On s’en souviendra, de 2025. C’est l’année où la sécurité numérique en France a pris une sacrée claque, coincée entre des attaques brutales qui mettent tout à l’arrêt et un pillage silencieux de nos vies privées. Le 4 décembre, c’est Leroy Merlin qui a trinqué (accès abonné). Encore un. L’enseigne a dû avouer une intrusion massive ; alors certes, ils nous jurent la main sur le cœur que les données bancaires sont sauves, mais des centaines de milliers de noms et d’adresses se baladent désormais dans la nature. C’est devenu la routine, une sorte de fatalité, surtout pour la galaxie Mulliez qui, après Auchan, semble avoir une cible peinte dans le dos, sans parler du fiasco France Travail.
Le fracas des cyber attaques
Face à ce carnage – on parle quand même d’un doublement des victimes en un an – l’État a tenté de siffler la fin de la récré avec l’opération Rempar25. Un sacré barnum piloté par l’ANSSI : imaginez un millier de boîtes et 5 000 personnes sur le pont pour jouer à « et si tout s’effondrait ? ». Le scénario était digne d’un thriller : un antivirus vérolé qui efface tout, suivi d’une demande de rançon. Au-delà de la technique, c’était surtout un test de nerfs pour voir si les chefs craquent quand les écrans deviennent noirs. Parce que soyons honnêtes, la seule chose qui sépare un pépin informatique d’une catastrophe nationale, c’est la capacité humaine à ne pas paniquer.
L’industrie du mouchard
Mais pendant qu’on regarde les cybercriminels défoncer la porte d’entrée, d’autres rentrent par la fenêtre, et c’est peut-être pire. Une enquête du Monde a levé le voile sur les « data brokers » (accès abonné), ces courtiers de l’ombre qui ont transformé nos smartphones en mouchards de poche. C’est effrayant de banalité. Prenez la société Datastream : en une seule journée, ils ont aspiré les infos de 47 millions d’appareils, dont un million rien qu’en France.
Leur technique ? C’est vicieux, mais c’est du génie malfaisant. Ça passe souvent par des petits bouts de code, des SDK, que les développeurs intègrent naïvement dans leurs applis pour gagner du temps ou trois sous de pub. Sans le savoir, ils installent un cheval de Troie qui exfiltre tout. L’autre méthode, c’est le Far West des enchères publicitaires (le fameux RTB). À chaque fois qu’une pub doit s’afficher sur votre écran, votre profil et votre position GPS exacte sont envoyés en quelques millisecondes à des dizaines d’annonceurs pour qu’ils fassent une offre. Le hic, c’est que tout le monde reçoit l’info, même ceux qui n’achètent pas la pub. C’est un buffet à volonté pour les espions qui n’ont qu’à se baisser pour ramasser la data.
Une bombe à retardement pour l’Etat
Et ne me parlez pas d’anonymat. C’est une vaste blague. Avec l’identifiant publicitaire unique de votre téléphone, il suffit de relier les points : dodo la nuit, boulot le jour, et hop, on sait qui vous êtes. Les journalistes ont réussi à identifier une retraitée bretonne juste en traquant ses habitudes de jeu sur mobile. Pire, en croisant ça avec des applis de prière, de santé ou Grindr, on rentre dans l’intimité la plus crue des gens.
Le problème, c’est que ça ne s’arrête pas au petit voyeurisme commercial. C’est une brèche béante pour la sécurité nationale. Des boîtes vendent ces outils de surveillance clé en main à des gouvernements étrangers. On peut savoir qui était dans telle manif, ou pire, qui bosse dans une centrale nucléaire ou un service de renseignement. Les agents allemands du BND en ont déjà fait les frais, pistés à la trace comme de vulgaires colis Amazon. Et le RGPD dans tout ça ? Une passoire. La chaîne de responsabilité est tellement complexe, avec des intermédiaires planqués partout, que la CNIL court après des fantômes. On clique sur « J’accepte » sans lire, et voilà comment, entre deux cyberattaques, on laisse notre souveraineté fuiter par le fond.
« Accepter de perdre ses enfants »
La phrase fait froid dans le dos, mais il fallait qu’elle soit dite. Il y a quelques semaines, devant le Congrès des Maires, le général Fabien Mandon, chef d’état-major particulier du Président, a lâché cette bombe : la France doit « accepter de perdre ses enfants ». Comprenez : la dissuasion, la vraie, ne marche que si l’adversaire est convaincu qu’on est prêt au sacrifice ultime. Qu’on ne bluffe pas.
Le souci, c’est que dans le cyberespace, personne ne nous croit. Notre crédibilité est proche du néant. C’est exactement pour ça qu’a eu lieu Rempar25 en septembre (les conclusions sont dispos ici, pour les courageux). Parce que nos « enfants », ce sont aussi ces jeunes talents, ces experts qui devront monter au front pour sauver les meubles quand le prochain blackout numérique frappera. Le vrai. Celui qui ne sera pas un exercice.
Un contenu de qualité, sans publicité.
Vous aimez notre travail ? Soutenez notre indépendance en devenant membre sur Patreon.
Soutenir MyChromebook.frMais n’attendons pas le sauveur providentiel. La première ligne de défense, c’est nous. C’est le clic qu’on ne fait pas. C’est l’appli « gratuite » qu’on n’installe pas parce qu’elle pue l’arnaque. Il faut arrêter de se cacher derrière l’excuse du « je suis nul en informatique ». C’est bidon. Pas besoin de savoir coder pour lire des conditions d’utilisation ou pour comprendre que si c’est gratuit, c’est vous le produit. Soyez curieux, paranoïaques s’il le faut. Ces données sont à vous. Défendez-les. Pour que demain nos enfants ne meurent pas à cause d’elles.
FAQ (Foire Aux Questions) dont les données ne seront pas volées
Mes données bancaires sont-elles en danger avec l’attaque Leroy Merlin ?
Officiellement, non. Mais attention, vos données de contact (adresse, téléphone), elles, sont dans la nature. C’est la matière première idéale pour des arnaques au phishing bien ficelées dans les mois à venir.
C’est quoi le plus dangereux : un hacker ou une appli gratuite ?
Le hacker vous attaque de front, mais l’appli vous trahit en silence. Via les « data brokers », une simple application de jeu peut révéler plus de choses sur votre intimité (santé, religion, déplacements) qu’un vol de mot de passe classique.
Le mode « navigation privée » me protège-t-il de ce pistage ?
Absolument pas. Le tracking décrit ici se base sur l’identifiant unique de votre téléphone et votre GPS, pas sur vos cookies de navigateur. Dès qu’une pub s’affiche dans une appli, vous êtes potentiellement borné.
Le lexique de la surveillance (sans le jargon)
Data Broker (Courtier de données) C’est le grossiste de votre vie privée. Il ne vous connaît pas, mais il achète vos traces numériques en vrac (GPS, habitudes) à plein d’applications différentes pour recréer un profil complet et le revendre cher.
SDK (Software Development Kit) Le cheval de Troie moderne. C’est un bout de code « prêt à l’emploi » que les développeurs mettent dans leurs applis pour aller plus vite. Le piège, c’est que ce code contient souvent des mouchards qui envoient vos infos à des tiers sans que personne ne s’en rende compte.
RTB (Real Time Bidding) Imaginez une vente aux enchères qui dure 0,1 seconde. À chaque fois qu’une pub doit s’afficher sur votre écran, votre profil est envoyé à des centaines d’annonceurs pour savoir qui veut payer. Le problème ? Tout le monde voit vos infos, même ceux qui ne paient pas.
Rempar25 Le grand test de stress de l’État. C’est une simulation géante d’une cyberattaque nationale pour voir si les ministères et les grandes boîtes arrivent à gérer la panique quand plus rien ne marche.
