"Déjà victime d’un piratage en 2025, l’Union nationale du sport scolaire (UNSS) a reconnu mardi avoir fait l’objet d’un vol de données issues de son outil de gestion de la relation avec les licenciés. Quelques jours plus tôt, le groupe Dumpsec affirmait être en possession de 890 000 photos émanant de l’UNSS. "
Ah bah super, hein. 😒 (Permalink)
29 données personnelles perdues par habitant : la France figure parmi les quatre pays les plus touchés au monde. Derrière les hackers et les failles techniques, c’est toute une chaîne de vulnérabilités qui est en cause. Mais, bonne nouvelle : les solutions sont connues.
Imaginez : vous postulez à un emploi via France Travail. Nom, prénom, numéro de sécurité sociale, adresse, téléphone — tout y passe. Quelques mois plus tard, ces informations circulent librement sur Internet. Ce n’est pas de la science-fiction : en mars 2024, les données de 36,8 millions de Français ont été aspirées par des pirates. La CNIL a révélé un détail édifiant : en une seule journée, 9 gigaoctets de données — l’équivalent de 13 millions de fiches — ont été extraits sans que personne ne s’en aperçoive.
France Travail n’est pas un cas isolé. SFR, Free, Cegedim, IDMerit, l’Office français de l’immigration… Les violations ont été multipliées par 14 en un an. Neuf Français sur dix sont concernés. Seuls les États-Unis et la Russie font pire en densité de fuites par habitant. Pour comprendre comment on en est arrivé là, il faut démonter la mécanique : chaque maillon de la chaîne numérique peut céder, et les pirates le savent.
On ne force plus la porte, on vole les clés
Première faille, et de loin la plus fréquente : l’identité. Oubliez le hacker qui « casse » du code. Aujourd’hui, à l’échelle mondiale, dans 60 % des cas, les fuites impliquent un facteur humain — erreur, manipulation ou abus de confiance. Le pirate ne fracture plus la serrure : il se fait remettre la clé.
Comment ? Par l’ingénierie sociale, d’abord. Un e-mail piégé, un faux appel téléphonique — et un salarié livre son mot de passe. C’est exactement ce qui s’est passé chez France Travail : les attaquants se sont fait passer pour des conseillers de Cap Emploi. Avec un simple identifiant, ils ont consulté l’intégralité de la base comme des employés ordinaires peuvent le faire.
Ensuite, il y a le marché noir des identifiants. Des logiciels malveillants appelés « infostealers » infectent silencieusement les ordinateurs et aspirent les mots de passe professionnels. 30 % des machines compromises étaient pourtant équipées d’antivirus. Les identifiants se revendent par millions, au même titre qu’un objet d’occasion. Un mot de passe seul, en 2025, ne protège tout simplement plus rien.
L’erreur invisible des développeurs
Deuxième maillon faible : le code lui-même. Dans la course au « tout connecté », les développeurs ont excellé pour vérifier votre identité (« Qui êtes-vous ? ») mais parfois négligé de vérifier vos droits (« Avez-vous accès à cette donnée précise ? »). C’est la différence entre authentification et autorisation — deux mots proches mais deux concepts très différents. Concrètement, il suffit parfois de modifier un numéro dans l’adresse web d’un service pour accéder aux données du voisin, comme si vous pouviez ouvrir le casier de quelqu’un d’autre en changeant un chiffre sur le cadenas. Cette faille, dite de « contrôle d’accès défaillant », est classée première menace mondiale par l’OWASP, l’organisme de référence en sécurité des applications web.
Le Vibe Coding : magie créative ou bombe à retardement
L’essor du cloud aggrave le problème. Autrefois, les serveurs d’une entreprise n’étaient pas tous accessibles sur Internet. Aujourd’hui, ils sont hébergés chez Amazon, Google, Microsoft, Scaleway ou OVH, et c’est le développeur « full stack » (capable de travailler sur toute la chaîne d’une application web jusqu’à son déploiement sur les serveurs) qui les configure. Sauf qu’un bon développeur n’est pas forcément un bon ingénieur réseau et sécurité : on retrouve régulièrement des bases de données de test ou de production — contenant de vraies informations de vrais clients — accessibles à quiconque sur Internet, simplement parce qu’un réglage a été oublié.
L’ennemi intérieur
Parfois, la fuite vient de l’intérieur, et elle est volontaire. En Europe, 29 % des violations proviennent d’acteurs internes à l’organisation. Un employé mécontent qui copie une base clients avant de claquer la porte. Un prestataire curieux qui consulte des dossiers qui ne le regardent pas. Un commercial qui exporte des fichiers sur une clé USB pour les emporter chez un concurrent. Ces fuites « humaines » sont les plus difficiles à détecter : l’individu a, en apparence, parfaitement le droit d’accéder aux données qu’il subtilise.
La sous-traitance, bombe à retardement
Aucune entreprise ne fonctionne seule. Vos données de santé transitent par un prestataire, votre banque confie ses contrats à un tiers, votre opérateur téléphonique délègue la maintenance de son site. La part des fuites impliquant un sous-traitant a doublé en un an, passant à 30 %. L’affaire Viamedis l’illustre : en piratant ce prestataire du tiers payant de mutuelles, les attaquants ont accédé aux données de 33 millions d’assurés, soit la moitié de la population française.
Plus insidieuse encore : la chaîne logicielle. Lorsqu’un développeur construit une application, il intègre des centaines de briques de code créées par d’autres — comme un chef cuisinier qui achèterait ses ingrédients à des dizaines de fournisseurs. Il suffit qu’un seul soit contaminé pour empoisonner le plat entier. C’est ce qui s’est produit avec la faille Log4j en 2021 : une petite bibliothèque de code utilisée dans des milliers de logiciels s’est révélée compromise, ouvrant la porte à des attaques à l’échelle planétaire. Plus récemment, l’éditeur Notepad++, très apprécié des développeurs, a subi lui aussi une compromission de son code source.
Le fantôme dans la machine : la dette technique
Dernier maillon, et non des moindres : les vieux systèmes. Paradoxe de 2025 : on peut se faire voler des données via un boîtier VPN vieux de dix ans ou un logiciel de gestion de site web jamais mis à jour. Ces logiciels et matériels « legacy », souvent oubliés des équipes informatiques, sont les cibles préférées des failles dites « zero-day » — des vulnérabilités inconnues des concepteurs et exploitées avant qu’un correctif n’existe. Le pirate entre par le vieux système, puis « pivote » vers les environnements modernes. Le rapport Verizon 2025 le confirme : les failles sur les équipements de périmètre (VPN, pare-feux) ont été multipliées par huit, et seules 54 % d’entre elles sont corrigées, avec un délai médian de 32 jours.
Face à cette hémorragie, la réglementation devrait protéger les citoyens. Le RGPD a marqué un progrès, mais sept ans après, un constat s’impose : la logique européenne reste massivement administrative. On investit dans les registres, les analyses d’impact, les déclarations de conformité, bref, dans la paperasse. C’est comme exiger d’un restaurant qu’il remplisse trente formulaires sur l’hygiène sans jamais vérifier la température de ses réfrigérateurs. France Travail en est le cas d’école : l’organisme avait identifié toutes les mesures de sécurité nécessaires dans ses analyses d’impact… sans jamais les appliquer.
Le contraste avec l’approche anglo-saxonne est frappant. La Federal Trade Commission américaine exige des mesures techniques concrètes : chiffrement obligatoire, tests d’intrusion réguliers, audits par des experts indépendants. Quant à la responsabilité en chaîne de sous-traitance, le RGPD l’affirme sur le papier, mais l’article 82 permet au donneur d’ordre de se dégager si le sous-traitant est fautif. Résultat : un ping-pong juridique où les victimes n’obtiennent quasiment jamais de compensation directe.
L’entrée en vigueur de la directive NIS2 en janvier 2023, soit la principale réglementation européenne en matière de cybersécurité pour protéger les infrastructures critiques et les services essentiels, promet de changer la donne. Encore faut-il qu’elle soit transposée dans le droit national de chaque pays, ce qui n’est pas encore le cas. Elle doit par exemple encore faire l’objet d’un débat parlementaire en France avant d’être promulguée. Elle impose des mesures techniques plus prescriptives et engage la responsabilité personnelle des dirigeants, ce qui pourrait enfin aligner l’Europe sur une logique d’obligation de résultats. Mais, en ne s’appliquant pas à toutes les entreprises, elle crée le risque du développement d’une cybersécurité à deux vitesses, voyant la majorité des PME rester exposées au flou juridique et technique actuel.
Comment s’en sortir ?
Comme nous l’avons déjà écrit, la bonne nouvelle tient en l’existence de solutions. La première impose d’en finir avec le mot de passe unique. L’authentification multifacteur (MFA) — le principe du double verrou — doit devenir la norme absolue : même si quelqu’un vole votre mot de passe, il ne peut entrer sans un second code généré sur votre téléphone. Si France Travail l’avait exigé pour Cap Emploi, l’attaque aurait probablement échoué.
La deuxième impose de surveiller les comportements anormaux plutôt que de se contenter de verrouiller les portes. Aucun employé n’a besoin de télécharger 13 millions de fiches en un jour. Un système de détection d’anomalies, fonctionnant comme un disjoncteur électrique, aurait coupé l’hémorragie dès les premières minutes.
La troisième relève du cloisonnement. Un prestataire n’a pas toujours besoin d’accéder à une base entière pour faire son travail. Le principe du « moindre privilège » — ne donner que les accès strictement nécessaires ou chiffrer les données — aurait limité certaines fuites. De même, les serveurs de production ne devraient jamais pouvoir communiquer librement avec Internet : si une librairie de code vérolée tente d’envoyer des données vers un serveur inconnu, le flux doit être bloqué par défaut.
La quatrième invoque la remise en cause permanente des systèmes existants. Le vieux dogme « tant que ça marche, on ne touche à rien » est dangereux. Il faut renouveler régulièrement les clés d’accès, les certificats, les configurations — forcer le mouvement pour débusquer un éventuel intrus caché dans le système. C’est la technique du « chaos monkey », appliquée à la sécurité informatique.
Enfin, la France et l’Europe doivent sortir du tout-administratif pour privilégier l’efficacité opérationnelle. Plutôt que de multiplier les registres, il faut imposer des mesures de protection concrètes à l’ensemble du tissu économique. En instaurant la transparence sur les fuites, la réputation deviendra un levier aussi puissant que les sanctions financières. Il est temps que les entreprises craignent plus les cybercriminels que les auditeurs de conformité. Pour cela, on pourrait aussi accorder juridiquement la propriété de leurs données aux particuliers, ce qui transformerait la nature même du vol. Le prestataire deviendrait ainsi le simple dépositaire d’un bien qui ne lui appartient pas. Ce changement de paradigme permettrait aux victimes d’engager des recours collectifs (class actions) et de récupérer directement le montant des amendes à titre de réparation. Car la cybersécurité n’est ni un problème de hackers, ni une fatalité technologique. C’est une question d’organisation, de bon sens et de volonté politique. Les outils existent. Il ne reste plus qu’à les appliquer.
Et cette urgence prend une dimension nouvelle à l’heure où nos gouvernements veulent généraliser la certification d’identité en ligne. L’Assemblée nationale a adopté le 26 janvier 2026 une proposition de loi interdisant les réseaux sociaux aux moins de 15 ans. Pour l’appliquer, il faudra vérifier l’âge de tous les utilisateurs — pas seulement des mineurs. Parmi les pistes envisagées : l’envoi d’une pièce d’identité accompagnée d’un selfie, ou le recours à l’application France Identité, adossée à la carte d’identité électronique. Autrement dit, au moment même où l’on peine à protéger nos numéros de sécurité sociale et nos adresses, on s’apprête à confier nos documents d’identité officiels à des circuits de vérification supplémentaires — autant de nouvelles surfaces d’attaque. On peut légitimement se demander si un pays qui n’arrive pas à empêcher l’extraction de 13 millions de fiches en une journée est vraiment prêt à centraliser la vérification d’identité de 50 millions d’internautes. Le « double anonymat » promis par le gouvernement est une belle idée sur le papier — mais on a vu les limites de la sécurité sur le papier.
En attendant, si, anxieux, vous souhaitez savoir en direct où en sont les fuites de données observées, vous pouvez les suivre sur le site Bonjour la fuite… Pas de quoi vous rassurer au moment où vous répandez vos données sur la toile, mais vous serez au moins informés…
La loi California Assembly Bill 1043, ou « Digital Age Assurance Act », impose une vérification d’âge obligatoire aux fournisseurs de systèmes d’exploitation et de magasins d’applications en Californie. Signée en octobre 2025 par le gouverneur Gavin Newsom, elle entre en vigueur le 1ᵉʳ janvier 2027 et vise à protéger les mineurs contre les contenus nuisibles en ligne via un signal d’âge partagé avec les apps.
Elle oblige les OS (y compris Linux, FreeBSD ou SteamOS) à proposer une interface de saisie de date de naissance lors de la création de compte, avec un API en temps réel pour indiquer la tranche d’âge aux applications. Les amendes pour non-conformité peuvent atteindre 7 500 $ par enfant affecté, ce qui pèse lourdement sur les petits développeurs.
Des projets comme MidnightBSD ont réagi en excluant les résidents californiens de leur licence à partir de 2027 ; la communauté open source dénonce des implications sur la vie privée et l’applicabilité technique. L’application reste débattue pour les OS décentralisés sans « account setup » standard.
"Dans une lettre ouverte, 371 chercheuses et chercheurs de 30 pays s’opposent à la généralisation de la vérification d’âge imposée aux différents services en ligne par de nombreuses législations dans le monde sans que les implications sur la sécurité, la vie privée, l’égalité et la liberté aient été prises en compte."
Et aussi :
"Ils pointent aussi que certaines recherches montrent l’utilité des plateformes en ligne et réseaux sociaux pour que les jeunes puissent s’informer, trouver des conseils et s’appuyer sur des communautés pour casser leur isolement."
AH BEN PURIN je ne suis pas le seul à le dire. Ouf.
T'es jeune en pleine campagne ? Handicapé ? LGBT dans un milieu fortement homophobe ? Les réseaux sociaux c'est aussi du LIEN SOCIAL qui permet de survivre, de ne pas péter les plombs.
Donc arrêtons de taper sur les jeunes, tapons sur les GAFAMs qui diffusent de la merde sur ces réseaux (puisque en fait, le fond du problème c'est ça). (Permalink)
Après les polémiques liées à des accidents impliquant des SU7, Xiaomi a annoncé créer un comité dédié à la sécurité de ses voitures électriques. La marque prévoit aussi de s'entretenir avec des propriétaires, des experts et des médias.
Je suis journaliste tech depuis 20 ans, j'ai écrit quantité d’articles sur la cybersécurité. Et je me suis quand même fait arnaquer comme un bleu par un faux conseiller Binance. Témoignage d'une escroquerie par téléphone d'une redoutable efficacité (et d'une humiliation personnelle cuisante).
Longtemps, j’ai caracolé en tête des classements des villes où il fait bon vivre. « Tu es la plus belle, la plus verte et la plus attractive », me disaient labels et palmarès. Aujourd’hui, à me regarder de plus près dans le miroir des indicateurs publics, le reflet s’assombrit.
Je suis cette ville que le peuple gaulois des Namnètes fonda vers le Ier siècle avant notre ère. Cette ancienne cité industrielle meurtrie par la fermeture de ses chantiers navals, qui a su opérer une mue spectaculaire. Cette ville que tout le monde voulait habiter et qui compte aujourd’hui environ 330 000 personnes.
Me voilà, comme les autres communes françaises, devant passer le test des élections municipales (15 et 22 mars). Elles verront ma maire sortante, favorite du scrutin, la socialiste Johanna Rolland, briguer un troisième mandat, à la tête d’une liste d’union de la gauche, hors LFI. Elle sera confrontée à Foulques Chombart de Lauwe, candidat de la droite et du centre soutenu par LR, Horizons, Renaissance et Modem, mais aussi à l’insoumis William Aucant, à Jean-Claude Hulot pour le Rassemblement national, à Margot Medkour, se présentant sous les couleurs de Nantes populaire (extrême gauche), et au centriste Mounir Belhamiti.
Niveau indicateurs économiques, ma croissance reste flatteuse, affichant +1,1 % par an sur les 10 dernières années, quatre fois plus que la moyenne nationale. Chaque semaine, je vois arriver près de 80 nouveaux venus.
Ce dynamisme tient à la jeunesse que j’aimante (âge médian : 33 ans), à mon pôle universitaire et à un marché tertiaire attractif. Mais si j’attire, je ne retiens plus forcément. Une partie significative des familles et des seniors s’éloigne vers la seconde couronne métropolitaine ou les départements voisins, chassée par le coût du logement.
Très cher logement
Car ici comme ailleurs, le logement est devenu un nœud gordien. Mon parc social est saturé. Seules 19 % des demandes aboutissent, et à peine 12 % pour les ménages dont les revenus sont inférieurs à 500 euros par mois. Cette tension résulte d’un effet ciseau désormais bien établi : une baisse durable de la production de logements sociaux, conjuguée à une flambée des prix de l’immobilier ancien, qui ont progressé quatre fois plus vite que les revenus en vingt ans.
« Samy Azdoufal découvre alors qu'il a non seulement accès aux données de son aspirateur, mais à celles de 7 000 autres ; niveau de batterie, accès à la caméra, au micro et à la localisation des appareils. »
MAIS PURIN DE BORDEL. Ces fabricants méritent des baffes, c'est pas possible.
Je vous le dis: Pas d'objets connectés chez moi. C'est hors de question. (Permalink)
Oh bordel : « Dans certains cas, la base fait état du dossier médical du patient, de manière détaillée. On y retrouve des informations sensibles remplies par des professionnels de santé : "porteuse sida !!! !!!!", "serait homosexuelle d'après sa mère", "mère musulmane voilée", ou encore "catholique non pratiquante car ses 2 frères sont suicidés". »
😱 Oh mais non...
Dans une étude publiée le 25 février 2026, les équipes de Check Point ont dévoilé trois vulnérabilités critiques affectant Claude Code, l'assistant de programmation IA développé par Anthropic.Ces failles exploitent la manière dont l'agent gère les fichiers de configuration du projet.
La DGSI (Direction Générale de la Sécurité Intérieure) veut réduire notre sécurité. Cherchez l'erreur.
Notez bien aussi : "La DGSI ne parviendrait en effet à pirater que 25 à 30 % des smartphones seulement."
Ce qui veut dire qu'Apple et les fabricants de smartphone Android ont fait des efforts pour améliorer la sécurité. (Et c'est malheureusement aussi pour ça qu'il vaut mieux ne pas se traîner des smartphones avec de vieilles versions d'Android qui ne recoivent plus de mises à jour.) (Permalink)
Ce 24 février 2026, une affaire retient l’attention sur X : celle de Sammy Azdoufal, un ingénieur ayant découvert involontairement une faille de sécurité affectant les aspirateurs de la marque chinoise DJI.
Volvo opère une campagne de rappel sur plus de 40 000 EX30 dont la batterie pourrait prendre feu. Le remplacement des packs pourrait coûter à la marque environ 165 millions d'euros. Heureusement, la France est épargnée.
Des centaines de milliards de lignes de COBOL tournent encore dans les systèmes critiques des banques et des gouvernements. Problème : les développeurs capables de les maintenir disparaissent, à la retraite ou trop âgés. Claude, l'IA d'Anthropic, promet de résoudre l'équation impossible -- moderniser sans tout casser.
Ce 23 février 2026, Summer Yue est au centre des discussions tech sur X. La responsable de l’alignement IA chez Meta a raconté comment son agent autonome OpenClaw lui a désobéi, supprimant sans autorisation des emails de sa boîte Gmail. Un incident qui soulève de sérieuses questions sur la fiabilité des agents IA.
Le 20 février 2026, la société américaine Anthropic annonçait le lancement de Claude Code Security, une nouvelle brique de cybersécurité automatisée intégrée directement à son outil de génération de code. L’annonce a provoqué un vent de panique sur les marchés : les valeurs des grandes sociétés de cybersécurité ont vacillé, certains y voyant une rupture brutale du modèle existant. Pourtant, la réalité technique se révèle beaucoup plus nuancée.
Woao... alors j'ignorais ça.
Le réseau I2P est en quelques sorte le cousin du réseau TOR : un réseau en onion-routing pour contourner la censure. Il comporte habituellement environ 20 000 nœuds.
Le 3 février, 700 000 nouveaux nœuds sont apparus et ont inondé le réseau de données.
Une attaque ? Non. En fait un logiciel malveillant Kitbot avait, dans son code, l'instruction d'utiliser I2P comme réseau de secours au cas où ses serveurs principaux seraient coupés.
Or les spécialistes en cybersécurité on réussit à couper 550 de ces serveurs principaux, poussant le botnet vers I2P. (Permalink)
Le 17 février 2026, l'assistant de code IA Cline a annoncé qu'une de ses mises à jour, publiée en son nom, avait en réalité été compromise par des hackers. Si cette version aurait pu intégrer des malwares ou causer de gros dégâts, elle a au contraire discrètement installé OpenClaw sur les machines infectées.
Pas eu le temps de regarder en détail, mais a priori on va pouvoir mettre en place une validation permanente des certificats Let's Encrypt sans avoir à bidouiller du certbot tout le temps. On pouvait déjà faire une valation Let's Encrypt via DNS, mais cette nouvelle procédure évite de toucher tout le temps aux enregistrements DNS. (Permalink)
Connexion
