[Actu] Des fuites, des gros mensonges et des whoppers

[Gaël] Bonjour, vous écoutez RdGP, le podcast sérieux qui vous emmène au cœur des enjeux des droits numériques, des libertés individuelles et de la vie privée.

[Gaël] Bienvenue dans cette nouvelle revue de l'actu numérique, aujourd'hui je suis accompagné de Benjamin. Bonjour Benjamin !

[Benjamin] Salut Gaël !

[Gaël] Et on commence par comme un épisode fil rouge des fuites de données pour l'Etat, puisque la semaine dernière on parlait des fuites de données de Ficoba.

[Benjamin] Pourquoi ça a encore fui ?

[Gaël] Ça a encore fui effectivement. On parlait d'1,2 million de comptes qui ont fuiété, et le ministère de la santé s'est dit, mettez-en moi pour x10 s'il vous plaît.

[Benjamin] Mais quel... ouais, petits joueurs, allez, même pas de millions, petits joueurs.

[Gaël] Donc oui eux ils ont fait 15 millions.

[Benjamin] La bonne nouvelle, c'est que la semaine prochaine on ne sera pas à 150 millions.

[Benjamin] C'est pas possible, on est 70 millions.

[Gaël] M. de l'intérieur, ça a déjà fuité, donc il reste quoi la culture ? Si peut-être tous les gens qui ont des passes culture ou des choses comme ça, ça pourrait fuiter.

[Gaël] Bon, qu'est-ce qui a fuité ? C'est les adresses, c'est un peu tout le temps pareil, données administratives.

[Gaël] J'ai vu que... Sur l'article qu'on vous mettra en show notes.

[Gaël] euh... qui a balancé la boîte, qui a fait des conneries, Cegedim, genre en direct sur X.

[Gaël] C'est de leur faute à eux !

[Benjamin] Nous on y est pour rien.

[Gaël] Nous on y est pour rien, je trouve ça un p... Bon c'est...

[Benjamin] Au sens du RGPD t'es responsable de traitement.

[Benjamin] Donc tu peux dire « c'est pas nous, c'est eux », si c'est quand même un peu toi quand même.

[Benjamin] Un p'tit peu.

[Gaël] Je trouve ça un peu...

[Benjamin] Et en plus c'est pas très fair play, c'est pas très sympa, ouais c'est clair. Et puis alors, enfin...

[Benjamin] Évidemment il y a le nombre de données qui fuite, qui pose question et qui pose problème, mais c'est surtout quoi de la...

[Benjamin] Quand on parle de données médicales, eh ben a priori c'est des données qu'on ne peut pas...

[Benjamin] On a tendance à dire, mince, c'est le pire qui puisse arriver. Non, c'est pas le pire. Un Iban, c'est compliqué à changer, mais ça change. Une carte bleue, ça change assez facilement. Un mot de passe, ça change très facilement.

[Gaël] Alors que la santé ça change beaucoup plus difficilement.

[Benjamin] Alors que, bah ouais, si on a une maladie, ou alors, il faut que le...

[Benjamin] le ministère de la santé s'engage à guérir toutes les maladies de tous les français pour...

[Gaël] Ils n'ont pas parlé de cela récemment au Parlement ?

[Benjamin] Non, non, ils n'en ont pas parlé. Ou alors j'ai loupé l'info.

[Gaël] Bon, c'est des données qui se retrouvent en ligne.

[Gaël] Bon, ils sont pas censés le faire, les mutuelles, etc. d'aller chercher ce genre de dossier, mais...

[Benjamin] ben on sait pas, peut-être que tout d'un coup tu vas dire tiens c'est bizarre il me semblait que c'était moins cher

[Benjamin] C'est un vrai problème, c'est une vraie question à partir du moment...

[Gaël] J'ai essayé d'être pas trop complotiste.

[Benjamin] Alors sans être complotiste, dis-toi que ton boulot c'est de l'assurance et c'est de te protéger contre un risque

[Benjamin] et que tu sais qu'il y a une base de données qui va te donner un avantage concurrentiel énorme parce que ça te permettra de savoir qui potentiellement est déjà malade ou risque de tomber malade.

[Benjamin] La tentation va être grande.

[Gaël] Effectivement.

[Gaël] Donc là il y a quand même beaucoup de services parce que c'est santé...

[Gaël] ministère de l'économie et des finances.

[Gaël] Je pense que globalement ils ont tous eu des fuites de données maintenant les ministères.

[Benjamin] Ben alors non, je ne suis pas sûr, mais en tout cas il y en a beaucoup trop.

[Gaël] Et donc du coup...

[Gaël] qui... qui parlait des... justement de tous ces...

[Gaël] politiquement ou médiatiquement, il n'y a pas trop de réponse à ça, c'est à dire qu'on a l'impression que tout le monde s'en fout, c'est pas assez sexy.

[Benjamin] Ouais, alors le projet Arcady en plus c'est pas leur spécialité, les files de données ils sont pas du tout là pour ça.

[Benjamin] Mais là ils s'en inquiètent et...

[Benjamin] C'est-à-dire que déjà c'est quand même des histoires assez compliquées, c'est très technique, c'est de l'informatique.

[Benjamin] Donc c'est pas très vendeur, je pense que...

[Gaël] C'est pas tangible aussi.

[Benjamin] Ouais, et puis si on se fait voler un numéro de carte bleue et qu'on se fait voler 200 euros, ben voilà, on peut mesurer un préjudice de manière claire et précise. Là, le préjudice...

[Benjamin] Il est bien réel, il est gigantesque, mais il est très très compliqué à mesurer.

[Benjamin] et à évaluer. Et donc il faut un parallèle assez rigolo, enfin c'est rigolo, pas trop envie d'en rigoler mais...

[Benjamin] assez amusant en tout cas avec le vol au musée du Louvre.

[Benjamin] où tout le monde a vu le cambriolage avec des mecs qui sont passés par l'échelle et tout le monde s'est ému, tout le monde, tout le monde.

[Benjamin] a eu sa petite phrase, il n'y a pas une seule personnalité politique qui ne s'est pas émue du cambriolage au musée du Louvre, c'est le patrimoine de la France.

[Benjamin] qu'on m'attaque, voilà, etc. Ce qui n'est pas faux, hein, mais...

[Benjamin] plus grave pour tous les Français, tous.

[Benjamin] En tout cas les 15 millions qui sont directement concernés que des bijoux au musée du Louvre. Je ne minimise pas la gravité du cambriolage du Louvre.

[Benjamin] En tout cas, je trouve que je suis tout à fait d'accord avec le projet Arcady sur le fait qu'il y a quand même un deux poids de mesure, parce que dans un cas c'est spectaculaire...

[Benjamin] On va pas en parler.

[Gaël] Alors y'a un côté effectivement, je pense que c'est pas du tout sexy...

[Gaël] de parler de données ou quoi que ce soit et...

[Gaël] Ça ne passionne pas les grands médias.

[Gaël] les 15 millions de français qui ont leur compte qui fuite.

[Gaël] C'est pas trop le problème des bourgeois.

[Gaël] Le Louvre

[Gaël] ancien palais de Napoléon qui a été utilisé... C'est Napoléon qui était au Louvre.

[Benjamin] Tu vois ça comme ça toi.

[Gaël] Je pense que c'est comme le jour où Notre-Dame crame.

[Gaël] Oui c'est un symbole français, parisien ou quoi que ce soit, mais c'est beaucoup en fait une certaine classe qui a réagi, qui a financé, c'est pas tout le monde.

[Gaël] Pour le Louvre, je pense que tout le monde n'était pas ému non plus.

[Benjamin] Je suis pas tout à fait d'accord avec toi, je pense que le fond du problème c'est que dans un cas on voit tout de suite parce que bah voilà...

[Benjamin] On a volé une couronne, oh là là !

[Benjamin] et dans l'autre on a volé une donnée. Alors si demain madame Michu elle peut plus se faire assurer, elle peut plus prendre de mutuelle parce que ses données de santé ont fuité et que du coup le risque est trop élevé.

[Benjamin] un assureur malhonnête qui aura eu accès à ces données de santé et qui saura que ça vaut pas le coup.

[Benjamin] elle sera autrement plus embêtée dans sa vie, parce que le risque pour elle c'est de mourir.

[Benjamin] et c'est pas de pas pouvoir voir un bijou au musée du Louvre, c'est de mourir. C'est vraiment une question de vie ou de mort dont on parle là.

[Gaël] Donc c'est un sujet de lutte des classes.

[Gaël] le vol de données des citoyens françaises et français.

[Gaël] Aujourd'hui effectivement quelqu'un de riche, il pourra de toute façon se faire soigner.

[Gaël] Il est sûrement protégé par d'autres manières, au pire il a ses...

[Benjamin] Est-ce qu'il pourra se faire soigner ? Ben euh... Peut-être que oui, peut-être que... Enfin ça dépend où tu mets la limite des bourgeois aussi hein.

[Benjamin] Enfin traiter un cancer, ça arrive à énormément de Françaises être Français, ça coûte super cher, vraiment super cher, et si t'as pas de mutuelle, t'as beau être bourgeois ou être le bourgeois de quelqu'un, bah tu vas pas forcément pouvoir te payer le traitement que t'aurais pu avoir si, bah déjà, si on avait pas complètement pété la sécu.

[Benjamin] et puis si la mutuale t'avait accepté.

[Benjamin] Je ne serais pas aussi catégorique que toi sur le fait que c'est un problème de lutte des classes. Je pense que ça nous concerne. Toutes et tous.

[Benjamin] et que le problème va bien au-delà.

[Gaël] C'est marrant, la semaine dernière, off, on parlait de colère.

[Benjamin] Alors je disais à Gaël que bien souvent la colère est légitime.

[Benjamin] et qu'elle est indispensable et qu'il y a énormément de choses qui se construisent par la colère. En fait, on envisage souvent la colère comme quelque chose de destructeur.

[Benjamin] parce que je suis en colère, je vais casser une assiette et ben voilà ma colère n'a servi à rien d'autre, elle a créé de l'anthropie mais elle a rien résolu, or je disais que dans bon nombre de cas...

[Benjamin] il y a un problème et l'absence de colère amène au statu quo alors que la colère va permettre de changer les choses et de les faire évoluer et pas forcément dans le mauvais sens.

[Gaël] Je ne suis pas d'accord.

[Gaël] d'un bouquin de Stéphane et celle

[Gaël] Et en fait je pense qu'avant même la colère, il y a un sujet d'indignation.

[Gaël] Et en fait ça me paraît très...

[Gaël] normal.

[Gaël] qu'on s'indigne quand il y a des fuites de données au niveau de l'état.

[Gaël] au niveau d'entreprises privées même ou quoi que ce soit.

[Gaël] et que ça devienne des sujets d'état, je pense qu'aujourd'hui ce n'est pas traité.

[Gaël] Mais alors, je pense sincèrement...

[Benjamin] Et puis mettre la tête dans le sable aussi.

[Gaël] Oui mais je pense que c'est un peu à tout le monde d'aller interpeller type...

[Gaël] C'est député.

[Gaël] vous avez toute légitimité à envoyer un courrier à sa permanence.

[Gaël] les sujets de questions au gouvernement, notamment de l'assemblée.

[Gaël] Et en fait même peu importe où vous êtes, vous pouvez le remonter. Et en général les députés quand ils reçoivent vraiment beaucoup beaucoup beaucoup de lettres, ils sont un peu obligés d'en parler quoi.

[Benjamin] de lettres d'indignation donc.

[Gaël] Lettre d'indignation, vous pouvez citer, je m'indigne.

[Benjamin] Alors oui, je pense que effectivement t'as raison dans le sens où en général on passe pas du mode tranquillou au mode colère sans passer par l'indignation, et d'ailleurs dans ce podcast on s'indigne assez souvent.

[Benjamin] C'est de l'indignation soft ? Ouais, avec des effets...

[Benjamin] vraisemblablement pédagogique en tout cas on l'espère, mais après concrètement, bah ouais, il ne passe pas grand chose et moi ma conviction c'est que...

[Benjamin] Tu vois quand t'as des gens qui sont en colère, personne n'est jamais pris au sérieux avant d'être en colère.

[Benjamin] Jamais, ça arrive pas.

[Gaël] On fait de... On refait un autre podcast sociaux après ?

[Benjamin] Sur la colère !

[Gaël] sur la colère.

[Benjamin] Y'a pas de transi classe cette semaine ?

[Gaël] Vérifier son identité sur LinkedIn.

[Gaël] Ce que cela cache, mais c'est peut-être d'avoir mis autant de C dans les phrases.

[Benjamin] C'était un piège, je l'ai fait exprès.

[Benjamin] Et attend, la prochaine fois on va peut-être parler de chaussettes, non ?

[Benjamin] Oui, et ben j'ai lu un article qui m'a pas mal interpellé parce que figurez-vous que...

[Benjamin] je passe beaucoup trop de temps sur LinkedIn.

[Benjamin] c'est à dire que j'y passe du temps.

[Benjamin] Et régulièrement, Ling Lin me dit « mais vérifie ton identité, ça sera vachement mieux, t'auras l'air plus sérieux, les gens diront « waouh, ça c'est un gars bien, on a vérifié son identité, c'est pas un beau »

[Benjamin] et je m'étais laissé séduire et j'avais cliqué sur le bouton

[Benjamin] Et puis dès le début du processus je me dis mais qu'est ce que c'est que ce truc ? Et bien évidemment...

[Benjamin] J'étais pas allé au bout.

[Benjamin] Et j'avais trouvé ça !

[Benjamin] super intrusif parce qu'en gros pour vérifier l'identité, il y a besoin d'une pièce d'identité mais il y a aussi besoin de données biométériques, de photos du visage, enfin en gros il faut bouger la tête devant sa caméra, etc.

[Benjamin] Et quand j'avais vu le process, j'avais vite abandonné et j'étais arrivé à la conclusion que je ne le ferais jamais.

[Benjamin] Et ben effectivement il ne faut jamais le faire et c'est une très très très mauvaise idée. Alors...

[Benjamin] on mettra bien évidemment le lien dans les show notes, mais en gros ce qu'il faut retenir

[Benjamin] s'appuie sur un prestataire de vérification d'identité.

[Benjamin] Donc déjà il y a un tiers, c'est pas super, que le tiers prend donc toutes ces informations là.

[Benjamin] Au passage vous lui octroyez le droit d'entraîner des modèles d'IA etc, enfin des trucs dont on n'a pas du tout envie, et qui en tout cas au sens du RGPD ne répondent pas du tout à l'objectif.

[Benjamin] on n'est pas dans la base légale contractuelle.

[Benjamin] Et puis une fois que c'est fini, donc votre identité a été vérifiée, il n'y a aucune raison de conserver ces données-là.

[Benjamin] Or les données sont conservées.

[Benjamin] Alors on peut demander de les supprimer et puis espérer qu'elle le soit effectivement, mais en tout cas il y a très clairement un problème de non-proportionalité sur les données qui sont demandées par rapport au but à atteindre, et puis après dans la conservation des données etc. Et en tout état de cause...

[Benjamin] Au niveau du RGPD, il n'y a absolument rien qui va. Donc cette procédure de vérification d'identité sur LinkedIn...

[Benjamin] totalement illégal en Europe.

[Gaël] et puis s'envoyer à tout un tas de boîtes parce que...

[Benjamin] Et derrière, oui, alors évidemment, on serait sur le gâteau, c'est...

[Gaël] Je comprends pas pourquoi Stripe d'ailleurs.

[Benjamin] pour vérifier l'identité des clés.

[Benjamin] En fait ils se font plaisir, clairement ces gens-là vivent dans un univers parallèle où le RGPD n'existe pas.

[Gaël] Alors c'est aux US, donc ça veut dire que immédiatement toutes les données sont envoyées aux US.

[Gaël] Et donc du coup c'est accessible à n'importe quel moment.

[Gaël] Oui et puis même pas besoin du cloud.

[Benjamin] Mais même sans le Cloud Act, c'était illégal avant le Cloud Act, cette procédure de vérification d'identité. Donc il est...

[Benjamin] urgent de ne pas le faire parce qu'en plus une fois que c'est fait, les données ont été partagées.

[Benjamin] difficile de revenir en arrière.

[Benjamin] et on parle de données biométriques encore une fois, donc de données qu'on ne peut pas répudier, qu'on ne peut pas, c'est pas un mode pass qu'on pourrait modifier.

[Gaël] demain s'il y a des entraînements

[Gaël] ça veut dire que le passeport pourrait être reconnu facilement, la personne pourrait être reconnu facilement...

[Gaël] puisqu'on aura envoyé toutes les données de mouvement de tête ou quoi que ce soit.

[Gaël] Donc en fait on entraîne directement les IA à se faire reconnaître.

[Gaël] de manière personnelle.

[Gaël] et très identifié quoi.

[Gaël] Pas d'angos cette semaine, y'a de bonnes nouvelles là !

[Benjamin] Alors on va pas se mentir hein, dans RDGP on apporte rarement des bonnes nouvelles, on essaye parfois mais...

[Benjamin] par les temps qui courent on a quand même beaucoup plus de mauvaises que de bonnes.

[Gaël] C'est vrai. Peut-être qu'on peut parler un peu de nourriture. Saler et nourriture c'est quelque chose qui rapproche tout le monde.

[Benjamin] En France on aime bien la bouffe hein !

[Gaël] On aime bien la bouffe. Alors là, c'est pas de la bouffe française puisque c'est chez Burger King.

[Gaël] Mais parlons un peu de nourriture puisque Burger King aux US...

[Benjamin] Moi j'aime bien Burger King hein !

[Gaël] T'aimes bien Burger King ?

[Benjamin] Moi j'étais content quand ils sont revenus en France, je fais partie de ces gens qui étaient contents qu'ils reviennent.

[Gaël] Ils ont racheté les Quicks, c'est ça ?

[Benjamin] Non. Ils ont été rachetés par Resto Route ou un truc comme ça et ils étaient partis en claquant la porte et ils sont revenus des années après, ils ont même fait le buzz. Je me souviens, le premier carreau vert il me semble que c'était à Saint-Lazare et il y avait la queue et moi j'étais plutôt content qu'ils reviennent mais j'ai dû attendre genre six mois avant d'y retourner parce que...

[Benjamin] T'avais deux heures de queue pour aller au Burger King. Alors ouais, j'aime bien Burger King, mais je fais pas deux heures de queue pour y aller. C'est pas possible.

[Gaël] Ouais moi je comprend pas, faut limer.

[Gaël] Burger King aux US va écouter ses employés et analyser les conversations grâce à de l'intelligence artificielle pour savoir s'ils sont polis avec les clients.

[Benjamin] Ah ben voilà une bonne idée !

[Gaël] Bah voilà, c'est une très bonne idée.

[Benjamin] Oui, alors c'est que aux États-Unis.

[Benjamin] C'est qu'aux Etats-Unis, c'est pas encore en France.

[Benjamin] Alors est-ce que ça arrive ? C'est une bonne question que je me suis posée et à laquelle j'ai pas de réponse.

[Benjamin] Je sais pas trop en fait, est-ce que c'est bien proportionnel, est-ce qu'on peut justifier ça ?

[Benjamin] Est-ce que fliquer ses employés, ça me paraît franchement limite, par exemple avoir des caméras de surveillance

[Benjamin] sur le poste de travail d'un salarié, c'est illégal. On peut mettre des caméras de surveillance sur des espaces communs.

[Gaël] Mais est-ce qu'ils vont pas trouver une faille, tu vois ?

[Benjamin] De voir une machine à café, ça se discute.

[Gaël] Nommer.

[Gaël] l'ambiance du restaurant, s'il n'y a pas des risques d'un agresseur, de machin...

[Benjamin] Ouais, j'y crois pas beaucoup. La ficelle me paraît grosse, j'ai tendance à croire que ça passera pas du tout, du tout en France.

[Benjamin] Après on voit bien encore une fois qu'il y a une fenêtre d'Ouverton qui s'ouvre sur ces problématiques. On parlait l'autre fois du collier Friend.

[Benjamin] Clairement, il y a une volonté de certains acteurs d'ouvrir la fenêtre et d'y arriver.

[Benjamin] D'ailleurs, au moment où on en parlait, j'avais pas vu les affiches dans le métro, j'en avais entendu parler mais je les avais pas vues, depuis, comme j'ai pas mal pris le métro ces derniers temps, j'ai vu ces affiches.

[Benjamin] et elles ont toutes été arrachées. Il y a quelqu'un qui s'est énervé, c'est pas moi.

[Benjamin] c'est à coup sûr une auditrice ou un auditeur de RDGP.

[Gaël] Tu vois on parle de...

[Benjamin] nous protègent.

[Benjamin] Pourquoi le conditionnel ?

[Gaël] Non, c'est sûr, moi je fais un rapide rapport très personnel mais du coup je suis toujours en campagne jusqu'au...

[Benjamin] Est-ce que le temps de parole dans RdGP est décompté de ton temps de parole ?

[Gaël] Mais en fait, je le vois, il y a de plus en plus de monde, des opposants notamment.

[Gaël] qui demande à mettre des caméras...

[Gaël] des caméras avec intelligence artificielle.

[Benjamin] tu veux pas mettre plus de caméras

[Gaël] Donc non ça s'ouvre la fin de Wartons pour la sécurité c'est toujours le cheval de trois de toute façon pour tous ces systèmes là

[Gaël] et en plus l'ERGPD qui nous protège.

[Gaël] et en permanence attaqué par les états unis.

[Gaël] Si vous voulez qu'on parle d'un poste de Marc-Antoine Tevenet ?

[Benjamin] Oui, alors, ben justement, est-ce que le RGPD sert à quelque chose ? C'est une question qu'on entend très souvent. Le RGPD, on l'entend très souvent.

[Gaël] que c'était bien mieux avant, y'avait pas de coquilles...

[Benjamin] et ça nous fait perdre du temps et ça sert à pas grand chose et on voit pas la différence.

[Benjamin] et ben Marc-Antoine Tevenet, que je suis...

[Benjamin] en particulier quand ils postent sur LinkedIn.

[Benjamin] Je vais pas vous lire l'intégralité de son poste qu'on mettra dans les show notes, ni vous résumer l'intégralité de ce qu'il a écrit.

[Benjamin] Mais il faisait un constat qui me paraît assez implacable, c'est que le RGPD est énormément attaqué par les Etats-Unis en ce moment.

[Benjamin] Parce que les Etats-Unis voient une menace sur l'hégémonie des GAFAM.

[Benjamin] et Mark Antoine voit lui la preuve que ça marche, que si les États-Unis déploient autant d'énergie à combattre le RGPD, eh bien c'est bien que ça marche et c'est bien que ça nous protège.

[Benjamin] ça mérite qu'on le défende.

[Gaël] Donc il faut qu'on continue à s'indigner à chaque fois qu'on voit des...

[Benjamin] Il faut qu'on continue à s'indigner, qu'on se mette en colère quand c'est justifié.

[Benjamin] qu'on défende le RGPD et peut-être qu'on peut parler, reparlé de Digital Omnibus.

[Gaël] J'allais te dire, est-ce que tu as entendu parler de Digital Omnibus ? On n'a pas besoin des États-Unis pour saboter une R3-RGPD.

[Benjamin] Digital Omnibus, on en avait parlé, ça date du 19 novembre 2025, on croirait à un mauvais sort de Harry Potter, pas du tout.

[Benjamin] Digital Omnibus, oui ça fait, parce que c'est à la fois du latin de l'anglais, on dirait Wingarium Leviosa, ça fait très...

[Benjamin] Et alors comment est-ce qu'on prononce digital omnibus ? Omni-bus.

[Gaël] Avanceons, y'a tous les gens dans le train qui doivent se marrer forcément à nous entendre ou qui ont envie peut-être d'arracher des...

[Benjamin] surtout s'ils sont dans un omnibus.

[Gaël] Digital Omnibus V3

[Benjamin] Digital Omnibus, qu'est-ce que c'est ?

[Benjamin] et bien c'est tout simplement une simplification du RGPD parce que le RGPD serait trop compliqué.

[Benjamin] Le RGPD n'est pas compliqué, on l'a déjà dit, je ne sais plus, mais en tout cas non, ce n'est pas beaucoup, ce n'est pas beaucoup de pages, pas très compliqué à comprendre, c'est 6 bases légales pour stocker des données à caractère personnel.

[Benjamin] Une fois qu'on sait ça, on sait tout. Je vous invite à réécouter les tout premiers épisodes qu'on avait fait avec ARI sur ce sujet là.

[Benjamin] Et là, eh ben, Rebolote. Alors, j'ai plus la date, mais c'était la semaine dernière, je crois.

[Benjamin] 24 février, et ben voilà.

[Benjamin] on revient à la charge et là le danger vient pas des états unis mais de...

[Benjamin] directement de l'Europe.

[Benjamin] C'est très inquiétant, alors il y a NOYB, None of your business qui s'en émeut.

[Benjamin] et on les en remercie. Et d'ailleurs ils ont une page de soutien si vous voulez les aider None of your business. On en a parlé plusieurs fois c'est l'association de Max Schrems.

[Benjamin] Max Schrems lorsqu'il était étudiant il s'en était pris.

[Benjamin] aux privacy shield et digital privacy framework, donc en fait les accords transatlantiques.

[Benjamin] permettent de déroger au RGPD quand on est aux Etats-Unis parce que la réglementation est équivalente et on s'est dit ouais allez...

[Benjamin] et lui a dit bah non ça va pas et il a eu gain de cause une première fois une deuxième fois à chaque fois il a réussi

[Benjamin] Donc on va appeler que c'est un étudiant.

[Benjamin] faire casser un accord entre l'Union européenne et les États-Unis, ce qui est quand même pas rien, on lui en ségrée.

[Benjamin] Et aujourd'hui qu'il y a Trump, alors là c'est n'importe quoi, il n'y a plus rien qui...

[Benjamin] Donc Max Schrems, depuis il a été diplômé, il n'est plus étudiant du tout et il a monté l'association NOYB, donc pour None of Your Business.

[Benjamin] qui milite pour l'application du RGPD et sa défense.

[Benjamin] et ils ont écrit un article.

[Benjamin] sur les attaques qui continuent donc c'était le 24 février

[Gaël] C'est carrément un rapport.

[Benjamin] Alors je dis pas que c'est très très digeste à lire.

[Gaël] Non, c'est pas hyper digest, ouais.

[Gaël] Oui, non, bien sûr.

[Gaël] Donc merci à eux de faire la synthèse.

[Gaël] Donc on peut considérer que ça va continuer toutes ces attaques sur le RGPD, sur la...

[Benjamin] Alors ça s'arrêtera jamais et quelque part c'est une bonne chose, ça veut dire que ça marche, s'il y a autant d'attaques.

[Benjamin] Si le RGPD n'était pas attaqué, c'est qu'il servira à rien.

[Benjamin] En tout cas il faut continuer à s'indigner.

[Benjamin] Et je me mettrai en colère si je veux.

[Benjamin] On rappelle qu'il y a un réposé de GitHub.

[Gaël] C'est un endroit où on met du code partagé en ligne.

[Benjamin] Alors c'est un espace de stockage pour mettre des projets open source, essentiellement open source.

[Benjamin] Mais pas que !

[Benjamin] parce qu'on a aussi des runners sur GitHub, c'est-à-dire des morceaux de...

[Gaël] Des gens qui courent.

[Benjamin] Et alors... Non. Non, non.

[Gaël] Qu'est-ce que c'est un runner alors ?

[Benjamin] En fait, sur GitHub, on a aussi la possibilité d'avoir des programmes qui s'exécutent et qui vont permettre de générer les executables téléchargeables, enfin de faire tout un tas de choses.

[Benjamin] Donc c'est pas juste du code statique qui est stocké là dessus, et des petits malins.

[Benjamin] réussit à prendre le contrôle de plusieurs répositories de grande ampleur avec beaucoup d'étoiles.

[Gaël] et j'ai vu quelqu'un qui parlait justement de cette attaque, donc avec six principales cibles.

[Gaël] Awesome Go, Ambient Code et Trivie.

[Gaël] en automatisant.

[Benjamin] avec de l'IA

[Gaël] avec de liens.

[Gaël] notamment avec les nouveaux agents OpenClaw, ClaudeCode, etc.

[Gaël] Allez attaquer toutes les cibles en même temps.

[Gaël] avec des droits d'écriture.

[Gaël] Je veux dire, à ce moment-là, ils ont accès à tout.

[Gaël] faire de l'injection de script, ils ont pu rajouter donc du coup potentiellement des backdoors.

[Gaël] Ils ont pu faire ce qu'ils voulaient.

[Benjamin] Ils ont pris le contrôle.

[Gaël] et ils ont pris le contrôle total.

[Benjamin] Et ce qu'on ne sait pas, c'est...

[Benjamin] À quel moment exactement ils ont pris le contrôle et du coup est-ce qu'il y a des gens qui ont téléchargé des logiciels ?

[Benjamin] provenait de là et qui avait été compromis entre temps.

[Gaël] Donc moi j'ai suivi notamment le Trivy puisque donc Trivy c'est...

[Gaël] permet de faire du software build of material.

[Gaël] C'est faire la liste de toutes tes dépendances à des logiciels.

[Gaël] et c'est hyper important parce que si tu sais pas quelles sont toutes tes dépendances,

[Gaël] La stratégie de Trivie.

[Gaël] ça a été de supprimer tout le code du dépôt.

[Gaël] le rendre privé.

[Gaël] de ce cours quoi et republier une version.

[Gaël] Mais il a fallu du temps avant de s'en apercevoir de leur côté et de faire tout ça.

[Gaël] Donc potentiellement il y a des gens qui ont téléchargé des artefacts à ce moment là et qui ont eu une version corrompue.

[Gaël] Essayez de regarder, faites une mise à jour quoi.

[Benjamin] Ouais, et ce que t'es intéressant aussi dans la description de cette attaque, c'est que...

[Benjamin] les failles qui ont été utilisées sur ces différents projets, donc tu en as cité 6, en fait c'est toutes des failles différentes.

[Benjamin] C'est-à-dire que l'IA...

[Benjamin] classiquement quand il y a des intrusions, les hackers qui sont derrière, c'est pas des génies, c'est des gens qui choppent des failles qui ont déjà été publiées et qui vont...

[Benjamin] sur une faille précise à la recherche d'un système qui n'a pas été patché et qui du coup est encore vulnérable.

[Benjamin] et il n'y a pas besoin d'être un génie pour faire ça.

[Benjamin] Là, c'est un nouveau type d'attaque puisque ça utilise de l'IA.

[Benjamin] pour cibler un projet en particulier.

[Benjamin] et grâce à l'IA, trouver quelles sont les failles qui potentiellement pourraient passer et donc sur six projets en parallèle, les failles utilisées sont toutes différentes.

[Benjamin] Donc depuis ce week-end on est entré dans une nouvelle ère du piratage.

[Gaël] Alors oui et non.

[Gaël] Premièrement, c'est le même type d'attaque qu'on a depuis à peu près 2-3 ans, c'est ce qu'on appelle les attaques par Supply Chain.

[Gaël] En fait on va pas attaquer votre système, parce que votre système est depuis probablement protégé, ou en tout cas c'est un peu compliqué.

[Gaël] on va aller voir vos fournisseurs, et là dans ce cas là dans le cas de l'informatique les fournisseurs c'est d'autres entreprises qui produisent du code.

[Gaël] C'est le cas pour l'attaque XZ, donc c'était il y a deux ans ou trois ans maintenant l'attaque XZ.

[Gaël] Y'a pas longtemps c'était les...

[Benjamin] Ne me regarde pas, moi j'utilise pas NPM, je déteste JavaScript.

[Gaël] Ils ont utilisé en fait de l'attaque par supply chain.

[Gaël] La vraie différence.

[Gaël] avec des agents entièrement automatisés, même si enfin...

[Benjamin] Mais elle est là la différence !

[Gaël] Ouais mais en fait... Alors...

[Benjamin] cette différence là elle est fondamentale.

[Gaël] Alors ça fait longtemps qu'en fait il y a des scripts entièrement automatisés qui tournent sur internet et si vous recevez des mails...

[Gaël] Pour moi ça fait déjà quelques années qu'on était dans un mode où l'humain ne peut pas réagir aussi vite que des scripts d'attaque.

[Gaël] Donc de toute façon, ça fait des années.

[Gaël] qu'il faudrait normalement.

[Gaël] avoir des automatismes

[Gaël] En cas d'attaque.

[Gaël] et de l'automatisation en général.

[Gaël] Là c'est juste que ça plante un clou de plus dans le cercueil. Ok. Jamais un humain ne sera...

[Gaël] aussi rapide.

[Benjamin] Je pense qu'il y a un changement d'échelle qui vient d'être opéré.

[Benjamin] et que c'est vraiment une nouvelle ère.

[Benjamin] me tromper je suis pas expert dans le domaine.

[Gaël] Moi je dirais, maintenant il faut que tout le monde s'équipe de logiciels donc SIEM et SOC.

[Gaël] Donc pour détecter les attaques.

[Gaël] Y'a les croquettes du chat !

[Gaël] Donc je dirais que tout le monde doit s'équiper maintenant de logiciels SIEM ou bien de SOC.

[Gaël] qui sont facilement utilisables, facilement installables, ça existe.

[Benjamin] Mais est-ce qu'il faut juste pas arrêter avec l'informatique ?

[Gaël] Ah, alors ça on peut arrêter avec l'informatique. Non, l'autre point, j'avais été à une conférence il y a quelques temps.

[Gaël] recompiler tout ce qu'il utilise.

[Gaël] Ça me paraît en fait un peu fou.

[Gaël] Mais c'est le seul moyen...

[Gaël] d'être sûr de ce que tu fais en fait dans ton système informatique.

[Benjamin] Ouais mais enfin, s'il faut encore auditer le code que tu compiles hein...

[Gaël] bien sûr t'es obligé d'auditer tout tu audites et tu recompiles

[Benjamin] Ce n'est pas très difficile, surtout maintenant avec LIA.

[Benjamin] d'aller planquer une faille de sécurité dans le code source.

[Benjamin] Ouais, tu peux aussi la repérer dans le code compilé avec de l'IA.

[Benjamin] Mais au final...

[Benjamin] C'est quand même compliqué.

[Benjamin] Est-ce qu'on peut être d'accord sur le fait que c'est compliqué ?

[Gaël] Ah oui, moi je pense que c'est titanesque, pour des grosses grosses boîtes c'est peut-être f...

[Gaël] Mais bon, si vous êtes une petite entreprise, ou alors vous faites des rassemblements d'entreprises, et chacun...

[Gaël] Sachant qu'Audité c'est beaucoup plus facile aussi sur du code open source que sur du code...

[Benjamin] Oui, bien sûr, c'est...

[Benjamin] un point dont on pourra parler plus tard mais...

[Benjamin] la notion d'open source avec l'IA aujourd'hui risque de se déplacer un peu.

[Benjamin] dans le sens où...

[Benjamin] avec les LLM et les solutions de...

[Benjamin] de vibe coding et compagnie, on n'écrit plus forcément de codes, donc ce qui a de la valeur, c'est...

[Benjamin] pas vraiment le code source mais c'est peut-être le prompt source.

[Benjamin] et puis qu'avec une IA tu peux reverse-engineer un code compilé pour en refaire un code source. Donc la notion d'open source à mon avis dans les années qui viennent elle va énormément se décaler. En revanche ce qui ne va pas changer c'est la notion de logiciel libre. Parce que la licence, qui est une notion juridique et contractuelle, elle ne change pas. Alors que la notion d'open source qui est elle est une notion technique,

[Benjamin] Je pense qu'elle va se décaler.

[Gaël] J'ai plus rien à dire sur le sujet des attaques, protégez-vous.

[Benjamin] On a fini ?

[Gaël] Je peux laisser un long silence gênant si tu veux.

[Benjamin] Euh... Est-ce qu'on laisse un long soucis ?

[Benjamin] Merci Gaël.

[Benjamin] Vous avez écouté RdGP, le podcast sérieux qui vous emmène au cœur des enjeux des droits numériques, des libertés individuelles et de la vie privée.

[Benjamin] podcast est hébergé par Castopod, solution open source libre et gratuite d'hébergement de podcasts.

[Benjamin] N'oubliez pas que vous pouvez à tout moment interagir avec nous sur le Fédiverse et en particulier sur Mastodon en likant, partageant ou commentant cet épisode.

[Benjamin] Merci à toutes et à tous et à la semaine prochaine !

[Gaël] à la semaine prochaine