Le 12 novembre, les moteurs de recherche européens Qwant et Ecosia ont annoncé la création d’une coentreprise baptisée « European Search Perspective ». Cet effort collaboratif inédit entre le moteur de recherche français et son homologue allemand vise à développer un index de recherche indépendant, afin de réduire leur dépendance vis-à-vis des géants technologiques américains Google et Microsoft.

Un partenariat d’importance pour construire un index européen
Le projet « European Search Perspective » sera détenu à parts égales par Qwant et Ecosia. Selon le magazine Wired, cette coentreprise repose sur une répartition précise des tâches et des ressources : Ecosia contribuera à l’effort en apportant des liquidités et des données, tandis que Qwant fournira ses équipes d’ingénieurs et de data scientists, qui travaillent déjà depuis plusieurs années sur le développement d’un index de recherche. L’objectif de cette alliance est de permettre à Qwant et Ecosia de proposer leur propre moteur de recherche indépendant d’ici l’an prochain, avec des résultats en français et en allemand pour commencer, suivis de l’anglais et potentiellement d’autres langues européennes.

En mettant en place un index localisé et indépendant, Qwant et Ecosia prévoient également de le rendre accessible à d’autres moteurs alternatifs par le biais d’une API, renforçant ainsi l’écosystème de recherche en Europe. Cette démarche vise à diversifier les options pour les utilisateurs européens, en particulier ceux qui privilégient la protection des données personnelles et la confidentialité.

Briser la dépendance à Google et Microsoft
Actuellement, une grande partie des résultats affichés par Qwant provient du moteur Bing de Microsoft, et ceux d’Ecosia sont partiellement fournis par Bing et Google. Cette dépendance coûte cher, et elle limite l’autonomie des deux entreprises en matière de pertinence et d’expérience utilisateur. En créant leur propre index, Qwant et Ecosia cherchent à se libérer de ces contraintes et à réduire leur dépendance aux services coûteux des géants américains.

La question économique est d’ailleurs au cœur de cette démarche. En 2023, Microsoft a sensiblement augmenté le coût d’utilisation de son API Bing, ce qui a fragilisé les moteurs de recherche alternatifs. Confrontée à cette hausse de tarifs, Ecosia s’est tournée vers Google, mais le géant de la Silicon Valley impose des restrictions, notamment en interdisant l’utilisation de ses API dans les applications mobiles.

L’opportunité du Digital Markets Act pour les acteurs européens
La mise en place de cette coentreprise intervient dans un contexte réglementaire favorable, grâce au Digital Markets Act (DMA) de l’Union européenne. Cette législation impose désormais à Google et aux autres géants du numérique de partager une partie de leurs données de recherche avec leurs concurrents, favorisant ainsi la concurrence sur le marché européen. De plus, Google est contraint d’offrir un écran de sélection du moteur de recherche par défaut sur Chrome, comme il le fait déjà sur Android. Cette mesure pourrait donner davantage de visibilité aux moteurs de recherche alternatifs comme Qwant et Ecosia, qui peinent à se faire une place face au monopole de Google, qui capte plus de 90 % du marché en Europe.

Un défi pour les moteurs de recherche alternatifs
Malgré cet élan, Qwant et Ecosia ont encore un long chemin à parcourir pour rivaliser avec Google. Ecosia, qui consacre une partie de ses bénéfices à la plantation d’arbres, détient actuellement une part de marché de 0,3 % en Europe, tandis que Qwant est encore plus bas. Récemment racheté par Octave Klaba, le fondateur d’OVHcloud, Qwant tente de surmonter ses difficultés financières et de renforcer sa position sur le marché. Cette alliance avec Ecosia est donc cruciale pour pérenniser leur modèle économique et offrir une alternative viable aux utilisateurs européens.

Une vision commune de la confidentialité et de l’expérience utilisateur
Ensemble, Qwant et Ecosia ambitionnent de redéfinir l’expérience de recherche pour les Européens, en proposant une solution qui respecte la vie privée des utilisateurs, un atout essentiel pour rivaliser avec Google. Grâce à un index propre, les deux moteurs peuvent également adapter leurs résultats aux particularités des utilisateurs européens, en privilégiant une approche locale et transparente.

Ce projet ambitieux marque une étape clé pour l’indépendance numérique de l’Europe, offrant aux utilisateurs une alternative qui allie souveraineté technologique et protection des données personnelles. Pour Qwant et Ecosia, cette alliance est l’opportunité d’être mieux armés pour relever les défis de la concurrence et de répondre aux attentes d’un public toujours plus soucieux de ses droits en ligne.

Les violations de données personnelles recouvrent notamment les fuites, vols ou pertes de données, que l’origine soit accidentelle ou malveillante. Ces données peuvent, dans certains cas, être revendues sur Internet ou encore être croisées avec celles issues d’autres fuites de données.

Comment savoir si vous en êtes victime ?
Lorsque ces violations sont susceptibles d’engendrer un risque élevé pour les personnes, les organismes doivent en principe informer directement les personnes concernées en mentionnant notamment les mesures prises pour remédier à ou atténuer les conséquences de la violation.

Si vous avez reçu un tel message, la vigilance est de mise dans les prochains jours, mais aussi et surtout à plus long terme, en adoptant les réflexes essentiels.

La CNIL n’est pas en mesure de vous informer ou de vous confirmer la présence de vos données parmi celles ayant fait l’objet d’une violation. Vous pouvez en revanche interroger l’organisme responsable sur ce point.

Attention : certains sites web indiquent détenir les données et pouvoir vous dire si vous êtes ou non concerné(e). La CNIL déconseille de les utiliser.

Quels sont les risques et que pouvez-vous faire pour vous protéger ?
Les risques vont souvent dépendre de la nature des informations dérobées.

L’exploitation frauduleuse d’IBAN (coordonnées bancaires)
L’IBAN est un identifiant bancaire que vous avez utilisé pour payer un abonnement ou un service.

Cet identifiant peut dans certains cas permettre à un pirate d’émettre des ordres de prélèvement illégitimesqui ciblent les IBAN obtenus frauduleusement. Le pirate peut aussi, plus directement, usurper l’IBAN d’une autre personne en les communiquant lors de la création d’un mandat de prélèvement dans le cadre d’une souscription à un service.

Afin de diminuer les risques d’exploitation frauduleuse de votre IBAN et de minimiser ses conséquences :

Surveillez régulièrement les opérations sur votre compte bancaire et faites opposition si nécessaire. Rapprochez-vous de votre conseiller bancaire habituel en cas de doute ;

Vérifiez la liste des créanciers autorisés (c’est-à-dire les bénéficiaires des prélèvements) dans votre espace de banque en ligne ;

Lors de la réception d’un mandat de prélèvement prérempli, ou d’une prétendue mise à jour de celui-ci, soyez vigilant quant aux informations décrivant le créancier afin d’éviter un détournement de vos paiements.
L’usurpation d’identité
Si vous pensez être victime d’une usurpation d’identité à la suite de la divulgation d’informations vous concernant, vous pouvez :

vous rendre sur le site cybermalveillance.gouv.fr pour obtenir des conseils pour vous prémunir d’usurpation ;
déposer une plainte au plus vite auprès d’un commissariat de police ou de gendarmerie ;
prévenir votre ou vos banques.
Si l’usurpation est confirmée, notamment si des banques vous adressent des courriers concernant des opérations qui vous sont inconnues, vous pourrez :

vérifier si vous êtes fiché auprès de la Banque de France, notamment dans le fichier des incidents de remboursement des crédits aux particuliers ;
vérifier si des comptes ont été ouverts à votre nom à votre insu en envoyant à la CNIL une demande de consultation du fichier des comptes bancaires(FICOBA).

Le cas particulier de la fraude à la carte SIM (SIM swapping)
Ce type d’escroquerie repose sur une usurpation d’identité et la manipulation de l’opérateur de téléphonie mobile. Grâce à des données personnelles précédemment volées, le pirate usurpe votre identité auprès de l’opérateur et prétexte la perte ou le vol de votre carte SIM afin d’en obtenir une nouvelle.

Si le pirate parvient à ses fins, il pourra alors recevoir vos SMS, vos appels et surtout les mots de passe à usage unique (OTP) utilisés dans le cadre de la validation de certaines opérations sensibles (par exemple : authentification à des services, validation de virements bancaires). Fort de ces éléments, le pirate pourra se connecter à vos différents environnements numériques et initier des opérations en ligne en usurpant votre identité.

Afin de limiter les risques associés à de telles tentatives :

soyez attentif à une éventuelle perte d’accès au réseau mobile de votre opérateur depuis votre téléphone et contactez rapidement votre opérateur si cela survient sans explication apparente ;
continuez d’appliquer les règles d’hygiène informatique (telles que la mise à jour des applications, le non-téléchargement de logiciels frauduleux ou de pièces jointes à des emails provenant d’expéditeurs inconnus, ou encore le non-accès à des sites Internet qui n’inspirent pas confiance).
Le hameçonnage (phishing)
Par SMS ou courriel
L’hameçonnage consiste à vous envoyer un courriel, un SMS frauduleux qui vous paraîtra réaliste du fait de l’utilisation de données récupérées grâce à la fuite (par exemple un soi-disant courriel de la sécurité sociale, de votre banque ou de services de livraison de colis par exemple).

N’ouvrez surtout pas les pièces jointes, n’y répondez pas, ne cliquez pas sur les liens de connexion et supprimez le message immédiatement.

D’une manière générale, privilégiez la saisie de l’adresse du site officiel du service, depuis votre navigateur, pour vous connecter à votre compte.

Par téléphone
Certains fraudeurs peuvent se faire passer pour votre conseiller bancaire, en gagnant votre confiance par leur connaissance de vos données personnelles dont votre IBAN, pour que vous effectuiez ou confirmiez une action en urgence, telle qu’un paiement.

Si vous recevez un appel téléphonique douteux, vérifiez le nom de votre conseiller et appelez-le au numéro indiqué sur vos relevés bancairescar il peut s’agir d’une forme d’escroquerie.

Comment se protéger au quotidien ?
D’une manière générale, vous pouvez renforcer votre sécurité numériquepour limiter les conséquences d’une fuite de données :

changez vos mots de passe des services web que vous utilisez :
en privilégiant des mots de passe forts ;
en priorisant les services les plus importants (courriel, impôts, banques, sites de commerce en ligne, etc.) ;
évitez l’utilisation d’un même mot de passe pour différents services et conservez-les dans un gestionnaire de mots de passe ;

utilisez les authentifications multifacteurs quand elles vous sont proposées par des services de confiance (par exemple l’utilisation d’une application mobile dédiée pour valider une connexion ou une opération).
La vigilance est de mise, dans les jours qui suivent une violation, mais aussi et surtout à plus long terme, en adoptant les réflexes essentiels.

Bonne pratique : partager l’information, c’est protéger les autres
Si vous pensez qu’une fuite de données peut concerner une personne de votre entourage (famille, amis, collègues), n’hésitez pas à :

lui demander si celle-ci a reçu le message d’information obligatoire de l’organisme responsable ;
lui transmettre les points de vigilance de la CNIL ou d’autres autorités officielles ;
lui indiquer les bons réflexes à avoir dans l’immédiat et au quotidien (par exemple : changer ses mots de passe, utiliser une authentification multifacteur lorsque cela est proposé).
Soyez vigilant concernant les personnes vulnérables, en particulier :

celles n’ayant pas un accès quotidien ou aisé à Internet ;
les personnes âgées ;
ou encore celles courant un risque personnel du fait de la fuite de données (par exemple en cas de divulgation de l’orientation sexuelle, de l’opinion politique ou religieuse, de l’état de santé, etc.).
Comment porter plainte ?
Vous pouvez porter plainte de deux manières :

Auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment sécurisées.
Auprès de la police ou de la gendarmerie si vous êtes victime d’une usurpation d’identité, d’une arnaque ou de paiements frauduleux.
Cyberattaque concernant l’opérateur de téléphonie FREE

Une enquête est en cours concernant cette cyberattaque, elle a été confiée à la brigade de lutte contre la cybercriminalité (BL2C) de la préfecture de Police de Paris.

Les obligations des organismes ayant subi une violation de données
Lorsque des fuites, vols ou pertes de données sont susceptibles d’engendrer un risque pour les personnes concernées, les organismes responsables doivent notifier la violation à la CNIL en lui fournissant des informations sur la nature de la violation, ses conséquences et les mesures prises pour y remédier.

La CNIL est alors en mesure d’accompagner les organismes en les conseillant, lorsque cela est nécessaire, sur la meilleure manière de réagir et d’améliorer leur posture de cybersécurité.

La CNIL peut aussi être amenée à collaborer avec d’autres acteurs institutionnels ayant aussi pour mission de veiller à la cybersécurité de l’espace numérique, tels que l’ANSSI, la section cyber du parquet de Paris (J3) ou encore cybermalveillance.gouv.fr.

À plus long terme, la connaissance fine des modes opératoires donnant lieu à des violations permet à la CNIL de créer des publications aidant à les prévenir ou à y remédier, à destination des organismes comme du grand public, au plus près de l’état réel de la menace. Elle permet aussi à la CNIL de partager son expérience avec les autres autorités en charge de la prévention du risque cyber et de bénéficier de la leur.

Le RGPD, la CNIL et la cybersécurité
La législation sur la protection des données personnelles – le règlement général de protection des données (RGPD) – impose à tous les organismes (entreprises, administrations, associations) d’assurer la sécurité des données personnelles.

La CNIL a quatre principaux rôles en matière de cybersécurité : elle conseille en amont les organismes sur les bonnes pratiques (ex : guide de la sécurité des données personnelles), elle contrôle en aval le respect de leurs obligations, elle reçoit et instruit les notifications de violation et enfin elle sensibilise les particuliers sur les risques.