Le chiffrement ne protège pas du phishing

Le service de renseignement allemand BfV et l’administration chargée de la sécurité numérique du pays ont publié une alerte au sujet d’attaques de phishing menées sur Signal par un « cyberacteur probablement contrôlé par un État ».

Le service de contre-espionnage allemand BfV et le BSI (équivalent à l’ANSSI) ont communiqué conjointement pour signaler une vague de phishing sur Signal. Selon eux, un « cyberacteur probablement contrôlé par un État » utilise la messagerie chiffrée pour viser notamment « des personnalités de haut rang issues du monde politique, militaire et diplomatique, ainsi que des journalistes d’investigation en Allemagne et en Europe ».

Des fonctions de sécurité légitimes exploitées par les pirates

« Les pirates exploitent les fonctions de sécurité légitimes des applications et les combinent avec des techniques d’ingénierie sociale. L’objectif est d’accéder discrètement aux discussions individuelles et de groupe ainsi qu’aux listes de contacts des personnes concernées », expliquent les deux agences allemandes dans un document [PDF].

Il y a tout juste un an, Google avait déjà détecté une campagne de phishing sur l’application de messagerie chiffrée menée par des pirates proches de la Russie contre des troupes militaires ukrainiennes.

Les services allemands évoquent l’utilisation de la même fonction de liaison vers un nouvel appareil via un QR-code : « Les pirates contactent leur cible sous un prétexte crédible et la persuadent de scanner un QR-Code. Ce code connecte effectivement un nouvel appareil au compte de la cible. Cependant, cet appareil est contrôlé par les pirates », expliquent-ils.

Comme Google, ils précisent que WhatsApp a le même genre de fonctionnalité qui pourrait donc tout aussi bien être utilisée de façon maligne. En décembre dernier, Gen Digital signalait justement une attaque sur la messagerie de Meta via la récupération de codes de vérification via QR code avec un lien supposé renvoyer l’utilisateur vers une photo à consulter.

Se faire passer pour l’assistance de Signal

Mais les services allemands ajoutent avoir détecté une autre manière de faire s’appuyant moins sur une fonctionnalité particulière de la messagerie que sur de l’ingénierie sociale. Ainsi, « les pirates se font passer pour l’équipe d’assistance officielle ou le chatbot d’assistance du service de messagerie (« Signal Support » ou « Signal Security ChatBot »). Ils contactent directement leur cible par message instantané. La conversation commence généralement par une prétendue alerte de sécurité. Les pirates créent également une pression immédiate en affirmant que sans action immédiate, la perte de données privées est imminente », expliquent-ils.

Et les pirates d’ajouter encore de la pression en affirmant que « seule la transmission du code PIN de sécurité privé de la personne ciblée ou d’un code de vérification reçu par SMS peut empêcher cette perte ». En récupérant le code PIN de l’utilisateur, les pirates peuvent alors s’enregistrer sur un autre appareil et contrôler la messagerie.

Encore une fois, WhatsApp n’est pas non plus à l’abri de ce genre d’attaque puisque la messagerie de Meta a, elle aussi, implémenté un système de code PIN pour sa vérification en deux étapes.

Des cookies aux amandes ?

L’autorité française chargée de la protection des données publie un premier bilan de son action en 2025 avec une baisse sensible du nombre de sanctions. Leur montant cumulé affiche une multiplication par 9 par rapport à l’année d’avant, gonflé par les amendes contre Google et Shein.

En septembre dernier, la CNIL prononçait deux amendes importantes contre Google et Shein pour non-respect des règles sur les cookies. En tout, l’autorité imposait aux deux multinationales 475 millions d’euros d’amendes.

Ce montant représente finalement le gros du total des 83 sanctions que l’autorité a prononcées au cours de l’année 2025. La CNIL explique dans un communiqué avoir prononcé des amendes pour un montant cumulé de 486,8 millions d’euros. Le reste, 12 millions d’euros donc, rassemble 76 autres amendes, trois décisions de liquidation d’astreinte et deux rappels à l’ordre.

Une concentration des amendes sur les traceurs gonflées par les sanctions contre Google et Shein

Parmi ces décisions, 19 autres concernent aussi des « manquements aux règles régissant les traceurs : dépôt sans le consentement de l’utilisateur, insuffisance des informations délivrées (ne permettant pas de recueillir un consentement éclairé), ou encore absence de prise en compte effective du refus de l’utilisateur ou du retrait de son consentement ». Ainsi on peut se rappeler aussi des 750 000 euros prononcés à l’encontre de la société française Les publications Condé Nast éditrice de Vanity Fair, Vogue, GQ et AD.

La CNIL met donc en avant ses décisions concernant le sujet particulier des cookies et autres traceurs. Mais les cas de Google et Shein font gonfler l’addition et le problème reste entier pour l’internaute qui rencontre encore au quotidien des dark patterns sur les bandeaux d’acceptation de cookies.

16 sanctions concernant la vidéosurveillance des salariés

L’autorité affiche aussi pour l’année écoulée 16 sanctions pour non-respect des règles applicables à la vidéosurveillance des salariés. « En l’absence de circonstances exceptionnelles liées par exemple à des enjeux particuliers de sécurité ou de lutte contre le vol, la surveillance vidéo permanente de salariés constitue une atteinte à la protection des données personnelles », réaffirme-t-elle.

On peut rappeler le cas qu’avait choisi de rendre public l’autorité : La Samaritaine. Ainsi l’enseigne a reçu en septembre une amende de 100 000 euros pour des caméras et micros dissimulés aux salariés suite aux révélations de Médiapart en 2023.

L’autorité en profite aussi pour faire un rappel sur les manquements aux obligations des sous-traitants. Par exemple, en décembre, la CNIL a rendu publique l’amende d’un million d’euros d’amende adressée à un sous traitant de Deezer, à propos de la fuite des données de 46 millions d’utilisateurs dans le monde dont 9 millions en France intervenue en 2022.

Elle rappelle que les sous-traitants doivent :

• « mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adéquat ;
• ne traiter les données que sur instruction du responsable de traitement ;
• et supprimer les données à l’issue de leur relation contractuelle avec le responsable de traitement ».

Trois rappels qui correspondent typiquement aux soucis rencontrés dans le cas de Mobius Solutions, le sous-traitant de Deezer.

Une procédure simplifiée en vitesse de croisière

Parmi les 83 sanctions prononcées par la CNIL, 67 l’ont été dans le cadre de la procédure simplifiée mise en place en 2022. C’est peu ou prou le même nombre qu’en 2024 (69 à l’époque). « La sécurisation insuffisante des données personnelles, l’absence de coopération avec la CNIL et le non respect des droits des personnes constituent les trois principaux motifs » des décisions prises dans ce cadre.

Sur le manquement relatif à la sécurité des données personnelles, l’autorité compte 14 organismes qui n’avaient pas mis en œuvre les mesures nécessaires. 80 % des violations de données auraient pu être évitées, déplorait encore récemment la présidente de l’autorité, Marie-Laure Denis.

• 80 % des violations de données auraient pu être évitées, déplore la présidente de la CNIL

La CNIL note que 14 sociétés ou professionnels libéraux ont été sanctionnés pour tout simplement ne pas lui avoir répondu. Et 14 autres décisions sanctionnent le fait que le responsable du traitement de données personnelles n’a pas pris en compte des demandes d’effacement, d’opposition ou d’accès à ces données. Enfin, 10 sanctions concernent la prospection (commerciale ou politique) dont cinq candidats aux élections européennes et législatives de 2024.

Enfin, l’autorité a émis 143 mises en demeure, notamment dans « le secteur de l’aide sociale à l’enfance pour les manquements suivants : l’absence de politique rigoureuse de conservation de données pour les dossiers des mineurs, l’information des personnes, la politique de gestion des habilitations et des mots de passe, la tenue d’un registre des traitements et la réalisation d’une analyse d’impact relative à la protection des données ».

Si le nombre de 83 sanctions peut paraitre faible, on peut se rassurer sur le fait qu’au moins, l’autorité française recouvre la plupart des amendes infligées, comme nous l’expliquions récemment, puisqu’entre 2019 et 2024, 95 % de ses sanctions ont été recouvrées par le Trésor Public, alors que son homologue irlandaise n’en recouvre que 0,5 %.

• Fuites et violations de données : les chiffres anxiogènes, et les autres

Le consentement est clé

La sénatrice LR Marie Mercier a déposé une proposition de loi qui vise à créer une infraction d’« exploitation sexuelle en ligne ». L’exposé des motifs vise clairement les deux plateformes OnlyFans et Mym souvent utilisées pour faire du sexcaming. Alors que le texte original visait les consommateurs et les intermédiaires, celui sorti de la commission des lois du Sénat cible les personnes qui en contraindraient d’autres à s’exposer sexuellement en ligne. Il doit être examiné le 10 février en séance publique.

« Cette proposition de loi vise les nouvelles formes d’achat de services sexuels qui se développent sur les plateformes comme OnlyFans ou Mym (acronyme pour Me You More), lesquelles fonctionnent par abonnement. Une pratique telle qu’OnlyFans est surnommée l’Instagram du porno », expliquait l’exposé des motifs de la proposition de loi déposée par la sénatrice LR Marie Mercier et soutenue par son groupe mais aussi par des sénateurs centristes.

Originellement tourné contre les consommateurs de sexcaming

Si le dossier législatif s’intitule « lutter contre le proxénétisme en ligne », la proposition des sénatrices et sénateurs de droite n’était pas seulement de s’attaquer à la coercition au sexcaming mais bien de « prohiber l’achat de services sexuels virtuels personnalisés, exécutés en direct ou enregistrés d’après une commande, en sanctionnant le consommateur à travers la création d’une infraction ».

Le texte d’origine prévoyait notamment de punir le fait « de solliciter, d’accepter ou d’obtenir la diffusion ou la transmission en ligne d’images, de vidéos ou de représentations individualisées à caractère sexuel d’une autre personne majeure, en échange d’une rémunération, d’une promesse de rémunération, de la fourniture d’un avantage en nature ou de la promesse d’un tel avantage » en récidive d’une amende de 3 750 euros.

Il ajoutait une peine de sept ans d’emprisonnement et de 100 000 euros d’amende pour « le fait d’aider, d’assister ou de protéger la diffusion ou la transmission en ligne d’images, de vidéos ou de représentations individualisées à caractère sexuel en échange d’une rémunération, d’une promesse de rémunération ».

Un texte visant finalement l’exploitation sexuelle en ligne

Mais en commission des lois, le texte a été largement remanié avec l’adoption de l’amendement de la rapporteure Lauriane Josende. Le texte qui sera discuté ce mercredi 10 février en séance publique prévoit surtout de s’attaquer à l’exploitation sexuelle en ligne, qui serait punie de sept ans d’emprisonnement et de 150 000 euros d’amende, portée à dix ans d’emprisonnement et à 1 500 000 euros d’amende si elle est commise sur un mineur.

On passe même à vingt ans et 3 000 000 euros si c’est en bande organisée ; des peines sans commune mesure avec le texte original. La nouvelle version ajoute de la réclusion criminelle à perpétuité et 4 500 000 euros d’amende en cas de torture ou d’actes de barbarie.

Il définit l’exploitation sexuelle en ligne comme « le fait de recruter une personne, de la transporter, de la transférer, de l’héberger ou de l’accueillir […] aux fins de mettre cette personne à sa disposition ou à la disposition d’un tiers, même non identifié, en vue de permettre la réalisation et la diffusion d’images ou de vidéos à caractère sexuel de cette même personne sur une plateforme en ligne ou sur un service de réseaux sociaux en ligne » avec l’emploi de menace, de contrainte, de violence, par un ascendant légitime, naturel ou adoptif ou par abus d’une situation de vulnérabilité due à son âge, à une maladie, à une infirmité, à une déficience physique ou psychique ou à un état de grossesse, apparente ou connue de son auteur. Ainsi, le texte vise maintenant plutôt les « agents » qui pratiqueraient de la coercition au sexcaming.

Selon la synthèse des travaux de la commission consultée par l’AFP, cette modification en profondeur est due au fait que les sénateurs et sénatrices ont estimé que le dispositif proposé originellement portait une « atteinte excessive à la liberté d’échanger ces contenus entre adultes consentants ».

Selon le site spécialisé Projet Arcadie, « il est assez probable que le texte soit adopté. Néanmoins, reste à savoir s’il sera inscrit à l’ordre du jour de l’Assemblée nationale ».

Ça ne fait que 7 ans de retard

En juillet dernier, le gouvernement a lancé un appel d’offres « intercalaire » pour la migration de la Plateforme des données de santé (autrement appelée Health Data Hub) vers un hébergement autre que Microsoft Azure. Alors que certaines réponses étaient prêtes, il a choisi finalement d’enjamber cette étape et de passer à une solution dite « cible » qui se veut plus complète, mais qui devra repasser par un nouvel appel d’offres.

Les données médicales françaises stockées dans le Health Data Hub devraient bientôt être hébergées ailleurs que sur Microsoft Azure, à travers une solution plus pérenne que ce qui avait été imaginé il y a six mois. C’est en tout cas ce que promet le gouvernement.

La polémique sur la souveraineté des données stockées dans le Health Data Hub date de sa création. Officiellement permise par une loi de juillet 2019, le choix Microsoft Azure pour l’hébergement a été critiqué dès mars 2020. Après plusieurs épisodes, en 2024, la CNIL a autorisé le stockage des données de santé chez Microsoft.

Une décision que certains qualifient de contrainte par le droit : « La CNIL met extrêmement bien les formes dans sa délibération. Quand elle nous dit “Je suis obligée de le faire”, elle le pense vraiment et elle n’a pas le choix », réagissait le député Renaissance Philippe Latombe. Il n’était alors pas tendre envers l’agence du numérique en santé, la DINUM et le HDH : « Ils se foutent de la gueule du monde ! ». Au moins le message est clair.

• « Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft

La solution « intercalaire » finalement abandonnée

En juillet 2025, le gouvernement de l’époque avait lancé un appel d’offres pour copier le Health Data Hub (HDH) vers une solution « intercalaire ». « L’idée consiste à anticiper en hébergeant une copie de la base principale du Système national des données de santé (SDSN) – aujourd’hui maintenue par l’Assurance maladie – dans une solution souveraine placée sous la maîtrise directe du HDH », expliquait à l’époque la directrice générale du Health Data Hub Stéphanie Combes (qui a maintenant quitté ses fonctions).

• L’appel d’offres pour copier le Health Data Hub vers une solution “intercalaire” est lancé

Cette solution semblait suivre son bonhomme de chemin encore récemment puisque nos confrères de l’Informé expliquaient qu’« une première sélection des candidats est intervenue en fin d’année dernière et la deuxième phase avec la parution du cahier des charges doit s’ouvrir d’ici peu ». Selon leurs informations, OVHCloud s’était positionné en s’associant avec Docaposte, filiale de La Poste. Cloud Temple et le groupe Atos allaient s’allier pour faire une proposition. Et Orange Business devait lui aussi concourir.

Si S3NS (partenariat entre Google et Thales, qualifié SecNumCloud depuis peu) ne pipait mot sur ses intentions à ce sujet, Scaleway expliquait à nos confrères préférer attendre le lancement du futur marché cible. À rebours, Scaleway a donc fait le bon choix puisque le gouvernement actuel a donc décidé finalement de faire l’impasse sur la solution « intercalaire ».

Le ministère de la Santé explique dans un communiqué que « la mission d’expertise mobilisée par le Gouvernement a confirmé qu’il est techniquement possible d’engager dès à présent la migration complète vers cette solution “cible” sécurisée, résiliente, non soumise aux législations extra-communautaires, délaissant les solutions extra-européennes actuellement utilisées ». En d’autres termes, une plateforme avec une qualification SecNumCloud de l’ANSSI. À l’AFP, le gouvernement a expliqué que la procédure sera lancée dès lundi 9 février.

Une attribution du marché fin mars 2026

Selon le ministère, cette solution « permettra d’héberger une copie complète de la base principale du Système national des données de santé d’ici fin 2026, rendant la solution intercalaire inutile ». En plus, elle doit ensuite permettre l’« hébergement d’autres bases de données et [la] mise à disposition d’environnements de traitement sécurisés pour les porteurs de projets », mais le ministère ne donne pas encore de date de livraison prévue pour ces fonctionnalité. Le communiqué assure que « l’attribution de ce marché interviendra fin mars 2026 ».

Les candidats devront scruter le marché « Nuage Public » porté par la Direction interministérielle du numérique et l’Agence des achats de l’État « qui permet de mobiliser rapidement un large catalogue de solutions d’hébergement souveraines dans le respect des règles de la commande publique », explique encore le ministère.

Les liens morts pourrissent le web depuis longtemps. Toujours aussi frustrant de cliquer sur un lien et de tomber sur une page d’erreur. Selon une étude du Pew Research Center publiée en mai 2024, « 38 % des pages web qui existaient en 2013 ne sont plus accessibles dix ans plus tard ». Une solution souvent utilisée est de s’appuyer sur la Wayback Machine d’Internet Archive. Firefox a eu l’idée en 2016, Internet Archive a créé une extension pour Chrome en 2017, Brave en 2020.

C’est au tour d’Automattic, l’entreprise du co-créateur de WordPress Matthew Mullenweg et éditeur de WordPress.com, d’utiliser l’astuce.

En collaboration avec Internet Archive, comme l’organisation à but non lucratif l’explique, elle a créé le plugin Link Fixer.

Celui-ci ne fait pas que rediriger vers l’archive quand la page n’existe plus. « Il analyse automatiquement le contenu de vos publications (lors de leur enregistrement et dans les publications déjà existantes) afin de détecter les liens sortants. Pour chacun d’entre eux, il vérifie la présence d’une version archivée dans la Wayback Machine d’Internet Archive et crée un snapshot si aucune n’est disponible », explique la notice.