Des chercheurs ont identifié au moins quatre vulnérabilités critiques dans le principal logiciel utilisé pour détecter les contenus pédosexuels. Elles sont susceptibles d’entraîner des fuites d’informations sensibles, la distribution non détectée de contenus pédosexuels, ainsi que des accusations injustifiées pouvant potentiellement incriminer, à tort et à grande échelle, des innocents.
Des chercheurs de l’université de Gand (UGent) et du Computer Security and Industrial Cryptography group (COSIC) de l’université catholique de Louvain (KU Leuven) ont identifié quatre importantes failles de sécurité dans PhotoDNA, le logiciel Microsoft de référence en matière de détection des contenus pédosexuels ou terroristes en ligne.
Ils y consacrent un site dédié, pseudodna.eu, dans la mesure où ils estiment que ces failles « pourraient toucher des millions d’utilisateurs et soulever des inquiétudes quant à la fiabilité des systèmes de détection existants ».
PhotoDNA est en effet utilisé par de grandes plateformes à l’échelle mondiale telles que Google, Instagram, TikTok, Facebook et Microsoft, et des milliards d’images sont analysées chaque jour à l’aide de cette technologie.
Un logiciel initié en 2009, élargi à la lutte contre le terrorisme en 2015
Sur la page dédiée à PhotoDNA, Microsoft explique s’être associé avec le Darmouth College en 2009 afin de développer une technologie susceptible d’aider à repérer et supprimer les images connues d’exploitation et d’abus pédosexuels (CSAM, pour child sexual abuse material en anglais), terme privilégié par les autorités au motif que « lorsqu’il s’agit d’enfants, ce n’est pas du porno ».
Pour cela, PhotoDNA génère une signature numérique unique (appelée « hachage », ou hashes en anglais) des images, qui est ensuite comparée aux signatures hachées des photos de contenus pédosexuels afin d’en repérer les copies.
Description imagée du fonctionnement de PhotoDNA par Microsoft
Microsoft précise que « PhotoDNA n’est pas un logiciel de reconnaissance faciale et ne peut pas être utilisé pour identifier une personne ou un objet dans une image ». Mais également qu’un hachage PhotoDNA « n’est pas réversible et ne peut donc pas être utilisé pour recréer une image ».
Microsoft a depuis fait don de PhotoDNA au National Center for Missing & Exploited Children (NCMEC), le centre états-unien de coordination et de signalement pour toutes les questions liées à la prévention et à la prise en charge des enfants victimes d’enlèvements, d’abus et d’exploitation, qui compte nombre de partenaires, notamment technologiques.
Le logiciel est également mis gracieusement à disposition des organisations éligibles, dont des entreprises technologiques, développeurs et organisations à but non lucratif, ainsi qu’aux forces de l’ordre, principalement par l’intermédiaire des développeurs d’outils d’analyse criminalistique.
En 2015, Microsoft a lancé PhotoDNA en tant que service sur Azure, PhotoDNA Cloud, à destination des petites entreprises et organisations qui « souhaitent offrir à leurs utilisateurs la possibilité de télécharger du contenu tout en garantissant l’intégrité de leurs plateformes ».
Cette même année, Hany Farid, l’universitaire états-unien qui avait participé au développement de PhotoDNA, améliora le logiciel pour qu’il puisse aussi identifier les contenus audio et vidéo, et servir à endiguer le flot de propagande terroriste sur les réseaux sociaux.
Fin 2016, Facebook, Microsoft, Twitter et YouTube annonçaient la création d’une base de données commune contenant les hashes des images et vidéos terroristes supprimées de leurs services.
La FAQ de PhotoDNA Cloud précise cela dit que le service « est actuellement utilisé exclusivement pour identifier les images d’exploitation d’enfants ».
Microsoft ne donne pas de chiffre précis, se bornant à préciser que « PhotoDNA est utilisé par des organisations du monde entier et a contribué à la détection, au démantèlement et au signalement de millions d’images d’exploitation d’enfants ».
Hany Farid vient quant à lui de se voir décerner un prix de 100 000 dollars récompensant l’impact social de ses travaux de recherche, à commencer par PhotoDNA.
Des « faiblesses structurelles » susceptibles de générer des faux positifs
Les chercheurs expliquent de leur côté que leur étude « fournit la première description mathématique complète de l’algorithme PhotoDNA », et qu’elle met en évidence des « faiblesses structurelles » susceptibles de compromettre la fiabilité des systèmes de détection de contenus pédosexuels.
Elles montrent en effet que des attaquants peuvent facilement, en quelques secondes, manipuler des images partagées par des utilisateurs innocents, conduisant à de fausses accusations de partage de contenus pédosexuels.
Ils pourraient également, et facilement, contourner la détection en modifiant des contenus illégaux, leur permettant de diffuser du CSAM sans être détectés ni signalés par les systèmes existants.
Ils ont principalement identifié quatre failles, relevant de techniques d’évasion de la détection, de génération de faux positifs, de régénération d’images à partir de leurs hashes, et d’attaques par collision, de sorte que deux images différentes partagent la même valeur de hachage.
La première technique permet à un attaquant de modifier légèrement une image choisie afin que sa valeur de hachage diffère sensiblement de celle de l’original, afin d’éviter toute correspondance avec des empreintes d’images pédosexuels connues.
La seconde permet, a contrario, d’effectuer une légère modification à une image anodine pour produire des empreintes identiques à celles d’images pédosexuels connues, pouvant conduire à des accusations injustifiées.
Les quatre types d’attaques avec leurs photos et hashes respectifs
Une troisième technique permet de régénérer un avatar de l’image d’origine à partir de son hash, et donc de reconstituer partiellement des informations potentiellement sensibles, mettant à mal la confidentialité présumée associée aux hashes de PhotoDNA, contredisant les affirmations précédentes d’irréversibilité.
La dernière permet de modifier deux images de manière à ce qu’elles aient la même valeur de hachage, et donc la même empreinte PhotoDNA.
« Il est facile d’incriminer quelqu’un en lui envoyant un faux contenu »
Les chercheurs soulignent en outre que « nos attaques ont un taux de réussite proche ou égal à 100 % », et qu’elles « s’exécutent en quelques secondes ou minutes sur un ordinateur portable standard », ce qui « représente une amélioration considérable par rapport aux attaques connues jusqu’à présent » :
« Il est possible, à la fois de contourner les systèmes de détection et de provoquer des correspondances erronées, et ce de manière rapide et fiable, en utilisant des ressources informatiques courantes. »
« Nos travaux démontrent que PhotoDNA n’est pas fiable pour la détection de contenus illicites », écrivent-ils dans le résumé de leur preprint :
Il reste 37% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
La moitié des consommateurs états-uniens (50 %) déclarent préférer faire appel à des marques qui n’utilisent pas l’IA générative dans leurs messages, leurs publicités et leurs contenus destinés aux consommateurs.
Une étude menée par Gartner auprès de 1 539 sondés en octobre 2025 révèle également que 61 % déclarent fréquemment se demander si les informations sur lesquelles ils s’appuient pour prendre leurs décisions quotidiennes sont fiables, et 68 % se demandent souvent si le contenu et les informations qu’ils voient sont authentiques.
« Le scepticisme croissant des consommateurs modifie également leur façon d’évaluer la véracité des informations » souligne Gartner. À la fin de l’année 2025, seuls 27 % des consommateurs déclaraient en effet déterminer la véracité d’une information « en se fiant à leur intuition, ce qui témoigne d’une tendance de plus en plus marquée à recourir à des vérifications indépendantes ».
« Pour réduire les risques et instaurer la confiance, les spécialistes du marketing devraient proposer l’IA de nouvelle génération (GenAI) en option plutôt qu’en mode obligatoire, commencer par des cas d’utilisation clairement axés sur l’assistance qui apportent une valeur immédiate au client, et signaler clairement les expériences basées sur l’IA, afin que les utilisateurs comprennent quand et comment celle-ci est utilisée », décrypte Emily Weiss, analyste principale senior au sein du pôle Marketing de Gartner :
« Les consommateurs s’interrogent sur ce qui est réel et s’efforcent de vérifier davantage ce qu’ils voient. Les marques qui s’imposeront seront celles qui utiliseront l’IA d’une manière que les clients reconnaîtront immédiatement comme utile, tout en faisant preuve de transparence quant à l’utilisation de l’IA et à ce qu’elle fait, et en offrant aux clients la possibilité claire de se désinscrire. »
Elle estime que « les spécialistes du marketing devraient considérer l’IA générative autant comme un enjeu de confiance que comme un choix technologique », mais également « faciliter la vérification en étayant leurs affirmations par des preuves tangibles et des mesures de gouvernance, car les consommateurs sont de plus en plus sceptiques face à ce qu’ils voient et entendent. Lorsque l’IA est transparente, utile et sous le contrôle du client, elle peut renforcer l’expérience plutôt que d’affaiblir la confiance. »
Il y a 15 jours, on apprenait la découverte d’un puissant logiciel espion infectant les iPhone visitant des sites web contaminés, Coruna, utilisé par une entité liée au renseignement russe et des cybercriminels chinois. DarkSword, utilisé par cette même unité russe, avait quant à lui précédemment été exploité en Arabie saoudite, en Turquie et en Malaisie.
Des chercheurs d’iVerify, Lookout et du Google Threat Intelligence Group (GTIG) viennent conjointement de publier des rapports circonstanciés au sujet d’un logiciel malveillant particulièrement sophistiqué ciblant des iPhone.
Surnommé DarkSword, il a été utilisé sur des sites Web infectés afin de « pirater instantanément et silencieusement les appareils iOS qui visitent ces sites », sans autre interaction avec l’utilisateur, sur le modèle de l’attaque de point d’eau (Watering Hole Attack en VO), résume Wired.
Alors que l’espiogiciel Coruna, dévoilé plus tôt ce mois-ci et utilisé par des espions russes et cybercriminels chinois, fonctionnait sur les versions iOS 13 à 17, DarkSword cible la plupart des versions d’iOS 18, la version précédente du système d’exploitation mobile d’Apple. Sortie en 2024, elle représente encore près d’un quart des iPhones le mois dernier selon les propres calculs d’Apple, près de 20 % d’après StatCounter.
DarkSword exploite six vulnérabilités différentes pour déployer ses charges utiles, résume le GTIG, qui a identifié trois familles distinctes de logiciels malveillants déployées à la suite d’une intrusion réussie de DarkSword : GHOSTBLADE, GHOSTKNIFE et GHOSTSABER.
Contrairement à Coruna, DarkSword ne prend en charge qu’un ensemble limité de versions d’iOS (18.4 à 18.7), et « bien que les différentes étapes de l’exploitation soient techniquement sophistiquées, les mécanismes utilisés pour charger les exploits étaient plus rudimentaires et moins robustes que ceux de Coruna », relève Google.
Lookout Threat Labs évoque « une chaîne d’exploitation iOS complète » qui « vise à extraire un ensemble complet d’informations personnelles, y compris les identifiants de l’appareil et cible spécifiquement une multitude d’applications de portefeuilles cryptographiques, ce qui laisse supposer que l’auteur de la menace est motivé par des raisons financières ».
Les plateformes d’échange de cryptoactifs ciblées par DarkSword comprennent notamment Coinbase, Binance, Kraken, Kucoin, Okx, Mexc. Il cible également des portefeuilles tels que Ledger, Trezor, Metamask, Exodus, Uniswap, Phantom, Gnosis Safe, entre autres.
Lookout et GTIG précisent que DarkSword est aussi conçu pour voler d’énormes volumes de données sur les iPhone vulnérables, dont les mots de passe, cookies, SMS, e-mails, photos (y compris cachées), la liste des applications installées, les journaux d’iMessage, WhatsApp et Telegram, l’historique du navigateur, de la géolocalisation et des appels téléphoniques, les données de l’iCloud Drive, du calendrier et des Notes, et même celles de l’application Santé d’Apple.
Ces kits d’exploits sophistiqués, « généralement extrêmement coûteux, sont souvent perçus comme une technologie réservée aux acteurs soutenus par des États et aux entreprises qui développent des outils pour les forces de l’ordre et les services de renseignement », rappelle Lookout :
« Il est à noter que DarkSword semble adopter une approche de type « coup de poing » en collectant et en exfiltrant les données ciblées de l’appareil en quelques secondes ou, au maximum, quelques minutes, avant de procéder à un nettoyage. »
Trois versions différentes exploitées par trois acteurs dans quatre pays
Après la découverte de Coruna, les chercheurs de Lookout racontent avoir entrepris d’analyser l’infrastructure malveillante associée aux acteurs malveillants chinois et russes qui l’avaient exploité.
Il reste 75% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Le correspondant militaire du Times of Israël a été menacé de mort pour avoir rapporté qu’un missile iranien s’était écrasé dans une zone boisée à 500 mètres d’habitations. Une information somme toute anodine, mais qui allait à l’encontre de paris placés sur le marché de prédictions Polymarket. Au point que l’un de ses harceleurs lui a rétorqué : « Après nous avoir fait perdre 900 000 dollars, nous allons investir un peu d’argent pour te faire éliminer ».
Emanuel Fabian est le correspondant militaire du Times of Israël, où il partage, ainsi que sur X.com, des dizaines de messages, photos et vidéos des frappes israéliennes et iraniennes, par jour.
Le 10 mars dernier, il tweetait qu’« un missile a frappé une zone ouverte juste à l’extérieur de Beit Shemesh [dans les environs de Jérusalem, ndlr], selon les premiers intervenants et des images le montrent », précisant qu’« aucun blessé n’est signalé lors de la dernière attaque de missiles balistiques de l’Iran contre Israël, la quatrième aujourd’hui ».
« Ce jour-là, sur le liveblog du Times of Israel, je rapporte que le missile s’est écrasé dans une zone inhabitée sans faire de victimes, sur la foi des déclarations des services de secours et des images qui donnent à voir la forte explosion causée par l’ogive du missile. Mais ce que je pensais être un incident mineur dans le cadre de cette guerre s’est mué en des journées entières de harcèlement et de menaces de mort à mon encontre. »
Évoquant les tirs iraniens, l’article publié par Emanuel Fabian sur Times of Israel mentionnant cette frappe précisait que « la plupart des missiles ont été interceptés, mais l’un d’entre eux – équipé d’une grosse ogive – a explosé dans une zone dégagée à l’extérieur de Beit Shemesh, près de Jérusalem, selon des images, les premiers intervenants et l’armée israélienne ».
« J’apprécierais que vous mettiez à jour votre article, car il ne reflète pas la réalité »
Dans la foulée de la publication de son tweet puis de l’article, Emanuel Fabian raconte avoir reçu un courriel, en hébreu, d’un certain Aviv lui expliquant que « la municipalité de Beit Shemesh et le MDA (Maguen David Adom, la Croix-Rouge israélienne, ndlr) ont corrigé l’information donnée pour dire que ce qui est tombé est en fait un fragment d’intercepteur, et non un missile complet », suivi de cette requête :
« J’apprécierais que vous mettiez à jour votre article, car dans sa forme actuelle il ne reflète pas la réalité. Mais si vous avez des informations indiquant qu’il s’agit bien d’un missile complet non intercepté, corrigez-moi. »
En réponse, Emanuel Fabian lui indique que, d’après ses informations, l’impact est bien « lié à une ogive de missile, pas à de simples fragments », et que « les images montrent aussi une forte explosion correspondant aux centaines de kilogrammes d’explosifs de l’ogive. Normalement, un fragment ne donne pas lieu à pareille explosion », comme on peut le voir dans la vidéo.
No injuries are reported in Iran's latest ballistic missile attack on Israel, the fourth today.
One missile struck an open area just outside Beit Shemesh, first responders say and footage shows.
Sirens had sounded across the Jerusalem area, the West Bank, and parts of southern… pic.twitter.com/j6sovAsDwz
— Emanuel (Mannie) Fabian (@manniefabian) March 10, 2026
Le lendemain, un second e-mail, lui aussi en hébreu et signé d’un certain Daniel, tente une approche différente. « Désolé de vous contacter alors que nous ne nous connaissons pas mais nous allons apprendre à nous connaître », lui explique-t-il, souligne Emanuel Fabian, « d’un ton quelque peu menaçant » :
« J’ai quelque chose d’urgent à vous demander au sujet de l’exactitude de votre rapport sur l’attaque de missile du 10 mars. J’apprécierais vraiment une réponse si possible. Vous avez donné une information inexacte au sujet de l’attaque de missile du 10 mars, ce qui a provoqué une série d’erreurs. Si vous pouviez me répondre ce soir… cela m’aiderait, moi et beaucoup d’autres, et, bien sûr, l’État d’Israël. Et en prime, vous y gagneriez une source intéressante. »
« Il est quelque peu étrange de recevoir la même question, sur un point relativement insignifiant, de la part de deux personnes différentes en l’espace d’une seule journée », ironise Emanuel Fabian dans son article. En réponse à une demande de précisions, Daniel lui ressort la théorie du missile iranien intercepté par l’armée israélienne :
« Pour l’heure, les services de sécurité n’ont pas confirmé qu’il s’agissait d’un missile non intercepté qui serait tombé dans une zone dégagée. Si vous pouviez corriger cela ce soir, cela me rendrait, ainsi qu’à d’autres, un grand service. »
« Pourquoi un détail aussi insignifiant importe-t-il à ces gens ? », s’interroge Emanuel Fabian. Dans les jours qui suivent, Daniel continue à le bombarder de courriels, d’autant que son information commence à être reprise par la presse étrangère.
« Je vous redemande encore de faire au plus vite, ça nous aiderait beaucoup. C’est vraiment important, si possible, ce matin », quémande Daniel. Ce qu’Emanuel Fabian qualifie de « menaces à peine voilées » est suivi d’un nouveau courriel, anonyme celui-là : « L’article sur l’interception du 10 mars va-t-il être mis à jour ? », puis d’un message sur Discord : « À propos du 10 mars. Certaines sources affirment que tous les missiles ont été interceptés le 10 mars, selon Tsahal. Est-ce vrai ? »
23M$ de prédictions sur « L’Iran frappera-t-il Israël le 10 mars ? »
Également interpellé sur X par deux internautes à ce sujet, il découvre qu’ils semblent impliqués dans des jeux d’argent sur le site de paris en ligne Polymarket, et que cette série d’interpellations seraient liées à une prédiction sur Polymarket.
Une capture sur archive.org montre que, le 11 mars, plus de 1,5 million de dollars y avaient en effet été misés sur le fait de savoir si « l’Iran frappera-t-il Israël le 10 mars ? », ou pas. Le chiffre dépasse désormais les 23 millions de dollars, les mises d’une quarantaine de parieurs dépassant les 100 000 dollars, dont trois le million de dollars, Polymarket ayant continué d’accepter les paris depuis lors, la résolution de la prédiction, qui a fait l’objet de deux contestations, venant tout juste d’être finalement actée.
Polymarket, qui se présente comme une plateforme de prédictions, permet de parier de l’argent ou des cryptoactifs sur la probabilité que tel évènement ait lieu, ou pas. Ce pourquoi il est aussi régulièrement soupçonné de faire l’objet de manipulations de marchés et de délits d’initiés.
Un réserviste de l’armée israélienne et un civil ont ainsi été inculpés le mois dernier, rapportait The Times of Israel, pour avoir utilisé des informations classifiées afin de placer des paris sur des opérations militaires sur Polymarket.
Les règles du pari précisent que « ce marché se résoudra par ‘Oui’ si l’Iran lance une frappe de drone, de missile ou aérienne sur le sol israélien à la date indiquée en Heure d’Israël (GMT+2). Sinon, ce marché se résoudra par ‘Non’ », avec cette petite précision :
« Les missiles ou drones interceptés, ainsi que les frappes de missiles sol-air, ne suffisent pas pour une résolution « Oui », même s’ils atterrissent en territoire israélien et y occasionnent des dégâts. »
Emanuel Fabian en déduit que les parieurs qui le harcèlent ont parié sur le « Non », ce pourquoi il voudrait le voir rectifier son article, afin d’espérer ne pas perdre leurs mises.
Dans la foulée, les messages se font plus pressants, et menaçants. « Quand mettrez-vous à jour l’article ? », titre l’un d’entre eux, accompagné de la capture d’écran de sa première interaction avec Daniel. Sauf qu’en lieu et place de la réponse qu’il lui avait adressée, le screen lui attribuait des propos qu’il n’a jamais écrit :
« Salut Daniel, merci d’avoir remarqué, j’ai vérifié auprès du porte-parole de Tsahal et c’est bien un missile intercepté. Je l’ai envoyé pour correction, il sera bientôt corrigé. »
« Après nous avoir fait perdre 900 000 $, nous allons investir un peu d’argent pour te faire éliminer »
En réaction, Emanuel Fabian postait le 13 mars sur X un message un tantinet énervé :
« Mon message à vous, les parieurs, est simple : allez vous faire foutre, arrêtez de me harceler et trouvez-vous un meilleur passe-temps que de falsifier des articles journalistiques pour un gain financier. »
Suite à quoi « les choses empirent », écrit le journaliste. Peu après minuit, dans la nuit de samedi à dimanche, il reçoit des messages menaçants en hébreu sur WhatsApp : « Vous avez exactement une demi-heure pour corriger votre tentative d’influence », « si vous ne corrigez pas cela avant 1h00, heure d’Israël, aujourd’hui, le 15 mars, vous allez au devant de problèmes dont vous n’avez pas idée », « tu choisis la guerre en sachant que tu vas perdre la vie que tu avais jusque là – tout ça pour rien », entre autres :
« Tu n’as aucune idée à quel point tu t’es mis en danger. C’est aujourd’hui le jour le plus important de ta carrière. Tu as le choix entre deux options : soit tu te dis que nous sommes sérieux et qu’après nous avoir fait perdre 900 000 dollars, nous allons investir un peu d’argent pour te faire éliminer. Ou alors on met fin à ça avec de l’argent et tu retrouves la vie que tu avais avant. »
Emanuel Fabian raconte que les messages l’accusent de vouloir « influencer » le marché, une personne se présentant comme « avocat » lui expliquant, au téléphone, avoir été contacté par une entreprise américaine pour enquêter sur sa supposée manipulation sur Polymarket.
Ses interlocuteurs tentent également de le corrompre, y compris en offrant à un autre journaliste une part de leurs gains, s’il parvenait à faire modifier sa version de l’impact du missile à Beit Shemesh, au motif que cela ne représenterait « pas grand-chose » pour lui de le faire :
« Je te demande de répondre dans les 10 minutes. Nous t’avons proposé de mettre fin à tout ça discrètement, avec de l’argent à la clef et tout sera fini. Mais apparemment, tu tentes de gagner du temps ». « Tu as commis une erreur fatale et tu ferais mieux de nous répondre ». « J’attends une réponse de ta part dans 9 minutes ». « Il te reste une minute… »
Après avoir appelé la police, les menaces deviennent plus explicites :
« Il te reste 90 minutes pour revenir sur ton mensonge. Si tu le fais – tu règles en une minute le problème le plus grave de toute ta vie. Et d’ici une semaine, tu m’auras oublié ». « Si tu décides de ne pas revenir dessus et de laisser ce mensonge, tu te découvriras des ennemis prêts à tout pour faire de ta vie un enfer – dans les limites de la loi ». « Mais à ce que je sache, il y a aussi des gens qui se fichent de la loi. Tu vas leur faire perdre 50 fois tout ce que tu gagneras dans toute ta vie. »
Emanuel Fabian conclut son témoignage en précisant que si la tentative d’intimidation de ces joueurs pour le pousser à changer son reportage afin de gagner leur pari a échoué, « je crains que d’autres journalistes puissent faire preuve de moins d’éthique en échange d’une forte rétribution ».
Évoquant les deux Israéliens inculpés le mois dernier pour avoir utilisé des données classifiées pour parier sur Polymarket, il craint également que d’autres individus peu scrupuleux cherchent eux aussi à profiter des informations dont ils disposent :
« Des journalistes pourraient facilement se servir de ce qu’ils savent pour commettre des délits d’initié sur cette plateforme. J’espère sincèrement que cela n’est jamais arrivé et que cela n’arrivera jamais, dans ce nouvel espace troublant où réalité, journalisme, jeu et criminalité s’entremêlent. »
Polymarket a depuis partagé sur X un message qui « condamne le harcèlement et les menaces dont Emanuel Fabian — ou toute autre personne d’ailleurs — a été victime » :
« Ce comportement enfreint nos conditions d’utilisation et n’a pas sa place sur notre plateforme. Nous avons suspendu les comptes de toutes les personnes impliquées et transmettrons leurs coordonnées aux autorités compétentes. »
Emanuel Fabian, quant à lui, a tenu à rappeler que ses harceleurs ne lui faisaient « pas peur du tout » :
« Vous, bande de tarés, vous ne me faites pas peur du tout. Et la prochaine fois que vous menacerez quelqu’un de mort, évitez peut-être d’utiliser votre vrai numéro de téléphone, que les autorités peuvent facilement identifier. »
L’ONG de journalisme d’investigation Disclose révèle que 230 000 smartphones Néo 2 utilisés par les policiers depuis 2022 et Neogend de la gendarmerie depuis 2020 permettent de recourir à la reconnaissance faciale. Y compris lors de contrôles d’identité, ce qui est pourtant interdit par la loi, grâce à un fichier policier, GASPARD, créé lui aussi illégalement.
MàJ, 14 h : l’article a été mis à jour avec quelques précisions supplémentaires au sujet de GASPARD.
Disclose a découvert que des fonctionnaires de police et de la gendarmerie utilisent un logiciel de reconnaissance faciale depuis leurs téléphones de service NEO (pour « nouvel équipement opérationnel ») pour procéder à des contrôles d’identité, une pratique « totalement illégale » souligne l’ONG de journalisme d’investigation.
Ahmed, un apprenti pâtissier de 18 ans, raconte à Disclose que, lors d’un contrôle, des policiers l’ont pris en photo avec leur terminal, ce qui leur aurait suffi à vérifier qu’il était en règle, sans même demander à consulter ses papiers d’identité :
« Ils sont arrivés et ils ont sorti de gros portables rectangulaires… Ils les ont pointés vers nous et ils nous ont pris en photo. Ensuite ils ont regardé leur téléphone. Ils m’ont laissé tranquille, ils ont vu que j’étais en règle. »
Les contrôles ne se passent pas tous aussi bien. Contrôlé en marge d’une manifestation en soutien à la Palestine, un manifestant raconte à Disclose et Camille Reporter avoir tenté de refuser d’être ainsi pris en photographie : « Je ne trouvais pas ça normal, alors j’ai tourné la tête, j’ai grimacé pour éviter d’être pris en photo. Le policier a demandé à deux de ses collègues de me tenir […] Ils me forçaient à faire face à la caméra ». Quelques minutes plus tard, l’agent déclinait ses nom, prénom et le motif d’une garde à vue dont il avait fait l’objet quelque temps auparavant.
L’enquête de Disclose évoque également plusieurs reportages télévisés montrant gendarmes et policiers utiliser l’appareil photo de leurs Neo pour contrôler l’identité de personnes n’ayant pas sur elles leurs papiers. « On va faire une petite vérification, ça va aller très vite. On n’arrête pas le progrès, hop », explique le motard, amusé.
TAJ, le « casier judiciaire bis » des individus « défavorablement connus »
NEO offre notamment une fonctionnalité de lecture automatisée de cartes d’identité ou de plaques d’immatriculation, ainsi qu’une application NEOFIC permettant d’accéder aux principaux fichiers de police « depuis au moins 2022 » par la police, et 2020 par la gendarmerie, relève Disclose.
Parmi eux figurent le TAJ (pour « traitement d’antécédents judiciaires »), sorte de « casier judiciaire bis » contenant 24 millions de signalements de personnes « mises en cause » (« MEC », et donc « défavorablement connue », pour reprendre l’expression consacrée dans les médias), dont 16 millions le sont nominativement, ainsi que 48 millions de victimes.
Les fiches contiennent, entre autres, les données d’identité, dates de naissance, nationalités, professions, coordonnées, voire des informations personnelles sensibles telles que l’appartenance politique ou religieuse, ainsi que la « photographie comportant des caractéristiques techniques permettant de recourir à un dispositif de reconnaissance faciale (photographie du visage de face) » si le « MEC » avait fait l’objet d’une prise de photo anthropométrique, voire d’« autres photographies ».
Or, le code de procédure pénale limite la consultation du TAJ aux « besoins des enquêtes judiciaires », et donc à la résolution d’infractions, délits ou crimes, et « le fichier ne peut aucunement être consulté lors de contrôles en « temps réel » », souligne Disclose.
Le décret qui encadre le TAJ précise en outre que seuls des agents « individuellement désignés et spécialement habilités » peuvent normalement y avoir accès. Et son utilisation couplée à la reconnaissance faciale est explicitement proscrite lors « d’une opération de contrôle d’identité », comme l’indique une « doctrine relative aux modalités de mise en oeuvre du traitement d’antécédents judiciaires » que Disclose s’est procurée.
La consultation du TAJ est « exclue lors d’une opération de contrôle d’identité »
Dans ce document daté de février 2022, Céline Berthon, à l’époque directrice centrale de la sécurité publique – elle dirige depuis la DGSI – informait les services du ministère de l’Intérieur que « l’outil TAJ (…) fait l’objet d’une refonte », qui rend « certaines fonctionnalités accessibles en mobilité via les tablettes et smartphones », et plus seulement sur les ordinateurs de bureau.
Parmi les nouvelles options accessibles sur le terrain figure le « rapprochement par photographie (reconnaissance faciale) depuis le 24 janvier 2022 », précisait la fonctionnaire. Or, et comme l’avait souligné la Quadrature du Net dans sa plainte au sujet du TAJ auprès de la CNIL, la note soulignait qu’« une interrogation du TAJ n’est licite que pour les besoins exclusifs des missions de police administrative ou judiciaire », et « exclue lors d’une opération de contrôle d’identité » :
« Pour rappel, la consultation du TAJ, dont la fonction « reconnaissance photo de personne » est exclue lors d’une opération de contrôle d’identité prévue à l’article 78 - 2 du code de procédure pénale. »
En guise de conclusion, l’instruction avance que « les chefs de service seront particulièrement vigilants quant à l’attribution du profil « consultation judiciaire et rapprochement photo » et rappelleront le strict respect des conditions juridiques d’utilisation du TAJ, y compris en mobilité » :
« Les opérations de consultations font l’objet d’une traçabilité avec archivage des logs de connexion. En cas d’abus ou d’usage inapproprié, les personnes concernées sont susceptibles de faire l’objet de poursuites pénales ainsi que de sanctions disciplinaires. »
La doctrine précise qu’ « en revanche », la consultation du TAJ « est autorisée pour une vérification d’identité conduite en application de l’article 78 - 3 » du code de procédure pénale, « si l’intéressé refuse ou se trouve dans l’impossibilité de justifier de son identité ».
Or, cette vérification ne peut d’une part être effectuée que par un officier de police judiciaire, et la « prise d’empreintes digitales ou de photographies lorsque celle-ci constitue l’unique moyen d’établir l’identité de l’intéressé » ne peut, d’autre part, être effectuée qu’« après autorisation du procureur de la République ou du juge d’instruction ».
Cette vérification d’identité doit également être « mentionnée et spécialement motivée » dans un procès-verbal, lui-même « présenté à la signature de l’intéressé », et transmis au procureur de la République, « à peine de nullité ».
« En clair, cela fait au moins quatre ans que les forces de l’ordre françaises peuvent consulter le fichier des antécédents judiciaires et recourir à la reconnaissance faciale de façon totalement débridée », résume Disclose.
Une reconnaissance faciale disponible via 230 000 terminaux depuis 2022
En janvier 2022, le ministère de l’Intérieur qualifiait le lancement de Néo 2 de « manœuvre stratégique, technologique et logistique d’ampleur ». Censé remplacer les 65 000 exemplaires de Néo 1, son prédécesseur, le projet représentait 110 000 smartphones pour la gendarmerie, 116 000 pour la police, plus quelque 20 000 tablettes, soit 230 000 terminaux au total, soulignait le colonel Vincent Béréziat, chef de la sous-direction des applications de commandement du ST(SI)² :
« À court-moyen terme, NÉO 2 autorisera l’accès à la biométrie sur les contrôles, ainsi que l’accès aux informations de la puce de la carte nationale d’identité électronique, ce qui permettra de signaler une personne en mobilité, mais aussi d’alimenter les fichiers, comme le FAED [le fichier automatisé des empreintes digitales, ndlr]. »
Un mode d’emploi du logiciel de la société allemande Cognitec consulté par Disclose précise qu’il suffirait de charger la photo d’un individu puis de cliquer sur un bouton « rapprocher » pour obtenir « les 200 photos les plus pertinentes » enregistrées dans le TAJ au bout de « quelques secondes, normalement moins d’une minute ».
De 375 000 consultations en 2019 à près d’1 million en 2024, soit 2 500/j
« Toutefois, cette nouvelle facilité d’accès peut laisser craindre que le nombre de consultations injustifiées s’accroisse », s’inquiétait l’inspection générale de la police nationale (IGPN) dans son rapport 2023, évoquant une « pratique évidemment préoccupante pour l’institution » :
« Ces nouveaux accès ne modifient en rien la règle du droit à en connaître qui s’impose aux fonctionnaires. En effet, l’accès aux données de ces fichiers ne peut s’inscrire que pour l’exercice de leurs fonctions. Y contrevenir constitue des infractions pénales et des manquements déontologiques. »
L’IGPN y relevait également que le TAJ, ainsi que le fichier national des étrangers (FNE) du système national du permis de conduire (SNPC), étaient « très fréquemment utilisés sur la voie publique lors des contrôles d’identité ».
Ces éléments l’avaient conduit à « sollicité l’engagement de travaux permettant de détecter en temps réel les consultations de fichiers effectuées par des fonctionnaires, présentant un usage « atypique » et à mener différentes actions à cette fin ».
Le nombre de consultations aurait plus que doublé, d’après un document du secrétariat général du ministère de l’Intérieur consulté par Disclose, passant de 375 000 consultations en 2019 à près d’1 million en 2024, soit 2 500 consultations par jour.
Néo 2 a aussi permis « une sorte d’uberisation du trafic de fichiers »
En septembre 2025, un policier avait expliqué à Complément d’enquête qu’il était payé par des narcotrafiquants pour interroger les fichiers et que, pour ne pas être repéré, il prétextait que son Néo était déchargé pour emprunter ceux de ses collègues.
Un rapport interne daté de décembre 2024, émanant de l’Office central de lutte contre la corruption et les infractions financières et fiscales (OCLCIFF), consacré à un « État des lieux de la corruption en France » et consulté par Complément d’enquête, s’en était d’ailleurs fait l’écho :
« Le phénomène de la corruption en ligne a été facilité par la dotation progressive des effectifs de police d’outils de travail en mobilité, avec le programme d’équipement individuel des agents en terminaux NEO pour permettre la consultation des fichiers sur le terrain. »
Le rapport 2024 de l’IGPN confirmait le phénomène, évoquant « une sorte d’uberisation du trafic de fichiers », le nombre de détournements de fichiers identifiés étant passé de 57 en 2020 à 93 en 2023, avant de retomber à 75 en 2024. :
« La consultation illicite des fichiers est portée par deux vecteurs : la nomadisation des outils de consultation liée au déploiement des terminaux NÉO (téléphones portables professionnels) qui permettent par ailleurs une interrogation simultanée de plusieurs fichiers, mais également les réseaux sociaux ou le « dark web », utilisés pour la vente des consultations. »
« Quand des policiers peuvent prendre en photo qui ils veulent à tout moment »
Contacté par Disclose, le ministère de l’Intérieur n’a pas souhaité répondre à ses questions, « pas plus que la gendarmerie, qui a ouvert les accès à l’outil TAJ à tous les gendarmes chargés de la voie publique et de la sécurité routière dès 2020 », soulignent nos confrères.
Une note de la gendarmerie de novembre 2020 relative à l’« élargissement des accès aux fonctionnalités du TAJ » aux agents et officiers de police judiciaire prévoyait en effet l’ « ouverture des accès à la fonction RAPPROCHER PHOTO DE PERSONNE (utilisation de l’outil de reconnaissance faciale) » à partir du 24 novembre 2020.
« Quand des policiers peuvent prendre en photo qui ils veulent pour savoir qui est qui à tout moment, c’est un renversement de l’état de droit, on bascule dans un état policier ou de surveillance de masse », s’inquiète Noémie Levain de La Quadrature du Net. Une bascule d’autant plus préoccupante, selon la juriste, que le fichage de la population est loin d’être un sujet superflu :
« Quand il a été mis en place à la fin du 19ème siècle, le fichage devait permettre de retrouver les personnes récidivistes. Mais assez vite, il a été utilisé pour ficher les étrangers et les gens du voyage. En 1940, très peu de changements ont été nécessaires pour qu’il puisse cibler les Juifs, les communistes et toutes les personnes qui ont été tuées par le régime de Vichy. »
Il a suffi, selon elle, d’un « tout petit changement de curseur » pour que des informations conservées dans les archives de la police servent à « aller chercher les gens chez eux » et les arrêter.
GASPARD, le fichier créé illégalement
Pour comprendre pourquoi, et comment, le ministère de l’Intérieur en est arrivé là, il faut remonter dans le temps, les problèmes et les désidératas des forces de l’ordre en matière de fichiers. Dans leur rapport d’information sur les fichiers mis à la disposition des forces de sécurité, les députés Didier Paris et Pierre Morel-L’Huissier estimaient, en octobre 2018, que « les forces de sécurité ont un besoin fort de fiabilisation des identités et d’interconnexions », comme nous l’avions déjà souligné.
Ils constataient en effet que « l’ensemble des forces de sécurité auditionnées par les rapporteurs ont fait part d’un problème majeur de fiabilisation de l’identité des personnes inscrites dans les fichiers mis à la disposition des forces de sécurité » :
« Lorsqu’une personne mise en cause dans une procédure judiciaire n’a pu être authentifiée par un document d’identité, les bases de données (en particulier le TAJ [pour fichier de traitement des antécédents judiciaires, qui répertorie les victimes et personnes mises en cause, ndlr] et le FAED [le fichier automatisé des empreintes digitales, ndlr]) sont alors alimentées sur la seule foi de ses déclarations. Faute d’interopérabilité avec les fichiers administratifs de titres (de séjour ou d’identité), les erreurs ainsi introduites ne peuvent être corrigées. »
Ils relevaient cela dit de « timides progrès déjà accomplis », à commencer par « la mise en œuvre en octobre 2017 de GASPARD-NG » (pour Gestion automatisée des signalements et des photographies anthropométriques répertoriées et distribuables – Nouvelle génération), intégré à LRPPN, « l’un des fichiers qui composent le nouveau système d’information dédié à l’investigation (NS2i), qui remplace depuis 2011 l’ancien système d’information (composé du LRP, STIC, STIC-FCE, CANONGE et FVV » :
« Désormais, dès qu’une personne est interpellée, elle est signalisée avec ce logiciel qui permet d’intégrer le signalement, les photographies et les empreintes digitales. GASPARD NG transmet des références communes au TAJ et au FAED, ce qui est un facteur de fiabilisation des données contenues dans ces deux applications.
L’outil GASPARD NG permet aussi d’alimenter le TAJ des photographies des mis en cause. Il est ainsi désormais possible de lancer dans le TAJ des recherches à partir d’une photographie. Les résultats de la recherche font apparaître les photographies déjà présentes susceptibles d’y correspondre en fonction d’un certain nombre de paramètres (écartement des yeux, etc.). La recherche peut ailleurs être affinée par certains critères, tels que le sexe, la couleur des yeux ou des cheveux, etc. Le TAJ constitue déjà, de ce point de vue, un outil de reconnaissance faciale. »
Interrogé en 2021 au sujet des « fichiers GASPARD et CRIM’IN », un Technicien en chef du Service Départemental de Police Technique et Scientifique (PTS) avait répondu que « ce ne sont pas des fichiers », mais des « applications », en l’occurence « un logiciel interconnecté qui permet de recueillir les informations anthropométriques et photographiques pour alimenter les fichiers FAED (Fichier Automatisé des Empreintes Digitales) et le TAJ » pour GASPARD, un logiciel facilitant l’enregistrement et le recueil des informations lors des constatations PTS pour CRIM’IN.
En 2024, le ministère de l’Intérieur avait par ailleurs publié une Demande d’information (DI) relative au « rapprochement par image au profit du fichier TAJ » en vue de renouveler sa solution logicielle déjà en place pour le rapprochement des photos de face, mais également de « compléter l’offre de service en permettant le rapprochement des tatouages et autres signes particuliers (cicatrices, piercings ou autres caractéristiques distinctives) ».
Un fichier policier illégal doté de douze catégories « ethno-raciales »
Les deux députés omirent cela dit soigneusement de rappeler que Gaspard existait depuis au moins 2008, qu’il n’avait été officialisé qu’en 2012, et qu’il était alors illégal faute d’avoir été soumis à l’avis de la CNIL.
L’objectif initial était double : mettre en place un logiciel de reconnaissance biométrique faciale pour identifier les suspects filmés par des caméras de vidéosurveillance, mais également sortir le ministère de l’Intérieur de l’état de non-droit qui caractérise le STIC-Canonge, qui regroupait plus de 2 millions de clichés et portraits-robots et permettait d’identifier 30 000 personnes par an en France.
L’inspecteur Canonge qui l’avait créé dans les années 50 l’avait en effet conçu pour effectuer des recherches en fonction de profils ethniques (noir, blanc, jaune et arabe), une situation qui perdurait encore, en pire, comme l’avait montré un reportage de David Dufresne sur les “experts” de la police technique et scientifique réalisé pour Médiapart, en février 2009, et repéré par un lecteur du blog de Maître Eolas.
On y voyait quelques-unes des fonctionnalités et des catégories du fichier : état civil, surnom et alias, signalement (blanc, méditerranéen, gitan, maghrébin, etc.), forme du visage, accent (régional, étranger, pied-noir, « ne s’exprime pas en français » -sic), pilosité, couleurs d’yeux et de cheveux, etc., comme le soulignait Le Figaro en 2008 dans un article intitulé « Polémique sur le fichage selon la couleur de peau » :
« Informatisé en 1992, Canonge s’est perfectionné en retenant douze catégories « ethno-raciales », toujours en vigueur : « blanc (Caucasien), Méditerranéen, Gitan, Moyen-Oriental, Nord Africain, Asiatique Eurasien, Amérindien, Indien (Inde), Métis-Mulâtre, Noir, Polynésien, Mélanésien-Canaque » ».
GASPARD comportait 9M de photos et 4M de tatouages en 2024
En 2024, un appel d’offres que Next avait décrypté indiquait que le fichier GASPARD dénombrait alors quelques 9 millions de photos de face (+ 135 000 nouvelles photos par mois), 4 134 000 tatouages (+ 52 000), et 921 000 signes particuliers (+ 9 000), laissant supposer que le cap des 10 millions de photos « comportant des caractéristiques techniques permettant de recourir à un dispositif de reconnaissance faciale (photographie du visage de face) » aurait a priori été franchi.
Le moteur de recherche de Légifrance dédié aux délibérations de la CNIL ne comporte que deux mentions de GASPARD. Une délibération du 7 juillet 2011 où la Commission « souligne que le traitement GASPARD n’a pas fait l’objet des formalités prévues par la loi du 6 janvier 1978 modifiée ». Une seconde datée du 11 octobre 2012 où « la Commission considère, contrairement à ce que semble indiquer le ministère de l’intérieur, que le logiciel GASPARD constitue bien un traitement au sens de l’article 2 la loi du 6 janvier 1978 modifiée et doit faire l’objet de formalités préalables ». Nous avons contacté la CNIL à ce sujet et mettrons l’article à jour lorsqu’elle nous aura répondu.
C’est la seconde fois que Disclose prend le ministère de l’Intérieur en flagrant délit d’utilisation illégale de la reconnaissance faciale, rappelle notre confrère. Ses révélations sur le logiciel de vidéosurveillance Briefcam déployé illégalement dans des dizaines de services de police et de gendarmerie l’avaient contraint à déclencher une enquête interne, puis à le désactiver.
Dans un vote qualifié d’« historique » par le principal opposant du texte « ChatControl », les eurodéputés ont exclu de la détection volontaire de contenus pédopornographiques les communications reposant sur le chiffrement de bout en bout, mais également restreint la possibilité d’une surveillance aux seuls utilisateurs ou groupes d’utilisateurs spécifiques « identifiés par une autorité judiciaire raisonnablement soupçonnés d’être liés à ces abus ».
Le Parlement européen a prolongé jusqu’en août 2027 les « règles temporaires » autorisant, par dérogation à la directive « ePrivacy » sur la vie privée et les communications électroniques, la détection volontaire de contenus pédopornographiques (CSAM, pour Child sexual abuse material).
Adoptées en 2021, elles avaient déjà été prolongées en 2024, et devaient expirer le 3 avril 2026. Le texte a été adopté par 458 voix pour, 103 voix contre et 63 abstentions, précise le communiqué du Parlement.
Il souligne par ailleurs que, « bien qu’ils soutiennent la prolongation de la dérogation, les députés estiment que les mesures volontaires doivent rester proportionnelles et ciblées et ne doivent pas s’appliquer aux communications chiffrées de bout en bout ».
Trois amendements encadrent et limitent la surveillance
Un amendement à la proposition de règlement a en effet rajouté le fait que le traitement « ne concerne pas les communications interpersonnelles auxquelles le chiffrement de bout en bout est, a été ou sera appliqué ».
La proposition initiale prévoyait par ailleurs que la dérogation « s’applique jusqu’au 3 avril 2028 », délai finalement rapporté « jusqu’au 3 août 2027 ».
De plus, la technologie utilisée « ne devrait s’appliquer qu’aux contenus déjà identifiés comme tels ou signalés comme potentiellement pédopornographiques par un utilisateur, un signalant de confiance ou une organisation », bloquant les velléités de recours à des IA censées identifier de nouveaux contenus CSAM.
Le communiqué souligne en outre que « les mesures devraient cibler les utilisateurs ou les groupes d’utilisateurs spécifiques identifiés par une autorité judiciaire raisonnablement soupçonnés d’être liés à ces abus », et non l’ensemble de la population.
Un second amendement, porté par l’eurodéputée tchèque du Parti pirate Markéta Gregorová, a en effet introduit le fait que le traitement sera « ciblé, spécifié et limité à des utilisateurs individuels, à un groupe spécifique d’utilisateurs, en tant que tels ou en tant qu’abonnés à un canal de communication spécifique, pour lesquels il existe des motifs raisonnables de soupçonner un lien, même indirect, avec du matériel relatif à des abus sexuels commis contre des enfants, et qui ont été identifiés par l’autorité judiciaire compétente ».
Un troisième amendement précise que « cette utilisation soit limitée aux cas où le fournisseur a reçu un rapport ou un signalement précis de la part d’un utilisateur, d’un signaleur de confiance ou d’un organisme agissant dans l’intérêt public contre les abus sexuels commis contre des enfants au sujet d’une communication, d’un compte ou d’une interaction spécifique, qui constitue un motif raisonnable de soupçonner un cas d’abus sexuel commis contre des enfants en ligne, et que la détection soit strictement limitée à ce qui est nécessaire vis-à-vis du cas signalé ».
« Jusqu’à présent, ce système constituait une intrusion totalement disproportionnée dans notre vie privée. Les plateformes scannaient des millions de messages privés de citoyens innocents sans aucun soupçon raisonnable », relève l’eurodéputée belge Saskia Bricmont (Verts/ALE) dans Le Soir :
« Grâce à cet amendement, la position du Parlement s’oriente désormais clairement vers une approche ciblée. La surveillance ne devrait s’appliquer qu’aux communications des personnes suspectées et uniquement avec une autorisation judiciaire. »
Le nombre de signalements a diminué de 50 % par rapport à 2022
Sur la base du mandat actuel, les négociations en trilogue entre le Parlement européen, la Commission européenne et le Conseil de l’UE devraient débuter dès demain, se félicite l’ex-eurodéputé pirate Patrick Breyer, en pointe dans la lutte contre ce #ChatControl depuis des années.
Il qualifie même ce vote d’« historique » à mesure qu’il « met fin au scan massif et non ciblé des discussions privées ». Et ce, d’autant que « la Commission européenne et la grande majorité du Conseil de l’UE, à l’exception de l’Italie, ont jusqu’à présent catégoriquement rejeté toute restriction sur le scan de masse non ciblé ».
Le fait de permettre aux messageries et plateformes en ligne de détecter des contenus pédocriminels à des fins de protection des mineurs relevait toutefois jusque-là « d’une possibilité, et non d’une obligation », tempère 01net.
Patrick Breyer rappelle que 99 % des rapports émanent d’une seule entreprise états-unienne : Meta, et qu’un rapport de la police allemande, basé sur 300 000 conversations, avait conclu que 48 % d’entre elles relevaient de « faux positifs » sans intérêt d’un point de vue pénal, faisant perdre du temps aux forces de l’ordre.
En outre, 40 % des enquêtes menées en Allemagne visaient des mineurs « qui partagent des images sans réfléchir (par exemple, des sextos consensuels), plutôt que des prédateurs organisés ».
Breyer note également que le nombre de signalements a diminué de 50 % par rapport à 2022, probablement du fait de la généralisation des messageries chiffrées, qu’il n’est pas possible de surveiller du fait du chiffrement de bout en bout.
La semaine passée, on apprenait coup sur coup la condamnation de l’auteur d’un vol de failles de sécurité « 0days » développées pour la NSA et ses partenaires. Puis que Coruna, un logiciel espion contenant des vulnérabilités préalablement exploitées par la NSA pour espionner des iPhone, avait été récupéré par un service de renseignement russe pour infecter des terminaux ukrainiens, puis des cybercriminels chinois pour voler des cryptoactifs.
Peter Williams, directeur général de Trenchant, un vendeur américain de failles de sécurité susceptibles d’être exploitées par les services de renseignement techniques, filiale du marchand d’armes L3Harris, vient en effet d’être condamné à sept ans de prison pour en avoir volé huit, et les avoir vendues à son principal concurrent russe, Operation Zero, pour 1,3 million de dollars.
Le Bureau du contrôle des avoirs étrangers (OFAC) du département du Trésor américain avait précisé qu’ « Opération Zero a ensuite vendu ces outils volés à au moins un utilisateur non autorisé ».
Google a par ailleurs découvert que Coruna, le logiciel espion particulièrement puissant volé à un service de renseignement anglo-saxon, reposait sur pas moins de cinq chaînes d’exploitation iOS complètes et 23 exploits iOS, et qu’il aurait coûté plusieurs millions de dollars en développement.
Deux anciens employés de L3Harris ont depuis déclaré au journaliste spécialisé Lorenzo Franceschi-Bicchierai de TechCrunch que Coruna avait été développé, au moins en partie, par la division technologique de piratage et de surveillance de Trenchant.
« Coruna était sans aucun doute le nom interne d’un composant », a souligné un ancien employé de L3Harris, qui connaissait bien les outils de piratage de l’iPhone dans le cadre de son travail chez Trenchant : « j’ai examiné les détails techniques » partagés par Google, et « beaucoup me sont familiers ».
TechCrunch rappelle que L3Harris vend les outils de piratage et de surveillance de Trenchant exclusivement au gouvernement américain et à ses alliés de l’alliance de renseignement dite « Five Eyes », qui comprend l’Australie, le Canada, la Nouvelle-Zélande et le Royaume-Uni.
Selon les procureurs américains, Williams a reconnu le code qu’il avait écrit et vendu à Operation Zero, qui a ensuite été utilisé par un courtier sud-coréen, note TechCrunch, qui laisse entendre que c’est « peut-être » ainsi que Coruna aurait finalement été racheté par des pirates chinois.
Le chercheur en sécurité Costin Raiu relève que Trenchant a par ailleurs l’habitude d’utiliser des noms d’oiseaux pour désigner les outils qu’il développe. Or, plusieurs des 23 exploits de Coruna portent des noms d’oiseaux, tels que Cassowary, Terrorbird, Bluebird, Jacurutu et Sparrow.
Le nouveau patron de la NSA n’a aucune expertise ni compétence particulière en matière de renseignement technique ni d’informatique. Ancien patron des opérations spéciales du Pacifique, son profil de « chef de guerre » rompu au combat pourrait par contre contribuer à la montée en puissance des capacités cyber offensives de l’US Cyber Command, qu’il dirigera également, et que l’administration Trump appelait de ses voeux.
Le Sénat, contrôlé par le Parti républicain, a confirmé par 71 voix contre 29 la nomination par Donald Trump du général Joshua M. Rudd à la tête de la National Security Agency (NSA) et de l’U.S. Cyber Command (USCYBERCOM), resté vacant depuis un an, rapporte l’agence Reuters.
Nextgov rappelle que Timothy Dean Haugh, son prédécesseur, avait été brutalement débarqué après avoir été accusé par la militante d’extrême droite complotiste Laura Loomer de ne pas être suffisamment loyal envers Donald Trump.
Joshua M. Rudd était depuis 2022 numéro deux du Commandement Indo-Pacifique de l’armée, après avoir dirigé le commandement des opérations spéciales du Pacifique. Et bien qu’il ait aussi été déployé en Afghanistan et en Irak, « il n’a aucune expérience dans le domaine des cyberopérations ou du renseignement d’origine électromagnétique », s’étonne The Record, qui a consacré plusieurs articles à son processus de nomination.
« Il n’est pas qualifié à ce poste », déplore Ron Wyden
Le sénateur démocrate Ron Wyden de l’Oregon, membre éminent du comité du renseignement, écrit dans une lettre adressée à Trump qu’ « il n’est pas qualifié à ce poste », d’autant que « lorsqu’il s’agit de la cybersécurité de ce pays, on n’a tout simplement pas le temps d’apprendre sur le tas. La menace est bien trop urgente pour cela ».
« Pendant des décennies, j’ai eu l’occasion d’être un leader, un consommateur, un facilitateur, un générateur et un intégrateur des capacités opérationnelles et de renseignement de la NSA et du Cyber Command », s’est défendu le lieutenant-général Joshua Rudd dans son discours d’ouverture devant la commission sénatoriale des forces armées, rapporte The Record :
« Je suis convaincu que les talents exceptionnels du CYBERCOM-NSA fourniront d’excellents conseils. Je suis convaincu que, si ma nomination est confirmée, je pourrai continuer à diriger et à permettre à ces deux organisations d’apporter le meilleur soutien possible à nos commandants de combat au sein des forces interarmées, dans leur ensemble. »
Une méconnaissance des droits constitutionnels fondamentaux
Une déclaration d’intention qui n’a pas du tout convaincu Ron Wyden, pour qui « ses réponses aux questions qui lui ont été posées lors de son audition de confirmation, ainsi qu’aux questions écrites, révèlent une méconnaissance des droits constitutionnels fondamentaux incompatible avec le poste auquel il a été nommé », souligne le sénateur démocrate :
Il reste 70% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Reworld Media explique être en mesure de « connaître les usages alimentaires des Français, comment ils se soignent, d’identifier une intention de déménagement, une grossesse ou une intention de changement de voiture ». Le groupe vient de lancer une nouvelle offre afin d’ « industrialiser » la vente des données liées aux 40 millions d’identifiants des lectrices et lecteurs de ses 80 « marques médias », tout en respectant le RGPD.
Reworld ne se contente pas de proposer aux marques de les aider à être mentionnées dans les LLM en (co-)générant des articles par IA, comme nous l’avons relaté dans un précédent article. L’entreprise propose également à ses partenaires et clients d’ « industrialiser » l’exploitation des profils des 40 millions d’identifiants des lectrices et lecteurs de ses 80 « marques médias ».
Premier éditeur de presse magazine français en nombre de journaux détenus, avec plus de 80 « marques médias » thématiques (d’Auto Moto à Télé Star en passant par Doctissimo, Les Numériques, Marmiton ou Sciences et Vie), Reworld Media est aussi le 3ᵉ groupe média sur le web et les réseaux sociaux, lui ayant permis d’atteindre 32 millions de visiteurs uniques en mai 2025.
Dans un communiqué publié fin janvier, Reworld annonce avoir franchi « une nouvelle étape » lui permettant de « rendre [sa] data pleinement activable, mesurable et durablement créatrice de valeur business pour nos partenaires » :
« Déjà doté d’une capacité de segmentation et de ciblage de premier plan, reposant sur une data propriétaire de 40 millions d’identifiants et 1 200 segments data first-party, Reworld Media franchit aujourd’hui une nouvelle étape : industrialiser ses collaborations data, sécuriser les échanges avec les annonceurs et amplifier l’impact business de ses dispositifs sur l’ensemble des environnements digitaux, sociaux et conversationnels. »
Reworld y souligne que « 76% des requêtes CUISINE des Français sur l’internet global convergent vers les sites Reworld Media », ce qui est aussi le cas de 75 % des requêtes liées à l’habitat, et 74 % de celles relatives à la santé : « Cette couverture exceptionnelle confère au groupe une granularité de ciblages et intentionnistes unique sur le marché, désormais pleinement activable et industrialisée grâce à la Data Clean Room », une plateforme d’anonymisation des données que nous détaillerons plus avant.
L’objectif est de « formaliser, sécuriser et industrialiser les collaborations data avec les annonceurs et partenaires », et de leur « proposer des scénarios avancés de collaboration data, activables rapidement et à grande échelle », explique Reworld :
« rapprochement et matching de données sécurisés,
analyses croisées et enrichissement des insights,
ciblages data plus fins et contextualisés,
pilotage du social publishing à partir des insights data ».
« Identifier une grossesse ou une intention de changement de voiture »
« Reworld Media industrialise la vente de sa Data : désormais disponible partout et enrichie en temps réel par l’IA », titrait le groupe en février. Son communiqué annonçait de nouveaux accords de commercialisation de ses données, « désormais accessibles aux acteurs de la télévision, des réseaux sociaux, du DOOH [pour « Digital out-of-home », les écrans d’affichages digitaux extérieurs, ndlr] et bien entendu aux clients souhaitant segmenter leur publicité en ligne », y compris « sur les réseaux sociaux (avec la possibilité d’injecter la Data dans les campagnes Meta) » :
« Avec des informations sur la consommation de plus de 40M de Français, le groupe affirme son leadership sur la Data en France. Cette Data est collectée et qualifiée sur plus de 80 sites permettant de connaître leurs habitudes de consommation sur plus de 1 200 catégories de produits et services. »
Il reste 85% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Fort de 80 « marques médias », et autant de sites web, Reworld est « l’un des plus grands producteurs de contenus en France » et le « 1er groupe média le plus cité par ChatGPT en France ». Tout comme Prisma Media, il publie de plus en plus d’articles en tout ou partie générés par IA, afin d’être mentionné par les IA génératives.
Les problématiques et solutions de référencement (Search Engine Optimisation, SEO) avaient conduit journalistes et rédacteurs à écrire pour être lus par des êtres humains, mais aussi « par et pour Google ». La déferlante des IA génératives incite désormais certains à écrire pour figurer dans les grands modèles de langage (LLM).
« Reworld Media, 1er groupe média le plus cité par ChatGPT en France », se félicitait ainsi récemment Marion Collombat sur LinkedIn. Initialement éditrice beauté chez Reworld Media, elle a récemment été nommée directrice Data & GEO (pour Generative Engine Optimisation, le SEO dédié aux LLM et IA génératives) du groupe :
« Selon l’étude publiée par Ahrefs (analyse de 9,6 millions de réponses générées par ChatGPT), Reworld Media arrive en tête des groupes médias les plus cités par l’IA en France, avec : 42 019 citations 10,3 % de part sur les 50 premières sources #1 devant Humanoid, LVMH, CMA CGM (Altice Media), Argus Groupe… »
Marion Collombat souligne que ce classement résulte de « plus de 10 ans de production de contenus structurés, et une puissance multi-thématique unique », renforcé ces derniers mois par « notre approche dédiée au GEO » mêlant « structuration éditoriale orientée LLM, maillage stratégique, travail sur les intents et les prompts, analyse des crawls IA ».
Une pole position qualifiée de « logique » par Jérémy Parola, directeur des activités numériques du groupe, du fait que « notre contenu est optimisé pour le GEO, nos médias sont par ailleurs bien positionnés en SEO, nos marques sont thématiques donc traitent de milliers de sujets ».
Le site avait dans la foulée publié huit autres articles à ce sujet dans les deux jours suivants, contribuant à lancer la rumeur que des crèches accueillaient bel et bien, en France, ces poupées hyperréalistes.
Aucun de ces articles ne précise que Thérèse Dune, qui se présente effectivement comme directrice de crèche reborn sur TikTok, est aussi et surtout une personne habituée des plateaux de talk-shows depuis 1999 et des réseaux sociaux depuis les années 2010 pour y mettre en scène sa vie fantasque et ses fantasmes, comme notre enquête l’avait documenté.
Interrogé pour savoir si « Les crèches acceptent-elles vraiment les bébés reborn ? », comme le titrait l’article de parolesdemamans.com, ChatGPT répond que « Non, les crèches normales n’acceptent presque jamais les bébés reborn (les poupées hyper-réalistes qui ressemblent à de vrais nourrissons) ».
Pour autant, 7 de ses 10 sources figurent dans notre base de données de sites « en tout ou partie générés par IA » : 3 émanent de parolesdemamans.com, dont l’article éponyme, et les 3 articles expliquant ce qui se passe dans les « crèches classiques » sont eux aussi GenAI… signe que ChatGPT est déjà bien pollué de sites d’information non fiables.
Doctissimo ? Un « dictionnaire de vérités », Marmiton, « de la donnée structurée »
Il reste 77% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
« Mon temps d’écran est énorme, j’en ai bien conscience », raconte Emma à « Tant d’écran », la chronique du Point qui analyse le rapport des Français à leurs téléphones. Cette étudiante de 21 ans passe en effet et en moyenne 7h19 chaque jour devant ses écrans, et parfois plus de 11 heures le week-end : « Il y a eu les bébés Covid. Moi, je fais partie de la génération des ados Covid », résume-t-elle.
Emma reçoit plus de 219 notifications chaque jour sur son smartphone, la conduisant à scroller 3 heures sur TikTok, un peu moins d’une sur WhatsApp, une autre sur Netflix et dans ses notes, une demi-heure sur Safari, et une autre à envoyer des messages, moins de 25 minutes sur Instagram.
« Je me rends bien compte que j’ai un temps d’attention réduit », reconnaît-elle : « J’ai énormément de mal avec le long, que ce soit les vidéos YouTube qui excèdent 50 minutes, ou les épisodes de Bridgerton sur Netflix qui durent plus d’une heure chacun ! »
Un déficit d’attention qu’elle éprouve aussi avec les podcasts, et même avec TikTok : « Quand je vois qu’une vidéo dure plus d’une minute trente, je scrolle, je sais que je ne la terminerai pas, ou en accéléré ! Quand je regarde un film ou une série et qu’une scène m’ennuie, je la saute en avançant de dix secondes. »
« Je passe ma vie dessus et je ne me sens pas coupable », tempère la jeune femme : « Si c’est ce qui me fait plaisir après une longue journée, pourquoi me restreindre ? D’autant plus que j’ai vraiment le sentiment d’être en contrôle : c’est moi qui choisis quand je reste sur une vidéo ou quand je passe à une autre, combien de temps je lui accorde, quel intérêt je trouve… Même si j’ai bien conscience que mon algorithme m’a très bien cernée ! »
À la journaliste qui lui demande si elle a déjà essayé de réduire son temps d’écran, Emma répond qu’ « il arrive que je passe des journées sans mon téléphone, pour me prouver que je peux y arriver. Si je trouve de quoi m’occuper, ça ne me pose aucun souci ! » :
« Ma mère pense que je passe trop de temps sur mon téléphone, mais elle est elle-même les yeux rivés sur son ordinateur à longueur de journée, je ne sais pas si c’est beaucoup mieux ! Mes amis ont à peu près la même consommation que moi, donc il n’y a pas de jugement sur ce point-là. »
Interrogée sur ce qui lui manquerait le plus si elle perdait son téléphone, Emma estime que « ce qui peut me manquer plus que TikTok, ce sont tous mes mots de passe, qui y sont déjà pré-enregistrés : si je le perds, je serais bien incapable de les retrouver ».
« Coruna », qui repose sur pas moins de cinq chaînes d’exploitation iOS complètes et 23 exploits iOS, aurait coûté plusieurs millions de dollars en développement. Google, qui l’a identifié dans trois séries de cyberattaques en 2025, ne sait pas comment il aurait été revendu au renseignement russe puis à des scammers chinois.
MàJ du 12 mars : le logiciel espion correspondrait aux types d’outils volés par l’ex-directeur général de Trenchant, un vendeur américain de failles de sécurité susceptibles d’être exploitées par les services de renseignement techniques, filiale du marchand d’armes L3Harris, qui vient en effet d’être condamné à sept ans de prison pour en avoir vendu huit à son principal concurrent russe, Operation Zero, pour 1,3 million de dollars.
Le Google Threat Intelligence Group (GTIG) a identifié un nouveau kit d’exploitation particulièrement puissant ciblant les modèles d’iPhone Apple fonctionnant sous iOS version 13.0 (sortie en septembre 2019) jusqu’à la version 17.2.1 (sortie en décembre 2023).
La simple consultation d’un site web infecté suffisait à permettre l’installation du logiciel malveillant, dont la sophistication laisse supposer qu’il avait initialement été conçu par (ou pour) un service de renseignement disposant de ressources importantes.
Baptisé « Coruna » par ses développeurs, il repose en effet sur pas moins de cinq chaînes d’exploitation iOS complètes et un total de 23 exploits iOS, les plus avancés utilisant des techniques d’exploitation non publiques et des contournements de mesures d’atténuation. Deux d’entre eux avaient en outre déjà été reliés à une opération attribuée par la Russie à la National Security Agency (NSA).
Un marché noir d’exploits zero-day « d’occasion »
Il reste 84% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
« 1er groupe de média digital » en France, racheté par Bolloré en 2021, Prisma Media a formé l’ensemble de ses 400 journalistes à l’IA depuis 2024. Dans le même temps, près d’une centaine d’employés ont été poussés à partir, et un nouveau plan de départ massif de 200 à 250 personnes a été annoncé, soit près de 30 % des effectifs du groupe. Dans le même temps, de plus en plus d’articles sont générés par IA.
En avril 2024, Les Échos révélaient que le groupe Prisma Media avait décidé de former l’ensemble de ses 400 journalistes à l’IA d’ici la fin de l’année, au point d’y consacrer 20 % de son budget de formation. En parallèle, Prisma lançait aussi plusieurs projets reposant sur l’IA : rédaction automatique de textes, production de podcasts avec une voix clonée, chatbot pour répondre aux lecteurs, etc.
En avril 2025, Les Échos précisaient que 80 % des journalistes avaient été formés, et qu’un tiers du budget formation y avait été consacré. « On a au moins une centaine d’initiatives à l’échelle du groupe. On essaye d’être au plus près des besoins de chaque métier », expliquait Pascale Socquet, directrice générale de Prisma Media. On y apprenait également qu’« environ 20 % du contenu » du site de Voici.fr était « produit avec l’IA » à partir de dépêches d’agences ou de recettes de cuisine.
À l’époque, Pascale Socquet avait réagi sur LinkedIn, à l’occasion des deux ans de leur Comité IA, soulignant qu’il avait rédigé une charte du bon usage de l’IA, afin d’« encadrer/maitriser notre écosystème », que seuls les sujets « froids » faisaient l’objet d’une « production d’articles assistée par l’IA, avec l’expertise journalistique pour encadrer la pré-écriture par l’IA, sous réserve de maîtriser les sources et la qualité finale » :
« Notre mantra est ancré : « enthousiastes dans l’exploration, prudents dans l’exploitation »
Notre croyance est renforcée : L’IA générative est l’opportunité de créer une vision augmentée du journalisme et de l’ensemble de nos métiers
Nous déroulons notre stratégie : Former, Encadrer, Tester
Prisma Media, Une IA d’avance. »
Produire toujours plus et remplir les sites avec moins de journalistes
Près de deux ans plus tard, le résultat de ces expérimentations relativise, voire semble à rebours, des objectifs initiaux. « « L’impression de trahir les lecteurs » : comment le groupe Bolloré remplace les journalistes par l’IA », titre en effet Marianne. Prisma Media, racheté en 2021 par Vincent Bolloré, et qui se présente comme « le 1er groupe de média digital », a en effet vu les audiences de plusieurs de ses sites chuter en 2024, suite à une modification des algorithmes de Google.
Il reste 81% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Plus de 90 politiciens d’opposition, ministres du gouvernement, employés des services de renseignement, procureurs, journalistes et hommes d’affaires avaient été espionnés entre 2020 et 2022. En 2024, la Cour suprême grecque avait innocenté le service de renseignement national et le gouvernement. Les quatre principaux prestataires viennent quant à eux d’être condamnés.
Quatre personnes liées au marchand de logiciels espions Intellexa ont été condamnées par un tribunal grec à des peines d’emprisonnement cumulées totalisant 126 ans et huit mois, mais dont seulement huit devront être purgés, précise eKathimerini, pour avoir espionné des dizaines de responsables politiques, hommes d’affaires, responsables militaires et journalistes.
L’affaire, surnommée « Predatorgate » ou « Watergate grec », avait éclaté en 2022 lorsque Nikos Androulakis, chef du principal parti d’opposition PASOK et membre du Parlement européen, avait découvert qu’un logiciel espion illégal appelé Predator, l’un des principaux concurrents du logiciel espion Pegasus de la société israélienne NSO, avait été installé sur son téléphone, rappelle Politico.
Reuters précise qu’un procureur avait également ouvert une enquête suite à la découverte, par un journaliste financier de CNN, Thanasis Koukakis, que son téléphone avait été infecté par le logiciel espion Predator de la société Cytrox, qui faisait partie du consortium Intellexa.
Des traces de Predator avaient ensuite été retrouvées dans les téléphones de plus de 90 Grecs, politiciens d’opposition, ministres du gouvernement, employés des services de renseignement, procureurs et hommes d’affaires, rappelle The Record.
L’exécution de leurs peines est suspendue à la procédure en appel
Cette affaire avait ébranlé le gouvernement de centre droit, entraînant le limogeage du chef du service national de renseignement (EYP) et du chef de cabinet du Premier ministre. L’administration, qui a nié toute malversation ou écoute téléphonique délibérée, avait néanmoins survécu à un vote de défiance en 2023, relève Reuters.
En 2024, la Cour suprême grecque avait innocenté l’EYP et les responsables politiques de tout acte répréhensible, et renvoyé les quatre accusés devant le tribunal correctionnel. Nikos Androulakis a depuis fait appel devant la Cour européenne des droits de l’homme.
Lors du procès, les quatre prévenus, Tal Dilian (ancien officier militaire israélien et fondateur d’Intellexa), sa partenaire commerciale Sara Aleksandra Fayssal Hamou, Felix Bitzios (ancien administrateur adjoint et actionnaire d’Intellexa) et Yiannis Lavranos (dont la société Krikel a acheté le logiciel espion), ont nié avoir commis des actes répréhensibles.
Jeudi 27 février, le tribunal les a néanmoins déclarés coupables d’« atteinte à la confidentialité des communications téléphoniques », d’« altération répétée d’un système d’archivage de données à caractère personnel » et d’« accès illégal à un système d’information ou à des données ». L’exécution de leurs peines est suspendue dans l’attente de l’examen de la procédure en appel.
Intellexa, toujours en activité, en partie sanctionné aux États-Unis
« Ce fut une bonne journée pour la démocratie et l’État de droit en Grèce », a déclaré Thanasis Koukakis à l’AFP devant le tribunal, ajoutant que le verdict « ouvrait la voie » à d’autres poursuites contre des suspects dans la même affaire. D’autant que « la moitié du cabinet et des généraux de haut rang étaient sous surveillance de l’agence nationale de sécurité et du logiciel espion Predator ».
Le 18 février, Amnesty International avait cela dit révélé que Predator avait infecté le téléphone d’un éminent défenseur de la liberté de la presse en Angola en 2024, note The Record. En décembre, les chercheurs d’Amnesty avaient quant à eux découvert qu’un avocat pakistanais spécialisé dans les droits humains avait également été pris pour cible par Predator au cours de l’été 2025.
Le département du Commerce américain avait ajouté Intellexa et sa filiale Cytrox à sa liste noire en 2023. Les dirigeants et consultants d’Intellexa, dont Dilian et Hamou, avaient été sanctionnés par l’administration Biden en 2024. Mais l’administration Trump a annulé les sanctions contre Hamou et deux autres dirigeants d’Intellexa en décembre dernier, bien que Dilian figure toujours sur la liste noire.
Nexa (ex-Amesys), le sulfureux partenaire français d’Intellexa
En 2023, Amnesty International a également découvert que Predator avait été vendu à 25 pays, dont plusieurs régimes autoritaires, par un consortium d’entreprises européennes qui a contourné les règlements européens et internationaux via la filiale dubaïote de Nexa Technologies (ex-Amesys), le partenaire français d’Intellexa.
Les responsables de Nexa avaient été mis en examen en 2021 pour « complicité de tortures » et « disparitions forcées » en Libye, puis « pour complicité de torture et de disparitions forcées » en Égypte, avant d’être placés en 2022 « sous le statut plus favorable de témoin assisté, éloignant ainsi la menace d’un procès à leur encontre ».
Nexa s’est depuis retirée du marché de la surveillance et du consortium Intellexa, et a été rachetée par Chapsvision, le nouveau champion français de la cybersurveillance, dont le modèle économique vise d’après ses dires à aider les handicapés mentaux à communiquer, comme nous l’avions relaté.
Le directeur général d’un vendeur américain de failles de sécurité susceptibles d’être exploitées par les services de renseignement techniques vient d’être condamné pour en avoir volé huit, et les avoir vendues à son principal concurrent… russe. Ce dernier, ainsi que cinq personnes et entités associées, viennent par ailleurs d’être sanctionnés.
Le business des « 0days », du nom donné aux vulnérabilités logicielles non identifiées par leurs éditeurs (et donc non patchées) est devenu tellement profitable que le directeur général d’un fournisseur attitré des États-Unis et de ses partenaires anglo-saxons de l’alliance des « Five Eyes » vient d’être condamné à sept ans et trois mois de prison pour en avoir volé et vendu huit, pour 4 millions de dollars en cryptoactifs, à un courtier russe.
La justice états-unienne n’a pas mentionné le nom de ce dernier dans son communiqué, mais le département du Trésor et le département d’État viennent, dans le même temps, de sanctionner Operation Zero, le principal broker russe de 0days, tout en le reliant explicitement à la condamnation de Peter Williams.
La journaliste spécialisée Kim Zetter raconte que cet Australien de 39 ans résidant à Washington avait initialement travaillé au sein de l’Australian Signals Directorate (ASD), l’agence australienne de renseignement électronique à l’étranger, partenaire de la NSA.
Après l’avoir quittée, il avait travaillé pour une entreprise privée australienne spécialisée dans la recherche de vulnérabilités et les « computer network operations » (CNE), du nom donné par les « Five Eyes » aux capacités cyberoffensives.
En 2018, le géant américain L3Harris rachetait Azimuth Security et Linchpin Labs, deux entreprises australiennes spécialisées dans le développement d’exploits, où Williams travaillait depuis son départ de l’ASD en 2016.
En octobre 2024, Peter Williams était nommé directeur général de Trenchant, l’entreprise née de ce rachat. Hasard ou coïncidence, Trenchant avait appris, à peu près au même moment, que certains de ses actifs logiciels avaient fuité hors de son réseau sécurisé, et se trouvaient entre les mains d’un courtier étranger.
Trenchant avait alors lancé, ce même mois d’octobre 2024, une enquête interne, supervisée par Williams lui-même. Elle avait conclu que le réseau sécurisé de Trenchant n’avait pas été compromis, « à l’exception d’un ancien employé qui, pendant qu’il était en poste, avait accédé de manière inappropriée à Internet à partir d’un appareil isolé ».
Kim Zetter souligne en effet que Trenchant conserve son code sensible sur un réseau sécurisé isolé déconnecté d’Internet (« air-gapped »), afin d’empêcher tout risque de fuite.
Pour tenter de brouiller les pistes, Peter Williams avait alors lui-même accusé un autre salarié de Trenchant d’être à l’origine de la fuite de plusieurs vulnérabilités inconnues du navigateur Chrome, avant de le licencier.
Une accusation d’autant plus improbable que le bouc émissaire faisait partie d’une équipe chargée exclusivement de l’identification de failles zero-day dans iOS et du développement de logiciels espions pour les terminaux Apple.
Encore plus étrangement, s’étonne Kim Zetter, Williams avait continué à vendre des exploits au broker russe alors même qu’il savait que le FBI enquêtait sur le vol de codes de Trenchant. En juin 2025, il avait même signé un nouveau contrat de 500 000 dollars avec le broker russe, et lui transmettait de nouveaux « secrets logiciels » quelques jours seulement avant de rencontrer le FBI à ce sujet.
Pire : après avoir reçu un premier versement, en crypto-monnaies, il l’avait blanchi, comme à son habitude, mais plutôt que de laisser la somme sur un compte dédié, et non relié à son identité, il avait transféré la somme correspondante sur l’un de ses comptes bancaires.
Un préjudice estimé à au moins 35 millions de dollars
D’après l’acte d’accusation, que nous avions déjà évoqué lors de son inculpation, en octobre 2025, Williams aurait obtenu 1,3 million de dollars en échange de ces secrets commerciaux entre 2022 et 2025, sur les 4 millions de dollars initialement escomptés, tempère Kim Zetter.
L’intégralité des fonds (y compris en cryptos) déposés dans sept comptes bancaires avait alors été saisie, ainsi qu’une liste d’objets de valeur à son domicile, dont plusieurs bagues de diamant Tiffany, un sac à main Louis Vuitton, des vestes Moncler, et 24 montres de luxe (dont huit « replicas », copies plutôt haut de gamme, difficiles à distinguer des originales).
Le procureur précise que Williams avait aussi acheté une Tesla Model X 2022, une Porsche Panamera 2018, des biens immobiliers, dépensé 5 000 dollars pour quatre bagages de luxe et plus de 715 000 dollars pour des vacances de luxe entre 2022 et 2025.
Kim Zetter rapporte que le département de la Justice avait réclamé une peine de neuf années de prison, 250 000 dollars d’amendes, et le remboursement des 35 millions de dollars de pertes pour Trenchant.
Williams avait en effet lui-même estimé, auprès du FBI, que la vente de deux des « secrets » qu’il avait vendus au broker russe représentait à elle seule une perte d’environ 35 millions de dollars de préjudice pour Trenchant.
Cyberscoop indique qu’une audience visant à obtenir une restitution supplémentaire liée à ces 35 millions de dollars de préjudice est par ailleurs prévue en mai.
Des brokers russes prêts à payer jusqu’à 20 millions de dollars
Le Bureau du contrôle des avoirs étrangers (OFAC) du département du Trésor américain a donc, en parallèle, désigné Sergey Sergeyevich Zelenyuk (Zelenyuk) et sa société, Matrix LLC (opérant sous le nom d’Operation Zero), ainsi que cinq personnes et entités associées, pour leur acquisition et leur distribution d’outils informatiques nuisibles à la sécurité nationale des États-Unis.
L’OFAC précise que « parmi les exploits acquis par Operation Zero figuraient au moins huit cyber-outils propriétaires, créés pour l’usage exclusif du gouvernement américain et de certains alliés, et qui avaient été volés à une entreprise américaine » :
« Cette action coïncide avec une enquête menée par le ministère de la Justice et le Federal Bureau of Investigation (FBI) sur Peter Williams, un ressortissant australien et ancien employé de la société américaine susmentionnée qui a plaidé coupable le 29 octobre 2025 de deux chefs d’accusation pour vol de secrets commerciaux. »
Si Operation Zero souligne sur son site web que « Nos clients sont exclusivement des organisations privées et gouvernementales russes », l’OFAC avance que Zelenyuk aurait déclaré qu’il ne vendrait d’exploits qu’à des clients de pays non membres de l’OTAN, et donc pas forcément russes.
En octobre 2023, arguant d’une forte demande du marché, Operation Zero avait été jusqu’à passer de 200 000 à 20 millions de dollars le montant maximum des primes proposées en échange d’exploits iOS ou Android, comme l’avait documenté TechCrunch.
Zelenyuk et Operation Zero auraient notamment cherché à « développer d’autres systèmes de cyber-renseignement, notamment des logiciels espions et des méthodes permettant d’extraire des informations d’identification personnelle et d’autres données sensibles téléchargées par les utilisateurs d’applications d’intelligence artificielle telles que les grands modèles de langage ».
L’OFAC désigne également Azizjon Makhmudovich Mamashoyev et Oleg Vyacheslavovich, pour avoir entretenu des relations professionnelles avec Operation Zero, ainsi que Marina Evgenyevna Vasanovich, l’assistante de Zelenyuk.
Ressortissant russe, Kucherov est soupçonné d’appartenir au groupe cybercriminel Trickbot, accusé de multiples attaques par ransomware contre le gouvernement américain, ainsi que contre des hôpitaux et des centres de soins de santé à travers les États-Unis.
Next était revenu en détail sur leurs faits d’armes lorsque la justice états-unienne avait identifié sept de ses membres, dont une développeuse web de 55 ans arrêtée à Miami : Alla Witte, au profil somme toute détonant eu égard aux clichés d’ordinaire véhiculés au sujet des cybercriminels russophones.
Mamashoyev est quant à lui à la tête d’Advance Security Solutions, une autre société de courtage d’exploits et de cybersécurité offensive opérant aux Émirats arabes unis et en Ouzbékistan.
Le département d’État précise dans un communiqué dédié que Zelenyuk avait lui aussi créé une société basée aux Émirats arabes unis, Special Technology Services LLC FZ (STS), afin de mener des activités commerciales avec divers pays d’Asie et du Moyen-Orient, tout en contournant les sanctions américaines imposées aux comptes bancaires russes.
Signe d’un business florissant, TechCrunch rappelle que lors de son lancement, l’an passé, Advance Security Solutions proposait lui aussi jusqu’à 20 millions de dollars de primes pour des failles 0days capables d’infecter un smartphone au moyen d’un message textuel.
C’est par ailleurs la première fois, souligne le département d’État, que le gouvernement sanctionne un individu et des entités en vertu de la loi sur la protection de la propriété intellectuelle américaine (Protecting American Intellectual Property Act, ou PAIPA).
Cette loi autorise les sanctions à l’encontre de toute personne ayant sciemment participé à un vol important de secrets commerciaux appartenant à des ressortissants américains ou en ayant tiré profit, « si le vol de ces secrets commerciaux est raisonnablement susceptible d’entraîner ou a contribué de manière significative à une menace importante pour la sécurité nationale, la politique étrangère, la santé économique ou la stabilité financière des États-Unis ».
Burger King teste dans 500 de ses restaurants des casques audio équipés d’une intelligence artificielle capable de réciter des recettes, d’alerter les responsables lorsque les stocks sont faibles mais également d’évaluer l’amabilité des employés envers les clients, rapporte Associated Press.
Le système collecte les données et les partage avec « Patty », un chatbot alimenté par OpenAI qui s’adresse aux employés via leur casque audio. Ils peuvent lui poser des questions, par exemple combien de tranches de bacon mettre sur un Maple Bourbon BBQ Whopper, ou demander des instructions pour nettoyer la machine à milk-shake, précise The Verge.
L’IA serait également capable d’informer le gérant du magasin si la machine à boissons est à court de Coca Light ou si un client utilise un code QR pour signaler des toilettes sales. Burger King a déclaré qu’il envisageait également d’utiliser Patty pour améliorer son service client, précise AP :
« Le système peut détecter lorsque les employés prononcent des mots clés tels que « bienvenue », « s’il vous plaît » et « merci », puis en informer les responsables ».
« Nous pensons que l’hospitalité est fondamentalement humaine »
Interrogé au sujet de cette fonctionnalité, Burger King précise que l’objectif était d’utiliser Patty comme un outil de coaching, et non comme un moyen de surveiller les employés individuellement.
« Il ne s’agit pas d’évaluer les individus ou d’imposer des scripts. Il s’agit de renforcer l’excellence de l’accueil et de fournir aux responsables des informations utiles en temps réel afin qu’ils puissent mieux reconnaître les performances de leurs équipes », a déclaré Burger King dans un communiqué transmis à AP :
« Nous pensons que l’hospitalité est fondamentalement humaine. Le rôle de cette technologie est d’aider nos équipes afin qu’elles puissent rester présentes auprès des clients. »
Thibault Roux, directeur numérique de Burger King, explique à The Verge que l’entreprise a compilé des informations provenant des franchisés et des clients sur la manière de mesurer la convivialité, ce qui lui a permis d’entraîner l’IA à reconnaître certains mots et expressions, tels que « bienvenue chez Burger King », « s’il vous plaît » et « merci ».
L’objectif serait aussi de permettre aux responsables de demander à Patty comment leur établissement se positionne en matière de convivialité. « Tout cela est conçu comme un outil de coaching », explique M. Roux, ajoutant que l’entreprise « itère » également pour capturer le ton des conversations.
En décembre dernier, la vidéo de Noël de McDonald’s Pays-Bas, baptisée «It’s the Most Terrible Time of The Year », avait déjà fait scandale, au point d’être dépubliée. Présentée comme l’incarnation du nouveau champ des possibles ouverts par l’IA, elle présentait en effet le « vrai » monde comme une suite de catastrophes… alors qu’il suffisait de passer les portes d’un restaurant McDonald’s pour être touché par la douce féérie de Noël.
Pour Marco Rubio, le RGPD impose « des restrictions inutiles et contraignantes en matière de traitement des données et des exigences en matière de flux transfrontaliers de données » qui pourraient nuire aux intérêts des entreprises technologiques états-uniennes.
L’administration Trump vient d’ordonner aux diplomates états-uniens de faire pression contre les initiatives encourageant la souveraineté et la relocalisation des données de leurs citoyens, au motif que cela pourrait nuire aux entreprises technologiques états-uniennes, révèle l’agence Reuters.
Un câble du Département d’État, daté du 18 février et signé par le secrétaire d’État américain Marco Rubio, précise que de telles lois « perturberaient les flux mondiaux de données, augmenteraient les coûts et les risques liés à la cybersécurité, limiteraient l’intelligence artificielle (IA) et les services cloud, et élargiraient le contrôle gouvernemental d’une manière qui pourrait porter atteinte aux libertés civiles et permettre la censure ».
Marco Rubio y précise que l’administration Trump favorise une « politique internationale plus affirmée en matière de données » et que les diplomates doivent dès lors « s’opposer aux réglementations inutilement contraignantes, telles que les obligations de localisation des données ».
Cette décision indique que l’administration Trump revient à une approche plus conflictuelle, souligne Reuters, alors que certains pays étrangers cherchent à limiter la manière dont les entreprises de la Silicon Valley traitent et stockent les informations personnelles de leurs citoyens, des initiatives souvent qualifiées de « souveraineté des données » ou de « localisation des données ».
Un forum pour contrer le RGPD
Le câble, décrit par son titre comme une « demande d’action » (« action request » en VO), invite aussi les diplomates américains à suivre l’évolution des propositions visant à restreindre les flux transfrontaliers de données.
Il cite le RGPD comme exemple d’une règle imposant « des restrictions inutiles et contraignantes en matière de traitement des données et des exigences en matière de flux transfrontaliers de données ».
Il souligne également que la Chine « associe des projets d’infrastructure technologique attrayants à des politiques restrictives en matière de données qui renforcent son influence mondiale et son accès aux données internationales à des fins de surveillance et d’influence stratégique ».
Il fournit en outre des arguments en faveur du Global Cross-Border Privacy Rules (CBPR) Forum (forum mondial sur les règles transfrontalières en matière de protection de la vie privée en VF), créé en 2022 par les États-Unis, le Mexique, le Canada, l’Australie, le Japon, la Corée du Sud, Singapour et Taïwan « afin de soutenir la libre circulation des données et la protection efficace des données et de la vie privée à l’échelle mondiale ».
Le précédent du DSA
Le département d’État n’a pas fait de commentaire sur ce télégramme, tout en déclarant à Reuters que les États-Unis soutenaient fermement les flux transfrontaliers de données favorisant la croissance et l’innovation tout en protégeant la vie privée, la sécurité et la liberté d’expression, et que les États-Unis étaient prêts à s’associer avec les pays partageant ces objectifs.
Ce câble est la dernière d’une série d’initiatives visant à contrecarrer la réglementation européenne dans le domaine numérique, souligne Reuters, notamment en matière de modération de contenus et de responsabilités des plateformes.
L’an passé, Marco Rubio avait ainsi déjà ordonné aux diplomates de s’opposer au règlement européen sur les services numériques (DSA), qui vise à rendre Internet plus sûr en obligeant les grandes entreprises de médias sociaux à supprimer les contenus illégaux, tels que les contenus extrémistes ou pédopornographiques.
La semaine dernière, l’administration Trump avait également annoncé la prochaine mise en place de freedom.gov, un site conçu pour permettre de consulter les contenus interdits en Europe, y compris les discours de haine et la propagande terroriste.
Les initiatives en matière de souveraineté des données se sont accélérées, en particulier en Europe, relève Reuters, alors que les tensions se sont exacerbées entre les États-Unis et l’Union européenne au sujet des politiques commerciales protectionnistes de Washington et de son soutien aux partis politiques d’extrême droite.
Bert Hubert, ancien membre de l’organe de contrôle des services de renseignement néerlandais, déclare à Reuters que la méfiance croissante de l’Europe à l’égard des entreprises technologiques américaines pourrait inciter Washington à adopter une approche plus agressive :
« Alors que l’administration précédente tentait de séduire les clients européens, l’administration actuelle exige que les Européens ignorent leurs propres réglementations en matière de confidentialité des données qui pourraient entraver les activités commerciales américaines. »
Pour la troisième fois en trois mois, un rapport révèle de sérieux dysfonctionnements permettant à des acteurs malveillants, œuvrant en bonne partie depuis la Chine et Hong Kong, d’inonder les plateformes Meta de publicités malveillantes.
En novembre, une enquête révélait que Meta estimait, en interne, que les publicités frauduleuses dans leur ensemble pourraient représenter quelque 10 % de son chiffre d’affaires annuel, soit 16 milliards de dollars.
En décembre, une seconde enquête dévoilait qu’entre 2022 et 2024, les revenus publicitaires de Meta en Chine avaient plus que doublé, passant de 7,5 milliards de dollars à 18,4 milliards de dollars, pour atteindre près de 10 % du chiffre d’affaires global du groupe. Elle notait également que Shein et Temu étaient les deux plus gros clients publicitaires de Meta dans le monde en 2024, devant Amazon.
L’enquête révélait aussi et surtout que près d’une publicité sur cinq (19 %) sur Facebook, Instagram et consorts depuis la Chine, faisait la promotions d’arnaques, de jeux illégaux, ou encore de produits interdits.
Meta, qui aurait gagné près de 3 milliards de dollars en diffusant via ses systèmes publicitaires des contenus promouvant des arnaques, de la pornographie ou d’autres contenus illégaux, estimait aussi que l’équivalent du quart de toutes les publicités frauduleuses diffusées dans ses systèmes venait de Chine, pays qualifié sur certaines présentations de Meta de principal « pays exportateur d’escroqueries ».
Intitulée « The Scam Ad Machine » (la machine à publicités frauduleuses), une étude de cinq chercheurs du Gen Threat Labs publiée début février avance que près d’une publicité Meta sur trois (30,99 %) diffusée en Europe et contenant du texte publicitaire en anglais renvoie vers une arnaque, un lien frauduleux, une tentative d’hameçonnage ou un logiciel malveillant.
Ils ont également découvert que dix annonceurs seulement étaient responsables de plus de 56 % de toutes les publicités frauduleuses observées. Et qu’ils étaient associés à des systèmes de paiements et à des infrastructures communs liés à la Chine et à Hong Kong, laissant entendre qu’il s’agirait d’opérations organisées à l’échelle industrielle plutôt que d’acteurs malveillants isolés.
Si, comme l’auteur de ces lignes, vous n’aviez jamais entendu parler de Gen Threat Labs, sachez qu’il émane de Gen Digital, du nom du consortium formé par la fusion de Symantec avec Avast, en 2022, plus connu pour ses marques Norton, LifeLock, Avira, AVG, ReputationDefender et CCleaner.
« Nous disposons de l’un des plus grands réseaux de cybersécurité grand public au monde », résume Gen Digital sur son site, où elle avance bloquer plus de 27 700 attaques par minute en moyenne, en avoir bloqué plus de 4,5 milliards l’an passé, et revendique près de 500 millions d’utilisateurs.
Si les vendeurs d’antivirus et autres produits de (cyber)sécurité ont souvent intérêt à faire peur pour vendre leurs « solutions » censées protéger leurs utilisateurs, reste que leur expertise, et l’ampleur des menaces auxquelles ils sont confrontés, leur donne accès à des volumes de données que peu d’organismes peuvent traiter et analyser de la sorte.
Le malvertising représente aussi 41 % de toutes les cyberattaques…
Si la plupart des gens pensent que les cyberattaques commencent par des téléchargements douteux ou des liens suspects reçus par e-mail ou SMS, le rapport de Gen Threat Labs avance que le malvertising (publicité malveillante) « a connu un essor fulgurant, car il offre aux criminels ce que tout spécialiste du marketing recherche : une portée instantanée, un ciblage précis et à grande échelle ».
Les données de télémétrie de Gen montrent que le malvertising est même devenu « la plus grande menace pour les particuliers, représentant 41 % de toutes les cyberattaques », et ce, parce que le système publicitaire « est structurellement attrayant pour les criminels » et qu’il leur « permet d’obtenir des résultats de manière constante » :
« Sur Internet, les publicités sont discrètement devenues l’un des moyens les plus efficaces pour diffuser des arnaques, des tentatives d’hameçonnage et des logiciels malveillants. Aujourd’hui, les publicités dangereuses ne semblent pas suspectes ; elles ont l’air professionnelles, familières et semblent répondre exactement à vos besoins. Sur les réseaux sociaux, les mêmes moteurs d’optimisation conçus pour maximiser l’engagement et la conversion sont détournés de leur usage initial pour augmenter la probabilité que ces arnaques fassent plus de victimes. Et ce n’est pas un hasard. »
Les attaques reposent en outre sur « un ensemble d’outils d’ingénierie sociale qui s’intègre à tout ce à quoi les gens font déjà confiance et à quoi ils prêtent attention ». Les attaques de type « scam-yourself » (arnaque à soi-même) comme FakeCaptcha et ClickFix incitent par exemple les victimes à faire le travail de l’attaquant à sa place, en approuvant une invite du navigateur, en activant les notifications push, en copiant-collant des commandes ou en « vérifiant » quelque chose qui semble routinier.
Les notifications push du navigateur, en particulier, sont quant à elles devenues « un moyen fiable d’attirer les victimes, car un simple clic peut transformer une visite normale sur un site web en un flux persistant d’invites et de redirections frauduleuses ».
… et environ 30 % des escroqueries observées sur les réseaux sociaux
Les pirates s’inspirent également des techniques marketing légitimes, et surfent sur les tendances, exploitent l’urgence, des deepfakes et des thèmes d’actualité, en particulier dans le domaine des escroqueries liées à l’investissement et aux cryptomonnaies. Les chercheurs de Gen ont déjà documenté ce phénomène dans le cadre des campagnes CryptoCore, où des vidéos deepfake et des comptes piratés ont été utilisés pour promouvoir à grande échelle des investissements frauduleux.
Une autre tactique récurrente et efficace consiste à usurper l’identité d’une marque bien connue. Les cybercriminels achètent des publicités (y compris liées aux recherches) sur les principaux réseaux publicitaires afin de rediriger les internautes vers des sites de phishing où des logiciels malveillants sont installés dans le cadre du parcours de clic de la publicité, souvent sans que la victime ne se rende compte de ce qui s’est passé avant qu’il ne soit trop tard.
Le malvertising ne se limite pas aux recoins obscurs du web, soulignent les chercheurs du Gen Threat Labs : « même les sites web les plus fiables peuvent afficher à leur insu des publicités malveillantes, car celles-ci sont diffusées via des chaînes d’approvisionnement complexes et automatisées ».
La publicité malveillante est ainsi « devenue un moyen rapide et efficace d’escroquer et d’hameçonner les internautes », au point de représenter « environ 30 % des incidents d’escroquerie observés sur les réseaux sociaux », ce qui en fait l’une des menaces les plus courantes auxquelles les utilisateurs sont confrontés dans les flux d’actualités et les publicités.
« La transparence ne crée pas les abus, elle les révèle »
Évoquant des modes de « propagation incontrôlée » sous forme de « métastases », le rapport avance que « la publicité en ligne, qui était autrefois un outil permettant de mettre en relation les consommateurs avec des produits et des services, fait désormais partie intégrante de la surface d’attaque ».
Au deuxième trimestre 2025, note le Gen Threat Labs, Meta avait annoncé que le nombre d’utilisateurs actifs quotidiens sur l’ensemble de ses plateformes (Facebook, Instagram, Threads, WhatsApp et Messenger) avait atteint environ 3,48 milliards dans le monde.
Ce pourquoi les infrastructures frauduleuses ne fonctionnent pas en parallèle à ces plateformes, mais « opèrent à travers elles, tirant parti de leurs signaux de confiance, de leurs mécanismes d’engagement et de leurs capacités de ciblage pour se propager rapidement ».
Pour en mesurer l’ampleur, le Gen Threat Labs a utilisé l’API de transparence publicitaire de Meta, et précise que « ce travail existe parce que la réglementation a imposé la transparence », mais aussi qu’il aurait été impossible à effectuer dans d’autres marchés, pays et continents :
« Dans l’Union européenne et au Royaume-Uni, les exigences en matière de transparence publicitaire exposent le comportement des annonceurs d’une manière qui ne peut être reproduite ailleurs, ce qui permet de mesurer de manière indépendante la publicité frauduleuse à l’échelle industrielle. En l’absence d’une telle réglementation, les activités frauduleuses ne disparaissent pas, elles deviennent simplement plus difficiles à mesurer. La transparence ne crée pas les abus, elle les révèle. »
Les 10 principaux annonceurs représentent 56 % des publicités frauduleuses
Ils ont d’abord collecté, sur une période de 23 jours, 14,57 millions de publicités contenant un texte publicitaire en anglais, représentant 10,76 milliards d’impressions diffusées dans l’Union européenne et au Royaume-Uni.
Ils ont ensuite examiné ce vers quoi les utilisateurs étaient réellement redirigés, afin d’identifier les publicités renvoyant vers des infrastructures associées à des escroqueries en ligne, des campagnes de phishing, la distribution de logiciels malveillants et d’autres menaces visant les consommateurs.
« Les résultats étaient sans équivoque. 4,51 millions d’annonces dans notre ensemble de données ont été identifiées comme liées à des escroqueries, ce qui signifie que près d’une annonce sur trois (30,99 %) renvoyait vers une infrastructure frauduleuse. Au total, ces annonces frauduleuses ont généré 143,8 millions d’impressions dans l’UE et 304,11 millions d’impressions dans l’UE et au Royaume-Uni en moins d’un mois. »
Ils ont aussi découvert que des fraudeurs réutilisaient les mêmes infrastructures, des domaines identiques et des textes publicitaires presque identiques dans de nombreuses campagnes. « De l’extérieur, il semble que la lutte contre les publicités frauduleuses soit réactive », à mesure que nombre d’entre elles étaient bien « supprimées une par une, souvent à la suite de signalements ou d’examens ». D’après leurs observations, les campagnes malveillantes ne s’interrompent pas forcément pour autant :
« Nous ne pouvons pas voir les signaux de détection internes de Meta, nous nous gardons donc bien d’attribuer une intention. Mais le résultat observable est clair : les éléments constitutifs connus des escroqueries restent souvent utilisables longtemps après la suppression d’un cas particulier. »
Ils ont également découvert que les 10 principaux annonceurs frauduleux représentaient à eux seuls 56,1 % de toutes les publicités malveillantes, soit 2,53 millions de publicités uniques et 57,92 millions d’impressions : « Ces annonceurs ne sont pas des amateurs anonymes. Il s’agit d’opérateurs organisés et persévérants qui mènent des campagnes à l’échelle industrielle. »
À plusieurs reprises, la piste remontait jusqu’à des acteurs et infrastructures liés à la Chine et à Hong Kong, qui exploitaient des flopées de pages éphémères créées presque exclusivement pour diffuser des publicités.
Les noms de marques occidentales et les vitrines en anglais changeaient rapidement, tout comme les noms des responsables de ces publicités, mais « ce qui ne changeait pas, c’était le mécanisme : les mêmes domaines, les mêmes modèles d’URL et les mêmes comportements publicitaires réapparaissaient chez des annonceurs supposés sans lien entre eux ».
Il ne s’agit pas d’une modération imparfaite, mais d’un système défaillant
« Il ne s’agit pas d’une modération imparfaite », conclut le rapport : « il s’agit d’un système qui, dans la pratique, permet aux attaquants d’agir plus rapidement que les contraintes ne peuvent les suivre ».
Les auteurs annoncent vouloir revenir dans un prochain article de blog sur les techniques utilisées par les fraudeurs pour dissimuler des publicités malveillantes à la vue de tous, « notamment la manière dont ils manipulent les URL affichées, enchaînent les redirections, mélangent les liens malveillants avec des liens légitimes et exploitent les limites des outils de transparence eux-mêmes » :
« Car comprendre l’ampleur du problème n’est que la première étape. C’est en comprenant comment il persiste que l’on peut le résoudre. »
Meta est le deuxième plus gros acteur de la publicité numérique dans le monde avec 50 milliards de dollars de revenus sur le dernier trimestre 2025, rappelle Le Figaro, pour qui « la visibilité des escrocs reste toutefois limitée », les annonces frauduleuses n’étant apparues qu’environ 27 millions de fois dans le fil des utilisateurs français.
Le Figaro précise que cela ne représenterait qu’un peu moins de 3 % de l’ensemble des impressions enregistrées dans le pays, omettant cela dit de souligner que Gen Threat Labs a restreint son étude aux publicités contenant du texte publicitaire en anglais.
« On ne connaît pas le nombre de personnes qui ont vu ces arnaques. Un même contenu peut apparaître plusieurs fois dans le fil d’un même utilisateur », explique au Figaro Leyla Bilge, directrice du pôle arnaques de Gen Threat Labs, qui précise que « l’expérience n’est pas finie. Nous allons continuer à compiler les données publicitaires de Meta tant que nous n’observons pas une réduction du nombre d’arnaques ».
Interrogé par Le Figaro sur l’étude de Gen Threat Labs, le groupe américain affirme « lutter assidûment contre la fraude et les arnaques car ni nos utilisateurs, ni les annonceurs légitimes, ni Meta ne veulent voir ce type de contenus. Nous continuons également à soutenir les forces de l’ordre dans l’identification et l’arrestation des escrocs dans le monde entier ».
Un chercheur américain du Georgia Institute of Technology, David Joyner, leur a trouvé un surnom : les « végans de l’IA », résume Le Monde, qui a discuté avec des étudiants et jeunes actifs boycottant l’IA. À l’image du véganisme, précise le chercheur, les motivations chez ceux qui « adoptent un régime sans IA » sont souvent éthiques, morales et environnementales.
« Il ne m’est jamais venu à l’esprit d’utiliser l’IA », explique Charlie, 25 ans, journaliste dans une radio associative au Mans : « Avant de lire des articles ou voir des docus tout au long de 2025, il ne s’agissait pour moi que d’un délire de technocrates. J’ignorais qu’elle était entrée à ce point dans les mœurs. »
Une enquête IFOP pour Jedha AI School menée en octobre 2025 auprès d’un millier de jeunes Français âgés de 16 à 25 ans indiquait que 89 % avaient déjà utilisé Gemini, Perplexity, Grok, ChatGPT ou Claude et que près de 73 % s’en servent chaque semaine (contre respectivement 43 % et 22 % dans la population générale).
Doctorant en bio-informatique de 28 ans, Siegfried Dubois a quant à lui testé un « assistant de codage » pendant un mois, fin 2024, ce qui lui a laissé un « goût de cendres en bouche » : « La prise de conscience de l’impact environnemental, mais aussi de l’exploitation humaine à l’œuvre – dans l’annotation de données notamment [pour entraîner des algorithmes]– et le pillage de propriété intellectuelle », l’ont convaincu « de ne plus jamais recourir à ces outils », qu’il assimile à « la junk food de la pensée », résume Le Monde.
Bibliothécaire de 22 ans, Céleste Bouguyon-Williams y voit de son côté une « triste standardisation de notre monde dans lequel tout est faux : animaux, couleurs, photos… ». « Non seulement l’IA ne crée rien, mais elle détruit la pensée en fournissant un ersatz prémâché, plat et vide de sens », abonde Théophile Fenal, commissaire-priseur qui y voit « surtout un vecteur d’aliénation et d’abrutissement ».
Vétérinaire spécialisé en santé de la faune sauvage, Nathan Thenon, 29 ans, se dit « témoin des impacts des activités humaines sur la biodiversité ». Membre des « Shifters » bénévoles de Jean-Marc Jancovici, dont l’objectif est d’accélérer la transition de la France pour atteindre la neutralité carbone, il explique que « l’intensification de l’usage de l’IA et l’accroissement des besoins énergétiques et en eau pour faire fonctionner cette technologie m’empêchent de l’utiliser ».
Chercheur au Laboratoire Interdisciplinaire Sciences Innovations Sociétés (LISIS), Bilel Benbouzid, dont les travaux portent sur les conditions d’exercice du métier d’étudiant depuis l’irruption des intelligences artificielles génératives, constate pour sa part que les réfractaires sont « de plus en plus rares à l’université, même si les jeunes sont de moins en moins dupes face à ces machines ».
« Je crains de devenir dépendante, que son usage régulier me désapprenne à écrire, à faire mes recherches, à réfléchir », témoigne Chloé, traductrice en Belgique, qui craint aussi de perdre son boulot : « Dans mon organisme, l’IA est très clairement vue comme la solution d’avenir, déplore-t-elle. Personne ne l’avoue ouvertement, mais le message est clair : en cette période d’austérité, tout recrutement qui peut être évité grâce à l’IA représente une économie appréciable. Utiliser l’IA, c’est creuser sa tombe… ».
Une fois encore, le décryptage que propose John Oliver dans Last Week Tonight de ce qu’est devenu Twitter est magistral… vu de l’extérieur. Vu de l’intérieur (l’auteur de ces lignes se refuse à déserter X.com), il reste tout à fait possible de continuer à s’y informer, auprès de sources fiables et vérifiables. La démonstration de la « guerre civile » dystopique qu’y mène Musk au nom de ses convictions complotistes n’en reste pas moins implacable.
Rappelant qu’Elon Musk avait célébré son rachat de Twitter en débarquant à son QG avec un lavabo (sink, en anglais) tout en déclarant (jeu de mot) « Let that sink in! » (qu’on pourrait traduire par « je vous laisse absorber l’information ! »), Oliver montre à quel point Musk a fait de X.com un véritable tout-à-l’égout inondant ses utilisateurs conservateurs ou d’extrême droite, ainsi que l’administration Trump en particulier, d’un torrent de désinformations complotistes. Avec des morts à la clef.
Non content d’avoir viré 80 % des employés de Twitter, programmé un répondeur automatique pour renvoyer un émoji caca en réponse aux questions des journalistes, Musk a aussi réintégré les comptes préalablement bannis de Twitter pour racisme, cyberharcèlement ou conspirationisme, et remplacé les comptes préalablement certifiés par des mercenaires de l’info payés par X à l’engagement.
L’un d’entre eux reconnait d’ailleurs que ce sont les contenus les plus provocateurs qui attirent le plus de vues, et qu’y partager des infos que l’on sait être fausses et d’y provoquer les gens rapporte des milliers de dollars.
John Oliver cite notamment l’attaque au couteau de Southport, en Grande-Bretagne, attribuée à tort sur X par un compte xénophobe et islamophobe intitulé « Europe invasion » à un demandeur d’asile musulman, alors que l’assassin des trois fillettes était un adolescent britannique de 17 ans obsédé par la violence, et né au pays de Galles de parents rwandais et chrétiens.
Une fake news largement relayée et propulsée par l’extrême droite sur X.com, y compris par Elon Musk, qui avait tweeté que « la guerre civile est inévitable », qui allait entrainer 6 jours de manifestations et d’émeutes islamophobes et d’extrême droite, l’attaque de la mosquée de Southport ainsi que de nombreux musulmans et indo-pakistanais, et près de 200 condamnations d’émeutiers.
John Oliver cite également une « enquête » vidéo de 42 minutes de Nick Sherley, un « influenceur » complotiste, elle aussi boostée par l’algorithme de X.com au point d’avoir totalisé plus de 140 millions de vues, qui prétendait avoir découvert que les garderies du Minnesota gérées par des Somaliens détournaient plus de 110 millions de dollars « en un jour ».
Après avoir visité plusieurs garderies de sorte de vérifier qu’elles accueillaient bien des bébés et jeunes enfants, il en avait conclu qu’elles étaient fermées ou inactives… sans comprendre qu’elles étaient bien évidemment et tout simplement « fermées au public ».
Ce qui n’empêcha pas l’administration de profiter de son « enquête » pour geler le financement des centres de garde d’enfants dans le Minnesota, mais également d’y renforcer la présence du département américain de la Sécurité intérieure puis de l’ICE, dont l’opération Metro Surge allait entraîner l’arrestation de 3 000 immigrés (ou supposés tels), ainsi que les meurtres de Renée Good et Alex Pretti. What could possibly go wrong went wrong.
Connexion
