RGPD killed the ratio star

La France semble connaître une accélération de violations de données, mais les chiffres varient d’une centaine à plus de 9 000 selon les sources. On apprend aussi que la CNIL aurait recouvré 95 % des amendes infligées, contre seulement 0,5 % pour son homologue irlandaise. Des chiffres qui remettent en perspective l’(in)action de la Commission en France

Les nombreuses violations de données, notamment depuis la réapparition de la place de marché (noir) BreachForums en décembre 2025, laissent poindre une forme d’accélération. Pour autant, et en l’état, la France serait loin d’être la plus affectée par le problème. En outre, et bien qu’accusée de « laxisme », la CNIL serait l’autorité de protection des données personnelles la plus répressive de l’Union européenne, en termes d’amendes infligées, et recouvrées.

Dans un message largement commenté et relayé sur X et LinkedIn, le « gentil hacker » Clément Domingo avançait récemment que 2025 avait été une « année noire » avec un « record de fuites d’information », qu’il avait effectué une centaine d’alertes à ce sujet, découvert que « 600 millions de données personnelles cumulées de Français sont dans les mains des cybercriminels », et que « 9 personnes sur 10 en France sont donc concernées », ce qui ferait de la France le « n°1 en Europe ».

Un chiffre corroboré par Christophe Boutry (un ancien policier de la DGSI condamné pour avoir revendu sur le dark web des données policières, et qui s’est depuis reconverti dans la sécurité informatique) qui, se basant sur « 190 fuites avec volume confirmé » (dont 153 en 2025, 158 d’après bonjourlafuite.eu.org), avance lui aussi que plus de 600 millions de données compromises auraient été recensées (rien que sur le darkweb), mais sans que l’on puisse pour autant estimer à combien de personnes différentes elles correspondent.

SaxX (le pseudo du « gentil hacker »), dont les messages sensationnalistes le rapprochent davantage des « influenceurs » en quête de buzz que des « hackers éthiques » cherchant à alerter de façon responsable, avait déjà poussé Vincent Strubel, le patron de l’ANSSI, a pousser un coup de gueule (feutré, mais ferme) sur LinkedIn après que l’une de ses « alertes » ait fait « beaucoup de bruit, ces derniers jours, autour d’une rumeur de fuite massive de données de l’ANTS/France Titres ». On se souvient aussi de l’histoire autour du site de Sarah Knafo, dont il avait dévoilé publiquement la faille avant la mise en place du correctif.

• Une fuite massive à l’ANTS ? De la recherche du buzz au recadrage cinglant de l’ANSSI

703M de données de Français piratées depuis 2004, soit en 22 ans ?

Les Vérificateurs de TF1, suivis par Le vrai ou faux de Radio France avaient, dans la foulée, cherché à fact-checker et recontextualiser ces chiffres de « 600 millions de données personnelles cumulées de Français », soit « 9 personnes sur 10 en France », ce qui ferait de la France le « n°1 en Europe ».

« Entre 2004 et l’automne 2025, la France a cumulé plus de 700 millions de comptes compromis, selon les données récoltées par l’entreprise de cybersécurité Surfshark, ce qui la place en 4e position après les États-Unis, la Russie et la Chine », relevaient les premiers. Sans pouvoir, cela dit, différencier la quantité de données du nombre de personnes affectées.

Le chiffre de neuf Français sur dix émanerait quant à lui d’une étude publiée en 2019, il y a sept ans, menée par l’Institut national de la consommation pour Cybermalveillance.gouv.fr, qui avait interrogé 4 500 personnes représentatives de la population française pour savoir si elles avaient déjà été exposées à de la cybermalveillance au sens large, relevait la cellule de fact-checking de Radio France.

« Cela ne signifie pas que leurs données personnelles ont fuité, mais qu’ils ont été exposés à une tentative de piratage », soulignait la cellule de fact-checking de TF1. « Ces chiffres sont déformés, sortis de leur contexte et ne parlent pas de l’année 2025 spécifiquement », renchérissait celle de Radio France :

« Cela peut être la réception d’un SMS frauduleux reçu sans y avoir répondu, l’implantation d’un virus sur son ordinateur via un email, des usurpations d’identité ou encore, en effet, des cyberattaques et des vols de données personnelles. Il n’existe en revanche pas de chiffres précis sur le nombre ni la proportion de victimes de fuite de données spécifiquement. »

Surfshark estime en outre que « 29 millions de données personnelles ont été piratées pendant les trois premiers trimestres de l’année 2025 », soulignait Radio France : « C’est loin des 600 millions, même si c’est déjà beaucoup ».

D’autant que « Surfshark estime par ailleurs que 703 millions de données personnelles appartenant à des Français ont été piratées depuis 2004, soit en 22 ans », mais également que « 2024 a connu un pic, avec 150 millions de données détournées ». Radio France relevait également que « ce site estime que les fuites de données de Français ne représentent que 3% des fuites de données dans le monde ».

Des chiffres à prendre avec pincettes, cela dit. D’une part parce que sa méthodologie précise qu’ils ont été élaborés « en partenariat avec des chercheurs indépendants spécialisés dans la cybersécurité afin de visualiser l’ampleur et l’étendue des violations de données à l’échelle mondiale », mais sans plus de précision. D’autre part parce qu’en tant que vendeur de VPN, Surfshack a tout intérêt à « faire peur ».

• [Édito] Au pays des VPN menteurs…

La France ne serait qu’en 16e position (sur 30) en matière de violations de données

De rouille et dors

Afin de sécuriser WhatsApp, Meta a procédé au « plus grand déploiement jamais réalisé de code Rust sur un ensemble diversifié de plateformes et de produits », et annonce vouloir accélérer l’adoption du langage de programmation sécurisé Rust au cours des prochaines années. La messagerie intègre par ailleurs un mode anti-logiciels espion ou malveillants.

WhatsApp vient d’annoncer, ce mardi 27 janvier, « une nouvelle mesure de protection de la confidentialité : les paramètres de compte stricts » (« Strict Account Settings » en VO), semble-t-il inspirée du mode de protection avancé (« Advanced Protection Mode » en VO) introduit par Google en 2020 puis du mode Lockdown mis en œuvre par Apple en 2022 pour réduire la surface d’attaque des Android et iPhone face aux logiciels espion « mercenaires ».

Elle s’adresse en effet elle aussi aux personnes qui, journalistes ou personnalités publiques notamment, « peuvent avoir besoin de mesures de sécurité extrêmes pour se protéger contre les cyberattaques rares et hautement sophistiquées », ou qui pensent « être la cible d’une attaque informatique », précise WhatsApp sur son blog :

« Si vous activez cette fonctionnalité, certains réglages de compte seront verrouillés sur les paramètres les plus restrictifs, ayant pour effet de limiter le fonctionnement de WhatsApp dans certains cas de figure, en bloquant par exemple les pièces jointes et les médias envoyés par des personnes qui ne figurent pas dans vos contacts. »

Les paramètres de compte stricts, qui seront déployés progressivement au cours des prochaines semaines, seront accessibles en accédant à Paramètres > Confidentialité > Avancé.

Une décision qui remonte à la faille Stagefright de 2015

WhatsApp précise que ces paramètres de compte stricts « constituent l’un des nombreux moyens que nous avons développés pour vous protéger des cybermenaces les plus avancées ». L’entreprise indique également avoir « déployé en coulisses un langage de programmation appelé Rust pour protéger vos photos, vidéos et messages face aux logiciels espions, et vous permettre de partager et de discuter en toute confiance ».

Dans un billet technique séparé, mais publié dans la foulée, Meta revient plus en détails sur le fait que WhatsApp a « adopté et déployé une nouvelle couche de sécurité pour ses utilisateurs, développée avec le langage de programmation sécurisé Rust », dans le cadre de ses efforts visant à renforcer ses défenses contre les menaces liées aux logiciels malveillants.

Meta explique que cette décision fait suite à la découverte, en 2015, de la vulnérabilité Stagefright qui permettait de pirater les terminaux Android à partir d’un simple MMS :

« Le bug résidait dans le traitement des fichiers multimédias par les bibliothèques fournies par le système d’exploitation, de sorte que WhatsApp et d’autres applications ne pouvaient pas corriger la vulnérabilité sous-jacente. Comme la mise à jour vers la dernière version d’un logiciel peut souvent prendre des mois, nous avons cherché des solutions qui permettraient d’assurer la sécurité des utilisateurs de WhatsApp, même en cas de vulnérabilité du système d’exploitation. »

• Stagefright : ce que l’on sait de la faille qui permet de pirater Android via un simple MMS

Les développeurs de WhatsApp ont réalisé qu’une bibliothèque C++ utilisée par l’application pour envoyer et formater des fichiers MP4 (appelée « wamedia ») pouvait être modifiée afin de « détecter les fichiers qui ne respectaient pas la norme MP4 et qui pouvaient déclencher des bogues dans une bibliothèque OS vulnérable du côté du destinataire, mettant ainsi en danger la sécurité de la cible ».

Plutôt que de la réécrire, ils en ont développé une version Rust compatible avec la version C++ originale, puis « remplacé 160 000 lignes de code C++(hors tests) par 90 000 lignes de code Rust (tests compris) ».

Le « plus grand déploiement jamais réalisé de code Rust »

Meta précise avoir rajouté « davantage de contrôles » au fil du temps, et que WhatsApp vérifie désormais les « types de fichiers à haut risque » tels que les .pdf, qui « sont souvent vecteurs de logiciels malveillants » :

« Nous détectons également lorsqu’un type de fichier se fait passer pour un autre, grâce à une extension ou un type MIME falsifié. Enfin, nous signalons de manière uniforme les types de fichiers connus pour être dangereux, tels que les exécutables ou les applications, afin qu’ils soient traités de manière spéciale dans l’expérience utilisateur de l’application. »

Cet ensemble de vérifications, qu’ils appellent « Kaleidoscope », « protège les utilisateurs de WhatsApp contre les clients non officiels et les pièces jointes potentiellement malveillantes », avance Meta : « Bien que les vérifications de format ne permettent pas d’arrêter toutes les attaques, cette couche de défense contribue à en atténuer bon nombre ».

Rappelant que le chiffrement de bout en bout de WhatsApp est utilisé par ses trois milliards d’utilisateurs, Meta avance que « nous pensons qu’il s’agit du plus grand déploiement jamais réalisé de code Rust sur un ensemble diversifié de plateformes et de produits destinés aux utilisateurs finaux dont nous ayons connaissance », et précise que « nous prévoyons d’accélérer l’adoption de Rust au cours des prochaines années ».

• Sylvestre Ledru (Mozilla) : de Firefox au noyau Linux, la fulgurante ascension du Rust

Une faille de sécurité corrigée, et une plainte « ridicule »

WhatsApp vient par ailleurs de corriger une faille de sécurité, découverte dans l’application Android par les équipes du Projet Zero de Google en septembre 2025. Elle permettait à un attaquant de rajouter des victimes à des groupes, « puis de leur envoyer un fichier multimédia malveillant automatiquement téléchargé sur l’appareil de la victime sans aucune interaction de sa part », rapporte Neowin.

Il était cela dit possible de s’en prémunir en activant la confidentialité avancée des discussions dans WhatsApp (en appuyant sur les trois petits points en haut à droite, puis sur Infos du groupe), soulignait Neowin dans un précédent article, ou en désactivant le téléchargement automatique des médias (via Paramètres -> Stockage et données).

Ces explications détaillées sur le renforcement de la sécurité de WhatsApp ont par ailleurs été mises en ligne alors que le 23 janvier, trois cabinets d’avocats ont porté plainte contre Meta. Ils l’accusent rien moins que d’avoir comploté pour cacher le fait que les messages WhatsApp ne seraient pas chiffrés de bout en bout, et qu’il serait extrêmement simple à ses employés d’y accéder.

Une accusation qualifiée de « fiction sans fondement » par le porte-parole de Meta et de « ridicule » par plusieurs experts en cryptographie, d’autant que l’un de ces cabinets d’avocats est aussi celui de NSO, l’éditeur du logiciel espion Pegasus condamné l’an passé pour avoir piraté WhatsApp.

• L’avocat de NSO accuse Meta de ne pas chiffrer les messages WhatsApp

De rouille et dors

Afin de sécuriser WhatsApp, Meta a procédé au « plus grand déploiement jamais réalisé de code Rust sur un ensemble diversifié de plateformes et de produits », et annonce vouloir accélérer l’adoption du langage de programmation sécurisé Rust au cours des prochaines années. La messagerie intègre par ailleurs un mode anti-logiciels espion ou malveillants.

WhatsApp vient d’annoncer, ce mardi 27 janvier, « une nouvelle mesure de protection de la confidentialité : les paramètres de compte stricts » (« Strict Account Settings » en VO), semble-t-il inspirée du mode de protection avancé (« Advanced Protection Mode » en VO) introduit par Google en 2020 puis du mode Lockdown mis en œuvre par Apple en 2022 pour réduire la surface d’attaque des Android et iPhone face aux logiciels espion « mercenaires ».

Elle s’adresse en effet elle aussi aux personnes qui, journalistes ou personnalités publiques notamment, « peuvent avoir besoin de mesures de sécurité extrêmes pour se protéger contre les cyberattaques rares et hautement sophistiquées », ou qui pensent « être la cible d’une attaque informatique », précise WhatsApp sur son blog :

« Si vous activez cette fonctionnalité, certains réglages de compte seront verrouillés sur les paramètres les plus restrictifs, ayant pour effet de limiter le fonctionnement de WhatsApp dans certains cas de figure, en bloquant par exemple les pièces jointes et les médias envoyés par des personnes qui ne figurent pas dans vos contacts. »

Les paramètres de compte stricts, qui seront déployés progressivement au cours des prochaines semaines, seront accessibles en accédant à Paramètres > Confidentialité > Avancé.

Une décision qui remonte à la faille Stagefright de 2015

WhatsApp précise que ces paramètres de compte stricts « constituent l’un des nombreux moyens que nous avons développés pour vous protéger des cybermenaces les plus avancées ». L’entreprise indique également avoir « déployé en coulisses un langage de programmation appelé Rust pour protéger vos photos, vidéos et messages face aux logiciels espions, et vous permettre de partager et de discuter en toute confiance ».

Dans un billet technique séparé, mais publié dans la foulée, Meta revient plus en détails sur le fait que WhatsApp a « adopté et déployé une nouvelle couche de sécurité pour ses utilisateurs, développée avec le langage de programmation sécurisé Rust », dans le cadre de ses efforts visant à renforcer ses défenses contre les menaces liées aux logiciels malveillants.

Meta explique que cette décision fait suite à la découverte, en 2015, de la vulnérabilité Stagefright qui permettait de pirater les terminaux Android à partir d’un simple MMS :

« Le bug résidait dans le traitement des fichiers multimédias par les bibliothèques fournies par le système d’exploitation, de sorte que WhatsApp et d’autres applications ne pouvaient pas corriger la vulnérabilité sous-jacente. Comme la mise à jour vers la dernière version d’un logiciel peut souvent prendre des mois, nous avons cherché des solutions qui permettraient d’assurer la sécurité des utilisateurs de WhatsApp, même en cas de vulnérabilité du système d’exploitation. »

• Stagefright : ce que l’on sait de la faille qui permet de pirater Android via un simple MMS

Les développeurs de WhatsApp ont réalisé qu’une bibliothèque C++ utilisée par l’application pour envoyer et formater des fichiers MP4 (appelée « wamedia ») pouvait être modifiée afin de « détecter les fichiers qui ne respectaient pas la norme MP4 et qui pouvaient déclencher des bogues dans une bibliothèque OS vulnérable du côté du destinataire, mettant ainsi en danger la sécurité de la cible ».

Plutôt que de la réécrire, ils en ont développé une version Rust compatible avec la version C++ originale, puis « remplacé 160 000 lignes de code C++(hors tests) par 90 000 lignes de code Rust (tests compris) ».

Le « plus grand déploiement jamais réalisé de code Rust »

Meta précise avoir rajouté « davantage de contrôles » au fil du temps, et que WhatsApp vérifie désormais les « types de fichiers à haut risque » tels que les .pdf, qui « sont souvent vecteurs de logiciels malveillants » :

« Nous détectons également lorsqu’un type de fichier se fait passer pour un autre, grâce à une extension ou un type MIME falsifié. Enfin, nous signalons de manière uniforme les types de fichiers connus pour être dangereux, tels que les exécutables ou les applications, afin qu’ils soient traités de manière spéciale dans l’expérience utilisateur de l’application. »

Cet ensemble de vérifications, qu’ils appellent « Kaleidoscope », « protège les utilisateurs de WhatsApp contre les clients non officiels et les pièces jointes potentiellement malveillantes », avance Meta : « Bien que les vérifications de format ne permettent pas d’arrêter toutes les attaques, cette couche de défense contribue à en atténuer bon nombre ».

Rappelant que le chiffrement de bout en bout de WhatsApp est utilisé par ses trois milliards d’utilisateurs, Meta avance que « nous pensons qu’il s’agit du plus grand déploiement jamais réalisé de code Rust sur un ensemble diversifié de plateformes et de produits destinés aux utilisateurs finaux dont nous ayons connaissance », et précise que « nous prévoyons d’accélérer l’adoption de Rust au cours des prochaines années ».

• Sylvestre Ledru (Mozilla) : de Firefox au noyau Linux, la fulgurante ascension du Rust

Une faille de sécurité corrigée, et une plainte « ridicule »

WhatsApp vient par ailleurs de corriger une faille de sécurité, découverte dans l’application Android par les équipes du Projet Zero de Google en septembre 2025. Elle permettait à un attaquant de rajouter des victimes à des groupes, « puis de leur envoyer un fichier multimédia malveillant automatiquement téléchargé sur l’appareil de la victime sans aucune interaction de sa part », rapporte Neowin.

Il était cela dit possible de s’en prémunir en activant la confidentialité avancée des discussions dans WhatsApp (en appuyant sur les trois petits points en haut à droite, puis sur Infos du groupe), soulignait Neowin dans un précédent article, ou en désactivant le téléchargement automatique des médias (via Paramètres -> Stockage et données).

Ces explications détaillées sur le renforcement de la sécurité de WhatsApp ont par ailleurs été mises en ligne alors que le 23 janvier, trois cabinets d’avocats ont porté plainte contre Meta. Ils l’accusent rien moins que d’avoir comploté pour cacher le fait que les messages WhatsApp ne seraient pas chiffrés de bout en bout, et qu’il serait extrêmement simple à ses employés d’y accéder.

Une accusation qualifiée de « fiction sans fondement » par le porte-parole de Meta et de « ridicule » par plusieurs experts en cryptographie, d’autant que l’un de ces cabinets d’avocats est aussi celui de NSO, l’éditeur du logiciel espion Pegasus condamné l’an passé pour avoir piraté WhatsApp.

• L’avocat de NSO accuse Meta de ne pas chiffrer les messages WhatsApp