Des millions de photos d’utilisateurs d’OkCupid ainsi que de nombreuses autres données ont servi à entraîner des modèles de reconnaissance faciale, en totale infraction avec la politique de confidentialité du site de rencontres. Mais cela ne l’a pas empêché de livrer ces informations à Clarifai, une société IA spécialisée dans les technologies de reconnaissance faciale.

Fin mars, OkCupid concluait un accord avec le régulateur états-unien du commerce, la FTC (Federal Trade Commission). Le site et sa maison mère Match — qui opère également Tinder — s’engagent à ne plus induire en erreur leurs utilisateurs sur l’usage des données personnelles, rapporte Reuters. Une entente à l’amiable qui n’implique pas de sanction financière, la FTC n’ayant pas ce pouvoir.

L’affaire remonte à 2014. Clarifai, une société IA dont des dirigeants d’OkCupid sont actionnaires, demande au site de rencontres un accès aux photos et données de ses utilisateurs. « Nous collectons des données en ce moment, et nous venons de réaliser qu’OkCupid doit disposer d’une ÉNORME quantité de données idéales pour ça », lit-on dans un courriel du fondateur de Clarifai Matthew Zeiler à Maxwell Khron, cofondateur d’OkCupid. 

Ce transfert de données enfreint la politique de confidentialité d’OkCupid ainsi qu’une loi fédérale interdisant les pratiques commerciales trompeuses… mais qu’à cela ne tienne, il a bien lieu. Ce sont 3 millions de photos d’utilisateurs du site ainsi que des données démographiques et de localisation qui sont fournies à Clarifai pour entraîner des modèles de reconnaissance faciale. Le tout sans restrictions sur l’usage de ces informations, et sans informer les utilisateurs ni leur permettre de s’y opposer.

La FTC a ouvert une enquête en 2019, qui a débouché sur cet accord. Clarifai, qui ne faisait l’objet d’aucune accusation, a affirmé avoir supprimé les données reçues d’OkCupid… douze ans après les faits.

Clarifai, qui travaille pour le compte de plusieurs clients, dont l’armée US, n’a pas répondu aux demandes de commentaires concernant le nombre de modèles supprimés ni la durée de leur utilisation.

• Les données des applications de rencontre achetées pour débusquer les prêtres gays

Une trentaine de plugins WordPress ont été compromis et ajoutaient une porte dérobée permettant à un malandrin de prendre le contrôle des sites web. L’originalité de cette attaque, si on peut dire, est que les plugins en question ont été vérolés après leur acquisition par un tiers malveillant.

EssentialPlugin, une entreprise indienne fondée en 2015 sous le nom WP Online Support, a développé au fil des ans plus de 30 plugins pour WordPress. Parmi ces extensions se trouvent des utilitaires simples et pratiques pour les créateurs de sites web sous WordPress : comptes à rebours (pour une promo, par exemple), carrousels, lecteurs audio/vidéo, FAQ, galeries photos, portfolios… Certains de ces plugins comptent des dizaines et mêmes des centaines de milliers d’installations.

Après une sévère chute des revenus fin 2024, l’entreprise a été mise en vente sur la plateforme Flippa, spécialisée dans l’achat et la vente de sites web et d’entreprises en ligne. Un acheteur, connu sous le nom de « Kris », s’est porté acquéreur d’EssentialPlugin pour une somme à 6 chiffres, d’après la chronologie d’Austin Ginder.

En mai 2025, le compte développeur d’EssentialPlugin sur WordPress.org change de main, et en août la version 2.6.7 de l’extension Countdown Timer Ultimate est publiée. Officiellement, il s’agit d’ajouter la compatibilité avec WordPress 6.8.2. Mais en sous main, le nouveau propriétaire a ajouté une porte dérobée. Les autres plugins sont également affectés, avec des numéros de version différents mais un mécanisme similaire. La charge en elle-même est dormante pendant 8 mois, puis s’active le 5 avril.

L’attaque ne perturbe pas le fonctionnement des sites, mais elle les transforme en relais discrets de spams SEO via une injection de code dans le fichier critique wp-config.php. Cela se concrétise par l’ajout de pages, de liens et de redirections frauduleuses, du contenu malveillant invisible pour l’administrateur, mais visible par Google.

Les conséquences pour les admins des sites sont sérieuses, cela va de la dégradation du référencement au risque d’alerte de sécurité dans les navigateurs voire une perte de crédibilité si du contenu frauduleux est détecté. Non seulement le nettoyage du site infecté est complexe (une simple mise à jour du plugin ne suffit pas), mais en plus l’infrastructure pirate est difficile à bloquer. Le serveur C2, l’infrastructure utilisée par les pirates pour piloter le malware à distance, changeait dynamiquement d’adresse en s’appuyant sur la blockchain Ethereum. Ils pouvaient ainsi la modifier à volonté.

L’équipe Plugins de WordPress.org ne tarde heureusement pas à réagir et dès le 7 avril, elle bloque les plugins de l’éditeur EssentialPlugin. Mais il n’existe pas de mécanisme pour signaler les transferts de propriété, ce qui permettrait aux utilisateurs de plugins d’être au minimum informés. Austin Ginder propose aux administrateurs des sites web touchés une méthode à base de Claude Code pour supprimer les modules vérolés.

Ce mode opératoire — le rachat d’un plugin WordPress par un tiers malveillant — n’est pas une nouveauté malheureusement. Cela a déjà été le cas avec Widget Logic, une autre extension légitime et bien connue qui a changé de mains… et dont le nouveau propriétaire en a profité pour ajouter du code vérolé.

• WordPress : pendant plus d’un an, une faille de WPForms permettait de rembourser des achats

The Onion a peut-être finalement trouvé un plan pour prendre le contrôle d’InfoWars, après une longue bataille de prétoires. Le célèbre site satirique américain s’était porté acquéreur du média complotiste suite à la banqueroute de son principal animateur d’extrême-droite, Alex Jones, en 2022. Ce dernier avait faussement affirmé que la tuerie de l’école Sandy Hook en 2012 — 20 morts, dont 14 enfants — était un hoax, un canular. 

Les parents ont porté plainte, et remporté leur combat : d’abord en 2022 donc, avec une condamnation de 50 millions de dollars contre Jones, puis de 1,4 milliard de dollars dans le cadre d’une deuxième plainte pour diffamation, la sanction la plus élevée jamais prononcée dans ce genre de dossier.

Il y a deux ans, le juge chargé de la gestion de la faillite a organisé une vente aux enchères pour les actifs d’Alex Jones. Parmi lesquels InfoWars, site web créé en 1999 et robinet à théories du complot farfelues, entrecoupées de téléshopping de produits plus que douteux. Global Tetrahedron, la maison mère de The Onion, s’est proposée et sa proposition a été retenue, grâce à l’appui de l’administrateur judiciaire et des familles des victimes.

Mais l’affaire s’est ensuite enlisée dans une série de recours et de décisions contradictoires, qui ont repoussé l’issue du dossier. The Onion a finalement trouvé une solution : obtenir une licence d’exploitation d’InfoWars auprès de l’administrateur judiciaire. Selon le New York Times, Global Tetrahedron verserait 81 000 dollars par mois pendant six mois pour exploiter le site web et les actifs associés dans le cadre de l’accord. Alex Jones pourrait aussi perdre l’accès à son studio et à son matériel. La période initiale peut être renouvelée une fois. La juge en charge du dossier doit encore donner son accord, et Alex Jones peut toujours faire appel de cette décision.

• https://next.ink/189442/transphobie-ces-desinformateurs-francais-qui-sappuient-sur-des-reseaux-internationaux/

Ça n’a pas empêché The Onion de sabrer le champagne, en dévoilant un nouveau logo pour InfoWars (avec le logo de l’oignon à la place du « o ») et une nouvelle orientation : un site satirique qui fait écho aux théories complotistes, fonds de commerce d’Alex Jones. L’humoriste Tim Heidecker est aux commandes et il a bien l’intention de parodier le « style » du site.

« Je me suis dis que ce serait une belle blague si nous pouvions prendre cette force toxique, négative et destructrice qu’est InfoWars pour la transformer en un merveilleux espace de créativité », a-t-il déclaré. « Nous sommes ravis de mentir en permanence pour de l’argent sonnant et trébuchant », rigole Ben Collins, le directeur général de Global Tetrahedron, « mais cette fois de manière cool. Et nous veillerons à ce qu’une partie revienne aux familles ».

Les quelque 486 000 dollars de la licence pour les six premiers mois ainsi qu’une partie du produit de la vente de sacs et d’autres produits aux couleurs désormais arc-en-ciel d’InfoWars seront très loin d’éponger le passif d’Alex Jones. Mais le plus important est ailleurs : « L’objectif des familles […] a toujours été d’empêcher Alex Jones de pouvoir nuire à grande échelle », explique l’avocat Chris Mattei qui a plaidé le dossier pour des familles de victimes. Cet accord avec The Onion va permettre de réduire « considérablement » sa capacité de nuire.

• Une influenceuse complotiste pro-Trump alimente la purge des services de renseignement US

Avec plus de trois milliards d’utilisateurs, WhatsApp est évidemment un énorme poids lourd de la messagerie que Meta entend bien rentabiliser autant que possible. Au tout début de l’application, elle était facturée 0,99 euro à l’année, mais suite à son acquisition en 2014 par le géant des réseaux sociaux, la gratuité s’est imposée.

Pour gagner de l’argent, WhatsApp a mis en place une batterie de services payants pour les entreprises, afin qu’elles puissent envoyer des messages à leurs clients et intégrer l’application à leurs systèmes (CRM, service client, etc.). Sur le versant grand public, la messagerie tente des choses comme des paiements intégrés en Inde ou des discussions avec des marques pour en savoir plus sur tel ou tel produit.

Autre vecteur de revenus : la bonne vieille publicité classique dont Meta est le champion. Si WhatsApp a longtemps échappé aux annonces – Jan Koum et Brian Acton, les deux fondateurs, y étaient farouchement opposés –, ce n’est plus le cas depuis juin dernier. Pas dans les discussions, mais dans les chaînes et les statuts.

Meta expérimente une nouvelle approche : un abonnement payant. Le site WABetaInfo, qui adore fouiner dans le code des bêtas de l’application, a débusqué une formule baptisée WhatsApp Plus. Contre 2,49 euros par mois (le prix n’est pas définitif), l’utilisateur accède à plusieurs outils de personnalisation, du « contenu exclusif » et des fonctions supplémentaires.

Vu le prix demandé, cela reste des nouveautés surtout cosmétiques, comme des autocollants premium, de nouveaux thèmes de couleur (18 pour le moment) qui changent du sempiternel vert, des icônes exclusives pour l’application, des sonneries supplémentaires, la possibilité d’appliquer les mêmes réglages à plusieurs conversations, et peut-être la plus intéressante du lot : 20 épingles pour accrocher autant de discussions sur la page d’accueil de l’app. Par défaut, c’est trois.

D’autres fonctions exclusives à cet abonnement sont dans les tuyaux de WhatsApp, affirme le site. À l’heure actuelle, une poignée d’utilisateurs de l’application peuvent souscrire. « WhatsApp teste actuellement un nouvel abonnement optionnel appelé WhatsApp Plus, destiné aux utilisateurs qui souhaitent davantage d’options pour organiser et personnaliser leur expérience », confirme Meta auprès de TechCrunch. Pas un mot sur l’expansion globale de cette nouveauté.

Cet abonnement ne permettra pas de supprimer la publicité dans WhatsApp. C’est en fait le décalque d’Instagram Plus, un abonnement payant aux alentours de 2 dollars par mois, également testé depuis le mois de mars. Un de ses principaux privilèges est la possibilité de consulter une Story sans que le créateur ne le sache, et d’étendre la durée d’une Story de 24 heures supplémentaires.

Au chapitre des abonnements payants, Meta propose également une formule Meta Verified destinée aux créateurs, et qui contient des outils supplémentaires ainsi qu’un badge « vérifié ». L’entreprise avait aussi tenté des accès payants à Instagram et à Facebook dans l’Union européenne, pour supprimer les publicités sur ces deux réseaux sociaux. Une amende à 200 millions d’euros plus tard, le groupe a changé son fusil d’épaule en laissant finalement aux utilisateurs européens le choix de partager ses données personnelles pour obtenir des publicités ciblées, ou en partager moins pour des pubs plus génériques.

Ne l’appelez plus UFC-Que Choisir. L’association indépendante de défense des consommateurs, qui fête ses 75 ans, change de nom et devient Que Choisir Ensemble. Exit l’Union fédérale des consommateurs (UFC), le bureau d’études créé en 1951. La mission, elle, ne change pas.

« C’est tous ensemble que nous obtenons des résultats », affirme Marie-Amandine Stévenin, présidente de l’organisation, auprès de Ouest-France. Le changement de nom sera effectif le 22 avril, dans l’objectif de « mieux refléter ce que nous sommes devenus : entre la presse, le plaidoyer, les actions judiciaires, les bénévoles, notre force, c’est d’être nombreux avec 110 000 à 120 000 adhérents ». 

Que Choisir Ensemble, qui compte 4 600 bénévoles et 126 associations locales, est « un contre-pouvoir indépendant, du côté des consommateurs », affirme-t-elle. Le nouveau nom est l’occasion pour l’association d’ouvrir sa gouvernance « aux représentants des abonnés, des unions régionales et des personnalités qualifiées », en plus des représentants des associations locales et des salariés élus. Le nombre de mandats sera également limité à trois, dont deux comme titulaire : « Un président ne pourra donc rester en poste que six ans. »

Les combats sont nombreux, par exemple sur le droit d’usage dans le temps des jeux vidéo ou les forfaits « sans condition de durée » chez SFR. Que Choisir Ensemble veut donner la priorité cette année au logement. Les élections des représentants des locataires chez les bailleurs sociaux sont prévues pour 2026, « nous souhaitons être pleinement mobilisés aux côtés des locataires ». Au-delà des grandes causes, les associations locales aident à résoudre quelque 90 000 litiges du quotidien chaque année.

Ce changement de nom intervient à un moment délicat pour les revues Que Choisir, principale activité et vitrine de l’association dont les mots d’ordre sont « informer, représenter et défendre les consommateurs, en toute indépendance ». Les ventes en kiosque ont fortement reculé, « comme toute la presse », explique la présidente. La publication tient notamment grâce aux abonnés, l’essentiel du lectorat : « au total, notre diffusion mensuelle est de 350 000 exemplaires ».

Que Choisir Ensemble risque de se retrouver bien seul sur ce créneau : le concurrent 60 Millions de consommateurs est plongé dans l’incertitude suite à la liquidation de l’Institut national de la consommation fin mars, qui dépendait de l’État. Que Choisir Ensemble n’est pour le moment pas candidat à la reprise du magazine, puisque « nous ne savons pas ce qu’il y a à vendre », les comptes n’ont pas été publiés et la salle de données (archives, bases de données éditoriales…) n’est pas ouverte.

L’organisation a également lancé un nouveau service gratuit, Que Choisir Réclamations, pour interpeller directement les professionnels dans les litiges de consommation (finance, transports, télécommunication…). La plateforme s’appuie sur une base de données de plus de 250 entreprises, ouverte à tous les utilisateurs qu’ils soient adhérents, abonnés ou non.