Ce midi, Clément Domingo (alias SaxX sur les réseaux sociaux) explique, capture d’écran à l’appui, que « le site internet de l’euro-députée Sara Knafo expose toutes les données personnelles des parisiens qui expriment leurs souhaits pour un futur Paris ! ».

Élections Municipales – Le site internet de l'euro-députée Sara Knafo expose toutes les données personnelles des parisiens qui expriment leurs souhaits pour un futur Paris !

Attention aux sites internet "vibecodé"… qui exposent/exposeront les données personnelles des… pic.twitter.com/S6pojT781V

— SaxX ¯\_(ツ)_/¯ (@_SaxX_) January 9, 2026

1h30 plus tard, CheckNews confirme. En quelques clics, nos confrères ont « pu constater que ces données privées étaient effectivement accessibles ce vendredi midi. Parmi les 607 contributions enregistrées, nous avons pu distinguer 458 mails uniques, 437 adresses IP, et 187 numéros de téléphone renseignés ».

Lorsque SaxX a publié son message sur X, la faille était donc toujours présente, permettant ainsi à n’importe qui de récupérer les données. D’ailleurs, sur Breachforum, on retrouve déjà des publications à ce sujet. Un des membres « s’amuse » d’ailleurs de la situation : « Ce n’est pas une divulgation responsable, tu es un pirate informatique, SaxX ! Bienvenue du côté obscur ».

La coupe est pleine ? Peut être pas… selon Seblatombe, toujours sur X : « Pire encore, les cartes et photos d’identités apparaissent en clairs dans le code. Les photos ne sont pas demandées par le site. Elles sont publiées de manière volontaire par certaines personnes ayant rédigé un commentaire. Certains commentaires n’en contiennent aucune, tandis que d’autres en affichent », explique-t-il.

D’après nos constatations, il y a une petite vingtaine de photos, dont une seule avec une pièce d’identité tronquée. Pour le reste, ce sont des photos de la ville de Paris, de personnes… Il y a aussi un chien et des poubelles.

Pire encore, les cartes et photos d'identités apparaissent en clairs dans le code.. https://t.co/LQyKbJ8TaG pic.twitter.com/3HdagY1vBM

— Seb (@seblatombe) January 9, 2026

CheckNews a aussi repéré un même email « utilisé jusqu’à 20 fois, avec des pseudonymes différents ». Des propositions étaient aussi associées à un email de Sarah Knafo, mais cette dernière affirme à nos confrères qu’elle n’est pas à l’origine des messages. Dans ce genre de formulaire, il est possible d’indiquer n’importe quel email pour rappel.

La principale intéressée, qui s’est déclarée le 7 janvier dernier candidate à la mairie de Paris, affirme à nos confrères avoir « corrigé » l’erreur. Le site participatif Paris à cœur ouvert de la candidate du parti d’extrême droite Reconquête fondé par son compagnon Eric Zemmour affiche désormais une « information importante » : « L’ultra gauche n’aime pas la démocratie et tente de pirater le site ». Rappelons qu’il n’y a a priori pas de piratage ici puisque les données étaient lisibles directement depuis la console des navigateurs.

La première ligne de la politique de confidentialité du site affirme que « Sarah Knafo pour Paris (ci-après, « Nous »), s’engage, en tant que responsable du traitement de vos Données Personnelles, à protéger votre vie privée ».

Dans la même journée, ce site de Sarah Knafo faisait l’objet d’un signalement à la procureure de la République par le sénateur Ian Brossat : « À peine en ligne, le site participatif de Mme Knafo est déjà un déferlement de propos racistes, y compris d’appels au meurtre. Le racisme n’est pas une opinion. C’est un délit », indique-t-il sur X, avec une copie de son signalement.

Check News parlait de 607 contributions à 13h30, il y en a 634 à l’heure actuelle. Mais, pour le moment, la page des contributions n’affiche plus que l’« information importante ».

Toujours pas d’agent Smith ?

Cette année, l’Autorité de la concurrence va rendre un avis sur les agents conversationnels, et notamment les conséquences pour l’e-commerce via des IA. Une révolution à venir qui nécessite des adaptations aussi bien côté revendeurs que fournisseurs de services et des solutions de paiement.

Après le cloud et l’IA générative, l’Autorité de la concurrence s’autosaisit d’un nouveau dossier, dans le prolongement des précédents : les agents conversationnels. Pour le dire plus simplement, on parle des « chatbots » tels que ChatGPT d’OpenAI, Claude d’Anthropic ou encore Le Chat de Mistral, pour ne citer que ces trois-là.

Ne pas confondre chatbot et agents conversationnels

Attention, précise l’Autorité, à ne pas amalgamer tous les chatbots. Son avis du jour ne concerne que les « agents conversationnels de type ChatGPT », pas l’ensemble des chatbots. En effet, ceux « qui gèrent les interactions avec des clients à l’aide d’un arbre de décision ne faisant pas nécessairement appel à l’intelligence artificielle » sont laissés de côté. De même que les « assistants virtuels fondés sur l’IA générative, comme Siri d’Apple, Alexa d’Amazon ».

L’Autorité de la concurrence dresse le portrait du secteur, qui s’organise autour de quelques grands acteurs : « ChatGPT d’OpenAI, serait le premier outil conversationnel avec 21,6 millions de visiteurs uniques au mois de septembre 2025. Derrière lui se trouverait Google Gemini (2,8 millions), Le « Chat » de Mistral AI (1,5 million), Perplexity (1,3 million), Microsoft Copilot (1 million) ».

On parle ici d’agents conversationnels « capables de comprendre le langage naturel, de répondre à des questions, de générer du texte, d’expliquer du code ou encore de créer des contenus visuels ». C’est un secteur « en pleine effervescence », selon l’Autorité.

Les acteurs cherchent à diversifier les possibilités et à monétiser

Dans le précédent dossier sur l’IA générative, l’Autorité s’est déjà penchée sur la base des agents conversationnels – les fameux modèles de fondation ; ce n’est donc pas l’objet de l’autosaisie du jour. Les entreprises derrière ces agents conversationnels « cherchent à diversifier les possibilités d’utilisation »… et s’intéressent surtout aux possibilités de monétisation « afin que ces services deviennent rentables ». Actuellement, les entreprises d’IA dépensent des milliards de dollars comme des petits pains.

• IA générative : l’Autorité de la concurrence s’autosaisit et lance une consultation
• Quand les patrons de la tech s’inquiètent d’un risque de bulle IA

Dans son enquête, l’Autorité va donc s’intéresser à plusieurs thématiques : l’intégration de la publicité (modalités d’affichage et conséquence sur le modèle économique), l’intégration des agents dans les services existants (effets de levier et autoréférence), car ces agents sont « mis en œuvre par des acteurs dominants », les partenariats et enfin la transformation des agents conversationnels en plateformes.

Les agents ne sont pas simplement des interfaces de questions et réponses, ils « tendent à devenir de véritables plateformes, permettant aux utilisateurs d’accéder directement à des services tiers sans quitter la fenêtre de conversation ». Une fonction qui tend à se développer avec les agents d’IA, c’est-à-dire des IA capables « d’agir en votre nom », pour reprendre une citation de Sundar Pichai (patron de Google) et d’interagir entre elles.

Des agents toujours plus présents et avec davantage « d’autonomie »

Une norme ouverte est en train de se développer à ce sujet : MCP pour Model Context Protocol. OpenAI saute les deux pieds dedans et propose même aux développeurs d’intégrer leurs applications directement dans ChatGPT. Pour prendre le contrôle sur le web, les sociétés développent leurs propres navigateurs (OpenAI et Perplexity) ou bien proposent des extensions qui peuvent prendre le contrôle du navigateur (c‘est le cas d’Anthropic).

• C’est quoi l’IA agentique ?

L’Autorité consacre d’ailleurs une partie de son communiqué à la question du (e-)commerce agentique. Non seulement les « éditeurs déploient des efforts importants pour développer des agents accompagnant les utilisateurs dans leur parcours d’achat », mais de manière plus générale « c’est tout l’écosystème de la vente en ligne qui pourrait devoir s’adapter à l’irruption et au développement du commerce agentique ».

Contrairement au sujet du cloud où l’Autorité avait bien pris son temps avant de s’autosaisir, elle est cette fois-ci bien plus réactive. Des agents d’IA et notamment pour de l’e-commerce, sont certes déjà une réalité, mais nous sommes encore au début de cette technologie.

• L’IA de shopping d’Amazon revend des produits à l’insu et contre le gré de leurs vendeurs

L’Autorité va par contre laisser de côté tout un pan du sujet : « la relation entre les agents conversationnels et les moteurs de recherche ne fait pas partie du champ de l’avis ». Pourtant, ces agents sont de plus en plus utilisés comme moteur de recherche, avec des enjeux importants sur la diversité des sources. En plus du bien connu SEO (Search Engine Optimization), le GEO (Generative Engine Optimization) a largement le vent en poupe. Dommage, le sujet mériterait pourtant de s’y attarder.

• 250 documents suffisent à empoisonner l’entraînement d’une IA

Comme toujours en pareille situation, l’Autorité de la concurrence lancera prochainement une consultation publique, avant de rendre son avis dans le courant de l’année. « Les observations des parties prenantes viendront nourrir les travaux de l’Autorité ».

Dans un rapport pour Infostealers, la société spécialisée en cybersécurité Hudson Rock explique qu’un pirate est « en train de mettre aux enchères des données exfiltrées des portails de partage de fichiers d’environ 50 grandes entreprises mondiales ». Le pirate est entré dans des applications comme ShareFile, OwnCloud et Nextcloud qui permettent de stocker et partager des fichiers. Il n’avait plus qu’à se servir.

Le rapport explique que « ces défaillances catastrophiques de sécurité n’étaient pas le résultat d’exploitation de faille zero-day dans l’architecture de la plateforme, mais plutôt des suites d’infections malveillantes sur les appareils des employés, combiné à manque cruel de mise en place de l’authentification multi-facteurs (MFA) ».

• [Édito] Mots de passe, double authentification : grrrrr… il est temps d’agir !

Une des plateformes concernées, ownCloud, s’est fendue d’un billet de blog pour alerter ses utilisateurs. Elle rappelle qu’il ne s’agit pas d’une faille ni d’un piratage. Elle enjoint ses utilisateurs à activer la double authentification (ou authentification multi-facteurs) au plus vite si ce n’est pas déjà fait : « Des acteurs malveillants ont obtenu des identifiants utilisateurs via des logiciels malveillants de type infostealer installés sur les appareils des employés ». Sans double authentification, le pirate peut accéder au compte.

Ce rapport n’est qu’une goutte d’eau dans l’océan des manquements liés à la cybersécurité, mais il illustre bien les risques causés par un problème sur un compte. Si la double authentification n’est pas une protection absolue contre le piratage, c’est déjà une barrière de sécurité robuste et facile à mettre en œuvre, du moins si le service la propose.

La CNIL recommande évidemment d’utiliser l’authentification multifacteurs et va même plus loin. « En raison du grand nombre de violations intervenues l’an dernier [il était question de 2024, mais 2025 n’était pas mieux, ndlr] sur des bases de clients/prospects et usagers, la CNIL estime qu’un effort spécifique de sécurisation est nécessaire », expliquait-elle en avril dernier.

Ainsi, elle « renforcera dès 2026 sa politique de contrôle pour s’assurer de la mise en place de l’authentification multifacteur pour ces grandes bases de données. L’absence de cette mesure pourra justifier que soit initiée une procédure de sanction ».

Enfin, la Commission rappelle « que la mise en place d’une authentification multifacteur était déjà jugée en principe nécessaire au titre du RGPD pour des bases de données comprenant des données sensibles ou des données dont la violation exposerait les personnes à des risques importants (données bancaires et numéro de sécurité sociale notamment) ».