Ce midi, Clément Domingo (alias SaxX sur les réseaux sociaux) explique, capture d’écran à l’appui, que « le site internet de l’euro-députée Sara Knafo expose toutes les données personnelles des parisiens qui expriment leurs souhaits pour un futur Paris ! ».
Élections Municipales – Le site internet de l'euro-députée Sara Knafo expose toutes les données personnelles des parisiens qui expriment leurs souhaits pour un futur Paris !
Attention aux sites internet "vibecodé"… qui exposent/exposeront les données personnelles des… pic.twitter.com/S6pojT781V
1h30 plus tard, CheckNews confirme. En quelques clics, nos confrères ont « pu constater que ces données privées étaient effectivement accessibles ce vendredi midi. Parmi les 607 contributions enregistrées, nous avons pu distinguer 458 mails uniques, 437 adresses IP, et 187 numéros de téléphone renseignés ».
Lorsque SaxX a publié son message sur X, la faille était toujours donc présente, permettant ainsi à n’importe qui de récupérer les données. D’ailleurs, sur Breachforum, on retrouve déjà des publications à ce sujet. Un des membres « s’amuse » d’ailleurs de la situation : « Ce n’est pas une divulgation responsable, tu es un pirate informatique, SaxX ! Bienvenue du côté obscur ».
La coupe est pleine ? Peut être pas… selon Seblatombe, toujours sur X : « Pire encore, les cartes et photos d’identités apparaissent en clairs dans le code. Les photos ne sont pas demandées par le site. Elles sont publiées de manière volontaire par certaines personnes ayant rédigé un commentaire. Certains commentaires n’en contiennent aucune, tandis que d’autres en affichent », explique-t-il.
D’après nos constatations, il y a une petite vingtaine de photos, dont une seule avec une pièce d’identité tronquée. Pour le reste, ce sont des photos de la ville de Paris, de personnes… Il y a aussi un chien et des poubelles.
CheckNews a aussi repéré un même email « utilisé jusqu’à 20 fois, avec des pseudonymes différents ». Des propositions étaient aussi associées à un email de Sarah Knafo, mais cette dernière affirme à nos confrères qu’elle n’est pas à l’origine des messages. Dans ce genre de formulaire, il est possible d’indiquer n’importe quel email pour rappel.
La principale intéressée affirme à nos confrères avoir « corrigé » l’erreur. Le site participatif Paris à cœur ouvert de la candidate du parti d’extrême droite Reconquête fondé par son compagnon Eric Zemmour affiche désormais une « information importante » : « L’ultra gauche n’aime pas la démocratie et tente de pirater le site ». Rappelons qu’il n’y a a priori pas de piratage ici puisque les données étaient lisibles directement depuis la console des navigateurs.
La première ligne de la politique de confidentialité du site affirme que « Sarah Knafo pour Paris (ci-après, « Nous »), s’engage, en tant que responsable du traitement de vos Données Personnelles, à protéger votre vie privée ».
Dans la même journée, ce site de Sarah Knafo faisait l’objet d’un signalement à la procureure de la République par le sénateur Ian Brossat : « À peine en ligne, le site participatif de Mme Knafo est déjà un déferlement de propos racistes, y compris d’appels au meurtre. Le racisme n’est pas une opinion. C’est un délit », indique-t-il sur X, avec une copie de son signalement.
Check News parlait de 607 contributions à 13h30, il y en a 634 à l’heure actuelle. Mais, pour le moment, la page des contributions n’affiche plus que l’« information importante ».
Le ministère des Armées et des Anciens Combattants a annoncé [PDF] ce jeudi 8 janvier avoir signé un accord-cadre avec Mistral.
Cela doit permettre « à l’ensemble des armées, directions et services du ministère, ainsi qu’à des établissements publics dont le ministère a la tutelle, dont le Commissariat à l’énergie atomique et aux énergies alternatives, l’Office national d’études et de recherches aérospatiales et le Service hydrographique et océanographique de la marine, d’accéder aux solutions d’intelligence artificielle avancées proposées par Mistral AI ».
C’est la récente Agence ministérielle pour l’intelligence artificielle de défense (AMIAD) qui pilotera cet accord-cadre. Celui-ci permet à toutes les entités du ministère d’accéder « aux modèles, logiciels et prestations d’IA de pointe développés par Mistral AI ».
Logo Mistral
Chargée de mettre en oeuvre la stratégie ministérielle pour l’IA de défense, l’AMIAD a inauguré en septembre dernier son supercalculateur classifié installé au Mont-Valérien à Suresnes, aux portes de Paris, dont la construction avait été confiée à Orange et HPE.
Contacté par Next, Mistral n’a pas souhaité en dire plus au sujet de cet accord-cadre.
De l’autre côté de l’Atlantique, fin décembre, le ministère de la Guerre (DoW, ex-ministère de la Défense renommé en septembre) de Donald Trump annonçait des accords avec Google Gemini et xAI afin d’alimenter sa nouvelle plateforme GenAI.mil.
Alors que l’administration de Donald Trump voulait diviser par deux le budget scientifique de la NASA, après négociation entre démocrates et républicains, le Congrès des États-Unis prévoit une baisse de 1 %. Toutefois le Sénat et la Chambre des représentants ont entériné la mort du projet Mars Sample Return que les États-Unis avaient déjà quasiment abandonné.
L’année 2026 devrait être moins problématique que prévu concernant le budget scientifique de la NASA. Alors que l’administration de Donald Trump proposait dès mars 2025 une baisse de 50 %, les élus républicains et démocrates du Congrès des États-Unis ont négocié qu’il baisse de 1 %, rendant à l’agence spatiale états-unienne les moyens dont elle a besoin pour effectuer ses recherches.
Une baisse de 2 % du budget total de la NASA au lieu des 25 % prévus par Trump
Comme l’explique ArsTechnica, le projet de budget total de la NASA avec notamment l’exploration spatiale (comprenant les missions vers la Lune voulues par Donald Trump) prévu par les élus pour 2026 devrait atteindre les 24,4 milliards de dollars. C’est 2 % de moins que les 24,9 milliards de dollars du budget de l’agence pour 2025, une baisse aussi beaucoup moins importante que celle voulue par Donald Trump qui avait prévu de l’amputer d’un quart. À titre de comparaison, le budget de l’ESA est de 22,1 milliards d’euros pour 2026, avec 3,787 milliards d’euros pour le programme scientifique.
« Franchement, c’est mieux que ce que j’aurais pu espérer. Il y a très peu de choses à redire à ce sujet », a déclaré Casey Dreier, responsable de la politique spatiale pour The Planetary Society à nos confrères, même s’il regrette la perte de temps et d’énergie qu’ont dû endurer ses équipes pour réfléchir à la manière de fonctionner avec les coupes drastiques prévues par Donald Trump.
Cette décision n’annulera cependant pas le plan de départs volontaires mis en place l’année dernière au sein de l’agence ni la fermeture de bâtiments et de services comme la principale bibliothèque.
Plus de budget pour Mars Sample Return
Le compromis sur le budget [PDF], explique par contre que « l’accord ne soutient pas le programme Mars Sample Return (MSR) existant ». C’est donc l’arrêt définitif du financement par les États-Unis du retour des échantillons géologiques de sol martien récoltés par le rover Perseverance. Le programme était déjà sur la sellette avant le retour de Trump au pouvoir. En avril 2024, la NASA lançait un appel pour trouver des solutions moins coûteuses.
En octobre dernier, des chercheurs de la NASA et de l’ESA publiaient quatre articles sur le sujet de la récupération de ces échantillons dans la revue scientifique Astrobiology. Une autre équipe de chercheurs proposait son regard sur la question dans la même revue en décembre dernier. Une des questions, explique l’ESA dans ce billet de blog est d’éviter la contamination des échantillons avec la chimie terrestre.
Mais le Congrès des États-Unis met donc une croix quasiment définitive sur le financement du projet de son côté de l’Atlantique. « Cependant, les capacités technologiques développées dans le cadre du programme MSR sont non seulement essentielles à la réussite des futures missions scientifiques, mais aussi à l’exploration humaine de la Lune et de Mars », explique quand même le document de compromis sur le budget.
« Par conséquent, l’accord prévoit une demande de 110 000 000 dollars pour le programme Mars Future Missions, y compris les efforts MSR existants, afin de soutenir les systèmes radar, spectroscopie, entrée, descente et atterrissage, ainsi que les technologies précurseurs translationnelles qui permettront de mener à bien les missions scientifiques de la prochaine décennie, y compris les missions lunaires et martiennes ».
« Mars Future Missions » n’était jusque là pas un nom de programme connu au sein de la NASA. L’argent prévu pour cette nouvelle mission pourrait permettre à la NASA d’appuyer sur le bouton reset, selon Jack Kiraly, directeur des relations gouvernementales à la Planetary Society cité par la revue Science.
ZefZERO, le plan B de l’ESA pour utiliser autrement l’Earth Return Orbiter
Vu les projets de coupes drastiques dans le budget de la NASA de Trump l’année dernière et les déboires passés du programme MSR, l’ESA a présenté en novembre dernier un plan B, nommé ZefZERO pour réutiliser sa contribution principale au projet, l’Earth Return Orbiter. Celui-ci devait récupérer les échantillons après s’être positionné en orbite martienne.
Dans cette nouvelle mission européenne, l’orbiteur devrait mesurer des vents martiens à différentes altitudes de la planète rouge, selon La Tribune. « Ces mesures directes de vents n’ont jamais été faites en dehors de la Terre à ce jour. Ce serait vraiment une première », expliquait Daniel Neuenschwander, le directeur de l’exploration humaine et robotique de l’ESA.
Illustrée par une vague de deepfakes visant à dénuder des femmes sur X, la permissivité de l’IA générative Grok en matière de détournements de photos soumises par des internautes n’en finit plus de faire des vagues, en France comme dans le reste du monde. Récap’ au long cours d’une ténébreuse affaire…
« Grok, mets la en bikini ». Déjà étendue aux propos négationnistes tenus par Grok, l’enquête sur X lancée par le parquet de Paris à l’été 2025 a gagné début janvier un nouveau volet, relatif à la vague d’images de femmes virtuellement dénudées sans leur consentement. Depuis, les réactions et les menaces de rétorsion s’enchaînent, en Europe comme dans le reste du monde, compliquant la compréhension de la controverse qui enfle.
Pour essayer d’en simplifier le suivi, Next se propose de centraliser les différents rebondissements de l’affaire au sein de cet article, avec une lecture antéchronologique des faits. Cet article est donc susceptible d’être actualisé.
Publication initiale le 9 janvier à 12 heures. Dernière modification le 9 janvier à 16h15.
9 janvier – Grok dit restreindre la création d’images aux comptes payants
xAI et surtout Elon Musk auraient-ils fini par prendre la mesure du phénomène ? Vendredi matin, l’éditeur de Grok semble avoir introduit une mesure de protection inédite : le service indique, en réponse à une requête d’internaute, que la génération d’images est désormais réservée aux détenteurs d’un abonnement payant à Grok.
À 44,33 euros par mois (prix de Grok Premium+ en facturation mensuelle), cette restriction est censée réduire le volume d’images problématiques générées par Grok et diffusées sur X. En revanche, elle ne s’accompagne, pour l’instant, d’aucune modification identifiée de la politique de modération du modèle.
Vendredi 9 janvier matin, Grok répond à une demande de transformation d’une photo de femme en version dénudée que la génération et l’édition d’images est « pour l’instant » limitée aux abonnés payants
La soi-disant restriction se révèle cependant moins stricte qu’il n’y paraissait au premier abord, comme l’a fait remarquer The Verge : en réalité, la génération d’image est bloquée pour les comptes gratuits lorsque l’internaute demande à Grok d’intervenir dans le déroulé d’une conversation.
Elle reste cependant accessible aux comptes gratuits par d’autres canaux : il suffit par exemple de cliquer sur une photo affichée dans le flux à partir de la version desktop de X pour se voir proposer l’option de modification par Grok. À 16 heures vendredi sur un compte X non premium hébergé en France, la requête visant à dénuder le sujet de la photo restait dans ce contexte bien accessible.
La restriction aux comptes gratuits prend des airs de faux-semblants… capture Next
9 janvier – 107 millions de dollars de CA et 1,46 milliards de pertes pour xAI au 3e trimestre
L’entreprise d’IA pilotée par Elon Musk peut s’enorgueillir d’avoir bouclé début janvier une importante levée de fonds de 20 milliards de dollars, qui va notamment lui permettre de financer la construction d’un nouveau datacenter, Colossus III, annoncé comme l’un des plus importants calculateurs dédiés à l’IA au monde. Si xAI poursuit sa très ambitieuse trajectoire d’investissement, les actionnaires doivent pour l’instant accepter de financer une société qui brûle aujourd’hui dix fois plus de cash qu’elle n’en engrange.
D’après les chiffres dévoilés vendredi matin par Bloomberg, xAI aurait en effet enregistré 107 millions de dollars de chiffre d’affaires sur le troisième trimestre 2025, clos au 30 septembre dernier. Elle aurait dans le même temps déclaré une perte nette de 1,46 milliard de dollars. En cumulé, le déficit se monterait à 7,8 milliards de dollars depuis le début 2025.
8 janvier – la Belgique et le Royaume-Uni menacent de suspendre X
En Belgique, la ministre fédérale en charge du Numérique Vanessa Matz a déclaré jeudi 8 janvier qu’elle analysait les différents leviers possibles pour suspendre l’accès à Grok et donc potentiellement à X, tant que le réseau social d’Elon Musk ne respectait pas ses obligations. La récente loi belge contre le revenge porn donnerait un levier actionnable pour une telle éviction, a-t-elle estimé.
« Ces atteintes graves à la dignité humaine relèvent d’un choix assumé de la plateforme, a déclaré la ministre, citée par le Soir. Elon Musk orchestre un coup de communication et de marketing fondé sur un usage profondément immoral de son intelligence artificielle, allant jusqu’à tourner ces violences en dérision, comme en témoigne la publication d’une photo de lui-même en bikini pour illustrer son prétendu intérêt pour la question ».
Même son de cloche outre-Manche, où c’est le Premier ministre Keir Starmer qui est monté au créneau jeudi, affirmant qu’il avait demandé à l’Ofcom (l’Arcom locale) d’étudier toutes les options possibles pour mettre un terme aux dérives permises par X et Grok : « C’est scandaleux. C’est révoltant et intolérable. X doit se ressaisir et retirer ce contenu. Nous prendrons des mesures car c’est tout simplement intolérable ». Le très controversé Online Safety Act donne en théorie au gouvernement britannique des moyens d’action.
8 janvier – un mode spicy voulu par Elon Musk ?
Quelle est la responsabilité directe d’Elon Musk dans la souplesse de xAI vis-à-vis de son modèle ? Et le développement de ces deepfakes à connotation sexuelle pourrait-il être intentionnel ? C’est la question posée jeudi par CNN. Le média souligne qu’en août dernier, Musk rappelait, clin d’œil à l’appui, que c’est la diffusion de contenus osés qui avait favorisé la victoire du VHS sur le format concurrent Betamax, à l’époque des cassettes vidéo.
Et d’après CNN, l’entrepreneur se serait ému à plusieurs reprises, en interne chez xAI, des restrictions imposées à Grok. Ses envies décomplexées ont-elles contribué au départ, signalé mi-novembre par The Information, d’une bonne partie des équipes en charge de la confiance et de la sécurité chez xAI ? À défaut d’être confirmée, l’hypothèse est soulevée par plusieurs commentateurs.
8 janvier – une victime de la police de l’immigration dénudée par Grok
Un cran supplémentaire dans l’abject ? Jeudi, plusieurs internautes se sont émus d’un nouveau montage permis par Grok et diffusé sur X : une version déshabillée de Renee Nicole Good, tuée la veille en plein jour et en pleine rue, à Minneapolis, par l’ICE, la police états-unienne de l’immigration.
Non content de livrer l’image demandée, l’IA générative accompagne les remerciements d’un message sarcastique (par ailleurs récurrent) sur les dysfonctionnements de garde-robe qu’elle corrige.
« Qu’est-ce qui a bien pu se passer chez l’équipe de @xAI ? Pour que leur produit permette à Grok de créer ce genre de contenu ? », s’émeut un internaute relayant la séquence en question.
Alors que des manifestations enflent à Minneapolis en raison d’un tir mortel attribué à l’ICE, Grok déshabille la victime sur X
8 janvier – L’Europe impose à X une mesure conservatoire
La Commission européenne a annoncé jeudi avoir pris une « ordonnance de conservation » qui impose à X « de conserver tous ses documents internes relatifs à Grok, et ce jusqu’à la fin 2026 », d’après un porte-parole cité par l’AFP.
Cette mesure juridique vise à garantir à l’exécutif européen la capacité à remonter les archives de X, soit dans le cadre des enquêtes déjà ouvertes à l’encontre du réseau social de xAI et d’Elon Musk, soit pour alimenter de nouvelles procédures.
7 janvier – Grok génèrerait 6 700 images à caractère sexuel par heure
Menée pendant 24 heures par une chercheuse indépendante et relayée par Bloomberg, une étude exhaustive des images produites par Grok entre les 5 et 6 janvier conclut que l’IA d’Elon Musk a généré, en moyenne et sur demande d’internautes, 6 700 images par heure relevant d’une démarche de sexualisation ou de nudité de la personne ciblée.
6 janvier – « the deepfake porn site formerly known as Twitter »
Mardi, le Financial Times est sorti de sa réserve habituelle, avec un papier au vitriol passant en revue l’état-major de X, illustré à l’aide de visuels modifiés par Grok. Directeur financier, investisseur historique, responsable de la conformité… tous se voient affublés de costumes de clown. La galerie de portraits est surmontée par un titre au vitriol : « Qui est qui chez X, le site de porno deepfake anciennement connu sous le nom de Twitter ? ». En ces temps troublés, on apprécie de voir que l’humour britannique n’a rien perdu de sa superbe.
6 janvier : Des victimes de l’incendie de Crans-Montana dénudées
Grok a répondu favorablement à des requêtes lui demandant de dénuder des victimes mineures du terrible incendie de Crans-Montana, qui a endeuillé la nuit du Nouvel-An : tel est le constat glaçant dressé notamment par l’édition suisse de 20 minutes. « En Suisse, la loi ne mentionne pas les deepfakes, mais leurs créateurs peuvent être poursuivis pour atteinte à la sphère intime, atteinte à la personnalité ou encore atteinte à l’honneur », remarque le quotidien gratuit.
Trois jours plus tôt, Elon Musk avait affirmé, sur X, que quiconque utilisait Grok pour produire des contenus illicites subirait les mêmes conséquences que s’il uploadait du contenu illicite, souligne Futurism dans sa propre chronologie de l’affaire.
5 janvier : l’Ofcom britannique et l’Europe tirent la sonnette d’alarme
Lundi 5 janvier, c’est sur X que l’Office of communications (Ofcom), l’autorité régulatrice des télécommunications au Royaume-Uni, a choisi de réagir à la polémique. « Nous avons contacté en urgence X et xAI afin de comprendre les mesures qu’ils ont prises pour se conformer à leurs obligations légales en matière de protection des utilisateurs au Royaume-Uni. En fonction de leur réponse, nous procéderons rapidement à une évaluation afin de déterminer s’il existe des problèmes de conformité potentiels justifiant une enquête ».
La Commission européenne a de son côté abordé le sujet lors d’une séance de questions-réponses avec la presse animée par l’un de ses porte-paroles, Thomas Regnier. Ce dernier a affirmé que Bruxelles regardait le sujet avec beaucoup d’attention, et a condamné sans ambages la permissivité de Grok. « C’est illégal. C’est scandaleux. C’est révoltant. Voilà comment nous le voyons, et cela n’a pas sa place en Europe », a-t-il déclaré, sans préciser à ce stade quelles mesures de rétorsion pourraient être envisagées.
Cette année, l’Autorité de la concurrence va rendre un avis sur les agents conversationnels, et notamment les conséquences pour l’e-commerce via des IA. Une révolution à venir qui nécessite des adaptations aussi bien côté revendeurs que fournisseurs de services et des solutions de paiement.
Après le cloud et l’IA générative, l’Autorité de la concurrence s’autosaisit d’un nouveau dossier, dans le prolongement des précédents : les agents conversationnels. Pour le dire plus simplement, on parle des « chatbots » tels que ChatGPT d’OpenAI, Claude d’Anthropic ou encore Le Chat de Mistral, pour ne citer que ces trois-là.
Ne pas confondre chatbot et agents conversationnels
Attention, précise l’Autorité, à ne pas amalgamer tous les chatbots. Son avis du jour ne concerne que les « agents conversationnels de type ChatGPT », pas l’ensemble des chatbots. En effet, ceux « qui gèrent les interactions avec des clients à l’aide d’un arbre de décision ne faisant pas nécessairement appel à l’intelligence artificielle » sont laissés de côté. De même que les « assistants virtuels fondés sur l’IA générative, comme Siri d’Apple, Alexa d’Amazon ».
L’Autorité de la concurrence dresse le portrait du secteur, qui s’organise autour de quelques grands acteurs : « ChatGPT d’OpenAI, serait le premier outil conversationnel avec 21,6 millions de visiteurs uniques au mois de septembre 2025. Derrière lui se trouverait Google Gemini (2,8 millions), Le « Chat » de Mistral AI (1,5 million), Perplexity (1,3 million), Microsoft Copilot (1 million) ».
On parle ici d’agents conversationnels « capables de comprendre le langage naturel, de répondre à des questions, de générer du texte, d’expliquer du code ou encore de créer des contenus visuels ». C’est un secteur « en pleine effervescence », selon l’Autorité.
Les acteurs cherchent à diversifier les possibilités et à monétiser
Dans le précédent dossier sur l’IA générative, l’Autorité s’est déjà penchée sur la base des agents conversationnels – les fameux modèles de fondation ; ce n’est donc pas l’objet de l’autosaisie du jour. Les entreprises derrière ces agents conversationnels « cherchent à diversifier les possibilités d’utilisation »… et s’intéressent surtout aux possibilités de monétisation « afin que ces services deviennent rentables ». Actuellement, les entreprises d’IA dépensent des milliards de dollars comme des petits pains.
Dans son enquête, l’Autorité va donc s’intéresser à plusieurs thématiques : l’intégration de la publicité (modalités d’affichage et conséquence sur le modèle économique), l’intégration des agents dans les services existants (effets de levier et autoréférence), car ces agents sont « mis en œuvre par des acteurs dominants », les partenariats et enfin la transformation des agents conversationnels en plateformes.
Les agents ne sont pas simplement des interfaces de questions et réponses, ils « tendent à devenir de véritables plateformes, permettant aux utilisateurs d’accéder directement à des services tiers sans quitter la fenêtre de conversation ». Une fonction qui tend à se développer avec les agents d’IA, c’est-à-dire des IA capables « d’agir en votre nom », pour reprendre une citation de Sundar Pichai (patron de Google) et d’interagir entre elles.
Des agents toujours plus présents et avec davantage « d’autonomie »
L’Autorité consacre d’ailleurs une partie de son communiqué à la question du (e-)commerce agentique. Non seulement les « éditeurs déploient des efforts importants pour développer des agents accompagnant les utilisateurs dans leur parcours d’achat », mais de manière plus générale « c’est tout l’écosystème de la vente en ligne qui pourrait devoir s’adapter à l’irruption et au développement du commerce agentique ».
Contrairement au sujet du cloud où l’Autorité avait bien pris son temps avant de s’autosaisir, elle est cette fois-ci bien plus réactive. Des agents d’IA et notamment pour de l’e-commerce, sont certes déjà une réalité, mais nous sommes encore au début de cette technologie.
L’Autorité va par contre laisser de côté tout un pan du sujet : « la relation entre les agents conversationnels et les moteurs de recherche ne fait pas partie du champ de l’avis ». Pourtant, ces agents sont de plus en plus utilisés comme moteur de recherche, avec des enjeux importants sur la diversité des sources. En plus du bien connu SEO (Search Engine Optimization), le GEO (Generative Engine Optimization) a largement le vent en poupe. Dommage, le sujet mériterait pourtant de s’y attarder.
Comme toujours en pareille situation, l’Autorité de la concurrence lancera prochainement une consultation publique, avant de rendre son avis dans le courant de l’année. « Les observations des parties prenantes viendront nourrir les travaux de l’Autorité ».
Dans un rapport pour Infostealers, la société spécialisée en cybersécurité Hudson Rock explique qu’un pirate est « en train de mettre aux enchères des données exfiltrées des portails de partage de fichiers d’environ 50 grandes entreprises mondiales ». Le pirate est entré dans des applications comme ShareFile, OwnCloud et Nextcloud qui permettent de stocker et partager des fichiers. Il n’avait plus qu’à se servir.
Le rapport explique que « ces défaillances catastrophiques de sécurité n’étaient pas le résultat d’exploitation de faille zero-day dans l’architecture de la plateforme, mais plutôt des suites d’infections malveillantes sur les appareils des employés, combiné à manque cruel de mise en place de l’authentification multi-facteurs (MFA) ».
Une des plateformes concernées, ownCloud, s’est fendue d’un billet de blog pour alerter ses utilisateurs. Elle rappelle qu’il ne s’agit pas d’une faille ni d’un piratage. Elle enjoint ses utilisateurs à activer la double authentification (ou authentification multi-facteurs) au plus vite si ce n’est pas déjà fait : « Des acteurs malveillants ont obtenu des identifiants utilisateurs via des logiciels malveillants de type infostealer installés sur les appareils des employés ». Sans double authentification, le pirate peut accéder au compte.
Ce rapport n’est qu’une goutte d’eau dans l’océan des manquements liés à la cybersécurité, mais il illustre bien les risques causés par un problème sur un compte. Si la double authentification n’est pas une protection absolue contre le piratage, c’est déjà une barrière de sécurité robuste et facile à mettre en œuvre, du moins si le service la propose.
La CNIL recommande évidemment d’utiliser l’authentification multifacteurs et va même plus loin. « En raison du grand nombre de violations intervenues l’an dernier [il était question de 2024, mais 2025 n’était pas mieux, ndlr] sur des bases de clients/prospects et usagers, la CNIL estime qu’un effort spécifique de sécurisation est nécessaire », expliquait-elle en avril dernier.
Ainsi, elle « renforcera dès 2026 sa politique de contrôle pour s’assurer de la mise en place de l’authentification multifacteur pour ces grandes bases de données. L’absence de cette mesure pourra justifier que soit initiée une procédure de sanction ».
Enfin, la Commission rappelle « que la mise en place d’une authentification multifacteur était déjà jugée en principe nécessaire au titre du RGPD pour des bases de données comprenant des données sensibles ou des données dont la violation exposerait les personnes à des risques importants (données bancaires et numéro de sécurité sociale notamment) ».
Connexion
Élections Municipales – Le site internet de l'euro-députée Sara Knafo expose toutes les données personnelles des parisiens qui expriment leurs souhaits pour un futur Paris !
