Menaces

9 outils de surveillance au travail utilisés en France transmettent vos clics à Google, Microsoft et Meta

9 outils de surveillance au travail utilisés en France transmettent vos clics à Google, Microsoft et Meta

Introduction : Le marché du « bossware » (ces logiciels qui permettent aux employeurs de suivre l’activité de leurs salariés à distance) est en pleine expansion depuis la généralisation du télétravail. Une étude publiée tou récemment vient de documenter ce que ces outils font réellement des données qu’ils collectent. Les chercheurs ont intercepté le trafic réseau de neuf plateformes de surveillance parmi les plus répandues. Le résultat est net : les neuf transmettent des données personnelles de salariés à des tiers. Les neuf plateformes passées au crible sont Apploye, Buddy Punch, Deputy, Desklong, Hubstaff, Monitask, Time Doctor 2, Vericlock et When I Work. Toutes sont disponibles en France et commercialisées auprès d’entreprises européennes. Les données transmises comprennent noms, adresses email et données d’activité des salariés. Au total, plus de 145 domaines tiers reçoivent ces informations, parmi lesquels Google, Meta, Microsoft, LinkedIn, Yandex et AppLovin.

Tesla l’a fait, les autres paniquent : le chantier colossal pour mettre à jour vos voitures à distance

Tesla l’a fait, les autres paniquent : le chantier colossal pour mettre à jour vos voitures à distance

Introduction : Des voitures qui gagnent en autonomie ou en puissance des années après leur achat : Tesla l’a popularisé, et toute l’industrie veut en faire la norme d’ici 2030. Mais attention au mirage technologique. Entre promesses marketing, risque d’options payantes cachées et sécurité des données, la route vers la voiture 100 % connectée est encore semée d’embûches.

Derrière la vérification d’âge sur les réseaux sociaux, la généralisation du contrôle d’identité en ligne

Derrière la vérification d’âge sur les réseaux sociaux, la généralisation du contrôle d’identité en ligne

Introduction : Le Parlement s’apprête à voter une proposition de loi qui veut interdire d’accès aux réseaux sociaux les jeunes de moins de 15 ans. Sous couvert de protection des mineur·es, ce texte imposerait à toute personne souhaitant accéder à ces plateformes de prouver leur âge. Derrière cette vérification d’âge se cache en fait un contrôle d’identité, que la France et la Commission européenne poussent chacune de leur coté pour le généraliser à l’échelle de l’Union européenne. Avec comme conséquence une remise en cause toujours plus grande du droit à l’anonymat en ligne… Redisons-le : le « double-anonymat » n’offre aucun anonymat. Au mieux, il offre une étanchéité des données entre la plateforme qui exige une preuve d’âge et le tiers vérificateur d’âge. Mais c’est à la condition que ce cloisonnement soit techniquement correctement réalisé, ce qui n’est pas toujours le cas : en 2025, AI Forensics révélait que AgeGo, une entreprise vérifiant l’âge pour de nombreux sites pornographiques, collectait l’URL complète de la vidéo que l’internaute souhaitait consulter, foulant ainsi aux pieds la promesse technologique de cloisonnement. Après l’enquête de AI Forensics, l’entreprise a limité les données collectées et connaît « seulement » le site auquel l’internaute souhaite accéder.

Sans confidentialité, l'euro numérique est voué à l'échec, prévient la CNIL

Sans confidentialité, l'euro numérique est voué à l'échec, prévient la CNIL

Introduction : La BCE prépare l’euro numérique pour 2029, une monnaie publique dématérialisée censée remplacer le cash dans nos usages quotidiens. Mais entre architecture centralisée, pseudonymisation fragile et plafonds encore indéfinis, la bataille pour la confidentialité est loin d’être gagnée… Comme le montre l’étude SPACE de la BCE, en 2024, environ 62 % des Européens estiment qu’il est important d’avoir la possibilité de payer en espèces. Une seconde étude réalisée en 2025 montre que 81 % des adultes interrogés sont préoccupés par des atteintes à la vie privée.

Google et Samsung frappent fort : ces lunettes connectées passent totalement inaperçues

Google et Samsung frappent fort : ces lunettes connectées passent totalement inaperçues

Introduction : Samsung et Google dévoilent leurs premières lunettes connectées sous Android XR, attendues pour l’automne 2026. Ces lunettes, co-développées avec Gentle Monster et Warby Parker, visent à être discrètes et fonctionnelles, sans remplacer le smartphone. Elles intègrent l’IA Gemini pour des interactions mains libres, simplifiant les tâches quotidiennes et s’inscrivant dans l’écosystème Galaxy.

Arnaque au bot crypto IA - Comment ils vident votre wallet

Arnaque au bot crypto IA - Comment ils vident votre wallet

Introduction : Des arnaqueurs utilisent des vidéos YouTube générées par IA pour promouvoir des faux bots d’arbitrage Ethereum qui volent les ethers versés par les victimes via du code obfusqué contenant une adresse de portefeuille cachée. Une campagne documentée par SentinelLABS a siphonné près de 245 ethers (environ 900 000 dollars à l’époque) en prétendant enseigner comment créer un bot MEV passif, avec d’autres variantes subtilisant 7 ou 4 ethers par-ci par-là. Le piège fonctionne par psychologie : Remix est un outil réputé donc semble sérieux, vous déployez le contrat vous-même ce qui crée un sentiment de propriété, et on vous dit “pas besoin de coder” pour vous dissuader de lire le code réellement exécuté.

BrowserAct publie deux outils open source pour donner les mains libres aux agents IA sur le web réel

BrowserAct publie deux outils open source pour donner les mains libres aux agents IA sur le web réel

Introduction : L’un des plus grands goulets d’étranglement de l’ère de l’intelligence artificielle agentique vient de sauter. Si les grands modèles de langage excellent aujourd’hui dans le raisonnement complexe, leurs capacités d’action sur le web ouvert se heurtaient jusqu’alors à un mur invisible : les systèmes de détection de bots (Cloudflare, DataDome) et la complexité structurelle du code HTML des pages modernes.

La vulnérabilité Zero Day d’Exchange Server peut être déclenchée par l’ouverture d’un e-mail malveillant

La vulnérabilité Zero Day d’Exchange Server peut être déclenchée par l’ouverture d’un e-mail malveillant

Introduction : « Parce qu’il est déjà exploité dans la nature, il ne s’agit pas d’une situation d’urgence à corriger la semaine prochaine ; il s’agit d’une urgence à atténuer immédiatement », a prévenu Rob Enderle du groupe Enderle. « C’est un autre rappel pour trouver un fournisseur cloud de confiance pour le courrier électronique », a ajouté Johannes Ullrich, doyen de la recherche à l’Institut SANS. « Exchange sur site est en train de devenir un produit existant, et même si certaines organisations en ont besoin pour le courrier électronique interne et sortant, sa surface d’attaque doit être minimisée en réduisant son exposition au courrier électronique externe. »

Pourquoi il faut sauver le soldat Anssi

Pourquoi il faut sauver le soldat Anssi

Introduction : L’Agence nationale de la sécurité des systèmes d’information apparaît comme le parfait fusible de l’échec de l’administration française en matière de cybersécurité, après des dizaines de brèches de données, jusqu’à celle de l’ANTS. Un piège…. Étouffer la voix de l’Anssi ? D’aucuns en rêvent peut-être, alors que casser le chiffrement de bout-en-bout permettrait de tirer pleinement profit des capacités des outils de Palantir qui a renouvelé son contrat avec la DGSI il y a quelques mois seulement. Une raison suffisante sûrement, pour les défenseurs des libertés individuelles, de refuser la dilution, sinon la disparition, de l’Anssi.

Donald Trump veut-il donner au christianisme un **rôle privilégié** dans le fonctionnement des institutions ?

Donald Trump veut-il donner au christianisme un **rôle privilégié** dans le fonctionnement des institutions ?

Introduction : Aux États-Unis, la séparation de l’Église et de l’État est remise en cause par une commission sur les libertés religieuses, créée spécialement à la demande de Donald Trump… En revanche, le premier amendement précise bien que le Congrès ne doit pas voter une loi portant sur l’établissement d’une religion ou interdisant son libre exercice. Et Thomas Jefferson, le troisième président des États-Unis, l’un des pères fondateurs, a parlé de cet amendement comme d’un “mur entre l’Église et l’État”. Une interprétation reprise par la Cour suprême, mais la commission n’a pas l’air d’accord.

Cette nouvelle manière de filmer des femmes sans consentement alarme les victimes

Cette nouvelle manière de filmer des femmes sans consentement alarme les victimes

Introduction : L’essor des lunettes connectées ouvre la voie à de nouvelles formes de harcèlement numérique. Elles permettent de filmer sans éveiller les soupçons, de diffuser massivement, puis de monnayer le retrait. Et les femmes sont en première ligne… La BBC affirme avoir échangé avec de nombreuses femmes qui ont été enregistrées à leur insu de cette manière, et ont vu des vidéos d’elles publiées sur Internet sans leur consentement…. La plupart de ces vidéos seraient utilisées pour donner des conseils de drague à d’autres hommes. C’est encore un exemple du côté toxique de la manosphère, qui semble considérer les femmes comme de simples objets utiles pour la production de leurs contenus.

Chrome installe en douce un modèle IA de 4 Go sur votre disque sans rien demander

Chrome installe en douce un modèle IA de 4 Go sur votre disque sans rien demander

Introduction : Chrome télécharge silencieusement Gemini Nano, un modèle IA de 4 Go appelé weights.bin, dans un dossier OptGuideOnDeviceModel sans demander la permission, et le réinstalle automatiquement si vous le supprimez. Hanff estime entre 100 millions et 1 milliard de machines concernées, générant entre 6 000 et 60 000 tonnes de CO2e rien que pour le réseau du déploiement. Le déploiement viole selon Hanff l’article 5(3) de la directive ePrivacy européenne qui interdit de stocker quoi que ce soit sur l’appareil sans consentement explicite, et pourrait déclencher une amende RGPD.

Une simple radiographie s’est transformée en incident de confidentialité, révélant une faille préoccupante dans la gestion de données médicales sensibles au sein d’un grand hôpital.

Une simple radiographie s’est transformée en incident de confidentialité, révélant une faille préoccupante dans la gestion de données médicales sensibles au sein d’un grand hôpital.

Introduction : Un patient venu passer une radiographie à l’hôpital central de Tallinn-Ouest, le LTKH, est reparti avec une clé USB censée contenir uniquement ses propres examens. En consultant son support chez lui, il a pourtant découvert des données personnelles et médicales appartenant à plusieurs autres patients. Noms, codes d’identification, dates d’intervention et éléments d’antécédents médicaux figuraient dans les dossiers. Le plus ancien fichier radiographique visible sur la clé remontait à 2019. L’hôpital affirme ne pas pouvoir expliquer cette confusion à ce stade. L’autorité estonienne chargée de la protection des données juge la situation inacceptable et y voit vraisemblablement une violation des règles encadrant les données de santé. A noter que ZATAZ vous propose un tableau regroupant les fuites de données ayant impactés le secteur de la santé, depuis le 1er janvier 2026.

AirTag : plus de 30 plaintes accusent Apple de faciliter le harcèlement

AirTag : plus de 30 plaintes accusent Apple de faciliter le harcèlement

Introduction : Les plaignants accusent Apple de commercialiser des produits pouvant être utilisés à des fins malveillantes. Malgré des améliorations sur le modèle de deuxième génération, des risques persistent pour les victimes de harcèlement… Selon les différents plaignants, Apple a commercialisé l’AirTag en sachant qu’il pourrait être « acheté et utilisé par des individus abusifs et dangereux pour traquer, contraindre, contrôler, et par ailleurs mettre en danger et maltraiter des victimes innocentes ». Pour les plaignants, ces appareils « ont révolutionné la portée, l’ampleur et la facilité du harcèlement géolocalisé ».

Edge - Les mots de passe en clair en mémoire, by design

Edge - Les mots de passe en clair en mémoire, by design

Introduction : Tom Rønning a publié un PoC nommé EdgeSavedPasswordsDumper qui extrait tous les credentials en clair depuis la mémoire d’Edge ; Microsoft confirme que c’est “by design” et hors de son modèle de menace. Edge charge TOUS les mots de passe en clair en RAM dès le démarrage et les garde en mémoire tant que le processus tourne, contrairement à Chrome qui utilise un chargement granulaire ; l’option “Authentification avant remplissage automatique” ne résout rien. Pour la propre session, un malware sous votre compte suffit ; pour les autres utilisateurs sur la même machine, les droits admin sont nécessaires, notamment sur terminal server via RDP avec un admin compromis.