📱 Le "Pixel-exit" de GrapheneOS est officiel ! La rumeur courait, GrapheneOS cherchait un constructeur pour se défaire de l'exclusivité Pixel... C'est désormais chose faite avec Motorola ! 🚀 Lors du MWC 2026, Motorola a frappé un grand coup en annonçant un partenariat stratégique de long terme avec la GrapheneOS Foundation. Pourquoi c'est important ?Jusqu’ici, pour profiter de l'OS le plus sécurisé au monde, il fallait obligatoirement acheter un Google Pixel. Ce partenariat marque la fin de cette dépendance et l'arrivée de GrapheneOS sur une plateforme matérielle différente, portée par la puissance de Lenovo et son écosystème ThinkShield. Motorola et GrapheneOS travaillent ensemble sur de futurs appareils conçus spécifiquement pour répondre aux exigences matérielles strictes de l'OS (vraisemblablement pour 2027). #nostrfr https://motorolanews.com/motorola-three-new-b2b-solutions-at-mwc-2026/

🔴 Le groupe Lapsus$ annonce mettre en vente les données de l’EPITA (École pour l'informatique et les techniques avancées) revendiquée le 15 février 2026. ➡️Données concernées : - Identité civile (Noms et prénoms des étudiants et staffs) - Coordonnées de contact (Adresses emails institutionnelles epita . fr) - Informations de scolarité (Identifiants internes, années de promotion) - Contenus multimédias (Photos d'identité mentionnées comme disponibles dans le dump) Plus d'infos : https://christopheboutry.com/fuites-infos/#epita-ecole-pour-linformatique-et-les-techniques-avancees-2026-02-15

L'intensité est plus forte que jamais. Il y a un effet boule de neige perceptible. Et encore, je ne répertorie pas tout dans l'attente d'éléments sur des fuites revendiquées. Je sais que l'on ne s'étonne plus de ne pas avoir de réponses de la part de l’État mais je ne m'y fais pas. La mutation en cours est assimilable à du terrorisme sur l'intention claire de générer de la peur au sein de la population.

Eiffage ciblée par les hackers de LAPSUS$, 175 000 personnes concernées - A lire ⬇️ https://www.clubic.com/actualite-602713-eiffage-ciblee-par-les-hackers-de-lapsus-175-000-personnes-concernees.html

#nostfr

[Article] ➡️ Annus horribilis : le bilan février 2026 des fuites de données

 Vous en reprendrez bien un peu ? La France n’est pas à la traîne. À défaut d’être une voix sur la scène diplomatique, elle excelle dans un autre registre : balancer nos données dans la nature, secteur privé comme secteur public, avec un amateurisme crasse et un mépris si assumé que communiquer sur le sujet semble soit leur écorcher les lèvres, soit relever du je-m’en-foutisme caractéristique d’un règne qui s’achève. Le naufrage continue de plus belle, et vous êtes les passagers impuissants. Un jour viendra où la responsabilité de l’État sera engagée pour les millions de victimes. Le recensement que j’effectue sur Fuites Infos, en listant chaque jour les fuites de données qui impactent la France et les Français, est un indicateur puissant de ce qui se joue depuis le début de l’année. La cadence ne faiblit pas, elle s’accélère. Elle témoigne d’une démission collective. Nous sommes désormais enlisés dans un cercle sans fin où les compromissions de données facilitent d’autres compromissions de données. Les cybercriminels prennent une confiance qui, je l’espère, les perdra, mais se permettent chaque jour de braver un peu plus les limites : ils jouent avec les données de centaines de milliers d’enfants, se moquent publiquement du manque de sécurité, et s’offrent même le luxe de vous avertir des fuites sur vos boîtes mail… depuis les systèmes compromis. ⸻ Autant de fuites de données en 2026 qu’en 2025 Les chiffres. J’aime bien les chiffres. Ils offrent une hauteur de vue incomparable dans ce désastre. Si, en 2025, nous pensions avoir affaire à une année noire en matière de fuites de données, 2026 sera l’annus horribilis pour les Français. En seulement deux mois, 2026 a déjà dépassé 2025 : environ 161 fuites de données (connues) au 28 février, contre 150 fuites recensées sur toute l’année 2025. Soit un écart de 7,3 % atteint en un sixième d’année. Et sur la même période, en février 2025, nous comptions 19 fuites. Si cette dynamique se poursuit, si la justice et l’État n’interviennent pas, on pourrait finir l’année avec plus d’un millier de fuites de données connues et recensées. ⸻ Des chiffres, encore Janvier 2026, c’est environ 177 millions de personnes concernées. Oui : statistiquement, chaque Français a été victime de fuites de données 2,6 fois sur ce seul mois. Février 2026, c’est 3,8 % de fuites supplémentaires, mais “seulement” 80 millions de personnes concernées confirmées. On pourrait croire qu’avec -55 % en février, c’est un mois plus clément. Pas du tout. Pour une raison simple : cette baisse est une illusion statistique. Sur Fuites Infos, je réalise un travail d’analyse qui vise à ne comptabiliser un nombre de personnes concernées que quand ce chiffre est observable et exploitable dans les fuites, après dédoublonnage. Or, plusieurs fuites de février ne relèvent pas strictement de données personnelles au sens classique d’une « liste », mais aussi de fuites de fichiers : informations commerciales, partenaires, photos, documents, etc. Et, surtout, une partie des fuites de février est enregistrée à partir de communications d’entreprises victimes qui se gardent bien de donner le nombre de personnes visées. Donc oui : en personnes concernées, février affiche 79 736 239 enregistrements confirmés. Mais dès qu’on extrapole à partir des volumes chiffrés explicitement présents ailleurs (quand c’est comparable : lignes/records/utilisateurs), on retombe sur un autre ordre de grandeur : en février, j’arrive à une estimation de 148 millions de personnes dont les données sont exploitables. Et on comprend surtout que ces totaux sont des minima. Rapporté à la population française, cela revient à dire que le citoyen moyen a été “revendu” plusieurs fois depuis le 1er janvier, selon son exposition aux secteurs touchés. Et il y a tout ce qui est difficile à comptabiliser, tout en ayant exactement le même impact : des gigas de documents, des centaines de milliers de fichiers, des bases entières qui circulent sans que personne ne sache transformer ça en “nombre de victimes” propre et net. MyConnect, c’est 18 Go, 21 106 fichiers, 15 978 dossiers. Unis Cité, c’est 80 000 documents, 40 Go. Mondial Relay #2, c’est environ 330 000 fichiers. OSAC, c’est environ 420 Go. Valgo, c’est 279 Go et 225 372 fichiers. Kimsufi, c’est 51 bases de données, sans volume d’individus exploitable. On peut débattre des unités. Le résultat, lui, ne change pas : l’information est sortie, copiée, revendue, dupliquée, et elle ne reviendra pas dans son tiroir. ⸻ Les visages de l’ombre : qui sont les hackers ? Un temps, je me suis fondu dans la dynamique consistant à alerter sur les fuites de données qui nous impactent sans nommer les cybercriminels, au motif que ce serait “leur donner de la visibilité” et les inciter à persévérer pour gagner en notoriété et en argent. Mais c’est être dupe : ils n’ont pas besoin de quelques comptes X ou de sites relatant leurs méfaits pour continuer à dépouiller le public et le privé. Leur réputation se joue dans les négociations avec leurs acheteurs, pas sur les réseaux sociaux. D’autant plus qu’ils prennent un malin plaisir à se gargariser de leurs actions en communiquant de plus en plus directement avec les victimes, comme on l’a vu avec la fuite “On Air”, où des milliers de personnes ont reçu un mail signé par le hacker, ou encore Santéo. Ils connaissent la méthode marketing. Ils n’ont pas attendu les lanceurs d’alerte. Il faut nommer le mal pour le combattre, et apprendre à s’en méfier. Ils s’expriment désormais dans la presse auprès des journalistes. Et que ce soit Lapsus$, ShinyHunters ou DumpSec (pour ne parler que de ceux dont la France a entendu parler récemment), d’autres vous pilonnent chaque jour. Les chiffres ne sont pas exhaustifs. Ils sont même, très souvent, au minimum. HexDex apparaît comme le plus prolifique, avec 18 fuites, visant des cibles très variées, dont des structures liées à l’État et le secteur syndical, avec la vente revendiquée des données d’adhérents de la CFDT. Il est aussi très concentré sur les fédérations sportives, dont il exploite les failles qui ne sont jamais corrigées. DumpSec suit avec 7 fuites et des revendications particulièrement agressives, notamment sur Cegedim, avec des chiffres avancés supérieurs aux communications publiques, et l’annonce de dossiers liés à des plateformes institutionnelles. 84City, avec 5 fuites, se concentre fortement sur le secteur privé et les bases “clients” : Olympique de Marseille, Réglo Mobile, et une revendication d’accès persistant via un prestataire de salles de sport. LAPSUS$ revendique 3 fuites et reste fidèle à une logique d’extorsion et de mise en scène, avec des volumes internes massifs annoncés. Angel_Batista, déjà remarqué en janvier, réapparaît avec 2 fuites, prolongeant un tour de France des systèmes négligés et des accès mal maîtrisés, y compris dans des environnements sensibles. ⸻ Cegedim et le séisme de la donnée de santé : 15 millions de victimes Le 26 février 2026 restera comme une date noire pour la protection du secret médical. L’enquête de “L’Œil du 20 heures” sur France 2 a révélé l’ampleur d’une fuite touchant Cegedim Santé, l’un des piliers de l’informatique médicale française. Le logiciel MLM (Mon Logiciel Médical), utilisé par un médecin sur dix, a été la porte d’entrée d’un désastre touchant 15 millions de patients. L’incident aurait été détecté “fin 2025”, mais il a fallu attendre fin février pour que l’ampleur soit portée à la connaissance du grand public. Ce décalage temporel est en soi un scandale : pendant que l’information circulait de façon limitée, les données, elles, poursuivaient leur trajectoire sur les places de marché criminelles. La singularité de cette fuite n’est pas seulement son volume, équivalent à un quart de la population française. C’est la nature des informations. Cegedim a tenté de rassurer en parlant d’un “dossier administratif”. C’est un mensonge par omission. Le champ “commentaire administratif en texte libre” devient une bombe à retardement : là où l’on suppose une confidentialité forte, on trouve des annotations pouvant évoquer des addictions, des suspicions de troubles psychiques, des situations familiales précaires, des éléments d’intimité et des vulnérabilités sociales. Pour 164 000 personnes, l’exposition de ces annotations constitue un préjudice qui dépasse la fraude : on entre dans le champ des discriminations possibles à l’assurance, à l’emploi, au crédit, voire dans la vie sociale. La réaction politique a été révélatrice. La ministre de la Santé, Stéphanie Rist, a confirmé l’ampleur, tout en insistant sur le fait qu’il s’agissait d’une “entreprise privée”. Ce discours déplace la responsabilité : l’État organise la numérisation, mais se défausse lorsque le prestataire faillit, laissant le citoyen seul face aux conséquences, comme toujours. ⸻ L’État en passoire : le naufrage du fichier FICOBA Le 18 février 2026, la Direction générale des Finances publiques a dû admettre une intrusion dans le fichier FICOBA (Fichier national des comptes bancaires). Ici, on ne parle pas d’un sous-traitant obscur : on parle d’un outil au cœur du réacteur de Bercy. L’attaque n’a pas exigé un scénario de film d’espionnage. Les pirates ont utilisé des identifiants compromis d’un agent disposant d’accès dans le cadre des échanges inter-administrations. La sécurité d’un État ne vaut que ce que vaut la protection du compte le moins robuste de sa chaîne. Le bilan communiqué fait état d’environ 1,2 million de comptes concernés. Les pirates ont pu accéder à l’identité des titulaires, leurs adresses, leurs IBAN et, dans certains cas, leur identifiant fiscal. Même sans soldes bancaires, le potentiel d’escroquerie est redoutable : le vishing devient presque inratable lorsqu’un “agent” connaît déjà votre banque, votre adresse, votre identifiant fiscal et vos références de compte. Cet épisode s’inscrit dans une séquence où d’autres services publics ont aussi été ciblés, renforçant les appels à des mécanismes d’audit et de contrôle plus contraignants sur les systèmes d’information souverains. ⸻ IDmerit : la méga-fuite invisible, et des millions de Français victimes Parmi les dossiers de février, l’affaire IDmerit est la plus inquiétante par son caractère invisible. IDmerit est une société californienne de vérification d’identité (KYC). Beaucoup n’en ont jamais entendu parler, et c’est justement le problème : ce type d’acteur, sous-traitant pour banques, assurances et opérateurs, manipule des pans entiers d’identités sans exposition publique directe. Le 18 février 2026, Cybernews a révélé qu’une base MongoDB appartenant à IDmerit était accessible sur Internet sans mot de passe, sans authentification, laissant environ 1 téraoctet de données exposé. Pour la France, le chiffre avancé est sidérant : 53 millions d’enregistrements. Noms, dates de naissance, adresses, numéros de téléphone, e-mails, et surtout numéros d’identification nationaux, notamment des numéros de sécurité sociale, auraient été accessibles. L’affaire illustre une faillite structurelle : on externalise l’identité, puis on découvre qu’elle a été stockée comme un fichier d’essai sur un serveur ouvert. Et le point le plus inquiétant tient à l’enrichissement possible de ces bases : l’idée qu’un prestataire agrège, recoupe, annote, et reconstitue un profil de vulnérabilité à partir d’historiques de fuites antérieures. ⸻ Le sport et la jeunesse : un open bar pour pirates Février confirme ce que janvier avait déjà révélé : le sport français est une cible privilégiée, non pas pour ses secrets, mais pour la masse de données personnelles qu’il concentre, souvent avec des budgets de sécurité dérisoires. Sur janvier–février 2026, on compte 29 incidents liés aux fédérations et structures sportives, dont 15 en janvier et 14 en février. Dans le même mois, l’hécatombe fédérale s’est poursuivie. La Fédération française de gymnastique a admis une compromission touchant 2 978 518 licenciés. L’athlétisme a vu 2 712 073 membres exposés. Le judo, 2,4 millions. Et derrière ces chiffres, un schéma répété : comptes compromis, accès “clubs” ou bénévoles, segmentation insuffisante, contrôle des droits d’accès, et absence de mesures défensives de base, notamment lorsque l’authentification multifacteur n’est pas généralisée. Il est plus facile que jamais de voler les données des fédérations, et c’est un secret de polichinelle : les systèmes informatiques sont vieillissants, les investissements passent au dernier plan. Plus d’un an que ces bases sont pillées. Aucune réaction. Aucun plan. Aucune intention. Et ça va se répéter pour chaque fédération, chaque année, car il y a une autre particularité : à chaque fois, ce sont parfois jusqu’à plus de trente ans d’historique qui sont conservés. Pourquoi ? Un autre point de fragilité remonte : le rôle de prestataires mutualisés, comme Exalto, qui opèrent des extranets pour plusieurs fédérations. Quand un prestataire devient un point d’entrée transversal, l’incident cesse d’être local : il devient une négligence. Et puis il y a l’UNSS. Le cas le plus glaçant de février. Il faut être précis : on n’est pas dans “un incident”, on est dans une exposition massive de données d’enfants, avec récidive. Une première fuite avait déjà été relevée en 2025. Le 28 février 2026, l’UNSS laisse partir à nouveau un fichier gigantesque : 9,7 millions d’enregistrements liés au sport scolaire. La question qui devrait obséder tout le monde est simple : pourquoi conserver 1,5 million de photos d’identité de mineurs sur des serveurs vulnérables, accessibles via des URL, alors que ces images n’ont aucune raison de traîner indéfiniment dans une infrastructure manifestement mal protégée ? Aujourd’hui, un acteur malveillant dispose d’un lot prêt à l’emploi, vendable au plus offrant, où tout est réuni pour identifier et cibler des enfants et leurs familles. Dans ce fichier, on ne retrouve pas seulement des identifiants. On parle d’un assemblage complet : identifiant licencié, nom, prénom, genre, date de naissance, établissement scolaire et classe, date d’inscription, et surtout l’URL de la photo de l’élève. Autrement dit : l’identité, le contexte scolaire, et l’image, dans le même paquet. C’est l’outillage idéal pour fabriquer de faux profils, monter des scénarios d’escroquerie crédibles, harceler, intimider, ou lancer des campagnes de phishing ultra-ciblées à destination des parents, des établissements et des encadrants. Quand une organisation censée encadrer des mineurs “perd” deux fois, à un an d’intervalle, des données de cette nature, on ne parle plus de malchance ni d’erreur isolée. On parle de responsabilité pénale. Et des nouvelles de l’UNSS depuis cette fuite ? Aucune. ⸻ Commerce et logistique : Nike, Socloz et la chaîne d’approvisionnement comme point faible Le secteur privé subit une mutation. On ne vole plus seulement des e-mails : on vole des secrets industriels. WorldLeaks (présenté comme successeur de Hunters International) a revendiqué le vol de 1,4 téraoctet de données internes chez Nike, avec 189 000 fichiers annoncés : designs de produits non sortis, spécifications techniques, audits d’usines, modèles de tarification, stratégies de lancement. Le problème ne se limite pas à l’image : ces données réduisent l’avance d’innovation, nourrissent la contrefaçon et livrent aux concurrents une lecture intime de la stratégie. En parallèle, Socloz, prestataire omnicanal de grandes marques, a vu 31 millions d’enregistrements associés à son écosystème exposés le 16 février. Même une multinationale peut être fragilisée par un maillon périphérique. La sécurité n’est plus une forteresse : c’est une chaîne, et la chaîne casse au point le plus faible. ⸻ Syndicats et groupes de services : personne n’est épargné Deux autres dossiers majeurs illustrent la diffusion de la menace. Le Groupe Atalian a subi une fuite touchant 4 198 129 enregistrements, mettant potentiellement en jeu des données RH et clients dans un secteur au contact direct du terrain économique. La CFDT a reconnu une attaque impliquant les données personnelles d’environ 1,4 million d’adhérents. Pour un syndicat, la sensibilité est particulière : l’appartenance syndicale relève des données protégées par le RGPD, car elle renvoie à des convictions et à l’engagement social. Ici, la fuite n’est pas seulement un risque d’escroquerie : elle peut devenir un risque d’exposition, de pression, ou de stigmatisation. ⸻ La nuit est sombre et pleine de terreur Février 2026 s’achève sur un chiffre qui donne la nausée : 161 fuites en deux mois, plus que sur toute l’année 2025. Santé, finances publiques, sport scolaire, fédérations, syndicats, géants du commerce, prestataires invisibles : tous ont été touchés, les uns après les autres. Le travail de recoupement que je mène sur Fuites Infos n’est pas une simple liste macabre. C’est un signal d’alarme contre la banalisation généralisée. Nous ne pouvons plus confier nos vies numériques à des systèmes protégés par “France-98” ou à des bases laissées ouvertes sur Internet par négligence. Vous devez exiger des réponses et des actions. On ne peut plus se contenter de communiqués parlant d’un “incident” ou d’un “désagrément”. On ne peut plus se contenter de lister chaque jour. Protégez-vous, et aidez les autres à le faire. ⸻ Liens utiles Fuites Infos : https://christopheboutry.com/fuites-infos/ Ma vidéo : “Fuites de données : 10 réflexes pour ne plus être une cible” https://youtu.be/35su8AJYz88 Télécharger l’application Fuites Infos (Android) pour recevoir les alertes : https://play.google.com/store/apps/details?id=com.fuitesinfos.app ⸻ Rendez-vous début avril pour un prochain bilan. D’ici là : protégez-vous.

Merci !

🤖 SargeBot : L'Agent IA qui Autonomise l'Investigation OSINT 🚀 La plateforme UserSearch lance SargeBot, un agent IA conçu pour mener des investigations de manière autonome. Il ne s'agit pas d'un simple assistant, mais d'un moteur qui explore activement bases de données, APIs et sites web jusqu'à épuisement des pistes. ⚙️ Principe de fonctionnement Vous lui fournissez un point de départ : • 👤 Un nom ou un pseudo • 📧 Une adresse email ou un nom de domaine • 🖼️ Une photo SargeBot se charge ensuite d'interroger un écosystème de plus de 100 sources spécialisées. ⚡ Capacités Intégrées L'agent exploite nativement des services de premier plan pour : • 🔓 Analyser les fuites de données (IntelX, Hudson Rock, SpamHaus) • 🔎 Interroger des services OSINT (OSINT Industries, EPIEOS) • 👁️ Effectuer des recherches faciales et par image (FaceCheck, Picarta) • 🏢 Consulter des registres d'entreprises (OpenCorporates) Son principal atout réside dans sa capacité à corréler les résultats et à pivoter de manière autonome sur de nouvelles pistes, simulant la démarche d'un analyste pour accélérer drastiquement la phase de collecte. 🧠 L'Analyste Reste Central ⚠️ Il est crucial de le rappeler : un tel outil est un formidable accélérateur, mais ne remplace pas le jugement humain. La validation critique des informations, l'analyse du contexte et l'interprétation finale restent la prérogative de l’analyste. 💡 Une évolution très intéressante des agents IA appliqués à l'investigation. Je suis curieux de tester sa logique de pivot et sa gestion des faux positifs en conditions réelles. ──────────────── Plateforme : 💻 UserSearch Lien : 🔗 https://usersearch.com/

Une application de prière piratée a envoyé des messages de "reddition" aux Iraniens en pleine frappes israéliennes. Ces notifications push promettent l'amnistie, transformant un outil spirituel en vecteur de désinformation en temps de conflit. Une manipulation numérique inquiétante. #Cybersécurité #nostfr #wired https://www.wired.com/story/hacked-prayer-app-sends-surrender-messages-to-iranians-amid-israeli-strikes/

J'aime beaucoup le concept !