Pour moi, 2024 a été l'année noire de nos données personnelles en France. Et 2025 n'a pas corrigé le tir, bien au contraire. L'année qui s'est écoulée a juste confirmé qu'on était entrés dans une espèce de routine du "demain ce sera pire". Y'a pas eu un secteur épargné, pas un organisme qui n'a pas été touché. Santé, télécom, grande distribution, services publics, fédérations sportives... C'est un festival du piratage qui s'est abattu sur l'Hexagone ces 2 dernières années.

Et SaxX, le hacker éthique que vous connaissez surement, vient de publier sur son LinkedIn un bilan édifiant : 48 organisations françaises piratées en un an. La liste fait froid dans le dos.

En réalité c'est même plus que ça, puisque ça a commencé dès février 2024 avec le piratage massif de Viamedis et Almerys, les deux opérateurs de tiers payant qui gèrent la quasi-totalité des remboursements santé en France. Plus de 33 millions de Français concernés, avec leurs noms, numéros de sécu, dates de naissance... Pas les données bancaires certes, mais suffisamment pour monter des arnaques à l'usurpation d'identité bien ficelées.

Un mois plus tard, en mars 2024, c'est France Travail qui tombait. L'ex-Pôle Emploi s'est fait siphonner les données de potentiellement 43 millions de personnes inscrites au cours des 20 dernières années. Le pire c'est que la direction avait été alertée sur des faiblesses de sécu avant l'attaque. Des suspects ont été arrêtés... et c'était des gamins. Des gamins qui ont quand même eu accès aux données de la moitié du pays.

Septembre 2024 a aussi été un carnage. Un seul pirate, sous le pseudo Horror404x, a réussi à compromettre Boulanger (jusqu'à 27 millions de "lignes" revendiquées), Cultura (entre 1,5 et 2,6 millions de comptes selon les sources), Truffaut (270 000 comptes), Grosbill, Cybertek, et même l'Assurance Retraite (des centaines de milliers de retraités). Comment ? Simplement en ciblant un prestataire commun lié aux systèmes de livraison. Un seul maillon faible, et c'est toute la chaîne qui cède.

Puis en octobre-novembre 2024, ce sont les opérateurs télécoms qui se sont fait dépouiller. Free d'abord, avec plus de 19 millions de clients touchés, dont plusieurs millions avec des IBAN dans la nature. Et là, on est dans le bingo complet avec identité + coordonnées + infos contractuelles + IBAN = terrain parfait pour les arnaques "faux conseiller", les prélèvements frauduleux, les ouvertures de comptes. Ces derniers risquent d'ailleurs une amende pouvant aller jusqu'à 48 millions d'euros . Puis SFR a suivi avec au moins deux épisodes : une première fuite autour de 50 000 clients à l'automne 2024, puis des millions revendiqués ensuite. N'oubliez pas, quand ça nie, quand ça minimise, quand ça traîne... ça laisse juste plus de temps aux escrocs.

Et autour de ces gros blocs, y'a eu surtout une pluie d'incidents plus petits : Auchan, Picard, Molotov, LDLC, Norauto, Meilleurtaux... Sans oublier Direct Assurance, Speedy, Point S. Bref, 2024, c'est l'année où on a compris que ça touchait TOUT LE MONDE.

Et puis 2025 arrive, et là, le grand délire. Le piratage de nos données n'est plus une exception... Ce n'est plus un accident... C'est une industrie.

Début 2025, on voit apparaitre à nouveau des attaques "système"... C'est à dire des fournisseurs, des prestataires, des outils utilisés partout qui se font poutrer. L'exemple parfait c'est Harvest (logiciels financiers) et, par ricochet, des clients de MAIF et BPCE. Même logique que ce qu'on a eu en 2024... On tape un intermédiaire, et ça permet de toucher une grappe entière dans un secteur donné. Puis sans surprise, au printemps 2025, ça tombe comme des mouches : Intersport, Autosur, Cerballiance, Indigo, Afflelou, Carrefour Mobile, Easy Cash, Hertz... Et derrière chaque nom, c'est toujours la même chanson : "pas de données bancaires" (ok), mais tout le reste suffit largement pour faire de la merde.

L'été 2025, on a eu droit à des cibles plus "haut niveau" : Sorbonne Université, CNFPT, des acteurs santé, et côté marques : Dior, Louis Vuitton, Cartier... Côté transport y'a eu Air France et côté télécom, Bouygues Telecom ! On n'est plus sur un site e-commerce qui s'est fait péter via un formulaire php mal sécurisé...non, on est sur du volume, des identifiants, des IBAN, des chaînes d'approvisionnement complètes...

Ensuite, à l'automne 2025, c'est la sphère "sport" et "administrations" qui se fonbt hacher menu : des fédérations en cascade (souvent via des outils mutualisés), France Travail qui ressort encore, la Fédération Française de Tir (via un prestataire), et des histoires d'ARS qui donnent des sueurs froides.

Et la fin 2025, c'est la cerise radioactive sur le gâteau puisqu'on a Pajemploi, HelloWork, Leroy Merlin, Mondial Relay, Colis Privé, Eurofiber, Weda, Resana, Médecin Direct, Cuisinella, La Poste (attaque qui met à l'arrêt des services au pire moment, je pense que vous en avez tous entendu parler), le Ministère de l'Intérieur, le Ministère des Sports, PornHub...

On termine donc l'année en beauté avec l'impression que tout le monde est une cible "normale". 9 personnes sur 10 en France ont été touchées d'après SaxX. C'est dingue quand même.

Et ce qui me fait bouillir de rage, c'est qu'on est coincés, putain.

Réfléchissez deux secondes... Vous cherchez un emploi ? Vous êtes OBLIGÉS de vous inscrire à France Travail et de leur filer votre vie entière. Vous voulez être remboursé de vos frais de santé ? Pas le choix, c'est Viamedis ou Almerys. Vous voulez un téléphone ? Free, SFR, Orange... Et votre numéro de sécu, votre IBAN, votre adresse. Vous voulez une retraite (loool) ? La CNAV veut tout savoir. Et si vous refusez de donner ces infos ? Vous êtes tout simplement hors-la-loi. Pas d'emploi, pas de remboursement santé, pas de téléphone, pas de retraite. Fin de partie.

Donc le deal c'est soit vous filez vos données personnelles à des organismes qui se feront pirater tôt ou tard, soit vous vivez en ermite dans une grotte en dehors de la société. Super choix 👍.

Et qu'est-ce qu'on a en échange de cette "confiance" forcée ?

On a des systèmes d'information qui ressemblent à des passoires, des prestataires sous-payés qui deviennent des portes d'entrée open bar pour les hackers, et des communications de crise qui arrivent des semaines après les faits. "Vos données bancaires ne sont pas concernées" nous rabache-t-on à chaque fois, comme si c'était une consolation alors que notre identité COMPLÈTE est en vente pour le prix d'un Happy Meal.

Et ce qui m'inquiète le plus, c'est l'effet cumulatif car chaque fuite isolée peut sembler "gérable" mais quand vous croisez les bases de Viamedis (numéro de sécu), France Travail (historique pro), un opérateur télécom (IBAN), un distributeur (habitudes de conso)... Vous obtenez un profil complet exploitable. Y'a 600 millions de comptes qui sont partis dans la nature rien que cette année... Donc de quoi monter des arnaques ultra-ciblées, des usurpations d'identité sophistiquées, voire du chantage.

Et dans certains cas, ça va encore plus loin... Regardez le piratage de la Fédération Française de Tir avec le gars qui s'est fait attaquer chez lui ...Et c'est pas le seul... Ça montre jusqte à quel point une fuite peut devenir un risque "hors écran". Quand on sais qui est licencié, où il habite, comment le joindre... on peut mettre en place très facilement du repérages, des pressions, du ciblage. Et là, j'vous parle de risque physique, pas juste de spam ou de démarchage au téléphone. Et ça sera la même violence avec leur future loi pour collecter toutes les datas des propriétaires de wallet crypto self-custody.

Bref, je sens ce malaise qui monte de plus en plus car on nous demande toujours plus d'infos. Pour ouvrir un compte, pour s'inscrire quelque part, pour accéder à un service... et vous comme moi, savons pertinemment que ces infos vont fuiter un jour. C'est pas "si", c'est "quand", perso, j'en ai ma claque... ça commence à bien faire.

Alors voilà ma vraie question, celle que nos chers élus devraient se poser : A-t-on vraiment besoin de collecter autant de données ?

Pourquoi France Travail a besoin de garder mes infos pendant 20 ans ? Pourquoi mon opérateur télécom doit connaître mon adresse postale exacte ? Pourquoi ma carte de fidélité Auchan doit être liée à mon identité complète ? Est-ce qu'on pourrait pas, je sais pas moi, minimiser un peu tout ça ?

Et surtout, est-ce qu'on pourrait pas trouver un système qui nous permettrait de prouver notre identité sans avoir à déballer notre vie entière ? Genre juste vérifier que oui, je suis majeur, que oui, j'habite en France, sans pour autant filer mon adresse, mon numéro de téléphone, ma photo, ma carte d'identité et la liste de tous mes comptes en banque. Ces technologies existent et y'a déjà des solutions de type zero-knowledge proof. Ça fait des années que je vous en parle, mais apparemment, c'est plus simple de continuer à empiler des bases de données géantes qui finiront toutes par être piratées.

On a une CNIL qui fait ce qu'elle peut avec les moyens du bord. On a une ANSSI qui alerte et recommande. Mais où est la vraie réflexion ? Où sont les députés et les ministres qui se posent la question de la minimisation des données ? Où est le débat sur les alternatives à ce système de merde où le citoyen est obligé de tout donner pour exister socialement ?

Parce que là, on nous demande de "rester vigilants face au phishing" (lol), de "vérifier nos comptes", de "changer nos mots de passe régulièrement"... Bref, de gérer les conséquences de leurs négligences. C'est un peu comme demander aux passagers du Titanic de vider l'eau avec des seaux pendant que le capitaine continue à foncer droit sur l'iceberg suivant.

Voilà, pour moi ce bilan 2024-2025, c'est pas juste une liste de chiffres. C'est le symptôme d'une société qui a numérisé jusqu'à l’écœurement nos vies en marche forcée sans jamais se poser les bonnes questions. On a foncé tête baissée dans la collecte massive de données "parce que c'est pratique, tkt", sans jamais se demander si on en avait vraiment besoin, et sans jamais investir sérieusement pour les protéger.

Alors à nos chers décideurs, j'ai envie de dire réveillez-vous bande de moules !! Car le prochain gros piratage, c'est pas dans 10 ans, hein, c'est dans les prochains mois. Et ce sera encore 30 ou 40 millions de Français qui verront leurs données dans la nature. Ça vous semble normal ? Moi non, et je mettrais ma main à couper que je suis pas le seul à en avoir ras-le-bol.

Merci à SaxX pour ce travail de compilation et d'alerte !

Vous avez peut-être une caméra Tapo C200 qui tourne chez vous pour surveiller le chat, le bébé ou l'entrée. C'est mon cas et j'adore cette caméra mais j'ai une mauvaise nouvelle à vous annoncer... Le chercheur en sécurité Simone Margaritelli (alias evilsocket) vient de passer 150 jours à la disséquer et le résultat n'est pas glorieux pour TP-Link.

Alors déjà, commençons par le plus gros WTF qu'il a découvert... la clé privée HTTPS de la caméra, ce truc censé être ultra-secret qui permet de chiffrer les communications. Et bien elle est hardcodée dans le firmware. C'est donc la même clé pour TOUTES les caméras du même modèle. Du coup, n'importe qui peut faire un Man-in-the-Middle et intercepter ce que vous voyez sur votre caméra. Ah on se met bien déjà là, hein ? ^^

Et attendez, ça ne s'arrête pas là puisque Margaritelli a trouvé un bucket S3 chez Amazon, totalement ouvert au public, qui contient TOUS les firmwares de TOUS les produits TP-Link. C'est open bar, sans authentification, Noël avant l'heure pour les chercheurs en sécu... et les hackers.

En fouillant le firmware avec Ghidra et Claude (oui, l'IA a aidé au reverse engineering), le chercheur a découvert quatre failles critiques. La première, c'est un buffer overflow dans le parser SOAP XML utilisé par le protocole ONVIF. En gros, si vous envoyez un message trop long, la caméra plante. Pas besoin d'être authentifié pour ça, une requête HTTP suffit.

La deuxième faille est du même genre mais dans le header Content-Length. Envoyez 4294967295 (le max d'un entier 32 bits) et boum, integer overflow. Et la troisième, c'est la cerise sur le gâteau puisque l'endpoint connectAp reste accessible sans authentification même après le setup initial. Du coup, un attaquant peut forcer votre caméra à se connecter à son propre réseau WiFi malveillant et intercepter tout le flux vidéo. Vous ne vous y attendiez pas à celle-là, si ?

Et la quatrième faille, oubliée nulle part ailleurs c'est l'API scanApList qui balance la liste de tous les réseaux WiFi autour de la caméra, sans auth. Avec les BSSID récupérés et un outil comme apple_bssid_locator, on peut géolocaliser physiquement la caméra à quelques mètres près. Sur les 25 000 caméras exposées sur le net, ça fait froid dans le dos.

Le plus frustrant dans cette histoire, c'est que Margaritelli a signalé tout ça en juillet 2025 et TP-Link a demandé des rallonges de délai, encore et encore, durant plus de 150 jours. Et au final, les failles ont été corrigées mais pas de patch sur les pages publiques des CVE. Ah et petit détail rigolo, comme TP-Link est sa propre autorité de numérotation CVE, ils s'auto-évaluent sur leurs propres failles. Donc y'a pas de conflit d'intérêt du tout... ahem ahem...

Le chercheur estime qu'environ 25 000 de ces caméras sont exposées directement sur Internet donc si comme moi, vous en avez une, vérifiez que le firmware est bien à jour et surtout, ne l'exposez JAMAIS directement sur le net. Mettez-la derrière un VPN ou un réseau isolé.

Je trouve ça cool que Margaritelli ait utilisé de l'IA pour accélérer la phase de reverse engineering. Avec Claude Opus et Sonnet avec GhidraMCP, il a pu analyser le code assembleur et c'est comme ça que l'IA a identifié rapidement les fonctions vulnérables et expliqué le fonctionnement du code. Bref, l'IA comme outil de hacking, c'est assez ouf...

Voilà, donc si vous avez du matos TP-Link chez vous, gardez un œil sur les mises à jour et réfléchissez à deux fois avant de l'exposer sur le net. Et si vous aimez la lecture, l'analyse complète est dispo sur le blog d'evilsocket .

Beau boulot !

Vous pensiez que les apps de messagerie alternatives à WhatsApp c'était pour échapper à la surveillance des États ? Hé bien en Russie et dans les territoires ukrainiens occupés, c'est exactement l'inverse ! En ce moment, y'a une app qui s'appelle MAX, qui est présentée comme le "WhatsApp russe", et qui depuis le 1er septembre de cette année, est préinstallée de force sur tous les téléphones vendus.

Cette app c'est le rêve de tout dictateur en culottes courtes et installer MAX sur son téléphone, c'est donner volontairement le contrôle total de son appareil au FSB (les services de sécurité russes). Et quand je dis total, c'est accès à toutes vos données personnelles, vos contacts, vos messages, votre localisation... Selon des experts IT, l'app activerait même la caméra automatiquement toutes les 10 à 15 minutes pour prendre des photos à l'insu de l'utilisateur. Un véritable "espion de poche". Le KGB soviétique aurait tellement kiffé avoir ce truc à leur grande époque.

Et c'est pas fini puisque dans les territoires ukrainiens occupés, notamment dans les oblasts de Zaporizhzhia et Kherson, MAX est devenu un véritable test de loyauté. Aux checkpoints, l'absence de l'app sur un smartphone éveille les soupçons et déclenche des fouilles approfondies. Les autorités d'occupation ont même obligé tous leurs employés à l'utiliser, et les écoles communiquent exclusivement via MAX avec les parents. Histoire de vous faire "rigoler" un bon coup, sachez que même certains fonctionnaires de l'occupation seraient réticents à l'installer, bien conscients des risques...

Et depuis le 1er décembre, ils ont poussé le bouchon encore plus loin en interdisant la vente de cartes SIM non-russes, du coup, pour utiliser MAX, faut un numéro de téléphone russe ou biélorusse. Et comme je vous l'ai dit , WhatsApp, Telegram et compagnie sont progressivement bloqués, donc les possibilités de communiquer librement commencent à fondre comme neige au soleil. L'objectif affiché pour Vladoche et ses copains, c'est de couper complètement les Ukrainiens des territoires occupés du reste du monde et des sources d'information fiables.

Reporters sans Frontières a d'ailleurs dénoncé MAX comme un "outil de contrôle numérique" qui érige un véritable "rideau de fer numérique", isolant les citoyens des territoires occupés de toute information fiable. Et la dictature prévoit d'aller encore plus loin car bientôt, l'app sera obligatoire pour accéder aux services bancaires en ligne et aux services publics. C'est un véritable rideau de fer numérique qui isole les populations.

L'app revendique 50 millions d'utilisateurs, mais bon, quand t'as pas le choix et que c'est préinstallé de force sur ton téléphone, est-ce que ça compte vraiment comme des "utilisateurs" ? Souvenez-vous de TousAntiCovid, loool.

Bref, si vous voulez voir à quoi ressemble la surveillance de masse version 2025, MAX c'est l'exemple parfait et c'est une bonne piqûre de rappel sur pourquoi il faut continuer à se battre pour garder des messageries chiffrées et indépendantes...

Source

Google et le CA/Browser Forum viennent d’annoncer la mise à mort de 11 méthodes de validation de domaine pour les certificats HTTPS. Bye bye les emails, les coups de fil, les fax (oui, y’en avait encore qui utilisaient ça) et le courrier postal pour valider les certificats car d’ici mars 2028, tout ça sera du passé.

Car quand vous demandez un certificat SSL/TLS pour votre site, l’autorité de certification doit vérifier que vous êtes bien le proprio du domaine. Historiquement, ça pouvait se faire via un email envoyé à l’adresse WHOIS, un coup de téléphone, ou même un courrier papier mais le problème, c’est que ces méthodes sont faciles à falsifier.

Des chercheurs en sécurité ont montré qu’il était possible de manipuler les données WHOIS ou d’intercepter les communications pour obtenir des certificats frauduleux et quand, malheureusement, un attaquant peut se faire passer pour le propriétaire légitime d’un domaine et obtenir un vrai certificat, ça ouvre la porte à des attaques man-in-the-middle bien méchantes.

Donc le CA/Browser Forum a voté le ballot SC-090 pour éliminer progressivement ces vieilles méthodes. Juin 2025 a vu la fin de la validation WHOIS par email, mars 2026 découragera l’utilisation des méthodes email en général, et mars 2028 ce sera le grand ménage final.

À la place, il faudra donc passer par des méthodes plus directes tels qu’un enregistrement DNS TXT avec une valeur aléatoire que l’autorité vérifiera, ou un fichier HTTP placé à un endroit précis de votre serveur. Ces méthodes permettent de prouver cryptographiquement que vous contrôlez bien le domaine, sans intermédiaire chelou.

Pour les utilisateurs lambda, ça ne change rien évidemment, vous continuerez à voir le petit cadenas dans votre navigateur. Mais pour les admins système et les responsables de sites, ça veut dire qu’il va falloir automatiser tout ça. Si vous utilisez encore des certificats validés par email, c’est donc le moment de migrer vers des outils comme ACME (le protocole derrière Let’s Encrypt).

Ce mouvement s’inscrit également dans une tendance plus large puisque le ballot SC-070 prévoit aussi de réduire la durée de validité des certificats pour les passer à 10 jours de réutilisation de la validation dès mars 2028, puis des certificats de 47 jours seulement en mars 2029. Donc autant dire que sans automatisation, ça va devenir ingérable.

Google pousse donc clairement l’écosystème vers plus de sécurité, quitte à forcer la main aux retardataires. Moins de maillons dans la chaîne, c’est moins d’opportunités pour les attaquants et je trouve que c’est plutôt une bonne nouvelle.

Source