Basic-Fit : une centaine de milliers de membres touchés par un vol de données bancaires
La chaîne de salles de sport Basic-Fit a confirmé le 13 avril avoir subi une intrusion dans son système d'enregistrement des visites. On parle d'un vol de noms, adresses, emails, téléphones, dates de naissance et surtout des coordonnées bancaires (IBAN). L'intrusion a été détectée et stoppée en quelques minutes selon l'enseigne, mais les données avaient déjà été téléchargées.
Le principal risque identifié est la mise en place de faux mandats SEPA via des plateformes comme Stripe, permettant d'initier des prélèvements frauduleux. Un IBAN seul ne permet pas de vider un compte, mais combiné aux autres informations volées (nom, adresse, email), il devient un outil dangereux pour des acteurs malveillants. Les membres concernés doivent rester vigilants face aux tentatives de phishing qui ne manqueront pas d'exploiter ces données !
Un triste rappel que la question n'est plus de savoir si une entreprise se fera pirater, mais quand ? C'est la raison pour laquelle il est recommandé aux TPE et PME de ne récolter que les données strictement nécessaires à leur activité. Moins vous en stockez, moins l'impact sera important en cas d'incident.
Booking.com confirme une fuite massive exploitée pour du phishing ciblé
Le géant de la réservation hôtelière a confirmé le 13 avril qu'une activité suspecte avait permis à des tiers non autorisés d'accéder à des données de réservation : noms, adresses email et physiques, numéros de téléphone, ainsi que des détails de séjour. Booking.com assure qu'aucune information financière n'a été consultée et que les codes PIN des réservations concernées ont été mis à jour.
Plusieurs témoignages ont signalé des messages frauduleux envoyés via WhatsApp ou d'autres canaux, contenant suffisamment d'informations précises pour sembler authentiques. Cette personnalisation donne aux tentatives de phishing un vernis de crédibilité beaucoup plus dangereux que des approches génériques. L'entreprise rappelle qu'elle ne demande jamais de partager des informations bancaires par email, téléphone, WhatsApp ou SMS.
Toute demande urgente liée à une réservation, un paiement supplémentaire ou une vérification d'identité doit désormais être considérée avec la plus grande prudence, même si le message contient des éléments exacts sur votre séjour.
Facebook : 30 000 photos privées téléchargées par un ingénieur interne
Un ingénieur londonien de Meta a développé un script pour contourner les sécurités internes et récupérer 30 000 photos privées d'utilisateurs Facebook. Ces images étaient marquées comme privées par leurs propriétaires et donc réservées à leurs proches uniquement. L'affaire a été découverte par Meta, qui a licencié l'employé et transmis le dossier aux autorités. L'homme a été interpellé en novembre 2025 par la police du Grand Londres et reste sous contrôle judiciaire.
L'enquête se poursuit pour déterminer si les images ont été copiées, partagées ou exploitées à des fins criminelles. L'ICO (autorité britannique de protection des données) examine si les mesures de sécurité en place étaient suffisantes pour empêcher qu'un salarié abuse de ses accès. Si la réponse est négative, Meta pourrait écoper d'une amende pouvant atteindre 17,5 millions de livres sterling.
Une affaire s'ajoute à une longue liste de scandales pour Meta : Cambridge Analytica, fuites de numéros de téléphone, accusations de collecte abusive...
Police Nationale : piratage de la plateforme de formation e-campus
La plateforme de formation de la Police Nationale, e-campus, a fait l'objet d'un piratage les 17 et 18 mars derniers. Des données personnelles de policiers en activité, d'agents administratifs et de contractuels ont été consultées par un acteur malveillant : noms, prénoms, adresses email professionnelles, villes, informations de connexion, modules suivis, badges obtenus... La Direction Générale de la Police Nationale (DGPN) a pris des mesures correctives immédiates pour contenir l'incident et sécuriser les accès.
Des investigations sont toujours en cours pour évaluer l'ampleur complète de cet incident. Une attaque qui intervient seulement quatre mois après une importante cyberattaque au sein du Ministère de l'Intérieur, et bien d'autres qui visent l'Education Nationale. Au vu des tensions mondiales, on est en droit de se demander si ces cyberattaques ne seraient pas étatiques, pour but de déstabiliser la France ?
Discord : le témoignage d'un père face aux failles du support
Un père de famille américain a raconté sur Ars Technica comment le piratage du compte Discord de sa fille a révélé les failles structurelles de la plateforme. L'adolescente de 13 ans est tombée dans un piège de phishing classique : un message d'un contact prétendant l'avoir "accidentellement signalée" avec un lien pour régulariser la situation. Sans double authentification activée, elle s'est retrouvée exclue de son compte. Le pirate a ensuite réclamé les coordonnées bancaires des parents pour "rendre le compte".
Au-delà du piratage lui-même, le père s'est heurté au manque de réactivité du support Discord et à un problème structurel : sa fille avait menti sur son âge lors de l'inscription (déclarant plus de 18 ans), et il s'est révélé impossible de reclasser le compte en "mineur" pour activer les protections adéquates. Le chatbot Clyde et l'employée du support ont fermé ses tickets en lui conseillant de signaler le problème depuis l'application à laquelle sa fille n'avait plus accès...
Une histoire qui met en lumière deux points essentiels : l'importance cruciale d'activer la double authentification sur tous vos comptes ainsi que ceux de vos enfants, et la nécessité d'accompagner les plus jeunes dans la compréhension des arnaques courantes. Le phishing fonctionne précisément parce qu'il joue sur l'urgence et la peur.
Les hackers utilisent des emojis pour contourner les systèmes de détection
Des chercheurs de Flashpoint ont publié le 7 avril un rapport révélant que les réseaux criminels utilisent désormais massivement des emojis pour remplacer les mots-clés sensibles dans leurs communications. Un attaquant qui vend des données bancaires n'écrit plus "credit card" ou "banque", il remplace ces termes par des emojis. Les scanners traditionnels configurés pour intercepter du texte brut passent complètement à côté, car les emojis ne déclenchent aucune alerte.
Le vocabulaire est sophistiqué : 🔑 et 🔓 désignent les accès piratés et mots de passe volés, 🤖 ⚙️ et 🧰 composent le registre technique (malwares, bots, kits d'exploitation), 💳 signifie données bancaires. Un groupe pakistanai a même utilisé les emojis comme commandes : un appareil photo déclenchait une capture d'écran, une flamme lançait l'exfiltration de fichiers, une tête de mort terminait les processus.
Une deuxième technique combine ces emojis avec de l'argot, des abréviations et des messages multilingues, créant un jargon que les algorithmes de surveillance ne savent pas lire. Les analystes de Flashpoint soulignent que ces modèles comportementaux pourraient devenir des signatures identifiables pour tracer les acteurs malveillants, même quand ils changent de pseudonyme ou de plateforme.
L'Union européenne prépare une application de vérification d'âge respectueuse de la vie privée
La Commission européenne a annoncé que son application de vérification d'âge pour les services en ligne est désormais techniquement opérationnelle. Cet outil, pensé pour concilier protection des mineurs et respect de la vie privée, doit permettre aux internautes de prouver qu'ils ont l'âge requis pour accéder à certains contenus sans divulguer inutilement leurs données personnelles. L'application génère une preuve d'âge réutilisable basée sur une vérification initiale à partir d'un document officiel, en ne transmettant qu'une information minimale au service concerné (par exemple : "a plus de 18 ans").
Plusieurs pays ont déjà participé à la phase pilote : France, Espagne, Grèce, Danemark et Italie. Le dispositif repose sur une architecture pensée pour éviter le pistage entre services et empêcher qu'une même preuve permette de reconstituer les habitudes d'un utilisateur. La Commission travaille depuis 2025 sur ce socle technique diffusé en open source, avec une deuxième version enrichie à l'automne 2025 prenant en charge l'initialisation via passeport ou carte d'identité.
L'application s'inscrit dans le projet plus vaste du portefeuille européen d'identité numérique. Elle doit pouvoir fonctionner seule dans un premier temps, tout en restant compatible avec les futures briques d'identité numérique que les États membres doivent progressivement déployer. Les usages envisagés dépassent largement le seul accès aux réseaux sociaux ou sites pour adultes : achat d'alcool en ligne, jeux d'argent, contenus sensibles, etc.
Roblox renforce la protection des mineurs avec deux nouveaux types de comptes
Roblox a annoncé le 13 avril le lancement prochain de deux nouveaux types de comptes basés sur les tranches d'âge : Roblox Kids pour les 5-8 ans, et Roblox Select pour les 9-15 ans. Ces comptes seront déployés en juin 2026 avec pour objectif de limiter l'accès à certains titres et d'empêcher les mineurs de moins de 16 ans d'accéder aux jeux les plus violents. Les titres accessibles via ces formules passeront par un processus de vérification en trois étapes : vérification des développeurs, évaluation en temps réel des interactions, puis attribution d'un label de maturité.
Les outils de discussion, dont l'accès avait déjà été durci fin 2025, seront totalement interdits aux moins de 9 ans. Pour les 9-15 ans, les discussions seront possibles uniquement entre utilisateurs de la même tranche d'âge. Un renforcement du contrôle parental sera également déployé, avec la possibilité pour les parents de bloquer certains jeux spécifiques. Cette annonce intervient alors que Roblox est réputé pour accueillir des "prédateurs".
Des évolutions qui vont dans le bon sens, mais à mon avis, le mieux serait encore de pas laisser des enfants accèder à ce type de plateforme seuls.
Emmanuel Macron veut interdire les faux comptes à l'échelle européenne
Le 16 avril 2026, Emmanuel Macron a annoncé devant les maires de France la mise en chantier d'un projet de loi visant à protéger les processus électoraux des manipulations numériques, notamment d'origine étrangère. À un an de la présidentielle 2027, le chef de l'État veut s'attaquer à l'opacité des algorithmes, aux fermes de faux comptes et aux ingérences étrangères. Paris souhaite bannir les faux comptes des réseaux sociaux à l'échelle de l'Union européenne tout en maintenant l'anonymat en ligne.
Le gouvernement compte aligner les plateformes sur le Code électoral en freinant la monétisation de la parole pendant les campagnes. L'objectif affiché est de blinder le scrutin contre les manipulations numériques en agissant sur plusieurs leviers simultanément. Aucun pays n'a été explicitement mentionné, mais les ombres de la Russie et des États-Unis planent sur cette annonce.
Un projet de loi soulève des questions complexes sur l'équilibre entre protection démocratique et libertés individuelles. La distinction entre "faux compte" et "compte anonyme légitime" reste à définir précisément, et les modalités de vérification d'identité devront être soigneusement encadrées pour éviter toute dérive autoritaire !
Conclusion
Cette semaine illustre parfaitement deux mouvements parallèles dans le numérique : d'un côté, une multiplication des incidents de sécurité touchant aussi bien des entreprises privées que des institutions publiques. De l'autre, des initiatives de régulation et de protection se mettent progressivement en place.
Quelques enseignements pratiques à retenir de tout ça :
- activez systématiquement la double authentification sur vos comptes importants,
- limitez les données personnelles que vous partagez en ligne,
- restez vigilants face aux messages qui vous semblent urgents, même s'ils contiennent des informations exactes vous concernant
Enfin, chaque nouvelle fuite de données rappelle l'importance de ne collecter que les informations strictement nécessaires à votre activité. Moins vous en stockez, moins l'impact sera important le jour où un incident surviendra.