La popularité de la Formule 1 ne profite pas qu'aux écuries et aux diffuseurs. Dans l'ombre, une autre industrie tourne à plein régime : la cybercriminalité. Rencontre avec Bogdan Botezatu, directeur de la recherche sur les menaces chez Bitdefender, qui a cartographié les risques cyber auxquels s'exposent les fans du sport automobile.
Je suis agriculteur en Creuse et je code sur mon temps libre. J'ai commencé à m'intéresser à la question de la récupération de compte en développant ARC PVE Hub, un site destiné à fédérer une communauté de joueurs. Je n'ai jamais compris pourquoi il fallait transmettre son email pour régénérer un mot de passe — ça déplace la sécurité du compte vers un fournisseur SMTP tiers, qui n'est pas contrôlé par l'utilisateur.
J'ai donc imaginé un protocole de récupération sans email, sans SMS et sans tiers. Le travail s'est étoffé en partenariat avec un assistant IA (Claude), comme outil de réflexion et de mise en forme — j'y reviens en fin de dépêche dans une note de transparence.
L'incident de sécurité ANTS du 15 avril 2026 a publiquement illustré le problème. J'en ai eu connaissance après avoir développé SelfRecover, ce qui m'a confirmé la pertinence d'un protocole sans dépendance à l'email. SelfRecover est publié sous AGPL-3.0-or-later sur GitHub.
Cette dépêche présente le protocole, ses choix de conception, ses limites assumées, et la comparaison avec les approches existantes (Keycloak Recovery Codes en particulier, qui m'a été suggéré en relecture). Audit communautaire bienvenu.
Depuis l'essor du web, la réponse standard à « l'utilisateur a oublié son mot de passe » est « on lui envoie un lien de réinitialisation par email ». C'est devenu si universel qu'on oublie ce que ça implique :
L'incident de sécurité ANTS illustre une autre facette du problème de gestion des données d'authentification dans les services en ligne. Détecté le 15 avril 2026 et rendu public le 20 avril, il a touché 11,7 millions de comptes selon les communiqués officiels. La cause technique identifiée est une faille d'énumération de type IDOR (Insecure Direct Object Reference) : il était possible d'accéder aux données d'un autre compte en modifiant un identifiant dans une URL. La fuite ne concerne ni les mots de passe, ni les pièces justificatives, mais les données personnelles associées aux demandes de titres.
Devant ces limites structurelles autour de l'authentification web, SelfRecover propose une inversion : conserver le secret de récupération chez l'utilisateur, et utiliser le navigateur pour faire les calculs cryptographiques nécessaires à la vérification. Le serveur ne détient plus que des dérivés, jamais les secrets bruts.
Côté navigateur, on calcule HMAC-SHA256(secret, domaine) : une fonction cryptographique standard qui combine le secret de l'utilisateur avec le nom de domaine du site, et produit une empreinte impossible à inverser. Côté serveur, on ne stocke que cette empreinte, en plus protégée par un hash adaptatif et memory-hard : Argon2id, qui est le standard moderne recommandé contre les attaques par brute force.
Deux propriétés découlent de cette construction :
Note conceptuelle : l'inspiration vient des machines à rotors historiques type Enigma. Le principe partagé est qu'une même configuration secrète, présente des deux côtés (émetteur et récepteur), permet de produire et vérifier un message dérivé. La cryptographie moderne (HMAC-SHA256 ici) repose sur des fondations mathématiques différentes, mais ce principe de dérivation contrôlée par un secret commun est resté.
SelfRecover propose deux modes selon le contexte de déploiement.
L'application abandonne entièrement le flow de réinitialisation par email. L'utilisateur génère une passphrase diceware à l'inscription (liste EFF de 7 776 mots, 4 à 7 mots par défaut), qu'il mémorise ou stocke dans son gestionnaire de mots de passe. Cette passphrase, combinée au nom de domaine du site via HMAC-SHA256, permet de réinitialiser le mot de passe sans aucune dépendance externe.
Pour qui : nouveaux projets qui veulent s'affranchir de SMTP dès la conception, ou services qui adoptent un modèle de menace post-fuite (l'email n'est plus considéré comme un canal de confiance).
L'application conserve le flow de réinitialisation par email habituel, mais y ajoute une étape supplémentaire : l'utilisateur saisit un mot mémorisé (choisi à l'inscription) qui est dérivé HMAC-SHA256 côté navigateur. Le mot brut n'est jamais transmis au serveur. La validation combine donc deux facteurs :
Pour qui : applications existantes qui ne peuvent abandonner SMTP du jour au lendemain, mais veulent durcir progressivement leur flow de récupération. Conséquence : un email intercepté seul ne suffit plus à compromettre un compte — il faut aussi connaître le mot mémorisé.
| Mode | Canal email | Crypto utilisateur | Cible |
|---|---|---|---|
| Full | Aucun | Passphrase diceware EFF + HMAC | Nouveaux projets |
| Lite | Conservé | Mot mémorisé + HMAC | Applications existantes |
Lors de la relecture de cette dépêche, devnewton a soulevé une question importante : quelle est la différence avec les Recovery Codes de Keycloak ?
Keycloak est l'IAM (Identity and Access Management) open-source de référence, maintenu par Red Hat sous licence Apache 2.0, déployé dans de nombreuses organisations depuis plus d'une décennie. Son mécanisme de Recovery Codes est un fallback d'authentification à deux facteurs : si l'utilisateur perd son téléphone TOTP, il peut saisir un code de secours préalablement généré côté serveur.
Note importante de positionnement : les Recovery Codes Keycloak adressent le cas « j'ai perdu mon 2FA mais je connais toujours mon mot de passe principal ». Le password reset principal de Keycloak utilise, lui, le canal email standard (configuration SMTP dans l'onglet Email de l'admin console).
SelfRecover s'attaque à un cas différent : « j'ai oublié mon mot de passe principal et je ne veux pas dépendre de l'email pour le récupérer ». Concrètement :
| Aspect | Keycloak Recovery Codes | SelfRecover |
|---|---|---|
| Cible | Fallback 2FA | Password recovery sans email |
| Architecture | Serveur IAM standalone (Java + BDD + admin) | Bibliothèque à intégrer dans le code de l'application |
| Source du secret | Serveur génère, utilisateur sauvegarde | Utilisateur génère/mémorise (diceware ou mot mémorisé) |
| Stockage utilisateur | Codes à sauvegarder physiquement | Passphrase mémorisable (mode Full) ou mot mémorisé (mode Lite) |
| Email reset principal | Reste nécessaire (SMTP configuré dans l'admin) | Aucun (mode Full) ou en complément (mode Lite) |
| Anti-phishing crypto | Pas spécifique au mécanisme | Dérivation HMAC par domaine : un secret capturé sur un site est mathématiquement inutilisable ailleurs |
| Licence | Apache 2.0 | AGPL-3.0-or-later |
| Maturité | 10+ ans, audité, déployé largement | Récent, audit communautaire bienvenu |
Pour la majorité des projets qui acceptent l'email comme canal de récupération, Keycloak (et son écosystème) reste le bon choix. SelfRecover s'adresse aux applications qui veulent réduire ou supprimer leur dépendance à SMTP, et qui n'ont pas besoin de la richesse d'un IAM complet (multi-realm, OIDC/SAML, fédération d'identité, etc.).
C'est la question critique d'un protocole de récupération. SelfRecover y répond par escalade progressive sur trois niveaux, complétée par un système de litiges et un chat administrateur pour les cas extrêmes.
L'utilisateur saisit son username + sa passphrase diceware (match exact). Sur succès, un nouveau mot de passe est généré et affiché une seule fois. Anti-brute force : 3 tentatives par 15 minutes, 3 blocages successifs → éjection vers L2.
L'utilisateur saisit son identifiant public (numéro client, identifiant métier — fourni par le site) et son mot de récupération dérivé HMAC-SHA256 côté navigateur. 3 tentatives maximum avec compteur visible. Sur 3 échecs → redirection vers L3. Un litige est automatiquement créé (LIT-XXXX), tracé en base, admin notifié. Les litiges auto-résolus sont purgés après 24 heures.
Entrée par un lien discret « accès perdu » sur la page de connexion. L'utilisateur saisit son identifiant public en premier (anti-timing : délai forcé de 2 à 3 secondes), puis remplit un formulaire de scoring multi-facteur :
| Catégorie | Champs | Points |
|---|---|---|
| Identifiant public | 4 | 20 |
| Mot de récupération (dérivé HMAC) | 5 | 25 |
| Username | 3 | 30 |
| Passphrase (fragments) | 3 | 25 |
Bonus passifs : IP connue (+5), fingerprint connu (+5).
Dans l'implémentation actuelle (déployée en production sur ARC PVE Hub), le chat L3 est un canal direct entre l'utilisateur en mode restreint et un administrateur humain du site. Pas d'intermédiaire automatisé, pas de bot.
Le canal de chat est bidirectionnel et fonctionne en polling (pas WebSocket temps réel, pour rester simple). L'admin vérifie l'identité par l'échange et décide manuellement :
Accorder la récupération : mot de passe régénéré, compteurs réinitialisés, litige clôturé, mode restreint levé.
Refuser la récupération : ban temporaire de 24 heures, pas de nouveau litige possible pendant cette fenêtre, compteur de refus incrémenté (1/3, 2/3, 3/3). À chaque clic, l'interface admin rappelle explicitement les conséquences via une modale de confirmation (ban 24h aux refus 1 et 2, suppression définitive au 3e refus).
Au 3e refus, le compte est définitivement supprimé : décision exclusivement humaine, prise en pleine connaissance de cause par l'admin via la modale d'avertissement explicite. La suppression libère l'identifiant public pour une nouvelle inscription.
Principe de design MySelf : aucune destruction de données utilisateur n'est déclenchée sans validation humaine consciente. L'interface admin explicite systématiquement les conséquences avant chaque action irréversible. Une IA peut se tromper ou être manipulée ; lui déléguer la décision de supprimer un compte créerait une surface d'attaque.
Ce mécanisme empêche un attaquant de spammer les litiges indéfiniment : chaque refus lui coûte 24 h, et trois échecs effacent toute trace. Un propriétaire légitime bloqué par erreur peut retenter après chaque fenêtre de ban, ou se réinscrire depuis zéro si totalement verrouillé.
En complément du chat admin humain (qui resterait toujours disponible), une couche de pré-traitement par un agent conversationnel local (Ollama auto-hébergé) est en cours de design. Le chatbot poserait les questions initiales de vérification d'identité et estimerait si la demande est légitime. Sur estimation positive, le mot de passe serait régénéré directement ; sur doute, l'admin humain reprendrait la main.
Cette option serait configurable par site qui déploie (activable ou non), et le chatbot ne se substituerait jamais à l'admin pour les décisions destructives (suppression de compte) — ces décisions resteraient exclusivement humaines, conformément au principe MySelf énoncé plus haut.
L'enjeu principal en cours de réflexion : calibrer le seuil de confiance du chatbot pour ne pas créer un nouveau vecteur d'attaque par social engineering (un attaquant pourrait essayer de manipuler le LLM par prompts).
La démo publique (bi-self.my-self.fr/selfrecover/) ne couvre que les niveaux L1 et L2, car L3 nécessite une interface admin, un système de disputes et un dashboard — trop pour une démo à page unique.
L'implémentation de référence en production se trouve sur ARC PVE Hub, un site communautaire de joueurs ARC RAIDERS qui sert de terrain de test à l'écosystème MySelf. L1 + L2 + L3 + mode restreint + chat admin + dispute system y sont fonctionnels.
Dans la vie réelle, si l'on perd sa carte bancaire, son code, sa pièce d'identité, son adresse et sa date de naissance, on ne récupère pas son compte bancaire par email. On passe en agence avec preuve d'identité.
SelfRecover applique la même logique en ligne : la sécurité réelle nécessite parfois un passage par l'humain ou un processus d'identification rigoureux. Cette friction est assumée comme un trade-off conscient, pas comme une limitation à compenser.
Adapté :
- Applications avec un administrateur actif et disponible pour traiter les litiges (forum communautaire, association, e-commerce indépendant, boutique en ligne militante)
- Sites où la sécurité prime sur la fluidité de récupération (services manipulant des données sensibles)
- Communautés à taille humaine (du forum de 50 membres au service de quelques milliers d'utilisateurs)
Non adapté :
- Plateformes à très grande échelle sans admin individuel (réseaux sociaux massifs, services publics avec millions d'utilisateurs) — le volume de litiges dépasse les capacités d'un humain réactif
- Services où une friction de récupération est inacceptable (gaming compétitif, services temps-réel)
- Projets sans maintenance active (l'admin doit pouvoir répondre aux litiges dans des délais raisonnables)
Pour ces cas, un IAM mature comme Keycloak avec ses mécanismes éprouvés reste plus adapté.
Pour la transparence, voici les classes d'adversaires explicitement hors périmètre du protocole :
Ces limitations sont le périmètre normal d'un protocole côté navigateur. Pour les usages à plus haute exigence (cérémonies cryptographiques sensibles, génération initiale de clé maître), MySelf-Live est annoncé dans la roadmap V0.2 : une distribution Linux Live USB minimale, RAM-only, signée GPG, qui isolerait les opérations sensibles du système hôte. Pour les usages courants à fort enjeu, Tails ou Qubes OS offrent déjà ce niveau d'isolation et sont recommandés.
Aucune inscription préalable n'est requise. Les données sont éphémères côté serveur.
Connexiondocker run -p 8080:8080 ghcr.io/pierroons/selfrecover:v0.1.1
La démo de référence tourne sur PHP 8.0+ et SQLite (~600 lignes auditables, zéro dépendance externe). Tag GPG-signé v0.1.1, release datée du 5 mai 2026.
AGPL-3.0-or-later. Toute version déployée publiquement doit publier ses modifications sous la même licence. Pas de capture SaaS possible.
SelfRecover est une brique du méta-projet MySelf, un écosystème de modules auto-hébergés qui couvre l'identité, la modération communautaire, le droit, et l'agriculture.
Un module complémentaire répond de manière directe à la problématique illustrée par l'incident ANTS : SelfDataGuard chiffre les données utilisateur côté client de telle sorte qu'une fuite de base de données ne livre que des blobs inexploitables. Le code est public, AGPL, en v0.1.0-beta — une dépêche dédiée pourra suivre quand le module aura plus de maturité (audit communautaire, retours d'intégration).
Ce protocole a été conçu et codé en partenariat avec un assistant IA (Claude), comme outil de réflexion, de revue critique, et d'écriture de code.
Pour être totalement transparent : je ne suis pas développeur de formation. Mon expérience technique vient du dev web amateur (ARC PVE Hub, un site destiné à fédérer une communauté de joueurs ; un outil de gestion de stock pour mon entreprise ; quelques sites perso). Pour SelfRecover, l'écriture des primitives cryptographiques et la mise en œuvre du protocole ont été largement assistées par l'IA, sur la base de mes choix architecturaux et de ma vision.
Ce qui vient de moi (humain) :
- La vision (souveraineté numérique, refus du SMTP comme canal de récupération)
- Les choix philosophiques (AGPL-3.0-or-later, fallback humain assumé, aucune destruction de données sans validation humaine consciente)
- Le contexte initial (besoin né en développant ARC PVE Hub)
- Chaque décision de trade-off d'architecture
- La responsabilité juridique et morale du code publié sous mon nom et signé GPG
Ce qui vient de l'IA :
- L'écriture des primitives cryptographiques (HMAC, dérivations, vérifications)
- L'agencement du code, la structure des fichiers
- La formalisation des paragraphes du whitepaper et de cette dépêche
- La génération de tests unitaires
- La vérification de cohérence interne
SelfRecover en est à la version 0.1.1, taguée GPG et signée. C'est un état PoC fonctionnel + déployé en production sur un site réel (ARC PVE Hub), mais pas encore mature pour une adoption massive dans des contextes à fort enjeu. La roadmap V0.2 (MySelf-Live, finalisation du chatbot L3, audit tiers) précisera ce périmètre.
Mon compte LinuxFr est récent, mais mon ancrage dans la culture du libre ne l'est pas : utilisateur exclusif de distributions Linux depuis quinze ans (principalement Debian), j'ai aidé plusieurs proches à migrer des PC anciens vers Debian pour leur donner une seconde vie au lieu de la déchèterie. J'arrive sur LinuxFr depuis le monde agricole/permaculture et le jeu vidéo (ARC PVE Hub), pas du milieu dev historique.
Je suis salarié couvreur dans une PME et installé en agriculture à temps partiel — mon temps libre pour le développement et la participation communautaire est compté. Je m'engage à répondre aux retours techniques sur cette dépêche et à suivre les disputes sur l'état du projet. Pour le reste (commentaires réguliers, dépêches futures sur d'autres modules MySelf — en particulier SelfDataGuard quand il sera plus mature), ce sera au gré du temps disponible, sans promesse.
Toute critique technique constructive est bienvenue. Pour les critiques sur la légitimité du projet ou la nature humain/IA de la collaboration, j'invite à juger sur les choix concrets, le code public, et la qualité des réponses à vos questions.
SelfRecover est un module de l'écosystème MySelf, expérimentation citoyenne sur la souveraineté numérique sous licence AGPL-3.0-or-later.
Les retours techniques, audits communautaires, propositions d'intégration et questions de fond sont les bienvenus — en commentaire de cette dépêche ou en issue sur le repo GitHub.
Si une administration ou une organisation souhaite tester le protocole en environnement isolé, l'image Docker et le Dockerfile sont à disposition. Aucune démarche commerciale n'est associée à cette publication.
Merci aux modérateurs et contributeurs de LinuxFr — Pierre Jarillon, devnewton, Florent Zara, bobble bubble — dont les retours pendant la phase de rédaction ont substantiellement amélioré cette dépêche.
Commentaires : voir le flux Atom ouvrir dans le navigateur
Le département de la Défense états-unien l’a confirmé : des militaires de son armée ont bien été ciblés en utilisant des données de géolocalisation obtenues via des courtiers de données.
Ça devait arriver. Sur le front, les militaires peuvent être ciblés avec l’utilisation de données obtenues par des courtiers en données qui les revendent sans se soucier de leur utilisation.
Le Commandement central des États-Unis (USCENTCOM), qui dépend du département de la Défense états-unien (DoD), a confirmé au sénateur démocrate de l’Oregon, Ron Wyden, qu’il « a reçu plusieurs signalements de menaces concernant l’exploitation par des adversaires de données de localisation commerciales afin de cibler ou de surveiller le personnel américain sur le terrain », révèle Reuters.
Dans cette lettre [PDF], l’USCENTCOM assure enjoindre « au personnel de désactiver la fonctionnalité de géolocalisation lorsqu’elle n’est pas nécessaire, de vérifier régulièrement les paramètres de confidentialité des appareils et des applications, et de limiter le partage public d’informations ».
Elle ajoute que « ces directives soulignent que la désactivation des fonctions de géolocalisation ne les rend pas toujours totalement inopérantes sur les produits commerciaux, ce qui oblige le personnel à mettre en œuvre des mesures de sécurité complètes pour les appareils, notamment la vérification des paramètres de confidentialité » et qu’elle impose « les contrôles de géolocalisation les plus restrictifs » à ses troupes engagées au Moyen-Orient depuis le 28 février dernier.
Dans un courrier [PDF] envoyé au DoD, Ron Wyden et 13 autres sénateurs et membres du Congrès des États-Unis s’inquiètent qu’il « n’ait pas pris les mesures élémentaires nécessaires pour protéger le personnel militaire américain contre la grave menace que représentent, en matière de contre-espionnage et de protection des forces, la collecte et la vente de données personnelles, notamment les données de localisation des téléphones portables, par des courtiers en données » et l’accusent de ne pas avoir « mis en place les mesures de cyberdéfense de bon sens recommandées par les agences fédérales ».
« Les données de localisation à des fins commerciales peuvent servir à identifier les lieux où se rassemblent les troupes américaines ainsi que leurs habitudes de vie, informations que des adversaires pourraient exploiter pour mener des attaques ciblées, notamment à l’aide de missiles, de drones et de bombes placées en bord de route, ou à des fins de contre-espionnage », détaillent-ils. À Reuters, Ron Wyden a déclaré qu’il était temps de « commencer à considérer le secteur des technologies publicitaires comme une menace pour la sécurité nationale ».
On sait pourtant depuis quelques années que les données des applications commerciales peuvent être utilisées pour localiser des personnes, et donc que l’identifiant publicitaire est une information très sensible qui doit être cachée au maximum d’éventuels ennemis. Ainsi, les données laissées par l’utilisation de Strava permettent de remonter la piste de personnes comme des agents des renseignements.
Les États-Unis ne sont pas en reste pour la récolte de ce genre de données qui sont, au départ, utilisées pour le tracking publicitaire. On sait que l’ICE, leur service de l’immigration et des douanes, s’est confectionné un vaste jeu de données publiques et privées, achetées aussi bien auprès des géants numériques, de courtiers comme Thomson Reuters ou LexisNexis, que du gouvernement américain. Et les systèmes d’analyse et données collectées par Palantir sont utilisées par l’armée américaine, l’armée israélienne, l’OTAN ou encore la DGSI française pour améliorer leur ciblage sur le terrain.
Dans un article publié ce mardi 26 mai, le Wall Street Journal explique que le DoD a été informé par son sous-traitant PlanetRisk dès 2016 que ses employés avaient découvert qu’ils pouvaient suivre les opérations militaires américaines grâce à ce genre de données venant des smartphones des soldats américains.
Selon les sources de nos confrères, PlanetRisk était à l’époque en train de mettre au point un outil de surveillance pour suivre les réfugiés syriens qui fuyaient vers l’Europe et les États-Unis dans l’espoir de le vendre aux gouvernements de ces pays.
Pour cela, elle utilisait notamment des données de tracking provenant d’applications de météo, de jeux ou de rencontres. Dans les données collectées, l’entreprise a remarqué des données faisant le lien entre des bases militaires et une cimenterie syrienne, qui jusque-là n’était pas connue pour servir de zone de rassemblement des forces états-uniennes et leurs alliés.
PlanetRisk a ensuite aidé le Pentagone à utiliser les données de tracking jusqu’à lui permettre de surveiller les téléphones des membres de l’entourage du président russe Vladimir Poutine, comme le racontait Wired.
Le département de la Défense états-unien l’a confirmé : des militaires de son armée ont bien été ciblés en utilisant des données de géolocalisation obtenues via des courtiers de données.
Ça devait arriver. Sur le front, les militaires peuvent être ciblés avec l’utilisation de données obtenues par des courtiers en données qui les revendent sans se soucier de leur utilisation.
Le Commandement central des États-Unis (USCENTCOM), qui dépend du département de la Défense états-unien (DoD), a confirmé au sénateur démocrate de l’Oregon, Ron Wyden, qu’il « a reçu plusieurs signalements de menaces concernant l’exploitation par des adversaires de données de localisation commerciales afin de cibler ou de surveiller le personnel américain sur le terrain », révèle Reuters.
Dans cette lettre [PDF], l’USCENTCOM assure enjoindre « au personnel de désactiver la fonctionnalité de géolocalisation lorsqu’elle n’est pas nécessaire, de vérifier régulièrement les paramètres de confidentialité des appareils et des applications, et de limiter le partage public d’informations ».
Elle ajoute que « ces directives soulignent que la désactivation des fonctions de géolocalisation ne les rend pas toujours totalement inopérantes sur les produits commerciaux, ce qui oblige le personnel à mettre en œuvre des mesures de sécurité complètes pour les appareils, notamment la vérification des paramètres de confidentialité » et qu’elle impose « les contrôles de géolocalisation les plus restrictifs » à ses troupes engagées au Moyen-Orient depuis le 28 février dernier.
Dans un courrier [PDF] envoyé au DoD, Ron Wyden et 13 autres sénateurs et membres du Congrès des États-Unis s’inquiètent qu’il « n’ait pas pris les mesures élémentaires nécessaires pour protéger le personnel militaire américain contre la grave menace que représentent, en matière de contre-espionnage et de protection des forces, la collecte et la vente de données personnelles, notamment les données de localisation des téléphones portables, par des courtiers en données » et l’accusent de ne pas avoir « mis en place les mesures de cyberdéfense de bon sens recommandées par les agences fédérales ».
« Les données de localisation à des fins commerciales peuvent servir à identifier les lieux où se rassemblent les troupes américaines ainsi que leurs habitudes de vie, informations que des adversaires pourraient exploiter pour mener des attaques ciblées, notamment à l’aide de missiles, de drones et de bombes placées en bord de route, ou à des fins de contre-espionnage », détaillent-ils. À Reuters, Ron Wyden a déclaré qu’il était temps de « commencer à considérer le secteur des technologies publicitaires comme une menace pour la sécurité nationale ».
On sait pourtant depuis quelques années que les données des applications commerciales peuvent être utilisées pour localiser des personnes, et donc que l’identifiant publicitaire est une information très sensible qui doit être cachée au maximum d’éventuels ennemis. Ainsi, les données laissées par l’utilisation de Strava permettent de remonter la piste de personnes comme des agents des renseignements.
Les États-Unis ne sont pas en reste pour la récolte de ce genre de données qui sont, au départ, utilisées pour le tracking publicitaire. On sait que l’ICE, leur service de l’immigration et des douanes, s’est confectionné un vaste jeu de données publiques et privées, achetées aussi bien auprès des géants numériques, de courtiers comme Thomson Reuters ou LexisNexis, que du gouvernement américain. Et les systèmes d’analyse et données collectées par Palantir sont utilisées par l’armée américaine, l’armée israélienne, l’OTAN ou encore la DGSI française pour améliorer leur ciblage sur le terrain.
Dans un article publié ce mardi 26 mai, le Wall Street Journal explique que le DoD a été informé par son sous-traitant PlanetRisk dès 2016 que ses employés avaient découvert qu’ils pouvaient suivre les opérations militaires américaines grâce à ce genre de données venant des smartphones des soldats américains.
Selon les sources de nos confrères, PlanetRisk était à l’époque en train de mettre au point un outil de surveillance pour suivre les réfugiés syriens qui fuyaient vers l’Europe et les États-Unis dans l’espoir de le vendre aux gouvernements de ces pays.
Pour cela, elle utilisait notamment des données de tracking provenant d’applications de météo, de jeux ou de rencontres. Dans les données collectées, l’entreprise a remarqué des données faisant le lien entre des bases militaires et une cimenterie syrienne, qui jusque-là n’était pas connue pour servir de zone de rassemblement des forces états-uniennes et leurs alliés.
PlanetRisk a ensuite aidé le Pentagone à utiliser les données de tracking jusqu’à lui permettre de surveiller les téléphones des membres de l’entourage du président russe Vladimir Poutine, comme le racontait Wired.
500 cyberattaques pendant les Jeux olympiques selon l’ANSSI, 55 milliards selon le CIO : les chiffres n’ont rien à voir, et pourtant ils comptent bien la même chose. Cela parait absurde, mais non : c’est une question de référentiel (et de message à faire passer). On retrouve le même problème avec les fuites de données.
Depuis maintenant des années, la France est régulièrement victime de cyberattaques, que ce soit sur ses institutions ou ses entreprises. Il en résulte parfois des fuites de données, avec plus ou moins d’écho dans la presse et sur les réseaux sociaux.
Une question revient assez souvent : la France est-elle plus attaquée que les autres pays ? Pour Vincent Strubel, patron de l’ANSSI, auditionné par la Commission de la défense de l’Assemblée nationale, la réponse est simple : « On n’en sait rien » car « personne ne sait compter de manière fiable et homogène les cyberattaques ». Partant de là, difficile en effet d’établir un classement.
Il cite un exemple récent avec le cas des Jeux olympiques de Paris en 2024. L’ANSSI avait compté à peu près 500 cyberattaques pendant cette période. Le Comité international olympique (CIO), en charge d’organiser les jeux, en avait compté 55 milliards. Un rapport de 1 à 100 000 000 (100 millions), excusez du peu !
Une faille dans Starlette, un framework Python que la plupart des développeurs n'ont jamais installé consciemment, a exposé des millions de serveurs d'agents IA à des accès non autorisés. Des boîtes mail, des bases de données médicales et des équipements industriels étaient accessibles sans mot de passe.
Face à des voleurs à la tire toujours mieux organisés, les constructeurs de smartphones multiplient les systèmes de protection. Apple planche ainsi sur une nouvelle fonction antivol qui combine plusieurs signaux de l’iPhone et met à contribution l’Apple Watch.
Selon du code analysé par le site 9to5Mac, une nouvelle fonctionnalité antivol pourrait apparaître sous peu pour les iPhone. Elle se base sur plusieurs signaux, à commencer par l’analyse de l’accéléromètre : un smartphone arraché des mains de son propriétaire provoque des mouvements inattendus du capteur. L’appareil pourrait alors se verrouiller automatiquement.
L’antivol pourra aussi prendre en compte la distance entre l’iPhone et l’Apple Watch associée. La fonction vérifiera également si le smartphone est connecté à un réseau Wi-Fi connu, comme à la maison ou au bureau. Si les informations renvoyés par ces signaux sont suspects, elles pourront provoquer le verrouillage de l’iPhone. On ignore quand la fonctionnalité sera activée, mais elle est en développement.
Tout cela n’est pas inédit. Google propose un système de verrouillage en cas de détection de vol très similaire pour les smartphones Android : « si quelqu’un vous arrache le téléphone des mains et s’en va en courant, à vélo ou en voiture, le verrouillage en cas de détection de vol peut s’activer. » Personne ne s’offusquera que dans le domaine des antivols, Apple et Google s’inspirent l’un l’autre.
Au fil des années, les deux constructeurs ont mis au point de nombreux systèmes de protection des données en cas de vol (ici chez Apple, là chez Google). Tous ces dispositifs rendent très difficile la revente de smartphones verrouillés. Si les margoulins peuvent toujours les démonter pour récupérer des composants, plusieurs d’entre eux sont liés matériellement ou logiciellement à l’appareil, ce qui en réduit fortement la valeur sur le marché parallèle.
C’est pourquoi les smartphones déverrouillés sont devenus une prise de choix pour les voleurs. D’où la nécessité de trouver des mécanismes antivol dans ce cas précis.
Le New York Times rapportait récemment la nouvelle tactique extrêmement agressive des voleurs de smartphones à Londres. Les victimes ou leurs proches reçoivent des messages de plus en plus menaçants pour les pousser à désactiver les iPhone volés de leur compte Apple. Des escrocs envoient même des vidéos d’hommes armés et des menaces de mort (!) pour tenter d’obtenir le déverrouillage complet de l’appareil.
Face à des voleurs à la tire toujours mieux organisés, les constructeurs de smartphones multiplient les systèmes de protection. Apple planche ainsi sur une nouvelle fonction antivol qui combine plusieurs signaux de l’iPhone et met à contribution l’Apple Watch.
Selon du code analysé par le site 9to5Mac, une nouvelle fonctionnalité antivol pourrait apparaître sous peu pour les iPhone. Elle se base sur plusieurs signaux, à commencer par l’analyse de l’accéléromètre : un smartphone arraché des mains de son propriétaire provoque des mouvements inattendus du capteur. L’appareil pourrait alors se verrouiller automatiquement.
L’antivol pourra aussi prendre en compte la distance entre l’iPhone et l’Apple Watch associée. La fonction vérifiera également si le smartphone est connecté à un réseau Wi-Fi connu, comme à la maison ou au bureau. Si les informations renvoyés par ces signaux sont suspects, elles pourront provoquer le verrouillage de l’iPhone. On ignore quand la fonctionnalité sera activée, mais elle est en développement.
Tout cela n’est pas inédit. Google propose un système de verrouillage en cas de détection de vol très similaire pour les smartphones Android : « si quelqu’un vous arrache le téléphone des mains et s’en va en courant, à vélo ou en voiture, le verrouillage en cas de détection de vol peut s’activer. » Personne ne s’offusquera que dans le domaine des antivols, Apple et Google s’inspirent l’un l’autre.
Au fil des années, les deux constructeurs ont mis au point de nombreux systèmes de protection des données en cas de vol (ici chez Apple, là chez Google). Tous ces dispositifs rendent très difficile la revente de smartphones verrouillés. Si les margoulins peuvent toujours les démonter pour récupérer des composants, plusieurs d’entre eux sont liés matériellement ou logiciellement à l’appareil, ce qui en réduit fortement la valeur sur le marché parallèle.
C’est pourquoi les smartphones déverrouillés sont devenus une prise de choix pour les voleurs. D’où la nécessité de trouver des mécanismes antivol dans ce cas précis.
Le New York Times rapportait récemment la nouvelle tactique extrêmement agressive des voleurs de smartphones à Londres. Les victimes ou leurs proches reçoivent des messages de plus en plus menaçants pour les pousser à désactiver les iPhone volés de leur compte Apple. Des escrocs envoient même des vidéos d’hommes armés et des menaces de mort (!) pour tenter d’obtenir le déverrouillage complet de l’appareil.
Nouvelle bataille en vue pour la domination des cieux européens. La Commission a officiellement confirmé sa volonté de prendre la main sur une partie importante des fréquences satellites, avec un objectif politique assumé : celui de la souveraineté technologique face à la Chine et surtout aux États-Unis.
Bruxelles entend gérer les attributions de la bande 2 GHz MSS, qui correspond aux fréquences utilisées par les services de satellites mobiles. Comme le rappelle Euronews, ces fréquences ont été attribuées en 2009 à deux opérateurs européens, Viasat et EchoStar. Leur usage est limité (notamment aux appels d’urgence dans une zone blanche), mais la Commission veut les exploiter pour autoriser la connexion directe entre un satellite et un smartphone (« Direct to Device », D2D). Cette bande a aussi des utilisations militaires et gouvernementales.
La Commission a adopté une proposition qui lui permettra, au renouvellement des fréquences de cette bande (à partir de mai 2027), d’attribuer au niveau européen des autorisations de licence jusque-là largement gérées par les États membres. Ce qui pouvait poser un problème d’harmonisation entre pays. Les opérateurs pourront ainsi lancer leurs services à l’échelle de l’Union européenne, sans devoir négocier avec chaque capitale… même si les États conservent une certaine marge de manœuvre en imposant leurs obligations techniques et des règles de sécurité.
La législation sur les réseaux numériques (ADN), qui repose sur le Code des communications électroniques de l’UE de 2018, a été adoptée le 21 janvier dernier. Elle contient, entre autres, un volet sur « l’harmonisation juridique maximale » visant à faciliter les opérations et la fourniture de services paneuropéens. Parmi les mesures : une autorisation de spectre satellitaire au niveau de l’UE.
Dans le détail, la Commission a décidé de couper en trois la poire de la bande. Le premier tiers est réservé aux usages gouvernementaux et militaires européens, pour les communications critiques et pour s’assurer de la sécurité de ces communications. Ce morceau de fréquences devra être exploité par un opérateur européen et intégré au programme IRIS², la constellation de satellites de l’UE.
À l’origine, le « Starlink » européen devait être opérationnel d’ici 2027. Même si le programme recycle des infrastructures existantes, IRIS² sera plus long à s’élever dans les airs : aux dernières nouvelles (qui remontent au mois de février), ce projet en est toujours dans sa phase de conception et de développement, et cela jusqu’en 2028. Le déploiement est programmé de 2029 à 2030, et l’exploitation entre 2030 et 2037. La pleine capacité opérationnelle est désormais prévue d’ici 2030.
Voilà pour le premier tiers. Les deux autres tiers seront dévolus aux usages commerciaux : connectivité satellite pour smartphones, objets connectés et services d’urgence. Mais Bruxelles a une idée assez claire des opérateurs qui pourront candidater : la moitié des fréquences est ainsi réservée aux acteurs européens, l’autre moitié est ouverte aux entreprises européennes et non européennes.
On l’aura compris, il s’agit de favoriser l’émergence de fournisseurs européens, tandis que les champions américains (SpaceX, Amazon Leo) auront la portion congrue au nom de la souveraineté. « Plus que jamais, une connectivité satellitaire à haute capacité et largement disponible est essentielle pour renforcer la résilience des réseaux de communication de l’Union européenne », explique Henna Virkkunen, vice-présidente de la Commission chargée de la souveraineté technologique.
Ces infrastructures satellitaires, considérées comme critiques par Bruxelles, sont devenues un enjeu de sécurité pour l’Europe. Le poids lourd américain Starlink, avec sa constellation d’environ 10 000 satellites en basse orbite et ses services d’accès internet et de téléphonie D2D, est devenu essentiel à l’effort de guerre en Ukraine… mais l’entreprise d’Elon Musk reste soumise aux lois américaines sur l’exploitation des données de ses utilisateurs (Cloud Act, FISA).
C’est le cas aussi d’Amazon Leo (anciennement Kuiper), qui s’est d’ailleurs offert récemment Globalstar. Ces deux sociétés doivent aussi composer avec la pression, toujours possible, de la Maison Blanche, dans un contexte de très fortes tensions transatlantiques.
Brendan Carr, le très trumpiste président de la Commission aux communications fédérales (FCC), avait mis en garde l’UE lors de sa visite au salon MWC de Barcelone, au mois de mars. « L’Europe dispose de fournisseurs satellitaires nationaux champions qui réalisent une activité importante aux États-Unis », menaçait-il. « Si l’Europe persiste à suivre une voie de souveraineté satellitaire excluant les fournisseurs qui ne sont pas basés sur le continent, alors les États-Unis devront en tenir compte concernant le traitement réciproque que nous accordons. » Ambiance.
Cette décision de la Commission devrait en tout cas booster les acteurs européens, à l’image d’Eutelsat et de sa constellation OneWeb LEO (600 satellites en basse orbite) combinée à des satellites géostationnaires. Eutelsat fait également partie du consortium SpaceRISE chargé de la mise en œuvre d’IRIS².
Nouvelle bataille en vue pour la domination des cieux européens. La Commission a officiellement confirmé sa volonté de prendre la main sur une partie importante des fréquences satellites, avec un objectif politique assumé : celui de la souveraineté technologique face à la Chine et surtout aux États-Unis.
Bruxelles entend gérer les attributions de la bande 2 GHz MSS, qui correspond aux fréquences utilisées par les services de satellites mobiles. Comme le rappelle Euronews, ces fréquences ont été attribuées en 2009 à deux opérateurs européens, Viasat et EchoStar. Leur usage est limité (notamment aux appels d’urgence dans une zone blanche), mais la Commission veut les exploiter pour autoriser la connexion directe entre un satellite et un smartphone (« Direct to Device », D2D). Cette bande a aussi des utilisations militaires et gouvernementales.
La Commission a adopté une proposition qui lui permettra, au renouvellement des fréquences de cette bande (à partir de mai 2027), d’attribuer au niveau européen des autorisations de licence jusque-là largement gérées par les États membres. Ce qui pouvait poser un problème d’harmonisation entre pays. Les opérateurs pourront ainsi lancer leurs services à l’échelle de l’Union européenne, sans devoir négocier avec chaque capitale… même si les États conservent une certaine marge de manœuvre en imposant leurs obligations techniques et des règles de sécurité.
La législation sur les réseaux numériques (ADN), qui repose sur le Code des communications électroniques de l’UE de 2018, a été adoptée le 21 janvier dernier. Elle contient, entre autres, un volet sur « l’harmonisation juridique maximale » visant à faciliter les opérations et la fourniture de services paneuropéens. Parmi les mesures : une autorisation de spectre satellitaire au niveau de l’UE.
Dans le détail, la Commission a décidé de couper en trois la poire de la bande. Le premier tiers est réservé aux usages gouvernementaux et militaires européens, pour les communications critiques et pour s’assurer de la sécurité de ces communications. Ce morceau de fréquences devra être exploité par un opérateur européen et intégré au programme IRIS², la constellation de satellites de l’UE.
À l’origine, le « Starlink » européen devait être opérationnel d’ici 2027. Même si le programme recycle des infrastructures existantes, IRIS² sera plus long à s’élever dans les airs : aux dernières nouvelles (qui remontent au mois de février), ce projet en est toujours dans sa phase de conception et de développement, et cela jusqu’en 2028. Le déploiement est programmé de 2029 à 2030, et l’exploitation entre 2030 et 2037. La pleine capacité opérationnelle est désormais prévue d’ici 2030.
Voilà pour le premier tiers. Les deux autres tiers seront dévolus aux usages commerciaux : connectivité satellite pour smartphones, objets connectés et services d’urgence. Mais Bruxelles a une idée assez claire des opérateurs qui pourront candidater : la moitié des fréquences est ainsi réservée aux acteurs européens, l’autre moitié est ouverte aux entreprises européennes et non européennes.
On l’aura compris, il s’agit de favoriser l’émergence de fournisseurs européens, tandis que les champions américains (SpaceX, Amazon Leo) auront la portion congrue au nom de la souveraineté. « Plus que jamais, une connectivité satellitaire à haute capacité et largement disponible est essentielle pour renforcer la résilience des réseaux de communication de l’Union européenne », explique Henna Virkkunen, vice-présidente de la Commission chargée de la souveraineté technologique.
Ces infrastructures satellitaires, considérées comme critiques par Bruxelles, sont devenues un enjeu de sécurité pour l’Europe. Le poids lourd américain Starlink, avec sa constellation d’environ 10 000 satellites en basse orbite et ses services d’accès internet et de téléphonie D2D, est devenu essentiel à l’effort de guerre en Ukraine… mais l’entreprise d’Elon Musk reste soumise aux lois américaines sur l’exploitation des données de ses utilisateurs (Cloud Act, FISA).
C’est le cas aussi d’Amazon Leo (anciennement Kuiper), qui s’est d’ailleurs offert récemment Globalstar. Ces deux sociétés doivent aussi composer avec la pression, toujours possible, de la Maison Blanche, dans un contexte de très fortes tensions transatlantiques.
Brendan Carr, le très trumpiste président de la Commission aux communications fédérales (FCC), avait mis en garde l’UE lors de sa visite au salon MWC de Barcelone, au mois de mars. « L’Europe dispose de fournisseurs satellitaires nationaux champions qui réalisent une activité importante aux États-Unis », menaçait-il. « Si l’Europe persiste à suivre une voie de souveraineté satellitaire excluant les fournisseurs qui ne sont pas basés sur le continent, alors les États-Unis devront en tenir compte concernant le traitement réciproque que nous accordons. » Ambiance.
Cette décision de la Commission devrait en tout cas booster les acteurs européens, à l’image d’Eutelsat et de sa constellation OneWeb LEO (600 satellites en basse orbite) combinée à des satellites géostationnaires. Eutelsat fait également partie du consortium SpaceRISE chargé de la mise en œuvre d’IRIS².
La Banque centrale européenne, qui supervise les 111 plus grandes banques de la zone euro, veut discuter cybersécurité. Une réunion est prévue ce mardi 26 mai avec les établissements bancaires pour évoquer les risques liés aux derniers modèles d’IA, dont Mythos qui se fait toujours attendre en Europe.
Les ailes du projet Glasswing n’ont pas encore permis à Mythos d’atteindre les rives européennes. Cet aperçu du modèle le plus ambitieux d’Anthropic est déployé au compte-gouttes auprès d’organisations et d’entreprises triées sur le volet, quasi-exclusivement américaines. Il est utilisé pour détecter les vulnérabilités dans le code et au vu des premiers retours, notamment chez Mozilla, le modèle semble faire preuve d’une certaine efficacité.
Les banques de la zone euro ne sont pas dans les petits papiers d’Anthropic, mais qu’à cela ne tienne : « Le fait que vous n’ayez pas accès à ce modèle n’est pas une excuse pour rester inactif », affirme Frank Elderson, vice-président du conseil de surveillance prudentielle de la Banque centrale européenne (BCE), en parlant des établissements financiers européens. « Des acteurs malveillants pourraient bientôt avoir accès à cette technologie », prévient-il au Financial Times.
C’est pourquoi l’institution organise une réunion au sommet demain, mardi 26 mai, pour discuter des risques pour la sécurité informatique que font peser ces modèles IA. La BCE discute régulièrement avec les banques de la zone euro, mais des réunions dédiées à un thème spécifique sont plus rares.
La Banque centrale entend souligner la gravité des menaces représentées par Mythos et des autres modèles IA pour le système financier européen. Et elle voudrait bien aussi que les banques américaines opérant sur le vieux continent et qui utilisent ces technologies partagent des retours d’expérience avec leurs homologues européennes. « Nous voulons écouter les évaluations des banques, créer les conditions pour qu’elles puissent partager leurs expériences, et souligner l’importance du sujet », souligne Frank Elderson.
Le vice-président de la BCE estime que les banques doivent appliquer les correctifs logiciels bien plus rapidement qu’aujourd’hui. Le fait est que les pirates peuvent analyser une mise à jour de sécurité pour comprendre précisément quelle faille elle corrige. Ce travail de rétro-ingénierie pouvait prendre plusieurs jours ou plusieurs semaines, mais désormais avec des outils IA, l’opération peut être réalisée « en peut-être 30 minutes », s’alarme-t-il.
La Commission européenne travaille Anthropic au corps pour obtenir l’aperçu de Mythos, mais les choses prennent beaucoup de temps.
Anthropic a par ailleurs publié un premier bilan de Mythos, en annonçant que les 50 partenaires du projet Glasswing avaient trouvé « plus de 10 000 vulnérabilités » de gravité élevée ou critique dans leurs logiciels. Dans le secteur bancaire, Mythos a détecté et empêché un virement frauduleux d’1,5 million de dollars après qu’un acteur malveillant a compromis une adresse e-mail d’un client. Nul doute que les banques européennes aimeraient disposer d’un tel outil dans leur arsenal.
Comme pour donner raison à la BCE, la startup précise que « le principal frein réside dans la vitesse à laquelle nous pouvons vérifier, divulguer et corriger les très nombreuses vulnérabilités détectées par l’IA ». Si trouver des failles devient relativement facile, les opérations de triage, les rapports, le développement et le déploiement des correctifs représentent un « enjeu majeur pour la cybersécurité ».
L’entreprise prévoit l’expansion du projet Glasswing à « des partenaires supplémentaires », sans plus de précision. Et à l’avenir, Anthropic veut proposer des modèles grand public basés sur Mythos, mais en les encadrant de garde-fous suffisamment forts pour empêcher des dérives.
Longtemps pointé du doigt pour ses lacunes en matière de confidentialité, Discord opère un virage historique. L’application déploie le chiffrement de bout en bout par défaut pour sécuriser l’ensemble de ses flux audio et vidéo. Une mise à niveau technique majeure, qui cache toutefois une déception de taille : vos messages textuels, eux, restent exclus de cette protection.
Une alliance internationale de 18 pays, menée par la France et les Pays-Bas, a démantelé First VPN, le réseau d’anonymisation fétiche des cybercriminels. En saisissant l'intégralité de sa base de données, la police a d'ores et déjà identifié des milliers de pirates à travers le monde, mettant fin à des années d'impunité.
Longtemps pointé du doigt pour ses lacunes en matière de confidentialité, Discord opère un virage historique. L’application déploie le chiffrement de bout en bout par défaut pour sécuriser l’ensemble de ses flux audio et vidéo. Une mise à niveau technique majeure, qui cache toutefois une déception de taille : vos messages textuels, eux, restent exclus de cette protection.
Ce 19 mai est sorti la soixantième version d’OpenBSD qui a maintenant plus de trente ans. OpenBSD est un système d’exploitation libre de type Unix, multi-plateformes basé sur 4.4BSD avec une attention particulière sur la portabilité, la standardisation, l’exactitude, la sécurité proactive et la cryptographie intégrée. Il est généralement reconnu pour la qualité de sa documentation et ses innovations en matière de sécurité qui sont régulièrement adoptées par d’autres systèmes.
La version 7.9 est accompagnée d’un morceau instrumental et de moult changements dont on pourra citer l’ajout de l’hibernation à retardement, le support des VLAN dans les ponts Ethernet virtuels, le limiteur de créations d’états par source pour packet filter, le support des certificats par IP dans acme-client, plusieurs améliorations de pledge permettant une meilleure mitigation des failles de sécurité et le support de jusqu’à 255 processeurs amd64 (contre 64 précédemment).
Le projet OpenBSD étant le berceau de tmux, LibreSSL et OpenSSH, cette nouvelle version est aussi l’occasion de publier nombre d’améliorations pour ces projets largement utilisés par ailleurs. Pour OpenSSH on pourra mentionner la nouvelle commande ~I ainsi que l’ajout d’une pénalité configurable pour les tentatives de connexions avec un utilisateur invalide.
Commentaires : voir le flux Atom ouvrir dans le navigateur
Face aux quasi-incessantes fuites de données en France, notamment sur des institutions, l’ANSSI serait sur la sellette ? Son directeur général Vincent Strubel réfute et revient sur les travaux de pilotage du numérique, avec une future autorité « Ariane ». Il en profite pour mettre en face des milliers de systèmes d’information de l’État la capacité de l’Agence à mener… 50 contrôles par an.
La semaine dernière, le Canard enchainé a publié un article intitulé « Lecornu débranche l’Anssi, accusée de ne pas avoir sécurisé des sites sensibles de l’État ». Le Palmipède y explique que le premier ministre Sébastien Lecornu chercherait un fusible. En cause, les fuites de données à répétition. « Cela pourrait déboucher sur le limogeage de Vincent Strubel, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) », indiquent nos confrères.
Hasard ou pas du calendrier, ce même Vincent Strubel était auditionné par la Commission de la défense de l’Assemblée nationale le lendemain dans le cadre du cycle Guerre hybride et continuum de conflictualités. Le rendez-vous était déjà fixé avant la publication de l’article de nos confrères. Après un discours introductif sur l’état de la cybermenace en France, des questions sont rapidement arrivées sur l’article du Canard et le piratage de l’ANTS. C’est la dernière institution en date à avoir subi une fuite massive de données : au moins 11,7 millions de comptes ont été compromis. Dans cette affaire, un ado de 15 ans a été placé en garde à vue fin avril.
« Non, il n’y a pas de tension entre le Premier ministre et l’ANSSI. Je réfute ce qui est dit dans l’article », affirme sans détour Vincent Strubel. Il en veut pour « preuve » sa présence encore au poste de directeur général de l’ANSSI.
Il en profite pour rappeler que ses équipes ne ménagent pas leurs efforts en matière de cybersécurité et joue lui aussi de l’analogie des cyberpompiers : « Je trouve que là on est dans le même registre que jeter des cailloux sur les camions de pompiers qui viennent éteindre des incendies et je le trouve parfaitement abject. »
« Je pense qu’il y a une mécompréhension fondamentale de la réforme annoncée, non pas de l’ANSSI mais du pilotage numérique. Il n’y a pas de remise en cause des missions de l’ANSSI, il n’y a pas de remise en cause de l’efficacité de son travail », ajoute-t-il.
Vincent Strubel rappelle que la France dispose d’une chaîne de fonctionnement cyber et que l’ANSSI « est le chef d’orchestre de la cybersécurité ». Il ajoute que « ce rôle n’est pas remis en cause par la réforme annoncée […]Ce qui est réformé, c’est le pilotage du numérique, pas la cybersécurité ».
Pour rappel, fin avril, lors de son déplacement à l’ANTS, Sébastien Lecornu expliquait vouloir accélérer la fusion de la Direction interministérielle du numérique (DINUM) et de la DITP (direction interministérielle de la transformation publique), pour former une nouvelle Autorité du numérique et de l’IA, alias Ariane.
Le patron de l’ANSSI est catégorique : « l’ANSSI restera dans son rôle de fixer les exigences de cybersécurité, de décliner des priorités […] de contrôler la bonne application de ces priorités à plus forte raison dans le cadre de NIS2 ».
Lors de son audition, il en profite pour rappeler aux députés présents le travail nécessaire de transposition de la directive NIS2… toujours en attente depuis des mois. Pour le directeur général, cela donnera enfin à son agence « un vrai bâton » à utiliser, « en plus de la carotte ». Le projet a été adopté en première lecture au Sénat le 15 octobre 2024, mais il est bloqué à l’Assemblée depuis septembre 2025.
Pour le patron des cyberpompiers français, le projet est de créer « une structure qui soit un interlocuteur naturel de l’ANSSI, comme l’est déjà aujourd’hui la DINUM. Nous travaillons main dans la main, mais avec les limites du champ d’action de la DINUM. Demain, l’ANSSI et l’Ariane (si c’est le nom qui demeure) travailleront main dans la main pour édicter la feuille de route numérique et cybersécurité de l’État ».
Lors de son audition, Vincent Strubel a rappelé la complexité du système d’information de l’État qui représente « des milliers et des milliers d’applications dont le pilotage n’est pas uniformisé, dont les choix technologiques sont d’une très grande hétérogénéité ».
Pour lui, cela ne fait aucun doute : « c’est là-dessus qu’il faut agir en priorité pour mieux sécuriser l’État » ; il en profite pour glisser un mot sur les enjeux des dépendances à des solutions étrangères. Quitte à mener un chantier d’envergure, autant faire le ménage de fond en comble. Pour Vincent Strubel, la réforme annoncée par le Premier ministre porte justement sur ce sujet. Il réaffirme qu’elle a été « mal comprise par certains qui y voient une réforme ou une remise en cause de l’ANSSI : il n’y a aucune remise en cause du rôle de l’ANSSI, ni une critique du rôle de la DINUM ».
Vincent Strubel répond aussi à des questions sur les moyens et les actions de l’ANSSI : « nous sommes capables de mener à peu près 50 audits par an, à mettre en regard de milliers de systèmes d’information au sein de l’État, de milliers de systèmes d’information d’importance vitale déclarés par les OIV (opérateurs d’importance vitale), et qui sont à peu près 300 (la liste est classifiée) ».
Pour le dire autrement : « non, nous ne pouvons pas tout contrôler systématiquement et nous avons une logique de priorisation sur les systèmes les plus critiques, sensibles, complexes… ». C’est le cas du nucléaire, par exemple, mais aussi des réseaux diplomatiques et régaliens. France Identité numérique a aussi été scrutée de près pendant des mois et « certifiée par l’ANSSI au niveau élevé, c’est-à-dire le niveau le plus élevé de la réglementation européenne ».
Le patron de l’ANSSI cite aussi le « fichier TES qui stocke des données biométriques », géré par l’ANTS. Ce dernier a été audité par l’ANSSI, qui s’est aussi assurée « que ses conclusions soient prises en compte ». TES pour Titres Électroniques Sécurisés, aussi connu sous le nom de « fichier des gens honnêtes » centralisant les données personnelles, photos de visages et empreintes digitales des demandeurs de passeport et de carte nationale d’identité.
Vincent Strubel ajoute que l’ANTS réunit une multitude de systèmes d’information « qui n’ont pas tous la même criticité. Ils sont tous importants car ils traitent de données personnelles, mais nous avons aussi une forme de gradation ». Si TES a été contrôlé, ce n’était visiblement pas le cas du portail attaqué : « Il ne s’agit pas de minimiser la compromission des données personnelles de millions de nos concitoyens, mais ce n’est pas le système le plus critique de l’ANTS donc dans une logique de priorisation ce n’est pas celui-là que nous avons regardé ».
Lors de son audition, Vincent Strubel est aussi revenu sur le signalement des incidents et des vulnérabilités. Il rappelle que l’ANSSI dispose d’une doctrine de protection des signalements anonymes et des lanceurs d’alertes (235 signalements via ce dispositif en 2025). « Après, effectivement, la vraie difficulté est la capacité de correction et la maitrise du numérique derrière, sans remise en cause du rôle ni du dévouement – je le signale – des équipes informatiques des ministères ».
Il rappelle le rôle de l’ANSSI : « porter des cadres de gestion des risques et donc identifier des risques liés à nos dépendances, les objectiver, les mettre en face des mesures et assurer une garantie. C’est ce que nous faisons à travers SecNumCloud qui garantit contre les risques techniques mais aussi des risques d’ingérence de captation des données à travers les lois à portée extraterritoriale ».
Il ajoute qu’il faut évidemment des mesures de gestion des risques – « avec un caractère coercitif au passage parce que la loi SREN le permet –, mais aussi un travail de politique industrielle qui n’est pas le rôle de l’ANSSI ». Pour Vincent Strubel, pas de doute : « Il faut faire les deux à la fois ».
