Cybersécurité, RGPD & IA : Les actus à ne pas manquer d'octobre 2025 

Pas de pause automnale pour l’actualité numérique : l’IA continue de redessiner les usages, les régulateurs européens se crispent, les géants tech affûtent leurs ambitions… pendant que les cybercriminels frappent toujours plus fort et plus large.

Au menu ce mois-ci : navigateurs IA, débats réglementaires, attaques massives, assistants publics et plans à un milliard d’euros. On respire un grand coup, et on plonge.

Prêts ? C’est parti !  

Royaume-Uni : vers une prolongation du statut de pays adéquat ? 

Le Royaume-Uni va pouvoir conserver son statut de pays « adéquat » jusqu’en décembre 2031.  

Le 16 octobre, le Comité Européen de la Protection des Données (CEPD) a donné un avis favorable à la prolongation de deux décisions d’adéquation proposées par la Commission européenne : l’une au titre du RGPD, l’autre sous la directive « Police-Justice ». 

Concrètement, cela signifie que les transferts de données personnelles entre l’UE et le Royaume-Uni pourront continuer sans mesures supplémentaires (comme des clauses contractuelles types). Une bonne nouvelle pour les entreprises européennes travaillant avec des partenaires britanniques, dans la continuité des décisions initiales adoptées en 2021. 

Mais le CEPD reste prudent. Il alerte sur plusieurs points à surveiller :  

• Les nouvelles règles sur la prise de décision automatisée, 

• L’encadrement des transferts (notamment vers les US), 

• Et l’impact du fameux UK-US Cloud Act Agreement. 

Si tout va bien, le Royaume-Uni resterait “adéquate” jusqu’en décembre 2031. Prochaine étape : validation par les États membres. 

Source : CNIL 

OpenAI lance Atlas, un navigateur boosté à ChatGPT 

OpenAI entre dans l’arène des navigateurs avec Atlas, un outil qui intègre ChatGPT directement dans l’expérience de navigation. L’idée ? Un assistant intelligent qui suit ce que vous faites, vous guide dans vos tâches, et automatise certaines actions sans que vous ayez à quitter votre onglet. 

Concrètement, ChatGPT devient votre copilote web : il garde en mémoire vos recherches, peut remplir un panier de courses en ligne, compiler un brief à partir de documents d’équipe, ou encore planifier une réservation, le tout depuis la même interface. Atlas est déjà disponible sur macOS, et une version bêta est ouverte aux utilisateurs Business. 

Petit bonus : ChatGPT ne retient rien par défaut, sauf si vous l'autorisez. Et vos données ne sont pas utilisées pour l’entraînement des modèles, à moins d’activation explicite. 

Un concurrent direct pour Chrome ? 

Le lancement d’Atlas marque une attaque frontale contre Google et son navigateur vedette. OpenAI n’est pas seul sur ce terrain : Perplexity avec Comet et The Browser Company avec Arc et Dia veulent eux aussi réinventer la navigation à l’ère de l’IA. 

Mais Chrome reste un poids lourd avec plus de 3 milliards d’utilisateurs. La bataille s’annonce musclée… d’autant plus que Google est l’un des fournisseurs d’infrastructure d’OpenAI, aux côtés de Microsoft. Une situation de plus en plus délicate entre partenaires, compétiteurs… et désormais rivaux de navigateur. 

Source : OpenAI 

Siri écoutait-il un peu trop ? Apple visé par une enquête en France 

Nouvel épisode judiciaire pour Apple. Le parquet de Paris a ouvert une enquête contre la firme à la pomme, après les révélations d’un lanceur d’alerte français : Thomas Le Bonniec, ancien sous-traitant d’Apple en Irlande, affirme avoir écouté des milliers d’enregistrements captés par Siri… souvent à l’insu des utilisateurs, et contenant des données très sensibles. 

Parmi ces enregistrements : des discussions sur des sujets de santé, de sexualité, ou d’opinions politiques. Autant d’informations qui pourraient, selon lui, permettre d’identifier des individus. 

Apple dément et affirme que les enregistrements ne sont conservés qu’avec l’accord explicite des utilisateurs, sans usage marketing ni revente. Pourtant, l’entreprise a accepté en décembre dernier de verser 95 millions de dollars à des utilisateurs américains dans une affaire similaire. 

En parallèle de la procédure pénale, une plainte civile a été déposée en France par l’ex-député Julien Bayou, pour le compte des utilisateurs français. Les détenteurs d’iPhone et iPad peuvent rejoindre la procédure via le site de son cabinet. 

Source : Usine Digitale 

Faux assistants IA : les extensions de navigateur deviennent des chevaux de Troie 

Les navigateurs avec fonctions IA – comme Chrome, Edge ou Atlas (le tout récent navigateur d’OpenAI) – sont dans le viseur… des hackers. Des experts alertent sur une nouvelle menace : des extensions malveillantes capables d’usurper les barres latérales IA pour voler des données ou injecter du code. 

Ces extensions, souvent déguisées en assistants ou utilitaires légitimes, créent des interfaces qui imitent parfaitement celles des vrais outils IA. L’utilisateur croit dialoguer avec un assistant classique, alors qu’il interagit avec une interface détournée pouvant : 

• exfiltrer des données sensibles, 

• rediriger vers des sites frauduleux, 

• ou installer des backdoors. 

Exemple de scénario : une simple commande censée installer un outil... ouvre en réalité une connexion directe vers un serveur de l’attaquant. 

Un défi pour les entreprises 

Les recommandations sont claires : 

• Appliquer des politiques de sécurité strictes sur les extensions. 

• Isoler les logiciels IA vulnérables. 

• Restreindre l’usage des navigateurs IA dans les environnements sensibles. 

Comme le résume un expert cité dans l’article : “Ces navigateurs IA sont des incendies prêts à se déclarer.” 

Source : Le monde informatique 

Google enterre sa Privacy Sandbox 

C’est officiel : après six ans d’efforts, Google abandonne quasiment toute sa Privacy Sandbox, son projet censé remplacer les cookies tiers par des technologies « plus respectueuses » de la vie privée. La firme de Mountain View renonce à 11 des 14 technologies initiales, faute d’adoption et sous la pression de multiples enquêtes antitrust. 

Pourquoi ça a capoté ? 

L’idée semblait prometteuse : offrir une alternative aux cookies pour cibler les internautes tout en garantissant leur anonymat. Mais dans les faits, les solutions proposées étaient trop complexes, mal comprises… et peu utilisées. Plusieurs régulateurs, dont l'autorité britannique de la concurrence (CMA), avaient aussi vu d’un très mauvais œil une initiative qui aurait renforcé encore la domination de Google sur la publicité. 

Et maintenant ? 

Google assure qu’il poursuivra ses efforts pour améliorer la confidentialité sur Chrome, Android et le Web. Mais concrètement, aucune garantie n’a été donnée aux entreprises ayant déjà intégré la Privacy Sandbox : pas d’engagement clair sur la continuité de service ni sur le support des technologies déjà mises en place. 

Source : Le monde informatique 
 

Panne mondiale chez AWS : petit bug, gros effet domino  

Le 20 octobre, des services comme Slack, Canva ou Hubspot sont tombés en panne à cause d’un problème chez AWS, le service cloud d’Amazon. 

Tout est parti d’un bug dans son service de base de données appelé DynamoDB, le service qui aide des milliers de sites à fonctionner en stockant et retrouvant leurs données en temps réel. 

Que s’est-il passé ? L’un des fichiers essentiels qui relient les noms de sites à leurs adresses sur Internet s’est retrouvé vide. Et pire encore : le système censé corriger ce genre de pépin automatiquement n’a pas marché non plus, à cause d’un bug. 

Les équipes d’Amazon ont corrigé  l'erreur manuellement, lors d'une période pendant laquelle toute connexion à DynamoDB était impossible. AWS explique désormais avoir désactivé le système d'automatisation dans le monde entier et ajoute : “avant de réactiver cette automatisation, nous corrigerons le scénario de condition de concurrence [entre les deux composants] et ajouterons des protections supplémentaires pour empêcher l'application de plans DNS incorrects”. 

Source : L’usine digitale 

Google présente CodeMender, un agent IA pour corriger les failles de sécurité dans le code 

Google DeepMind a dévoilé un nouvel agent baptisé CodeMender, capable de repérer et corriger automatiquement des vulnérabilités dans du code — sans intervention humaine. Objectif : renforcer la sécurité des logiciels dès leur écriture, en intervenant à la fois de manière réactive (lorsqu’une faille est identifiée) et proactive (en réécrivant le code pour le rendre plus robuste). 

Pour fonctionner, CodeMender s’appuie sur des outils d’analyse de code (tests statiques, fuzzing, navigation dans le code source…) et des agents spécialisés, dont un appelé Judge LLM chargé de vérifier que les modifications n’introduisent pas d’erreurs secondaires. 

En quelques mois, l’outil a déjà permis de corriger 72 vulnérabilités dans des projets open source — parfois très massifs, allant jusqu’à plusieurs millions de lignes de code. Un exemple notable : l’ajout de protections dans la bibliothèque libwebp, connue pour avoir été exploitée lors d’une attaque 0-clic en 2023. 

Google précise que toutes les corrections proposées par CodeMender sont encore vérifiées manuellement avant d’être soumises aux projets concernés. Une mise à disposition publique de l’outil n’est donc pas encore à l’ordre du jour, mais DeepMind prévoit d’étendre les collaborations avec les mainteneurs open source. 

En parallèle, l’équipe développe également Big Sleep, un autre agent IA dédié cette fois à la détection proactive de vulnérabilités encore inconnues. 

Source : Google DeepMind 

Reddit attaque Perplexity en justice pour avoir siphonné ses données 

Reddit a déposé plainte contre Perplexity devant un tribunal fédéral de New York. La start-up est accusée d’avoir sciemment contourné les protections mises en place pour extraire illégalement du contenu à des fins d'entraînement. 

Reddit dénonce une véritable « économie de blanchiment de données » et ajoute dans sa plainte trois sociétés de scraping impliquées dans l’opération. En toile de fond : l’échec de discussions sur un partenariat de licence rémunéré, comme celui noué avec Google et OpenAI. 

Ce n’est pas la première fois que Perplexity est pointée du doigt : en août, Cloudflare l’accusait déjà de contourner des blocages pour crawler des contenus à grande échelle. La start-up se dit prête à se défendre et invoque « l’accès libre à la connaissance publique ». 

Source : Le Monde  

L’Europe sort le chéquier : 1 milliard d’euros pour accélérer l’adoption de l’IA 

Après avoir posé les bases de son AI Act, la Commission européenne passe à l’action : 1 milliard d’euros seront investis pour intégrer l’intelligence artificielle dans les secteurs clés de l’économie — de la santé à l’énergie, en passant par la culture, l’agroalimentaire ou la défense. 

Ce plan, baptisé "Apply AI", a pour objectif d’aider les entreprises — en particulier les PME — à utiliser l’IA dans leurs activités concrètes. Il prévoit la création de centres spécialisés (comme des hubs de diagnostic en santé), le développement de modèles IA adaptés à chaque filière, et le lancement d’un service d’assistance en ligne pour aider à comprendre le très technique AI Act. 

En parallèle, la Commission lance aussi le programme "AI in Science", pour soutenir la recherche scientifique liée à l’IA. Objectifs : attirer des talents, faciliter l’accès à la puissance de calcul pour les chercheurs européens, et doubler les financements issus du programme Horizon Europe. 

Enfin, un espace de discussion baptisé "Apply AI Alliance" est ouvert à toutes les parties prenantes : chercheurs, industriels, politiques, citoyens… L’idée ? Faire remonter des besoins, proposer des cas d’usage et co-construire les futures politiques IA du continent. 

Source : L’usine digitale  

Meta utilisera les conversations avec son IA pour le ciblage publicitaire 

À partir du 16 décembre 2025, Meta exploitera les échanges avec ses produits d’IA (comme Meta AI ou les lunettes Ray-Ban connectées) pour personnaliser encore plus finement les publicités diffusées sur Facebook et Instagram. Ce changement s’appliquera à l’échelle mondiale, sauf dans l’Union européenne, le Royaume-Uni et la Corée du Sud, pour des raisons réglementaires. 

Exemple concret : discutez randonnée avec Meta AI, et vous verrez ensuite s’afficher des pubs pour des chaussures de trek ou des groupes de randonneurs. 

Les données dites sensibles (politique, religion, sexualité, etc.) sont exclues, mais il sera impossible de désactiver cette collecte autrement qu’en arrêtant complètement d’utiliser Meta AI. 
Meta assume : c’est, selon eux, “une progression naturelle de la personnalisation”. 

Source : Euronews  

L’AI Act en difficulté : critiques, enquêtes et appels au report 

Présenté comme un cadre pionnier de régulation de l’IA, l’AI Act rencontre ses premières turbulences à l’heure de sa mise en œuvre concrète. Plusieurs critiques émergent, venant aussi bien des industriels que de la société civile. 

Enquête sur l’opacité des normes 

Le 26 septembre, la médiatrice européenne a ouvert une enquête visant la Commission européenne, accusée de ne pas garantir la transparence dans l’élaboration des normes dites "harmonisées", censées faciliter la conformité des entreprises au règlement. L’ONG Corporate Europe Observatory dénonce une surreprésentation des grands groupes tech dans les comités de normalisation, au détriment de la société civile. 

Pressions politiques et industrielles 

De nombreuses voix, dont celles de grands patrons européens et de l’ancien président de la BCE Mario Draghi, appellent à un report partiel du calendrier, jugeant les règles trop complexes, surtout pour les systèmes à "haut risque". L’industrie redoute que ce cadre réglementaire freine l’innovation plutôt que de la stimuler. 

Bruxelles campe sur ses positions 

Malgré ces critiques, la Commission maintient le cap : les premières obligations sont déjà en vigueur depuis août 2025, et aucun moratoire n’est prévu à ce stade. En France, la mise en place de la gouvernance se révèle fragmentée, répartie entre plusieurs institutions, au risque de perdre en lisibilité pour les acteurs concernés. 

Source : L’usine digitale 

Les cyberattaques du mois 

Jaguar Land Rover : la cyberattaque la plus coûteuse de l’histoire britannique 

L’attaque subie par Jaguar Land Rover fin août continue de faire des vagues en octobre. Le constructeur a été contraint de mettre à l’arrêt ses systèmes informatiques, entraînant la suspension de la production sur plusieurs sites pendant cinq semaines. Les conséquences sont vertigineuses : plus de 2,19 milliards d’euros de pertes économiques, selon le Cyber Monitoring Centre, qui qualifie l’incident de "plus dommageable économiquement jamais observé au Royaume-Uni". 

Plus de 5 000 entreprises ont été impactées, dont 2 700 de manière sérieuse. Le fournisseur français OPmobility (ex-Plastic Omnium) estime, par exemple, avoir perdu 30 à 40 millions d’euros de chiffre d’affaires à cause de cette crise. Le groupe de hackers Scattered Lapsus$ Hunters a revendiqué l’attaque, exploitant plusieurs vulnérabilités pour s’introduire dans les systèmes de l’entreprise. 

Mysterious Elephant : des hackers qui siphonnent WhatsApp 

Le groupe APT connu sous le nom de Mysterious Elephant a multiplié les opérations sophistiquées, ciblant en particulier les institutions gouvernementales et diplomatiques en Asie. Ce groupe, actif depuis 2023, s’est illustré ce mois-ci par une méthode particulièrement inquiétante : l’exfiltration de données sensibles directement depuis WhatsApp, en exploitant des modules spécialisés. 

Après une phase d’infiltration par spear phishing, les attaquants déploient des outils comme BabShell ou ChromeStealer pour prendre le contrôle du système, et collectent des fichiers depuis les dossiers partagés par l’application. Le Pakistan, l’Afghanistan et le Bangladesh sont parmi les pays les plus ciblés, mais des tentatives ont aussi été repérées au Royaume-Uni. 

Hôpital de Pontarlier : retour au papier après une attaque par ransomware 

Nouvelle illustration de la vulnérabilité du secteur de la santé, le Centre hospitalier intercommunal de Haute-Comté à Pontarlier a été victime d’un ransomware dans la nuit du 18 au 19 octobre. L’attaque a forcé l’établissement à mettre totalement à l’arrêt son système informatique, y compris les logiciels médicaux et la messagerie interne. 

Malgré la gravité de l’incident, la continuité des soins a été maintenue, mais le personnel a dû revenir au traitement manuel des dossiers. Une plainte a été déposée, et l’ANSSI, l’ARS et l’Agence du numérique en santé ont été mobilisées pour restaurer une infrastructure sécurisée.  

Discord : des données utilisateurs exposés après une faille chez un sous-traitant 

Le 3 octobre, Discord a annoncé avoir été victime d’une fuite de données après la compromission de l’un de ses prestataires en charge du support client. Bien que ses propres systèmes n’aient pas été directement affectés, l’attaque a permis à un acteur malveillant d’accéder à certaines données personnelles d’utilisateurs ayant interagi avec l’équipe Trust & Safety. 

Parmi les données potentiellement exposées : nom, email, adresse IP, informations de facturation partielles, ainsi que quelques images de pièces d’identité dans des cas spécifiques. Discord a rapidement révoqué les accès du prestataire et engagé une enquête avec le soutien de spécialistes en cybersécurité. L’entreprise appelle à la vigilance face aux risques de phishing. 

Robots Unitree : un botnet physique en puissance ? 

Les chercheurs Kevin Finisterre et Andreas Makris ont révélé l’existence d’une faille critique dans les robots humanoïdes et quadrupèdes d’Unitree, une start-up chinoise spécialisée dans la robotique. Le problème vient d’une interface Bluetooth mal sécurisée, dont les clés de chiffrement étaient… codées en dur dans les systèmes. 

Résultat : un attaquant à proximité pourrait prendre le contrôle du robot, exécuter du code malveillant, ou même utiliser l’appareil pour infecter d’autres robots. Pire encore, des données de télémétrie sensibles (température, mouvements, état du processeur) seraient exfiltrées toutes les 5 minutes, à l’insu des opérateurs. L’entreprise affirme avoir déployé des correctifs en urgence, alors qu’elle se prépare à une entrée en Bourse. 

Et voilà, vous êtes à jour ! 

Si une actu vous a interpellé, n’hésitez pas à creuser via les liens sources. Et pour les prochaines, restez connectés – on revient fin novembre avec un nouveau récap’ !