Ce dixième épisode collaboratif entre Polysécure et Cyber Citoyen réunit Sam Harper et Catherine Dupont-Gagnon pour discuter de trois enjeux majeurs en cybersécurité et protection de la vie privée.

L’épisode débute avec le cas du Nevada, touché par un ransomware après qu’un employé ait cliqué sur une publicité malveillante. En cherchant un logiciel standard, l’employé est tombé sur un faux site positionné en premier dans les résultats de recherche Google grâce à de la publicité payante. Ce site clonait l’apparence du site légitime et a permis l’installation d’un malware qui a mené à une attaque par rançongiciel.

Catherine souligne qu’un expert en sécurité suggère maintenant que les bloqueurs de publicité devraient être considérés comme des outils de cybersécurité essentiels, au-delà de leur rôle dans la protection de la vie privée. Elle partage sa propre expérience d’avoir failli tomber dans un piège similaire en magasinant des vêtements en ligne, se retrouvant sur un site frauduleux qui cherchait à collecter des informations de paiement.

Sam explique utiliser un système de filtrage DNS à domicile via un Raspberry Pi qui bloque les domaines publicitaires connus, rendant la navigation plus rapide et sécuritaire pour tous les habitants de sa demeure. Il mentionne des solutions gratuites comme Quad9 en Suisse et le Canadian Shield de CIRA au Canada, qui offrent des niveaux de protection variables. La Belgique va même jusqu’à imposer un système opt-out plutôt qu’opt-in, avec des résultats positifs sur la réduction de la fraude.

Le groupe note que Meta tire environ 10% de ses revenus de publicités frauduleuses, soit environ 7 milliards de dollars annuellement, créant une situation où bloquer les publicités devient nécessaire pour se protéger, tout en privant les médias légitimes de revenus. Ils encouragent les auditeurs à s’abonner à des médias de qualité plutôt que de compter sur le modèle publicitaire.

Le deuxième sujet porte sur une enquête journalistique internationale révélatrice menée par plusieurs médias européens, dont Le Monde, L’Écho et Netzpolitik. Des journalistes se sont fait passer pour une compagnie de marketing et ont obtenu gratuitement 13 milliards de points de données de géolocalisation auprès de courtiers de données.

L’enquête démontre qu’avec seulement quatre points de géolocalisation, il est possible de désanonymiser pratiquement n’importe qui. Les journalistes ont pu suivre des employés de l’OTAN, de l’Union européenne et de centrales nucléaires, connaissant leurs trajets quotidiens entre la maison, la garderie, le travail et le gym. Lorsque les journalistes ont demandé si c’était légal, les vendeurs ont répondu avec un sourire que oui, car les gens avaient cliqué “j’accepte”, mais que l’anonymisation n’était “pas vraiment” garantie.

Catherine explique comment ces données sont collectées : par les applications elles-mêmes, par du code tiers intégré dans les applications, et même par le système d’enchères publicitaires où chaque demande de publicité transmet la localisation de l’utilisateur à plusieurs vendeurs potentiels. Certaines compagnies participent au marché publicitaire uniquement pour collecter ces données, sans intention réelle de vendre des publicités.

Sam rappelle que Tim Hortons avait été impliqué dans un scandale similaire au Canada, traçant ses clients pour savoir s’ils visitaient des compétiteurs. L’exemple de John Oliver est mentionné, où il avait créé un faux site pour collecter des données d’employés gouvernementaux afin de les confronter à la réalité de cette surveillance.

Le groupe constate que ni le RGPD en Europe ni la Loi 25 au Québec ne protègent adéquatement contre les courtiers de données. Ils suggèrent qu’il faudrait peut-être “combattre le feu par le feu” en exposant publiquement les données des politiciens pour les motiver à légiférer efficacement.

Le dernier sujet aborde une nouvelle forme de fraude ciblant les petits commerçants, particulièrement les restaurants. Des fraudeurs inondent soudainement un commerce de critiques négatives d’une étoile sur Google, souvent avec des commentaires absurdes (comme critiquer un burger dans une pizzeria). Parmi ces fausses critiques apparaît un message offrant de retirer les avis pour 100 à 200 dollars via WhatsApp.

Cette tactique exploite l’importance des évaluations Google pour les commerces et la difficulté du processus de contestation. Catherine souligne que ce n’est pas nouveau – Yelp avait connu des problèmes similaires – mais que Google n’a pas mis en place les mêmes protections.

Les animateurs conseillent fermement aux commerçants de ne pas payer, car cela encourage les fraudeurs. Ils suggèrent plutôt de répondre individuellement aux faux commentaires, de signaler l’attaque et de demander des révisions à Google, même si le processus est long. Cette approche s’inspire du succès de la stratégie de non-paiement face aux ransomwares, qui a conduit à une réduction significative des montants totaux payés en 2025.

L’épisode se termine sur un appel humoristique aux auditeurs pour créer un “bingo” des marottes et expressions fétiches des animateurs, soulignant l’atmosphère conviviale de cette collaboration entre Polysécure et Cyber Citoyen.