Et bien Meta vient de nous prouver que vous étiez aussi discret qu’un rhinocéros dans un magasin de porcelaine. En effet, leur dernière trouvaille technique transforme votre smartphone en mouchard et cette fois, ça pourrait leur coûter la bagatelle de 32 milliards d’euros d’amende.
L’affaire a éclaté en juin 2025 quand une équipe de cinq chercheurs a révélé au grand jour le “localhost tracking” de Meta. Tim Vlummens, Narseo Vallina-Rodriguez, Nipuna Weerasekara, Gunes Acar et Aniketh Girish ont découvert que Facebook et Instagram avaient trouvé le moyen de contourner toutes les protections d’Android pour vous identifier, même quand vous faites tout pour rester anonyme. VPN activé, mode incognito, cookies supprimés à chaque session… Meta s’en fichait complètement.
[...]
Et l’écosystème a réagi rapidement puisque Chrome 137, sorti le 26 mai, a implémenté des protections bloquant les ports abusés et désactivant les techniques SDP Munging utilisées par Meta. Firefox 139 a suivi avec des contre-mesures similaires, tandis que DuckDuckGo et Brave maintenaient déjà des protections basées sur des listes noires contre les communications localhost.
Mais le plus savoureux dans cette histoire, c’est l’addition qu’ils vont se manger car Meta fait face simultanément à des sanctions sous trois réglementations européennes différentes : GDPR (4% du chiffre d’affaires), DMA (6%) et DSA (10%). Ces pénalités pouvant s’additionner, on arrive à un total théorique de 20% du chiffre d’affaires annuel de Meta, soit environ 32 milliards d’euros sur les 164 milliards engrangés en 2024.
[...]
Ce qui est rigolo dans tout ça, c’est que même Google a été pris au dépourvu par cette technique. Meta a réussi à exploiter des failles dans WebRTC que personne n’avait anticipées, transformant un protocole conçu pour les appels vidéo en système d’espionnage domestique. C’est aussi tordu que génial !
Bref, Meta nous a encore prouvé qu’en matière d’espionnage, leur créativité n’a d’égal que leur cynisme. Heureusement, les navigateurs réagissent vite et les régulateurs européens ne rigolent plus !
TCS = trouble de la communication sociale (24/09/2014).
Des documents divulgués révèlent que la division Customs and Border Protection (CBP) du ministère américain de la Sécurité intérieure (DHS) achète des informations sensibles sur les passagers de vol auprès d'une société obscure appelée Airlines Reporting Corporation (ARC). La société est détenue par des compagnies telles que Delta Air Lines, Lufthansa et United. Air France et Air Canada siègent également au conseil d'administration. Les informations vendues comprennent les noms des clients, leurs itinéraires complets et leurs données financières. L'accord de vente stipule que les agences gouvernementales ne doivent pas divulguer l'origine des données.
TCS = trouble de la communication sociale (24/09/2014).
Derrière le surnom de « boîtes noires », il y a une méthode qui consiste à demander à un algorithme de chercher, au sein des données téléphoniques et de connexion Internet passant par les opérateurs français, des comportements ou mots-clés suspects – comme la connexion à telles adresses IP ou des appels répétés à tel numéro de téléphone.
Ce dispositif, né en 2015 et à l’origine réservé exclusivement à la lutte contre le terrorisme, avait déjà été étendu en 2024 à la lutte contre les ingérences étrangères. La loi visant à « sortir la France du piège du narcotrafic » devait à son tour permettre l’utilisation de cette technique de renseignement à des fins de lutte contre la criminalité et la délinquance organisées.
[...]
Dans sa décision, le Conseil constitutionnel estime effectivement qu’en autorisant « de manière générale et indifférenciée, sur l’ensemble des données transitant par les réseaux des opérateurs de communications électroniques, le recours à de tels traitements algorithmiques » pour lutter contre le crime organisé, le législateur n’a « pas assuré une conciliation équilibrée entre les objectifs de valeur constitutionnelle de prévention des atteintes à l’ordre public et de prévention des infractions et le droit au respect de la vie privée ».
Le Conseil constitutionnel est revenu au passage sur une précédente modification des « boîtes noires ». En 2021, une loi renseignements avait ainsi permis au dispositif de l’algorithme d’aspirer des données supplémentaires, en l’occurrence les « adresses complètes de ressources utilisées sur Internet », ce qui peut désigner, par exemple, les URL complètes des pages visitées par les internautes. Un dispositif dont la faisabilité technique est incertaine.
TCS = trouble de la communication sociale (24/09/2014).
En avril, un rapport a révélé que Pete Hegseth, le secrétaire à la Défense des États-Unis, a fait installer l’application de messagerie chiffrée Signal sur un ordinateur de son bureau au Pentagone afin de communiquer plus aisément dans une zone où le réseau mobile est défaillant et où les téléphones personnels sont interdits. Cette initiative a soulevé de vives critiques quant à la sécurité de l’information, au respect des politiques IT du Département de la Défense, à la gouvernance des communications classifiées et aux risques d’introduire une application grand public au cœur d’un environnement hautement sécurisé.
Pourtant en mai, une nouvelle révélation impliquait l'application Signal. Le "Signalgate 2.0" a fait la une de l'actualité, mais est resté sous le radar jusqu'à présent : l'ancien conseiller en sécurité de l'administration Trump, Mike Waltz, ainsi que le service des douanes et de la protection des frontières des États-Unis utilisaient une version de l'application Signal développée par TeleMessage et rachetée par la suite par la société américaine Smarsh. Cette application avait une fonction supplémentaire : l'archivage non chiffré des chats.
Afin de répondre aux exigences de conservation des documents pour les communications officielles du gouvernement, TeleMessage a créé un système permettant d’archiver de manière centralisée les messages envoyés via Signal et d’autres applications chiffrées. Ce faisant, cette version non officielle de Signal a rompu la promesse de sécurité fondamentale du chiffrement de bout en bout de Signal : seuls l’expéditeur et le destinataire peuvent lire un message. Ce compromis a ouvert la porte aux attaques et les attaquants y sont entrés.
[...]
Depuis des années, les forces de l’ordre et les services de renseignement du monde entier réclament ce que l’on appelle un “accès légal” aux communications chiffrées. L’argument est le suivant : Si le chiffrement pouvait être cassé uniquement pour les acteurs gouvernementaux de confiance, "si nous pouvions construire une “porte dérobée réservée aux bons”", nous serions plus à l’abri des terroristes, des prédateurs d’enfants et d’autres menaces.
[...]
Mais comme le montre l’affaire Signalgate 2.0, ce fantasme est dangereux. Les hommes politiques qui souhaitent affaiblir le chiffrement doivent comprendre qu’en agissant ainsi, ils affaibliront le chiffrement pour tout le monde. Il n’existe aucun moyen de construire une "porte dérobée sécurisée".
[...]
Ce qui fait de Signalgate 2.0 un signal d’alarme parfait, c’est que l’application concernée - TeleMessage - n’était pas utilisée par des citoyens ordinaires, mais par des fonctionnaires de haut rang occupant des postes gouvernementaux sensibles : le service des douanes et de la protection des frontières des États-Unis, le ministère de la sécurité intérieure des États-Unis, le ministère des finances des États-Unis et un conseiller présidentiel.
Si les fournisseurs de cette application prétendument sécurisée n’ont pas été en mesure de verrouiller le contenu et les métadonnées de l’application pour ces clients de haut rang, n’est-ce pas une preuve suffisante que l’exigence - développer un outil de communication chiffrée en toute sécurité avec un accès par porte dérobée réservé aux bonnes volontés - est tout simplement une tâche impossible à réaliser ?
[...]
Au lieu d’exiger des portes dérobées au chiffrement, les gouvernements devraient se concentrer sur des outils ciblés qui n’ouvrent pas la porte à une surveillance de masse illégale de tous les citoyens et investir dans les agences chargées de l’application de la loi afin qu’elles disposent réellement de la main-d’œuvre et du savoir-faire nécessaires pour poursuivre les cybercriminels, les prédateurs en ligne et les terroristes. C’est un mythe de croire que nous avons besoin d’un accès dérobé au chiffrement pour obtenir plus de sécurité.
Hanna ajoute : "Nous devons tirer les leçons de Signalgate 2.0 et ne pas répéter ses erreurs à plus grande échelle. Signalgate 2.0 devrait être le dernier clou dans le cercueil de la demande de “porte dérobée pour les gentils seulement”. En sapant le chiffrement, nous rendons le monde moins sûr pour tout le monde."
TCS = trouble de la communication sociale (24/09/2014).
Derrière les gros titres, la réalité est moins spectaculaire. Le « leak historique » annoncé le 19 juin 2025 n’est pas une nouvelle brèche. C’est en réalité du réchauffé.
Tout est parti d’une publication de Cybernews, un site spécialisé, annonçant jeudi en fin de journée l’exposition de ces données, qui ouvriraient un accès à des comptes Facebook, Google ou encore Apple.
Ce chiffre astronomique de 16 milliards d’identifiants et mots de passe fuités résulte en fait de la somme de plusieurs bases de données piratées au fil des années et rassemblées en une seule. On y trouve des données volées depuis plus de dix ans, et même des doublons. « Cet ensemble de données serait constitué d’une agglomération de différentes fuites de données passées. Cela signifie qu’il ne s’agit pas d’une fuite de données nouvelle », a indiqué la CNIL (Commission nationale de l’informatique et des libertés) le 20 juin.
[...]
Interrogé par Numerama, Benoît Grünemwald, expert en cybersécurité chez ESET, confirme : « Ce n’est pas une fuite, c’est un agrégat de différentes fuites antérieures. » Selon lui, l’emballement médiatique n’a pas eu que des mauvais effets : « Le grand public peut se dire ‘Wow, grosse fuite de données’, et changer ses mots de passe. Finalement, l’objectif est atteint, pas de la bonne manière, mais il l’est. »
Car si l’annonce d’une nouvelle brèche s’est révélée fausse, la menace reste réelle. La plupart des données collectées dans cette immense base proviennent de logiciels malveillants, appelés infostealers.
[...]
Pour Dr. Kraemer, l’utilisation d’un gestionnaire de mots de passe est aujourd’hui essentiel « On retrouve encore trop souvent des mots de passe très basiques lors de fuites de données. (…) Les gestionnaires de mots de passe permettent une veille constante pour s’assurer que vos identifiants ne se trouvent pas sur le dark web. »
Benoit Grünemwald rappelle qu’il ne sert à rien de tout changer « par réflexe » : « Ne changez votre mot de passe que si vous êtes concerné. Il existe même des outils gratuits pour vérifier si votre login ou mot de passe a fuité, comme Have I Been Pwned. (…) Pour résumer, utilisez un gestionnaire de mots de passe, privilégiez des mots de passe uniques et complexes, et activez l’authentification à deux facteurs partout où c’est possible. »
TCS = trouble de la communication sociale (24/09/2014).
