This is not for you

Sadri Fegaier, 44 ans, a bâti sa fortune en vendant des assurances pour téléphones portables. En attendant un procès pour « pratiques commerciales trompeuses », la CNIL vient, à son tour, de condamner ses pratiques de « prospection commerciale », elles aussi « trompeuses ».

La CNIL vient d’infliger une sanction administrative de 310 000 euros à un marchand de cartes de fidélité « pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées ».

Sur son site web, FORIOU se présente comme « un moyen simple d’économiser sur vos achats » via des « réductions exclusives, jusqu’à 35 % de cashback et de nombreux autres avantages » telles que des « offres exceptionnelles, des meilleures remises et de cadeaux » chez « plus de 4 000 commerçants ».

À cet effet, elle propose des « offres » allant de 9,99€, 24,99€, 44,99€ à 99,98€ par mois, avec « un engagement d’une durée de 6 mois qui comprend un premier mois de gratuité », et permettant d’escompter des avantages cumulés allant de 250, 600, 1 200 à 2 400€ par an.

Pour démarcher de nouveaux clients, explique la CNIL, FORIOU procède à des campagnes de démarchage par téléphone en achetant les données des prospects démarchés auprès de courtiers en données, qui alimentent eux-mêmes leurs bases de données via des formulaires de participation à des jeux-concours ou à des tests de produits en ligne sur différents sites web.

• CNIL : un bilan record pour les sanctions en 2022
• CNIL : baisse de 10 % du montant global des sanctions en 2023

Or, la formation restreinte de la CNIL, chargée de prononcer les sanctions, a considéré que « l’apparence trompeuse » des formulaires de collecte mis en œuvre par les courtiers ne permettait pas de recueillir un « consentement valide, libre et univoque » des personnes concernées.

La société FORIOU ne disposait donc d’ « aucune base légale » lui permettant d’utiliser ces données à des fins de prospection, en violation des dispositions de l’article 6 du règlement général sur la protection des données (RGPD).

La formation restreinte estime en effet que la mise en valeur des boutons entraînant la transmission de ses données à des fins de prospection commerciale (« par leur taille, leur couleur, leur intitulé et leur emplacement »), comparée aux liens hypertextes permettant de participer au jeu sans accepter cette transmission (« d’une taille nettement inférieure et se confondant avec le corps du texte »), « oriente fortement les utilisateurs à accepter ».

Des formulaires trompeurs

Résoudre un conflit à l'Amiad

La nouvelle Agence ministérielle de l’intelligence artificielle de défense (Amiad), dirigée par un Polytechnicien passé par Google, sera dotée de son propre supercalculateur classifié, d’une enveloppe d’environ 300 millions d’euros par an, et de 300 ingénieurs, chercheurs, doctorants civils et militaires.

Dans une interview aux Échos, Sébastien Lecornu, ministre des Armées, annonce la création d’une Agence ministérielle de l’intelligence artificielle de défense (Amiad).

Elle « sera dotée de moyens importants, avec une enveloppe d’environ 300 millions d’euros par an », sur les 2 milliards d’euros qui seront dévolus à l’intelligence artificielle en matière de défense entre 2024 et 2030.

« Surtout, elle sera dotée de son propre supercalculateur classifié », précise le ministre, qui « sera le plus gros calculateur dédié à l’IA et classifié en Europe ». Situé au Mont-Valérien à Suresnes, il permettra de « traiter souverainement des données secret-défense » (classification remplacée par « Très Secret » depuis 2021, ndlr) et « non protégées », mais pourra aussi profiter à d’autres ministères, ainsi qu’aux entreprises de la base industrielle et technologique de défense (BITD).

Les armées pourront non seulement tester l’IA embarquée dans les systèmes d’armes « en maintenant un fort degré de protection », détaille le ministre, mais les industries de défense pourront aussi l’utiliser et le nourrir avec leurs données, « sans crainte d’espionnage ». Certaines entreprises de défense, les grandes comme les PME, pourront ainsi « travailler sur un espace militarisé secret ».

« Nous allons très vite lancer la procédure d’acquisition, afin de mettre en service ce supercalculateur en 2025 », via un investissement « qui sera sans doute compris entre 200 et 300 millions d’euros ».

De Villani à Google en passant par la DGA

Surdose, sous dose, sans dose

Des scientifiques du Royal Melbourne Institute of Technology (RMIT University), en Australie, ont découvert que 35 % des drogues illicites acquises sur le dark web afin d’être testées étaient frelatées, augmentant le risque d’effets secondaires indésirables, d’overdose et de décès.

Leur étude, publiée dans Drug and Alcohol Review, porte sur l’analyse de 103 échantillons de drogues illicites provenant du forum Test4Pay, disparu en octobre 2023.

Test4Pay (cf aussi la version consultable via TOR) était considéré comme l’un des programmes de réduction des risques les plus aboutis sur le dark web, offrant aux utilisateurs de confiance la possibilité de faire tester leurs drogues en échange de la couverture de leurs dépenses.

L’objectif était aussi de garantir que les résultats des tests soient partagés avec la communauté, que les vendeurs de produits frelatés soient publiquement interpellés, et de sauver des vies.

Les substances étaient en effet analysées par DrugsData ou GetYourDrugsTested (GYDT), deux laboratoires dédiés à la réduction des risques, qui protègent l’anonymat de ceux qui leur envoient les drogues qu’ils ont achetées, et rendent publics les résultats de leurs analyses.

21 % ne contenaient aucune des substances annoncées

Quoi ça ?...

Le sous-préfet chargé de la lutte contre l’immigration clandestine à Mayotte vient de publier 11 demandes d’information réclamant aux industriels un arsenal impressionnant de technologies de surveillance pour combattre le « défi migratoire » dans ce département de la France d’outre-mer.

Le 10 février dernier, Gérald Darmanin a annoncé qu’ « avec le ministre des Armées, nous mettons en place un « rideau de fer » dans l’eau, qui empêchera le passage des kwassa-kwassa [des pirogues légères, qui tanguent énormément, et sont utilisées par les passeurs pour convoyer des migrants d’Anjouan aux Comores à Mayotte, ndlr] et des bateaux, beaucoup plus de moyens d’interception, des radars, et vous verrez un changement radical ».

Message aux Mahorais pic.twitter.com/dF5WtGdGQy

— Gérald DARMANIN (@GDarmanin) February 10, 2024

Concrètement, ce dispositif consiste en « une nouvelle vague d’investissements dans des outils technologiques (radars, moyens maritimes…) permettant de déceler et d’interpeller les migrants en mer », précise le ministère de l’Intérieur à France Info.

Il s’agit du prolongement de l’opération Shikandra, du nom d’un redouté poisson baliste du lagon qui défend son territoire et se montre extrêmement agressif envers les poissons et tout animal (plongeurs et nageurs inclus) qui traverse sa zone de nidification en période de reproduction.

L’opération Shikandra est quant à elle qualifiée par le ministère d’ « approche globale, civilo-militaire, pour relever durablement le défi migratoire à Mayotte », « qui a permis une première vague d’investissements massifs dans ces outils » depuis son lancement (.pdf) en 2019.

Il était alors question de déployer 35 fonctionnaires supplémentaires à la Police aux frontières (PAF), plus 26 gendarmes départementaux et sept effectifs supplémentaires pour le greffe du TGI de Mamoudzou, mais également d’affecter 22 personnels supplémentaires aux effectifs embarqués dans les unités maritimes, de remplacer les cinq vedettes d’interception vétustes par huit intercepteurs en parfaites conditions opérationnelles (quatre neufs et quatre rénovés).

En décembre dernier, Elisabeth Borne a annoncé le lancement, en 2024, du plan interministériel Shikandra 2, contrat d’engagement financier entre l’État et le département doté de plusieurs centaines de millions d’euros jusqu’en 2027 : « Nous investirons massivement dans la protection des frontières avec de nouveaux outils de détection et d’interception ».

À l’en croire, la mobilisation de « moyens considérables » via la première opération Shikandra aurait déjà porté ses fruits : « Depuis 5 ans, près de 112 000 personnes ont été éloignées du territoire, dont plus de 22 000 depuis le début de l’année ».

Les derniers chiffres fournis par la préfecture de Mayotte, en octobre 2023, évoquent de leur côté un total de 60 610 reconduites à la frontière (8 127 en 2020, 17 853 en 2021, 17 380 en 2022 et 17 250 en 2023, l’interception de 1 353 kwassa-kwassa, 17 192 étrangers en situation irrégulière interpellés en mer, et 59 789 à terre, la destruction de 622 barques et 424 moteurs, et la condamnation à de la prison ferme de 285 passeurs.

AQUILA, base de connaissance Frontière Intelligente

Toujours plus de questions sans réponse

Fait suffisamment rare pour être souligné : il n’aura fallu que sept jours aux enquêteurs de la police judiciaire pour interpeller les pirates présumés. Pour autant, et contrairement à ce que de nombreux médias avancent, rien ne permet de savoir à ce stade combien des 43 millions de demandeurs d’emploi (actuels ou anciens) pourraient avoir été concernés par la fuite de données.

La procureure de la République du tribunal judiciaire de Paris annonce l’interpellation ce dimanche 17 mars de trois personnes dans le cadre de l’enquête sur le piratage de données personnelles de France Travail.

Dans la cyberattaque de France Travail, ayant pu entraîner la fuite de 43 millions de données, la section de lutte contre la cybercriminalité du @parquetdeparis a ouvert une information judiciaire, après trois interpellations par la BL2C delà @prefpolice. Communiqué de presse pic.twitter.com/fiPSn0pIQb

— Parquet de Paris (@parquetdeParis) March 19, 2024

Le communiqué, qui ne figure pas sur le site du Parquet de Paris, nous a été retransmis par le journaliste Gabriel Thierry. Nous le diffusons en intégralité :

Elles ont été présentées ce mardi 19 mars à un juge d’instruction en vue de leur mise en examen. Le communiqué précise que la section en charge de la lutte contre la cybercriminalité du parquet de Paris (J3) requiert leur placement en détention provisoire.

• France Travail piraté, les données de 43 millions de personnes « potentiellement » dérobées

Âgées de 21 à 23 ans, elles sont nées en novembre 2001 dans l’Yonne, en septembre 2000 et septembre 2002 dans l’Ardèche, et ont été identifiées via des « investigations techniques et téléphoniques ».

Des perquisitions menées à « leur domicile et sur leur matériel informatique » (sans que l’on comprenne pourquoi le communiqué ne le mentionne qu’au singulier, ndlr) ont « confirmé pour certains d’entre eux une activité d’escroquerie en recourant à la technique du « phishing » ».

Il n’aura donc fallu que sept jours aux enquêteurs…

Pas Cap Emploi

Le piratage de la base de données de France Travail ne concernerait qu’une toute petite partie des 43 millions de demandeurs d’emploi, actuels ou passés. Des données personnelles (nom et prénom, date de naissance, numéro de Sécurité sociale, identifiant France Travail, numéros de téléphone, adresses mail et postale) auraient « potentiellement » pu être exfiltrées par les pirates.

Le communiqué initial de France Travail précisait que « la base de données qui aurait été extraite de façon illicite contient les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d’emploi mais ayant un espace candidat sur francetravail.fr ».

« C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées », soulignait le communiqué.

• France Travail piraté, les données de 43 millions de personnes « potentiellement » dérobées

Or, une source proche de l’affaire nous indique que le volume de données exfiltrées ne ressemblerait pas à une exploitation de masse de la base de données de France Travail. Le nombre de personnes affectées se situerait entre 1 et 1,5 million, soit quelque 3 % de l’ensemble des personnes figurant dans la base de données.

De plus, le modus operandi des pirates laisserait entendre qu’ils ne pouvaient pas procéder à une exfiltration industrielle et massive des données, mais qu’ils n‘auraient pu effectuer que des requêtes ciblées.

Des requêtes ciblées sur un nombre limité de mots-clefs

« Des premiers éléments identifiés par France Travail », précise la procureure de la République du tribunal judiciaire de Paris, il ressort qu’entre les 6 février et 5 mars des comptes d’agents Cap Emploi (l’agence chargée des demandeurs d’emploi en situation de handicap), « habilités à accéder aux ressources présentes sur le système d’information de France Travail, avaient été utilisés pour procéder au téléchargement de données de la base des demandeurs d’emploi évaluée à 43 millions de données à caractère personnel ».

• Piratage de France Travail via Cap Emploi : trois suspects interpellés

Notre source confirme que les pirates auraient fait du « cherry-picking » en effectuant des requêtes ciblées sur un nombre limité de mots-clefs, concernant certaines zones géographiques bien particulières. Reste à savoir si France Travail (ou son prestataire) est parvenu ou parviendra à identifier les données accédées et exfiltrées par les pirates.

Notre source précise qu’elle n’est pas, en l’état, en mesure de savoir si les pirates auraient par ailleurs pu exfiltrer d’autres données, d’une autre manière. Pour autant, leur modus operandi semble indiquer qu’ils n’étaient pas en capacité d’exporter l’intégralité de la base de données, se contentant de l’interroger au moyen de quelques mots-clefs via les identifiants d’agents de Cap Emploi.

Deux frères, un étudiant, Onoff et des escroqueries

Le Parisien a appris que les enquêteurs de la brigade de lutte contre la cybercriminalité de la police judiciaire de Paris (BL2C) ont découvert que les pirates avaient utilisé l’application Onoff pour appeler, en numéro masqué, la plateforme de support de Cap Emploi.

• onoff : on a testé l’application de Taïg Khris qui multiplie les numéros de mobile

« Le faux informaticien a simplement dit qu’il avait perdu son code d’accès et qu’il faudrait réinitialiser son compte personnel », explique au Parisien une source proche du dossier.

Il y a quelques mois, l’opérateur de SIM virtuelle était déjà pointé du doigt par Gaël Mancec (juriste NTIC chez Germain Maureau) lors d’une conférence à l’Afnic : « C’est quelque chose de très légitime, mais très utilisé dans le milieu de la cybercriminalité  […] Même s’ils répondent plutôt bien aux réquisitions ».

Les enquêteurs auraient ensuite réussi à identifier les VPN, adresses IP, téléphones et puces utilisées par les pirates. Il s’agirait de deux frères de 23 et 24 ans vivant à Valence, surnommés « El inspector » et « Ramses », et d’un complice présumé, étudiant à Grenoble.

L’exploitation de leurs terminaux leur a permis de découvrir « des dizaines de milliers d’euros d’actifs en cryptomonnaies », ainsi que des messages évoquant des escroqueries aux SMS.

Toujours d’après Le Parisien, un juge d’instruction d’Avignon (Vaucluse) aurait souhaité que l’un des deux frères soit interpellé dans le cadre d’une affaire d’escroquerie et de fraude à la carte bancaire datant de 2021, qui avait vu un mineur être séquestré chez lui durant quelques heures.

« L’enquête judiciaire est en cours »

Dans son communiqué, la procureure précise que les investigations se poursuivaient, dans le cadre de l’information judiciaire, et qu’elles « auront pour objectif de rechercher d’éventuels autres acteurs et d’évaluer la part de responsabilité de chacun ».

Comme le rappelait encore récemment l’ANSSI dans son panorama sur la cybermenace, il n’est pas rare de trouver plusieurs (groupes de) pirates dans un système d’information. Seule l’enquête permettra de faire le point complet sur la situation.

• Dans l’ombre, l’ANSSI diffuse ses indicateurs de compromission
• Jeux olympiques : l’ANSSI n’a pas le droit à l’erreur et « sera prête le moment venu »

Contactée, France Travail nous répond : « l’enquête judiciaire est en cours, nous ne ferons pas de commentaire ».

De spectateur à suspect : that escalated quickly !

Forbes révèle que dans deux décisions de justice, le gouvernement fédéral états-unien a demandé à Google de lui communiquer des informations sur toute personne ayant visionné plusieurs vidéos et flux en direct sur YouTube.

Il s’agissait tout d’abord d’identifier la personne derrière le pseudonyme en ligne « elonmuskwhm ». Elle est soupçonnée de vendre des bitcoins contre de l’argent liquide, ce qui pourrait enfreindre les lois sur le blanchiment d’argent.

Ratisser large pour (peut-être) trouver une personne

Des agents « infiltrés » lui avaient envoyé des liens vers des tutoriels YouTube. Les autorités avaient ensuite demandé à Google les noms, adresses, numéros de téléphone et activités des utilisateurs de tous les comptes Google qui avaient accédé aux vidéos de YouTube entre le 1ᵉʳ et le 8 janvier 2023.

Elles demandaient également les adresses IP des utilisateurs (sans compte Google) qui ont visionné ces vidéos. Or, relève Forbes, les vidéos avaient été « regardées collectivement » plus de 30 000 fois. « Le tribunal a accepté l’ordonnance et Google a été prié de garder la demande secrète jusqu’à ce qu’elle soit dévoilée en début de semaine », précisent nos confrères.

Autre affaire à Portsmouth, même logique des forces de l’ordre

La novlangue sécuritaire de 1984 2004

Hier, nous avons publié une rétrospective de 50 ans d’histoire de la CNIL, avec un passage rapide sur les changements apportés par la loi de 2004. Ils sont loin d’être anodins et ont modifié en profondeur l’ADN de la Commission, notamment dans son rapport avec le gouvernement, dont elle est indépendante.

La loi de 2004 arrive avec six ans de retard

Sous couvert de transposer la directive européenne du 24 octobre 1995 sur la protection des données à caractère personnel, le Parlement adoptait, en 2004, une refonte de la loi de 1978 opérant un véritable renversement de perspectives.

• 50 ans d’histoire de la CNIL : de Safari au bourbier du Health Data Hub

Cette refonte de 2004 avait d’ailleurs fait bondir Louis Joinet (premier directeur de la CNIL) et Raymond Forni, ancien vice-président de la Commission de 1998 à 2000. La France aurait dû transposer cette directive depuis 1998 (elle avait donc six ans de retard) et elle fut le dernier pays de l’Union européenne à le faire.

L’État s’immunise contre les sanctions de la CNIL…

Entre autres choses, le projet de loi revenait, en effet, à retirer à la CNIL ses pouvoirs de sanction dès lors que c’est l’État qui serait pris en flagrant délit d’infraction, et libéralisait la création de fichiers portant sur l’ensemble de la population.

De plus, il donnait un délai courant jusqu’en 2010 (soit un délai de six ans) aux fichiers policiers et de renseignement (dont plusieurs étaient alors « hors la loi », et truffés d’erreurs) pour qu’ils se mettent en conformité, et s’avèrent « adéquats, pertinents, exacts, complets et, si nécessaire, mis à jour ». Un comble, pour une loi initialement créée pour encadrer le fichage policier.

Le projet retirait en outre à la CNIL le fait d’autoriser, ou non, « les traitements de données à caractère personnel mis en œuvre pour le compte de l’État et portant sur des données biométriques nécessaires à l’authentification et au contrôle de l’identité des personnes ». Il faisait de même pour les traitements tendant à « faciliter le développement de l’administration électronique » et ayant recours au numéro de sécurité sociale, anticipant donc la future carte d’identité biométrique, ainsi que le dossier médical partagé.

… et s’émancipe de son avis « conforme »

Journalism is not a crime

La Haute Cour de Londres vient de donner un délai de trois semaines à la justice états-unienne pour garantir que le fondateur de WikiLeaks bénéficierait, en cas d’extradition, de la protection due aux journalistes pour certaines des accusations le visant. Mais aussi de la protection accordée par le premier amendement.

Londres demande des « garanties spécifiques »

Sur les dix-huit charges retenues contre lui, résume Mediapart, la Haute Cour de justice « en a en effet identifié trois relevant de la liberté d’expression et devant donc faire l’objet de garanties spécifiques ». Elles sont liées à la diffusion de documents confidentiels fournis à WikiLeaks par la lanceuse d’alerte Chelsea Manning et « ayant permis d’identifier des agents des services américains ».

• La possible extradition de Julian Assange ne sera jugée qu’au début du mois de mars

La justice américaine accuse Julian Assange d’avoir mis leur vie en danger, ce que récusent ses avocats, les États-Unis n’ayant jamais étayé ces accusations. D’autant que WikiLeaks prenait grand soin d’anonymiser les documents finalement publiés.

Liberté d’expression et statut de journaliste pour Assange ?

Un virus émanant (lui aussi) de Wuhan

Le ministère de la Justice états-unien a inculpé sept pirates informatiques chinois d’une trentaine d’années, soupçonnés de travailler pour les services de renseignement de la république populaire de Chine (RPC).

Ils sont accusés d’avoir ciblé des milliers de personnes et d’entreprises américaines et internationales dans le cadre d’une série d’opérations de piratage informatique servant les objectifs d’espionnage économique et de renseignement étranger de la RPC, indique le ministère de la Justice dans un communiqué de presse.

Ils seraient employés par une entreprise – connue sous le nom de Wuhan Xiaoruizhi Science & Technology Co. – créée en 2010 par le ministère de la Sécurité de l’État (Guoanbu, ou MSS, pour Chinese Ministry of State Security) pour servir de façade à ses opérations, selon l’acte d’accusation.

La société servirait de paravent au groupe connu au sein de la communauté de la cybersécurité sous le nom de Advanced Persistent Threat 31 (APT31, aussi connu sous les noms de Zirconium, Violet Typhoon, Judgment Panda et Altaire), faisant lui-même partie d’un programme de cyberespionnage géré par le département de la sécurité de l’État du Hubei du ministère de la Sécurité publique, situé dans la ville de Wuhan.

APT31 aurait mené, « depuis au moins 2010 », des campagnes mondiales de piratage informatique ciblant des dissidents politiques et des partisans supposés situés à l’intérieur et à l’extérieur de la Chine, des fonctionnaires gouvernementaux, des candidats et du personnel politique aux États-Unis et ailleurs, ainsi que des entreprises américaines, mais aussi des militants démocrates, des universitaires et des fonctionnaires étrangers, selon le département d’État.

Ils ciblaient aussi les conjoints de leurs victimes

Pas vu pas pris, un peu vu pris

Un manifestant vient d’être condamné suite à une reconnaissance faciale via le fichier de Traitement d’Antécédents Judiciaires (TAJ). Il portait une capuche et un masque de ski, mais une reconnaissance faciale approfondie et manuelle a tout de même permis de l’identifier.

Un manifestant vient d’écoper d’une peine de quatre mois de sursis probatoire pour outrage à agent et participation à un groupement en vue de commettre des violences ou des dégradations, révèle le journaliste Olivier Tesquet, qui précise qu’il a fait appel.

Capuche et masque de ski

Il détaille dans Télérama que ce parisien de 53 ans avait été photographié par un gendarme, « visage découvert, le crâne couvert par une capuche et un masque de ski », en train d’adresser un doigt d’honneur en direction de l’objectif, lors de la manifestation anti-bassines de Sainte-Soline l’an passé.

Il avait ensuite été identifié via le Traitement d’Antécédents Judiciaires (TAJ), ce gigantesque fichier de police de 19 millions de personnes « mises en cause » (MEC), qui comporte aussi plus de 8 millions de photos (sans que l’on sache, cela dit, à combien de personnes cela correspond, le TAJ comportant quatre photographies des personnes fichées).

Les effectifs de Police Technique et Scientifique utilisent à cet effet un logiciel, GASPARD (pour « Gestion Automatisée des Signalements et des Photos Anthropométriques Répertoriées et Distribuables »), qui permet de recueillir les informations anthropométriques et photographiques pour alimenter les fichiers FAED (Fichier Automatisé des Empreintes Digitales) et le TAJ, lors de la signalisation (photographies, prises d’empreintes et prélèvement ADN) des mis en cause et auteurs.

• Le fichier des empreintes digitales sera interconnecté avec le casier judiciaire (3/3)

Stefan L. y figure pour des délits mineurs, notamment un graffiti « ACAB » (« All cops are bastards », « tous les flics sont des salauds », ndlr) sur un mur des locaux du syndicat de police Alliance en 2020, qui lui vaut d’être décrit comme « apparenté à la mouvance extrémiste des gilets jaunes », précise Télérama.

L’IRCGN procède à une reconnaissance faciale approfondie

Notifiez, quitte à supprimer

Cinq ans après la mise en œuvre du RGPD, l’autorité de protection des données personnelles relève que, si la moitié des violations de données sont identifiées en moins de 10 heures, et notifiées dans les 72 heures, les organismes mettent, « en moyenne », 113 jours à les constater.

Cinq ans après l’entrée en application du RGPD, la CNIL vient de dresser un premier bilan chiffré des violations de données personnelles qui doivent lui être notifiées « dès qu’un risque est engendré pour les droits et libertés des personnes concernées ».

La CNIL rappelle qu’ « une violation de données correspond à une perte de disponibilité, d’intégrité ou de confidentialité de données personnelles, que son origine soit accidentelle ou la conséquence d’une action malveillante ».

Non content de devoir notifier ces violations à la CNIL, les entités en cause sont également tenues d’informer les personnes concernées individuellement et de les conseiller sur la manière de se prémunir des risques qu’ils encourent.

2 284 notifications en 2022, 4 668 en 2023

Crypto Wars Vet

Le professeur britannique d’ingénierie de la sécurité Ross Anderson est décédé la semaine passée à l’âge de 67 ans. Au-delà de ses travaux de recherche en matière de cryptographie, il était aussi et surtout connu pour ses engagements politiques en matière de défense des libertés numériques.

Pionnier de l’ingénierie de la sécurité, auteur de l’ouvrage « Security Engineering », publié pour la première fois en 2001 (cité depuis près de 4 500 fois). Il est largement considéré comme le texte de référence en la matière et a permis à d’innombrables professionnels et universitaires de se familiariser avec les complexités de la sécurisation des systèmes, souligne GBHackers.

Auteur de nombreuses contributions importantes au sujet de la cryptographie, de la sécurité informatique et de la protection de la vie privée, il était aussi « l’un des ingénieurs et informaticiens les plus respectés de sa génération », résume The Record.

Sa fiche de présentation à la Royal Society (l’équivalent de l’Académie des sciences en France), où il avait été élu en 2009, le présente comme « un pionnier et un leader mondial dans le domaine de l’ingénierie de la sécurité [qui] s’est distingué en lançant un certain nombre de nouveaux domaines de recherche dans le domaine du matériel, des logiciels et des systèmes ».

Elle souligne qu’il est également « l’un des fondateurs de l’étude de l’économie de la sécurité de l’information, qui non seulement indique où se trouvent les attaques et les défenses les plus efficaces, mais est également d’une importance fondamentale pour l’élaboration de la politique de la société de l’information ».

Les problèmes de sécurité sont souvent économiques

Glace à l'eau

La fonte des glaces dans l’Arctique pourrait ouvrir de nouvelles voies pour les câbles Internet qui reposent au fond des océans et transportent la majeure partie du trafic international de données.

Les câbles sous-marins permettent de passer de très grosses quantités de données avec une latence faible. Un autre moyen de communication est de passer par des satellites géostationnaires, mais ils sont situés à 36 000 km et un aller-retour du signal demande donc de parcourir pas moins de 72 000 km, avec donc une latence importante. Cette dernière est incompressible car elle dépend directement de la vitesse de la lumière.

• Internet par satellite : comment choisir son abonnement, les pièges à éviter

Les câbles en mer Rouge sous tension

James Bond SS7

La Federal Communications Commission (FCC) états-unienne invite les fournisseurs de services de communication à lui faire part de l’état d’avancement de la rénovation et de la sécurisation de leurs réseaux. Le but : empêcher espions et cybercriminels de suivre, géolocaliser voire espionner leurs clients, abonnés et utilisateurs. Un vaste chantier qui traine depuis des années.

Sont particulièrement visés le système de signalisation n°7 (SS7) et le protocole Diameter utilisés dans le cœur des réseaux de téléphonie mobile 4G/LTE pour faire communiquer les différents équipements. Rappelons que la 5G actuellement déployée est de type NSA (Non StandAlone) et s’appuie donc sur un cœur de réseau 4G.

Protocoles SS7 : des risques connus depuis des années

The Register rappelle que SS7, qui a été mis au point au milieu des années 1970, peut en effet être utilisé de manière abusive pour localiser les téléphones, rediriger les appels et SMS afin d’intercepter les informations et espionner les utilisateurs.

• Surveillance de masse de Saoudiens via le système de signalisation SS7
• SS7 : après des interceptions de SMS, la sécurité des réseaux mobiles en question

L’enjeu est important, comme le rappelle l’ANSSI dans son état des menaces sur les télécoms : « Les technologies de surveillance individuelle développées par les entreprises de lutte informatique offensive (LIO) les plus sophistiquées impliquent souvent une utilisation des réseaux mobiles dans la chaîne d’attaque ».

OPSEC osef

L’identité du patron de l’unité 8200 (l’équivalent israélien de la NSA) figurait dans un ebook qu’il avait publié sur Amazon. Il y théorise les programmes d’intelligence artificielle utilisés pour cibler et bombarder les personnes identifiées comme « terroristes » (et leurs familles) à Gaza.

The Guardian a découvert l’identité, jusque-là tenue secrète, du chef de l’Unité 8200, l’équivalent israélien de la NSA. Ce dernier avait en effet publié sur Amazon un livre en 2021, « The Human Machine Team », sous-titré « Comment créer une synergie entre l’intelligence humaine et l’intelligence artificielle qui révolutionnera notre monde ».

Son auteur, Y.S., y est présenté comme un général de brigade, « analyste expert, directeur technologique, commandant d’une unité de renseignement d’élite et lauréat du prestigieux prix israélien de la défense pour son projet de lutte contre le terrorisme basé sur l’intelligence artificielle ».

Son essai prétend « expliquer comment la combinaison de l’intelligence humaine et de l’intelligence artificielle peut résoudre les défis et les menaces en matière de sécurité nationale, mener à la victoire en temps de guerre et être un moteur de croissance pour l’humanité ».

Or, « comme tout écrivain auto-édité », précise Dov Alfon, directeur de la rédaction de Libération (et lui-même ex-officier de renseignements israéliens de l’unité 8200) il lui a fallu créer un compte associé à une adresse e-mail. En l’espèce, un compte Gmail créé au nom de Yossi Sariel.

Initialement repéré par un groupe WhatsApp d’anciens officiers de l’Unité 8200, la bourde a finalement été rendue publique par le Guardian, après que plusieurs sources lui ont confirmé son identité en tant qu’auteur de l’essai et patron de l’unité 8200.

Une « machine à cibles » alimentée par l’IA

HUBSIDE down

Un mois après avoir infligé une amende de 310 000 euros à FORIOU, la CNIL sanctionne sa société sœur HUBSIDE.STORE d’une seconde amende de 525 000 euros. Et ce, au terme d’une plainte enregistrée en 2020, qui lui a permis de découvrir un fichier d’ « environ 1,3 million de prospects français et belges ».

Les deux entreprises ont été condamnées pour les mêmes motifs, résume la CNIL, « notamment pour avoir utilisé à des fins de prospection commerciale des données fournies par des courtiers en données, sans s’assurer que les personnes concernées avaient valablement consenti à être démarchées ».

• Un assureur de smartphones et tablettes écope d’une amende de 10 millions d’euros
• FORIOU, filiale du très controversé « plus jeune milliardaire de France », sanctionnée par la CNIL

Elles appartiennent toutes deux à Indexia Group (anciennement Sfam) du très controversé « plus jeune milliardaire de France », Sadri Fegaier, 44 ans. Celui-ci a bâti sa fortune sur des pratiques lui valant un procès pour « pratiques commerciales trompeuses », qui devrait avoir lieu cet automne, et où plus de 500 consommateurs se seraient portés partie civile.

La CNIL rappelle que HUBSIDE.STORE « procède à des campagnes de démarchage par téléphone et par SMS pour promouvoir les produits vendus dans ses boutiques (téléphones portables, ordinateurs, etc.) ». À cet effet, elle acquiert les données de prospects démarchés auprès de courtiers en données, éditeurs de sites de jeux-concours et de tests de produits, tout comme FORIOU.

Et, là encore, « l’apparence trompeuse des formulaires de collecte mis en œuvre par les courtiers à l’origine de la collecte ne permettait pas de recueillir un consentement valide des personnes concernées ». Ce pourquoi HUBSIDE.STORE « ne pouvait donc procéder légalement » à ses opérations de prospection par SMS et téléphone.

En outre, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que, lors de ses opérations de démarchage téléphonique, la société ne permettait pas non plus aux personnes d’être suffisamment informées, en violation de l’article 14 du RGPD.

Elle a prononcé à son encontre une amende de 525 000 euros, rendue publique. Son montant, qui « représente environ 2 % » du chiffre d’affaires de la société, a « notamment été décidé au regard de la gravité des manquements retenus », de la responsabilité endossée par l’organisme utilisant les données collectées, et du fait que la société « avait massivement recours » à la prospection commerciale.

Quatre fichiers non conformes sur les sept examinés

"Faked with AI"

Alors que Meta vient d’annoncer l’ajout d’ « étiquettes contextuelles » sur les contenus « Made in IA », des escrocs ont commencé à voler les vidéos d’influenceuses et travailleuses du sexe, pour les cloner en y rajoutant des visages générés par des IA.

404Media a découvert des comptes Instagram qui volent les vidéos d’influenceuses et travailleuses du sexe, avant de les cloner en substituant leurs visages par des deepfakes générés par des intelligences artificielles, afin de pouvoir monétiser les contenus dérobés.

Vrais corps et décors, faux visages

Certains comptes auraient ainsi accumulé « des centaines de milliers de followers et des millions de vues » en utilisant « presque exclusivement » du contenu volé, tout en renvoyant à des profils payants (de 5 à 20 dollars par mois). 404Media a aussi trouvé plusieurs tutos sur YouTube expliquant comment procéder.

De quoi pouvoir constituer, à peu de frais, un volume important de contenus d’autant plus « crédibles » que les corps sont humains, les décors réels, et que seuls les visages sont générés par IA. Et a priori plus difficiles à identifier comme ayant été générés par des IA, contrairement aux « influenceuses virtuelles » entièrement générées de façon « artificielle ».

• Des influenceuses virtuelles (IA) concurrencent leurs équivalents humains
• Deepfakes pornographiques : quand l’intelligence artificielle sert à humilier

Meta va ajouter un « made with AI »

La fédération française de professionnels du secteur des infrastructures de télécommunications, InfraNum (ex FIRIP) a signé avec l’Ukraine un accord pour reconstruire son réseau et le moderniser, explique la Fédération dans un communiqué.

Ses membres « réalisent déjà 32 milliards d’euros de chiffre d’affaires à l’étranger et revendiquent pas moins de 100 000 personnes » employées en dehors de nos frontières. L’internationalisation est un axe mis en avant depuis des années pour préparer l’après plan France THD, une fois que le gros du développement sera derrière nous en France.

Selon l’Ukraine, entre 15 et 20 % de ses infrastructures réseaux ont été détruites par la guerre menée par la Russie sur son territoire. Elle estime ces dommages à 2,3 milliards de dollars : « destruction ou détérioration des réseaux Internet des opérateurs de téléphonie fixe, des réseaux radios des opérateurs mobiles, des autres structures et équipements liés, soit environ 3 200 stations de télécommunications dont certaines ont pu être remises en service et plus de 60 000 km de fibre optique », détaille InfraNum.

Les Échos expliquent que l’accord, projet pilote sur huit mois, est « la première étape d’un chantier qui pourrait durer quinze ans et mobiliser au total 10 milliards d’euros d’investissement ». Il prévoit un état des lieux technique, institutionnel et juridique, puis l’apport du « très haut débit, sur une localité relativement éloignée du front de guerre ».

Ce projet « s’inscrit dans la continuité de la demande d’InfraNum d’une subvention de 756 000 euros au titre du FASEP (Fonds d’études et d’Aide au Secteur Privé), octroyée le 29 février par le comité interministériel aide projet ».