Des chercheurs ont découvert que le frontend (l’interface web normalement réservée aux employés et non visible du public) du prestataire de vérification d’identité Persona Identities, Inc., utilisé par Discord pour vérifier l’âge de ses utilisateurs, était exposé sur internet, c’est-à-dire accessible publiquement alors qu’il n’aurait pas dû l’être. Cette interface, maintenant retirée, contenait 2 456 fichiers montrant l’ampleur des contrôles effectués : jusqu’à 269 vérifications différentes, analyses faciales contre des listes de surveillance et de personnes politiquement exposées, contrôle de “médias défavorables” (terrorisme, espionnage…) et attribution de scores de risque. Persona peut collecter et conserver pendant trois ans des informations personnelles telles que adresses IP, empreintes de navigateur et d’appareil, pièces d’identité, numéros de téléphone et analyses biométriques de selfies. Cette révélation alimente le débat sur la protection de la vie privée et l’efficacité réelle de la vérification d’âge. Discord aurait indiqué ne plus recourir à Persona, mais d’autres plateformes comme Roblox Corporation, OpenAI (pour ChatGPT) et Lime utilisent encore ses services.

En France, une brochure mise à jour en février 2026 recense les enjeux liés à la surveillance policière des téléphones mobiles et propose des conseils pour en limiter les risques, tant pour les téléphones classiques que pour les smartphones. Le document souligne les vulnérabilités techniques, les limites des outils de sécurité et les risques de fausse confiance favorisant la diffusion d’informations sensibles. Il élargit aussi la réflexion aux impacts écologiques et sociaux de la téléphonie mobile, aux pressions administratives à la numérisation, aux inégalités d’accès et à la protection des données face aux grandes entreprises du numérique, souvent sollicitées par les autorités.

Lire en intégralité ici

Sur certains smartphones Samsung, notamment dans les gammes Galaxy vendues au Moyen-Orient et en Afrique du Nord, des applications préinstallées comme AppCloud/Aura suscitent des critiques pour leur opacité et l’impossibilité de les désinstaller facilement sans manipulation avancée. Leur déploiement plus fréquent dans ces régions s’explique par des partenariats commerciaux spécifiques visant la monétisation publicitaire et la recommandation d’applications sur des marchés où la régulation des données personnelles est généralement moins stricte qu’en Europe ou en Amérique du Nord. Développées avec la société israélienne technologique ironSource (désormais intégrée à la firme états-unienne Unity), ces applications sont accusées par des défenseurs de la vie privée de favoriser la collecte de données à des fins d’analyse et de marketing sans transparence suffisante pour les utilisateurs.

Des États et des entreprises de surveillance développent des outils d’« Advertising Intelligence » (AdInt) permettant aux services de police et de renseignement de localiser des smartphones à partir de données publicitaires ordinaires collectées par des applications courantes dans une opacité quasi totale. Une quinzaine de sociétés, majoritairement israéliennes mais aussi européennes et états-uniennes, proposent ces services déjà exploités par des agences telles que l’ICE aux États-Unis qui y a investi plusieurs millions de dollars.

Présentés comme des alternatives aux méthodes classiques de pistage, ces dispositifs font peser de graves menaces sur les libertés individuelles d’autant qu’ils peuvent être croisés avec des bases de données fuitées et servir à des opérations de désanonymisation. Ce risque concerne également les utilisateurs du réseau Tor dont la robustesse a récemment été remise en question suite à une opération de la police allemande (voir notre article). Malgré certaines limites techniques, cette industrie prospère en exploitant le consentement de façade des usagers et souligne l’urgence de l’autodéfense numérique face à une surveillance globale de plus en plus intrusive.

Des chercheurs de la KU Leuven ont mis au jour une faille de sécurité critique dans le système « Google Fast Pair », utilisé par des centaines de millions d’appareils Android pour faciliter la connexion d’accessoires Bluetooth. Cette vulnérabilité permet à un individu malveillant de prendre le contrôle d’écouteurs sans fil à distance, sans contact physique ni alerte pour le propriétaire, afin d’enregistrer des conversations ou de géolocaliser l’utilisateur. Bien que Google ait classé cette faille comme « critique » et prépare des correctifs pour fin janvier, l’étude souligne un défaut structurel où la facilité de connexion a été privilégiée au détriment de la sécurité et du respect de la vie privée.

À Milan, un·e militant·e a découvert qu’un logiciel espion avait été installé sur son téléphone à la suite d’une opération de phishing se faisant passer pour le service client de l’opérateur Fastweb. L’application, installée en mai 2025 après une fausse panne de réseau, s’est révélée capable de surveiller en temps réel la localisation, les appels, les contacts, les messages WhatsApp, d’enregistrer des sons et de capturer l’écran. Cette affaire, mise au jour collectivement en janvier 2026, illustre le recours croissant des forces de l’ordre italiennes à des outils de surveillance pointus contre des milieux militants.

Une récente opération de désanonymisation a montré que le réseau Tor peut être fragilisé sans que son chiffrement ou son protocole ne soient techniquement compromis. La désanonymisation consiste à relier une activité supposée anonyme à une identité réelle ou à une adresse IP, non pas en « cassant » la cryptographie, mais en exploitant des corrélations indirectes, notamment par l’analyse de trafic. En observant sur une longue période les volumes de données, les rythmes d’échange et les timings des paquets à différents points du réseau, des acteurs étatiques ont pu établir des correspondances statistiques entre un service caché et son point d’entrée sur Tor. Cette approche a été rendue possible par la surveillance et l’exploitation de nombreux nœuds, par la concentration géographique de l’infrastructure Tor et par l’usage de logiciels obsolètes ou de connexions persistantes. Une fois un nœud Guard identifié, la coopération des fournisseurs d’accès a permis de réduire l’anonymat jusqu’à l’identification de l’opérateur. Cette affaire confirme que Tor protège efficacement contre des adversaires limités, mais atteint ses limites face à une surveillance massive, coordonnée et durable. Tor reste néanmoins l’un des outils d’anonymisation les plus robustes actuellement disponible, à condition d’une hygiène numérique rigoureuse et de protections renforcées.

En général, mieux vaut privilégier Signal, mais que ceux et celles qui utilisent WhatsApp soient alerté·es contre la multiplication des attaques visant les comptes de cette messagerie. Les attaques combinent ciblage sophistiqué et ingénierie sociale (de manipulation, autrement dit) pour obtenir un accès non autorisé, puis déployer d’autres logiciels malveillants susceptibles de compromettre tout le smartphone. Le mode opératoire repose sur des vecteurs classiques : liens empoisonnés, QR codes falsifiés, applications piégées ou encore clones d’apps populaires. Et malgré cette montée en puissance technique, la première menace reste d’une simplicité déconcertante : le vol du code d’authentification envoyé par WhatsApp. C’est le scénario le plus courant. Un attaquant contacte sa victime, la convainc de partager le code à usage unique reçu par SMS, puis transfère le compte sur son propre appareil. Une fois l’opération réalisée, l’utilisateur légitime se retrouve éjecté et doit entamer un processus parfois long pour récupérer son compte. Bref: ne jamais partager votre code de connexion, même avec vos proches. L’entreprise n’a d’ailleurs aucun moyen de désactiver un compte sans pouvoir prouver que le numéro appartient bien à son propriétaire.

Face à ces menaces, l’entreprise invite à vérifier trois réglages essentiels dans Paramètres > Compte. D’abord, l’activation de la vérification en deux étapes. L’utilisateur définit un code PIN permanent, demandé lors de toute tentative de connexion. C’est la barrière la plus importante. L’ajout d’une adresse e-mail de récupération servira en cas de perte du PIN ou si le compte est détourné. Enfin, l’activation d’une passkey (ou clé de passe) : ce système d’authentification renforce encore la sécurité du compte en l’associant à un identifiant cryptographique, généralement une empreinte digitale ou le scan du visage. Au-delà des protections existantes, certains experts plaident pour une transformation plus profonde : associer l’authentification de WhatsApp non pas au numéro de téléphone, mais à la carte SIM physique présente dans l’appareil. Aujourd’hui, n’importe quel attaquant peut détourner un compte simplement en interceptant un code reçu par SMS. Lier l’application à la SIM empêcherait ce transfert silencieux : l’identifiant deviendrait indissociable du téléphone réel.

L’Agence nationale de la sécurité des systèmes d’information, la NSA et le FBI alertent sur la montée des logiciels espions capables de contourner les protections classiques des smartphones, allant jusqu’à simuler un redémarrage pour continuer à fonctionner à l’insu de l’utilisateur. Selon leurs dernières recommandations, un simple redémarrage ne suffit plus : seule une extinction complète et régulière — idéale chaque soir ou au moins plusieurs fois par semaine — permet de stopper efficacement ces malwares. Les agences appellent également à adopter quelques réflexes simples, comme couper le Wi-Fi, le Bluetooth et le NFC hors usage, éviter les réseaux publics, appliquer rapidement les mises à jour et rester vigilant face aux liens ou pièces jointes douteux. Des gestes basiques, mais décisifs pour réduire les risques d’intrusion.

Le Parlement européen a adopté mercredi 26 novembre une résolution non contraignante proposant un cadre pour protéger les mineurs en ligne, notamment en suggérant un âge minimum de 16 ans pour accéder aux réseaux sociaux et en encadrant la prévention des abus sexuels sur enfants via une version revue de Chat Control (voir notre article). Cette résolution n’est pas une loi : elle fixe des orientations pour renforcer la sécurité des mineurs, lutter contre les pratiques addictives et le marketing ciblé, et permettre aux plateformes de signaler volontairement certains contenus jusqu’en avril 2026. Un futur Centre européen de lutte contre les abus sexuels sur enfants pourrait superviser la mise en œuvre de ces mesures, tandis que des inquiétudes subsistent concernant la vie privée, l’anonymat et le risque de surveillance généralisée.