Un consortium de journalistes d’investigation (The Guardian, The Washington Post, Süddeutsche Zeitung, Der Spiegel…) a eu accès à plusieurs milliers de pages de documents techniques détaillant les « armes numériques » fournies par « Vulkan », un important prestataire de plusieurs services de renseignement russes, rapporte Le Monde.

Les documents leur auraient été transmis par une source souhaitant montrer que « le GRU [renseignement militaire] et le FSB [sécurité intérieure] se cachent derrière cette entreprise ».

Des factures de Vulkan auraient en effet été adressées à l’unité militaire 74455 du GRU, plus connue sous le nom de « Sandworm » (« ver de sable », accusée d’être à l’origine des « MacronLeaks »), ainsi que les unités 22280 (« programmes spéciaux ») de l’armée russe et 33949 du SVR, le renseignement extérieur russe.

Or, souligne Le Monde, « traditionnellement, le FSB (sécurité intérieure), le GRU (renseignement militaire) et le SVR (renseignement extérieur) russes se méfient les uns des autres, communiquent peu et évitent d’avoir recours aux mêmes outils – à tel point qu’en 2016 le GRU et le SVR avaient tous les deux, et sans se concerter, piraté les e-mails du Parti démocrate américain » : 

« Mais, depuis le début des années 2010, les services de sécurité du pays tentent d’accroître leurs capacités cyber à marche forcée, sans toujours avoir en interne les moyens de leurs ambitions, et multiplient les recours aux sous-traitants. »

Vulkan aurait aussi développé Amezit-B, un ensemble de services très complets destinés au contrôle de l’information en ligne, pour le compte de l’Institut de recherche en radiocommunications de Rostov-sur-le-Don (RNIIRS), un « maillon-clé du complexe militaro-industriel russe » travaillant notamment pour le centre pour les mesures techniques et opérationnelles du FSB, chargé de la surveillance électronique : 

« Divisé en plusieurs modules, Amezit-B permet à la fois de pratiquer la surveillance de masse du trafic sur une région, de bloquer l’accès à certains sites ou de rediriger les internautes vers d’autres adresses, mais aussi de créer de faux comptes sur les réseaux sociaux pour diffuser articles, messages ou vidéos… Une gigantesque "boîte à outils" tout-en-un permettant, en théorie, de contrôler au plus près tout ce qui se dit en ligne. »

Le projet s'insérait dans le cadre de la doctrine russe de contrôle d’Internet (loi fédérale nᵒ 90-FZ), qui « oblige notamment les opérateurs de télécommunications russes à fixer, sur leurs installations, des "boîtiers de lutte contre les menaces" (TSUP) », éléments-clés du « RuNet », ce concept d’un Internet russe souverain, permettant de bloquer les sites « jugés dangereux pour les intérêts nationaux ».

Vulkan aurait également conçu pour le renseignement militaire russe un « module complet de collecte et de stockage d’informations sur les failles informatiques exploitables dans le monde entier », afin de préparer des cyberattaques, précise Le Monde.

« Skan » (pour « scanner ») explore en effet Internet afin d'y détecter des failles de sécurité, « et archiver dans une gigantesque base de données toutes les failles documentées », ainsi que les cibles potentielles. 

Pour autant, relève Le Monde, les détails techniques du projet, entamé en 2018, « ne montrent pas un degré particulièrement élevé de sophistication », recourant notamment au moteur de recherche IoT Shodan, ainsi qu'à des listes de noms de domaine expiré, afin de les réutiliser pour masquer la provenance de leurs attaques.

La Cour de justice de l'Union européenne (CJUE) vient de rendre sa décision : le consentement des enseignants doit aussi être pris en compte lorsqu'il est mis en place un système de cours par visioconférence, conformément au RGPD, indique le communiqué [PDF] de la Cour.

Cette décision a été prise alors qu'en Allemagne, le comité principal du personnel des enseignants auprès du ministère de l’Éducation et de la Culture du Land de Hesse s'était plaint qu'en 2020, pendant les confinements dus au Covid-19, le ministre de l’Éducation et de la Culture de leur Land avait aménagé la possibilité de cours par visioconférence en prenant en compte le consentement des élèves, mais pas celui des enseignants concernés.

Le Ministre a fait valoir qu'une réglementation nationale couvrait le traitement des données à caractère personnel lors de cette diffusion par visioconférence et permettait de se passer de demander le consentement des enseignants. La juridiction administrative du land a confirmé les dires du ministre et a fait valoir que le paragraphe 1 de l'article 88 du RGPD permettait aux états de prévoir des « règles plus spécifiques » pour assurer la protection des droits et des libertés des employés. Mais cette juridiction a émis des doutes sur la conformité avec le deuxième paragraphe de ce même article :

« Ces règles comprennent des mesures appropriées et spécifiques pour protéger la dignité humaine, les intérêts légitimes et les droits fondamentaux des personnes concernées, en accordant une attention particulière à la transparence du traitement, au transfert de données à caractère personnel au sein d'un groupe d'entreprises, ou d'un groupe d'entreprises engagées dans une activité économique conjointe et aux systèmes de contrôle sur le lieu de travail. »

Elle a donc saisi la CJUE. Et celle-ci a jugé que les « règles spécifiques » permises par le premier paragraphe de l'article 88 du RGPD doivent se plier aux conditions posées par le deuxième.

• L’arrêt de la Cour