La France Insoumise (LFI) a informé certains de ses adhérents ou sympathisants d’un vol de données personnelles survenu au niveau de ses outils internes. Elle y indique avoir été victime d’une attaque cybercriminelle susceptible d’avoir conduit à l’exposition d’informations telles que le nom et prénom, l’adresse email, l’adresse postale, les « informations de profil » et la « participation à certains groupes ou événements ».

Le parti politique ne précise pas le canal par lequel a été réalisée l’attaque, mais les informations personnelles évoquées, notamment l’allusion aux groupes ou événements, suggèrent qu’il pourrait s’agir du site actionpopulaire.fr, la plateforme via laquelle LFI propose à ses sympathisants d’organiser leurs actions de terrain.

Cette allusion aux groupes semble également cohérente avec les revendications publiées par un internaute le 7 mai dernier sur un forum spécialisé. Celui-ci affirmait avoir réalisé un dump (une copie) du site actionpopulaire.fr, qui lui donnerait accès à 120 000 emails uniques, 20 000 numéros de téléphone, un nombre non précisé d’adresses physiques, ainsi qu’aux messages et échanges réalisés par l’intermédiaire de la plateforme.

Outre les messages individuels adressés aux victimes potentielles, LFI a communiqué de façon plus large auprès de ses sympathisants. Signé par Manuel Bompard et diffusé, notamment, sur les canaux Discord du parti, le message admet une fuite, mais ne corrobore pas les allégations du pirate supposé :

« Nous sommes encore en train d’investiguer pour préciser les conséquences de ces attaques. Il semble qu’en effet des données liées à certaines personnes ont pu être compromises. En revanche, contrairement à ce qui a été indiqué sur les réseaux sociaux, il ne s’agit ni du fichier de tou·tes les utilisateur·rices d’Action populaire, ni des signataires sur le site de soutien de la campagne présidentielle. »

Le coordinateur du parti confirme par ailleurs qu’une plainte va être déposée, outre l’alerte transmise à la CNIL et à l’ANSSI. « De manière générale, dans le contexte de généralisation de piratages de données ayant par exemple visé des institutions publiques, nous invitons tou·tes les camarades à faire preuve de la plus grande vigilance dans les messages qu’elles et ils pourraient recevoir sur leurs coordonnées personnelles », écrit encore le parti, avant d’appeler aux habituels conseils de vigilance.

La divulgation de cette attaque intervient alors que le leader du parti, Jean-Luc Mélenchon, a annoncé dimanche 3 mai, au 20 heures de TF1, sa candidature à l’élection présidentielle de 2027. Le dépôt GitHub dédié au code d’actionpopulaire.fr témoigne quant à lui d’une forte accélération du volume de commits depuis le 23 avril dernier.

• Noms, emails, adresses IP… le nouveau site de Sarah Knafo était une véritable passoire

Rappelons que d’un point de vue réglementaire, les informations qui révèlent l’orientation politique relèvent de ce que le RGPD qualifie, dans son article 9, de « données sensibles ».

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?

L’avantage des SSD sur les disques durs magnétiques traditionnels en matière de densité trouve une nouvelle incarnation éloquente avec l’annonce de la gamme 6600 ION NVMe de Micron : le fabricant états-unien décline en effet cette dernière sur des capacités de 30, 61, 122 et 245 To, le tout dans une enveloppe correspondant à celle du format 2,5 pouces utilisé sur les marchés grand public.

Ici, il n’est cependant pas question d’équiper des PC pour joueurs ou des stations de travail. Ces SSD, qui se déclinent en formats U.2 (15 mm d’épaisseur), E3.S 1T (7,5 mm) et E3.L, sont destinés au monde des datacenters, où ils permettent d’atteindre des capacités de stockage record à l’échelle de la baie ou du rack. Micron revendique ainsi 4,9 Po sur un U (à raison de 40 SSD au format U.2), ce qui permet d’envisager d’intégrer 176,9 Po sur un rack.

Dans sa fiche produit (PDF), Micron met cette promesse de densité et la consommation électrique associée en face de ce qu’autorisent les disques durs magnétiques. Le fabricant de mémoire revendique ainsi une densité 5,6 fois supérieure à celle des disques durs 44 To qui commencent à être disponibles. Côté consommation, il affiche 30 watts par SSD, soit 8,2 To par watt, qu’il compare aux 10 watts avalés par un disque 44 To. L’efficacité serait donc ici 1,9 fois supérieure.

Sans surprise, Micron se garde bien de donner la moindre indication quant au prix de ces nouveaux modèles, dont le lancement intervient sur fond de tensions persistantes sur le marché de la mémoire (vive ou Flash). Rappelons que le groupe a pris la décision fin 2025 de mettre un terme à sa marque grand public Crucial même s’il affirme ne pas vouloir totalement délaisser le consommateur final.

• Le marché de la mémoire vive face au(x) mur(s) de l’IA

Si ce n'est toi, c'est donc ton frère

Victime d’un piratage, le site officiel de JDownloader a pendant 48 heures distribué un malware en lieu et place du fichier d’installation proposé pour Windows et Linux. L’équipe en charge du projet affirme que seuls les liens de téléchargement ont été modifiés : les binaires du logiciel et l’infrastructure sous-jacente n’auraient pas été touchés. Les internautes ayant téléchargé l’utilitaire entre le 6 et le 7 mai sont toutefois invités à la prudence.

Très populaire chez les adeptes du « direct download », du fait de sa capacité à lever les restrictions sur les téléchargements gratuits, l’utilitaire JDownloader a été victime d’un incident de sécurité les 6 et 7 mai dernier. C’est plus précisément le site officiel du logiciel qui a été affecté par une attaque de type supply chain (chaîne d’approvisionnement) : pendant 48 heures environ, certains des liens de téléchargement affichés sur le site ont pointé vers un malware et non vers les binaires légitimes du client.

Des liens modifiés au niveau du CMS

L’équipe en charge du projet indique que deux liens ont été affectés : l’option « Download Alternative Installer » proposée pour Windows, et l’URL pointant vers l’installateur en ligne de commande pour Linux. « Nos packages d’installation originaux n’ont pas été modifiés ; seuls les liens de téléchargement publiés ici pointent vers des fichiers erronés. Les fichiers binaires de l’installateur restent hébergés sur des serveurs externes, comme d’habitude », promet JDownloader dans un billet dédié.

L’incident y est retracé de façon chronologique. D’après l’équipe, les assaillants auraient d’abord procédé à une première modification sur une page peu exposée du site, le 5 mai dans la soirée, avant d’insérer les deux liens piégés sur la page principale dédiée au téléchargement, le 6 mai aux alentours de deux heures du matin (heure de Paris).

Les auteurs du projet ont sonné le branle-bas de combat le 7 mai vers 19 heures, suite à l’alerte lancée par un internaute sur Reddit. « Des téléchargements suspects et des alertes ont été détectés ; le problème a été confirmé et une procédure de gestion d’incident a été lancée. Le serveur a été arrêté à 17h24 UTC [19h24 heure de Paris] », décrit-elle. Le site est ensuite resté hors ligne à des fins de nettoyage et de contrôle, jusqu’à sa remise en route dans la nuit du 8 au 9 mai.

Vérifier la légitimité du fichier téléchargé

C’est au niveau du CMS (gestionnaire de contenus, le « moteur » du site Web) que serait intervenue l’intrusion. Le code de JDownloader, et les mécaniques de mise à jour « in-app » n’ont de ce fait pas été affectées, assure l’équipe : « Chaque mise à jour installée via le système intégré de l’application est signée par RSA et vérifiée par cryptographie. Ce canal est indépendant des liens de téléchargement du site web qui ont été manipulés. »

Reste à accompagner les internautes exposés à un fichier compromis. Sous Windows, l’équipe invite à contrôler la signature du client téléchargé (clic droit, propriétés, signatures numériques). Si l’écran affiche AppWork GmbH, le fichier peut être considéré comme légitime. Elle propose également un tableau récapitulatif des différentes versions du client, avec leur taille exacte et le checksum associé.

En cas de fichier téléchargé, puis exécuté, JDownloader invite à la réinstallation complète du système d’exploitation, et à la modification préventive de tous les identifiants susceptibles d’avoir été stockés sur la machine.

Les attaques de la supply chain se multiplient

D’après Thomas Klemenc de Malcat, le fichier distribué par les pirates contient bien l’installeur de JDownloader, associé à une charge malveillante de type RAT (Remote Access Trojan) écrite en Python. Bleeping Computer remarque un comportement similaire sous Linux, où la charge s’installe de façon persistante et dissimule son activité grâce à l’outil d’obfuscation Pyarmor.

Ce nouvel incident illustre la tendance qui consiste à attaquer non pas un logiciel, mais sa chaîne d’approvisionnement. Parfois, c’est le site Web qui sert de vecteur, comme ici ou dans le cas de la mésaventure survenue à l’éditeur de CPU-Z. Bon nombre d’attaques se concentrent également sur la distribution de composants open source populaires, comme l’illustre une alerte lancée le 5 mai dernier sur Daemon Tools, ainsi que les épisodes récents relatifs à Axios ou Trivy.