Archives par mot-clé : géolocalisation

Cybersécurité, Entreprise, Securite informatique

Flickr alerte sur une fuite via un prestataire d’e-mails

Une faille chez un fournisseur tiers a pu exposer des données d’abonnés Flickr. L’entreprise bloque l’accès en quelques heures et redoute surtout une vague d’hameçonnage ciblant ses 35 millions d’utilisateurs mensuels.

Flickr a averti ses utilisateurs d’une possible fuite de données liée à une faille dans les systèmes d’un prestataire de messagerie tiers. L’entreprise dit avoir découvert l’incident le 5 février 2026 et avoir bloqué l’accès au système compromis quelques heures plus tard. Selon Flickr, les identifiants de connexion et les informations financières ne sont pas concernés. En revanche, des données pourraient avoir été exposées, notamment noms d’utilisateur, adresses e-mail, surnoms Flickr, types de comptes, adresses IP, données de géolocalisation et informations d’activité. Les utilisateurs sont invités à vérifier leurs paramètres et à se méfier du phishing. Flickr enquête et renforce ses contrôles fournisseurs.

Une brèche indirecte, et le risque de phishing à grande échelle

L’alerte ne vient pas d’un piratage frontal de Flickr, mais d’un angle souvent sous-estimé : la dépendance à un prestataire. Le service d’hébergement de photos indique qu’une faille de sécurité dans les systèmes d’un fournisseur de messagerie tiers a pu permettre à des pirates d’accéder à des informations d’abonnés. L’entreprise dit avoir eu connaissance du problème le 5 février 2026, puis avoir bloqué l’accès au système compromis quelques heures plus tard.

Flickr précise que les identifiants des utilisateurs et les informations financières n’ont pas été affectés. Cette ligne de défense est essentielle, mais elle ne supprime pas le principal danger opérationnel : l’attaquant n’a pas forcément besoin de mots de passe pour provoquer des dégâts. Des données comme les noms, les adresses e-mail, les surnoms Flickr, les types de comptes, les adresses IP, la géolocalisation et des informations d’activité suffisent à fabriquer des messages de fraude crédibles, personnalisés et difficiles à distinguer d’une communication légitime.

Le contexte donne la mesure du risque. Fondé en 2004, Flickr reste un acteur majeur, revendiquant plus de 28 milliards de photos et de vidéos. La plateforme est utilisée par 35 millions de personnes chaque mois et totalise 800 millions de pages vues. Une exposition même partielle peut donc fournir une base de ciblage massive pour des campagnes de hameçonnage, de prise de compte par tromperie, ou de collecte secondaire via de faux formulaires de support.

Flickr ne communique pas le nom du prestataire touché ni le nombre d’utilisateurs concernés. Ce silence complique l’évaluation externe, mais il ne change pas la logique de menace : dès que des coordonnées et des signaux d’usage circulent, les fraudeurs peuvent orchestrer des attaques “à la bonne adresse”, au bon moment, avec un récit cohérent.

Ce que Flickr demande aux utilisateurs, et ce que l’incident révèle

Dans les notifications par courriel, les utilisateurs potentiellement concernés sont invités à vérifier les paramètres de leur compte pour détecter toute modification suspecte. L’entreprise leur demande aussi de redoubler de prudence face aux messages d’hameçonnage, car des pirates pourraient exploiter des données volées pour usurper l’identité de Flickr. Elle rappelle un point de repère simple : Flickr ne demande jamais un mot de passe par e-mail.

L’entreprise indique enquêter sur l’incident, renforcer son architecture et resserrer ses contrôles sur les fournisseurs tiers. L’aveu implicite est celui d’une surface d’attaque élargie : même si le cœur du service n’est pas touché, un maillon périphérique peut exposer des informations suffisamment riches pour alimenter une fraude rentable. Dans ce schéma, le renseignement utile pour l’attaquant n’est pas le contenu des comptes, mais les métadonnées permettant de choisir une victime, de la profiler et de la convaincre.

À l’échelle cyber, l’épisode illustre une règle constante : les compromis “indirects” via prestataires transforment des données de contact en armes, et déplacent la bataille vers la détection de faux messages et la discipline des accès.

Cybersécurité, Justice, Mise à jour, Propriété Industrielle, RGPD

La faillite de Near relance le débat sur la revente des données de géolocalisation

La société Near, autrefois valorisée à un milliard de dollars, a fait faillite. Son immense base de données de géolocalisation suscite aujourd’hui de vives inquiétudes politiques et juridiques.

Near, courtier en données basé en Inde, s’était imposé en 2021 comme un acteur majeur de la collecte de données de localisation. Elle affirmait alors détenir des informations sur « 1,6 milliard de personnes dans 44 pays ». Introduite en bourse en 2023 via une SPAC, l’entreprise a pourtant déposé le bilan sept mois plus tard. Sa liquidation pose une question cruciale : que deviendront les données personnelles qu’elle détient, notamment celles liées à des lieux sensibles aux États-Unis ?

Des données de géolocalisation au cœur d’une tempête politique

La faillite de Near a rapidement attiré l’attention du Congrès américain. Le sénateur Ron Wyden a demandé à la Federal Trade Commission (FTC) d’empêcher toute revente des bases de données de géolocalisation, en particulier celles collectées autour des cliniques d’avortement. Son bureau avait ouvert une enquête après un article du Wall Street Journal de mai 2023 révélant que Near avait vendu des licences de données à l’organisation anti-avortement Veritas Society. Cette dernière aurait ciblé des publicités vers les visiteuses de 600 cliniques Planned Parenthood dans 48 États.

L’enquête a également montré que Near fournissait des données de géolocalisation au département de la Défense et à des services de renseignement américains. Dans sa lettre à la FTC, Wyden a dénoncé des pratiques « scandaleuses » et exigé la destruction ou l’anonymisation des données américaines sensibles.

Une ordonnance de faillite sous haute surveillance

Les demandes de Wyden ont été entendues. Un document judiciaire publié cette semaine impose de strictes restrictions sur la gestion et la revente des données collectées par Near. Toute entreprise reprenant ces actifs devra instaurer un « programme de gestion des données de géolocalisation sensibles », incluant une surveillance continue, des politiques de conformité et une liste de lieux interdits.

Parmi ces lieux figurent les établissements de santé reproductive, les cabinets médicaux, les églises, les prisons, les centres d’hébergement et les établissements psychiatriques. L’ordonnance interdit toute collecte, utilisation ou transfert de données sans le consentement explicite des personnes concernées.
Dans un communiqué transmis à The Markup, Ron Wyden a salué la décision de la FTC, estimant qu’elle « empêchera l’utilisation abusive du stock de données de géolocalisation des Américains ».

Les pratiques du marché de la donnée mises à nu

Les documents de faillite de Near offrent un rare aperçu du fonctionnement du marché des données de géolocalisation. Ils révèlent des accords de monétisation conclus avec plusieurs courtiers et annonceurs : X-Mode, Tamoco, Irys, Digital Origin, ainsi que des institutions universitaires et des administrations locales.

Un contrat de 2023 liait Near à Digital Origin (maison mère de X-Mode) pour 122 706 $ (112 000 euros). La FTC a depuis interdit à X-Mode de vendre des données de géolocalisation sensibles après un règlement amiable. D’autres contrats montrent que Tamoco et Irys, identifiés parmi 47 acteurs majeurs de ce marché évalué à plusieurs milliards de dollars, avaient conclu des partenariats similaires avec Near.

Selon la politique de confidentialité de l’entreprise, les données pouvaient être « transférées aux acheteurs potentiels » en cas de vente. Une clause devenue critique maintenant que Near cherche un repreneur.

BYOD

Géolocalisation de véhicules, l’avenir routier ?

De plus en plus de véhicule sont équipés d’un système de géolocalisation. De la voiture de « monsieur tout le monde » et son GPS, en passant par des supports professionnels offrant la possibilité de suivre et sécuriser sa flotte de livraison en temps réel. Comment fonctionne ces systèmes ? Sont-ils de confiance ?

Depuis le 31 mars 2018, tous les véhicules neufs doivent être équipés d’un système de géolocalisation et d’appel des urgences en cas d’accident. Un système baptisé eCall. L’avantage de ce système de géolocalisation, un contact immédiat avec le centre de secours le plus proche. eCall permet aux pompiers, par exemple, de retrouver l’emplacement exact du véhicule et des passagers en danger.

Le parc automobile datant d’avant mars 2018 n’est pas concerné. L’autre inconvénient, les erreurs de manipulation et les potentiels bugs. Un système qui n’a pas pour vocation de tracer les véhicules, mais de lancer un « SOS » en cas de besoin.

Deux appels sont lancés, le premier, baptisé le Public Safety Answering Point (il est automatique) et le second, via la voix des passagers, dans la mesure où ces derniers sont dans la capacité de parler.

Suivi par GPS

L’autre système de « suivi » que les véhicules peuvent embarquer, le GPS de géolocalisation en temps réel. Ici, ce système intéressera surtout les entreprises. Le projet Web Fleet est l’un de ces systèmes permettant de connecter un véhicule (voiture, camion, fourgonnette …) au régulateur de l’entreprise (bureau, entrepôt …).

Ce produit de géolocalisation prend la forme d’un boitier baptisé LINK. Il est exploitable via un logiciel, baptisé WebFleet, en charge de la gestion des véhicules équipés du GPS.

Via cet outil, il est possible de suivre le chemin parcouru, par exemple, par un camion. Connaître ses points de passage, ses arrêts, le rediriger en cas de bouchons routiers.

Un outil qui devient très vite un allier dans les choix opérationnels de l’entreprise utilisatrice. Webfleet permet aussi de connaitre la vitesse de chaque véhicule et d’être alerté en cas d’accident. L’accéléromètre embarqué permet cette interaction sécuritaire.

Cybersécurité, Firefox, Logiciels, Mise à jour, Patch

Sécuriser Firefox efficacement en quelques clics de souris

4 commentaires
Vous utilisez Firefox est vous souhaitez que cet excellent navigateur soit encore plus sécurisé lors de vos surfs sur Internet ? Voici quelques astuces qui supprimerons la géolocalisation, le profilage de Google ou encore que vos données offline disparaissent du regard d’espions locaux.

C’est sur le blog des Télécoms que j’ai vu pointer l’information concernant le réglage de plusieurs paramètres de Firefox afin de rendre le navigateur de la fondation Mozilla encore plus sécurisé. L’idée de ce paramétrage, empêcher par exemple Google de vous suivre à la trace ou de bloquer la géolocalisation qui pourrait être particulièrement big brotherienne.

Commençons par du simple. Il suffit de taper dans la barre de navigation de votre Firefox la commande about:config. Une alerte s’affiche, pas d’inquiétude, mais lisez là quand même. recherchez ensuite la ligne security.tls.version. Les valeurs affichées doivent osciller entre 1 et 3. Ensuite, recherchez la ligne geo.enabled pour annuler la géolocalisation. Passez le « true » en « False ». Pour que les sites que vous visitiez ne connaisse pas la dernière page que vous avez pu visiter, cherchez la ligne network.http.sendRefererHeader et mettre la valeur 1. Elle est naturellement placée à 2. Passez à False la ligne browser.safebrowsing.malware.enabled.

Ici, il ne s’agit pas d’autoriser les malwares dans Firefox, mais d’empêcher Google de vous tracer en bloquant les requêtes vers les serveurs de Google. Pour que Google cesse de vous profiler, cherchez la ligne browser.safebrowsing.provider.google.lists et effacez la valeur proposée.

Pour finir, vos données peuvent être encore accessibles en « offlire », en mode hors connexion. Cherchez les lignes offline-apps.allow_by_default et offline-apps.quota.warn. La première valeur est à passer en Fasle, la seconde valeur en 0.

Il ne vous reste plus qu’à tester votre navigateur via le site de la CNIL ou celui de l’Electronic Frontier Foundation.