Une porte dérobée... juridique

Initialement promu par Nicolas Sarkozy, le méga « fichier des gens honnêtes » centralisant les données personnelles, photos de visages et empreintes digitales des demandeurs de passeport et de carte nationale d’identité ne devait pouvoir être utilisé que par certains agents de services de renseignement. La Quadrature du Net a découvert qu’il était régulièrement employé par la police judiciaire.

La Quadrature du Net (LQDN) vient de saisir la CNIL après avoir recueilli des témoignages et « preuves formelles » indiquant que la police judiciaire « détourne le fichier des passeports et des cartes d’identité » afin d’y récupérer des empreintes digitales et photographies « par un contournement de la loi ».

La genèse de ce fichier des titres électroniques sécurisés (TES), centralisant les données (y compris biométriques) recueillies lors des demandes de passeport et de cartes nationales d’identité (CNI) remonte aux attentats de 2001. Entre autres mesures sécuritaires adoptées dans la foulée, les autorités états-uniennes imposèrent à leurs pays amis d’inclure une puce RFiD sans contact dans leurs passeports, ce qui fut fait, en France, fin 2005.

Afin de se conformer à un règlement européen, de faciliter les démarches administratives et de lutter contre la « fraude documentaire », rappelle LQDN, l’image numérisée du visage et des empreintes digitales furent ajoutées au sein de la puce à partir de 2008.

Ce qui était initialement présenté comme un « passeport électronique » devenait dès lors biométrique, et les photos d’identité et empreintes associées furent elles aussi versées au fichier centralisant les données contenues dans le passeport, en dépit d’un avis défavorable de la CNIL.

Dans sa délibération, elle relevait en effet que « même si le ministère de l’Intérieur […] s’engage à préciser aux termes du projet de décret qu’il ne sera pas possible de procéder à une recherche en identification à partir de l’image numérisée des empreintes digitales et que le système envisagé ne comportera pas de dispositif de reconnaissance faciale à partir de l’image numérisée de la photographie, la conservation dans une base centrale des images numérisées du visage et des empreintes digitales semble disproportionnée ».

Une atteinte disproportionnée au respect de la vie privée

En 2012, une proposition de loi relative à la protection de l’identité, soutenue par Claude Guéant, alors ministre de l’Intérieur de Nicolas Sarkozy, était adoptée afin d’insérer une puce électronique sécurisée dans les cartes nationales d’identité contenant ces mêmes identifiants biométriques.

Elle visait aussi à permettre expressément aux agents chargés des missions de recherche et de contrôle de l’identité des personnes d’y accéder et à des officiers de police judiciaire de pouvoir utiliser le fichier « pour identifier une personne à partir de ses empreintes digitales sans l’assentiment de la personne dont les empreintes sont recueillies ».

Afin de lutter contre l’usurpation d’identité (un phénomène très largement survendu par les industriels, comme l’avait démontré un Cash Investigation consacré au « Business de la peur » et auquel avait participé l’auteur de cet article), le projet de loi voulait créer un « fichier des gens honnêtes » (sic) permettant d’identifier les éventuels usurpateurs. 

Le fichier TES centralisait à l’époque les données biométriques d’environ 6,5 millions de personnes. Or, le Conseil constitutionnel censura (.pdf) ces aspects-là de la loi au motif qu’ils étaient disproportionnés eu égard à l’objectif initial de délivrance des passeports. Les Sages relevaient en effet que, du fait de l’extension du fichier aux détenteurs de cartes nationales d’identité, le fichier TES avait vocation à centraliser les données biométriques de 45 à 60 millions de personnes :

« Compte tenu des quatre caractéristiques du dispositif décrites ci-dessus (ampleur du fichier, sensibilité des données, caractéristiques techniques permettant l’identification à partir des données biométriques et finalités de police administrative ou judiciaire autres que celles nécessaires à la délivrance ou au renouvellement des titres d’identité et de voyage et à la vérification de l’identité du possesseur d’un tel titre) l’instauration d’un tel traitement de données à caractère personnel portait une atteinte au respect de la vie privée qui ne pouvait être regardée comme proportionnée au but poursuivi. »

Ficher toute la population pour supprimer quelques dizaines de postes de fonctionnaires

En 2016, comme Next l’avait alors révélé, Bernard Cazeneuve, ministre de l’Intérieur du gouvernement de Manuel Valls, légalisait, un dimanche matin du week-end de la Toussaint, le versement des données personnelles des demandeurs de cartes d’identité dans le fichier TES, dont leurs photos et empreintes digitales. Et ce, en dépit de la précédente censure du Conseil constitutionnel, et de l’avis là encore négatif de la CNIL.

• Au Journal officiel, un fichier biométrique de 60 millions de « gens honnêtes »

Si cette dernière estimait les finalités justifiées, elle déplorait de voir « réunir au sein d’un même fichier des données biométriques, en particulier les images numérisées des empreintes digitales et de la photographie de l’ensemble des demandeurs de cartes nationales d’identité et de passeports », soit « la quasi-totalité de la population française », représentant « un changement d’ampleur et, par suite, de nature, considérable ».

Un fichage généralisé d’autant plus disproportionné que cette centralisation de nos données (y compris biométriques) d’identité était justifiée par le fait d’économiser quelques dizaines voire centaines d’équivalents temps plein. À l’époque, sous couvert de numérisation des procédures administratives, cette bascule avait été motivée au nom d’un plan « préfectures nouvelle génération » (PPNG) visant notamment à mettre fin à l’ancien fichier national de gestion (FNG) des CNI qui, au format papier, nécessitait de payer des gens pour archiver les cartons.

La Quadrature rappelle que de nombreuses institutions comme la CNIL, l’ANSSI, l’Inria ou le Conseil national du numérique « avaient vertement critiqué ce choix, pointant les risques de la centralisation inédite d’informations liées à l’identité, et en particulier les données biométriques, de quasiment toute la population ».

• Les points noirs du fichier TES épinglés par le rapport ANSSI et DINSIC
• Fichier TES : de sa publication au Journal officiel à sa validation par le Conseil d’Etat

L’enregistrement du visage de l’ensemble de la population n’a plus de justification

Dans la « plainte contre la technopolice » qu’elle avait déposée pour dénoncer l’illégalité de ce fichier au nom de plus de 15 000 personnes auprès de la CNIL en 2022 (et qui est toujours en instruction), l’ONG rappelait qu’en 2016, « le gouvernement avait justifié le fichage de l’ensemble de la population en mettant en avant des risques de fraude au moment du renouvellement des passeports et des cartes d’identité », mais que ce n’était plus le cas depuis :

« Ce risque, qui était déjà extrêmement faible en 2016, a entièrement disparu depuis qu’une puce – qui contient le visage et les empreintes – est désormais présente sur les passeports et permet de remplir la même fonction de façon décentralisée. L’enregistrement du visage de l’ensemble de la population dans le fichier TES n’a plus aucune justification : il est donc illégal et doit être supprimé avant d’être dévoyé par la police pour d’autres usages abusifs. »

• La Quadrature du Net porte plainte contre la « technopolice » du ministère de l’Intérieur

Concrètement, la police contourne l’interdiction d’accéder au TES

La Quadrature a en outre récemment découvert que si, « techniquement et légalement, un simple officier de police judiciaire ne peut pas avoir accès au fichier TES », le ministère de l’Intérieur « a laissé s’installer une pratique qui permet de contourner les interdictions d’accès aux données du TES, et ce, sans aucune restriction et pour n’importe quel type d’affaire ».

Le décret de 2016 prévoit en effet que seuls certains agents individuellement nommés et « chargés des missions de prévention et de répression des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme », et donc travaillant pour des services de renseignement, puissent interroger et consulter le fichier.

Or, relève LQDN, les officiers de police judiciaire (OPJ) peuvent « exiger de toute entité publique ou privée de leur fournir les informations qu’elles possèdent et qui seraient utiles pour une enquête ». Ce mécanisme des « réquisitions » judiciaires prévu par le code de procédure pénale permet aux OPJ, sur autorisation du procureur de la République, d’exiger de toute entité publique ou privée de leur fournir les informations qu’elles possèdent et qui seraient utiles pour une enquête, souligne l’ONG :

« C’est ainsi que la police peut, par exemple, récupérer les enregistrements de vidéosurveillance d’un magasin ou les données personnelles d’une personne précise que détiendrait une banque, la SNCF, un réseau social ou encore la CAF. Ces acteurs sont obligés de répondre sous peine d’une amende de 3 750 euros. »

LQDN a découvert que pour accéder au TES, des OPJ ont adressé des demandes à des employés de l’Agence nationale des titres électroniques (ANTS) ou des « Centres d’expertise et de ressources titres » (CERT) chargés, au sein des (sous-)préfectures, d’instruire les dossiers de demandes de titres :

« La police n’interroge donc pas directement le fichier TES. Concrètement, elle contourne l’interdiction qui lui est faite de piocher dans le fichier TES en adressant des réquisitions à ceux qui y ont accès. Détournant la procédure, elle s’arroge ainsi un pouvoir de consultation du fichier qui lui est normalement interdit. »

Ce faisant, les OPJ peuvent recueillir des identités, adresses postales, photographies et empreintes digitales figurant dans le fichier, quand bien même ce dernier n’est pas censé le leur permettre, même et y compris à partir d’une image issue du système de vidéosurveillance des locaux de garde à vue, comme le montre l’un des documents obtenus par LQDN.

De l’identification de terroristes à celle d’une manifestante

Le Monde rappelle qu’il était bien prévu que des services de police puissent accéder aux informations contenues dans le fichier, mais dans certaines situations seulement, telles que des « atteintes aux intérêts de la nation et des actes de terrorisme » ou « dans le cadre de collaborations avec Interpol ».

Or, la procédure a par exemple été utilisée en 2023 pour identifier une manifestante poursuivie pour des faits de dégradations et de rébellion, plusieurs fois interpellée, mais qui refusait de décliner son identité, avant de s’identifier sous un faux nom.

Les documents que Le Monde a pu vérifier montrent que la police judiciaire a d’abord eu recours au fichier TES pour obtenir « toutes les informations relatives à son véritable porteur, dont sa photographie et ses empreintes digitales », et confirmer qu’elle leur avait confié une fausse identité.

La police a ensuite planqué et procédé à une filature pour parvenir à localiser le logement de la manifestante, recueilli une liste de noms figurant sur la boîte aux lettres, et transmis une réquisition à un CERT afin d’obtenir leurs états civils et photos, et donc la véritable identité de la manifestante.

Interrogée par Le Monde, la police nationale confirme que « les enquêteurs n’ont pas un accès direct au TES lui-même, mais peuvent, sur réquisition judiciaire, pour identifier des mis en cause, interroger l’ANTS ». Sous couvert d’anonymat, un OPJ qui recourt régulièrement à cette procédure précise au Monde qu’elle ne leur a jamais été formellement interdite.

Il est possible de refuser de verser ses empreintes au TES, pas de les y effacer

Le Monde relève en outre que, dans son rapport 2016 (.pdf), la CNIL avait déploré que « les risques de mésusage des données n’étaient pas suffisamment pris en compte, qu’il s’agisse de l’utilisation du système à des fins de reconnaissance faciale, qui n’est pas interdite en l’état du texte, ou encore du risque de consultation massive des données enregistrées dans le traitement dans le cadre de réquisitions judiciaires ».

En 2021, à l’occasion du lancement de la carte nationale d’identité électronique (CNIe), la CNIL avait recommandé « non seulement de chiffrer les données biométriques en base, ce qui a été mis en œuvre par le ministère, mais aussi de confier les moyens de déchiffrement à un tiers de sorte que ni le ministère ni l’autorité tierce ne puisse, seule, avoir les moyens de déchiffrer les données pour répondre aux réquisitions judiciaires ».

Or, comme nous l’avions à l’époque relevé, « cette seconde partie de la recommandation ne semble ni mise en œuvre par le ministère à ce stade ni prévue dans le plan d’action », alors qu’elle permettrait à la fois de relever le niveau de sécurité des données et de protection de la vie privée, ainsi que de limiter le risque que le traitement soit transformé en une base d’identification des individus.

• La CNIL retoque (encore) le méga-fichier biométrique des « gens honnêtes »

Pour La Quadrature, cette façon détournée d’accéder aux données figurant dans le fichier TES par les OPJ est révélatrice d’un « phénomène plus large : celui de l’échange débridé et démesuré des données » au nom du droit de « réquisition » (ou de « communication » quand il s’agit d’administrations fiscales ou sociales), qui permet à des organismes de sécurité sociale – CAF, Assurance Maladie… – de récupérer le détail des comptes bancaires, et à la police de demander des factures d’électricité :

« Or, cette possibilité très large de se voir transmettre des informations s’est construite sans prise en compte des règles de protection des données spécifiques à chaque traitement. Elle n’est guidée que par une logique d’efficacité supposée, réduisant le respect des droits fondamentaux à l’état de vulgaires obstacles à dépasser ou à contourner. […] À l’heure où tout est informatisé et où la quantité de données communicables est immense, il est nécessaire de questionner profondément ce mécanisme, source d’abus et d’excès. »

Dans sa fiche dédiée au fichier TES, la CNIL rappelle de son côté que s’il n’est pas possible de refuser la numérisation de ses empreintes digitales lors d’une demande de passeport ou de CNI, « en revanche, il est possible pour la personne concernée de demander à ce que l’image numérisée de ses empreintes ne soit pas conservée dans le traitement au-delà d’un délai de quatre-vingt-dix jours à compter de la date de délivrance du titre ou de la date de refus de cette délivrance par le service instructeur, la copie sur papier des empreintes étant alors conservée par l’Agence nationale des titres sécurisés pour une durée de quinze ans ».

Par contre, « lorsque les informations sont enregistrées, il n’est pas possible par la suite de s’opposer à leur traitement ni d’en demander l’effacement, y compris pour les empreintes digitales ».

Une porte dérobée... juridique

Initialement promu par Nicolas Sarkozy, le méga « fichier des gens honnêtes » centralisant les données personnelles, photos de visages et empreintes digitales des demandeurs de passeport et de carte nationale d’identité ne devait pouvoir être utilisé que par certains agents de services de renseignement. La Quadrature du Net a découvert qu’il était régulièrement employé par la police judiciaire.

La Quadrature du Net (LQDN) vient de saisir la CNIL après avoir recueilli des témoignages et « preuves formelles » indiquant que la police judiciaire « détourne le fichier des passeports et des cartes d’identité » afin d’y récupérer des empreintes digitales et photographies « par un contournement de la loi ».

La genèse de ce fichier des titres électroniques sécurisés (TES), centralisant les données (y compris biométriques) recueillies lors des demandes de passeport et de cartes nationales d’identité (CNI) remonte aux attentats de 2001. Entre autres mesures sécuritaires adoptées dans la foulée, les autorités états-uniennes imposèrent à leurs pays amis d’inclure une puce RFiD sans contact dans leurs passeports, ce qui fut fait, en France, fin 2005.

Afin de se conformer à un règlement européen, de faciliter les démarches administratives et de lutter contre la « fraude documentaire », rappelle LQDN, l’image numérisée du visage et des empreintes digitales furent ajoutées au sein de la puce à partir de 2008.

Ce qui était initialement présenté comme un « passeport électronique » devenait dès lors biométrique, et les photos d’identité et empreintes associées furent elles aussi versées au fichier centralisant les données contenues dans le passeport, en dépit d’un avis défavorable de la CNIL.

Dans sa délibération, elle relevait en effet que « même si le ministère de l’Intérieur […] s’engage à préciser aux termes du projet de décret qu’il ne sera pas possible de procéder à une recherche en identification à partir de l’image numérisée des empreintes digitales et que le système envisagé ne comportera pas de dispositif de reconnaissance faciale à partir de l’image numérisée de la photographie, la conservation dans une base centrale des images numérisées du visage et des empreintes digitales semble disproportionnée ».

Une atteinte disproportionnée au respect de la vie privée

En 2012, une proposition de loi relative à la protection de l’identité, soutenue par Claude Guéant, alors ministre de l’Intérieur de Nicolas Sarkozy, était adoptée afin d’insérer une puce électronique sécurisée dans les cartes nationales d’identité contenant ces mêmes identifiants biométriques.

Elle visait aussi à permettre expressément aux agents chargés des missions de recherche et de contrôle de l’identité des personnes d’y accéder et à des officiers de police judiciaire de pouvoir utiliser le fichier « pour identifier une personne à partir de ses empreintes digitales sans l’assentiment de la personne dont les empreintes sont recueillies ».

Afin de lutter contre l’usurpation d’identité (un phénomène très largement survendu par les industriels, comme l’avait démontré un Cash Investigation consacré au « Business de la peur » et auquel avait participé l’auteur de cet article), le projet de loi voulait créer un « fichier des gens honnêtes » (sic) permettant d’identifier les éventuels usurpateurs. 

Le fichier TES centralisait à l’époque les données biométriques d’environ 6,5 millions de personnes. Or, le Conseil constitutionnel censura (.pdf) ces aspects-là de la loi au motif qu’ils étaient disproportionnés eu égard à l’objectif initial de délivrance des passeports. Les Sages relevaient en effet que, du fait de l’extension du fichier aux détenteurs de cartes nationales d’identité, le fichier TES avait vocation à centraliser les données biométriques de 45 à 60 millions de personnes :

« Compte tenu des quatre caractéristiques du dispositif décrites ci-dessus (ampleur du fichier, sensibilité des données, caractéristiques techniques permettant l’identification à partir des données biométriques et finalités de police administrative ou judiciaire autres que celles nécessaires à la délivrance ou au renouvellement des titres d’identité et de voyage et à la vérification de l’identité du possesseur d’un tel titre) l’instauration d’un tel traitement de données à caractère personnel portait une atteinte au respect de la vie privée qui ne pouvait être regardée comme proportionnée au but poursuivi. »

Ficher toute la population pour supprimer quelques dizaines de postes de fonctionnaires

En 2016, comme Next l’avait alors révélé, Bernard Cazeneuve, ministre de l’Intérieur du gouvernement de Manuel Valls, légalisait, un dimanche matin du week-end de la Toussaint, le versement des données personnelles des demandeurs de cartes d’identité dans le fichier TES, dont leurs photos et empreintes digitales. Et ce, en dépit de la précédente censure du Conseil constitutionnel, et de l’avis là encore négatif de la CNIL.

• Au Journal officiel, un fichier biométrique de 60 millions de « gens honnêtes »

Si cette dernière estimait les finalités justifiées, elle déplorait de voir « réunir au sein d’un même fichier des données biométriques, en particulier les images numérisées des empreintes digitales et de la photographie de l’ensemble des demandeurs de cartes nationales d’identité et de passeports », soit « la quasi-totalité de la population française », représentant « un changement d’ampleur et, par suite, de nature, considérable ».

Un fichage généralisé d’autant plus disproportionné que cette centralisation de nos données (y compris biométriques) d’identité était justifiée par le fait d’économiser quelques dizaines voire centaines d’équivalents temps plein. À l’époque, sous couvert de numérisation des procédures administratives, cette bascule avait été motivée au nom d’un plan « préfectures nouvelle génération » (PPNG) visant notamment à mettre fin à l’ancien fichier national de gestion (FNG) des CNI qui, au format papier, nécessitait de payer des gens pour archiver les cartons.

La Quadrature rappelle que de nombreuses institutions comme la CNIL, l’ANSSI, l’Inria ou le Conseil national du numérique « avaient vertement critiqué ce choix, pointant les risques de la centralisation inédite d’informations liées à l’identité, et en particulier les données biométriques, de quasiment toute la population ».

• Les points noirs du fichier TES épinglés par le rapport ANSSI et DINSIC
• Fichier TES : de sa publication au Journal officiel à sa validation par le Conseil d’Etat

L’enregistrement du visage de l’ensemble de la population n’a plus de justification

Dans la « plainte contre la technopolice » qu’elle avait déposée pour dénoncer l’illégalité de ce fichier au nom de plus de 15 000 personnes auprès de la CNIL en 2022 (et qui est toujours en instruction), l’ONG rappelait qu’en 2016, « le gouvernement avait justifié le fichage de l’ensemble de la population en mettant en avant des risques de fraude au moment du renouvellement des passeports et des cartes d’identité », mais que ce n’était plus le cas depuis :

« Ce risque, qui était déjà extrêmement faible en 2016, a entièrement disparu depuis qu’une puce – qui contient le visage et les empreintes – est désormais présente sur les passeports et permet de remplir la même fonction de façon décentralisée. L’enregistrement du visage de l’ensemble de la population dans le fichier TES n’a plus aucune justification : il est donc illégal et doit être supprimé avant d’être dévoyé par la police pour d’autres usages abusifs. »

• La Quadrature du Net porte plainte contre la « technopolice » du ministère de l’Intérieur

Concrètement, la police contourne l’interdiction d’accéder au TES

La Quadrature a en outre récemment découvert que si, « techniquement et légalement, un simple officier de police judiciaire ne peut pas avoir accès au fichier TES », le ministère de l’Intérieur « a laissé s’installer une pratique qui permet de contourner les interdictions d’accès aux données du TES, et ce, sans aucune restriction et pour n’importe quel type d’affaire ».

Le décret de 2016 prévoit en effet que seuls certains agents individuellement nommés et « chargés des missions de prévention et de répression des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme », et donc travaillant pour des services de renseignement, puissent interroger et consulter le fichier.

Or, relève LQDN, les officiers de police judiciaire (OPJ) peuvent « exiger de toute entité publique ou privée de leur fournir les informations qu’elles possèdent et qui seraient utiles pour une enquête ». Ce mécanisme des « réquisitions » judiciaires prévu par le code de procédure pénale permet aux OPJ, sur autorisation du procureur de la République, d’exiger de toute entité publique ou privée de leur fournir les informations qu’elles possèdent et qui seraient utiles pour une enquête, souligne l’ONG :

« C’est ainsi que la police peut, par exemple, récupérer les enregistrements de vidéosurveillance d’un magasin ou les données personnelles d’une personne précise que détiendrait une banque, la SNCF, un réseau social ou encore la CAF. Ces acteurs sont obligés de répondre sous peine d’une amende de 3 750 euros. »

LQDN a découvert que pour accéder au TES, des OPJ ont adressé des demandes à des employés de l’Agence nationale des titres électroniques (ANTS) ou des « Centres d’expertise et de ressources titres » (CERT) chargés, au sein des (sous-)préfectures, d’instruire les dossiers de demandes de titres :

« La police n’interroge donc pas directement le fichier TES. Concrètement, elle contourne l’interdiction qui lui est faite de piocher dans le fichier TES en adressant des réquisitions à ceux qui y ont accès. Détournant la procédure, elle s’arroge ainsi un pouvoir de consultation du fichier qui lui est normalement interdit. »

Ce faisant, les OPJ peuvent recueillir des identités, adresses postales, photographies et empreintes digitales figurant dans le fichier, quand bien même ce dernier n’est pas censé le leur permettre, même et y compris à partir d’une image issue du système de vidéosurveillance des locaux de garde à vue, comme le montre l’un des documents obtenus par LQDN.

De l’identification de terroristes à celle d’une manifestante

Le Monde rappelle qu’il était bien prévu que des services de police puissent accéder aux informations contenues dans le fichier, mais dans certaines situations seulement, telles que des « atteintes aux intérêts de la nation et des actes de terrorisme » ou « dans le cadre de collaborations avec Interpol ».

Or, la procédure a par exemple été utilisée en 2023 pour identifier une manifestante poursuivie pour des faits de dégradations et de rébellion, plusieurs fois interpellée, mais qui refusait de décliner son identité, avant de s’identifier sous un faux nom.

Les documents que Le Monde a pu vérifier montrent que la police judiciaire a d’abord eu recours au fichier TES pour obtenir « toutes les informations relatives à son véritable porteur, dont sa photographie et ses empreintes digitales », et confirmer qu’elle leur avait confié une fausse identité.

La police a ensuite planqué et procédé à une filature pour parvenir à localiser le logement de la manifestante, recueilli une liste de noms figurant sur la boîte aux lettres, et transmis une réquisition à un CERT afin d’obtenir leurs états civils et photos, et donc la véritable identité de la manifestante.

Interrogée par Le Monde, la police nationale confirme que « les enquêteurs n’ont pas un accès direct au TES lui-même, mais peuvent, sur réquisition judiciaire, pour identifier des mis en cause, interroger l’ANTS ». Sous couvert d’anonymat, un OPJ qui recourt régulièrement à cette procédure précise au Monde qu’elle ne leur a jamais été formellement interdite.

Il est possible de refuser de verser ses empreintes au TES, pas de les y effacer

Le Monde relève en outre que, dans son rapport 2016 (.pdf), la CNIL avait déploré que « les risques de mésusage des données n’étaient pas suffisamment pris en compte, qu’il s’agisse de l’utilisation du système à des fins de reconnaissance faciale, qui n’est pas interdite en l’état du texte, ou encore du risque de consultation massive des données enregistrées dans le traitement dans le cadre de réquisitions judiciaires ».

En 2021, à l’occasion du lancement de la carte nationale d’identité électronique (CNIe), la CNIL avait recommandé « non seulement de chiffrer les données biométriques en base, ce qui a été mis en œuvre par le ministère, mais aussi de confier les moyens de déchiffrement à un tiers de sorte que ni le ministère ni l’autorité tierce ne puisse, seule, avoir les moyens de déchiffrer les données pour répondre aux réquisitions judiciaires ».

Or, comme nous l’avions à l’époque relevé, « cette seconde partie de la recommandation ne semble ni mise en œuvre par le ministère à ce stade ni prévue dans le plan d’action », alors qu’elle permettrait à la fois de relever le niveau de sécurité des données et de protection de la vie privée, ainsi que de limiter le risque que le traitement soit transformé en une base d’identification des individus.

• La CNIL retoque (encore) le méga-fichier biométrique des « gens honnêtes »

Pour La Quadrature, cette façon détournée d’accéder aux données figurant dans le fichier TES par les OPJ est révélatrice d’un « phénomène plus large : celui de l’échange débridé et démesuré des données » au nom du droit de « réquisition » (ou de « communication » quand il s’agit d’administrations fiscales ou sociales), qui permet à des organismes de sécurité sociale – CAF, Assurance Maladie… – de récupérer le détail des comptes bancaires, et à la police de demander des factures d’électricité :

« Or, cette possibilité très large de se voir transmettre des informations s’est construite sans prise en compte des règles de protection des données spécifiques à chaque traitement. Elle n’est guidée que par une logique d’efficacité supposée, réduisant le respect des droits fondamentaux à l’état de vulgaires obstacles à dépasser ou à contourner. […] À l’heure où tout est informatisé et où la quantité de données communicables est immense, il est nécessaire de questionner profondément ce mécanisme, source d’abus et d’excès. »

Dans sa fiche dédiée au fichier TES, la CNIL rappelle de son côté que s’il n’est pas possible de refuser la numérisation de ses empreintes digitales lors d’une demande de passeport ou de CNI, « en revanche, il est possible pour la personne concernée de demander à ce que l’image numérisée de ses empreintes ne soit pas conservée dans le traitement au-delà d’un délai de quatre-vingt-dix jours à compter de la date de délivrance du titre ou de la date de refus de cette délivrance par le service instructeur, la copie sur papier des empreintes étant alors conservée par l’Agence nationale des titres sécurisés pour une durée de quinze ans ».

Par contre, « lorsque les informations sont enregistrées, il n’est pas possible par la suite de s’opposer à leur traitement ni d’en demander l’effacement, y compris pour les empreintes digitales ».

Cinq ans après son lancement commercial, environ 2 000 unités de Spot, le robot de Boston Dynamics, sont actuellement en service dans le monde entier, rapporte Bloomberg.

Si la plupart des clients de l’entreprise sont encore des clients industriels, notamment des fabricants et fournisseurs de services publics, l’intérêt des forces de l’ordre a fortement augmenté au cours des deux dernières années, et il serait notamment utilisé par le ministère néerlandais de la Défense, la police nationale italienne et par plus de 60 équipes de déminage et d’interventions spéciales aux États-Unis et au Canada.

De la taille d’un berger allemand, Spot pèse 34 kilos et est utilisé par les forces de l’ordre pour gérer les situations de confrontation armée, les prises d’otages et les incidents impliquant des matières dangereuses, autant de situations où l’intervention d’un être humain ou d’un chien réel pourrait mettre leur vie en danger.

Le robot, dont le prix de départ est d’environ 100 000 dollars, peut fonctionner de manière autonome dans de nombreux cas (vérifications de maintenance, détection de fuites de gaz, inspection d’équipements défectueux), mais dépend toujours d’opérateurs humains pour la prise de décision, rappelle Bloomberg :

« À l’aide d’une tablette qui ressemble à une manette de jeu vidéo, l’opérateur guide la machine tout en surveillant les images vidéo en direct transmises par son système de caméras embarquées. Des capteurs supplémentaires intégrés assurent la navigation et la cartographie. Dans les situations à haut risque, les agents peuvent également visionner les images en direct sur des écrans plus grands situés à proximité. »

Spot peut également se rendre là où beaucoup d’autres drones ne peuvent pas aller, notamment à l’intérieur de bâtiments, et l’autonomie de sa batterie lui permet d’opérer pendant environ une heure et demie, contre 20 à 30 minutes pour les drones, relève Bloomberg.

L’ICE, le service américain de contrôle de l’immigration et des douanes, a de son côté récemment dépensé environ 78 000 dollars pour acquérir un robot du fabricant canadien Icor Technology Inc. capable d’effectuer des tâches similaires à celles de Spot, et doté de bombes fumigènes.

Bloomberg relève par ailleurs que, d’après les données de Pitchbook, les investissements en capital-risque dans les start-ups spécialisées dans les technologies de défense (« Defense Tech ») ont atteint 28,4 milliards de dollars, ouvrant la voie à un nouveau record annuel, en hausse de 200 % en glissement annuel :

« Alors que les marchés du capital-risque dans leur ensemble se refroidissent, les technologies de défense sont en pleine effervescence, attirant des capitaux records, des valorisations en hausse et une acceptation croissante par le grand public. »

Les grands gagnants seraient les start-ups qui développent des systèmes autonomes tels que des véhicules terrestres sans pilote, des plateformes informatiques avancées et des technologies antidrones.

Cinq ans après son lancement commercial, environ 2 000 unités de Spot, le robot de Boston Dynamics, sont actuellement en service dans le monde entier, rapporte Bloomberg.

Si la plupart des clients de l’entreprise sont encore des clients industriels, notamment des fabricants et fournisseurs de services publics, l’intérêt des forces de l’ordre a fortement augmenté au cours des deux dernières années, et il serait notamment utilisé par le ministère néerlandais de la Défense, la police nationale italienne et par plus de 60 équipes de déminage et d’interventions spéciales aux États-Unis et au Canada.

De la taille d’un berger allemand, Spot pèse 34 kilos et est utilisé par les forces de l’ordre pour gérer les situations de confrontation armée, les prises d’otages et les incidents impliquant des matières dangereuses, autant de situations où l’intervention d’un être humain ou d’un chien réel pourrait mettre leur vie en danger.

Le robot, dont le prix de départ est d’environ 100 000 dollars, peut fonctionner de manière autonome dans de nombreux cas (vérifications de maintenance, détection de fuites de gaz, inspection d’équipements défectueux), mais dépend toujours d’opérateurs humains pour la prise de décision, rappelle Bloomberg :

« À l’aide d’une tablette qui ressemble à une manette de jeu vidéo, l’opérateur guide la machine tout en surveillant les images vidéo en direct transmises par son système de caméras embarquées. Des capteurs supplémentaires intégrés assurent la navigation et la cartographie. Dans les situations à haut risque, les agents peuvent également visionner les images en direct sur des écrans plus grands situés à proximité. »

Spot peut également se rendre là où beaucoup d’autres drones ne peuvent pas aller, notamment à l’intérieur de bâtiments, et l’autonomie de sa batterie lui permet d’opérer pendant environ une heure et demie, contre 20 à 30 minutes pour les drones, relève Bloomberg.

L’ICE, le service américain de contrôle de l’immigration et des douanes, a de son côté récemment dépensé environ 78 000 dollars pour acquérir un robot du fabricant canadien Icor Technology Inc. capable d’effectuer des tâches similaires à celles de Spot, et doté de bombes fumigènes.

Bloomberg relève par ailleurs que, d’après les données de Pitchbook, les investissements en capital-risque dans les start-ups spécialisées dans les technologies de défense (« Defense Tech ») ont atteint 28,4 milliards de dollars, ouvrant la voie à un nouveau record annuel, en hausse de 200 % en glissement annuel :

« Alors que les marchés du capital-risque dans leur ensemble se refroidissent, les technologies de défense sont en pleine effervescence, attirant des capitaux records, des valorisations en hausse et une acceptation croissante par le grand public. »

Les grands gagnants seraient les start-ups qui développent des systèmes autonomes tels que des véhicules terrestres sans pilote, des plateformes informatiques avancées et des technologies antidrones.

Gloubi-boulgIA

Une ancienne responsable de la division podcast d’Amazon pense avoir trouvé un filon « scalable » susceptible de lui permettre de la rendre richissime. Entièrement générés par IA, en une heure et pour un dollar seulement, ses podcasts sont en effet rentables à partir de 20 auditeurs.

Inception Point AI se targue sur son site web d’avoir créé « le plus grand réseau de podcasts indépendants au monde ». Quiet Please (c’est son nom, « Du calme s’il vous plait » en français) a d’ores et déjà créé « plus de 4 000 émissions », diffuse « en moyenne 3 000 nouveaux épisodes par semaine », de 15 à une quarantaine de minutes chacun, et compte se lancer dans l’édition de courtes vidéos, de livres « et bien plus encore ».

Cette start-up ne compte pourtant que huit employés : 4 informaticiens et 4 producteurs, relevait le mois dernier La tech la première, le podcast de Stéphane Jourdain, rédacteur en chef numérique de France Inter. Cette hyperproductivité s’explique par le fait que ces podcasts sont tous entièrement générés par IA, sans supervision humaine.

L’entreprise produit par exemple de nombreux podcasts consacrés à l’indice de pollen dans toutes les grandes villes américaines, afin d’attirer des publicités pour des antihistaminiques. Mais également des podcasts dédiés au jardinage, aux actus people, à la méditation, à la ménopause, aux stations de ski, plages, aux assassins, aux sous-marins nucléaires, à l’économie, la démocratie, le socialisme et même le communisme (entre autres).

Le coût de revient d’un podcast ? 1 $, rentabilité dès le 20ᵉ auditeur

Pour Inception Point AI, les « influenceurs IA » constituent « la prochaine frontière à un milliard de dollars », dans la mesure où ils peuvent travailler tout le temps, sans avoir besoin de dormir, et offrent « une qualité supérieure à ~1/25000 du coût » d’un influenceur humain.

Un épisode de podcast ne leur coûterait en effet que 1 $ seulement. Ce qui leur permet de privilégier la quantité à la qualité, d’autant qu’il suffit de 20 auditeurs pour qu’un épisode soit rentable. Et tant pis si les yeux de certaines de ces influenceuses synthétiques sont quelque peu bâclés.

D’après The Wrap (« le seul média indépendant dédié à l’industrie hollywoodienne »), Quiet Please aurait d’ores et déjà publié plus de 175 000 épisodes sur des plateformes comme Spotify ou Apple, enregistré 12 millions de téléchargements d’épisodes depuis sa création, et compterait 400 000 abonnés.

« La richesse se trouve dans les niches », explique à The Wrap Jeanine Wright, co-fondatrice et CEO de la start-up et ancienne directrice des opérations de Wondery, la division podcast d’Amazon. « Mes amis dans l’industrie du podcasting me demandent : « As-tu une émission qui figure dans le top 10 ? Comment se classent tes émissions ? » Nous ne voyons pas les choses sous cet angle », précise-t-elle :

« Au lieu de se concentrer uniquement sur la création des prochains Kelce Brothers, Crime Junkie ou Joe Rogan, ces émissions à grand succès, vous pourriez vous adresser à des publics de niche et à des micro-communautés. C’est un modèle économique totalement différent. »

Selon Riverside, plus de 584 millions de personnes ont écouté des podcasts en 2025, et ce chiffre devrait atteindre 619 millions d’ici 2026. D’après Edison Research, le temps passé à écouter des podcasts a augmenté de 355 % au cours des dix dernières années. 34 % des Américains écoutent en moyenne 8,3 épisodes de podcast par semaine, et 83 % y consacrent plus de 9 heures par semaine. Le marché pourrait atteindre une valeur de 17,59 milliards de dollars d’ici 2030. Même Netflix se lance dans le podcasting, en concluant un partenariat avec Spotify et The Ringer pour des podcasts vidéo dans le cadre de sa stratégie 2026, souligne The Wrap.

Une salle de rédaction, mais sans journalistes humains

Inception Point, qui se présente comme la « version audio de Reddit ou Wikipédia », a créé 120 « influenceurs IA », associés à des niches et contenus hyper-spécialisés. La société évite soigneusement les sujets controversés qui pourraient poser problème, précise The Wrap, « de sorte qu’aucune révision humaine n’est nécessaire pour chaque épisode », d’autant qu’il est matériellement impossible aux 8 employés de la start-up de pouvoir les écouter avant qu’ils ne soient mis en ligne :

« Inception Point AI fonctionne presque comme une salle de rédaction, mais sans journalistes humains. Les modèles d’IA scannent Internet et proposent à l’équipe des listes d’idées intéressantes, et les employés voient ce qui leur convient. Avec sa petite équipe de huit personnes, il faut une journée pour passer d’une idée à un épisode complet. Une fois le sujet choisi, un membre de l’équipe l’associe à une personnalité et la machine peut commencer à générer l’épisode, ce qui prend environ une heure. »

Sur son profil LinkedIn, la start-up, créée en 2023, avance que « Dans un avenir proche, la moitié de la population mondiale sera constituée d’IA ». « Les « personnes » générées par l’IA devraient-elles avoir des droits humains ? » s’interrogeait Jeanine Wright, qui se définit elle-même comme une « maximaliste de l’IA », dans AI Proof, un podcast destiné aux parents et aux éducateurs qui entend aider les enfants à se préparer à « un avenir imprégné d’intelligence artificielle ».

« Je pense que très rapidement, nous arriverons à un stade où l’IA sera le moyen par défaut de créer du contenu, non seulement dans le domaine audio, mais aussi à la télévision, au cinéma, dans les publicités, dans l’imagerie et dans tous les autres domaines », explique Jeanine Wright à The Wrap. « Et alors, nous indiquerons quand les contenus ne sont pas créés à l’aide de l’IA, plutôt que de préciser qu’ils ont été créés à l’aide de l’IA. Mais pour l’instant, nous sommes parfaitement heureux d’ouvrir la voie. »

Gloubi-boulgIA

Une ancienne responsable de la division podcast d’Amazon pense avoir trouvé un filon « scalable » susceptible de lui permettre de la rendre richissime. Entièrement générés par IA, en une heure et pour un dollar seulement, ses podcasts sont en effet rentables à partir de 20 auditeurs.

Inception Point AI se targue sur son site web d’avoir créé « le plus grand réseau de podcasts indépendants au monde ». Quiet Please (c’est son nom, « Du calme s’il vous plait » en français) a d’ores et déjà créé « plus de 4 000 émissions », diffuse « en moyenne 3 000 nouveaux épisodes par semaine », de 15 à une quarantaine de minutes chacun, et compte se lancer dans l’édition de courtes vidéos, de livres « et bien plus encore ».

Cette start-up ne compte pourtant que huit employés : 4 informaticiens et 4 producteurs, relevait le mois dernier La tech la première, le podcast de Stéphane Jourdain, rédacteur en chef numérique de France Inter. Cette hyperproductivité s’explique par le fait que ces podcasts sont tous entièrement générés par IA, sans supervision humaine.

L’entreprise produit par exemple de nombreux podcasts consacrés à l’indice de pollen dans toutes les grandes villes américaines, afin d’attirer des publicités pour des antihistaminiques. Mais également des podcasts dédiés au jardinage, aux actus people, à la méditation, à la ménopause, aux stations de ski, plages, aux assassins, aux sous-marins nucléaires, à l’économie, la démocratie, le socialisme et même le communisme (entre autres).

Le coût de revient d’un podcast ? 1 $, rentabilité dès le 20ᵉ auditeur

Pour Inception Point AI, les « influenceurs IA » constituent « la prochaine frontière à un milliard de dollars », dans la mesure où ils peuvent travailler tout le temps, sans avoir besoin de dormir, et offrent « une qualité supérieure à ~1/25000 du coût » d’un influenceur humain.

Un épisode de podcast ne leur coûterait en effet que 1 $ seulement. Ce qui leur permet de privilégier la quantité à la qualité, d’autant qu’il suffit de 20 auditeurs pour qu’un épisode soit rentable. Et tant pis si les yeux de certaines de ces influenceuses synthétiques sont quelque peu bâclés.

D’après The Wrap (« le seul média indépendant dédié à l’industrie hollywoodienne »), Quiet Please aurait d’ores et déjà publié plus de 175 000 épisodes sur des plateformes comme Spotify ou Apple, enregistré 12 millions de téléchargements d’épisodes depuis sa création, et compterait 400 000 abonnés.

« La richesse se trouve dans les niches », explique à The Wrap Jeanine Wright, co-fondatrice et CEO de la start-up et ancienne directrice des opérations de Wondery, la division podcast d’Amazon. « Mes amis dans l’industrie du podcasting me demandent : « As-tu une émission qui figure dans le top 10 ? Comment se classent tes émissions ? » Nous ne voyons pas les choses sous cet angle », précise-t-elle :

« Au lieu de se concentrer uniquement sur la création des prochains Kelce Brothers, Crime Junkie ou Joe Rogan, ces émissions à grand succès, vous pourriez vous adresser à des publics de niche et à des micro-communautés. C’est un modèle économique totalement différent. »

Selon Riverside, plus de 584 millions de personnes ont écouté des podcasts en 2025, et ce chiffre devrait atteindre 619 millions d’ici 2026. D’après Edison Research, le temps passé à écouter des podcasts a augmenté de 355 % au cours des dix dernières années. 34 % des Américains écoutent en moyenne 8,3 épisodes de podcast par semaine, et 83 % y consacrent plus de 9 heures par semaine. Le marché pourrait atteindre une valeur de 17,59 milliards de dollars d’ici 2030. Même Netflix se lance dans le podcasting, en concluant un partenariat avec Spotify et The Ringer pour des podcasts vidéo dans le cadre de sa stratégie 2026, souligne The Wrap.

Une salle de rédaction, mais sans journalistes humains

Inception Point, qui se présente comme la « version audio de Reddit ou Wikipédia », a créé 120 « influenceurs IA », associés à des niches et contenus hyper-spécialisés. La société évite soigneusement les sujets controversés qui pourraient poser problème, précise The Wrap, « de sorte qu’aucune révision humaine n’est nécessaire pour chaque épisode », d’autant qu’il est matériellement impossible aux 8 employés de la start-up de pouvoir les écouter avant qu’ils ne soient mis en ligne :

« Inception Point AI fonctionne presque comme une salle de rédaction, mais sans journalistes humains. Les modèles d’IA scannent Internet et proposent à l’équipe des listes d’idées intéressantes, et les employés voient ce qui leur convient. Avec sa petite équipe de huit personnes, il faut une journée pour passer d’une idée à un épisode complet. Une fois le sujet choisi, un membre de l’équipe l’associe à une personnalité et la machine peut commencer à générer l’épisode, ce qui prend environ une heure. »

Sur son profil LinkedIn, la start-up, créée en 2023, avance que « Dans un avenir proche, la moitié de la population mondiale sera constituée d’IA ». « Les « personnes » générées par l’IA devraient-elles avoir des droits humains ? » s’interrogeait Jeanine Wright, qui se définit elle-même comme une « maximaliste de l’IA », dans AI Proof, un podcast destiné aux parents et aux éducateurs qui entend aider les enfants à se préparer à « un avenir imprégné d’intelligence artificielle ».

« Je pense que très rapidement, nous arriverons à un stade où l’IA sera le moyen par défaut de créer du contenu, non seulement dans le domaine audio, mais aussi à la télévision, au cinéma, dans les publicités, dans l’imagerie et dans tous les autres domaines », explique Jeanine Wright à The Wrap. « Et alors, nous indiquerons quand les contenus ne sont pas créés à l’aide de l’IA, plutôt que de préciser qu’ils ont été créés à l’aide de l’IA. Mais pour l’instant, nous sommes parfaitement heureux d’ouvrir la voie. »

The Sound of Silence

Le tsunami de soi-disant sites d’informations générés par IA (GenAI) auquel nous assistons depuis des mois, émanant de professionnels du marketing numérique et du référencement (SEO), contamine aussi la presse. Nous avons en effet identifié (au moins) cinq sites hébergés par deux des plus importants groupes de presse français et reposant eux aussi, « en tout ou partie », sur la GenAI, et susceptibles de doper artificiellement leurs statistiques de fréquentation.

Ce lundi 3 novembre, à 6h46, le journaliste Sylvain Ernault, cofondateur du site d’investigation breton Splann, racontait sur BlueSky avoir été surpris de découvrir qu’un site hébergé par Ouest-France.fr, sain-et-naturel.ouest-france.fr, déclenchait le message d’alerte de l’extension que Next a développée afin d’alerter ses utilisateurs lorsqu’ils consultent un site dont les articles « semblent avoir été (en tout ou partie) générés par IA » (GenAI). Nous en avons identifié, à ce jour, plus de 8 500 (rien qu’en français).

• Extension Next : des alertes sur 8 500 sites GenAI et contre les attaques par homographes

Dans son thread, il s’étonnait en outre de découvrir que certains des articles de ce site, à la ligne éditoriale un peu fourre-tout (il y est tout autant question de nature et d’écologie que de psychologie ou de « bien-être », avec une section dédiée à des tests de personnalité ou de QI, défis, énigmes et casse-têtes logiques), figurent dans la rubrique Environnement d’Ouest-France, comme s’il s’agissait d’articles signés par l’un de ses journalistes, ce qui n’est pas le cas.

Il émettait également l’hypothèse que ce recours à l’IA pourrait artificiellement gonfler les statistiques de trafic du groupe de presse. Ce dernier figure en effet en tête du classement des sites grand public et des groupes web de l’Alliance pour les chiffres de la presse et des médias (ACPM), en termes de visites totales.

Ce même 3 novembre à 15h34, soit quelques heures seulement après que Sylvain Ernault eut posté son message, les mentions légales de Sain et naturel ont été discrètement mises à jour, afin de préciser que « Le contenu peut être partiellement généré par l’IA », ce qu’elles ne mentionnaient pas jusque-là.

Sain et Naturel avait par ailleurs ajouté une discrète mention en bas de ses articles, indiquant que « Ce texte a pu être partiellement rédigé avec l’aide d’une IA », ce qui n’était pas non plus le cas jusque-là. Cette mention, constatée par nos soins et attestée par la mémoire de Google, n’est toutefois plus affichée le 19 novembre, date de publication de cet article.

« Fasciné par toutes les méthodes d’investigation, vérifiables et reproductibles »

Le responsable du site, Cyril Renault, se présente comme « fasciné par toutes les méthodes d’investigation, vérifiables et reproductibles ayant pour but de produire des connaissances ». Ses articles, publiés dans les rubriques Nature et Écologie de Sain et Naturel, font d’autant plus bonne figure qu’il s’agit de traductions en français de publications anglo-saxonnes de vulgarisation scientifique.

Ses rubriques Psychologie et Bien-être sont quant à elles truffées d’articles « feel good », non sourcés pour ceux que nous avons consultés, mais eux aussi illustrés d’images générées par IA.

La majeure partie des membres de la petite dizaine des auteurs de Sain et naturel n’y ont plus rien publié depuis des années. Mais plusieurs d’entre eux ont, a contrario, brusquement recommencé à y signer des articles après l’apparition des premières IA génératives, fin 2022.

« Nous comptons un peu plus de 4 900 cybercombattants, avec un objectif de 5 500 d’ici 2030 », explique à Libération Emmanuel Naëgelen (LinkedIn), ancien chef des opérations du ComCyber de 2018 à 2020, puis directeur adjoint et n°2 de l’ANSSI et, depuis août, nouveau commandant de la cyberdéfense (COMCYBER) de l’état-major des armées.

Il succède à Aymeric Bonnemaison qui, après avoir œuvré dans plusieurs unités de guerre électronique, était devenu adjoint du directeur technique de la DGSE, et a été nommé cet été à la tête de la Direction du renseignement et de la sécurité de la Défense (DRSD), le service de contre-espionnage militaire.

• Aymeric Bonnemaison : de la guerrelec à la cyberguerre, retour sur la carrière du nouveau Comcyber

Si les unités du ComCyber ne rassemblent qu’ « environ 500 personnes », elles bénéficient du soutien de 20 autres unités opérationnelles chargées de « combattre dans le cyberespace et renforcer la cyberdéfense des armées françaises », précise le COMCYBER. Ces dernières sont réunies au sein de la Communauté cyber des armées (CCA), comme nous le relevions à l’occasion de la création, en août, du Commissariat au Numérique de Défense (CND), le « 1ᵉʳ intranet militaire européen », composé de 6 745 hommes et femmes (dont 55 % militaires et 45 % civils).

• Le numérique et la cyber retissent leurs toiles au ministère des Armées

Interrogé sur le nombre de cyberattaques visant les armées françaises, le général de division aérienne Naëgelen avance que le nombre d’incidents graves (à savoir le fait qu’un attaquant a « réussi à pénétrer nos systèmes et à en extraire de l’information ») « se compte sur les doigts d’une à deux mains, et nous sommes plus près de 5 que de 10 », par an.

« Si les IA génératives facilitent clairement le travail de nos adversaires », notamment pour « générer des mails trompeurs extrêmement crédibles », précise-t-il, « nous n’avons pas encore observé des attaques informatiques complexes qui seraient pilotées par un moteur d’intelligence artificielle ».

Rappelant qu’« un char, un avion, un bateau embarquent de l’informatique », il résume ce que le cyber représente en termes d’armements : « Du point de vue du ComCyber, un bateau, c’est un data center qui flotte ! »

• Les priorités du Comcyber : chiffre, lutte informatique d’influence (L2I) et partage de données

« Nous comptons un peu plus de 4 900 cybercombattants, avec un objectif de 5 500 d’ici 2030 », explique à Libération Emmanuel Naëgelen (LinkedIn), ancien chef des opérations du ComCyber de 2018 à 2020, puis directeur adjoint et n°2 de l’ANSSI et, depuis août, nouveau commandant de la cyberdéfense (COMCYBER) de l’état-major des armées.

Il succède à Aymeric Bonnemaison qui, après avoir œuvré dans plusieurs unités de guerre électronique, était devenu adjoint du directeur technique de la DGSE, et a été nommé cet été à la tête de la Direction du renseignement et de la sécurité de la Défense (DRSD), le service de contre-espionnage militaire.

• Aymeric Bonnemaison : de la guerrelec à la cyberguerre, retour sur la carrière du nouveau Comcyber

Si les unités du ComCyber ne rassemblent qu’ « environ 500 personnes », elles bénéficient du soutien de 20 autres unités opérationnelles chargées de « combattre dans le cyberespace et renforcer la cyberdéfense des armées françaises », précise le COMCYBER. Ces dernières sont réunies au sein de la Communauté cyber des armées (CCA), comme nous le relevions à l’occasion de la création, en août, du Commissariat au Numérique de Défense (CND), le « 1ᵉʳ intranet militaire européen », composé de 6 745 hommes et femmes (dont 55 % militaires et 45 % civils).

• Le numérique et la cyber retissent leurs toiles au ministère des Armées

Interrogé sur le nombre de cyberattaques visant les armées françaises, le général de division aérienne Naëgelen avance que le nombre d’incidents graves (à savoir le fait qu’un attaquant a « réussi à pénétrer nos systèmes et à en extraire de l’information ») « se compte sur les doigts d’une à deux mains, et nous sommes plus près de 5 que de 10 », par an.

« Si les IA génératives facilitent clairement le travail de nos adversaires », notamment pour « générer des mails trompeurs extrêmement crédibles », précise-t-il, « nous n’avons pas encore observé des attaques informatiques complexes qui seraient pilotées par un moteur d’intelligence artificielle ».

Rappelant qu’« un char, un avion, un bateau embarquent de l’informatique », il résume ce que le cyber représente en termes d’armements : « Du point de vue du ComCyber, un bateau, c’est un data center qui flotte ! »

• Les priorités du Comcyber : chiffre, lutte informatique d’influence (L2I) et partage de données

KO Boomers

Confrontée à une déferlante de fausses informations, la retraite complémentaire a récemment publié un message d’alerte sur son site web. Nous avons découvert que la quasi-totalité des articles mis en avant ces derniers mois par Google au sujet de l’Agirc-Arrco émanaient d’articles (hallucinés, voire mensongers) générés par IA. Sur les 10 % d’articles émanant de rédactions humaines, plus de la moitié concernaient ces fake news.

Cet été, un éditeur de sites d’infos générées par IA (GenAI) a accusé plusieurs chaînes d’hypermarchés de vendre des produits cancérigènes, pourris, lavés à l’eau de Javel ou recongelés. Ses articles n’en avaient pas moins été recommandés par l’algorithme Discover de Google, comme nous le relations dans un précédent article. Mais ces chaînes de magasins ne sont pas les seules à avoir été ciblées de la sorte par de fausses informations sensationnalistes.

• Pain cancérigène, poissons recongelés: Google recommande aussi des infox GenAI diffamantes

En début d’année, la retraite complémentaire des salariés de l’agriculture, du commerce, de l’industrie et des services (dite Agirc-Arrco, qui complète la retraite obligatoire de base), avait elle aussi été alertée au sujet de rumeurs la concernant sur les réseaux sociaux.

Cet été, elle a en outre été confrontée à une déferlante de fausses informations, diffusées sur des sites d’infos générées par IA, et pour certaines relayées sur des réseaux sociaux. Au point que l’Agirc-Arrco a publié sur son site une alerte dédiée mi-septembre, déplorant cette prolifération d’ « articles aux titres et contenus trompeurs, pouvant provoquer de l’inquiétude ».

Dans un article consacré aux « bons réflexes » à adopter en la matière, l’Agirc-Arrco donnait trois fausses informations en exemple, relatives au soi-disant versement d’une prime d’été, à de supposés retards de paiement, et au fait que la revalorisation des retraites complémentaires serait « déjà connue » (alors qu’elle n’est fixée qu’en octobre).

Nous avons effectivement identifié que l’algorithme de recommandation de contenus Discover de Google avait partagé de nombreux articles sensationnalistes cet été émanant de la ferme de sites GenAI de Julien Jimenez notamment, le serial-éditeur qui spamme tellement Google que ses confrères s’en plaignent.

Ils l’accusent en effet de « défonce[r] le business » à force de spammer Google avec des centaines de « conneries de fakenews massive (320 articles hier sur un seul site) pour s’en foutre plein les poches ».

• Éditeur de sites générés par IA, il spamme tellement Google que ses confrères se plaignent

De (fausses) bonnes nouvelles, et même du fact-checking (généré par IA)

Certains de ses articles, publiés cet été, n’hésitaient pas à illustrer par le propos des citations de personnes ayant prétendument été interviewées, alors qu’elles ont vraisemblablement été générés par IA : « personne n’avait vu venir une réforme aussi brutale et rapide », « on se sent pris de court et trahis par ceux qui décident », « on nous prend vraiment pour des chiens ».

Si la peur fait vendre, les bonnes nouvelles peuvent également inciter les internautes à cliquer, surtout lorsqu’elles leur promettent de gagner de l’argent, alors qu’ils ne s’y attendaient pas.

Nous avons ainsi identifié de nombreux articles, eux aussi mensongers, mais qui n’en ont pas moins été recommandés par Discover, annonçant notamment aux retraités un bonus de « jusqu’à 380 € mensuels », des rentes revalorisées ou d’énormes « remboursements ».

D’autres articles vont jusqu’à mettre l’accent sur un risque de tensions sociales, avançant par exemple que, « malgré les promesses », les retraités auraient obtenu une « prime exceptionnelle » qualifiée par un syndicaliste (dans une citation elle aussi probablement générée par IA) de « victoire arrachée de haute lutte » qui, cela dit, « ravive les tensions sur la justice sociale ».

Un autre de ces personnages, a priori GenAI, oppose de son côté fonctionnaires du public et salariés du privé en affirmant que ces derniers « touchent un avantage inédit face aux fonctionnaires », au point que ces derniers « vont hurler à l’injustice ».

Ironie de l’histoire, certains sites GenAI poussent le vice jusqu’à publier des articles de fact-checking revenant sur les rumeurs et fausses infos démenties par l’Agirc-Arrco « après que des articles frauduleux, souvent écrits par des intelligences artificielles, ont fait le buzz », alors qu’ils sont eux-mêmes générés par IA.

Un autre article, lui aussi recommandé par Discover, relève que des « plateformes douteuses » étaient alors pointées du doigt pour la diffusion de fausses informations sur une aide vacances prétendument offerte par l’Agirc-Arrco, et que « ces sites publient des articles illustrés par des images générées par intelligence artificielle, suggérant que le contenu pourrait également être produit par IA ».

Plus de 84 % des articles recommandés par Discover sur la retraite sont générés par IA

Si Julien Jimenez excelle en la matière, et qu’il surclasse ses concurrents, il n’est pas le seul éditeur de sites GenAI à surfer sur ce type de fausses informations anxiogènes. DiscoverSnoop, un dashboard de suivi des articles recommandés par Discover, a en effet identifié 156 articles recommandés par Discover au sujet de l’Agirc-Arrco, dont 131 générés par IA (soit 84 %), dans 42 médias, dont 31 GenAI (soit 74 %).

Gnewsalyzer, concurrent (gratuit) de DiscoverSnoop, dénombre de son côté 146 articles relatifs à l’Agirc-Arrco recommandés par Discover, dont 17 ont été publiés par des médias connus dans la profession, et 129 (soit 88 %) par des sites figurant dans notre base de données comme étant générés par IA.

Cette épidémie de fake news affecte aussi la presse généraliste : la plupart des articles publiés sur de vrais sites de presse (La Dépêche, Ici, Pleine Vie, Notre Temps, Boursorama, RMC, commentcamarche.net) portaient en effet précisément sur le message d’alerte de l’Agirc-Arrco au sujet de cette prolifération de fausses informations générées par IA.

Dit autrement : la quasi-totalité des articles publiés ces derniers temps au sujet de l’Agirc-Arrco émanent, et/ou concernent, des contenus (hallucinés, voire mensongers) générés par IA.

« Les rumeurs vont bon train. Ce que l’on sait »

Signe de l’ampleur du problème : l’un de ces médias « mainstream », Sud Ouest, a néanmoins relayé une (fausse) « bonne nouvelle pour les retraités ». Dans un article titré (au conditionnel) « Agirc-Arrco : quel est ce versement exceptionnel qui pourrait arriver cet automne ? », il reprenait en effet une info émanant de L’Écho des Seniors, un site d’infos que nous avions identifié comme étant « en tout ou partie » généré par IA.

Coup de poker

La sulfureuse entreprise israélienne NSO, connue pour son célèbre logiciel espion étatique Pegasus, a annoncé des changements de taille en son sein. Ainsi, un groupe d’investisseurs dirigé par un producteur hollywoodien vient d’acquérir une participation majoritaire dans l’entreprise et un ancien proche de Donald Trump a été nommé à sa direction.

Le mois dernier, NSO a confirmé à TechCrunch qu’un groupe d’investisseurs états-uniens a investi des dizaines de millions de dollars afin de prendre le contrôle de l’entreprise israélienne. « Cet investissement ne signifie pas que la société échappe au contrôle réglementaire ou opérationnel israélien », a déclaré Oded Hershowitz, porte-parole de NSO :

« Le siège social et les activités principales de la société restent en Israël. Elle continue d’être entièrement supervisée et réglementée par les autorités israéliennes compétentes, notamment le ministère de la Défense et le cadre réglementaire israélien. » 

Dans un article lui aussi consacré à cette acquisition, Ctech rappelait de son côté que depuis 2023, la majeure partie des actions de NSO étaient détenues par une holding basée au Luxembourg, détenue à 100 % par Omri Lavie, l’un des trois fondateurs de l’entreprise.

En 2023, The Guardian avait déjà rapporté que le producteur hollywoodien Robert Simonds avait rejoint le conseil d’administration de NSO afin de racheter l’entreprise, avant d’en démissionner deux mois plus tard faute d’y parvenir. Il semble cette fois y être arrivé, sans que les termes précis de la prise de contrôle n’aient toutefois été rendus publics.

Ancien avocat de Donald Trump et ex-ambassadeur des USA en Israël

Le nouveau président exécutif de NSO, David Friedman, est un ancien avocat d’affaires qui avait notamment défendu les intérêts de Donald Trump dans le cadre des faillites de ses casinos d’Atlantic City.

Il avait ensuite été nommé ambassadeur des États-Unis en Israël de 2017 à 2021, sous la première présidence de Donald Trump. Fervent partisan des implantations israéliennes et de l’annexion de la Cisjordanie, précise The Times of Israel, sa nomination avait alors été dénoncée par cinq anciens ambassadeurs des États-Unis en Israël.

« Si l’administration, comme je m’y attends, est disposée à envisager toute opportunité susceptible d’améliorer la sécurité des Américains, elle nous prendra en considération », a déclaré M. Friedman, qui partage son temps entre la Floride et Israël, souligne le Wall Street Journal.

En 2021, l’administration Biden avait en effet placé NSO sur sa liste noire, lui interdisant d’acquérir certains types de technologies provenant des États-Unis. Elle accusait l’entreprise israélienne d’avoir  « commercialisé un outil numérique mis au service de la répression de dissidents, militants et journalistes » et d’avoir « participé à des activités contraires à la sécurité nationale ou aux intérêts de politique étrangère des États-Unis ».

En 2023, Joe Biden avait également signé un décret interdisant aux agences et départements gouvernementaux d’utiliser des logiciels espions commerciaux qui « présentent des risques pour la sécurité nationale ou ont été utilisés à mauvais escient par des acteurs étrangers pour permettre des violations des droits humains dans le monde entier », rappelle le WSJ.

Le quotidien relève cela dit qu’il est peu probable que les agences gouvernementales américaines traitent avec NSO, « à moins que le décret présidentiel de Biden ne soit abrogé ».

Objectif : équiper les forces de police des États-Unis

Les clients de NSO étaient jusque-là principalement des services de renseignement ou des forces de l’ordre en charge de la lutte contre le terrorisme, le trafic de drogues et le grand banditisme. Mais l’entreprise avait déjà fait scandale après la découverte du ciblage par son logiciel de journalistes, défenseurs des droits humains et dissidents.

• Pegasus : 50 000 « cibles potentielles » ?

Il est cela dit peu probable que Pegasus puisse être utilisé par les services de renseignement états-uniens, du fait même que l’entreprise reste supervisée et réglementée par les autorités israéliennes, notamment le ministère de la Défense et le cadre réglementaire israélien.

David Friedman a par contre déclaré qu’il souhaitait convaincre des agences américaines chargées de l’application de la loi, notamment des forces de police, de devenir clientes de l’entreprise. À l’en croire, « la NSO d’aujourd’hui est une entreprise beaucoup plus prudente dans la manière dont elle concède ses licences technologiques qu’elle ne l’était il y a cinq ou six ans ».

Entre 2020 et 2024, NSO avait dépensé 7,6 millions de dollars dans du lobbying ciblant l’administration états-unienne, d’après l’ONG Open Secrets, qui note que l’entreprise aurait accru ses dépenses en 2025, passant de 80 000 à 190 000 dollars.

The Times of Israel rapporte que NSO avait aussi fait appel personnellement au Premier ministre Benyamin Netanyahou ainsi qu’au conseiller et gendre de Trump, Jared Kushner, selon des informations publiées par le Wall Street Journal et le quotidien économique israélien The Marker.

En 2022, Christopher Wray, alors directeur du FBI, avait expliqué au Congrès avoir bien acheté la technologie du groupe NSO afin de la tester, mais qu’elle n’avait pas été utilisée à des fins opérationnelles.

Une amende réduite de 168 à 4 millions de dollars

Aux termes d’un procès entamé par Meta il y a six ans, qui accusait NSO d’avoir piraté sa messagerie WhatsApp, l’entreprise israélienne avait été condamnée en juillet à verser 168 millions de dollars de dommages et intérêts à Meta.

En octobre, l’amende avait été réduite à 4 millions de dollars, mais le juge avait aussi ordonné à NSO de cesser de cibler WhatsApp, « une décision qui, selon la société lors de sa défense, pourrait la conduire à la faillite », relève le WSJ. NSO a fait appel de la décision, et demande un sursis.

The Times of Israel relève que les fondateurs de NSO — Niv Karmi, Shalev Hulio et Omri Lavie, dont les prénoms forment l’acronyme du nom de la société — ne sont par contre plus actionnaires de la société qu’ils avaient lancée en 2010.

Coup de poker

La sulfureuse entreprise israélienne NSO, connue pour son célèbre logiciel espion étatique Pegasus, a annoncé des changements de taille en son sein. Ainsi, un groupe d’investisseurs dirigé par un producteur hollywoodien vient d’acquérir une participation majoritaire dans l’entreprise et un ancien proche de Donald Trump a été nommé à sa direction.

Le mois dernier, NSO a confirmé à TechCrunch qu’un groupe d’investisseurs états-uniens a investi des dizaines de millions de dollars afin de prendre le contrôle de l’entreprise israélienne. « Cet investissement ne signifie pas que la société échappe au contrôle réglementaire ou opérationnel israélien », a déclaré Oded Hershowitz, porte-parole de NSO :

« Le siège social et les activités principales de la société restent en Israël. Elle continue d’être entièrement supervisée et réglementée par les autorités israéliennes compétentes, notamment le ministère de la Défense et le cadre réglementaire israélien. » 

Dans un article lui aussi consacré à cette acquisition, Ctech rappelait de son côté que depuis 2023, la majeure partie des actions de NSO étaient détenues par une holding basée au Luxembourg, détenue à 100 % par Omri Lavie, l’un des trois fondateurs de l’entreprise.

En 2023, The Guardian avait déjà rapporté que le producteur hollywoodien Robert Simonds avait rejoint le conseil d’administration de NSO afin de racheter l’entreprise, avant d’en démissionner deux mois plus tard faute d’y parvenir. Il semble cette fois y être arrivé, sans que les termes précis de la prise de contrôle n’aient toutefois été rendus publics.

Ancien avocat de Donald Trump et ex-ambassadeur des USA en Israël

Le nouveau président exécutif de NSO, David Friedman, est un ancien avocat d’affaires qui avait notamment défendu les intérêts de Donald Trump dans le cadre des faillites de ses casinos d’Atlantic City.

Il avait ensuite été nommé ambassadeur des États-Unis en Israël de 2017 à 2021, sous la première présidence de Donald Trump. Fervent partisan des implantations israéliennes et de l’annexion de la Cisjordanie, précise The Times of Israel, sa nomination avait alors été dénoncée par cinq anciens ambassadeurs des États-Unis en Israël.

« Si l’administration, comme je m’y attends, est disposée à envisager toute opportunité susceptible d’améliorer la sécurité des Américains, elle nous prendra en considération », a déclaré M. Friedman, qui partage son temps entre la Floride et Israël, souligne le Wall Street Journal.

En 2021, l’administration Biden avait en effet placé NSO sur sa liste noire, lui interdisant d’acquérir certains types de technologies provenant des États-Unis. Elle accusait l’entreprise israélienne d’avoir  « commercialisé un outil numérique mis au service de la répression de dissidents, militants et journalistes » et d’avoir « participé à des activités contraires à la sécurité nationale ou aux intérêts de politique étrangère des États-Unis ».

En 2023, Joe Biden avait également signé un décret interdisant aux agences et départements gouvernementaux d’utiliser des logiciels espions commerciaux qui « présentent des risques pour la sécurité nationale ou ont été utilisés à mauvais escient par des acteurs étrangers pour permettre des violations des droits humains dans le monde entier », rappelle le WSJ.

Le quotidien relève cela dit qu’il est peu probable que les agences gouvernementales américaines traitent avec NSO, « à moins que le décret présidentiel de Biden ne soit abrogé ».

Objectif : équiper les forces de police des États-Unis

Les clients de NSO étaient jusque-là principalement des services de renseignement ou des forces de l’ordre en charge de la lutte contre le terrorisme, le trafic de drogues et le grand banditisme. Mais l’entreprise avait déjà fait scandale après la découverte du ciblage par son logiciel de journalistes, défenseurs des droits humains et dissidents.

• Pegasus : 50 000 « cibles potentielles » ?

Il est cela dit peu probable que Pegasus puisse être utilisé par les services de renseignement états-uniens, du fait même que l’entreprise reste supervisée et réglementée par les autorités israéliennes, notamment le ministère de la Défense et le cadre réglementaire israélien.

David Friedman a par contre déclaré qu’il souhaitait convaincre des agences américaines chargées de l’application de la loi, notamment des forces de police, de devenir clientes de l’entreprise. À l’en croire, « la NSO d’aujourd’hui est une entreprise beaucoup plus prudente dans la manière dont elle concède ses licences technologiques qu’elle ne l’était il y a cinq ou six ans ».

Entre 2020 et 2024, NSO avait dépensé 7,6 millions de dollars dans du lobbying ciblant l’administration états-unienne, d’après l’ONG Open Secrets, qui note que l’entreprise aurait accru ses dépenses en 2025, passant de 80 000 à 190 000 dollars.

The Times of Israel rapporte que NSO avait aussi fait appel personnellement au Premier ministre Benyamin Netanyahou ainsi qu’au conseiller et gendre de Trump, Jared Kushner, selon des informations publiées par le Wall Street Journal et le quotidien économique israélien The Marker.

En 2022, Christopher Wray, alors directeur du FBI, avait expliqué au Congrès avoir bien acheté la technologie du groupe NSO afin de la tester, mais qu’elle n’avait pas été utilisée à des fins opérationnelles.

Une amende réduite de 168 à 4 millions de dollars

Aux termes d’un procès entamé par Meta il y a six ans, qui accusait NSO d’avoir piraté sa messagerie WhatsApp, l’entreprise israélienne avait été condamnée en juillet à verser 168 millions de dollars de dommages et intérêts à Meta.

En octobre, l’amende avait été réduite à 4 millions de dollars, mais le juge avait aussi ordonné à NSO de cesser de cibler WhatsApp, « une décision qui, selon la société lors de sa défense, pourrait la conduire à la faillite », relève le WSJ. NSO a fait appel de la décision, et demande un sursis.

The Times of Israel relève que les fondateurs de NSO — Niv Karmi, Shalev Hulio et Omri Lavie, dont les prénoms forment l’acronyme du nom de la société — ne sont par contre plus actionnaires de la société qu’ils avaient lancée en 2010.

PsyOps GenAI

Cet été, un éditeur de sites d’infos générées par IA a accusé plusieurs chaînes d’hypermarchés de vendre des produits cancérigènes, pourris, lavés à l’eau de javel ou recongelés. Ses articles n’en ont pas moins été recommandés par l’algorithme Discover de Google.

Fin août, l’algorithme Discover de recommandations de contenus de Google promouvait un scoop, potentiellement explosif : d’après le titre de l’article, un ancien employé d’Intermarché affirmerait que « les pâtes premier prix sont fabriquées avec de la farine animale ». Sauf que la citation, comme l’affaire, étaient fausses : comme l’a repéré @GGtld, pseudo d’un juriste NTIC spécialiste des noms de domaine, l’article émanait d’un site d’infos générées par IA (GenAI).

Depuis, Next a découvert que Discover avait également recommandé plusieurs autres articles de ce même site, avançant notamment qu’Auchan serait « éclaboussé par une révélation d’un chef de rayon » au sujet des « additifs cancérigènes » contenus dans le pain vendu en magasin, ou que Grand Frais serait de son côté « pulvérisé par une tempête médiatique après des révélations sanglantes » au sujet de carcasses de viande « immergées dans des produits cancérigènes interdits depuis des années ».

Ont également été ciblés Système U, dont les légumes « ne sont pas bio du tout », Carrefour, dont les salades « sont lavées dans de l’eau pleine de javel », Intermarché, dont « les poissons vendus comme frais sont décongelés trois fois avant d’être mis en rayon », Leclerc, dont « les glaces sont recongelées après avoir fondu dans les camions », ainsi que Netto, qui « pulvérise des produits interdits sur les salades ».

Petite précision : nous n’avons pas recensé tous les articles mis en ligne sur le site d’infos GenAI, mais uniquement ceux qui ont été recommandés cet été par l’algorithme de Google.

Cette déferlante de fake news est une nouvelle illustration des problèmes posés par les sites d’info générés par IA, que Next documente depuis des mois. Notre enquête nous avait déjà permis de découvrir que nombre d’entre eux reposaient sur du plagiat, qu’ils sont prompts à relayer voire amplifier les rumeurs, mais qu’ils n’en étaient pas moins référencés sur Google Actualités, voire mis en avant par son algorithme de recommandation de contenus Discover, au mépris de ses propres règles.

• [Récap] Nous avons découvert des milliers de sites d’info générés par IA : tous nos articles

Au point que, cet été, près de 20 % des 1 000 sites d’info les plus recommandés par Google Discover, et 33 % des 120 sites les plus recommandés par Google News, à la rubrique Technologie, étaient générés par IA.

• 18% des médias et 33% des sites tech les plus recommandés par Google sont générés par IA

Nous avons à ce jour identifié plus de 8 000 sites d’infos générées par IA (rien qu’en français). Pour rappel, nous avons également développé une extension web (gratuite) pour les navigateurs web basés sur Chrome et Firefox, afin d’alerter ses utilisateurs lorsqu’ils consultent l’un de ces sites GenAI. L’AI Act prévoit en effet que les contenus synthétiques GenAI devront être labellisés comme tels à partir d’août 2026, ce qu’aucun de ces 8 000 sites GenAI ou presque ne fait à ce jour.

La psychologie des fake news expliquée par l’un de ses producteurs

Début septembre, @1492_vision partageait sur X.com une capture d’écran d’un article intitulé « Psychologie des fake news : pourquoi on croit plus facilement aux informations sensationnelles ». 1492.vision est un outil d’analyse des sites et tendances mis en avant par l’algorithme de recommandations de contenus Discover de Google. L’article qu’il épinglait avait lui aussi été publié par un site d’infos générées par IA.

Au-delà de l’image d’illustration, elle-même sensationnaliste, l’article décrivait précisément ce pourquoi, « à l’ère de l’information instantanée, les fake news se propagent à une vitesse fulgurante, souvent parce qu’elles touchent une corde sensible chez leurs lecteurs » :

« Les fake news prospèrent souvent sur un terrain émotionnellement chargé. Elles sont conçues pour susciter une réaction rapide et forte, ce qui les rend plus partageables sur les réseaux sociaux. Les informations qui provoquent peur, colère ou excitation ont tendance à être plus partagées que celles qui ne suscitent aucune émotion forte. […] Nous cherchons souvent des informations qui renforcent notre vision du monde, ce qui peut nous rendre aveugles aux signes d’alerte indiquant une possible désinformation. »

Entre 100 et 150 000 euros de revenus par mois et par site

Julien Jimenez, l’éditeur et responsable légal des sites GenAI dont sont issues ces deux captures d’écran, en sait quelque chose : il en a fait son modèle économique. Comme nous le relations en juillet dernier, certains de ses concurrents l’accusent même de « défonce[r] le business » à force de spammer Google avec des centaines de « conneries de fake news massive (320 articles hier sur un seul site) pour s’en foutre plein les poches ».

• Éditeur de sites générés par IA, il spamme tellement Google que ses confrères se plaignent

D’après le spécialiste des noms de domaine David Chelly, les sites GenAI de Julien Jimenez lui permettraient d’engranger « à peu près de 100 000 à 150 000 euros de revenus par mois », rémunéré « essentiellement par AdSense » (la régie publicitaire de Google). Comme « les fake news, c’est le meilleur moyen » de créer du buzz et de générer du clic, elles lui procureraient un « trafic incroyable ».

• Sites d’infos générés par IA : « Notre job, c’est gruger Google » pour faire du fric

Avec près de 15 millions de visites sur le mois d’août selon SimilarWeb, un seul de ses nombreux sites pouvait « facilement » tabler sur près de 100 000 euros de revenus publicitaires mensuels, confirmait récemment un patron de régie à la newsletter spécialisée dans le marché de la publicité en ligne Open Garden.

Certains cafés sont « volontairement remplis de pesticides et d’insectes  »

Dans un précédent article, révélant que 18% des médias et 33% des sites tech les plus recommandés par Google Discover sont générés par IA, nous revenions sur certains traits caractéristiques de la ferme de sites GenAI de Julien Jimenez.

Aïe OS

Mardi, on apprenait qu’un employé de Trenchant, qui développe et revend des failles de sécurité informatique à la communauté du renseignement des « Five Eyes », aurait lui-même été ciblé par un logiciel espion. Ce jeudi, on apprenait que le dirigeant de Trenchant qui l’avait licencié, en l’accusant d’avoir volé des vulnérabilités développées en interne, était lui-même accusé d’avoir vendu des « secrets commerciaux » à un acheteur russe.

Ce mardi 21 octobre, TechCrunch révélait qu’un développeur d’exploits « zero-day » avait reçu, plus tôt cette année, un message sur son téléphone personnel l’informant qu’ « Apple a détecté une attaque ciblée par un logiciel espion mercenaire contre [son] iPhone. »

Il s’agirait du premier cas documenté de personne payée par un prestataire de logiciels espions étant elle-même la cible d’un logiciel espion, relevait TechCrunch. Le développeur, qui a requis l’anonymat, travaillait en effet jusqu’à il y a peu pour Trenchant, filiale du marchand d’armes états-unien L3Harris Technologies, spécialisée dans la recherche de vulnérabilités et les « computer network operations », du nom donné par les « Five Eyes » aux capacités cyberoffensives.

Le développeur expliquait à TechCrunch qu’il soupçonnait que cette notification pouvait être liée aux circonstances de son départ de Trenchant, qui l’avait désigné comme « bouc émissaire » d’une fuite d’outils internes dont son employeur avait été victime.

Soupçonné d’avoir fait fuiter des failles Chrome, alors qu’il travaillait sur iOS

Un mois avant de recevoir la notification de menace d’Apple, il avait en effet été invité au siège londonien de l’entreprise pour participer à un événement de « team building ». Or, une fois sur place, explique-t-il à TechCrunch, il avait « immédiatement été convoqué » dans une salle de réunion pour s’entretenir par vidéoconférence avec Peter Williams, alors directeur général de Trenchant, connu au sein de l’entreprise sous le nom de « Doogie ».

Williams lui avait alors expliqué qu’il était soupçonné d’avoir un second emploi, qu’il était suspendu, et que tous ses appareils professionnels seraient confisqués afin d’être analysés dans le cadre d’une enquête interne. Deux semaines plus tard, Williams l’appelait pour lui annoncer qu’il était licencié et qu’il n’avait d’autre choix que d’accepter l’accord à l’amiable ainsi que l’indemnité que lui proposait l’entreprise.

Le développeur a depuis appris par d’anciens collègues qu’il était soupçonné d’avoir divulgué plusieurs vulnérabilités inconnues du navigateur Chrome et identifiées par les équipes de Trenchant. Or, le développeur faisait partie d’une équipe chargée exclusivement de l’identification de failles zero-day dans iOS et du développement de logiciels espions pour les terminaux Apple.

Une version confirmée à TechCrunch par trois de ses anciens collègues, qui précisent que les employés de Trenchant n’ont qu’un accès strictement compartimenté aux outils liés aux plateformes sur lesquelles ils travaillent, et que le développeur congédié ne pouvait pas accéder aux failles, exploits et outils ciblant Chrome.

Soupçonné d’avoir vendu pour 1,3M$ de « secrets commerciaux » à la Russie

Ce jeudi 23 octobre, soit deux jours seulement après le premier article, coup de théâtre : TechCrunch révèle que le département de la Justice états-unien a accusé ce même Peter Williams, le 14 octobre dernier, d’avoir volé huit secrets commerciaux à deux entreprises (non identifiées) entre avril 2022 et août 2025, et de les avoir vendus à un acheteur en Russie.

Williams, un Australien de 39 ans résidant à Washington, avait été recruté comme directeur général de Trenchant en octobre 2024, poste qu’il a occupé jusqu’à fin août 2025, d’après les informations déposées par l’entreprise au registre britannique des entreprises.

Quatre anciens employés de Trenchant ont confirmé à TechCrunch que Williams avait bien été arrêté, mais sans préciser quand, et un porte-parole du département de la Justice a précisé qu’il n’était actuellement pas détenu.

D’après l’acte d’accusation, Williams aurait obtenu 1,3 million de dollars en échange de ces secrets commerciaux. L’intégralité des fonds (y compris en cryptos) déposés dans sept comptes bancaires ont été saisis, ainsi qu’une liste d’objets de valeur « sujets de confiscation » à son domicile, dont plusieurs bagues de diamant Tiffany, un sac à main Louis Vuitton, des vestes Moncler, et 24 montres de luxe (dont huit « replicas », copies plutôt haut de gamme, difficiles à distinguer des originales).

L’affaire est traitée par la section du contre-espionnage et du contrôle des exportations de la division de la sécurité nationale du ministère américain de la Justice, précise TechCrunch. Nos confrères ont par ailleurs appris qu’une audience préliminaire et une audience relative à l’accord de plaidoyer sont prévues le 29 octobre à Washington, D.C.

Aïe OS

Mardi, on apprenait qu’un employé de Trenchant, qui développe et revend des failles de sécurité informatique à la communauté du renseignement des « Five Eyes », aurait lui-même été ciblé par un logiciel espion. Ce jeudi, on apprenait que le dirigeant de Trenchant qui l’avait licencié, en l’accusant d’avoir volé des vulnérabilités développées en interne, était lui-même accusé d’avoir vendu des « secrets commerciaux » à un acheteur russe.

Ce mardi 21 octobre, TechCrunch révélait qu’un développeur d’exploits « zero-day » avait reçu, plus tôt cette année, un message sur son téléphone personnel l’informant qu’ « Apple a détecté une attaque ciblée par un logiciel espion mercenaire contre [son] iPhone. »

Il s’agirait du premier cas documenté de personne payée par un prestataire de logiciels espions étant elle-même la cible d’un logiciel espion, relevait TechCrunch. Le développeur, qui a requis l’anonymat, travaillait en effet jusqu’à il y a peu pour Trenchant, filiale du marchand d’armes états-unien L3Harris Technologies, spécialisée dans la recherche de vulnérabilités et les « computer network operations », du nom donné par les « Five Eyes » aux capacités cyberoffensives.

Le développeur expliquait à TechCrunch qu’il soupçonnait que cette notification pouvait être liée aux circonstances de son départ de Trenchant, qui l’avait désigné comme « bouc émissaire » d’une fuite d’outils internes dont son employeur avait été victime.

Soupçonné d’avoir fait fuiter des failles Chrome, alors qu’il travaillait sur iOS

Un mois avant de recevoir la notification de menace d’Apple, il avait en effet été invité au siège londonien de l’entreprise pour participer à un événement de « team building ». Or, une fois sur place, explique-t-il à TechCrunch, il avait « immédiatement été convoqué » dans une salle de réunion pour s’entretenir par vidéoconférence avec Peter Williams, alors directeur général de Trenchant, connu au sein de l’entreprise sous le nom de « Doogie ».

Williams lui avait alors expliqué qu’il était soupçonné d’avoir un second emploi, qu’il était suspendu, et que tous ses appareils professionnels seraient confisqués afin d’être analysés dans le cadre d’une enquête interne. Deux semaines plus tard, Williams l’appelait pour lui annoncer qu’il était licencié et qu’il n’avait d’autre choix que d’accepter l’accord à l’amiable ainsi que l’indemnité que lui proposait l’entreprise.

Le développeur a depuis appris par d’anciens collègues qu’il était soupçonné d’avoir divulgué plusieurs vulnérabilités inconnues du navigateur Chrome et identifiées par les équipes de Trenchant. Or, le développeur faisait partie d’une équipe chargée exclusivement de l’identification de failles zero-day dans iOS et du développement de logiciels espions pour les terminaux Apple.

Une version confirmée à TechCrunch par trois de ses anciens collègues, qui précisent que les employés de Trenchant n’ont qu’un accès strictement compartimenté aux outils liés aux plateformes sur lesquelles ils travaillent, et que le développeur congédié ne pouvait pas accéder aux failles, exploits et outils ciblant Chrome.

Soupçonné d’avoir vendu pour 1,3M$ de « secrets commerciaux » à la Russie

Ce jeudi 23 octobre, soit deux jours seulement après le premier article, coup de théâtre : TechCrunch révèle que le département de la Justice états-unien a accusé ce même Peter Williams, le 14 octobre dernier, d’avoir volé huit secrets commerciaux à deux entreprises (non identifiées) entre avril 2022 et août 2025, et de les avoir vendus à un acheteur en Russie.

Williams, un Australien de 39 ans résidant à Washington, avait été recruté comme directeur général de Trenchant en octobre 2024, poste qu’il a occupé jusqu’à fin août 2025, d’après les informations déposées par l’entreprise au registre britannique des entreprises.

Quatre anciens employés de Trenchant ont confirmé à TechCrunch que Williams avait bien été arrêté, mais sans préciser quand, et un porte-parole du département de la Justice a précisé qu’il n’était actuellement pas détenu.

D’après l’acte d’accusation, Williams aurait obtenu 1,3 million de dollars en échange de ces secrets commerciaux. L’intégralité des fonds (y compris en cryptos) déposés dans sept comptes bancaires ont été saisis, ainsi qu’une liste d’objets de valeur « sujets de confiscation » à son domicile, dont plusieurs bagues de diamant Tiffany, un sac à main Louis Vuitton, des vestes Moncler, et 24 montres de luxe (dont huit « replicas », copies plutôt haut de gamme, difficiles à distinguer des originales).

L’affaire est traitée par la section du contre-espionnage et du contrôle des exportations de la division de la sécurité nationale du ministère américain de la Justice, précise TechCrunch. Nos confrères ont par ailleurs appris qu’une audience préliminaire et une audience relative à l’accord de plaidoyer sont prévues le 29 octobre à Washington, D.C.

CopyCops are (GenAI) bastards

Des fact-checkers états-uniens et journalistes français ont identifié un réseau de plus de 300 sites d’information, dont 143 « au moins » en français, financés par le service de renseignement militaire russe. Nous les avons ajoutés à la liste des (soi-disant) sites d’information épinglés par l’extension (gratuite) que Next a développée pour alerter ses utilisateurs au sujet des contenus générés par IA. Elle dénombre désormais plus de 8 000 sites GenAI.

Fin avril, moins d’un mois après que Marine Le Pen a été condamnée dans l’affaire des assistants parlementaires du Front national au Parlement européen, un site d’information, lequotidienfrancais.fr, « révélait » que, dans le plus grand secret, Gérald Darmanin et Bruno Retailleau avaient prévu de l’incarcérer, en même temps que Marion Maréchal, Sarah Knafo et Florian Philippot.

L’article, intitulé « Mandats d’amener : de nouvelles tensions politiques autour du gouvernement d’Emmanuel Macron », reposait sur une soi-disant « fuite » issue d’un groupe WhatsApp baptisé « Chat du tribunal de Paris ». Plusieurs « hauts responsables de l’appareil judiciaire et du gouvernement », dont les ministres de la Justice Gérald Darmanin et de l’Intérieur Bruno Retailleau, ainsi que la présidente de la chambre de l’instruction Anne Tarelli et le juge d’instruction Simon Brunnquell, y auraient été « impliqués dans l’émission imminente de mandats d’amener visant plusieurs figures de l’opposition politique », affirmait lequotidienfrancais.fr :

« Ces mandats, dont l’exécution serait prévue pour le 6 mai , viseraient notamment Marine Le Pen (Rassemblement national), Marion Maréchal (Identité-Libertés), Sarah Knafo (Reconquête) et Florian Philippot (Les Patriotes). Tous ces responsables politiques partagent une ligne dure sur l’immigration, s’opposent au soutien militaire à l’Ukraine et plaident en faveur d’un retrait de la France de l’Union européenne (FREXIT). »

L’article avançait en outre que « les documents obtenus par la presse font état de mesures sévères envisagées à l’encontre des personnalités ciblées, notamment la transformation de l’assignation à résidence de Marine Le Pen en peine de prison ferme » :

« Dans les mandats d’amener figurent les accusations suivantes : atteinte au respect dû à la justice, détournement de fonds publics, incitation à la haine ou à la discrimination, et troubles à la paix publique. »

Ex-shérif adjoint de Floride et troll à la solde du renseignement militaire russe

Le Quotidien Français fait partie d’une nébuleuse de plus de 300 sites web, dont au moins 141 sites d’information et 2 de fact-checking en français, créés depuis début 2025 par les opérateurs du réseau d’influence et de propagande pro-russe CopyCop (également connu sous le nom de Storm-1516).

Ces derniers, identifiés par Insikt Group, la division de recherche sur les menaces de l’entreprise états-unienne de cybersécurité Recorded Future, se font passer pour des sites d’information ou mouvements politiques ciblant les États-Unis, la France, le Canada, l’Allemagne ou l’Arménie, ou publiant du contenu en turc, en ukrainien et en swahili.

Esclavagisme 2.0

Les autorités états-uniennes et britanniques ont saisi 127 271 bitcoins, ainsi qu’un immeuble de bureaux dans la City, un manoir et 17 appartements à Londres. Ces avoirs appartiennent à un milliardaire cambodgien de 37 ans d’origine chinoise qui, proche du parti au pouvoir, aurait en réalité fait fortune grâce à des escroqueries sentimentales liées à des investissements dans des cryptomonnaies, reposant sur la traite d’esclaves et connues sous le nom de « pig butchering » (« arnaque à l’abattage du cochon » en français).

Le ministère états-unien de la Justice vient d’annoncer « la plus grande action en confiscation jamais engagée », correspondant à « environ 127 271 bitcoins » actuellement sous la garde des États-Unis, d’une valeur actuelle de 15 milliards de dollars. La saisie a été effectuée dans le cadre de la mise en accusation d’un richissime Cambodgien d’origine chinoise de 37 ans, actuellement en fuite.

Chen Zhi, fondateur et président du Prince Holding Group, un conglomérat international, est accusé de complot en vue de commettre des fraudes électroniques et de blanchiment d’argent, dans le cadre de ce qui relèverait de « l’une des plus grandes opérations de fraude à l’investissement de l’histoire », d’après Joseph Nocella Jr., procureur fédéral du district de New York.

Les sommes confisquées auraient été extorquées par des centaines de « victimes de traite » détenues « contre leur gré » dans des complexes abritant de vastes dortoirs entourés de hauts murs et de barbelés, qualifiés de « camps de travaux forcés ».

D’après le Trésor états-unien, ces complexes « reposant sur la traite d’êtres humains et l’esclavage moderne » visaient à industrialiser le fait de les forcer à effectuer, « souvent sous la menace de violences », des escroqueries liées à des investissements dans des cryptomonnaies, connues sous le nom de « pig butchering » (« arnaque à l’abattage du cochon » en français).

• Asie du Sud-Est : des centaines de milliers de personnes forcées à réaliser des fraudes en ligne

L’une des plus grandes organisations criminelles transnationales d’Asie

« En tant que président, la vision et le leadership de Chen Zhi ont transformé Prince Group en un groupe commercial de premier plan au Cambodge qui adhère aux normes internationales, investit dans l’avenir du royaume et s’engage à adopter des pratiques commerciales durables guidées par les principes ESG », explique le site du groupe Prince.

Tenir en Thales

Longtemps brocardée pour ses retards, surcoûts et pannes à répétition, la plateforme nationale des interceptions judiciaires donnerait presque satisfaction à ses 70 000 utilisateurs. Ils pointent cependant ses problèmes d’ergonomie, de fluidité et de fonctionnalités. Initialement externalisée auprès de Thales, des travaux seraient prévus afin d’en internaliser l’hébergement, sans plus de précisions.

Dans un rapport intitulé « Maîtriser les frais de justice pour mieux rendre la justice », la commission des finances du Sénat constate que « leur coût a été de 716 millions d’euros 2024, en hausse de 51,2 pour cent par rapport à 2013 », alors que l’inflation n’a été que de 19,1 % dans le même temps.

Dans un premier article, nous sommes revenus sur les différents types de « frais d’enquête », les raisons de cette inflation budgétaire, pourquoi certains experts devaient attendre « plusieurs mois, voire plusieurs années », avant de recouvrir les « milliers, voire plusieurs dizaines de milliers d’euros » que l’État leur doit, le coût des expertises informatiques et le fait que le droit français et européen interdit le remplacement des traducteurs et interprètes humains par des IA.

• Les frais liés aux expertises informatiques judiciaires ont explosé de 111 % en cinq ans

Ce second article revient plus particulièrement sur les frais de justice en matière d’interceptions judiciaires, ainsi que sur les économies et problèmes associés à la plateforme nationale des interceptions judiciaires (PNIJ).

Comme indiqué dans le premier article, ces derniers représentent 11,3 % de la totalité des frais de justice. Ils n’ont pourtant augmenté que de 1,4 % depuis 2019, contrairement à de nombreux autres postes budgétaires qui, à l’instar des expertises médicales, ont explosé de +- 50 %.

En 2024, le coût des interceptions judiciaires a été de 81,3 millions d’euros, contre 93 millions en 2017, soit une baisse moyenne de 2 % par an. Ces 81 millions représentent toutefois une somme « très supérieure à celle prévue en début d’exercice », qui était de 61,1 millions d’euros, soit + 32,6 %, relève le rapporteur.

Cet écart, précise-t-il, peut s’expliquer par le « caractère relativement imprévisible » des dépenses en interception judiciaire, qui dépend du nombre et de la nature des enquêtes conduites en cours d’année.

La justice étant « passée d’une culture de la preuve par l’aveu à une culture de la preuve matérielle ou scientifique », le nombre des actes prescrits au cours d’une enquête par les juges ou les officiers de police judiciaire a logiquement augmenté, « en particulier s’agissant d’actes coûteux » :

« Il a ainsi été indiqué au rapporteur spécial que le juge, aujourd’hui, s’attend, dans de nombreuses affaires, à trouver dans son dossier des preuves tirées d’interceptions judiciaires ou de l’exploitation du téléphone portable de la victime. »

En l’espèce, l’enquête initiée pour retrouver Mohamed Amra (le narcotrafiquant dont l’évasion, suite à l’attaque d’un fourgon pénitentiaire au péage d’Incarville, avait valu à deux surveillants d’être exécutés), avait reposé sur une utilisation « très importante » des données issues des interceptions judiciaires.

Et ce, d’autant qu’aux traditionnelles écoutes téléphoniques, s’ajoutent « de plus en plus » le recueil des données de connexion et de géolocalisation des criminels, « car les communications vocales sont souvent cryptées (sic) de nos jours », précise le rapporteur.

Un grand sentiment d’insécurité juridique chez les procureurs et enquêteurs

L’évolution des dépenses peut aussi s’expliquer par des circonstances conjoncturelles, relève le rapporteur pour qui le « creux » constaté en 2022 « semble lié aux incertitudes rencontrées cette année-là sur le régime d’accès aux données de connexion, qui pourrait représenter un risque dans les années à venir pour la conduite des enquêtes ».

Rechtsstaat tabu

Le projet controversé Chat Control, que la Commission peine à faire adopter depuis trois ans, était « l’une des priorités phares » du Danemark, qui préside le Conseil de l’UE. Mais l’Allemagne, opposée de longue date au projet, vient de nouveau de réitérer son rejet de ce que sa ministre de la Justice a qualifié de « suspicion généralisée ».

Qualifiée de « projet de loi européen le plus critiqué de tous les temps », le projet de règlement européen « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » (ou CSAR, pour Child Sexual Abuse Regulation) et que la Commission européenne cherche à faire adopter depuis 2022, vient une fois de plus de se heurter au mur des défenseurs des droits humains.

Comme Next l’a déjà moult fois raconté, il propose notamment de scanner les images et adresses URL avant qu’elles ne soient envoyées, directement sur les terminaux des utilisateurs de messageries, notamment chiffrées. Ce qui reviendrait à une forme de « surveillance de masse », et casserait la notion de chiffrement de bout en bout.

« Le contrôle injustifié des conversations en ligne doit être tabou dans un État de droit », vient de déclarer Stefanie Hubig, ministre fédérale allemande de la Justice et de la Protection des consommateurs, ajoutant que « les communications privées ne doivent jamais faire l’objet d’une suspicion généralisée » :

« L’État ne doit pas non plus contraindre les messageries instantanées à scanner en masse les messages avant leur envoi afin de détecter tout contenu suspect. L’Allemagne ne donnera pas son accord à de telles propositions au niveau européen. Nous devons également progresser dans la lutte contre la pornographie enfantine au niveau européen. Je m’engage en ce sens. Mais même les crimes les plus graves ne justifient pas la renonciation aux droits civiques fondamentaux. J’insiste sur ce point depuis des mois lors des votes du gouvernement fédéral. Et je continuerai à le faire. »

La veille, Jens Spahn, président du groupe CDU/CSU au Bundestag, qui fait partie de la coalition au pouvoir en Allemagne, avait confirmé que le gouvernement allemand s’opposerait « au contrôle sans motif des chats », ce « client side scanning » (scan côté client) ayant vocation à analyser l’intégralité des images (photos et vidéos) et textes (à la recherche des URL) avant qu’elles ne soient partagées :

« Cela reviendrait à ouvrir toutes les lettres à titre préventif pour vérifier qu’elles ne contiennent rien d’illégal. C’est inacceptable, cela n’arrivera pas avec nous. »

Une « double majorité qualifiée » impossible à obtenir

Or, comme Next l’avait expliqué en septembre dernier, il faut en effet que 15 des 27 États membres de l’UE « au moins », représentant collectivement 65 % de la population « au moins », approuvent les textes soumis au Conseil de l’Union européenne pour parvenir à un accord, une procédure qualifiée de « double majorité qualifiée ».

• Chat Control : le projet de surveillance des messageries a (encore) du plomb dans l’aile

Jusqu’à fin août, 15 pays soutenaient le projet, et 4 s’y opposaient. Les partisans de la proposition danoise ne sont plus que 12 (Bulgarie, Croatie, Chypre, Danemark, Espagne, France, Hongrie, Irlande, Lituanie, Malte, Portugal et Suède) contre 10 opposants (Autriche, République tchèque, Estonie, Finlande, Allemagne, Luxembourg, Pays-Bas, Pologne, Slovaquie et Slovénie), et 5 indécis (Belgique, Grèce, Italie, Lettonie, Roumanie), comme le relève le site chatcontrol.eu.

Or, les 12 pays partisans ne représentent plus que 38,82 % de la population européenne, et les 5 indécis 22,68 %. Le ralliement de l’Allemagne (qui représente, à elle seule, 18,56 % de la population européenne) au camp des opposants rend impossible l’obtention de la « double majorité qualifiée » requise.

Le projet ne sera d’ailleurs pas soumis au vote lors de la prochaine réunion des ministres de l’Intérieur de l’UE comme initialement prévu, ont expliqué des sources diplomatiques à l’ORF, la radiotélédiffusion publique autrichienne :

« Mais cela ne signifie pas pour autant que le sujet soit définitivement clos. Le Danemark ou les prochaines présidences du Conseil de l’UE pourraient remettre une proposition révisée sur la table. »

Pour la première fois, même les conservateurs émettent des critiques

« C’est une victoire formidable pour la liberté qui prouve que la protestation fonctionne ! », s’est pour sa part félicité l’ex-eurodéputé pirate Patrick Breyer, qui combat ce projet depuis des années et dont le blog constitue la ressource la plus complète à ce sujet :

« Face à une vague d’appels et d’e-mails du public, les sociaux-démocrates tiennent bon et, pour la première fois, même les dirigeants conservateurs émettent des critiques. Sans la résistance inlassable des citoyens, des scientifiques et des organisations, les gouvernements de l’UE auraient adopté la semaine prochaine une loi totalitaire sur la surveillance de masse, signant la fin de la confidentialité numérique. Le fait que nous ayons réussi à empêcher cela, pour l’instant, est un moment à célébrer. »

Un ingénieur logiciel de 30 ans aurait contribué au revirement

POLITICO souligne de son côté que le site fightchatcontrol.eu, lancé le 6 août dernier par un ingénieur logiciel danois de 30 ans, aurait contribué à « saturer » de courriels les responsables gouvernementaux nationaux et membres du Parlement européen, et même « provoqué une vive agitation dans les couloirs du pouvoir à Bruxelles ».

POLITICO a pu vérifier l’identité de celui qui se fait appeler Joachim. Il refuse en effet de rendre public son nom ainsi que celui de son employeur qui, n’ayant « aucun intérêt commercial » associé à ce projet, ne souhaite pas être associé à cette campagne.

L’ingénieur, qui aurait pris en charge seul les coûts liés au site web, a répondu à POLITICO que, début octobre, plus de 2,5 millions de personnes avaient visité son site web, et qu’il estimait que ce dernier avait permis d’envoyer plusieurs millions de courriels.

« Cette campagne semble avoir placé le sujet au premier plan dans les États membres où il n’y avait auparavant que peu ou pas de débat public », estime Ella Jakubowska, responsable des politiques d’European Digital Rights (EDRi), qui réunit les principales ONG européennes de défense des libertés numériques.

« La présidente de la Commission européenne, Ursula von der Leyen, doit désormais admettre l’échec de son projet dystopique Control Chat », estime Patrick Breyer, pour qui la Commission « doit définitivement retirer ce projet de loi irréparable, qui n’a pas réussi à obtenir la majorité au Conseil depuis des années » :

« Elle devrait plutôt adopter l’alternative proposée par le Parlement européen, qui garantit une protection efficace des enfants sans surveillance de masse : des applications plus sûres grâce à la « sécurité dès la conception », la suppression proactive des contenus illégaux en ligne et des obligations de retrait rapide. »

Le chiffrement est essentiel à l’indépendance numérique de l’Europe

Plus de 40 entreprises et ONG européennes soucieuses de la protection de la vie privée avaient cosigné plus tôt cette semaine une lettre ouverte aux États membres de l’UE, rappelant pourquoi la proposition reviendrait à installer une « porte dérobée » dans les terminaux des citoyens européens :

« L’avenir numérique de l’Europe dépend de la compétitivité de ses propres entreprises. Or, obliger les services européens à affaiblir leurs normes de sécurité en analysant tous les messages, même cryptés (sic), à l’aide d’une analyse côté client, compromettrait la sécurité des utilisateurs en ligne et irait à l’encontre des normes élevées de l’Europe en matière de protection des données. Par conséquent, les utilisateurs européens – particuliers et entreprises – et les clients mondiaux perdront confiance dans nos services et se tourneront vers des fournisseurs étrangers. Cela rendra l’Europe encore plus dépendante des géants américains et chinois de la technologie qui ne respectent pas actuellement nos règles, sapant ainsi la capacité de l’Union à être compétitive. »

Elle rappelle que le RGPD est « l’un des rares, voire le seul avantage concurrentiel dont dispose l’Europe par rapport aux États-Unis et à la Chine dans le secteur technologique ». Et ce, alors que les mesures telles que NIS2, la loi sur la cyberrésilience et la loi sur la cybersécurité « reconnaissent que le chiffrement est essentiel à l’indépendance numérique de l’Europe ».

Plusieurs Français figurent parmi les signataires : Commown, CryptPad, E-Foundation, la FFDN, Gentils Nuages, Hashbang, LeBureau.coop, Logilab, Murena, Nym, Octopuce, Olvid, TeleCoop et XWiki.

Rechtsstaat tabu

Le projet controversé Chat Control, que la Commission peine à faire adopter depuis trois ans, était « l’une des priorités phares » du Danemark, qui préside le Conseil de l’UE. Mais l’Allemagne, opposée de longue date au projet, vient de nouveau de réitérer son rejet de ce que sa ministre de la Justice a qualifié de « suspicion généralisée ».

Qualifiée de « projet de loi européen le plus critiqué de tous les temps », le projet de règlement européen « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » (ou CSAR, pour Child Sexual Abuse Regulation) et que la Commission européenne cherche à faire adopter depuis 2022, vient une fois de plus de se heurter au mur des défenseurs des droits humains.

Comme Next l’a déjà moult fois raconté, il propose notamment de scanner les images et adresses URL avant qu’elles ne soient envoyées, directement sur les terminaux des utilisateurs de messageries, notamment chiffrées. Ce qui reviendrait à une forme de « surveillance de masse », et casserait la notion de chiffrement de bout en bout.

« Le contrôle injustifié des conversations en ligne doit être tabou dans un État de droit », vient de déclarer Stefanie Hubig, ministre fédérale allemande de la Justice et de la Protection des consommateurs, ajoutant que « les communications privées ne doivent jamais faire l’objet d’une suspicion généralisée » :

« L’État ne doit pas non plus contraindre les messageries instantanées à scanner en masse les messages avant leur envoi afin de détecter tout contenu suspect. L’Allemagne ne donnera pas son accord à de telles propositions au niveau européen. Nous devons également progresser dans la lutte contre la pornographie enfantine au niveau européen. Je m’engage en ce sens. Mais même les crimes les plus graves ne justifient pas la renonciation aux droits civiques fondamentaux. J’insiste sur ce point depuis des mois lors des votes du gouvernement fédéral. Et je continuerai à le faire. »

La veille, Jens Spahn, président du groupe CDU/CSU au Bundestag, qui fait partie de la coalition au pouvoir en Allemagne, avait confirmé que le gouvernement allemand s’opposerait « au contrôle sans motif des chats », ce « client side scanning » (scan côté client) ayant vocation à analyser l’intégralité des images (photos et vidéos) et textes (à la recherche des URL) avant qu’elles ne soient partagées :

« Cela reviendrait à ouvrir toutes les lettres à titre préventif pour vérifier qu’elles ne contiennent rien d’illégal. C’est inacceptable, cela n’arrivera pas avec nous. »

Une « double majorité qualifiée » impossible à obtenir

Or, comme Next l’avait expliqué en septembre dernier, il faut en effet que 15 des 27 États membres de l’UE « au moins », représentant collectivement 65 % de la population « au moins », approuvent les textes soumis au Conseil de l’Union européenne pour parvenir à un accord, une procédure qualifiée de « double majorité qualifiée ».

• Chat Control : le projet de surveillance des messageries a (encore) du plomb dans l’aile

Jusqu’à fin août, 15 pays soutenaient le projet, et 4 s’y opposaient. Les partisans de la proposition danoise ne sont plus que 12 (Bulgarie, Croatie, Chypre, Danemark, Espagne, France, Hongrie, Irlande, Lituanie, Malte, Portugal et Suède) contre 10 opposants (Autriche, République tchèque, Estonie, Finlande, Allemagne, Luxembourg, Pays-Bas, Pologne, Slovaquie et Slovénie), et 5 indécis (Belgique, Grèce, Italie, Lettonie, Roumanie), comme le relève le site chatcontrol.eu.

Or, les 12 pays partisans ne représentent plus que 38,82 % de la population européenne, et les 5 indécis 22,68 %. Le ralliement de l’Allemagne (qui représente, à elle seule, 18,56 % de la population européenne) au camp des opposants rend impossible l’obtention de la « double majorité qualifiée » requise.

Le projet ne sera d’ailleurs pas soumis au vote lors de la prochaine réunion des ministres de l’Intérieur de l’UE comme initialement prévu, ont expliqué des sources diplomatiques à l’ORF, la radiotélédiffusion publique autrichienne :

« Mais cela ne signifie pas pour autant que le sujet soit définitivement clos. Le Danemark ou les prochaines présidences du Conseil de l’UE pourraient remettre une proposition révisée sur la table. »

Pour la première fois, même les conservateurs émettent des critiques

« C’est une victoire formidable pour la liberté qui prouve que la protestation fonctionne ! », s’est pour sa part félicité l’ex-eurodéputé pirate Patrick Breyer, qui combat ce projet depuis des années et dont le blog constitue la ressource la plus complète à ce sujet :

« Face à une vague d’appels et d’e-mails du public, les sociaux-démocrates tiennent bon et, pour la première fois, même les dirigeants conservateurs émettent des critiques. Sans la résistance inlassable des citoyens, des scientifiques et des organisations, les gouvernements de l’UE auraient adopté la semaine prochaine une loi totalitaire sur la surveillance de masse, signant la fin de la confidentialité numérique. Le fait que nous ayons réussi à empêcher cela, pour l’instant, est un moment à célébrer. »

Un ingénieur logiciel de 30 ans aurait contribué au revirement

POLITICO souligne de son côté que le site fightchatcontrol.eu, lancé le 6 août dernier par un ingénieur logiciel danois de 30 ans, aurait contribué à « saturer » de courriels les responsables gouvernementaux nationaux et membres du Parlement européen, et même « provoqué une vive agitation dans les couloirs du pouvoir à Bruxelles ».

POLITICO a pu vérifier l’identité de celui qui se fait appeler Joachim. Il refuse en effet de rendre public son nom ainsi que celui de son employeur qui, n’ayant « aucun intérêt commercial » associé à ce projet, ne souhaite pas être associé à cette campagne.

L’ingénieur, qui aurait pris en charge seul les coûts liés au site web, a répondu à POLITICO que, début octobre, plus de 2,5 millions de personnes avaient visité son site web, et qu’il estimait que ce dernier avait permis d’envoyer plusieurs millions de courriels.

« Cette campagne semble avoir placé le sujet au premier plan dans les États membres où il n’y avait auparavant que peu ou pas de débat public », estime Ella Jakubowska, responsable des politiques d’European Digital Rights (EDRi), qui réunit les principales ONG européennes de défense des libertés numériques.

« La présidente de la Commission européenne, Ursula von der Leyen, doit désormais admettre l’échec de son projet dystopique Control Chat », estime Patrick Breyer, pour qui la Commission « doit définitivement retirer ce projet de loi irréparable, qui n’a pas réussi à obtenir la majorité au Conseil depuis des années » :

« Elle devrait plutôt adopter l’alternative proposée par le Parlement européen, qui garantit une protection efficace des enfants sans surveillance de masse : des applications plus sûres grâce à la « sécurité dès la conception », la suppression proactive des contenus illégaux en ligne et des obligations de retrait rapide. »

Le chiffrement est essentiel à l’indépendance numérique de l’Europe

Plus de 40 entreprises et ONG européennes soucieuses de la protection de la vie privée avaient cosigné plus tôt cette semaine une lettre ouverte aux États membres de l’UE, rappelant pourquoi la proposition reviendrait à installer une « porte dérobée » dans les terminaux des citoyens européens :

« L’avenir numérique de l’Europe dépend de la compétitivité de ses propres entreprises. Or, obliger les services européens à affaiblir leurs normes de sécurité en analysant tous les messages, même cryptés (sic), à l’aide d’une analyse côté client, compromettrait la sécurité des utilisateurs en ligne et irait à l’encontre des normes élevées de l’Europe en matière de protection des données. Par conséquent, les utilisateurs européens – particuliers et entreprises – et les clients mondiaux perdront confiance dans nos services et se tourneront vers des fournisseurs étrangers. Cela rendra l’Europe encore plus dépendante des géants américains et chinois de la technologie qui ne respectent pas actuellement nos règles, sapant ainsi la capacité de l’Union à être compétitive. »

Elle rappelle que le RGPD est « l’un des rares, voire le seul avantage concurrentiel dont dispose l’Europe par rapport aux États-Unis et à la Chine dans le secteur technologique ». Et ce, alors que les mesures telles que NIS2, la loi sur la cyberrésilience et la loi sur la cybersécurité « reconnaissent que le chiffrement est essentiel à l’indépendance numérique de l’Europe ».

Plusieurs Français figurent parmi les signataires : Commown, CryptPad, E-Foundation, la FFDN, Gentils Nuages, Hashbang, LeBureau.coop, Logilab, Murena, Nym, Octopuce, Olvid, TeleCoop et XWiki.