Les données de santé des Européens vendues à une entreprise américaine dirigée par d’anciens agents du renseignement israélien

 (ftm.eu)
2 points par GN⁺ 2025-12-15 | 1 commentaires | Partager sur WhatsApp
  • L’entreprise néerlandaise de sécurité des données Zivver a été rachetée par l’américaine Kiteworks, plaçant les données sensibles de santé et les données administratives de citoyens européens sous le contrôle d’une entreprise américaine
  • Une grande partie de la direction de Kiteworks est issue du renseignement militaire israélien, et son CEO Jonathan Yaron a lui aussi servi dans une unité cyber spécialisée de l’armée israélienne
  • Zivver est un service utilisé par des hôpitaux, des tribunaux et des autorités migratoires de l’UE et du Royaume-Uni pour envoyer des documents confidentiels ; il fournit du chiffrement, mais une enquête a confirmé que l’entreprise peut consulter le contenu des documents en interne
  • Des experts en cybersécurité et en renseignement ont averti que cette acquisition aurait dû être bloquée en amont ou soumise à un examen strict
  • Le fait que les données sensibles des Européens passent dans la sphère d’influence du droit américain et des réseaux de renseignement israéliens soulève de graves inquiétudes en matière de souveraineté des données et de sécurité

Acquisition de Zivver et transfert des données

  • Kiteworks a racheté Zivver en juin 2025, et le CEO Yaron a qualifié cela de « moment de fierté pour tout le monde »
    • Il a ajouté que cette acquisition marquait « une étape importante dans notre mission de protection des données sensibles sur tous les canaux de communication »
  • Mais cette opération a pour conséquence que les données personnelles de citoyens européens et britanniques passent aux mains d’une entreprise américaine
    • Zivver est un important service de messagerie sécurisée utilisé aux Pays-Bas, en Allemagne, en Belgique et au Royaume-Uni par des hôpitaux, des assureurs, des organismes publics et des autorités migratoires
  • Selon l’article, même les documents chiffrés de Zivver peuvent être consultés par l’entreprise

Le parcours des dirigeants de Kiteworks

  • Une grande partie de la haute direction de Kiteworks est issue des Forces de défense israéliennes (renseignement militaire)
    • Plusieurs dirigeants, dont le CEO Jonathan Yaron, ont travaillé dans des unités spécialisées dans le déchiffrement des communications et les écoutes
  • Cette composition de l’équipe dirigeante met clairement en évidence des liens avec les services de renseignement israéliens

Les inquiétudes des experts

  • Des experts en cybersécurité et en renseignement soulignent que cette acquisition aurait dû être bloquée à l’avance ou faire l’objet d’un examen approfondi
  • Les données traitées par Zivver sont considérées comme très précieuses pour les organisations criminelles ou les services de renseignement étrangers
  • Après l’acquisition, ces données sont devenues soumises aux lois américaines de surveillance et placées sous la gestion d’une entreprise liée aux services de renseignement israéliens

Méthode d’enquête

  • Follow the Money a enquêté sur le processus d’acquisition de Zivver et sur le parcours des dirigeants de Kiteworks
    • Les faits ont été vérifiés au moyen d’entretiens avec des experts du renseignement et de la cybersécurité
  • Ce reportage fait partie de « The EU Files », une série consacrée à la question de la souveraineté des données au sein de l’UE

Portée pour l’Europe

  • L’affaire révèle le risque que des infrastructures de communication sécurisée utilisées par des organismes publics européens soient reliées à des réseaux de renseignement étrangers
  • Il s’agit d’un cas concret où la réglementation sur la protection des données entre en collision avec les impératifs de sécurité nationale, et qui pourrait devenir un sujet central du débat sur la souveraineté numérique dans l’UE

À lire aussi

1 commentaires

 
GN⁺ 2025-12-15
Avis sur Hacker News

  • Le CEO de l’entreprise tech américaine serait un ancien membre d’une unité cyber d’élite de l’armée israélienne, d’où sans doute la mention de l’Unité 8200 dans l’article
    La manière dont cette unité est présentée, comme s’il s’agissait simplement de prendre un ordinateur plutôt qu’un fusil, semble être un cadrage un peu étrange. Il manque selon moi davantage de contexte dans l’article

    • L’Unité 8200 n’est pas simplement une unité de cybersécurité, elle est chargée de la collecte et de l’analyse du renseignement d’origine électromagnétique
      Si Jack Ryan avait été israélien, il aurait servi dans cette unité plutôt qu’à la CIA
      Elle mène aussi des travaux d’analyse, notamment pour le ciblage, et cela est bien décrit dans un article de 972mag
    • En réalité, ce n’est pas une question d’« exemption ». Tout le monde est conscrit, puis affecté à une unité selon ses capacités
      Si on a du talent, on préférera probablement entrer dans ce type d’unité plutôt que de patrouiller à Gaza
    • Servir dans l’Unité 8200 reste malgré tout une forme de service militaire obligatoire

  • J’ai un peu de contexte parce que j’ai fréquenté l’un des premiers ingénieurs de Zivver (développeur Scala)
    L’idée centrale était le chiffrement de bout en bout, donc l’organisation acquéreuse ne devrait pas pouvoir voir directement les données des clients
    L’entreprise a connu un grand succès aux Pays-Bas pendant le Covid, lorsque l’envoi de rapports numériques est devenu obligatoire
    Mais ce rachat risque aujourd’hui d’avoir un impact négatif sur le débat néerlandais autour de la souveraineté numérique

    • Je me demande si le chiffrement couvre aussi les métadonnées, par exemple qui a envoyé quoi à qui

  • Même si le service est basé dans l’UE, son rachat par une entreprise étrangère peut exposer des données sensibles à une autre juridiction. C’est assez préoccupant

  • Je me demande s’il existe un moyen de refuser cela (opt-out). On peut se demander si la Commission européenne a signé un contrat global sans consulter les citoyens

  • Depuis Google, les géants américains de la tech n’ont cessé d’abaisser le seuil de référence en matière de vie privée
    Au final, ils ont normalisé l’idée que « la vie privée n’existe pas » au profit de leurs intérêts capitalistiques
    Il existe aussi des alternatives en Europe, mais si les citoyens ne les choisissent pas consciemment, cela aura des effets pervers

    • Il faut aussi rappeler que les données de HN sont partagées et concédées sous licence à des startups de Y Combinator
      Même si vous supprimez votre compte, les données ne disparaissent pas totalement. Ce point n’est pas clairement signalé lors de l’inscription
    • La plupart des gens utilisent gratuitement les services de Google depuis des décennies, mais se mettent en colère dès qu’un modèle payant apparaît
      Cette obsession pour « l’internet gratuit » a fini par créer un véritable cauchemar pour la vie privée
      À moins que l’Europe ne crée des services publics comme EuroTube ou EuroGram financés par l’impôt, les alternatives resteront difficiles en pratique
    • Apple fait plutôt du bon travail comme défenseur de la vie privée, et pourtant l’entreprise est souvent critiquée pour des questions de normes de câbles ou d’interface
      Il est intéressant de voir ce double standard où détester certaines entreprises semble être « à la mode »
    • Les gouvernements de l’UE vont au-delà des lacunes du RGPD et en viennent à forcer les citoyens à fournir leurs données personnelles à des entreprises américaines
      Il existe des alternatives payantes comme Proton, mais la plupart des gens préfèrent les services gratuits
      Tant que les pouvoirs publics ne construiront pas eux-mêmes un « canal souverain », la dépendance aux FANG ne fera que s’aggraver
      Cela peut sembler un peu moins cher aujourd’hui, mais c’est une structure qui finira par tourner à la catastrophe
    • Le laxisme de l’Irlande dans l’application du RGPD a surtout pénalisé les entreprises européennes, sans presque rien améliorer en matière de vie privée
      Cela dit, essayer le droit d’accès aux données (subject access request) a été une expérience intéressante

  • Cette page d’article force la création d’un compte
    En supprimant la classe "quickSubscribe" dans le HTML, on peut faire défiler gratuitement la page

    • Ou alors, il est plus simple de chercher un lien d’archive dans les commentaires

  • En résumé, une entreprise européenne de données de santé chiffre des documents via un portail web géré par d’anciens spécialistes militaires du chiffrement
    Mais une telle structure peut malgré tout relever du droit américain, et un accès technique peut exister au moment de l’envoi
    Mettre en doute la fiabilité du service simplement parce que ses fondateurs sont israéliens semble être un cadrage excessif

    • Fondamentalement, ce type de modèle peut voir sa sécurité compromise par une simple altération du code du navigateur
      J’ai moi-même trouvé désagréable que des soignants m’envoient des courriers via ce service sans mon consentement
    • Le fait de mettre « Israël » en avant dans le titre ressemble à une provocation délibérée. L’auteur semble avoir voulu faire du clic

  • Avant, je recevais souvent des messages Zivver de la part d’établissements de santé, mais plus un seul depuis l’annonce du rachat

  • Je n’ai jamais vu Zivver dans le système de santé allemand
    L’Allemagne déploie déjà pour le médical des messageries basées sur Matrix et des e-mails S/MIME
    Le vrai problème, c’était plutôt l’ancien ministre de la Santé qui voulait fournir des données médicales à OpenAI et d’autres
    Voir à ce sujet l’article de Heise

    • À long terme, il semble qu’un opt-out complet des dossiers médicaux électroniques deviendra impossible
      D’où l’importance d’élire des responsables politiques qui comprennent le « Neuland » numérique et ont une vraie culture technique
    • Même si l’on a l’impression que Zivver n’est pas utilisé, il est possible qu’au sein des assureurs il soit déjà employé en back-end, comme Office 365 ou SAP
      Après tout, les utilisateurs ne peuvent pas connaître l’ensemble des logiciels internes