Les derniers gros vols de données – 11 sep 2025

Voici la revue hebdomadaire des fuites, pertes ou vols de données signalés cette semaine, avec un focus sur les incidents les plus sensibles.

La semaine a été marquée par plusieurs incidents et décisions en matière de cybersécurité, illustrant les défis constants auxquels font face les entreprises et les régulateurs. Le Tribunal de l’Union européenne a pris une décision importante concernant le transfert de données entre l’UE et les États-Unis, tandis que des entreprises comme Disney et Apitor Technology ont été confrontées à des poursuites pour des pratiques de collecte de données discutables.

Le Tribunal de l’Union européenne a récemment validé le Data Privacy Framework (DPF), permettant ainsi le transfert de données personnelles de l’UE vers les États-Unis sans mesures supplémentaires pour les entreprises certifiées. Cette décision, prise le 3 septembre 2025. Le DPF remplace maintenant les précédents accords comme le Safe Harbor et le Privacy Shield, invalidés par la Cour de justice de l’UE pour un niveau de protection jugé insuffisant. Le Tribunal a souligné que le DPF garantit un niveau de protection adéquat au sens du RGPD, tout en insistant sur la nécessité pour la Commission européenne de surveiller en continu l’évolution du cadre légal américain. Selon Lexgo, cette décision apporte un répit juridique mais suscite des critiques sur l’efficacité réelle des mécanismes de recours.

La Commission européenne a infligé une amende de 3,5 milliards de dollars à Google pour pratiques publicitaires anticoncurrentielles. Google a été accusé d’abuser de sa position dominante sur le marché de la technologie publicitaire en favorisant ses propres services. D’après BleepingComputer, cette sanction s’inscrit dans une série de mesures prises par l’UE contre Google pour des pratiques similaires. Google a annoncé son intention de faire appel de cette décision, arguant que les accusations sont basées sur des interprétations erronées du secteur.

Le Département de la Justice des États-Unis a intenté une action en justice contre le fabricant de jouets Apitor Technology. La société est accusée d’avoir permis à une tierce partie chinoise de collecter des données de géolocalisation d’enfants sans leur consentement ni celui de leurs parents. Cette affaire met en lumière les préoccupations croissantes concernant la protection des données des enfants dans le secteur technologique. Selon BleepingComputer, cette collecte de données s’est faite à l’insu des utilisateurs, soulevant des questions sur la transparence et la sécurité des produits destinés aux enfants. L’affaire souligne également l’importance de la conformité aux réglementations de protection des données, en particulier lorsqu’il s’agit de données sensibles comme celles des enfants.

Cloudflare a été touché par une violation de données liée à une attaque de la chaîne d’approvisionnement de Salesloft Drift. Cette attaque, révélée la semaine dernière, a compromis les informations de plusieurs entreprises, dont Cloudflare. Comme le détaille BleepingComputer, cette attaque met en évidence les risques associés à la dépendance aux services tiers et l’importance de sécuriser les chaînes d’approvisionnement.

En France, une fuite massive de données a exposé les informations médicales et privées de près de deux millions de personnes. Ces données, désormais disponibles sur un forum du dark web, concernent des entreprises telles qu’Alain Afflelou, Syma Mobile et le Service National Universel. Les informations compromises incluent des données médicales sensibles et des pièces d’identité. Selon Generation NT, cette fuite soulève des préoccupations majeures concernant la sécurité des données personnelles en France.

Disney a accepté de payer 10 millions de dollars pour régler des réclamations selon lesquelles elle aurait collecté des données personnelles d’enfants sur YouTube sans consentement. Cette collecte a été réalisée en étiquetant incorrectement des vidéos pour enfants, permettant ainsi la collecte d’informations sans notification parentale. Selon BleepingComputer, Disney doit maintenant s’assurer que ses pratiques respectent les lois de protection des données pour éviter de futures sanctions.

Depuis mai, une augmentation de l’utilisation du malware Stealerium a été observée. Ce logiciel malveillant, disponible sur GitHub, est utilisé pour des attaques de sextorsion. Il prend des photos via la webcam des victimes lorsqu’elles visitent des sites pour adultes. Ce malware récolte également des données comme les identifiants de connexion, les détails de carte bancaire et les informations de portefeuille crypto. Comme le rapporte Techspot, Stealerium utilise des méthodes traditionnelles pour tromper les victimes, telles que des emails frauduleux contenant des pièces jointes malveillantes.

La société de cybersécurité Zscaler a révélé avoir subi une violation de données après que des acteurs malveillants ont accédé à son instance Salesforce. Cette intrusion a permis le vol d’informations clients, y compris le contenu des dossiers de support. Cet incident est lié à la compromission de Salesloft Drift, qui a affecté plusieurs entreprises. D’après BleepingComputer, cette violation souligne les risques associés à l’utilisation de services tiers et l’importance de la sécurisation des systèmes de gestion de la relation client.

Palo Alto Networks a subi une violation de données exposant des informations clients et des dossiers de support. Les attaquants ont exploité des jetons OAuth compromis de Salesloft Drift pour accéder à l’instance Salesforce de l’entreprise. Comme le souligne BleepingComputer, cet incident met en lumière les vulnérabilités liées à l’utilisation de tokens d’authentification et l’importance de leur sécurisation.

Comme le rapporte BleepingComputer,Chess.com a récemment divulgué une violation de données après que des acteurs malveillants ont accédé à une application de transfert de fichiers tierce utilisée par la plateforme.

Le procureur général du Texas a intenté une action en justice contre PowerSchool après une violation massive de données en décembre. Cette fuite a exposé les informations personnelles de 62 millions d’élèves, dont plus de 880 000 Texans. Selon BleepingComputer, cette affaire met en lumière les défis de la protection des données dans le secteur de l’éducation.