Vrais cas. Vraies entreprises. Vraies personnes. C'est pourquoi nous construisons local.
Une attaque de chaîne d'approvisionnement OAuth. Un infostealer a frappé un employé de Context.ai (un petit outil IA) ; les jetons volés — via le SSO Google — ont ouvert les systèmes internes de Vercel et contourné entièrement l'authentification multifacteur. Variables d'environnement et clés API de clients (AWS, Stripe, GitHub, Twilio, SendGrid…) exposées chez des centaines d'organisations.
Base de données — dont 580 dossiers d'employés — mise en vente sur BreachForums.
— Tu as confié tes secrets à un cloud. Le cloud les a confiés à un outil IA. L'outil IA les a confiés à un kid qui roulait des exploits Roblox. —
Mercor — qui fournit des données d'entraînement humaines aux grands labos d'IA — a été frappée via une attaque de chaîne d'approvisionnement sur la bibliothèque open-source LiteLLM, où un maliciel implanté a récolté clés API, clés SSH et identifiants cloud. Les attaquants revendiquent 4 To : données de 40 000+ contractuels, enregistrements d'entrevues d'embauche, données biométriques faciales, captures d'écran des travailleurs, code source et projets IA secrets de clients.
Meta a suspendu ses travaux de données avec Mercor ; 7+ actions collectives déposées.
— Pour entraîner l'IA, ils ont filmé ton visage, ton entrevue, ton écran. Puis ils ont laissé la cassette tourner pour tout le monde. —
Meta a expédié des vidéos intimes enregistrées par les lunettes Ray-Ban ($299) à des contracteurs à Nairobi, Kenya — sans consentement. Contenu incluant activités privées, données financières, vidéos de salles de bain. Tout marqué "privé" par les utilisateurs, revu par 100+ travailleurs.
Action collective — U.S. District Court, N.D. California
— Des lunettes intelligentes. Très intelligentes. Quelqu'un à Nairobi a regardé ta salle de bain. Deux fois. Tu n'étais pas invité. —
Trois bases de données non sécurisées — sans mot de passe — ont exposé ~3,7 millions d'enregistrements des assistants IA de Sears Home Services (« Samantha » et « KAIros ») : transcriptions de clavardage, enregistrements audio et transcriptions d'appels de 2024 à 2026, en clair, avec noms, adresses, courriels et numéros de téléphone.
Découvert par le chercheur Jeremiah Fowler — laissé ouvert à quiconque sur le web.
— Tu as appelé pour réparer un électroménager. Ils ont enregistré l'appel, le clavardage, ton adresse — et laissé la porte grande ouverte. —
Un agent IA offensif autonome (CodeWall) a mis seulement deux heures à s'introduire dans Lilli, la plateforme IA interne de McKinsey — en trouvant 22 points d'API sans authentification et une faille d'injection SQL vieille de plusieurs années. Il a atteint 46,5 millions de messages sur la stratégie, les fusions-acquisitions et les mandats clients, plus 728 000 fichiers clients confidentiels et 57 000 comptes.
L'IA qui pirate l'IA — corrigé dans les 24 h suivant la divulgation.
— Il a fallu deux heures à une IA pour lire 46 millions de messages privés de McKinsey. Les decks de stratégie étaient un bonus. —
Une base de données mal configurée chez l'une des apps de chat IA les plus populaires (50M+ usagers) a exposé 300 millions de messages privés liés à 25 millions de personnes — confidences intimes, questions de santé, demandes que personne ne croyait jamais publiques.
Découvert par un chercheur indépendant en sécurité
— Tu as confié ton secret le plus sombre à une app. 25 millions de gens aussi. Elle a tout gardé dans un tiroir non verrouillé. —
WhatsApp promettait un "chiffrement inviolable." Documents divulgués révèlent que Meta et le contracteur Accenture avaient accès à 3+ milliards de messages privés via une porte dérobée. Faux marketing envers des milliards d'utilisateurs.
Action collective multi-nationale: Australie, Brésil, Inde, Mexique, Afrique du Sud
— Chiffrement de bout en bout. De toi… à Meta… à Accenture… à leurs contracteurs dans trois pays. Les "bouts" sont juste plus loin que prévu. —
OpenAI a récupéré des millions de livres, articles et œuvres créatives d'auteurs vivants sans permission ni compensation. Plusieurs actions collectives en cours aux États-Unis et dans les tribunaux de l'UE. La compagnie argue que c'est du "fair use." Les auteurs ne sont pas d'accord.
Action collective — Authors Guild et al. v. OpenAI, S.D.N.Y.
— "Usage équitable," ont-ils dit. 99 000 auteurs ont déposé une poursuite. Les livres sont encore dans le modèle. La date du procès est encore en attente. —
La CNIL française a sanctionné le groupe Free après une fuite majeure ayant exposé des données d'abonnés, invoquant un défaut de protection adéquate des renseignements personnels — 27 millions € pour Free Mobile seul, dans une sanction globale de 42 millions €.
— Ta facture de cellulaire venait avec un vol d'identité en prime. Gratuitement. —
Une attaque par rançongiciel BlackCat/ALPHV contre Change Healthcare — qui traite un dossier patient américain sur trois — a exposé les données de 192,7 millions de personnes, soit près des deux tiers des États-Unis. La plus grande fuite de données de santé jamais enregistrée.
— Deux Américains sur trois, un seul piratage. Mais oui, gardons tout au même endroit. —
La DPC irlandaise a infligé la deuxième plus grosse amende RGPD de l'histoire concernant les transferts de données d'utilisateurs européens vers la Chine et des manquements au traitement et au consentement.
— Amende de 530M€. Revenus de TikTok : ~20Md€. Quelque part, un avocat en conformité rit encore. —
Une attaque par "saut d'île" a compromis une plateforme de service client tierce mal protégée pour atteindre des données Qantas plus précieuses — 5,7 millions de dossiers clients exposés sans que les propres systèmes de la compagnie aérienne soient directement piratés.
— La compagnie aérienne était sécurisée. Le fournisseur, non. Les données ont décollé quand même. —
La CNIL française a frappé Google de sa troisième et plus grosse amende concernant les cookies publicitaires et le consentement — une escalade : 100M€ en 2020, 150M€ en 2021, 325M€ en 2025. Les amendes grimpent ; le comportement, non.
— 100M€, puis 150M€, puis 325M€. L'amende monte. Le comportement, non. —
Collecte non autorisée massive de données personnelles de millions d'utilisateurs, violant les règles de consentement et de traitement du RGPD.
— "Réseau Professionnel." Très professionnel. Professionnellement en train de récolter tes données depuis 2003. —
Amendes et mesures d'application continues liées à la fuite Cambridge Analytica de 2018 et aux violations RGPD subséquentes.
— Ils ont payé. Ils se sont excusés. Ils ont retenu la leçon. (Ils n'ont pas retenu la leçon.) —
Le système "Tag Suggestions" de Meta a capturé la géométrie faciale de millions de Texans via le marquage de photos — sans consentement. Plus grand règlement de privacy de l'histoire américaine.
— 1,4 milliard, ça sonne impressionnant. Profit de Meta au Q3 2024 : 15,7 milliards. Les mathématiques font quelque chose. —
Ce n'est pas une coïncidence. C'est le modèle commercial. Tes données sont le produit. Ta vie privée est le coût.
Les gouvernements ripostent — mais d'ici là les dégâts sont faits. Les entreprises paient des amendes et continuent.
Le contrôle local est la seule vraie protection. Quand tes données vivent sur ta machine, personne ne peut les vendre, les perdre ou les utiliser contre toi.
La bonne nouvelle ? Tu n'as pas besoin d'un avocat, d'un lobbyiste, ni d'un miracle. Il te faut un disque dur et 10 minutes pour installer Ollama. La sortie existe déjà. On vient juste de construire le panneau qui pointe vers elle.
« Plus il y a de lois, moins il y a de justice. »
— Le Comte de Monte-Cristo
© 2026 Sanctum Elysium · Tous droits réservés · 0
⚖️ $LOAM est un meme coin communautaire et culturel — pas une valeur mobilière, pas un investissement, ni une promesse de profit. Toute valeur est accessoire et peut tomber à zéro. Rien ici n'est un conseil financier.