Un javascript malveillant injecté dans le Wikipedia Russe s'est propagé à tous les contributeurs Wikipedia, utilisant leurs compte pour vandaliser plusieurs milliers de pages. La fondation a verrouillé Wikipedia en lecture seule le temps de faire le ménage. (Permalink)
J'entends parfois "On sait qui commet les viols, hein !" (sous entendu : les étrangers).
Les faits : 9 victimes sur 10 connaissent l'agresseur. (Permalink)
En France, 35 % des voix peuvent suffire pour gouverner une ville sans partage. Une anomalie en Europe, et une porte ouverte au clientélisme.
En France, les élections municipales sont souvent présentées comme le dernier refuge d’une démocratie de proximité. Le maire incarne la République à hauteur d’homme, l’élu accessible, voire « à portée de baffes », celui que l’on croise au marché ou à la sortie de l’école. Cette image est si solidement ancrée qu’on en oublie de se poser la question de la légitimité démocratique de son élection et du fonctionnement des communes.
Car dès que l’on compare la France à ses voisins, une étrangeté apparaît. Dans la plupart des pays européens, les élections municipales fonctionnent selon un principe assez banal : la proportionnelle. Les conseils municipaux reflètent, à peu près fidèlement, la diversité des votes exprimés. Le maire est ensuite élu directement (en Allemagne ou en Pologne, par exemple) ou désigné par cette assemblée pluraliste (en Scandinavie, en Espagne…). L’opposition existe, négocie, bloque parfois, oblige au compromis. La démocratie locale y ressemble à ce qu’on attend d’elle : imparfaite, conflictuelle, mais lisible.
Usine à baronnies ?
La France, elle, a choisi une autre voie. Dans les communes de plus de 1 000 habitants, la liste arrivée en tête obtient automatiquement la moitié des sièges au conseil municipal. Le reste est réparti proportionnellement entre toutes les listes ayant atteint le second tour. Une prime massive, conçue pour garantir la stabilité des exécutifs, qui produit un effet redoutable : 35 % des voix peuvent suffire pour gouverner sans partage pendant six ans. L’opposition est là, certes, mais souvent réduite à un rôle de figurant institutionnel. À noter qu’à partir de cette année, les petites communes n’y échapperont plus. Fini pour elles le scrutin majoritaire plurinominal qui offrait une certaine flexibilité, avec son panachage possible et ses candidatures individuelles, dans un contexte où se présentaient très souvent des listes uniques.
Seuls Paris, Lyon et Marseille conservent un scrutin spécifique, né de la loi PLM de 1982, révisée (et complexifiée) par celle du 21 mai 2025.
Il n’y a que deux pays européens qui recourent à une prime majoritaire : l’Italie et la Grèce. Mais même là, l’idée est de garantir une majorité à une liste arrivée en tête avec un peu moins de 50 % des voix, pas d’obtenir une position hégémonique au conseil municipal. Ainsi, une liste qui arrive en tête avec 45 % des voix récupère 60 % des sièges en Italie ou en Grèce, contre environ 72,5 % en France.
Ceci n’est pas une anomalie technique, mais une préférence politique ancienne : en France, on préfère l’ordre, la continuité, l’efficacité supposée d’un exécutif fort. Mais en retour, nombre de communes se transforment en petites baronnies, où le pouvoir peut se conserver pendant des décennies au moyen de politiques clientélistes dont les victimes n’ont que l’exil comme alternative.
Baroque intercommunalité
Mais l’originalité française ne s’arrête pas au scrutin. Elle se prolonge (et s’aggrave) avec l’intercommunalité. Depuis trente ans, les communes ont transféré l’essentiel de leurs compétences stratégiques à des structures plus vastes : communautés de communes, d’agglomération, métropoles. Ce sont elles qui décident désormais des transports, du développement économique, de l’aménagement du territoire, parfois même de l’eau ou du logement.
Problème : ces structures ne sont pas élues directement. Leurs dirigeants ne font pas campagne. Leur programme n’est jamais soumis aux électeurs. À l’exception de la métropole lyonnaise, ils émergent soit d’un jeu de désignations entre élus municipaux, selon des règles aussi complexes qu’invisibles pour le citoyen, soit, depuis 2014, pour les plus grandes structures, via un fléchage sur les listes en lice dans chaque commune. On vote pour un conseil municipal, et on découvre plus tard qu’une grande partie du pouvoir s’exerce ailleurs, par des responsables qui n’ont pas défendu de projet spécifique au niveau intercommunal.
Ailleurs en Europe, la coopération entre communes existe, bien sûr. Mais elle reste généralement limitée, technique, ou au contraire repose sur des assemblées élues, comme les Landkreise en Allemagne. D’autres pays ont directement des communes de grande taille qui rendent ce niveau inutile. Ainsi, en Suède, il y a seulement 290 communes pour environ 10 millions d’habitants, contre environ 35 000 communes pour 70 millions chez nous. La France, elle, a inventé quelque chose de plus singulier : un niveau de gouvernance à part entière, doté de budgets considérables et de compétences décisives, sans véritables élections.
Ce système produit un double brouillage. D’un côté, des conseils municipaux hégémoniques sur le papier, souvent monocolores, qui écrasent la pluralité politique locale. De l’autre, des intercommunalités décisives, mais politiquement fantomatiques, quasi impossibles à sanctionner dans les urnes. Entre les deux, le citoyen oscille, sans jamais savoir clairement qui décide, ni à qui attribuer une politique réussie ou ratée.
C’est peut-être là que se situe le véritable coût démocratique du modèle français. Non pas dans une absence formelle d’élections, mais dans une dissociation croissante entre le vote et le pouvoir réel. La démocratie locale fonctionne encore, mais de manière oblique, indirecte, amortie. Elle protège la stabilité institutionnelle, au prix d’une responsabilité politique affaiblie.
Une remise en question des traditions démocratiques françaises pour s’éloigner du système majoritaire paraît nécessaire. Mais une telle évolution prendra du temps, et une première étape pourrait être d’appliquer une dose importante de proportionnelle au niveau municipal afin d’habituer le personnel politique aux pratiques de négociation et de coalition. Ensuite, des communes agrandies, ou des intercommunalités élues, ou fusionnées avec les départements, permettraient d’élargir le champ du débat démocratique à cette strate très présente dans notre quotidien.
À *CHAQUE* *FOIS* qu'un outils de surveillance est créé "pour notre sécurité" ça finit par être utilisé contre nous. Systématiquement.
Une bonne fois pour toutes : Il n'est PAS POSSIBLE de concevoir un outils de contournenement de mesures de sécurité qui ne sera utilisé que par les "gentils". Quel qu'il soit. (Et cela inclue l'espionnage de nos communications chiffrées réclamée par Interpol et presque toutes les polices du monde.) (Permalink)
Si par hasard vous cherchez comment désactiver le lecteur vidéo de NextCloud :
- Dans le fichier core/shipped.json, retirez "viewer" de la section "alwaysEnabled".
- L'application va alors apparaître dans la liste des applications : l'admin peut alors la désactiver. (Permalink)
Les sites de technologie on perdu 58% de leur trafic venant de Google depuis 2024. Certains 90%.
Alors je vais le redire : Il est inutile d'optimiser votre site pour Google. Ça ne sert plus à rien, ça ne vous ramènera pas plus de trafic. Écrivez pour les ➡️humains⬅️. (Permalink)
Mon fils est à la recherche d'un stage dans le secteur de l'aérospatial ou de l'aéronautique pour 2027, de mars à septembre.
Il est élève ingénieur en sciences aérospatiales (5ème année).
Il est passionné, motivé, vif et hyper sociable.
Tristan K.@tristankamin.bsky.socialreplied: Voilà, je sais qu'il y a des étudiant·e·s intéressé·e·s par le domaine du nucléaire - ou bien des parents de tels jeunes.
Et... Et je recrute, en Alternance 😇.
Orano recrute, certes, mais cette offre-là, c'est directement pour moi.
Tristan K.@tristankamin.bsky.socialposted: Bon, j'parle normalement pas directement de mon boulot sur ce réseau...
Et je sais qu'on est pas sur LinkedIn ici.
Mais je vais déroger à mes propres habitudes et aux codes de bonne conduite des lieux, désolé 😁
241 millions d’euros : c’est la somme versée l’an dernier par la mairie de Paris aux associations — dont 21 pour distribuer repas et bons cadeaux à son personnel. Lyon ? 110 millions. La subvention n’est plus un levier, mais un mode de gouvernement.
Paris a voté en 2025 un total de 5 217 subventions pour 241,2 millions d’euros. La Mairie ne fonctionne plus comme une administration qui arbitre et assume rigoureusement ses dépenses, mais comme une holding qui pratique le déport de charges systématique vers une nébuleuse d’opérateurs satellites. Ce mécanisme permet de transformer des coûts fixes — restauration, œuvres sociales, retraites — en dépenses hors-bilan. Avec cet écran associatif, la Ville s’offre un luxe double : elle évite les audits de performance de ses propres services et présente au contribuable une facture fragmentée, où la récurrence des charges disparaît sous le vernis de la générosité. Quand la dette dépasse 9 milliards d’euros, cette architecture relève d’une dilution organisée de la responsabilité budgétaire.
Et le mal n’est pas uniquement parisien. L’analyse des données ouvertes de la Ville de Lyon (budget 2024) révèle la même logique, parfois poussée plus loin encore. Lyon distribue 109,8 millions d’euros à 3 234 bénéficiaires, soit 212 euros par habitant — contre 113 euros à Paris. Ramenées aux dépenses de fonctionnement, les subventions représentent 15,4 % du budget lyonnais, contre 2,5 % à Paris. L’écart est trompeur : le budget parisien est gonflé par les compétences départementales (RSA, aide sociale, handicap) qui n’existent pas à cette échelle dans les autres communes. Mais il dit une chose : partout, la subvention est devenue un mode de gouvernement.
Le chiffre le plus spectaculaire est aussi le moins contesté : 13,7 millions d’euros versés à l’ASPP, l’Association d’action sociale en faveur des personnels de la Ville de Paris. Derrière le sigle se cache une réalité très concrète : 15 restaurants municipaux, 9 comptoirs de vente à emporter, 2 frigos connectés, et 1,1 million de repas servis par an aux 51 000 agents de la Ville. Le tout sous forme associative, comme si l’employeur signait un chèque en se dégageant de toute responsabilité directe.
Juste derrière, l’AGOSPAP — Œuvres sociales des personnels des administrations parisiennes — encaisse 7 millions d’euros. Cette structure gère 159 729 bénéficiaires, dont 90 491 appartiennent non pas à la Ville mais à l’AP-HP. Paris subventionne ainsi le pivot d’une holding sociale dont elle n’est qu’une filiale. L’AGOSPAP distribue chaque année 113 117 « Coupons sport » et 91 625 billets de spectacles de Noël. Subvention moyenne par bénéficiaire en loisirs : 42 euros.
L’addition est rapide : ASPP et AGOSPAP, c’est 20,7 millions d’euros. Deux structures, deux gouvernances, deux parcs informatiques, pour distribuer des repas et des bons cadeaux. Dans le privé, ces prestations sont intégrées dans un cadre social formalisé, consolidé dans les comptes, soumis à des règles de gouvernance et d’audit. À l’Hôtel de Ville, la subvention devient un forfait de paix sociale : on entretient une logistique lourde pour expédier des millions de billets et de cadeaux, transformant les ressources humaines municipales en une agence de voyage et de billetterie géante.
Lyon, de ce point de vue, est plus raisonnable. Son Comité des œuvres sociales reçoit 2,45 millions d’euros en 2024 pour environ 9 160 agents, soit 267 euros par agent. À Paris, le coût par agent atteint 406 euros — 52 % de plus —, et le tout est réparti entre deux structures concurrentes. La comparaison est cruelle mais juste : ce qui se gère en une ligne à Lyon nécessite deux associations et 20,7 millions à Paris.
2,67 millions pour les rentes des élus
Le deuxième choc est plus feutré, mais sa violence symbolique n’est pas négligeable. Deux associations loi 1901 reçoivent 2,67 millions d’euros pour servir des pensions de retraite à d’anciens conseillers de Paris. La première, au titre du mandat départemental, touche 1,4 million. La seconde, la Société de retraite des conseillers municipaux de Paris, touche au titre du mandat municipal 1,27 million. Ce sont des droits acquis avant 1992, date à laquelle les élus des grandes villes ont été rattachés au régime Ircantec. Depuis 33 ans, plus aucune cotisation n’alimente ces caisses. Seule la subvention de la Ville comble le déficit, mois après mois, année après année, jusqu’en 2050 au moins.
Le plus remarquable est le montage lui-même. Comme le documente la Chambre régionale des comptes d’Île-de-France, ces deux associations n’exercent « aucun rôle effectif dans la distribution des pensions ». Ce sont des agents de la Ville qui calculent les montants et établissent les listes de bénéficiaires ! La directrice de ces deux structures est la secrétaire générale du Conseil de Paris. L’habillage associatif ne sert qu’à une chose : « préserver les apparences de la gestion associative », selon la formule, dévastatrice, de la Chambre régionale des comptes d’IDF. En clair : la forme masque le fond, et le fond, c’est de l’argent public versé à des élus sans contrôle ni contrepartie.
Pendant que la Ville invoque l’austérité pour justifier le rationnement des budgets de proximité, ces dépenses de rente restent sanctuarisées, naturalisées dans le décor administratif. À cet inventaire s’ajoute un cas d’espèce : l’Association internationale des maires francophones (AIMF), présidée par la maire de Paris elle-même, reçoit 1,49 million d’euros. La Ville finance ainsi une diplomatie parallèle dont la présidente est sa propre patronne. En droit des sociétés, cela s’appelle un conflit d’intérêts. En droit municipal, cela s’appelle une subvention.
La culture, ou l’art de subventionner l’accessoire en temps de disette
Le troisième chapitre est celui qui cristallise le plus nettement le décalage entre la situation financière et les réflexes de dépense : la culture. Malgré sa dette abyssale, Paris continue d’entretenir ses paquebots de prestige comme si l’argent était un flux éternel. En 2025, la culture a absorbé environ 64 millions d’euros de subventions, dont les principaux bénéficiaires sont toujours les mêmes : 14 millions pour le Théâtre de la Ville, 10,5 millions pour le Théâtre musical de Paris ou encore 4,6 millions pour l’Orchestre de chambre de Paris.
Lyon offre un miroir encore plus saisissant de cette dérive. L’Opéra national de Lyon y capte à lui seul 19,3 millions d’euros, soit un euro sur six de la totalité des subventions municipales. Ce mastodonte, qui emploie 441 personnes dont les deux tiers sont des agents municipaux mis à disposition par la Ville, fonctionne comme un véritable État dans la ville. Derrière lui, la Maison de la Danse ou les Subsistances complètent un tableau où la culture confisque près de 28 % de l’enveloppe globale des aides.
La dérive se renforce quand on observe le second versant : l’éparpillement des micro-subventions culturelles. Rien qu’à Paris, on compte 2 886 lignes de moins de 5 000 euros (soit 55 % des dossiers), aux intitulés souvent opaques — « créations chorégraphiques inclusives », « déambulation dansée au cimetière Père Lachaise », « matrimoine funéraire ». La fragmentation rend chacune individuellement indiscutable et collectivement invisible. C’est la force du saupoudrage : personne ne se bat pour supprimer 3 000 euros. Mais bout à bout, ce nuage de micro-subventions représente la coquette somme de 8,3 millions d’euros.
3 ruptures pour une ville responsable
Pour sortir de l’impasse, la thérapie de choc tient en trois ruptures franches.
D’abord, un sevrage culturel. Il ne s’agit pas d’abolir l’art, mais d’arrêter de financer son agonie administrative. Les 64 millions d’euros parisiens doivent être ramenés à un fonds résiduel consacré exclusivement au patrimoine. Pour le reste — et notamment pour cet Opéra de Lyon qui coûte à chaque contribuable local 37 euros par an, soit davantage, par tête, que l’intégralité du budget culturel subventionné de Paris — c’est l’heure du rendez-vous avec le réel. La ville finance le patrimoine et la sécurité des bâtiments, le reste doit relever du marché, du mécénat et de la billetterie.
Ensuite, une réinternalisation radicale. Il est temps de déchirer le voile associatif qui protège la restauration des agents, les œuvres sociales et les retraites des élus. Ces 23 millions d’euros doivent réintégrer le budget général sous forme de lignes auditables et transparentes. La gestion municipale n’a pas besoin d’écrans de fumée : un service unique de restauration sociale doit remplacer la nébuleuse ASPP-AGOSPAP, et la diplomatie parallèle de l’AIMF doit quitter la taxe foncière des Parisiens pour rejoindre le budget du Quai d’Orsay, dont elle relève. Le niveau de la dette parisienne légitime cette rupture.
Enfin, la fin du privilège de la reconduction automatique. Toute subvention d’envergure doit passer par l’épreuve de l’appel à projets, avec de véritables indicateurs de résultats : coût unitaire, taux d’occupation, satisfaction réelle. Quant au nuage de micro-subventions de moins de 5 000 euros, il doit disparaître au profit d’un fonds de dotation unique, sélectif et contrôlé a posteriori.
Cette mise en concurrence signe également l’arrêt de mort de l’éparpillement. Il faut avoir l’honnêteté de dire que la multiplicité des structures torpille l’efficacité des engagements : le monde associatif ne se portera que mieux après le grand ménage de cette myriade de micro-associations inutiles. La saine concurrence appelle des acteurs solides, capables de gérer des missions de bout en bout, et non une poussière de collectifs qui confondent vitalité démocratique et saupoudrage budgétaire au rendement très limité.
On entend souvent l’objection : « Vous détruisez le tissu associatif ». Mais une association qui ne vit que grâce à l’argent public est juste une dépendance illégitime de la mairie, souvent clientéliste. Or, une ville n’est pas un distributeur automatique de subventions ayant pour fonction d’acheter la paix sociale. Son rôle consiste à fixer des priorités et des choix clairs. Faute de courage politique pour dire « non » quand il le faut, nos édiles emballent en réalité la dégradation de la ville dans de jolies phrases, pleines de bons sentiments en écriture inclusive pour moderniser le narratif de leur échec.
"Déjà victime d’un piratage en 2025, l’Union nationale du sport scolaire (UNSS) a reconnu mardi avoir fait l’objet d’un vol de données issues de son outil de gestion de la relation avec les licenciés. Quelques jours plus tôt, le groupe Dumpsec affirmait être en possession de 890 000 photos émanant de l’UNSS. "
Ah bah super, hein. 😒 (Permalink)
Le cirque sécuritaire : augmentation des effectifs de police et des caméras de surveillance... sans résultats concrets, mais ça plaît à l'électorat à qui on promet de la "sécurité" après des années de matraquage sur l'insécurité dans les médias. (Permalink)
Un bon rappel de PinkNews: Derrière le glamour de Dubaï, il y a:
- un régime autoritaire.
- violations des droits de l'homme.
- de l'esclavage moderne (travailleurs à qui on a confisqué leurs passeports)
- peine de mort et torture.
- relations homosexuelles punies de la peine de mort. (Permalink)
La cours suprême des États-Unis déclare que l'art créé par IA ne peut pas être protégé par le droit d'auteur, puisque techniquement il n'y a pas d'auteur humain. (Permalink)
MAIS OUI !
Windows 12 sera un système à *abonnement*, et bourré d'IA (ça ne sera plus un composant dé-insallable comme dans Windows 11, mais ça fera carrément partie du système.)
Ah et il vous faudra encore un autre PC tout neuf, bien sûr, avec un processeur NPU (ça tombe bien, le matériel est bon marché ces temps-ci (https://sebsauvage.net/links/?LkbdWg)).
(Contexte: YggTorrent était le plus gros site de torrents francophones (une vraie caverne d'Ali-Baba), mais ses propriétaires étaient des connards venus pour le fric. Et ces derniers mois ils avaient bien pourri le système (délais, quotas plus restrictifs, etc.) au point qu'ils avaient mis en colère un gros paquet de contributeurs qui avaient quitté le navire.)
29 données personnelles perdues par habitant : la France figure parmi les quatre pays les plus touchés au monde. Derrière les hackers et les failles techniques, c’est toute une chaîne de vulnérabilités qui est en cause. Mais, bonne nouvelle : les solutions sont connues.
Imaginez : vous postulez à un emploi via France Travail. Nom, prénom, numéro de sécurité sociale, adresse, téléphone — tout y passe. Quelques mois plus tard, ces informations circulent librement sur Internet. Ce n’est pas de la science-fiction : en mars 2024, les données de 36,8 millions de Français ont été aspirées par des pirates. La CNIL a révélé un détail édifiant : en une seule journée, 9 gigaoctets de données — l’équivalent de 13 millions de fiches — ont été extraits sans que personne ne s’en aperçoive.
France Travail n’est pas un cas isolé. SFR, Free, Cegedim, IDMerit, l’Office français de l’immigration… Les violations ont été multipliées par 14 en un an. Neuf Français sur dix sont concernés. Seuls les États-Unis et la Russie font pire en densité de fuites par habitant. Pour comprendre comment on en est arrivé là, il faut démonter la mécanique : chaque maillon de la chaîne numérique peut céder, et les pirates le savent.
On ne force plus la porte, on vole les clés
Première faille, et de loin la plus fréquente : l’identité. Oubliez le hacker qui « casse » du code. Aujourd’hui, à l’échelle mondiale, dans 60 % des cas, les fuites impliquent un facteur humain — erreur, manipulation ou abus de confiance. Le pirate ne fracture plus la serrure : il se fait remettre la clé.
Comment ? Par l’ingénierie sociale, d’abord. Un e-mail piégé, un faux appel téléphonique — et un salarié livre son mot de passe. C’est exactement ce qui s’est passé chez France Travail : les attaquants se sont fait passer pour des conseillers de Cap Emploi. Avec un simple identifiant, ils ont consulté l’intégralité de la base comme des employés ordinaires peuvent le faire.
Ensuite, il y a le marché noir des identifiants. Des logiciels malveillants appelés « infostealers » infectent silencieusement les ordinateurs et aspirent les mots de passe professionnels. 30 % des machines compromises étaient pourtant équipées d’antivirus. Les identifiants se revendent par millions, au même titre qu’un objet d’occasion. Un mot de passe seul, en 2025, ne protège tout simplement plus rien.
L’erreur invisible des développeurs
Deuxième maillon faible : le code lui-même. Dans la course au « tout connecté », les développeurs ont excellé pour vérifier votre identité (« Qui êtes-vous ? ») mais parfois négligé de vérifier vos droits (« Avez-vous accès à cette donnée précise ? »). C’est la différence entre authentification et autorisation — deux mots proches mais deux concepts très différents. Concrètement, il suffit parfois de modifier un numéro dans l’adresse web d’un service pour accéder aux données du voisin, comme si vous pouviez ouvrir le casier de quelqu’un d’autre en changeant un chiffre sur le cadenas. Cette faille, dite de « contrôle d’accès défaillant », est classée première menace mondiale par l’OWASP, l’organisme de référence en sécurité des applications web.
Le Vibe Coding : magie créative ou bombe à retardement
L’essor du cloud aggrave le problème. Autrefois, les serveurs d’une entreprise n’étaient pas tous accessibles sur Internet. Aujourd’hui, ils sont hébergés chez Amazon, Google, Microsoft, Scaleway ou OVH, et c’est le développeur « full stack » (capable de travailler sur toute la chaîne d’une application web jusqu’à son déploiement sur les serveurs) qui les configure. Sauf qu’un bon développeur n’est pas forcément un bon ingénieur réseau et sécurité : on retrouve régulièrement des bases de données de test ou de production — contenant de vraies informations de vrais clients — accessibles à quiconque sur Internet, simplement parce qu’un réglage a été oublié.
L’ennemi intérieur
Parfois, la fuite vient de l’intérieur, et elle est volontaire. En Europe, 29 % des violations proviennent d’acteurs internes à l’organisation. Un employé mécontent qui copie une base clients avant de claquer la porte. Un prestataire curieux qui consulte des dossiers qui ne le regardent pas. Un commercial qui exporte des fichiers sur une clé USB pour les emporter chez un concurrent. Ces fuites « humaines » sont les plus difficiles à détecter : l’individu a, en apparence, parfaitement le droit d’accéder aux données qu’il subtilise.
La sous-traitance, bombe à retardement
Aucune entreprise ne fonctionne seule. Vos données de santé transitent par un prestataire, votre banque confie ses contrats à un tiers, votre opérateur téléphonique délègue la maintenance de son site. La part des fuites impliquant un sous-traitant a doublé en un an, passant à 30 %. L’affaire Viamedis l’illustre : en piratant ce prestataire du tiers payant de mutuelles, les attaquants ont accédé aux données de 33 millions d’assurés, soit la moitié de la population française.
Plus insidieuse encore : la chaîne logicielle. Lorsqu’un développeur construit une application, il intègre des centaines de briques de code créées par d’autres — comme un chef cuisinier qui achèterait ses ingrédients à des dizaines de fournisseurs. Il suffit qu’un seul soit contaminé pour empoisonner le plat entier. C’est ce qui s’est produit avec la faille Log4j en 2021 : une petite bibliothèque de code utilisée dans des milliers de logiciels s’est révélée compromise, ouvrant la porte à des attaques à l’échelle planétaire. Plus récemment, l’éditeur Notepad++, très apprécié des développeurs, a subi lui aussi une compromission de son code source.
Le fantôme dans la machine : la dette technique
Dernier maillon, et non des moindres : les vieux systèmes. Paradoxe de 2025 : on peut se faire voler des données via un boîtier VPN vieux de dix ans ou un logiciel de gestion de site web jamais mis à jour. Ces logiciels et matériels « legacy », souvent oubliés des équipes informatiques, sont les cibles préférées des failles dites « zero-day » — des vulnérabilités inconnues des concepteurs et exploitées avant qu’un correctif n’existe. Le pirate entre par le vieux système, puis « pivote » vers les environnements modernes. Le rapport Verizon 2025 le confirme : les failles sur les équipements de périmètre (VPN, pare-feux) ont été multipliées par huit, et seules 54 % d’entre elles sont corrigées, avec un délai médian de 32 jours.
Face à cette hémorragie, la réglementation devrait protéger les citoyens. Le RGPD a marqué un progrès, mais sept ans après, un constat s’impose : la logique européenne reste massivement administrative. On investit dans les registres, les analyses d’impact, les déclarations de conformité, bref, dans la paperasse. C’est comme exiger d’un restaurant qu’il remplisse trente formulaires sur l’hygiène sans jamais vérifier la température de ses réfrigérateurs. France Travail en est le cas d’école : l’organisme avait identifié toutes les mesures de sécurité nécessaires dans ses analyses d’impact… sans jamais les appliquer.
Le contraste avec l’approche anglo-saxonne est frappant. La Federal Trade Commission américaine exige des mesures techniques concrètes : chiffrement obligatoire, tests d’intrusion réguliers, audits par des experts indépendants. Quant à la responsabilité en chaîne de sous-traitance, le RGPD l’affirme sur le papier, mais l’article 82 permet au donneur d’ordre de se dégager si le sous-traitant est fautif. Résultat : un ping-pong juridique où les victimes n’obtiennent quasiment jamais de compensation directe.
L’entrée en vigueur de la directive NIS2 en janvier 2023, soit la principale réglementation européenne en matière de cybersécurité pour protéger les infrastructures critiques et les services essentiels, promet de changer la donne. Encore faut-il qu’elle soit transposée dans le droit national de chaque pays, ce qui n’est pas encore le cas. Elle doit par exemple encore faire l’objet d’un débat parlementaire en France avant d’être promulguée. Elle impose des mesures techniques plus prescriptives et engage la responsabilité personnelle des dirigeants, ce qui pourrait enfin aligner l’Europe sur une logique d’obligation de résultats. Mais, en ne s’appliquant pas à toutes les entreprises, elle crée le risque du développement d’une cybersécurité à deux vitesses, voyant la majorité des PME rester exposées au flou juridique et technique actuel.
Comment s’en sortir ?
Comme nous l’avons déjà écrit, la bonne nouvelle tient en l’existence de solutions. La première impose d’en finir avec le mot de passe unique. L’authentification multifacteur (MFA) — le principe du double verrou — doit devenir la norme absolue : même si quelqu’un vole votre mot de passe, il ne peut entrer sans un second code généré sur votre téléphone. Si France Travail l’avait exigé pour Cap Emploi, l’attaque aurait probablement échoué.
La deuxième impose de surveiller les comportements anormaux plutôt que de se contenter de verrouiller les portes. Aucun employé n’a besoin de télécharger 13 millions de fiches en un jour. Un système de détection d’anomalies, fonctionnant comme un disjoncteur électrique, aurait coupé l’hémorragie dès les premières minutes.
La troisième relève du cloisonnement. Un prestataire n’a pas toujours besoin d’accéder à une base entière pour faire son travail. Le principe du « moindre privilège » — ne donner que les accès strictement nécessaires ou chiffrer les données — aurait limité certaines fuites. De même, les serveurs de production ne devraient jamais pouvoir communiquer librement avec Internet : si une librairie de code vérolée tente d’envoyer des données vers un serveur inconnu, le flux doit être bloqué par défaut.
La quatrième invoque la remise en cause permanente des systèmes existants. Le vieux dogme « tant que ça marche, on ne touche à rien » est dangereux. Il faut renouveler régulièrement les clés d’accès, les certificats, les configurations — forcer le mouvement pour débusquer un éventuel intrus caché dans le système. C’est la technique du « chaos monkey », appliquée à la sécurité informatique.
Enfin, la France et l’Europe doivent sortir du tout-administratif pour privilégier l’efficacité opérationnelle. Plutôt que de multiplier les registres, il faut imposer des mesures de protection concrètes à l’ensemble du tissu économique. En instaurant la transparence sur les fuites, la réputation deviendra un levier aussi puissant que les sanctions financières. Il est temps que les entreprises craignent plus les cybercriminels que les auditeurs de conformité. Pour cela, on pourrait aussi accorder juridiquement la propriété de leurs données aux particuliers, ce qui transformerait la nature même du vol. Le prestataire deviendrait ainsi le simple dépositaire d’un bien qui ne lui appartient pas. Ce changement de paradigme permettrait aux victimes d’engager des recours collectifs (class actions) et de récupérer directement le montant des amendes à titre de réparation. Car la cybersécurité n’est ni un problème de hackers, ni une fatalité technologique. C’est une question d’organisation, de bon sens et de volonté politique. Les outils existent. Il ne reste plus qu’à les appliquer.
Et cette urgence prend une dimension nouvelle à l’heure où nos gouvernements veulent généraliser la certification d’identité en ligne. L’Assemblée nationale a adopté le 26 janvier 2026 une proposition de loi interdisant les réseaux sociaux aux moins de 15 ans. Pour l’appliquer, il faudra vérifier l’âge de tous les utilisateurs — pas seulement des mineurs. Parmi les pistes envisagées : l’envoi d’une pièce d’identité accompagnée d’un selfie, ou le recours à l’application France Identité, adossée à la carte d’identité électronique. Autrement dit, au moment même où l’on peine à protéger nos numéros de sécurité sociale et nos adresses, on s’apprête à confier nos documents d’identité officiels à des circuits de vérification supplémentaires — autant de nouvelles surfaces d’attaque. On peut légitimement se demander si un pays qui n’arrive pas à empêcher l’extraction de 13 millions de fiches en une journée est vraiment prêt à centraliser la vérification d’identité de 50 millions d’internautes. Le « double anonymat » promis par le gouvernement est une belle idée sur le papier — mais on a vu les limites de la sécurité sur le papier.
En attendant, si, anxieux, vous souhaitez savoir en direct où en sont les fuites de données observées, vous pouvez les suivre sur le site Bonjour la fuite… Pas de quoi vous rassurer au moment où vous répandez vos données sur la toile, mais vous serez au moins informés…
Connexion