Christophe Boutry's avatar
Christophe Boutry
cedhaurus@christopheboutry.com
npub1nzjm...67g0
(Ex-DGSI) ̶H̶a̶u̶r̶u̶s̶ | #Cyber #Justice 💾 Auteur 📖 | Consultant en analyse criminelle | 🇫🇷 YouTube channel creator ➡️ https://youtube.com/@Ced_haurus > ⚡️ Projet nostr:npub1n2878xq8jmacnjsyun6a0nrys7tcglzq8znzv05s33ddrxupd36q6uhtpg ➡️ Relay wss://relay.nostrmap.net > 🔵 Fuites Infos (recensement des fuites de données impactant la France 🇫🇷 https://fuitesinfos.fr
🔴La DINUM reconnaît un incident sur Tchap Un attaquant a utilisé un compte légitime compromis pour accéder à la plateforme. Ce qui a pu être consulté, selon la DINUM : uniquement des salons publics. Ouverts à tous par conception. Non chiffrés. Les conversations privées restent protégées. Le compte malveillant a été identifié et bloqué. La CNIL a été notifiée. Le diagnostic est en cours. Le petit rappel à ses agents : un salon public Tchap peut être rejoint par n'importe quel utilisateur. Rien de sensible ne doit y circuler.... Vu ce qui a été publiée par le cybercriminel, je pense qu'il va falloir faire le ménage dans les salons. View quoted note →
🔴Un cybercriminel affirme avoir obtenu l’accès à un compte valide sur Tchap, la messagerie sécurisée de l’administration française. Quelques explications 🧵 À partir de ce compte, il prétend avoir pu collecter : 👉 73 467 comptes d’agents publics 👉 643 459 messages 👉 876 salons avec historique accessible 👉 plus de 59 000 fichiers 👉 environ 13,5 Go de données 👉 des métadonnées liées aux comptes, aux salons et aux terminaux À ce stade, prudence : il s’agit d’une revendication. Rien ne permet encore d’affirmer que tous les chiffres sont exacts, ni que tous les contenus annoncés sont sensibles. De quoi parle-t-on ? 🔽 Tchap est la messagerie interministérielle de l’État français. Elle est utilisée par des agents publics pour échanger dans un cadre professionnel, au sein d’administrations, de ministères ou de groupes de travail transversaux. Elle a été pensée comme une alternative souveraine aux messageries privées grand public, notamment WhatsApp, Telegram ou Signal, afin d’éviter que des échanges professionnels de l’administration française transitent par des services commerciaux étrangers. Techniquement, Tchap repose sur Matrix, un protocole de messagerie décentralisée. Matrix permet à plusieurs serveurs de communiquer entre eux, un peu comme le courrier électronique : un utilisateur d’un serveur peut échanger avec un utilisateur d’un autre serveur, si la fédération est autorisée. Tchap utilise cette logique pour organiser une messagerie répartie entre plusieurs environnements administratifs. Son interface vient de l’écosystème Element, le client Matrix le plus connu, adapté ici aux usages de l’administration. Attention ⚠️ Si les données revendiquées sont authentiques, cela ne signifie pas automatiquement que le chiffrement de Tchap aurait été cassé. Cela ne veut pas dire non plus que toute la plateforme aurait été compromise. Le scénario avancé ressemble plutôt à l’exploitation maximale d’un compte légitime. (ce que le cybercriminel revendique) Autrement dit : l’attaquant ne dit pas avoir “cassé Matrix”. Il affirme avoir obtenu un compte valide, puis utilisé ce compte pour voir tout ce qu’il pouvait voir. C'est là que le sujet devient intéressant. Ce que l’acteur affirme avoir exploité 🔎 Selon l’auteur de la revendication, l’accès initial aurait été obtenu par ingénierie sociale sur un compte lié à un agent de l’Éducation nationale. Une fois connecté, il aurait utilisé des fonctionnalités normales de Matrix pour : 👉 explorer l’annuaire des utilisateurs 👉 rechercher des salons 👉 consulter les espaces accessibles 👉 remonter l’historique des conversations disponibles 👉 récupérer les fichiers partagés dans ces échanges Dans Matrix, un compte peut voir plusieurs types d’informations selon la configuration du serveur et des salons : 👉 annuaire des utilisateurs 👉 salons publics ou semi-publics 👉 salons déjà rejoints 👉 salons thématiques 👉 espaces transversaux 👉 historiques visibles aux nouveaux membres 👉 médias partagés 👉 métadonnées de terminaux 👉 clés publiques des appareils Autrement dit, un compte compromis ne donne pas seulement accès à “ses messages privés”. Il peut aussi devenir une porte d’entrée vers tout ce que ce compte est autorisé à voir. Pourquoi 600 ou 800 salons seraient accessibles ? 🏛️ Accéder à plusieurs centaines de salons ne veut pas forcément dire que l’attaquant aurait forcé l’accès à des conversations privées. Sur Matrix, certains salons peuvent être publics, transversaux, thématiques ou joignables par tout agent authentifié. Des noms de salons comme : 👉 “Outils collaboratifs” 👉 “Droit pénal et procédure pénale” 👉 “Intelligence artificielle” 👉 “Médecine-santé” 👉 “Sécurité civile” ressemblent davantage à des espaces de discussion communautaires qu’à des canaux hautement confidentiels. Mais cela ne rend pas l’incident négligeable. Un salon public interne à l’administration n’est pas un salon public au sens d’Internet. Il peut contenir des échanges professionnels, des documents, des liens de réunion, des noms d’agents, des habitudes de travail, des informations contextuelles et des fichiers dont l’agrégation devient sensible. Le problème de l’annuaire 👥 L’acteur affirme avoir utilisé la fonction de recherche de l’annuaire Matrix pour énumérer les utilisateurs. Il aurait interrogé automatiquement la fonction de recherche des comptes pour reconstruire une liste de dizaines de milliers d’agents. Cette liste contiendrait notamment : 👉 noms d’affichage 👉 adresses professionnelles 👉 ministères ou organismes de rattachement 👉 serveurs d’origine 👉 métadonnées liées aux comptes et équipements Ce type d’énumération n’a rien d’impossible si la recherche n’est pas assez limitée, pas assez cloisonnée ou pas assez protégée contre les requêtes répétées. Ce n’est pas forcément un “piratage profond”. Cela peut être un abus massif d’une fonctionnalité légitime. Le sujet des fichiers 📁 Le point le plus préoccupant concerne les fichiers. L’auteur affirme avoir téléchargé plus de 59 000 médias et documents, pour environ 13,5 Go. Dans Matrix, les fichiers partagés dans les conversations sont référencés par des identifiants médias. Selon la configuration du serveur, connaître l’identifiant ou l’URL d’un fichier peut parfois permettre de le récupérer, ou au minimum faciliter son téléchargement via l’API média. Cela ne veut pas forcément dire que “tous les fichiers de Tchap” étaient librement accessibles. Le scénario le plus vraisemblable est plutôt celui-ci : L’attaquant aurait lu des messages accessibles au compte, extrait les liens ou identifiants de fichiers présents dans ces messages, puis téléchargé les pièces jointes correspondantes. Si ces messages provenaient de salons inter-administrations, les médias pouvaient être hébergés sur plusieurs serveurs Tchap. Les éléments sensibles revendiqués 🧨 L’acteur affirme également avoir trouvé : 👉 des liens Zoom 👉 des codes Webex 👉 des scripts PowerShell 👉 des références à des annuaires internes 👉 des identifiants techniques 👉 des mentions “Diffusion Restreinte” Ces affirmations doivent être prises avec précaution. Une mention “Diffusion Restreinte” dans un message ou un nom de fichier ne prouve pas automatiquement qu’un document protégé a été exfiltré. Un identifiant trouvé dans un script ne prouve pas non plus qu’il est encore actif ou exploitable. Mais ces éléments montrent un risque classique des messageries internes : les utilisateurs y déposent parfois des informations techniques ou opérationnelles qui ne devraient jamais circuler dans un salon. Le vrai problème n’est pas forcément Matrix 🧠 Matrix est un protocole puissant, pensé pour la fédération, l’interopérabilité et le chiffrement. Mais comme toute infrastructure collaborative, sa sécurité dépend énormément de sa configuration et de sa gouvernance. Les vraies questions sont donc : 👉 qui peut voir l’annuaire ? 👉 qui peut rejoindre quels salons ? 👉 un nouvel entrant peut-il lire l’historique ? 👉 les médias sont-ils protégés par l’appartenance au salon ? 👉 les salons publics internes sont-ils audités ? 👉 les pièces jointes sensibles sont-elles contrôlées ? 👉 les secrets techniques sont-ils détectés lorsqu’ils sont partagés ? Le chiffrement de bout en bout ne règle pas tout 🔐 Le chiffrement protège contre certains accès techniques non autorisés, mais il ne protège pas contre un compte légitime compromis qui lit ce qu’il est autorisé à lire. Si un agent est membre d’un salon, ou si un salon est accessible à tous les agents, le chiffrement ne transforme pas ce salon en coffre-fort. Le risque se déplace alors vers la gestion des droits, des usages et des espaces. Le vrai problème : non pas une preuve que Tchap serait “cassé”, mais la possibilité qu’un seul compte ait permis de cartographier beaucoup trop de choses. Quels risques si la revendication est confirmée ? 🚨 Si les éléments avancés sont exacts, l’incident serait sérieux pour plusieurs raisons. D’abord, l’énumération de plus de 73 000 agents permettrait de construire une base de ciblage très précieuse pour du phishing, de l’usurpation ou de l’ingénierie sociale. Ensuite, les messages et salons exposés pourraient révéler des habitudes de travail, des interactions entre services, des sujets internes et des informations organisationnelles. Enfin, les fichiers partagés peuvent contenir des documents administratifs, des captures, des pièces jointes, voire des informations techniques réutilisables dans d’autres attaques. Conclusion 🧭 À ce stade, rien ne permet d’affirmer que l’intégralité de Tchap aurait été compromise. Rien ne démontre non plus un casse du chiffrement Matrix. Le risque ne vient pas toujours d’un attaquant qui casse la porte. Parfois, il entre avec un badge valide, puis découvre que beaucoup trop de portes sont restées ouvertes.
👉 Yoti, plateforme de vérification d'âge, aurait "signalé" un utilisateur aux autorités pour détection d'usage de GrapheneOS Voici ce qui s'est passé. Un utilisateur tente de vérifier son âge sur PlayStation Network via Yoti . Son appareil tourne sous GrapheneOS. Le scan échoue à répétition, 8 à 10 fois. Il contacte le support Yoti pour comprendre. La réponse arrive de help@yoti[.]com : "Due to past security concerns, Yoti automatically flags multiple verification attempts and any devices running GrapheneOS. These instances are automatically reported to both the authorities and our security team." Traduction : "En raison de problèmes de sécurité passés, Yoti signale automatiquement les tentatives de vérification multiples ainsi que tout appareil fonctionnant sous Gra…"En raison de problèmes de sécurité passés, Yoti signale automatiquement les tentatives de vérification multiples ainsi que tout appareil fonctionnant sous GrapheneOS. Ces cas sont automatiquement signalés aux autorités ainsi qu'à notre équipe de sécurité." L'utilisateur avait fourni ses vrais documents d'identité. Il n'a pas contourné quoi que ce soit. C'est le système de Yoti qui semble avoir échoué à les traiter. Pourquoi ? GrapheneOS restreint les APIs caméra et biométriques. Un scan qui fonctionne sur Android stock peut échouer en boucle sur GrapheneOS. L'échec répété n'est pas une fraude. C'est une incompatibilité technique. Evidemment, il est très facile de détecter qu'un smartphone utilise GrapheneOS. GrapheneOS n'est interdit nulle part. C'est un Android open source durci, utilisé par des journalistes, des avocats, des chercheurs en sécurité, et des gens comme vous et moi, soucieux de leur sécurité. Mais pour Yoti, l'utiliser suffirait à vous classer comme suspect. En vertu de quoi ? Soit Yoti signale effectivement quelqu'un, quelque part, pour avoir utilisé un OS légal. Soit c'est une formule boilerplate conçue pour faire peur. Dans les deux cas, c'est un problème. Si c'est réel : aucun texte n'impose à un prestataire de vérification d'âge de signaler aux forces de l'ordre un utilisateur détecté sous GrapheneOS. C'est une politique unilatérale sans base légale identifiable. Si c'est un bluff : menacer un utilisateur d'une procédure légale fictive est une pratique commerciale déloyale dans la plupart des juridictions. En revanche, ce que ça révèle, c'est que petit à petit, utiliser des OS alternatifs va entraîner des restrictions, des suspicions, pour mieux permettre de déployer leurs systèmes de régulations. Et demain, ce ne sera pas seulement GrapheneOS. À chaque étape, on nous dira que c’est pour la sécurité, pour les enfants, pour la lutte contre la fraude, pour la conformité. Mais à la fin, le résultat sera le même : l’utilisateur qui cherche à se protéger devra se justifier, tandis que l’utilisateur entièrement traçable sera considéré comme normal. C’est cette inversion qu’il faut refuser. La vie privée ne doit pas devenir une circonstance aggravante. La sécurité numérique ne doit pas devenir un marqueur de suspicion. Et les infrastructures de vérification d’âge ne doivent pas devenir des postes-frontières privés où des entreprises privées décident, dans l’opacité, quels appareils sont acceptables et quels utilisateurs méritent d’être signalés. Si Yoti confirme cette pratique, il faudra demander sur quelle base juridique repose ce signalement, quelles autorités sont destinataires, quelles données sont transmises, combien d’utilisateurs sont concernés, combien de temps ces informations sont conservées, et quels recours sont offerts aux personnes faussement signalées. Et si Yoti ne la confirme pas, il faudra expliquer pourquoi son support a pu écrire une telle chose à un utilisateur. image
👉 Suite et fin du prétendu hack du Dossier Médical Partagé (DMP). L'Assurance Maladie annonce une action en justice pour la perturbation engendrée et le déficit d'image causé par la visibilité offerte par ce hacker. View quoted note →
👉Enfin un outil de transfert de fichiers européen, chiffré de bout en bout, et transparent sur ce qu'il fait de vos données ! ➡️ Oubliez WeTransfer, Dropbox & co. Vos fichiers y sont lisibles par l'hébergeur, analysables, transmissibles à des autorités étrangères. Retyc lance sa version pour toutes et tous. Partagez vos fichiers, contrats, documents sensibles sans sacrifier la sécurité et la confidentialité. Ce qui change vraiment : 🔐 Chiffrement de bout en bout, opéré dans votre navigateur avant l'envoi 🇫🇷 Hébergement 100% européen, zéro AWS, zéro Azure, zéro GCP 🕵️ Architecture zero-knowledge, ils ne peuvent pas lire vos fichiers, même s'ils le voulaient 🚫 Zéro IA, zéro tracking publicitaire, zéro script tiers 📄 White paper public, code crypto open-source, page de transparence exhaustive 💶 Gratuit pour démarrer Bravo aux Lyonnais de Retyc pour cette initiative ! ➡️ image
👉 Un mot sur la prétendue fuite du "DMP", le Dossier médical partagé. Je vois passer les gros titres et les superlatifs sur la reprise d'une revendication d'un cybercriminel avec à la clé "34 millions de DMP". Pour le moment c'est surtout un agrégat de données recyclées repeint aux couleurs du DMP. Une petite analyse n'aurait pas fait de mal avant de se lancer... Un dossier médical... sans rien de médical On nous vend une fuite du Dossier médical partagé sans la moindre donnée médicale. Pas une ordonnance, pas une analyse, pas un champ libre de praticien, rien. C'est balot pour le coeur du DMP. En revanche, il y a des IBAN. Qu'est ce que ça fout là ? Le DMP, c'est votre carnet de santé numérique. Ça ne stocke aucune donnée bancaire, ce n'est pas sa fonction. Votre RIB, lui, il est dans votre compte Ameli, à la CPAM, pour vos remboursements. Un autre monde. Alors qu'est-ce que des IBAN viennent faire dans un "DMP" ? Posez-vous la question. La réponse tient en une ligne : s'il y a des IBAN, ce n'est probablement pas le DMP. Le détail qui tue : le numéro de Sécu et l'IBAN ne se touchent jamais.. J'ai regardé l'échantillon publié dans l'annonce, près de 900 fiches. Dans le système de santé, chacun est identifié par son numéro de Sécu, le fameux matricule INS. C'est la colonne vertébrale d'une vraie base santé. Or les fiches qui portent un numéro de Sécu et celles qui portent un IBAN ne tombent jamais sur la même ligne. Jamais. Zéro croisement. Dans une base unique et "authentique", votre numéro de Sécu est assis juste à côté de vos autres infos. Là, non. On a deux paquets distincts, collés l'un sur l'autre. Ce n'est pas une base, ce sont deux fuites différentes scotchées sous la même étiquette. Même la fiche de vente est gonflée (comme d'hab) Le vendeur annonce 80% de numéros de Sécu et 30 à 40% d'IBAN. L'échantillon, lui, donne 62% et 20%. Ca fait peu de numéro de sécu pour une base de données de santé. Le cybercriminel annonce avoir "scrapper le DMP". Scraper le DMP, vraiment ? Souvenez-vous de FICOBA On pourrait croire que les bases de l'Etat sont facile à récupérer avec des failles grossières. On a tous en tête FICOBA, le fichier des comptes bancaires géré par l'État, qui s'est fait siphonner début 2026. Forcément, on se dit qu'une grosse base sensible peut partir d'un coup, alors pourquoi pas le DMP. Sauf que regardez comment ça s'est passé pour FICOBA. Un identifiant de fonctionnaire habilité volé, un accès repéré et au final 1,2 million de comptes touchés, moins de 1% du fichier. Voilà à quoi ressemble une vraie extraction massive : un accès privilégié détourné, détecté et plafonné. Mais pas 34 millions de comptes santé authentifié aspirés tranquillement et "frais d'il y a deux jours". Et la fameuse faille IDOR ? Un blog "spécialisé" dans les fuites avance une piste technique : l'accès se serait fait avec des identifiants e-CPS, ceux des professionnels de santé, via une faille de type IDOR, suivie d'une élévation de privilèges. Le scénario n'est pas absurde. Il colle même au mode opératoire des attaques contre les opérateurs de tiers payant. On piège un pro de santé, on entre avec sa session légitime, et si le portail ne vérifie pas correctement qui a le droit de voir quoi, on énumère les fiches et on en moissonne des millions. Sauf qu'il y a un hic. Ce vecteur, au mieux, explique la moitié du fichier. Un portail santé compromis recrache de l'administratif : état civil, numéro de Sécu, contrat, assureur. Pas le carnet médical. Et surtout pas des IBAN, des mails et des téléphones, qui ne passent jamais par ces plateformes. Almerys le dit lui-même. Quant à "l'élévation de privilèges" posée après l'IDOR, ça fait bien sur le papier, mais si vous avez déjà l'IDOR, vous n'en avez pas besoin. Ça ressemble surtout à du vocabulaire pour faire sérieux. Alors c'est quoi, au juste ? Sûrement un agrégat Le bloc adresse, mail, téléphone, IBAN ne sort pas d'un système de santé. Ce profil-là, on le connaît, c'est celui des grosses fuites télécom et e-commerce, avec noms, adresses, téléphones et IBAN. Exactement ça. Le montage le plus probable : une couche "numéro de Sécu" d'origine santé, genre Almerys, recollée à une couche contact-bancaire genre Free, le tout dédoublonné, enrichi, repackagé, et rebaptisé "DMP" parce que ça fait un bien meilleur titre. Derrière l'emballage bidon, il y a de la vraie donnée. Des numéros de Sécu cohérents, des IBAN valides. Le risque pour les gens est réel, phishing, fraude au virement, usurpation d'identité. Donc vigilance tout de même. Mais non, ce n'est probablement pas LE piratage du Dossier médical partagé. C'est un assemblage de fuites recyclées maquillé en scoop. image
Nous avons un commentaire de la CNIL au sujet d’Utiq 🙂 « Contactée, la CNIL dit suivre "de près" cette technique et rappelle qu'elle est légale tant que l'internaute a cliqué et donc donné son consentement. » Voilà. Merci. Bonne semaine à tous. image
Le cookie est mort alors ils ont cuisinés une nouvelle merde pour vous traquer 👉 Utiq, c'est un système de tracking qui n'a pas besoin de cookie. Il utilise votre opérateur télécom. Le site que vous visitez transmet votre IP à Utiq. Utiq la transmet à Orange, SFR ou Bouygues. Votre opérateur crée un identifiant lié à votre numéro de téléphone. Et cet identifiant vous suit sur tous les sites partenaires. Vider votre cache ne change rien. La navigation privée non plus. C'est cross-plateforme. Votre IP = votre identifiant publicitaire. Formidable. Derrière Utiq, on trouve Deutsche Telekom, Orange, Telefónica et Vodafone. Les opérateurs qui transportent vos données depuis 20 ans viennent de décider qu'ils allaient aussi les monétiser. C'est présenté comme une alternative "éthique et européenne" aux GAFAM. 😂 Vous échangez Google contre votre opérateur télécom. Qui connaît votre numéro de téléphone, votre adresse, et tout votre trafic réseau. image
La loi RIPOST vient d'être adoptée au Sénat. Voici les "petites" modifications qu'elle introduit.. — VSA — Terminée "l'expérimentation" de la video surveillance algorithmique. On passe à grande échelle partout en France. La VSA, c'est de la vidéosurveillance coupée à l'IA. Des caméras existantes, reliées à un algorithme qui analyse les images en temps réel et détecte des comportements : une foule qui court, un objet abandonné, une personne à terre, un attroupement inhabituel. Pas de reconnaissance faciale (promis, c'est écrit dans le texte). Mais un système qui surveille, classe et alerte en continu, des agents, qui interviennent manuellement. Elle a été expérimentée pour les JO 2024. La logique était : un événement, une autorisation, une durée. Ça s'arrête quand l'événement est terminé. RIPOST change cette logique. Premier niveau : l'expérimentation est prolongée jusqu'en 2030 et étendue à toutes les manifestations sportives, culturelles ou récréatives. Plus seulement les JO, tous les événements. Deuxième niveau, le vrai changement : le texte crée une catégorie de lieux "de façon permanente… particulièrement exposés" aux risques. Gares, aéroports, centres commerciaux, places publiques. La liste sera fixée par arrêté du ministre de l'Intérieur. Dans ces lieux, l'autorisation VSA ne dépend plus d'un événement. Elle dure aussi longtemps que l'autorisation vidéoprotection du site. C'est-à-dire des années. Renouvelée automatiquement.... En principe, avant : on activait la surveillance pour un match, un concert, un sommet. Après : la surveillance tourne en fond, en permanence, dans les lieux que le ministère désigne. Un arrêté suffit. C'est pour ça que le mot "expérimentation" ne veut plus rien dire. On ne teste plus un outil, on construit le réseau de vidéosurveillance boosté à l'IA. Pour le reste : — RIPOST, c'est aussi — ▸ Les données LAPI des sociétés d'autoroutes et des parkings privés accessibles à la police via convention préfectorale. LAPI est le système de lecture automatisé de plaque d'immatriculation. Désormais, le secteur privé devient une source d'alimentation en données. ▸ Des fouilles à corps sans critère de suspicion dans les zones frontalières, le littoral, les ports et les gares, sur simple réquisition du parquet valable 12h renouvelables. Quel que soit le comportement de la personne. ▸ Le blocage administratif de contenus en ligne (sans juge) étendu au-delà du terrorisme, désormais applicable à la vente de protoxyde d'azote et d'explosifs sur internet. #nostrfr image
🔴 Le groupe de cybercriminels Lapsus revendique une compromission de Delko, réseau de franchise de garage automobile. Le groupe aurait refusé de céder au chantage. Avec 140 points de vente en France, ce sont des centaines de milliers de personnes concernées. ➡️ Email, Téléphone, identité, immatriculation du véhicule, données de rendez-vous et prestation. image
Nostr offre une flexibilité incroyable pour ceux qui aiment créer. Je n'ai jamais trouvé un client qui combine parfaitement mes exigences de simplicité, rapidité et design. Alors je me suis construit ma propre interface. Minimaliste, fluide, efficace. Et je prends du plaisir à utiliser Nostr de cette manière, au quotidien. Il y a tout un monde à développer, à améliorer, et tous ensemble, je pense qu'on peut faire grandir cette alternative aux réseaux centralisés, face à la régulation. #nostrfr image
Bon petite bourde en manipulant du code pour Nostr. Ma liste de compte que je follow a été remise à .. zero. Si je ne vous suis plus, c'est un accident 😬 On va tenter de restaurer ça
👉 Dans Le Monde, Jérémie Pham-Le raconte l'interpellation et le parcours de "HexDex" interpellé le 20 avril après plus de 90 piratages. Faouzi.C, 21 ans, jeune maraîcher vendéen, assure n'avoir aucune compétence poussée en cybersécurité et avoir surtout eu recours à l'IA pour extraire les bases de données. Si HexDex utilisait bien un VPN pour se dissimuler, l'article décrit comment BreachForums a participé à sa chute : "Si « HexDex » a pris soin de dissimuler ses traces numériques, via notamment l’utilisation d’un VPN, les policiers de la brigade de lutte contre la cybercriminalité sont parvenus à l’identifier en tirant le fil à partir des… bases de données de Breachforums, dont le serveur a été saisi par les autorités après sa fermeture. Une ligne téléphonique, reliée à un opérateur virtuel et différentes adresses e-mails fictives utilisées pour s’inscrire sur la plateforme de hacking, a permis aux enquêteurs de remonter jusqu’à Faouzi C" Décrit comme fragile et renfermé sur lui-même sur le plan psychique, Faouzi se serait réfugié dans l'informatique de façon autodidacte. A travers son avatar, il cherchait à faire le buzz, faire du bruit, pour qu'on parle de lui. Une caisse de résonance offerte par des acteurs comme Zataz, TF1 et consors qui auront contribués à lui offrir une visibilité nourrissant son addiction à l’adrénaline. image
👉 Même les meilleurs VPN no-logs peuvent avoir des failles. C'est ce qui vient d'arriver à Mullvad En cause : la prévisibilité de l'adresse IP que vous attribue le VPN. Un chercheur connu sous le pseudonyme tmctmt a révélé qu'il était possible de faire du fingerprinting à partir de votre IP de sortie, c'est-à-dire l'IP que voient les sites quand vous utilisez le VPN. Voici comment ça fonctionne. Quand vous vous connectez à Mullvad, vous utilisez WireGuard, le protocole qui crée le tunnel chiffré entre vous et le serveur. Ce tunnel génère une clé unique pour votre appareil. C'est cette clé qui vous identifie auprès du serveur. Jusque-là, rien d'anormal. Le problème, c'est que Mullvad utilise cette même clé pour calculer quelle adresse IP de sortie vous attribuer. Chaque serveur dispose d'une plage d'IPs, un ensemble d'adresses disponibles, comme des numéros dans un immeuble. Et ce calcul place toujours votre connexion au même endroit dans cette plage, quel que soit le serveur sur lequel vous arrivez. Imaginez une liste de 100 IPs sur un serveur. Vous tombez toujours sur celle à la 80ème position. Vous changez de serveur, nouvelle liste, mais vous arrivez encore à la 80ème position. Et sur le suivant. Et sur le suivant. Ce "80", c'est votre empreinte. Elle vous suit partout. 🔍 tmctmt l'a démontré en testant 3 650 clés sur 9 serveurs dans le monde entier. En theorie, on est sur des milliards de combinaisons possibles. En pratique : 284 motifs distincts. Est-ce grave ? Est-ce que ça change quelque chose pour vous ? Pour la plupart, non. Mais si vous étiez à la recherche d'un anonymat proche de la perfection, oui. Ce que ça permet de faire : n'importe qui avec accès aux logs de deux plateformes différentes, même anciens, même issus d'une fuite de données, peut relier deux comptes ayant utilisé des serveurs Mullvad différents, à des moments différents. Parce que derrière des IPs différentes, la position dans la plage reste la même. C'est ça, l'empreinte. Dans ma vidéo sur comment la police vous traque derrière votre adresse IP, j'expliquais que la corrélation est l'une des techniques les plus efficaces pour remonter jusqu'à un utilisateur. Ce chercheur vient de démontrer qu'une faille structurelle peut y suffire, sans surveillance réseau en temps réel, sans coopération de FAI, juste en croisant des logs. Exemple concret. Vous utilisez Mullvad pour vous connecter à X avec votre profil habituel. Vous changez de serveur. Vous vous connectez à un compte anonyme sur un autre réseau social. En croisant les logs de ces deux plateformes, sachant que les plages d'IPs de Mullvad sont désormais cartographiées et qu'un outil public permet de faire le calcul, on peut établir un lien probable entre les deux comptes. La seule condition : que les deux connexions aient eu lieu dans la même fenêtre de rotation de clé WireGuard. Avec le client officiel Mullvad, cette clé tourne automatiquement tous les 1 à 30 jours. Si elle a tourné entre les deux sessions, le motif change et le lien est cassé. Ca reste néanmoins une faiblesse exploitable. À noter : Obscura, qui utilise Mullvad comme nœud de sortie, est également impacté. Mullvad a reconnu le problème et déploie un correctif progressivement. En attendant, si vous changez de serveur : déconnectez-vous complètement de l'app et reconnectez-vous. Ça régénère la clé et casse le motif. Les meilleurs outils ont des failles que personne ne voit pendant des années. C'est pour ça que comprendre comment ils fonctionnent compte autant que les utiliser. image
La CNIL se mousse dans son rapport annuel d'avoir infligé 486M€ d'amendes en 2025. Vous enlevez Google (325M€) et Shein (150M€), deux multinationales, le véritable chiffre des sanctions imposées en France c'est : 11 839 500€ pour 81 sanctions. 146 167€ en moyenne. Comparé aux autres pays européens : 🇩🇪 Allemagne : 48,1M€ - 499 sanctions 🇪🇸 Espagne : 45,2M€ - 324 sanctions 🇫🇷 France (réel) : 11,8M€ - 81 sanctions Sans Big Tech à sanctionner sur des cookies publicitaires, l'Allemagne fait 4x plus. L'Espagne aussi. Au boulot. Je crois qu'il y a de quoi faire. image
[Données personnelles, la grande fuite] Épisode 2 de la série de Le Monde consacrée aux fuites de données, un sujet que je traite chaque jour avec @Fuites Infos . Et cette fois, Martin Untersinger part d’un exemple très parlant : même les ministres régaliens sont concernés. Plus de 30 ministres ont vu leurs informations personnelles divulguées dans des fuites de données. L’adresse personnelle de Sébastien Lecornu a notamment été retrouvée dans une fuite de données, au point que l’article souligne les risques physiques que peuvent entraîner ces expositions, surtout lorsqu’elles permettent de recouper une adresse, une identité, une fonction et un environnement de sécurité. C’est peut-être ça, le message le plus fort : les fuites de données ne concernent pas seulement “les autres”, ni seulement des emails oubliés dans une vieille base marketing. Elles touchent tout le monde, y compris le sommet de l’État. Selon les chiffres que la CNIL a publiés ce soir, 6 167 violations de données personnelles lui ont été signalées en 2025, soit 10 % de plus qu’en 2024. Depuis début 2026, j’ai recensé 163 fuites de données confirmées ! Soit plus du double annoncé pour 2025 selon la CNIL. Free, France Travail, l’ANTS, Auchan, Parcoursup, les mutuelles, des ministères, des syndicats, des prestataires : aucun secteur n’est réellement épargné en 2025. Ces fuites alimentent des arnaques personnalisées, de l’usurpation d’identité, des fraudes bancaires, des piratages secondaires, mais aussi des risques physiques : cambriolages ciblés, menaces, séquestrations, notamment dans l’écosystème crypto. Si Le Monde rappelle un point important, à savoir que certaines revendications de fuites sont fausses, recyclées, gonflées ou invérifiables, il faut aussi garder en tête une limite majeure : le temps institutionnel n’est pas celui du terrain. Lorsqu’une fuite circule sur un forum, un canal Telegram ou un espace de revente, elle peut déjà être exploitée, recopiée, enrichie ou recoupée avant même qu’une qualification officielle ne soit possible. À l’inverse, une fuite peut être réelle dans ses échantillons, mais partielle dans son périmètre, mal attribuée, ancienne ou mélangée à d’autres jeux de données. Le sujet n’est donc pas de croire toutes les revendications, ni de les balayer parce qu’elles ne sont pas encore confirmées par une autorité. Le vrai travail consiste à vérifier les échantillons, dater les fichiers, analyser les structures, identifier les doublons, mesurer le périmètre probable et distinguer ce qui est avéré, plausible, exagéré ou douteux. Mais lorsque les fuites sont réelles, les dégâts sont profonds. Une donnée personnelle volée ne disparaît pas. Elle circule, se revend, se recoupe, se réutilise. Et plus les bases s’accumulent, plus les attaques deviennent crédibles. Le plus inquiétant, au fond, c’est que beaucoup de ces incidents ne reposent pas sur des attaques ultra-sophistiquées. Le Monde cite notamment la CNIL : près de 80 % des violations de grande ampleur en 2024 auraient été rendues possibles par l’absence d’authentification multifacteur. On parle donc de faille parfois évitables, de négligences connues, de mesures de sécurité basiques qui ne sont toujours pas généralisées, y compris dans certaines administrations. La fuite de données n’est donc plus seulement un sujet technique. C’est un sujet de sécurité publique, de confiance numérique, de souveraineté, et de responsabilité politique. Et c’est exactement pour ça qu’il faut arrêter de traiter ces affaires comme de simples “incidents informatiques”. Une fuite massive, c’est parfois une vie administrative exposée, une identité fragilisée, un foyer localisable, un patrimoine exposé, une personne vulnérable mise en danger. Avec Fuites Infos, l’objectif reste le même : documenter, vérifier, expliquer, sans panique inutile, mais sans minimiser non plus. Parce qu’à force de banaliser les fuites, on finit par banaliser leurs conséquences. image
👉 7 ans sous les radars et rattrapé après avoir commandé.. des lingots d'or. L'administrateur présumé de Dream Market vient d'être arrêté en Allemagne, 7 ans après la fermeture de la plus grande place de marché du darknet de l'époque. ⬇️ Connu sous le pseudo Speedstepper, il se faisait oublier depuis 2019. Aucune erreur pendant 3 ans. MAIS en novembre 2022, il décide de bouger ses crypto gagnés avec Dream Market, des millions de dollars endormis sur ses portefeuilles. Quelques mois plus tard, il achète des lingots d'or à Atlanta via un prestataire crypto, livrés à son domicile... 11,5 kg d'or saisis à la perquisition. 20 000 euros cash. Plusieurs millions en crypto sur diverses plateformes. Owe Martin Andresen, 49 ans. Plus de 2 millions de dollars blanchis entre 2023 et 2025. Défait par un colis postal. Source : @manhack / @nextinpact