liens étroits qui commettent des crimes sexuels et violents à motivation financière. Scattered Spider fait également partie de ce groupe.

Le Réseau de lutte contre la criminalité financière (FinCEN) du Département du Trésor américain a désigné le conglomérat cambodgien HuiOne Group comme une « institution particulièrement préoccupante en matière de blanchiment d’argent » pour les réseaux transnationaux de cybercriminalité d’Asie du Sud-Est, car il facilite les escroqueries amoureuses et sert de plaque tournante essentielle au blanchiment des produits des cyberattaques perpétrées par la République populaire démocratique de Corée (RPDC). La licence bancaire de HuiOne Pay a été révoquée en mars 2025 par la Banque nationale du Cambodge.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cybersécurité, Justice

La CNIL alerte sur la sécurité des grandes bases de données

Les fuites massives de données en 2024 ont exposé les failles de sécurité des grandes bases contenant des millions de données personnelles. La CNIL émet ses consignes pour muscler la cybersécurité.

En 2024, la France a été le théâtre d’une vague inédite de violations de données personnelles. Ces incidents, souvent dus à des négligences techniques et à des pratiques de sécurité insuffisantes, ont mis en lumière la fragilité des systèmes traitant des volumes massifs d’informations comme a pu le prouver ZATAZ.COM dès septembre 2023. La Commission nationale de l’informatique et des libertés (CNIL) a publié une série de recommandations destinées à renforcer les mesures de sécurité. Une démarche devenue cruciale, à l’heure où les bases de données numériques, qu’elles soient publiques ou privées, cristallisent un enjeu majeur de souveraineté, de confiance et de résilience numérique.

Des failles structurelles mises à nu par une année noire

L’année 2024 aura servi de révélateur brutal. Des millions de personnes ont vu leurs données personnelles exposées à la suite d’attaques informatiques ciblant aussi bien des organismes publics que des entreprises privées. Le site ZATAZ.COM, référence de l’actualité dédiée à la lutte contre la cybercriminalité, avait lancé l’alerte dès 2023. Ces fuites ne sont pas l’œuvre de cybercriminels d’élite, mais bien d’attaques dites « opportunistes », facilitées par des failles répétitives : comptes usurpés protégés par de simples mots de passe (les pirates ont exploité dans la plupart des cas des infos stealers), surveillance inexistante des intrusions (une veille qui ne doit pas être négligée), ou encore sous-traitants négligents. Selon les rapports de la CNIL, près de 80 % des violations majeures enregistrées proviennent d’identifiants compromis.

Ces lacunes soulignent un déséquilibre préoccupant : les systèmes manipulant les données de plusieurs millions d’individus ne bénéficient pas toujours des dispositifs de sécurité à la hauteur des risques encourus. Or, ces bases de données géantes – qu’il s’agisse de CRM, de services cloud ou de plateformes clients – concentrent une mine d’informations sensibles : identités, coordonnées, historiques de consommation, voire données bancaires.

80 % des violations massives en 2024 ont été rendues possibles par des identifiants volés et une absence d’authentification renforcée.

Des mesures à la hauteur des enjeux

Face à cette situation alarmante, la CNIL insiste sur la nécessité d’une « défense en profondeur » pour les grandes bases de données. Il ne s’agit plus seulement de protéger la périphérie d’un système, mais bien d’organiser sa sécurité de manière holistique. Cela inclut des couches successives de protection, une surveillance active, une journalisation rigoureuse des activités et une politique d’accès strictement contrôlée.

L’autorité rappelle que les articles 5.1.f et 32 du Règlement général sur la protection des données (RGPD) imposent aux responsables de traitement comme aux sous-traitants de garantir une sécurité adaptée à la nature des données traitées et aux menaces qui les guettent. Cela implique une mise à jour constante des dispositifs techniques, mais aussi une réflexion en amont sur les architectures et les processus organisationnels.

La CNIL recommande notamment l’intégration systématique de l’authentification multifacteur (2fa/mfa) pour tout accès à distance à des données massives. Elle pointe également l’importance de limiter les capacités d’extraction de données en cas d’intrusion, ainsi que la nécessité de mettre en place des dispositifs de journalisation performants permettant de détecter rapidement toute activité anormale.

Multifacteur et journalisation : piliers de la nouvelle sécurité

La double authentification constitue aujourd’hui un rempart incontournable face à l’explosion des attaques par hameçonnage ou par réutilisation d’identifiants compromis (credential stuffing). Ce dispositif, qui combine mot de passe et preuve de possession (comme un code envoyé sur un téléphone ou une application dédiée), réduit considérablement le risque d’accès frauduleux… mais n’empêche aucunement l’accumulation de données personnelles. Les pirates ont compris depuis bien longtemps comme accéder à des espaces privées via, par exemple, le social engineering.

La CNIL n’ignore pas les contraintes opérationnelles que peut engendrer sa mise en œuvre, notamment pour les structures peu dotées en ressources humaines ou techniques. Mais l’autorité considère cet effort comme proportionné aux risques encourus. Surtout, elle prévient que l’absence d’une telle mesure sur des bases sensibles pourra, à compter de 2026, justifier l’ouverture de procédures de sanction.

Autre axe fort : la journalisation des activités. Les responsables de traitement sont appelés à mettre en place une traçabilité fine des accès, actions et flux de données. L’objectif est double : détecter les intrusions le plus tôt possible et disposer d’éléments d’analyse en cas d’incident. Les logs doivent être conservés entre six mois et un an, selon des modalités qui garantissent leur intégrité et leur exploitation. L’enjeu n’est pas tant d’accumuler des volumes de données que de savoir les interpréter et d’agir rapidement. Des logs qui pourront permettre de savoir si l’ennemi ne vient pas de l’intérieur !

La CNIL exigera dès 2026 l’authentification multifacteur sur toutes les grandes bases de données accessibles à distance, sous peine de sanctions.

Former pour anticiper : la vigilance humaine en première ligne

La technique ne peut à elle seule garantir la sécurité des données. Les erreurs humaines, trop souvent à l’origine des incidents, doivent être anticipées. La CNIL encourage les entreprises à organiser régulièrement des sessions de formation et de sensibilisation adaptées à chaque profil d’utilisateur : employés, développeurs, prestataires, décideurs. Data Security Breach, par le biais de son fondateur, Damien Bancal, propose des rendez-vous de sensibilisation [contact]. L’implication des utilisateurs est cruciale. Dans bien des cas, un simple doute exprimé par un salarié aurait pu éviter une fuite. D’où l’importance de disposer de référents identifiés et de canaux de remontée d’alerte efficaces. La CNIL considère que l’absence de telles mesures constitue un manquement à part entière.

Un point de vigilance majeur concerne la chaîne de sous-traitance. Les bases de données de grande ampleur sont souvent hébergées ou gérées par des prestataires externes, parfois situés à l’étranger. La CNIL rappelle que le RGPD impose de formaliser, par contrat, l’ensemble des obligations sécuritaires, incluant les clauses sur les violations de données, l’usage de sous-traitants secondaires et la transparence sur les mesures techniques employées.

Le responsable de traitement reste, dans tous les cas, redevable du niveau de sécurité. Il lui revient de s’assurer que le prestataire respecte les recommandations de l’autorité, dispose des certifications nécessaires et se soumet à des audits réguliers. Cette exigence vaut aussi bien pour les sous-traitants directs que pour les fournisseurs cloud, très présents dans l’hébergement de données massives.

La CNIL recommande notamment d’annexer au contrat la politique de sécurité de l’information du prestataire, ainsi que les preuves de ses certifications. Elle insiste sur l’importance d’un suivi continu, et non ponctuel, du niveau de conformité du sous-traitant. Bref, rien de nouveau. Cela devrait être inclus depuis la mise en place du RGPD, en mai 2018 !

2025 : le virage de la fermeté

Avec son plan stratégique 2025-2028, la CNIL franchit un cap dans son approche de la cybersécurité. Elle annonce une intensification de ses contrôles, en ciblant plus particulièrement les structures manipulant des données à très grande échelle. Un accompagnement est prévu, mais la pédagogie laissera peu à peu place à une exigence renforcée de conformité.

L’autorité prévient : les entreprises ayant déjà connu des fuites et qui n’auraient pas renforcé leur sécurité s’exposent à des sanctions accrues. Le message est clair : les incidents passés doivent servir de leçon. Les organismes ont désormais à leur disposition tous les outils pour anticiper, prévenir et réagir.

Les sanctions, qui peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial, ne sont pas une menace théorique. Elles ont déjà été prononcées par la CNIL à plusieurs reprises ces dernières années. À l’avenir, le non-recours à l’authentification multifacteur sur des bases critiques sera considéré comme une négligence inacceptable.

Vers une maturité numérique collective ?

Ce tournant amorcé par la CNIL marque une volonté claire de responsabiliser l’ensemble de l’écosystème numérique. À l’heure où les données personnelles deviennent une ressource stratégique, leur protection ne saurait être une option. Elle est le socle de la confiance numérique, et donc de la compétitivité des entreprises comme de la légitimité des institutions.

Mais une question demeure : les acteurs économiques, souvent contraints par des logiques de rentabilité et de rapidité, seront-ils prêts à consacrer les ressources nécessaires à cette sécurisation ? Et au-delà des injonctions, la culture de la cybersécurité peut-elle réellement s’ancrer durablement dans les pratiques quotidiennes des organisations surtout face à des pirates informatiques qui ont du temps pour réfléchir à comment rentrer chez vous !