Retour aux archives

Édition 06 · 13 juillet 2026

Edition 06

Chat Control de retour via un artifice procédural, quatre gouvernements devant les tribunaux pour NIS2, 281 VPN gratuits qui fuient, Meta qui s'approprie votre visage par défaut, et un OS qui vous surveille sauf si vous l'en empêchez.

Par Christophe Mazzola, CISO en exercice et fondateur de Cyber Academy.

Recevez le prochain GRC Brief dans votre boîte mail.

S'abonner à The GRC Brief

Une majorité de députés européens a voté contre. Le texte est passé quand même.

Deux appellations, deux réalités très différentes. Chat Control 1.0 est la dérogation volontaire qui permet aux plateformes d'analyser les messages non chiffrés à la recherche de CSAM. Elle a expiré en avril lorsque le Parlement a refusé de la renouveler. Le 2 juillet, le Conseil l'a relancée et transmis sa position au Parlement via une procédure d'urgence, programmée pour la dernière session avant la pause estivale. Le 9 juillet, la bloquer nécessitait une majorité absolue : 361 voix sur 720. Le rejet a recueilli 314 voix contre 276 ; plus de députés s'y sont donc opposés qu'ils ne l'ont soutenu, mais le texte manquait de 47 voix et a été maintenu. Le Parlement a bien adopté des amendements distincts excluant les services chiffrés de bout en bout, qui retournent désormais au Conseil. La version permanente et obligatoire, Chat Control 2.0, celle qui pourrait imposer un balayage côté client sur les applications chiffrées, reste bloquée en trilogue, avec une prochaine session en septembre. Ses partisans, dont de grandes plateformes américaines, font valoir que l'analyse volontaire est indispensable pour continuer à détecter et signaler les abus.

Source: My full analysis · christophemazzola.fr

Mon analyse

C'est l'information la plus grave de ce numéro, et elle devrait vous mettre en colère. Oubliez la procédure : plus de députés européens ont voté contre la relance de l'analyse de masse des messages que pour elle, et le texte est passé quand même. Le seuil pour rejeter une position du Conseil est intentionnellement élevé, une majorité absolue, mais le vote a été précipité via une procédure d'urgence et programmé lors de la dernière session avant l'été, quand une bonne partie de l'hémicycle était déjà rentrée chez elle. La majorité a dit non. Le calendrier a dit oui.

Voici maintenant ce que la plupart des commentaires ratent, et que vous ne devez pas rater. Ce qui revient, c'est la version 1.0, l'analyse volontaire des messages non chiffrés, pas l'analyse obligatoire côté client des applications chiffrées. L'exclusion du chiffrement a été adoptée, ce qui signifie que Signal, WhatsApp et iMessage sont formellement hors du champ de cette version. La version dangereuse, la 2.0, est toujours vivante en trilogue et revient en septembre. La victoire pour le chiffrement est réelle, mais étroite, et le vrai combat est dans trois mois.

Si vous conseillez une organisation qui opère un produit chiffré, ou une équipe chargée de suivre ce dossier, bloquez septembre dans vos agendas dès maintenant. Le précédent posé cette semaine est procédural, pas technique. Mais l'appétit est manifeste, et ceux qui veulent tout analyser viennent d'apprendre qu'ils peuvent remporter un vote qu'ils avaient perdu.

Quatre gouvernements ont ignoré la directive cybersécurité. L'UE les a traduits en justice.

Le 8 juillet, la Commission européenne a renvoyé l'Irlande, l'Espagne, la France et les Pays-Bas devant la Cour de justice pour ne pas avoir transposé NIS2, la directive phare de l'UE en matière de cybersécurité, dans leur droit national. La date limite de transposition était octobre 2024 ; les quatre pays accusent donc plus de vingt mois de retard. La Commission demande à la Cour d'imposer un forfait de pénalité assorti d'astreintes journalières jusqu'à notification de la transposition complète. Pour mesurer à quel point ce retard est répandu : en janvier 2025, seuls six des vingt-sept États membres l'avaient transposée. Certains des quatre bougent désormais : les Pays-Bas ont adopté leur loi le 7 juillet, la veille du renvoi, et l'Irlande prévoit de notifier avant la fin de l'année. Et le calendrier a un relief particulier : l'Irlande a pris la présidence tournante du Conseil de l'UE le 1er juillet, une semaine avant d'être traduite devant la plus haute juridiction de l'Union.

Source: European Commission · Commission referral, 8 Jul 2026

Mon analyse

Lisez cet article à la suite du précédent et le contraste résume toute la newsletter. La seule loi européenne qui oblige les organisations à se défendre concrètement, NIS2, est restée non transposée dans quatre pays pendant vingt mois, dont le mien. Bruxelles peut mettre en place un régime d'analyse en une semaine, mais la directive qui protège les hôpitaux et les réseaux électriques attend deux ans et une citation en justice.

Le point praticien est sans détour, et je le dis dans chaque formation. Le retard de votre gouvernement ne vous protège pas. La date limite est passée en octobre 2024. Les obligations, gestion des risques, notification des incidents, devoirs liés à la chaîne d'approvisionnement, c'est la direction que prend le secteur, peu importe quand Madrid ou Paris finira les formalités. Si vous dirigez une entité régulée et que vous avez attendu la loi nationale comme prétexte, vous avez accumulé de la dette, et la facture se comprime dès que le texte entre en vigueur.

Savourez aussi le calendrier. L'Irlande a pris la présidence du Conseil de l'UE le 1er juillet et a été convoquée devant la propre juridiction de l'UE le 8 juillet. Ceux qui sont censés montrer la voie en matière de cyber n'ont pas su transposer la loi cyber. Si vous aviez besoin d'une preuve que sensibilisation et mise en conformité sont deux choses différentes, la voilà.

281 VPN gratuits testés. La protection de la vie privée était du théâtre.

Des chercheurs ont soumis 281 des VPN Android gratuits les plus populaires, représentant ensemble plus de 2,4 milliards d'installations, à un nouveau cadre d'audit appelé MVPNalyzer, développé par des équipes de Michigan, New Mexico et IIT Delhi. Les défaillances sont élémentaires. 29 applications laissent fuiter du trafic hors du tunnel, y compris les requêtes DNS qui révèlent les sites visités. 61 envoient certaines données en clair, et cinq d'entre elles récupèrent leur fichier de configuration sans chiffrement, ce qui permet à un attaquant sur le même réseau de rediriger la connexion vers un serveur qu'il contrôle. Plus de 80 % ont contacté des serveurs publicitaires et de pistage connus, 76 ont transmis l'identifiant publicitaire de l'appareil, et l'une d'elles envoyait les coordonnées GPS exactes du téléphone. Le point que les chercheurs répètent : un VPN déplace votre confiance de votre fournisseur d'accès vers celui qui a conçu l'application, et le badge Verified du Play Store se comporte davantage comme un argument marketing que comme une garantie de sécurité.

Source: The Hacker News · MVPNalyzer study, 10 Jul 2026

Mon analyse

Même leçon que le bloqueur de publicités il y a quelques semaines, nouveau costume. Les gens installent ces applications pour être plus en sécurité et confient leur trafic à celui qui a écrit l'appli. 2,4 milliards d'installations, et les bases sont défaillantes : fuite DNS, fichiers de configuration en clair, traqueurs partout, une application qui renvoie vos coordonnées GPS. Le badge Verified n'a rien empêché, parce qu'un badge est un label marketing, pas un contrôle.

Pour votre organisation, ce n'est pas une note de bas de page destinée aux consommateurs. C'est du Shadow IT sur les terminaux qui touchent à vos données. Un membre de votre équipe installe un VPN gratuit sur le téléphone qui lit les mails professionnels, et votre trafic transite désormais via un opérateur que vous n'avez jamais audité, potentiellement en clair. Les VPN gratuits ne sont pas un outil de protection de la vie privée. Ils sont un modèle économique, et vous êtes la marchandise.

Le seul filtre efficace est la provenance. Un audit indépendant récent, une propriété claire, une activité financée par de l'argent plutôt que par vos données. Tout le reste, y compris les promesses de zéro log, est un point de départ, pas une preuve.

Meta va transformer vos photos publiques en images générées par IA, par défaut.

Meta a lancé Muse Image, un nouveau modèle d'IA qui permet aux utilisateurs de mentionner (@-mention) un compte Instagram public pour générer des images à partir de ses photos, vidéos et reels. C'est activé par défaut. N'importe qui peut taguer un profil public pour créer du contenu réutilisant tout ou partie de ses médias publiés, et selon les paramètres, ce contenu généré par IA peut apparaître dans les résultats de recherche. Les personnes ne sont pas notifiées lorsque leurs images sont réutilisées de cette façon. Passer votre compte en privé pendant plus d'un jour supprime les reels et publications que d'autres ont créés à partir de votre contenu, mais tout ce qui a déjà été généré via les fonctionnalités IA demeure. Meta indique que les utilisateurs disposent d'un contrôle total et peuvent désactiver l'option, enfouie sous Paramètres, puis Partage et réutilisation. C'est le même schéma opt-out par défaut que Google vient d'utiliser pour alimenter ses modèles d'IA avec les médias des utilisateurs connectés.

Source: The Hacker News · Meta Muse Image, 9 Jul 2026

Mon analyse

Activé par défaut, et vous n'êtes même pas averti quand cela se produit. Réfléchissez-y. Meta prend vos photos publiques, laisse un inconnu vous mentionner et génère des images de vous, et vous n'en saurez jamais rien. Le contrôle, selon Meta, c'est un interrupteur que vous ne saviez pas exister, enfoui à trois niveaux de menu, qui ne supprime rien de ce qui a déjà été créé.

C'est le problème du consentement que toute l'industrie contourne à toute vitesse. L'opt-out par défaut n'est pas du consentement, c'est du consentement de façade, et dans l'UE, ce n'est pas un débat sur l'UX, c'est un débat GDPR. Google a fait la même chose ce mois-ci avec vos médias et son IA. Le schéma est révélateur : prendre d'abord, proposer un interrupteur bien caché ensuite, ne jamais notifier.

Deux minutes de maintenance si vous utilisez Instagram : Paramètres, Partage et réutilisation, désactivez les publications et les reels. Faites-le aussi pour les comptes publics que vous gérez. Et rappelez-vous que cela ne bloque que les prochaines réutilisations, pas celles déjà réalisées.

L'identifiant Windows que vous ne pouvez pas désactiver vient de coincer un hacker.

Une plainte fédérale américaine rendue publique révèle un identifiant Windows que la plupart des gens n'avaient jamais entendu mentionner : le Global Device Identifier, ou GDID. C'est un identifiant persistant, au niveau de l'appareil, que Microsoft attribue lors de la connexion avec un compte Microsoft ; il relie l'activité que votre PC rapporte à Microsoft à une seule identité, et il survit aux mises à jour Windows. Il n'y a pas d'écran de consentement ni de véritable option de désactivation : vous ne pouvez pas empêcher Windows de le générer sans casser l'activation, et une réinstallation vous donne simplement un nouveau numéro que Microsoft peut relier au même compte. Jusqu'à cette affaire, Microsoft ne l'avait documenté qu'en une seule phrase, dans un tableau de référence Azure destiné aux entreprises. L'affaire elle-même : un présumé membre de Scattered Spider âgé de 19 ans a compromis un bijoutier américain en manipulant son service d'assistance, puis a opéré derrière des proxys VPN. Ces adresses IP de proxy étaient des impasses, mais les journaux de Microsoft plaçaient le GDID de sa machine lors de l'inscription de l'attaquant et sur le site de la victime aux mêmes minutes, et les enquêteurs ont ensuite retrouvé ce même identifiant sur ses comptes personnels dans quatre pays sur huit mois. Le VPN a changé. Le GDID, non.

Source: Windows Latest · GDID / FBI complaint, 10 Jul 2026

Mon analyse

Deux articles plus haut, des VPN gratuits vous laissaient fuiter. Voici la version plus difficile de la même leçon : même un VPN qui fonctionne parfaitement ne sert à rien si votre propre système d'exploitation appose un identifiant permanent sur tout ce que vous faites. Le hacker utilisait des proxys. Ils étaient des impasses. L'identifiant Windows en dessous ne l'était pas. L'anonymat n'est pas un seul outil ; c'est le maillon le plus faible de toute la chaîne, et l'OS en est généralement la cause.

Personne ne pleure pour un membre de Scattered Spider, et cet identifiant sert aussi à Microsoft pour gérer les licences et la fraude, ce qui est légitime. Ce qui devrait vous déranger, c'est l'asymétrie. Apple et Google soumettent leurs identifiants d'appareil à une invite de consentement et permettent une réinitialisation. Microsoft en livre un sans invite, sans réinitialisation, avec une seule phrase de documentation publique, lié à votre compte plutôt qu'à votre personne, et le public n'a appris son existence que parce qu'un dossier judiciaire l'a explicité.

Pour votre modèle de menace, soyez précis sur ce qu'un VPN vous apporte : il masque votre chemin réseau, pas l'identité de votre machine. Si l'identité elle-même est le risque, journalisme, activisme, personne en danger, c'est une conversation sur un compte local, Linux ou Tails, pas sur un VPN. Pour un parc géré, c'est une raison supplémentaire pour que votre stratégie d'identité des terminaux ne s'arrête pas à la couche réseau.

Aimé celle-ci ? Recevez la prochaine.

Atterrissez sur la prochaine.

Cinq choses qui ont bougé dans la GRC, tous les lundis. Analyse franche, sans recyclage de communiqués.

S'abonner à The GRC Brief