Pendant le pont du 11 novembre, la Fédération Française de Cardiologie a été piratée et des données personnelles des adhérents ont été dérobées. Dans le lot, on retrouve des mots de passe.
Il ne se passe pas une semaine quasiment sans qu’une fuite de données ne soit rendue publique. C’est désormais au tour de la Fédération Française de Cardiologie de prévenir ses adhérents : « À la suite d’une faille, un tiers non autorisé a accédé à notre système et dérobé certaines de vos données personnelles ». Contactée par Next, la Fédération nous confirme l’envoi des messages aux adhérents et le contenu du message.
Nom, prénom, adresses, téléphone et… mot de passe
La liste des données dérobées contient les nom et prénom, adresses e-mail et postale, numéro de téléphone et… mot de passe ! Aucune précision sur ce dernier : est-il chiffré ou haché ? Si oui, comment ? Notre interlocuteur n’était pas en mesure de nous apporter les précisions sur les mots de passe. Nous mettrons à jour cette actualité dès que nous les aurons.
Mon espace en « maintenance »
Dans son message aux adhérents, la Fédération ajoute que « la partie « Mon espace » de notre site internet reste indisponible pour une durée indéterminée ». Effectivement, cette partie du site est « en Maintenance » avec le message suivant : « Nous procédons actuellement à une maintenance technique afin d’améliorer les performances et la sécurité de notre site ».
La Fédération Française de Cardiologie se rassure comme elle peut : « Nous tenons à vous assurer qu’aucune donnée bancaire, telle que des numéros de carte bancaire ou des numéros de compte bancaire, n’a été compromise ».
Elle termine par des recommandations d’usage dans ce genre de situation : « redoubler de vigilance face aux e-mails, SMS ou appels que vous pourriez recevoir, notamment ceux contenant des liens ou sollicitant des informations sensibles. Ne cliquez jamais sur un lien suspect et ne communiquez pas vos informations personnelles sans certitude de l’expéditeur ». Une bonne pratique à appliquer en permanence.
Comme la loi l’y oblige, la Fédération a notifié la CNIL. Elle a aussi renforcé sa sécurité, lancé un audit complet et collabore avec les autorités compétentes. Une plainte a été déposée pour « pour limiter les impacts [comment ?, ndlr] et identifier les responsables ».
Lors d’un entretien avec un panel de lecteurs du groupe de presse EBRA, Emmanuel Macron a affiché sa volonté que le dispositif « portable en pause » applicable actuellement au collège (mais peu mis en place jusqu’à présent) soit étendu au lycée. Pour cela, une loi devra être présentée et votée au Parlement.
En déplacement à Mirecourt près d’Épinal ce vendredi 28 novembre pour répondre aux lecteurs de Vosges Matin, Emmanuel Macron a répété sa volonté d’éloigner les téléphones portables des établissements scolaires en évoquant leur potentielle interdiction dans les lycées « à la rentrée prochaine ».
Empêché d’être le « maitre des horloges » au Parlement suite à la dissolution de l’Assemblée nationale en 2024, Emmanuel Macron effectue une tournée nationale organisée avec plusieurs rédactions de la presse quotidienne régionale. Le président de la République y aborde régulièrement le sujet du numérique. Ainsi, il avait déjà évoqué la possibilité qu’il quitte la plateforme X le 12 novembre dernier face aux lecteurs de la Dépêche du Midi. 15 jours après, il n’a pas encore franchi le pas.
Aujourd’hui, face aux lecteurs de Vosges Matin, Emmanuel Macron a affirmé : « On a sorti le portable du collège, maintenant dans tous les collèges à la rentrée dernière, on va sans doute l’élargir aux lycées à la rentrée prochaine avec le ministre. Il est en train de regarder ça », estimant que l’interdiction est la manière la plus efficace « si on considère qu’il y a un vrai risque ».
Un long chemin de croix pour l’interdiction du portable au collège
Concernant la sortie du portable au collège, ce n’est pas encore tout à fait le cas, contrairement à ce qu’affirme le Président. Comme nous le disions en 2017 déjà, l’article L511-5 du Code de l’éducation prévoit depuis 2010 que « dans les écoles maternelles, les écoles élémentaires et les collèges, l’utilisation durant toute activité d’enseignement et dans les lieux prévus par le règlement intérieur, par un élève, d’un téléphone mobile est interdite », mais son application n’est pas si simple. À l’époque, Jean-Michel Blanquer promettait de « faire respecter les règles et le droit ».
Mais en 2025, le dossier n’est pas encore résolu. En avril dernier, Élisabeth Borne a annoncé qu’elle souhaitait que la « pause numérique » – l’interdiction pour les élèves d’utiliser leur smartphone au sein de l’établissement – soit « généralisée à tous les collèges à la prochaine rentrée ». Mais, en septembre, selon le syndicat majoritaire des chefs d’établissement SNPDEN-UNSA cité par le Monde, seuls 9 % des collèges avaient mis en place le dispositif.
Début novembre, en réponse à une question sur le nombre de collèges appliquant le dispositif de la sénatrice Les Républicains Agnès Evren, le nouveau ministre de l’Éducation nationale, Édouard Geffray, répondait de manière évasive : « je ne peux que souscrire à l’idée de mettre le portable en pause et d’installer des casiers de stockage lorsque c’est possible, mais je rappelle que la première pause du portable est l’interdiction, qu’il nous revient de faire respecter. Je ne peux que me réjouir des cas où il est possible de conforter l’interdiction avec des installations spécifiques, mais je ne peux pas imposer aux départements d’acquérir des casiers. Plusieurs centaines d’établissements fonctionnent ainsi, avec des retours qui laissent apparaître une nette satisfaction ».
Une volonté présidentielle qui n’est pas encore inscrite dans la loi
Le portable n’est donc pas encore sorti des collèges, même si, selon France Info, Emmanuel Macron estime que l’interdiction dans les collèges « marche plutôt bien, parce que c’est une interdiction nationale, c’est assumé ».
Pour ce qui est des lycées, Édouard Geffray semble donc être « en train de regarder ça », selon le président de la République. Mais il faut qu’un texte législatif soit voté avant qu’il puisse être appliqué « à la rentrée prochaine ».
La députée Renaissance Laure Miller a déposé le mardi 18 novembre 2025 une proposition de loi « visant à protéger les mineurs des risques auxquels les expose l’utilisation des réseaux sociaux » qui propose, entre autres, d’ « étendre aux lycées l’interdiction de l’utilisation des téléphones portables, dans les mêmes conditions que dans les autres établissements scolaires ». Reste à ce que l’article en question ainsi que la loi soient votés par l’Assemblée nationale et le Sénat, et que les décrets soient promulgués avant la rentrée 2026.
OVHcloud serait aux prises avec la justice canadienne, qui ordonne à l’entreprise française de remettre des données dans le cadre d’une décision de justice. Pour l’avocat Alexandre Archambault, il n’y a cependant rien de nouveau dans ce type de procédure, en vertu des accords d’adéquation et du RGPD.
Dans un article publié le 26 novembre, le média allemand Heise décrit une situation inextricable : OVHcloud est sommée d’obéir à une décision de justice canadienne dans le cadre d’une enquête criminelle.
18 mois plus tôt
Cette décision a été initialement rendue en avril 2024 par la Cour de justice de l’Ontario. Puisque des données sont présentes sur des serveurs appartenant à OVHcloud sur des serveurs situés en France, au Royaume-Uni et en Australie, demande est faite à la filiale canadienne de transmettre ces informations. Celle-ci étant une entité juridique indépendante, elle répond qu’elle ne peut pas transférer les informations réclamées.
Selon Heise, l’affaire remonte, en France, aux oreilles du SISSE (Service de l’information stratégique et de la sécurité économiques). Un premier courrier aurait été envoyé à OVHcloud en mai 2024 pour rappeler qu’en vertu de la loi de blocage de 1968 (renforcée en 2022), il est interdit aux entreprises françaises de transmettre des informations à une autorité étrangère hors des canaux internationaux.
Le 25 septembre suivant, la juge chargée de l’affaire en Ontario, Heather Perkins-McVey, décide que c’est la maison mère française qui doit envoyer les données. Elle motive sa décision en faisant référence à la « présence virtuelle » : « Puisque OVH opère à l’échelle mondiale et propose des services au Canada, l’entreprise est soumise à la juridiction canadienne, peu importe où se trouvent les serveurs physiques », écrivent nos confrères. Une vision qui se rapprocherait du Cloud Act américain.
Conflit diplomatique ?
La Cour aurait donné jusqu’au 27 octobre 2024 à OVHcloud pour répondre. La société française aurait alors fait appel devant la Cour supérieure de justice de l’Ontario. Janvier 2025, nouveau courrier de la SISSE, décrit comme « plus détaillé », mais enfonçant le clou : tout envoi de données à la Gendarmerie royale du Canada serait illégal.
Le 21 février, toujours selon Heise, le ministère français de la Justice serait intervenu pour assurer à ses homologues canadiens qu’ils bénéficieraient d’un « traitement accéléré » en passant par la voie officielle. Le ministère aurait ainsi montré sa volonté de coopération, indiquant qu’OVHcloud se tenait prête, l’entreprise ayant préparé les données demandées. Mais la Gendarmerie canadienne aurait insisté pour une transmission directe, appuyée par le tribunal en Ontario.
Nos confrères affirment que l’affaire est depuis suivie de près par l’industrie technologique comme illustration des tensions autour du modèle commercial habituel du cloud, et plus généralement de la notion de souveraineté des données.
L’affaire rappelle celle qui avait alimenté la création du Cloud Act américain : Microsoft était sommée par un tribunal de fournir les données d’une personne accusée de trafic de drogue. Problème, ces données étaient situées sur un serveur en Irlande, l’entreprise estimant qu’il fallait passer par la voie classique de coopération. Pour le tribunal américain, Microsoft était une entreprise mondiale dont le siège était aux États-Unis, elle devait donc pouvoir transmettre ces données, où qu’elles soient. L’emplacement physique des serveurs n’avait pas d’importance.
« C’est une tempête dans un verre d’eau ! »
L’avocat Alexandre Archambault, spécialiste des questions numériques, n’est cependant pas d’accord avec le récit que dresse Heise de la situation. Il s’étonne également des réactions émues autour de la question, car il n’y a selon lui rien de nouveau dans cette affaire.
Contacté, il ne cache pas son agacement : « Il faut qu’on arrête vraiment ces tartufferies ! C’est une tempête dans un verre d’eau. Moi ce que je vois, c’est qu’une juridiction s’est prononcée, avec des magistrats indépendants, dans le cadre d’une procédure contradictoire, publique, sur laquelle tout le monde peut faire valoir ses points de vue. On est face à une décision de justice. Et bien sûr, si on n’applique pas cette décision, on s’expose à des sanctions. Et on peut tout à fait contester la décision là-bas, ce qui a été fait ».
L’avocat cite en exemple un arrêt de la cour d’appel de Paris (via le site de la Cour de cassation) dans le cadre d’une affaire où il était exigé de la filiale allemande d’OVHcloud qu’elle applique la loi française. OVHcloud avait contesté, mais la Cour avait confirmé la validité de la demande. « On peut difficilement exiger, à juste titre d’ailleurs, d’acteurs établis hors de France de communiquer des éléments d’identification d’auteurs d’infractions en ligne, tout en s’indignant que d’autres pays fassent la même chose », estime Alexandre Archambault.
Tout est dans le RGPD
Pour l’avocat, OVHcloud « n’est pas coincée entre deux lois » et le média allemand s’est trompé. « Le droit de l’Union, notamment au titre du DSA et du prochain règlement E-evidence, dit que les acteurs du numérique établis sur le sol européen doivent coopérer avec les autorités judiciaires, quelles qu’elles soient. Tout est dans l’article 48 du RGPD ! ».
Que dit ce dernier ? Que toute « décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre ».
Or, rappelle l’avocat, il y a non seulement un traité d’entraide entre la France et le Canada, mais également un accord d’adéquation avec le pays. La CNIL pointait ainsi en décembre 2024 que le Canada faisait justement partie d’un groupe de onze pays bénéficiant « d’un niveau de protection adéquat », à la suite d’un examen d’évaluation de ces accords au regard du RGPD.
Les courriers du SISSE ne seraient donc que des rappels de la bonne marche à suivre dans ce contexte, mais il est difficile d’en savoir plus, leur contenu n’étant pas consultable.
Contactée, OVHcloud n’a pas souhaité réagir, indiquant simplement : « Nous ne commentons pas les décisions de justice ».
Le Conseil et le Parlement européen ont trouvé un accord sur de nouvelles règles à propos de la fraude en ligne et l’utilisation abusive des données. Notamment, les plateformes devront faire face à leurs responsabilités si elles n’ont pas supprimé des contenus frauduleux signalés qui ont atteint des victimes.
« Historique : Nous nous attaquons à l’industrie de la fraude numérique », a exulté le député européen du Danemark Morten Løkkegaard (Renew) sur Facebook. « Le Parlement et le Conseil ont conclu un accord visant à rendre le secteur des services de paiement de l’UE plus ouvert et plus concurrentiel, tout en le dotant de solides défenses contre la fraude et les violations de données », explique la députée européenne Place publique sur X.
Ce jeudi 27 novembre, le Conseil et le Parlement européen ont annoncé s’être mis d’accord à propos de deux textes sur la régulation des paiements en ligne (le Payment Services Regulation et la directive Payment Services Directive 3, PSD3), comme l’a repéré Politico. Il reste une dernière étape pour qu’il puisse entrer en vigueur : une adoption formelle par les deux institutions.
Renfort de la coopération entre prestataires de services de paiement
Le Conseil de l’Europe explique que « l’objectif de ces nouvelles règles est de mieux lutter contre la fraude aux paiements, d’améliorer la transparence des frais et de renforcer la protection des consommateurs dans le secteur des services de paiement ». L’idée est de mettre à jour la législation européenne face aux nombreuses tentatives de phishings auxquelles nous faisons face.
Ces textes renforcent, entre autres, les obligations des prestataires de services de paiement concernant les fraudes : obligation de partager entre eux les informations sur des cas repérés mais aussi de vérifier les numéros IBAN avant tout virement (et pas seulement sur les virements instantanés en euros comme actuellement). Ils seront aussi tenus responsables s’ils n’ont pas mis en place certains outils préventifs face à la fraude.
Une attention obligatoire sur les signalements de fraude
Mais ces textes donnent aussi une responsabilité à d’autres acteurs jusque-là laissés tranquilles sur le sujet. Ainsi les réseaux sociaux seront responsables envers les prestataires de services de paiement qui auront remboursé des clients victimes de fraude si celle-ci a été effectuée en passant par un message publié sur leur plateforme qui aurait été préalablement signalé.
Le Parlement européen explique aussi que les annonceurs de services financiers vont devoir démontrer aux très grandes plateformes en ligne (VLOPs) et moteurs de recherche (VLOSE) qu’ils sont « légalement autorisés (ou officiellement exemptés) dans le pays concerné à offrir ces services, ou qu’ils font de la publicité pour le compte d’une personne qui l’est ».
Rappelons que des documents internes à Meta ont récemment révélé que le groupe de Mark Zuckerberg prévoit de générer 10 % de son chiffre d’affaires annuel, soit environ 16 milliards de dollars, à partir d’arnaques et de publicités frauduleuses.
Les négociateurs européens s’appuient notamment sur le DSA et le DMA pour établir ces nouvelles règles.
« Ce cadre complexe sape les efforts de simplification et risque d’entrer en conflit avec l’interdiction de la surveillance générale prévue par le DSA, ignorant ainsi les nombreuses études qui avertissent que cela serait contre-productif. Au lieu de protéger les consommateurs, le résultat obtenu aujourd’hui crée un dangereux précédent et décharge de leur responsabilité ceux qui sont les mieux placés pour prévenir la fraude », a réagi Leonardo Veneziani, représentant du lobby du numérique états-unien CCIA (regroupant notamment Amazon, Google, Apple, Meta et Shopify).
Initialement promu par Nicolas Sarkozy, le méga « fichier des gens honnêtes » centralisant les données personnelles, photos de visages et empreintes digitales des demandeurs de passeport et de carte nationale d’identité ne devait pouvoir être utilisé que par certains agents de services de renseignement. La Quadrature du Net a découvert qu’il était régulièrement employé par la police judiciaire.
La Quadrature du Net (LQDN) vient de saisir la CNIL après avoir recueilli des témoignages et « preuves formelles » indiquant que la police judiciaire « détourne le fichier des passeports et des cartes d’identité » afin d’y récupérer des empreintes digitales et photographies « par un contournement de la loi ».
La genèse de ce fichier des titres électroniques sécurisés (TES), centralisant les données (y compris biométriques) recueillies lors des demandes de passeport et de cartes nationales d’identité (CNI) remonte aux attentats de 2001. Entre autres mesures sécuritaires adoptées dans la foulée, les autorités états-uniennes imposèrent à leurs pays amis d’inclure une puce RFiD sans contact dans leurs passeports, ce qui fut fait, en France, fin 2005.
Afin de se conformer à un règlement européen, de faciliter les démarches administratives et de lutter contre la « fraude documentaire », rappelle LQDN, l’image numérisée du visage et des empreintes digitales furent ajoutées au sein de la puce à partir de 2008.
Ce qui était initialement présenté comme un « passeport électronique » devenait dès lors biométrique, et les photos d’identité et empreintes associées furent elles aussi versées au fichier centralisant les données contenues dans le passeport, en dépit d’un avis défavorable de la CNIL.
Dans sa délibération, elle relevait en effet que « même si le ministère de l’Intérieur […] s’engage à préciser aux termes du projet de décret qu’il ne sera pas possible de procéder à une recherche en identification à partir de l’image numérisée des empreintes digitales et que le système envisagé ne comportera pas de dispositif de reconnaissance faciale à partir de l’image numérisée de la photographie, la conservation dans une base centrale des images numérisées du visage et des empreintes digitales semble disproportionnée ».
Une atteinte disproportionnée au respect de la vie privée
En 2012, une proposition de loi relative à la protection de l’identité, soutenue par Claude Guéant, alors ministre de l’Intérieur de Nicolas Sarkozy, était adoptée afin d’insérer une puce électronique sécurisée dans les cartes nationales d’identité contenant ces mêmes identifiants biométriques.
Elle visait aussi à permettre expressément aux agents chargés des missions de recherche et de contrôle de l’identité des personnes d’y accéder et à des officiers de police judiciaire de pouvoir utiliser le fichier « pour identifier une personne à partir de ses empreintes digitales sans l’assentiment de la personne dont les empreintes sont recueillies ».
Afin de lutter contre l’usurpation d’identité (un phénomène très largement survendu par les industriels, comme l’avait démontré un Cash Investigation consacré au « Business de la peur » et auquel avait participé l’auteur de cet article), le projet de loi voulait créer un « fichier des gens honnêtes » (sic) permettant d’identifier les éventuels usurpateurs.
Le fichier TES centralisait à l’époque les données biométriques d’environ 6,5 millions de personnes. Or, le Conseil constitutionnel censura (.pdf) ces aspects-là de la loi au motif qu’ils étaient disproportionnés eu égard à l’objectif initial de délivrance des passeports. Les Sages relevaient en effet que, du fait de l’extension du fichier aux détenteurs de cartes nationales d’identité, le fichier TES avait vocation à centraliser les données biométriques de 45 à 60 millions de personnes :
« Compte tenu des quatre caractéristiques du dispositif décrites ci-dessus (ampleur du fichier, sensibilité des données, caractéristiques techniques permettant l’identification à partir des données biométriques et finalités de police administrative ou judiciaire autres que celles nécessaires à la délivrance ou au renouvellement des titres d’identité et de voyage et à la vérification de l’identité du possesseur d’un tel titre) l’instauration d’un tel traitement de données à caractère personnel portait une atteinte au respect de la vie privée qui ne pouvait être regardée comme proportionnée au but poursuivi. »
Ficher toute la population pour supprimer quelques dizaines de postes de fonctionnaires
En 2016, comme Next l’avait alors révélé, Bernard Cazeneuve, ministre de l’Intérieur du gouvernement de Manuel Valls, légalisait, un dimanche matin du week-end de la Toussaint, le versement des données personnelles des demandeurs de cartes d’identité dans le fichier TES, dont leurs photos et empreintes digitales. Et ce, en dépit de la précédente censure du Conseil constitutionnel, et de l’avis là encore négatif de la CNIL.
Si cette dernière estimait les finalités justifiées, elle déplorait de voir « réunir au sein d’un même fichier des données biométriques, en particulier les images numérisées des empreintes digitales et de la photographie de l’ensemble des demandeurs de cartes nationales d’identité et de passeports », soit « la quasi-totalité de la population française », représentant « un changement d’ampleur et, par suite, de nature, considérable ».
Un fichage généralisé d’autant plus disproportionné que cette centralisation de nos données (y compris biométriques) d’identité était justifiée par le fait d’économiser quelques dizaines voire centaines d’équivalents temps plein de fonctionnaires. À l’époque, sous couvert de numérisation des procédures administratives, cette bascule avait en effet été motivée au nom d’un plan « préfectures nouvelle génération » (PPNG) visant notamment à mettre fin à l’ancien fichier national de gestion (FNG) des CNI qui, au format papier, nécessitait de payer des gens pour archiver les cartons.
La Quadrature rappelle que de nombreuses institutions comme la CNIL, l’ANSSI, l’Inria ou le Conseil national du numérique « avaient vertement critiqué ce choix, pointant les risques de la centralisation inédite d’informations liées à l’identité, et en particulier les données biométriques, de quasiment toute la population ».
L’enregistrement du visage de l’ensemble de la population n’a plus de justification
Dans la « plainte contre la technopolice » qu’elle avait déposée pour dénoncer l’illégalité de ce fichier au nom de plus de 15 000 personnes auprès de la CNIL en 2022 (et qui est toujours en instruction), l’ONG rappelait qu’en 2016, « le gouvernement avait justifié le fichage de l’ensemble de la population en mettant en avant des risques de fraude au moment du renouvellement des passeports et des cartes d’identité », mais que ce n’était plus le cas depuis :
« Ce risque, qui était déjà extrêmement faible en 2016, a entièrement disparu depuis qu’une puce – qui contient le visage et les empreintes – est désormais présente sur les passeports et permet de remplir la même fonction de façon décentralisée. L’enregistrement du visage de l’ensemble de la population dans le fichier TES n’a plus aucune justification : il est donc illégal et doit être supprimé avant d’être dévoyé par la police pour d’autres usages abusifs. »
Concrètement, la police contourne l’interdiction d’accéder au TES
La Quadrature a en outre récemment découvert que si, « techniquement et légalement, un simple officier de police judiciaire ne peut pas avoir accès au fichier TES », le ministère de l’Intérieur « a laissé s’installer une pratique qui permet de contourner les interdictions d’accès aux données du TES, et ce, sans aucune restriction et pour n’importe quel type d’affaire ».
Le décret de 2016 prévoit en effet que seuls certains agents individuellement nommés et « chargés des missions de prévention et de répression des atteintes aux intérêts fondamentaux de la Nation et des actes de terrorisme », et donc travaillant pour des services de renseignement, puissent interroger et consulter le fichier.
Or, relève LQDN, les officiers de police judiciaire (OPJ) peuvent « exiger de toute entité publique ou privée de leur fournir les informations qu’elles possèdent et qui seraient utiles pour une enquête ». Ce mécanisme des « réquisitions » judiciaires prévu par le code de procédure pénale permet aux OPJ, sur autorisation du procureur de la République, d’exiger de toute entité publique ou privée de leur fournir les informations qu’elles possèdent et qui seraient utiles pour une enquête, souligne l’ONG :
« C’est ainsi que la police peut, par exemple, récupérer les enregistrements de vidéosurveillance d’un magasin ou les données personnelles d’une personne précise que détiendrait une banque, la SNCF, un réseau social ou encore la CAF. Ces acteurs sont obligés de répondre sous peine d’une amende de 3 750 euros. »
LQDN a découvert que pour accéder au TES, des OPJ ont adressé des demandes à des employés de l’Agence nationale des titres électroniques (ANTS) ou des « Centres d’expertise et de ressources titres » (CERT) chargés, au sein des (sous-)préfectures, d’instruire les dossiers de demandes de titres :
« La police n’interroge donc pas directement le fichier TES. Concrètement, elle contourne l’interdiction qui lui est faite de piocher dans le fichier TES en adressant des réquisitions à ceux qui y ont accès. Détournant la procédure, elle s’arroge ainsi un pouvoir de consultation du fichier qui lui est normalement interdit. »
Ce faisant, les OPJ peuvent recueillir des identités, adresses postales, photographies et empreintes digitales figurant dans le fichier, quand bien même ce dernier n’est pas censé le leur permettre, même et y compris à partir d’une image issue du système de vidéosurveillance des locaux de garde à vue, comme le montre l’un des documents obtenus par LQDN.
Captures d’écran de procès verbaux de police judiciaire obtenus par La Quadrature du Net
De l’identification de terroristes à celle d’une manifestante
Le Monde rappelle qu’il était bien prévu que des services de police puissent accéder aux informations contenues dans le fichier, mais dans certaines situations seulement, telles que des « atteintes aux intérêts de la nation et des actes de terrorisme » ou « dans le cadre de collaborations avec Interpol ».
Or, la procédure a par exemple été utilisée en 2023 pour identifier une manifestante poursuivie pour des faits de dégradations et de rébellion, plusieurs fois interpellée, mais qui refusait de décliner son identité, avant de s’identifier sous un faux nom.
Les documents que Le Monde a pu vérifier montrent que la police judiciaire a d’abord eu recours au fichier TES pour obtenir « toutes les informations relatives à son véritable porteur, dont sa photographie et ses empreintes digitales », et confirmer qu’elle leur avait confié une fausse identité.
La police a ensuite planqué et procédé à une filature pour parvenir à localiser le logement de la manifestante, recueilli une liste de noms figurant sur la boîte aux lettres, et transmis une réquisition à un CERT afin d’obtenir leurs états civils et photos, et donc la véritable identité de la manifestante.
Interrogée par Le Monde, la police nationale confirme que « les enquêteurs n’ont pas un accès direct au TES lui-même, mais peuvent, sur réquisition judiciaire, pour identifier des mis en cause, interroger l’ANTS ». Sous couvert d’anonymat, un OPJ qui recourt régulièrement à cette procédure précise au Monde qu’elle ne leur a jamais été formellement interdite.
Il est possible de refuser de verser ses empreintes au TES, pas de les y effacer
Le Monde relève en outre que, dans son rapport 2016 (.pdf), la CNIL avait déploré que « les risques de mésusage des données n’étaient pas suffisamment pris en compte, qu’il s’agisse de l’utilisation du système à des fins de reconnaissance faciale, qui n’est pas interdite en l’état du texte, ou encore du risque de consultation massive des données enregistrées dans le traitement dans le cadre de réquisitions judiciaires ».
En 2021, à l’occasion du lancement de la carte nationale d’identité électronique (CNIe), la CNIL avait recommandé « non seulement de chiffrer les données biométriques en base, ce qui a été mis en œuvre par le ministère, mais aussi de confier les moyens de déchiffrement à un tiers de sorte que ni le ministère ni l’autorité tierce ne puisse, seule, avoir les moyens de déchiffrer les données pour répondre aux réquisitions judiciaires ».
Or, comme nous l’avions à l’époque relevé, « cette seconde partie de la recommandation ne semble ni mise en œuvre par le ministère à ce stade ni prévue dans le plan d’action », alors qu’elle permettrait à la fois de relever le niveau de sécurité des données et de protection de la vie privée, ainsi que de limiter le risque que le traitement soit transformé en une base d’identification des individus.
Pour La Quadrature, cette façon détournée d’accéder aux données figurant dans le fichier TES par les OPJ est révélatrice d’un « phénomène plus large : celui de l’échange débridé et démesuré des données » au nom du droit de « réquisition » (ou de « communication » quand il s’agit d’administrations fiscales ou sociales), qui permet à des organismes de sécurité sociale – CAF, Assurance Maladie… – de récupérer le détail des comptes bancaires, et à la police de demander des factures d’électricité :
« Or, cette possibilité très large de se voir transmettre des informations s’est construite sans prise en compte des règles de protection des données spécifiques à chaque traitement. Elle n’est guidée que par une logique d’efficacité supposée, réduisant le respect des droits fondamentaux à l’état de vulgaires obstacles à dépasser ou à contourner. […] À l’heure où tout est informatisé et où la quantité de données communicables est immense, il est nécessaire de questionner profondément ce mécanisme, source d’abus et d’excès. »
Dans sa fiche dédiée au fichier TES, la CNIL rappelle de son côté que s’il n’est pas possible de refuser la numérisation de ses empreintes digitales lors d’une demande de passeport ou de CNI, « en revanche, il est possible pour la personne concernée de demander à ce que l’image numérisée de ses empreintes ne soit pas conservée dans le traitement au-delà d’un délai de quatre-vingt-dix jours à compter de la date de délivrance du titre ou de la date de refus de cette délivrance par le service instructeur, la copie sur papier des empreintes étant alors conservée par l’Agence nationale des titres sécurisés pour une durée de quinze ans ».
Par contre, « lorsque les informations sont enregistrées, il n’est pas possible par la suite de s’opposer à leur traitement ni d’en demander l’effacement, y compris pour les empreintes digitales ».
Saisie par Qwant, l’Autorité de la concurrence a finalement considéré que l’entreprise française n’avait pas réussi à démontrer que Microsoft serait en position dominante sur le marché de la syndication des résultats de recherche. Elle pointe également l’absence d’éléments susceptibles de confirmer que l’éditeur américain entretiendrait la dépendance de son concurrent à ses propres outils.
Un coup d’épée dans l’eau. L’Autorité de la concurrence a annoncé jeudi 27 novembre le rejet de la saisine déposée par le moteur de recherche français Qwant à l’encontre de son partenaire historique, Microsoft.
« L’Autorité considère que Qwant n’apporte pas d’élément suffisamment probant de nature à démontrer que Microsoft serait en position dominante sur le marché décrit dans sa saisine ou que les conditions de l’abus de dépendance économique seraient réunies », indique le gendarme de la concurrence. Ce rejet au fond de la saisine entraîne logiquement une réponse négative aux mesures conservatoires réclamées par Qwant en juin dernier.
En attendant la publication de sa décision, l’Autorité de la concurrence résume ses conclusions dans un communiqué de presse, qui retrace également les grandes lignes de l’affaire.
Microsoft aurait voulu tuer la concurrence
Rappelons que si Qwant, désormais associée à Ecosia au sein d’une coentreprise baptisée European Search Perspective, travaille à la constitution d’un index de recherche européen surnommé Staan, le moteur de recherche français exploite historiquement les résultats de recherche fournis par Bing, le moteur de Microsoft.
Le différend entre les deux partenaires débute en 2023, quand Microsoft annonce une hausse de tarif pour le moins conséquente des API permettant de se connecter à l’index de Bing. Les prix publics augmentent en effet d’un facteur qui varie de deux à dix, selon les fonctionnalités et le volume de requêtes concernés.
« Le nouveau modèle de tarification reflète plus fidèlement les investissements technologiques que Bing continue de réaliser pour améliorer la recherche », arguait à l’époque Microsoft. Pour Olivier Abecassis, patron de Qwant depuis sa reprise par Octave Klaba (OVHcloud), la manœuvre poursuivait une autre finalité. « Ils voulaient tout simplement tuer le marché des moteurs de recherche alternatifs », affirme ce dernier aux Échos, évoquant par ailleurs une baisse significative des revenus générés par l’intermédiaire de l’offre publicitaire de Bing.
Il y aurait donc un double préjudice : un abus de position dominante, matérialisé par cette augmentation de prix arbitraire, et une discrimination dans l’accès à l’offre publicitaire permettant de rémunérer l’audience réalisée par Qwant. D’où une saisine de l’Autorité de la concurrence, qui a diligenté en début d’année une enquête sur les pratiques de Microsoft en matière de syndication des résultats de recherche.
Difficile de parler de position dominante quand Google est dans la place
Si Google règne en maître sur le marché français de la recherche en ligne, Microsoft occupe historiquement une place particulière sur le segment, plus spécifique, de la syndication des résultats, c’est-à-dire leur mise à disposition au profit de moteurs tiers. Brave Search exploitait par exemple les résultats de Bing jusqu’en avril 2023. DuckDuckGo s’appuie quant à lui toujours de façon significative sur Bing pour ses résultats généraux et sa recherche d’images, même s’il développe aussi des briques d’indexation en propre. Google n’est cependant pas totalement absent de ce marché, puisque ses résultats ont longtemps sous-tendu ceux d’Ecosia.
Dans ce contexte, l’Autorité de la concurrence ne retient pas l’idée selon laquelle Microsoft peut être taxé d’un abus de position dominante. « Ainsi, la position tout à fait prééminente de Google sur la face rémunératrice du marché est susceptible d’exercer une forte pression concurrentielle sur la face syndication du marché, de nature à exclure, en l’absence d’éléments au dossier attestant du contraire, toute hypothèse de dominance de Microsoft sur le marché de la syndication à destination des moteurs de recherche », résume-t-elle.
L’argument de la dépendance économique est également rejeté. Là où Qwant affirme qu’il lui était impossible de recourir, dans un délai raisonnable, à une alternative aux outils de Microsoft, l’Autorité retient que le moteur français « dispose de capacités de recherche propres, mais est même le seul moteur de recherche contractuellement autorisé par Microsoft à développer sa propre technologie de recherche dans le cadre de la syndication ».
« Qwant reprochait à Microsoft une exclusivité d’approvisionnement en publicités et une vente liée des résultats de recherche organique et des résultats payants, une discrimination dans l’accès à la publicité et des restrictions relatives au développement d’un modèle d’intelligence artificielle. Pour chacune de ces pratiques, l’Autorité a estimé qu’aucun élément suffisamment probant n’appuyait les reproches formulés par la requérante », conclut l’institution.
Cette décision n’est a priori pas une surprise pour Qwant. Mi-octobre, Olivier Abecassis laissait en effet entendre à Reuters qu’il était au courant que l’Autorité inclinait vers un rejet de sa saisine au fond. « Dans ce cas, nous n’aurons d’autre choix que d’épuiser tous les recours légaux disponibles pour protéger notre entreprise contre les abus flagrants de Microsoft, défendre nos droits et demander réparation », déclarait-il à cette occasion.
Toujours dans le lent cheminement menant de X11 à Wayland, l’équipe de KDE vient de confirmer le 26 novembre que la future mouture 6.8 de KDE Plasma n’aura plus de session X11.
Plasma 6.8 n’aura donc plus qu’une session Wayland. Comme GNOME récemment, les applications X11 seront confiées aux bons soins de XWayland. Comme nous l’avions expliqué dans notre dossier dédié, ce dernier permet de traiter les demandes pour l’ancien serveur d’affichage en enfermant ce dernier dans un client Wayland. La session X11, elle, disparaitra. Selon l’équipe de développement, « ce changement ouvre de nouvelles opportunités pour les fonctionnalités, les optimisations et la rapidité de développement ».
Dans l’ensemble, l’équipe de KDE prévoit un support de X11 dans Plasma jusqu’à début 2027. Le support pourrait être plus long dans Plasma 6.7, l’équipe prévoyant de publier des versions supplémentaires de corrections de bugs. Pour un besoin plus long, le billet recommande de s’orienter vers des distributions dont le support LTS garantit la présence de X11 pour l’instant. AlmaLinux 9 et son support jusqu’en 2032 sont donnés comme exemple.
L’équipe de KDE veut rassurer sur le support des applications via XWayland. Elle précise qu’elle a ajouté des fonctions supplémentaires de compatibilité, dont une prise en charge améliorée pour la mise à l’échelle fractionnée et une compatibilité rétroactive (optionnelle) pour les raccourcis généraux de X11 et l’émulation d’entrée (input).
Un support complet en bonne voie
Dans le billet, on trouve d’autres éléments intéressants. Par exemple, au sein de KDE lui-même, le support de X11 reste présent, permettant de lancer des applications KDE dans d’autres environnements de bureau. Le support des cartes NVIDIA est jugé en très bon état, même s’il faut passer par le pilote propriétaire. Côté accessibilité, l’équipe estime que les fonctions sont au même niveau qu’avec X11, avec des améliorations spécifiques dans Wayland, notamment dans les gestes tactiles sur touchpad. Il pourrait cependant y avoir quelques problèmes avec d’autres fonctions fournies par certaines applications tierces.
Les développeurs de KDE précisent quand même qu’il reste un certain nombre de problèmes importants, mais que le travail de correction est en bonne voie. Une partie d’entre eux seront corrigés dès la prochaine mouture 6.6, comme la mise en miroir pour la sortie vidéo. D’autres soucis, comme la restauration de session ou la mémorisation des positions de fenêtres, sont « activement travaillés ».
Il s’écoulera donc du temps avant que X11 disparaisse de KDE Plasma, mais le compte à rebours est lancé. Selon le calendrier actuel, KDE Plasma 6.8 est prévu pour octobre 2026, laissant près d’un an pour corriger les derniers problèmes. À noter que la plupart des distributions avec KDE proposent par défaut une session Wayland depuis un moment maintenant.
Intelcia est une des entreprises d’Altice laissée de côté lors du deal proposé par Bouygues Telecom, Free et Orange pour racheter SFR. Il s’agit pour rappel d’une société marocaine de 40 000 employés spécialisée dans les centres d’appels, détenue à 65 % par Altice depuis presque 10 ans. Cela fait un peu plus de deux mois qu’une vente est évoquée.
C’est désormais officiel : « Intelcia annonce aujourd’hui une nouvelle étape structurante de son parcours. Le 24 novembre 2025, ses actionnaires dirigeants ont signé un accord avec Altice portant sur la reprise des 65 % du capital que ce dernier détenait depuis 2016 […] Cette opération consolide le contrôle du management d’Intelcia sur l’entreprise, qui détient désormais 100% des parts, et ouvre un nouveau cycle de croissance ».
Karim Bernoussi, CEO et co-fondateur d’Intelcia, en profite pour assurer la promotion de Patrick Drahi : « Nous tenons à exprimer notre gratitude à Altice pour l’accompagnement constant durant ces années. Nous sommes fiers de ce que nous avons réalisé durant près de dix ans. À titre personnel, je tiens à remercier particulièrement Patrick Drahi pour sa confiance et l’esprit de notre collaboration ».
La finalisation de cette transaction est prévue pour le premier trimestre 2026, sous réserve comme toujours de la validation des autorités compétentes. Le montant de la transaction n’est pas connu.
Cette annonce intervient dans une période morose pour Altice, qui vient de publier son bilan financier : des abonnés en moins sur le fixe et le mobile (respectivement 6,08 et 19,36 millions au lieu de 6,17 et 19,52 millions), ainsi que des revenus en baisse de 7,6 % sur un an. Les pertes sur le trimestre sont de 609,9 millions d’euros, contre 619,2 millions un an auparavant.
Samsung propose depuis longtemps des capteurs photo de 200 Mpixels pour les terminaux mobiles. Il est désormais en concurrence avec Sony qui vient d’annoncer lui aussi un capteur de 200 Mpx, baptisé LYTIA 901. 2025 oblige, il y a de l’IA à l’intérieur… c’est du moins ce qu’annonce Sony.
Il s’agit d’un capteur de 1/1,12 pouce de type CMOS avec des pixels de 0,7 x 0,7 μm environ. Le capteur propose une technologie baptisée Quad-Quad Bayer Coding (QQBC) permettant soit de regrouper les pixels par paquet de 16 pour améliorer le résultat en basse luminosité (avec une image de 12,5 Mpixels) soit de garder la granularité des 200 Mpx pour améliorer le résultat si le zoom est utilisé.
Dans le deuxième cas, Sony parle de « remosaicing ». C’est là qu’on arrive à la partie IA : « Sony a développé une nouvelle technologie de remosacing basée sur l’apprentissage automatique pour la matrice QQBC et a intégré le circuit de traitement à l’intérieur du capteur ». En gros, l’IA à l’intérieur du capteur sert au traitement de signal.
Niveau vitesse de capture des images, Sony annonce 10 fps en RAW à 200 Mpixels et jusqu’à 120 fps en 4K2K. Quelques exemples d’images sont disponibles sur cette page.
Seagate continue d’augmenter la capacité de ses plateaux pour disques durs. De 6,5 To l’année dernière, il est désormais question de 6,9 To en laboratoire. Le fabricant vise toujours des HDD de 3,5 pouces de 100 To et plus à long terme. Du côté des ventes, plus d’un million de disques durs HAMR de 30 To et plus ont été expédiés sur le dernier trimestre.
Le stockage suit une progression rapide. Il y a 10 ans à peine, les fabricants étaient à 10 To par disque dur de 3,5 pouces. Désormais, la barrière des 40 To est franchie, toujours avec le même principe général : des plateaux empilés les uns sur les autres.
Dix plateaux est généralement la norme dans la haute capacité, mais Western Digital est monté à 11, puis Toshiba à 12 plateaux (bien qu’il reste des zones d’ombre). C’est de plus en plus compliqué d’en ajouter car les dimensions sont contraintes si l’on veut rester dans le format classique de 3,5 pouces pour une compatibilité maximale.
Pour augmenter la capacité des disques durs dans leur ensemble, les fabricants augmentent la densité des plateaux. À 40 To avec 10 plateaux, cela donne 4 To par plateau. Passer à 5 To par plateau donnerait des disques durs de 50 To. C’est aussi simple que cela.
L’année dernière, Seagate annonçait avoir atteint, en laboratoire, une capacité de 6,5 To par plateau, soit de quoi mettre sur pied un disque dur de 3,5 pouces de 65 To. La présentation d’une conférence de Stephanie Hernandez (directrice sénior chez Seagate) au Research Center for Magnetic and Spintronic Materials (CMSM) affirme que « des expériences récentes en laboratoire sur la technologie HAMR démontrent une capacité de 6,9 To/disque », comme le rapporte IT Home. On arriverait ainsi à 69 To par HDD.
10 To par plateau en ligne de mire, soit des HDD de 100 To
Sa conférence devait explorer « des idées pour maximiser la capacité de densité surfacique du HAMR à 10 To/disque et au-delà, y compris de nouvelles architectures système et conceptions de lecteurs ». Elle ne semble par contre pas disponible en ligne, impossible donc de savoir de quoi il en retourne. Rien de neuf pour autant puisque, l’année dernière, Seagate visait déjà les 10 To par plateau à l’horizon 2032.
À l’occasion de la publication du bilan financier trimestriel, le patron de Seagate, Dave Mosley, affirmait que les livraisons de disques durs HAMR étaient en augmentation. De plus, les HDD Mozaic 3 +(30 To et plus en HAMR) sont « désormais qualifiés par cinq des plus grands clients cloud au monde » et « nous sommes en bonne voie pour qualifier les trois CSP mondiaux restants au cours du premier semestre de l’année civile 2026 », ajoutait-il pendant la session de questions/réponses.
Les Mozaic 4 + en cours de qualification
Pendant ce temps, le fabricant annonce que « la qualification d’un deuxième fournisseur de services cloud majeur » (sans donner son nom) a débuté pour la plateforme Mozaic de prochaine génération, avec des plateaux de plus de 4 To, soit des disques durs de plus de 40 téraoctets.
Pour l’entreprise, des disques durs avec une très haute capacité sont demandés par des plateformes vidéo des médias sociaux et les nouvelles applications d’IA. « L’IA transforme la façon dont le contenu est consommé et créé, augmentant ainsi la valeur des données et du stockage », affirmait-il ; et Seagate compte bien en être un acteur majeur.
Sur le dernier trimestre comptable, Seagate affirme avoir écoulé 1 million de disques durs Mozaic 3 + de 30 à 36 To. Financièrement, les voyants sont au vert avec 2,63 milliards de dollars de revenus sur le premier trimestre fiscal de 2026, pour des bénéfices de 549 millions de dollars. Il y a un an, c’étaient respectivement 2,168 milliards et 305 millions de dollars.
Une fois de plus, Shine change de main. Moins d’un an après son acquisition par le groupe danois Ageras, la néobanque française, positionnée notamment sur le segment des micro-entreprises et PME, s’apprête en effet à passer dans le giron de l’éditeur Cegid, qui affiche de fait l’ambition de proposer rapidement à ses clients français et européens une plateforme bancaire et comptable intégrée.
« Cette combinaison structurante donnera naissance au premier hub financier cloud-native, piloté par l’IA et entièrement intégré, à destination des PME et des professionnels de la comptabilité en Europe », annonce l’acquéreur dans un communiqué daté du 26 novembre.
Shine, établissement de paiement concurrent d’offres comme Qonto ou N26, apporte dans sa corbeille « plus de 400 000 clients PME, une marque forte et une architecture technologique très évolutive (scalable), élargissant la portée de Cegid sur les principaux marchés européens ». Le montant de l’opération n’a pas été communiqué, mais il serait supérieur à 1 milliard d’euros d’après Les Échos.
Lancée en 2017, Shine a un agrément d’établissement de paiement, sans découvert autorisé
Lancée en 2017 avec un discours tourné vers les indépendants, Shine avait été rachetée par Société Générale en 2020 après avoir levé 10,8 millions d’euros en plusieurs tours. Censée incarner les velléités nouvelles du groupe bancaire dans le monde des fintechs, Shine a cependant été revendue en 2024 au groupe danois Ageras, sur fond de changement de direction générale et de réorganisation stratégique chez Société Générale.
Cette nouvelle opération ramène donc Shine en France, entre les mains du groupe Cegid cette fois (fondé par Jean-Michel Aulas et basé à Lyon, aujourd’hui détenu par plusieurs fonds, dont l’américain Silver Lake en tant qu’actionnaire majoritaire). Connu pour ses solutions de comptabilité et de gestion, d’abord logicielles puis déployées sous forme de services cloud, ce dernier voit dans l’intégration de Shine la possibilité d’ajouter la corde paiement et compte pro à son arc, pour ainsi renforcer l’attractivité de son offre face au grand concurrent Pennylane, lui aussi très actif sur la cible des PME.
Au cours des trois dernières semaines, de nombreuses mairies françaises ont dû avertir une partie de leurs administrés : plusieurs de leurs données personnelles se sont retrouvées dans la nature. Ces piratages, qui seraient menés par le même groupe, s’inscrivent dans un contexte plus large d’attaques contre des prestataires de services.
Un nombre important de mairies, dont beaucoup en Bretagne, ont signalé des incidents cyber. Tous en commun une fuite d’informations : nom, prénom et, selon les cas, adresse postale, adresse e-mail et numéro de téléphone. Des données non sensibles, mais qui peuvent alimenter ensuite les grandes opérations de phishing.
La première mairie à avoir communiqué sur le sujet semble être Brest, le 14 novembre, faisant état d’une fuite de 50 000 données environ. Sur X, SaxX s’empare du sujet et commence à faire l’historique des fuites en commençant par Brest. Le 19 novembre, c’était au tour de Quimper avec 12 000 données, puis le chiffre total s’est rapidement approché des 100 000 avec plusieurs autres villes de Bretagne. Le même jour, on apprenait que la mairie d’Alfortville (Île-de-France cette fois) commençait à envoyer des e-mails concernant là encore une fuite, avec toujours les mêmes caractéristiques.
Il est rapidement apparu que toutes ces mairies n’avaient pas été directement piratées. Les attaques étaient dirigées contre des prestataires de services, notamment deux plateformes fournissant des solutions de prises de rendez-vous : RDV360 et SynBird. Sur le site Bonjourlafuite.eu.org, on peut voir plusieurs mairies référencées, avec des captures des messages envoyés aux personnes concernées.
Plus précisément, les informations sont celles données par les administrés lors des demandes de rendez-vous pour la production d’une pièce d’identité. Dans la plupart des cas, ces informations proviennent de demandes faites entre 2022 et 2025.
Dans tous les communiqués ou presque, les mairies indiquent qu’une déclaration a été faite à la CNIL (elles y sont légalement tenues) et qu’une plainte a été déposée. Si certaines communications ne le mentionnent pas, d’autres indiquent clairement qu’il s’agit d’un piratage de l’un des deux prestataires, RDV360 ou Synbird.
La fuite toucherait 1 300 communes, selon Le Parisien. Dans ses colonnes, la société savoyarde Synbird a réagi, confirmant le problème : « La fuite concerne les clients qui utilisent notre module de rendez-vous et de réservations de salle. Elle est circonscrite aux rendez-vous pris de début à fin octobre ». L’entreprise affirme avoir retracé l’origine du problème jusqu’à un poste d’employé municipal.
C’est la réutilisation d’un mot de passe, obtenu par une autre fuite, qui aurait permis aux pirates d’accéder au compte d’une mairie cliente. « L’attaquant a ensuite exploité une faille de sécurité dans le logiciel pour exporter des données. Ce problème a depuis été réglé par nos développeurs », a précisé Synbird, qui a ajouté que l’incident avait été déclaré à la CNIL et qu’un dépôt de plainte à la gendarmerie était en cours.
Les conseils donnés dans la plupart des cas sont les mêmes que ceux de la mairie de Brest dans son communiqué du 14 novembre : « aux personnes ayant fait une demande de pièces d’identité pendant cette période une vigilance particulière notamment en cas de démarchages inhabituels par mail et/ou téléphone, ou de demandes de coordonnées bancaires, même émise d’un opérateur connu des usagers ».
Sur son compte, SaxX affirme que ces fuites, pour des données allant de 2021 à novembre 2025, ont été orchestrées par un groupe de cybercriminels nommé « dumpsec » (qui est curieusement le nom d’un outil de sécurité utilisé pour des audits). Ce groupe aurait contacté le hacker et lui aurait fourni un échantillon « de 20 000 lignes concernant RDV360 ». Sur l’ensemble des mairies touchées par l’incident, 14 millions de données auraient été aspirées.
« Aucune donnée sensible »
La plupart des communiqués, à l’instar de ceux d’Ergué-Gébaric et de Guipavas, mettent l’accent sur l’absence de données « sensibles » dans les fuites. « Aucune donnée sensible, aucun document ou pièce d’identité, aucune donnée financière et aucun mot de passe n’ont été prélevés », peut-on lire par exemple dans le communiqué de Guipavas.
Pour autant, ces informations peuvent se révéler dangereuses. Elles alimentent les campagnes de phishing, et peuvent parfois servir à des attaques plus personnalisées, comme on l’a vu avec Ledger très récemment. Même sans ce type d’attaque plus ciblée, les numéros de téléphone et adresses e-mail intègrent de vastes bases de données exploitées pour des tentatives d’arnaques en tous genres.
On remarque également que ces fuites interviennent une fois de plus dans le cadre de l’exploitation d’une faille chez un partenaire, comme c’était le cas pour France Travail.
En avril 2025, Adam Raine, 16 ans, s’est suicidé. Après avoir examiné les traces de ses activités numériques, ses parents ont déposé la première plainte connue contre OpenAI.
En cause : l’historique de conversation d’Adam Raine avec ChatGPT montrait que l’adolescent avait longuement échangé avec le robot conversationnel, et commencé à chercher des méthodes de suicide dès le mois de janvier.
Adam Raine a en particulier utilisé GPT-4o, une version de l’outil dont le ton est connu pour être très affirmatif et flagorneur.
Ce 25 novembre, OpenAI a déposé devant la Cour supérieure de Californie, à San Francisco, son argumentaire relatif à l’affaire.
Elle y indique que les dommages causés à la victime sont le fait du « mésusage, de l’usage non autorisé, non voulu, imprévisible et impropre de ChatGPT ». Autrement dit, selon l’entreprise, si problème il y a eu en lien avec ChatGPT, c’est parce qu’Adam Raine n’a pas utilisé la machine correctement.
OpenAI explique notamment que, selon ses conditions d’utilisation, les internautes de moins de 18 ans ne doivent normalement pas utiliser ses outils sans le consentement d’un parent ou dépositaire de l’autorité parentale, et que le document interdit aux usagers d’utiliser les termes « suicide », « automutilation » ou de contourner toute forme de garde-fou existant. Adam Raine avait, à plusieurs reprises, indiqué chercher des informations « pour créer un personnage » afin de contourner les blocages initiaux de ChatGPT.
Auprès de NBC, l’avocat de la famille Raine qualifie cet argumentaire de « dérangeant ». Depuis cette première plainte, sept autres ont été déposées contre OpenAI et Sam Altman pour des faits similaires.
L’entreprise a publié ce 25 novembre un article de blog dans lequel elle déclare vouloir traiter les litiges relatifs à la santé mentale avec « soin, transparence et respect ». Elle précise néanmoins que sa réponse à la plainte de la famille Raine inclut des « faits difficiles relatifs à la santé mentale et aux conditions de vie d’Adam Raine ».
Si la surveillance des messageries chiffrées serait abandonnée, les plateformes devraient scanner les messages privés à l’aide d’IA, introduire des contrôles d’âge obligatoires pour tous les utilisateurs d’Internet, et des conditions strictes risquant d’exclure les adolescents des applications dotées de fonctions de chat. Les négociations (« trilogues ») débuteront prochainement, dans le but de finaliser le texte avant avril 2026, entre la Commission, le Conseil et le Parlement européen.
Après des années de débats, le Conseil européen est parvenu à une position commune sur le projet de « règles en vue de prévenir et de combattre les abus sexuels sur enfants » (Child Sexual Abuse Regulation, CSAR).
Il avait avant tout été retardé par la controverse liée à son pan numérique, et à la gestion des contenus numériques d’abus sexuels sur mineurs (Child Sexual Abuse Material, CSAM). Surnommé ChatControl par ses opposants, le projet de surveillance des messageries a finalement été abandonné au mois d’octobre.
À l’origine, il prévoyait que les forces de l’ordre puissent demander aux entreprises du numérique, plateformes chiffrées de bout en bout comprises, de scanner les échanges sur leurs outils pour repérer du CSAM.
Ce mercredi, les pays de l’Union européenne se sont finalement mis d’accord sur un texte qui supprime les ordonnances de détection obligatoire et met plutôt l’accent sur des mesures renforcées d’atténuation des risques, note Euractiv.
« Chat Control n’est pas mort, il est simplement privatisé »
Le scan volontaire de plateformes à la recherche de CSAM reste néanmoins cité comme outil possible, ce qui inquiète les défenseurs de la vie privée. L’ex-eurodéputé pirate Patrick Breyer avance en effet que « les gros titres sont trompeurs : Chat Control n’est pas mort, il est simplement privatisé » :
« Si le Conseil a supprimé l’obligation de scan, le texte convenu crée un cadre juridique toxique qui incite les géants technologiques américains à scanner sans discernement les communications privées, introduit des contrôles d’âge obligatoires pour tous les utilisateurs d’Internet et menace d’exclure les adolescents de la vie numérique. »
Il souligne que le mandat du Conseil « contraste fortement avec la position du Parlement européen, qui exige que la surveillance ne vise que les suspects et que les contrôles d’âge restent volontaires ». Cela permettrait à des fournisseurs tels que Meta ou Google de « scanner tous les chats privés, sans distinction et sans mandat judiciaire », déplore l’ex-eurodéputé.
« Vous aurez besoin d’une carte d’identité pour envoyer un message »
Le mandat autoriserait en outre le « scan de messages privés, d’images inconnues et de métadonnées à l’aide d’algorithmes et d’une intelligence artificielle ». Et ce, alors que la police fédérale allemande (BKA) a reconnu que 50 % des rapports générés dans le cadre d’un programme volontaire étaient sans intérêt sur le plan pénal, souligne Patrick Breyer :
« Nous sommes confrontés à un avenir où vous aurez besoin d’une carte d’identité pour envoyer un message et où une intelligence artificielle étrangère décidera si vos photos privées sont suspectes. Ce n’est pas une victoire pour la vie privée, c’est un désastre annoncé. »
Patrick Breyer relève en effet que pour se conformer à l’exigence du Conseil d’« identifier de manière fiable les mineurs », les fournisseurs « seront contraints de vérifier l’âge de chaque utilisateur », ce qui repose le problème du partage de documents d’identité avec des entreprises privées (au surplus états-uniennes), et du recours à la reconnaissance faciale.
Une « assignation à résidence numérique » pour les moins de 17 ans
Le texte du Conseil propose de plus d’interdire aux utilisateurs de moins de 17 ans d’utiliser des applications dotées de fonctions de chat, notamment WhatsApp, Instagram et les jeux en ligne populaires, « à moins que des conditions strictes ne soient remplies ».
Cela reviendrait à une « assignation à résidence numérique », isolant les jeunes de leurs cercles sociaux et de l’éducation numérique, déplore Patrick Breyer : « La protection par l’exclusion est un non-sens pédagogique. Au lieu de responsabiliser les adolescents, le Conseil veut les exclure complètement du monde numérique ».
Les négociations (« trilogues ») débuteront prochainement, dans le but de finaliser le texte avant avril 2026, entre la Commission, le Conseil et le Parlement européen. Adoptée en novembre 2023, la position de ce dernier avait supprimé toute mention d’ordonnance de détection sur les plateformes chiffrées.
Comment simplifier l’exploration du jeu de correspondances de Jeffrey Epstein rendues publiques par la United States House Committee on Oversight sous la forme de PDF difficiles à trier ?
À cette question, les informaticiens Riley Walz et Luke Igel ont proposé une réponse simple : permettre aux internautes de naviguer dans ces informations en les présentant sous la forme d’une boîte mail, en beaucoup de points similaires au service de Google qu’1,8 milliard de personnes utilisent chaque mois.
Capture d’écran de la correspondance de Jeffrey Esptein marquée d’une étoile par les internautes sur Jmail.
C’est ainsi qu’est née Jmail, la fausse boîte mail de Jeffrey Epstein, riche de plus de 2 000 messages, dans laquelle tout internaute peut marquer un message comme important (avec une étoile).
La messagerie permet aussi d’identifier des contacts réguliers, parmi lesquels l’ex-conseiller de Donald Trump Steve Bannon, l’associée d’Epstein désormais derrière les barreaux Ghislaine Maxwell, l’ancien directeur du laboratoire de recherche dédié aux nouvelles technologies MIT Media Lab Joichi Ito, ou encore le linguiste Noam Chomsky.
Pour produire cet outil, Riley Walz et Luke Igel ont notamment recouru au LLM de Google Gemini, avec lequel ils ont récupéré le contenu des pdf par reconnaissance optique des caractères (OCR), détaille PC Gamer.
Derrière chaque résultat fourni par le robot, ils permettent aux internautes de cliquer pour voir le document source.
Les parlementaires européens ont voté mercredi en faveur d’un seuil minimal de 16 ans pour accéder aux réseaux sociaux à travers l’Union.
Ils ont aussi voté en faveur de tenir Mark Zuckerberg, Elon Musk et les autres patrons de la tech personnellement responsables si leurs entreprises persistent à ne pas respecter les règles européennes en matière de protection des mineurs en ligne, rapporte Politico.
Ces positions ont été tranchées dans le cadre de la production d’un rapport sur la protection des mineurs en ligne. Les parlementaires y appellent la Commission européenne à harmoniser les limites d’âge à travers l’Union européenne, alors que de nombreux pays travaillent à mettre en place leurs propres seuils, comme la France.
Les décisions du Parlement européen pourraient aussi influencer deux textes européens à venir : la directive sur les services de médias audiovisuels et le règlement sur l’équité numérique (Digital Fairness Act).
La CNIL vient de prononcer une sanction 750 000 euros à l’encontre de la société française Les publications Condé Nast, éditrice de Vanity Fair, Vogue, GQ et AD. En cause, « le non-respect des règles applicables en matière de traceurs (cookies) ». C’est la conclusion d’une très (très) longue procédure, en plusieurs rounds.
L’histoire débute en 2019 par une plainte publique de l’association noyb pour des cookies déposés par le site vanityfair.fr, édité par Les publications Condé Nast. Une mise en demeure est prononcée en septembre 2021 et la procédure est finalement fermée en juillet 2022.
Le consentement c’est important, comme la clarté de l’information
Deux fois en 2023, puis à nouveau en février 2025, la CNIL a effectué des contrôles supplémentaires et constaté que Condé Nast « avait manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés », en conséquence de quoi elle annonce avoir « prononcé à son encontre une amende de 750 000 euros ».
La CNIL reproche trois principaux griefs : « absence de recueil du consentement des utilisateurs avant dépôt des cookies », « absence de clarté de l’information mise à disposition des utilisateurs » et enfin des « mécanismes de refus et de retrait du consentement défaillants ».
La délibération a été publiée, permettant d’en apprendre davantage sur cette affaire. Tout d’abord, les publications Condé Nast ne conteste pas les observations de la CNIL, à savoir la nécessité de recueillir le consentement dans ce genre de cas ainsi que le dépôt du cookie. Néanmoins, l’entreprise explique « que cette action est due à une erreur technique et avoir procédé à des corrections pour supprimer ce cookie de son site le 12 janvier 2024 ».
Sur le manquement à l’information des personnes, la CNIL pointe du doigt trois cookies « toujours actifs » dont le but est de « mettre en correspondance et combiner des sources de données hors ligne », de « relier différents terminaux » et de « recevoir et utiliser des caractéristiques d’identification d’appareil envoyées automatiquement ».
Ils sont présentés comme des « cookies strictement nécessaires au fonctionnement du site web » ; il n’est donc pas possible de les supprimer. De son côté, « le rapporteur considère au contraire que ces cookies ne sont pas strictement nécessaires au fonctionnement du site web et que l’information délivrée aux personnes est erronée ».
Condé Nast agite le Transparency and Consent Framework (TCF) de l’Internet Advertising Bureau (IAB) pour justifier son choix. « La société considère qu’en étant liée par le TCF de l’IAB, elle n’a pas le pouvoir de définir les finalités des cookies de fonctionnalités », sous-titre la CNIL.
Argument balayé d’un revers de la main par la Commission : « à supposer que l’adhésion au TCF ait constitué une contrainte professionnelle pour la société, il n’en demeure pas moins que l’information transmise à l’utilisateur restait insuffisante dans la mesure où elle ne renvoyait pas vers les règles de l’IAB ».
Autre grief, sur l’« effectivité du refus par l’utilisateur du dépôt et de la lecture de cookies », puisque retirer son consentement doit être aussi simple que le donner. L’entreprise confirme de nouveau les dépôts malgré le refus, mais explique que c’est encore un problème de paramétrage : : « l’un des cookies a été déposé en raison d’un paramétrage incorrect et a été désactivé en deux semaines. Elle indique pour un deuxième cookie qu’il avait également été désactivé rapidement et n’aborde pas le cas du troisième cookie identifié par le rapporteur ». La CNIL prend acte, mais note tout de même que la société ne tient pas compte du choix de l’utilisateur et « trompe son consentement ».
Des cookies encore lus après retrait du consentement
Enfin dernier point constaté en février 2025 : « des opérations de lecture d’informations dans le terminal de l’utilisateur après que celui-ci a accepté dans un premier temps des opérations de lecture et d’écriture puis retiré son consentement en continuant sa navigation sur le site ».
La CNIL détaille le parcours réalisé par la délégation en charge de l’analyse :
« Elle a d’abord accepté les cookies via le bandeau relatif aux cookies puis s’est rendue, via un lien hypertexte présent sur la page d’accueil, sur la page web comportant l’interface de choix relative aux cookies. Elle a alors constaté l’enregistrement de cinquante cookies sur son navigateur. Puis elle a procédé au retrait de son consentement en cliquant sur le bouton » Tout refuser » de l’interface de choix et constaté l’effacement de douze cookies et le maintien de trente-huit cookies sur son terminal ».
Là encore, la société ne conteste pas, mais précise avoir appliqué des changements depuis le contrôle. Notamment, que le cookie _ga_9C8GH73ZS1 « a été désactivé par la société et qu’aucune donnée ne peut être ni collectée ni partagée avec la société Google », indique la Commission.
La CNIL prend note pour Google, mais précise qu’il « ressort de l’instruction que les données continuent d’être associées aux requêtes envoyées vers le domaine de la société, et donc lues par la société, sans qu’elle justifie d’aucune finalité exemptée à ce titre ».
La CNIL retient la gravité du manquement
Dans son délibéré, la formation restreinte de la CNIL retient « la gravité du manquement compte tenu de la nature, de la portée ou de la finalité du traitement, ainsi que du nombre de personnes concernées affectées et du niveau de dommage qu’elles ont subi ». Le site vanityfair.fr revendique, entre juin et octobre 2023, 7,43 millions de visiteurs, dont plus de 6 millions en France.
Autre point important à prendre en compte : la durée des échanges qui ont débuté en 2019, avec encore des manquements début 2025. La formation considère aussi qu’il y a eu négligence aggravée puisque la CNIL a expliqué les règles à l’éditeur à de nombreuses reprises. Si des mesures correctives ont été prises, la formation restreinte ajoute « que cette mise en conformité n’est intervenue qu’après les opérations de contrôle et après échanges avec la délégation, et non de manière autonome et spontanée ».
Enfin, l’avantage financier obtenu suite à ces manquements doit être pris en compte : « la régie publicitaire et l’activité commerciale en vue de la vente d’espaces publicitaires apparaissent comme des activités centrales de la société, au même titre que son activité d’édition. Les cookies font partie de l’écosystème publicitaire sur le web et génèrent ainsi des revenus pour la société ».
Le montant de l’amende tient aussi compte des capacités financières de l’entreprise. Le chiffre d’affaires net de Les publications Condé Nast pour 2023 en France est de 26,4 millions d’euros pour un résultat net de 0,9 million d’euros, contre respectivement 47,6 millions et 3,6 millions d‘euros en 2022.
Au final, le montant de l’amende administrative est de 750 000 euros.
Condé Nast affirme que « la publicité de la sanction n’est pas justifiée », elle ne souhaite ainsi pas que son nom apparaisse. La CNIL n’est pas du même avis : « une telle mesure se justifie compte tenu de la visibilité du site en cause, de la gravité, de la durée des manquements constitués et du nombre de personnes concernées, lesquelles doivent être informées ».
Comme toujours, cette décision peut faire l’objet d’un recours devant le Conseil d’État.
Fin mars, Plex annonçait à la fois une hausse des prix et un changement d’approche pour la diffusion des contenus médias en dehors de son réseau domestique. En clair, il s’agissait de faire passer les utilisateurs à la caisse.
Sans toucher à la diffusion domestique, il était proposé deux manières de payer, selon le contexte. Pour la personne ayant le serveur et les contenus, une formule Plex Pass (6,99 dollars par mois ou 69,99 dollars par an) déverrouillait la possibilité de streamer vers des personnes extérieures au réseau, par internet donc. Dans l’autre sens, une personne peut payer 1,99 dollar par mois (ou 19,99 dollars par an) pour un Remote Watch Pass, permettant l’accès à un serveur Plex distant, sans que son possesseur ait besoin d’un Plex Pass.
Il était prévu que ces règles entrent en vigueur à compter du 29 avril, mais l’application ne se fait réellement que cette semaine, en commençant par l’application Roku. L’équipe a confirmé le changement dans un message dans son forum le 20 novembre et repéré par How-To Geek le 25.
Si cette obligation est limitée pour l’instant, elle sera généralisée l’année prochaine à toutes les autres applications (Android TV, Apple TV, FireTV…) « ainsi qu’à tout client tiers utilisant l’API pour proposer le streaming à distance ».
Rappelons que ces changements concernent l’accès distant pour les serveurs Plex. Les personnes utilisant cette solution de streaming pour de la diffusion locale ne sont pas concernées.
Dans un billet publié ce 24 novembre, l’équipe du réseau d’anonymisation Tor a annoncé un changement important pour la sécurité de son infrastructure. Elle va ainsi remplacer l’ancienne méthode de chiffrement « pour chiffrer les données utilisateur au fur et à mesure de son parcours » entre les relais, au profit d’une approche beaucoup plus sécurisée.
L’ancienne méthode, nommée « tor1 », comporte plusieurs problèmes. Créée en 2002, elle n’est plus adaptée aux attaques plus modernes, notamment par marquage. Celles-ci permettent à un acteur malveillant de tracer le trafic en le modifiant à un endroit du réseau et en observant des changements prévisibles à un autre endroit.
Des briques de 2002
Cet ancien système utilise AES-128-CTR comme algorithme de chiffrement. Considéré comme malléable, il peut permettre à cet acteur malveillant de modifier un contenu chiffré de manière prévisible, sans connaitre la clé. S’il parvient à contrôler plusieurs nœuds du réseau, il peut insérer un motif dans les données chiffrées d’un côté et le retrouver de l’autre, permettant de démasquer une personne immédiatement (trouver son identifiant unique), plutôt que de s’appuyer sur des méthodes probabilistes.
Dans le billet, l’équipe de Tor évoque deux autres problèmes. D’une part, tor1 n’offre pas de confidentialité persistante immédiate, les mêmes clés AES étant utilisées pendant toute la durée de vie du circuit (jusqu’à plusieurs jours). D’autre part, cette infrastructure utilise actuellement des authentificateurs de 4 octets (32 bits) utilisant SHA-1, « qui affiche son âge, c’est le moins que l’on puisse dire », note l’équipe.
Cet authentificateur est une valeur cryptographique permettant de vérifier que les données n’ont pas été modifiées pendant leur transmission. Quand un client Tor envoie des données, il doit s’assurer en effet que personne ne les a altérées en chemin. L’authentificateur fonctionne comme une empreinte digitale des données : le client la calcule en utilisant les données elles-mêmes et une clé secrète partagée avec le relai destinataire. Quand ce dernier reçoit les données, il recalcule l’empreinte de son côté et la compare avec celle reçue. Si les deux correspondent, les données n’ont pas été modifiées.
La solution Counter Galois Onion
L’équipe est donc en train de déployer un changement majeur pour le chiffrement des informations de l’utilisateur entre les relais. Nommée Counter Galois Onion (CGO), cette solution se base sur une construction cryptographique baptisée Rugged Pseudorandom Permutation par ses quatre auteurs : Jean-Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam.
Ces chercheurs ont soumis à ce sujet deux rapports. Dans l’un, on remarque que le besoin d’un renforcement de la sécurité sur le cheminement des données entre les relais avait été exprimé par Tor dès 2012. La seule solution envisagée alors était couteuse en opérations de chiffrement. CGO a été présenté comme une alternative « minimaliste et modulaire », avec plusieurs avantages. Dans l’autre, les chercheurs détaillent en quoi CGO est une méthode robuste.
La nouvelle méthode est censée garantir que toute altération d’une partie des données chiffrées rende le reste du message (ou cellule) irrécupérable, y compris les messages suivants. L’authentificateur passe à 16 octets (128 bits) et les clés cryptographiques sont transformées de manière irréversible après chaque cellule envoyée ou reçue, éliminant la possibilité de déchiffrer les cellules antérieures. Ce changement assure une confidentialité persistante immédiate et l’utilisation de grands blocs de données doit prémunir le réseau contre les attaques par marquage.
La nouvelle méthode cryptographique a déjà été intégrée dans Arti, l’implémentation de Tor en Rust. Elle est en cours dans la version classique (en C). En revanche, l’équipe n’a rien dit sur une date d’arrivée dans Tor Browser.
Connexion
