Microsoft a débuté mercredi le déploiement de Copilot Vision au sein de son navigateur Edge, avec la promesse d’une fonctionnalité accessible gratuitement à tous les utilisateurs. La promesse ? Avec Copilot Vision, l’intelligence artificielle générative de Microsoft est capable de voir ce qui est affiché à l’écran, ce qui permet à l’utilisateur d’échanger avec le logiciel, en langage naturel, pour par exemple obtenir un résumé, affiner une sélection de produits, etc. L’accès à Copilot Vision, pour l’instant réservé aux internautes basés aux États-Unis, ne se fait que sur consentement préalable (opt-in).

« Copilot Vision est disponible gratuitement sur Edge. Il peut voir ce que vous voyez à l’écran (si vous l’activez). Incroyable ! Il réfléchit à voix haute avec vous lorsque vous naviguez en ligne », s’enthousiasme Mustafa Suleyman, CEO de Microsoft AI, dans un message d’annonce. « Ajoutez-le à une page de recette pour cuisiner sans écran. Copilot vous guidera pas à pas, vous dépannera ou vous expliquera la signification de « julienne » », illustre-t-il encore.

La fonction avait initialement été déployée en décembre dernier, mais uniquement sur le parc des utilisateurs disposant d’un abonnement payant à Copilot. Cette fois, Microsoft ouvre donc plus largement les vannes, en indiquant tout de même que « pour commencer, Vision n’interagira qu’avec une sélection de sites Web », parmi lesquels Wikipédia, Amazon ou Tripadvisor.

Pour activer la fonction (depuis une IP américaine), il suffit de se rendre, via Edge, sur la page dédiée, et d’entrer dans le programme. Pour activer Vision, il suffit ensuite d’ouvrir la barre dédiée à Copilot, et de lancer une interaction vocale avec le logiciel par le biais du bouton micro. Une paire de lunettes rouge et un effet de couleur sur l’interface du navigateur confirment alors la mise en œuvre de la reconnaissance visuelle.

« Les réponses du modèle Copilot sont enregistrées afin de permettre la surveillance des interactions et des sorties dangereuses », prévient Microsoft, qui se veut cependant rassurant quant aux aspects liés à la vie privée. « Les images, les voix et le contexte des utilisateurs ne seront ni enregistrés ni stockés. Votre conversation avec Vision est retranscrite dans votre historique de conversation. Vous pouvez supprimer l’historique de discussion à tout moment. »

Google continue de proposer des préversions d’Android 16 avec un rythme mensuel depuis la première bêta en janvier. La troisième bêta en mars était une étape importante puisqu’elle était synonyme de « Platform Stability ». En clair, « les comportements liés aux applications sont définitifs ». Cette bêta 4 est la dernière ligne droite (probablement la dernière bêta) avant la version finale attendue pour ce deuxième trimestre.

Google annonce une large liste de compatibilité, au-delà de ses Pixel, avec des terminaux de chez Honor, iQOO, Lenovo, OnePlus, OPPO, Realme, vivo et Xiaomi. Des liens vers chaque fabricant sont disponibles sur cette page. Attention, cela ne veut pas dire que c’est la bêta 4 qui est proposée par les partenaires, c’est souvent une version plus ancienne, la bêta 2 dans la grande majorité des cas. Vous pouvez aussi installer Android 16 via Android Studio.

Google continue de prévenir du passage prochain aux pages de 16 ko à la place de 4 ko (initié avec Android 15) permettant ainsi « d’offrir des performances améliorées pour les charges de travail gourmandes en mémoire ». Désormais, c’est 16 ko par défaut, mais un mode de compatibilité permet de revenir à 4 ko. Android 16 prépare aussi un autre changement : des restrictions sur le réseau local via Local Network Protection.

Plusieurs bugs sont évidemment corrigés, notamment avec une amélioration de la gestion des pertes du Bluetooth. Il est aussi question de la disparition de la carte radar dans l’application météo Pixel, d’un bug « qui entraînait une décharge excessive de la batterie sur certains appareils », etc. Les notes de version détaillées se trouvent par là.

Google proposera pour rappel une seconde mise à jour du SDK d’Android au quatrième trimestre, mais elle sera « mineure ». Entre les deux, de nouvelles fonctionnalités pourront être ajoutées.

De quoi faire toujours plus de Starter pack… Super !

La HBM4 est finalisée par le JEDEC, bien que les fabricants de puces et de GPU n’aient pas attendu pour se lancer. Cette nouvelle version permet d’avoir des puces jusqu’à 64 Go avec 2 To/s de bande passante.

Cela fait des mois que le JEDEC – chargé de développer les normes pour la mémoire – planche sur la HBM4 (High Bandwidth Memory). Les fabricants de GPU n’ont pas attendu pour préparer le terrain, à l’image de NVIDIA avec sa prochaine génération Rubin prévue pour 2026.

• Toujours plus chez NVIDIA : voici Blackwell Ultra, puis Vera Rubin (Ultra), Feynman…

Deux canaux indépendants pour la HBM4

Le Joint Electron Device Engineering Council explique que la HBM4 dispose désormais de deux canaux indépendants, « totalement indépendants l’un de l’autre, ils ne sont pas nécessairement synchrones ». Chaque canal dispose d’un bus sur 64 bits. Dans la pratique, « HBM4 double le nombre de canaux indépendants par stack en passant de 16 canaux (HBM3) à 32 canaux (HBM4) avec 2 pseudo-canaux par canal ».

Cela à une conséquence : une empreinte physique plus importante. Le JEDEC avait déjà expliqué qu’afin d’assurer une large compatibilité, « la norme garantit qu’un seul contrôleur peut fonctionner avec de la HBM3 ou de la HBM4 ».

Jusqu’à 16 couches de 32 Gb, soit 64 Go par puce

La HBM4 supporte des puces avec entre 4 et 16 couches, contre 12 maximum pour la HBM3(e). Les puces de DRAM peuvent avoir une densité de 24 ou 32 Gb. Cela donne une capacité maximale de 64 Go par puce (32 Gb x 16 couches = 512 Gb soit 64 Go). En HBM3(e), c’était 48 Go maximum (16 couches, 24 Gb), SK hynix était le premier à sauter le pas fin 2024.

2 To/s de bande passante, des tensions plus basses

La bande passante de la HBM4 peut atteindre jusqu’à 2 To/s, avec une interface à 8 Gb/s sur un bus à 2048 bits (8 x 2048 = 16 384 Gb/s, soit 2 048 Go/s).

La consommation électrique n’est pas laissée de côté avec différents niveaux de tensions : 0,7, 0,75, 0,8 ou 0,9 V pour VDDQ (Voltage Drain to Drain et Q comme… I/O), contre 1,0 ou 1,05 V pour VDDC (Voltage Drain-Drain Core) au lieu de 1,1 V en HBM3, « entraînant une consommation d’énergie inférieure et une efficacité énergétique améliorée ».

Micron a pour rappel déjà annoncé de la HBM4 pour 2025, avec des puces de 48 Go (24 Gb et 16 couches) et le fabricant prévoit de la « HBM4E » pour 2027 avec 64 Go (32 Gb et de nouveau 16 couches). Cela correspond aux annonces du jour du JEDEC sur la HBM4 (sans le E).

• HBM4, GDDR7, CXL 3.x… : la roadmap Micron jusqu’en 2028

Un tribunal américain a jugé que Google avait bien créé illégalement un monopole sur le marché de la publicité en ligne. L’entreprise a enfreint les lois américaines sur la concurrence en « l’acquisition et le maintien délibérés d’un pouvoir de monopole ». Les conséquences seront décidées dans un second temps, mais Google pourrait se voir obligée de se séparer de plusieurs services liés à la publicité.

Après avoir, pendant des années, construit un empire du web, Google fait maintenant face aux conséquences devant la justice étasunienne. En aout 2024, la justice américaine concluait que l’entreprise détenait un monopole sur la recherche en ligne. Ce jeudi 16 avril, elle a aussi estimé que Google s’était créé un monopole du marché de la publicité en ligne.

Les conséquences de ces deux décisions pourraient aboutir à un démantèlement de la société imposé par la justice. Du côté de la recherche en ligne, des pistes ont déjà été envisagées et la décision est prévue pour aout prochain.

• Comment la justice américaine envisage-t-elle le démantèlement de Google

Concernant le marché de la publicité en ligne, l’entreprise pourrait être forcée de se séparer d’outils de gestion des publicités en ligne. Dans le viseur figure notamment Google Ad Manager qui a rassemblé en 2018 les outils DoubleClick for Publishers (DFP) et DoubleClick Ad Exchange (AdX). Mais d’autres options sont possibles comme l’obligation de séparer de nouveau DFP et AdX pour permettre l’interopérabilité avec d’autres outils.

Une construction délibérée d’un monopole

Dans l’explication de sa décision [PDF], la juge Leonie M. Brinkema estime que Google a acquis et maintenu « délibérément un pouvoir monopolistique » sur le marché des serveurs pour annonceurs et celui des échanges pour la publicité sur le web.

Elle n’a, par contre, pas retenu l’accusation faite par le ministère de la Justice américain de construction d’un monopole sur le marché des réseaux d’outils d’affichage de publicité pour les annonceurs. Elle n’a tout bonnement pas considéré que ce marché existait à lui seul.

« Google a renforcé son pouvoir de monopole en imposant des politiques anticoncurrentielles à ses clients et en éliminant des caractéristiques souhaitables de ses produits », explique-t-elle dans ses conclusions. Elle ajoute qu’ « en plus de priver les rivaux de leur capacité de la concurrencer, ce comportement d’exclusion a porté un préjudice considérable aux éditeurs clients de Google, au processus concurrentiel et, en fin de compte, aux consommateurs d’informations sur le web ».

Une victoire historique pour l’accusation, un match nul selon Google

C’est « une victoire historique dans la lutte en cours pour empêcher Google de monopoliser la place publique numérique », pour la procureure général des États-Unis, Pamela Bondi, citée par Reuters.

Du côté de Google, l’entreprise affirme ne pas avoir tout perdu dans cette affaire. « Nous avons gagné la moitié de cette affaire et nous ferons appel pour l’autre moitié. La Cour a estimé que nos outils pour les annonceurs et nos acquisitions, telles que DoubleClick, ne nuisent pas à la concurrence », estime la vice-présidente de l’entreprise, Lee-Anne Mulholland. Elle ajoute : « Nous ne sommes pas d’accord avec la décision de la Cour concernant nos outils pour les éditeurs. Les éditeurs ont de nombreuses options et ils choisissent Google parce que nos outils publicitaires sont simples, abordables et efficaces ».

Concernant l’acquisition de DoubleClick, la juge Leonie M. Brinkema affirme pourtant dans l’explication de sa décision qu’ « en renforçant son activité tournée vers les éditeurs grâce à l’acquisition de DoubleClick, Google a pu établir une position dominante des deux côtés de la pile de technologies publicitaires ».

Fake America Great Again

Un sous-secrétaire d’État complotiste de l’administration Trump vient d’annoncer la fermeture du service de lutte contre la manipulation de l’information et les ingérences étrangères. Et ce, alors qu’un sondage révèle « une croyance généralisée dans les fausses informations » de la part des citoyens états-uniens. Au point que 20 % croient que les vaccins ont fait plus de morts que la Covid-19, et qu’un peu moins de la moitié ne sont « pas sûr » de savoir si cette affirmation est vraie, ou pas.

Le chef de la diplomatie américaine, Marco Rubio vient d’annoncer, ce mercredi 16 avril, la fermeture de la seule agence fédérale américaine qui traquait et contrait la désinformation en provenance des pays étrangers, rapporte l’AFP.

La fermeture du Counter Foreign Information Manipulation and Interference (R/FIMI, pour « service de lutte contre la manipulation de l’information et les ingérences étrangères ») a été justifiée par la nécessité de « défendre la liberté d’expression des Américains ».

« Sous l’administration précédente, ce service, qui coûtait aux contribuables plus de 50 millions de dollars par an, a dépensé des millions de dollars pour faire taire et censurer activement les voix des Américains qu’il était censé servir », a accusé M. Rubio dans un communiqué.

En fermant le R/FIMI, le controversé sous-secrétaire intérimaire du ministère, Darren Beattie, « offre une victoire importante aux critiques conservateurs qui ont allégué qu’il censurait les voix conservatrices », estime la MIT Technology Review.

Darren Beattie, qui avait été renvoyé de la première administration Trump pour avoir assisté à une conférence sur le nationalisme blanc, a depuis suggéré que le FBI avait organisé l’attaque du 6 janvier contre le Congrès, déclaré que défendre Taïwan contre la Chine ne valait pas la peine, appelé à la stérilisation de ce qu’il appelle les « déchets à faible QI », et laissé entendre que la communauté du renseignement des États-Unis était plus susceptible que l’Iran d’être à l’origine des tentatives d’assassinat contre Donald Trump.

En octobre 2024, Darren Beattie avait aussi tweeté que « les hommes blancs compétents doivent être aux commandes si l’on veut que les choses fonctionnent. Malheureusement, toute notre idéologie nationale est fondée sur le fait de dorloter les sentiments des femmes et des minorités, et de démoraliser les hommes blancs compétents ».

« Le Kremlin et le Parti communiste chinois peuvent aujourd’hui se réjouir »

Le R/FIMI a été créé à la fin de l’année 2024, sur les cendres de son prédécesseur, le Global Engagement Center (GEC), après qu’une mesure visant à ré-autoriser son budget de 61 millions de dollars a été bloquée par les républicains du Congrès. Ces derniers l’accusaient d’aider les grandes entreprises technologiques à censurer les voix conservatrices américaines.

En 2023, Elon Musk avait par exemple qualifié le centre de « pire délinquant en matière de censure [et] de manipulation des médias par le gouvernement américain » et de « menace pour notre démocratie ».

Le R/FIMI avait un objectif similaire de lutte contre la désinformation étrangère, mais avec moins de moyens, relève la MIT : doté d’un budget de 51,9 millions de dollars, son personnel ne comptait plus que 40 employés, contre 125 au GEC.

Les conservateurs qui s’insurgent contre ce qu’ils qualifient de « complexe industriel de la désinformation et de la censure », note la MIT Technology Review, se sont également attaqués à l’Agence de cybersécurité et de sécurité des infrastructures (CISA) du département de la sécurité intérieure (DHS) et à l’Observatoire de l’internet de Stanford, connu pour ses recherches consacrées à la désinformation pendant les élections. 

L’ancien directeur de la CISA, l’équivalent américain de l’Agence nationale de la sécurité des systèmes d’information (Anssi) en France, Chris Krebs, a été personnellement visé dans un mémo de la Maison Blanche daté du 9 avril, et l’université de Stanford a fermé le Stanford Internet Observatory avant les élections présidentielles de 2024.

Chris Krebs a en effet été licencié pour avoir indiqué n’avoir « aucune preuve » d’une éventuelle fraude lors de la défaite de Donald Trump aux élections de 2020, ajoutant même que « l’élection du 3 novembre a été la plus sûre de l’histoire des États-Unis ».

Le décret visant Chris Krebs contient même « des attaques ad personam contre M. Krebs et des accusations de nature politique et non étayées », relève Le Monde. Il l’accuse en effet et notamment d’avoir sciemment cherché à « censurer » les voix conservatrices – Chris Krebs est pourtant un républicain – ou encore d’avoir « perturbé les débats sur le Covid-19 en tentant de discréditer les opinions populaires qui étaient contraires à la vision de la CISA ».

• L’administration Trump voudrait en finir avec la cyberdéfense et privilégier le « hack back »

Et ce, alors que la Russie dépenserait 1,5 milliard de dollars par an pour des campagnes d’influence à l’étranger, que la Radiodiffusion de la République islamique d’Iran, son principal organe de propagande étrangère, disposait d’un budget de 1,26 milliard de dollars en 2022, et que la Chine dépenserait jusqu’à 10 milliards de dollars par an pour des médias ciblant les étrangers non chinois, relève la MIT Technology Review.

Cité par Politico, un responsable du département d’État, qui a requis l’anonymat par crainte de représailles, a déclaré que « le Kremlin et le Parti communiste chinois peuvent aujourd’hui se réjouir. […] Une nouvelle faille a été créée dans notre sécurité nationale, rendant l’Amérique encore plus vulnérable ».

Un Américain sur cinq croit que les vaccins ont plus tué que la Covid-19

Ces annonces interviennent alors que l’entreprise NewsGuard, spécialisée dans la lutte contre la désinformation, déplore de son côté « une croyance généralisée dans les fausses informations » de la part des citoyens états-uniens.

« Les Américains sont largement enclins à croire les fausses infos diffusées en ligne sur toute une série de sujets, notamment la santé et la médecine, les élections et les conflits internationaux » relève en effet NewsGuard, qui souligne également que « les Américains sont dupés dans des proportions alarmantes par les affirmations de désinformation du Kremlin ».

NewsGuard a en effet demandé à YouGov de présenter à un échantillon représentatif de 1 000 citoyens états-uniens de plus de 18 ans une liste de « 10 fausses informations largement répandues en ligne, dont trois proviennent de médias russes ou ont été principalement diffusées par ces derniers ». Les personnes interrogées devaient indiquer si elles étaient vraies, fausses, ou si elles n’étaient « pas sûres » de leur véracité.

NewsGuard n’a pas mis en ligne l’intégralité de l’étude de YouGov. Reste que la probabilité statistique que les personnes interrogées puissent avoir été induites en erreur était donc élevée. 78 % d’entre elles ont, de fait, cru à au moins une affirmation, et moins de 1 % des personnes interrogées seulement ont correctement identifié les 10 affirmations comme étant fausses.

Il n’empêche : plusieurs de ces 10 désinformations sont tellement grossières qu’on peine à comprendre ce pourquoi autant de citoyens états-uniens y croient, ou peinent à les identifier comme fausses. Il leur était par exemple demandé si le fait d’avorter favorisait le risque d’avoir un cancer du sein. Ou encore si les vaccins contre la poliomyélite contenaient des ingrédients basés sur du mercure (ce qui n’a jamais été le cas, précise NewsGuard).

Moins de la moitié des personnes interrogées ont en outre correctement identifié comme fausse l’affirmation selon laquelle « les vaccins COVID-19 ont tué entre 7,3 et 15 millions de personnes dans le monde, alors qu’une personne interrogée sur cinq pensait que cette affirmation était vraie ».

Outre le fait que les données des agences sanitaires et études validées par des pairs montrent que les vaccins COVID-19 approuvés sont sûrs et efficaces, le nombre de personnes mortes du Covid-19 est lui-même estimé à un peu plus de 7 millions, la surmortalité étant de son côté estimée à un peu plus de 27 millions, relève OurWorldinData.

Une autre désinformation était, cela dit, plus sujette à caution. Seuls 13 % des répondants ont en effet été en mesure d’identifier correctement comme fausse l’affirmation selon laquelle le Projet 2025 néoconservateur proposait d’éliminer la sécurité sociale. Bien que le texte, qui visait notamment à remplacer des dizaines de milliers de fonctionnaires fédéraux par des personnes nommées pour leurs positions conservatrices, puisse être qualifié de de xénophobe, protectionniste et climatodénialiste, il ne mentionne effectivement pas ce point.

Un tiers des états-uniens croient à au moins une désinformation russe

Reste qu’un tiers (33,9 %) des personnes interrogées ont estimé qu’au moins une des trois désinformations d’origine russe était vraie. Et que moins d’un quart (23,8 %) ont identifié correctement les trois fausses informations. Les trois quarts des sondées étaient en outre « incapables d’identifier systématiquement les récits de désinformation russes comme étant faux », souligne NewsGuard.

61 % ont ainsi été incapables de qualifier de fausse l’affirmation selon laquelle « entre 30 et 50 % de l’aide financière américaine fournie à l’Ukraine a été volée par des fonctionnaires ukrainiens à des fins personnelles ». Une personne interrogée sur quatre a estimé que cette affirmation, tirée d’un article du média d’État russe RT (anciennement Russia Today), était vraie.

Près des deux tiers des personnes interrogées (64 %) n’ont pas, non plus, identifié comme fausse l’affirmation selon laquelle « la cote de popularité du président ukrainien Zelensky est tombée à 4 % », émanant elle aussi de plusieurs médias d’État russes. Pire, déplore NewsGuard : près d’un Américain sur cinq a déclaré que cette fausse information était vraie, alors que des sondages récents ont montré que Zelensky disposait d’un taux d’approbation compris entre 57 et 63 %.

Moins de la moitié des personnes interrogées (44 %) a en outre correctement identifié comme fausse l’affirmation selon laquelle « l’Ukraine a vendu au Hamas des armes qui lui ont été données par les États-Unis », infox là encore largement relayée par les médias d’État russes ainsi que « certains sites américains », et amplifiée par de hauts responsables russes sur les réseaux sociaux.

Au-delà de la désinformation russe, le confusionnisme serait massif

15 % des personnes interrogées ont au surplus qualifié de vrai le fait que des immigrants haïtiens avaient volé, tué et mangés des animaux domestiques à Springfiled dans l’Ohio (comme l’avait affirmé Donald Trump pendant sa campagne électorale), mais également que Starlink avait été utilisé pour truquer les élections de 2024 en faveur de Donald Trump. Et 45 % d’entre elles n’ont pas non plus correctement identifié ces deux affirmations comme fausses.

« Dans un pays politiquement divisé », constate NewsGuard, les résultats de l’enquête montrent aussi « une croyance généralisée dans les fausses affirmations », qui « dépasse les frontières des partis » :

« Les personnes interrogées s’identifiant comme démocrates sont à peu près aussi susceptibles (82 %) de croire à au moins une des dix fausses affirmations que celles s’identifiant comme républicaines (81 %). »

Les personnes interrogées ne s’identifiant pas à un parti politique sont « légèrement moins enclines à croire à la désinformation », 72 % d’entre elles considérant « au moins une fausse affirmation comme vraie ».

NewsGuard relève toutefois que les républicains « sont plus enclins à croire les allégations de désinformation russe que leurs homologues démocrates » :

« Parmi les républicains, 57,6 % ont identifié au moins une allégation de désinformation russe comme étant vraie, contre 17,9 % des démocrates et 29,5 % des personnes interrogées n’ayant pas identifié de parti. »

Un confusionnisme conspirationniste qui correspond en tous points aux agendas politiques de la propagande russe, ainsi qu’à celui de Steve Bannon.

La première repose en effet, notamment, sur le fait d’inonder les réseaux sociaux et médias de plusieurs versions « alternatives » des faits dont il est question, de sorte de les « noyer » dans la masse, « afin de saper les faits authentiques », expliquait à Newsweek Vitaliy Naida, haut fonctionnaire du service de sécurité de l’État ukrainien.

L’ex-directeur de la campagne présidentielle de Donald Trump Steve Bannon s’était quant à lui illustré en avançant que « Les démocrates n’ont pas d’importance. La véritable opposition, ce sont les médias. Et la façon de traiter avec eux est d’inonder la zone avec de la merde » :

« Les médias sont l’opposition, et comme ils sont stupides et paresseux, ils ne peuvent s’intéresser qu’à une chose à la fois. Tout ce que nous avons à faire, c’est noyer la zone. Chaque jour, nous devons leur balancer trois choses. Ils en mordront une et nous pourrons faire nos affaires. Bang, bang, bang, ils ne s’en remettront jamais. »

• [Édito] GenAI, arme de désinformation massive

Quand on voit ce qu’on voit, qu’on entend ce qu’on entend, qu’on sait ce que qu’on sait, a-t-on raison de penser ce qu’on pense ? Vous avez quatre heures.

Ce dessin a été initialement publié dans une chronique de Flock en décembre 2023.

• Retrouvez tous les dessins de Flock

L’opération séduction des grands noms de l’IA en direction des étudiants se poursuit aux États-Unis. Après Anthropic (Claude) et OpenAI (ChatGPT) début avril, c’est maintenant Google qui lance son offensive, avec une offre de poids : un accès gratuit à l’ensemble de l’offre Gemini Advanced, valable jusqu’au 30 juin 2026, soit pendant plus d’un an, accessible à tous les étudiants âgés de plus de 18 ans, inscrits dans un établissement supérieur.

Pour montrer patte blanche, il suffit de s’enregistrer à l’aide d’une adresse mail en .edu, indique Google, qui garnit encore son panier avec 2 To de stockage offert sur Google Drive, un accès à NotebookLM Plus et l’intégration de Gemini aux Google Apps.

La stratégie de conquête est assumée : l’accès gratuit à ces services passe par la création d’un abonnement Google One AI Premium, et l’étudiant qui arrive au terme de l’offre promotionnelle se verra par défaut basculé vers l’offre payante (facturée 21,99 euros par mois en France).

Peur sur la ville

L’ANSSI vient de publier un rapport sur l’état de la menace contre les opérateurs de transports urbains. Les principaux risques sont détaillés, avec des exemples de compromissions un peu partout dans le monde ces dernières années.

Les transports urbains et en communs représentent un enjeu sensible à cause de leur nature critique : « Certaines infrastructures de transport urbain connaissent une forte pression (plusieurs millions d’usagers par jour pour certains réseaux) ». À cela s’ajoutent de vastes réseaux auxquels s’interconnectent de nombreuses entités externes, augmentant ainsi la surface d’attaque pour les pirates. Un mélange potentiellement détonnant et qu’il faut donc surveiller de près.

32 incidents en 5 ans

Selon le décompte de l’ANSSI, entre janvier 2020 et décembre 2024, l’Agence a traité 123 « événements de sécurité d’origine cyber » sur les transports urbains (ferroviaire, routier, guidé, fluvial). Dans le lot, il y a eu 91 signalements (c’est-à-dire des comportements anormaux ou inattendus) et 32 incidents. Ces derniers signifient qu’un acteur malveillant a réussi sa cyberattaque contre le système d’information, avec des conséquences pouvant être variées.

Les trois principales manifestations des attaques sont le DDoS, des fuites de données et des usurpations d’identité. Elles « représentent plus de la moitié des signalements et incidents portés à la connaissance de l’ANSSI ».

Néanmoins, « aucune conséquence significative sur le fonctionnement des entités concernées n’a été identifiée à la suite de ces activités ». Les attaques DDoS ont pu « être contenues par les mesures de sécurité en place et ont provoqué, dans les cas les plus graves, des indisponibilités de très courte durée des sites visés », explique l’ANSSI.

Le trio du jour : le gain, la déstabilisation et l’espionnage

L’Agence détaille trois motivations : l’appât du gain, la déstabilisation et l’espionnage. Dans le premier cas, « la majorité des attaques à des fins lucratives observées semble davantage de nature opportuniste qu’orientées spécifiquement contre ces entreprises et services ». Les transports ne sont donc pas spécialement ciblés, mais si l’occasion se présente, les pirates ne s’en privent pas. Les principaux outils des pirates sont l’hameçonnage et l’exploitation de failles.

Dans le second cas (déstabilisation), des attaques peuvent être menées par « des États visant à saboter ces réseaux critiques, ou des acteurs appartenant à la mouvance hacktiviste, qui conduisent des attaques par déni de service distribué ». Comme nous l’avons déjà expliqué, les Jeux Olympiques et Paralympiques de Paris 2024 étaient l’occasion pour les pirates d’essayer de « briller », de faire parler d’eux. Il y a eu 83 incidents de cybersécurité, mais aucun événement majeur, affirme l’ANSSI.

• Cyberattaques pendant les JO : « des gens nous en voulaient vraiment »

Même chose pour l’espionnage (industriel ou individuel) dont des modes opératoires sont réputés liés à des États. Le secteur transports offre des « opportunités intéressantes pour des services de renseignement », mais la discrétion reste de mise.

« Des cyberattaques contre des entités du secteur ont été constatées dans le monde sans que la finalité exacte des attaques comme l’identité de la menace n’aient pu être établies de manière certaine, mais qui pourraient relever de l’espionnage », explique l’ANSSI.

Des compromissions par rançongiciels ont eu lieu

L’Agence détaille néanmoins quatre « compromissions ou tentatives de compromission par rançongiciel ». La première compromission concerne « l’infrastructure de virtualisation du comité d’entreprise d’une entité du secteur », sans plus de détails.

En 2023 puis en 2024, des rançongiciels ont chiffré des données d’une entreprise spécialisée dans les services de mobilité (et une de ses filiales), puis une autre des transports urbains. Une souche de rançongiciel a été observée en 2022 sur l’infrastructure d’un réseau de bus lors d’une tentative de compromission.

L’ANSSI publie un commentaire qui n’est pas nouveau, mais toujours bon à rappeler : « dans le cas d’une attaque par rançongiciel, l’ANSSI recommande de ne jamais payer la rançon qui ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient ce système frauduleux […] L’expérience montre par ailleurs que l’obtention de la clé de déchiffrement ne permet pas toujours de reconstituer l’intégralité des fichiers chiffrés ».

Détourner la signalisation

Un chapitre est consacré au détournement d’équipements de signalisation, avec des conséquences potentiellement très importantes. L’ANSSI se fait l’écho de travaux de chercheurs qui, en 2020, ont « démontré la possibilité de manipuler des feux de signalisation  […] Ils sont parvenus à manipuler les temps d’attente entre les changements de feux de signalisation afin d’accélérer le passage au vert pour les cyclistes ». Ils ne semblent pour autant pas avoir pu faire passer au vert plusieurs feux qui ne sont pas censés l’être en même temps, au risque de créer des accidents.

En 2022, à Hanovre en Allemagne, des chercheurs « sont parvenus à manipuler les systèmes de feux de signalisation à certaines intersections […] Ils ont exploité une technologie obsolète conçue pour permettre à certains véhicules (voitures de police et de pompiers, ambulances, bus locaux) de circuler plus rapidement sans s’arrêter aux feux ».

Il serait techniquement impossible de causer des accidents, ajoute l’ANSSI, mais il y a de quoi largement perturber le trafic. La communication entre les véhicules et les infrastructures (dont la signalisation) est, pour rappel, une des technologies du V2X (Vehicle-to-everything) sur laquelle des constructeurs travaillent.

Ces preuves de concept permettent de mesurer l’ampleur des dégâts potentiels tout en expliquant que cela ne demande pas de capacités sophistiquées. « Toutefois, l’ANSSI n’a pas connaissance d’exploitation réelle de ces capacités à des fins de nuisance par des acteurs offensifs ».

26 recommandations

La fin du rapport est consacrée à pas moins de 26 recommandations, allant d’actions aussi élémentaires que la sensibilisation du personnel et le cloisonnement des systèmes d’informations, à la limitation des dépendances aux technologies de géolocalisation par satellite GNSS (Global navigation satellite system), aux mises à jour et aux sauvegardes.

Si tu ne viens pas au nuage...

Windows 10 ne sera pas le seul produit de Microsoft à ne plus avoir de support cet automne. Le même 14 octobre, Exchange 2016 et 2019 recevront leur mise à jour finale. Après quoi, les garder sera dangereux. Problème, les solutions de remplacement sont en ligne ou sur abonnement.

Exchange 2016 et 2019 sont actuellement les deux dernières versions sur site (on premise) du serveur e-mail de Microsoft. On parle bien de logiciels que l’on peut installer et configurer sur des serveurs présents dans des locaux. À l’inverse, Exchange Online est l’offre en ligne de Microsoft, sur ses propres serveurs. Ce découpage de gamme est à peu près le même que pour Office, avec une offre Microsoft 365 en ligne et des licences perpétuelles (et locales) tous les trois ans en moyenne.

Les habituels dangers

En début de semaine, Microsoft a prévenu : Exchange 2016 et 2019 n’en ont plus que pour six mois de support. Après quoi, plus aucune mise à jour de sécurité ne sera publiée. Comme toujours dans le cas d’un produit exposé à internet, il est recommandé de ne plus utiliser de tels produits, puisque les failles ne sont plus corrigées. Certains facteurs peuvent atténuer une partie des risques, mais aucune solution ne peut compenser durablement la présence de failles.

« Les installations clients d’Exchange 2016 et d’Exchange 2019 continueront bien sûr à fonctionner après le 14 octobre 2025 », précise quand même Microsoft. « Cependant, continuer à utiliser ces offres après la date de fin de support invite à des risques de sécurité potentiels, c’est pourquoi nous recommandons fortement de prendre des mesures dès maintenant ».

Rappelons que les risques de sécurité ne sont pas les seuls. En Europe, le RGPD exige par exemple que les données personnelles soient entreposées dans des logiciels à jour. L’utilisation de versions obsolètes peut donc exposer à des amendes. Il n’y aura plus non plus de support technique. En outre, plus les logiciels prennent de l’âge, plus leur maintenance peut coûter cher.

Enfin, cette fin de support s’applique également aux éditions 2016 et 2019 d’Office, Outlook et Skype for Business. Pour Microsoft, ce sera le grand ménage d’automne et une manière de pousser encore un peu plus vers le cloud. Le 14 octobre, ce sera également la fin officielle de Windows 10.

Deux solutions possibles pour Microsoft

Microsoft propose essentiellement deux solutions. La première est de migrer vers une offre totalement hébergée. Exchange Online par exemple si l’on ne veut effectivement gérer que des e-mails, ou Microsoft 365 dans l’une de ses formes pour entreprises pour avoir tout le package productivité.

L’autre est de mettre à niveau l’ancienne installation sur site vers Exchange Server Subscription Edition. Celle-ci sortira en juillet et Microsoft en profite pour recommander la préparation du terrain si le produit intéresse les entreprises.

De quoi parle-t-on exactement ? D’une version fonctionnant, dans les grandes lignes, avec le même code qu’Exchange 2019 Cumulative Update 15, mais légèrement modernisé. Cette édition prendra en charge Windows Server 2025, remplace NTLMv2 par Kerberos pour les communications entre serveurs, l’intégration de l’API Admin, la suppression de Remote PowerShell, d’Outlook Anywhere et de l’API UCMA 4.0. Cette édition sera mise à jour deux fois par an pour entretenir sa compatibilité générale, corriger les bugs et colmater les failles.

Problème bien sûr, ces deux solutions sont sur abonnement. Migrer vers Exchange SE depuis la version 2019 réclamera ainsi de nouvelles licences, qui ne fonctionneront plus en cas d’arrêt des paiements. Migrer depuis la version 2016 est plus complexe. Microsoft recommande de faire d’abord la mise à jour vers Exchange 2019, avant de migrer ensuite vers l’édition SE.

Ou de nouveaux horizons

Qui héberge encore sur site ses e-mails ? La question peut faire sourire, tant le monde semble s’être tourné très rapidement vers les solutions hébergées et plus généralement le cloud. Les entreprises concernées ont peut-être cependant des installations parfaitement fonctionnelles, sans avoir eu besoin de changer. Auquel cas l’installation des correctifs de sécurité était tout ce qui pouvait les intéresser.

Les avantages du cloud sont connus, avec notamment une infogérance beaucoup plus légère et la résilience des gigantesques infrastructures. Ces dernières offrent le plus souvent plusieurs niveaux de redondance, des mécanismes efficaces de reprise sur incident et de solides protections pour de nombreuses menaces. Au contraire, une entreprise peut être intéressée par une gestion de ses courriels à sa manière, sur son matériel et dans son réseau, sans appétence pour des fonctions modernes, dont tout ce qui touche à l’IA.

Pour rester sur Exchange sans prendre le risque d’exposer toutes ses données aux quatre vents, il faut donc préparer une migration et réaliser des analyses bénéfices/risques sur les solutions proposées. À moins que ce soit l’occasion de migrer vers une autre solution. Google Workspace ? L’offre est financièrement compétitive face à Microsoft 365, mais Google ne propose que des solutions hébergées.

Le sujet est plus complexe qu’il n’y parait et va dépendre des besoins de l’entreprise. Car lorsqu’on parle d’Exchange, cela inclut la gestion des contacts et les calendriers, avec tout ce qui touche à la synchronisation. Il y a sinon les solutions de type collaboratif (groupware), mais tous ne proposent pas forcément des installations sur site. Dans tous les cas, la solution ne sera pas simple, car il faudra pouvoir en plus pouvoir migrer les données.

Stop ou encore ?

Depuis ce matin, les tarifs sont en hausse pour les clients français. La plateforme de streaming n’y va pas avec le dos de la cuillère puisqu’il est question de 1,5 à 2 euros de plus par mois suivant les formules. L’annonce a été faite à l’occasion de la publication de son bilan financier, avec des revenus en hausse et des bénéfices de 2,890 milliards de dollars.

De 7,99 à 21,99 euros par mois

La nouvelle grille tarifaire est en ligne, voici sans attendre les trois forfaits avec, entre parenthèses, les anciens prix :

• Standard avec pub : 7,99 euros par mois (au lieu de 5,99 euros)
• Standard : 14,99 € par mois (au lieu de 13,49 euros)
• Premium : 21,99 € par mois (au lieu de 19,99 euros)

Le forfait Standard permet toujours d’ajouter un abonné supplémentaire. Le tarif est de 5,99 euros par mois avec pub ou de 6,99 euros par mois sans. Avec Premium jusqu’à deux abonnés peuvent être ajoutés.

L’offre Essentiel n’existe plus

À 7,99 euros par mois, Netflix Standard avec pub se positionne exactement au tarif de l’offre standard lors du lancement de la plateforme en septembre 2014. « Le second palier à 8,99 euros par mois vous ouvre les portes de la HD sur deux écrans en simultanée, tandis que pour profiter de quatre écrans qui peuvent aller jusqu’à la 4K Ultra HD il faudra débourser 11,99 euros par mois », expliquions-nous à l’époque. De 11,99 euros par mois, la formule en 4K UHD est désormais à 21,99 euros par mois.

Netflix en profite au passage pour indiquer que son « offre Essentiel n’est plus proposée ». C’était la formule d’entrée de gamme, sans publicité, en HD seulement et sur un seul appareil à la fois (elle était à 10,99 euros par mois). Aucun détail supplémentaire n’est donné, si ce n’est que « vous pouvez changer d’offre à tout moment ».

Netflix content de ses récentes hausses

L’annonce a été faite à l’occasion de la publication du bilan financier de Netflix : « Aujourd’hui, nous ajustons les prix en France, qui sont déjà pris en compte dans nos prévisions 2025 », peut-on lire dans le communiqué. « Les récents ajustements tarifaires que nous avons opérés sur les principaux marchés (notamment les États-Unis, le Royaume-Uni et l’Argentine) ont été conformes à nos attentes », affirme Netflix.

Netflix semble satisfait de ses offres avec publicité : « Nous sommes en bonne voie pour atteindre une taille critique de notre base de membres dans tous les pays cette année ». « L’un de nos principaux objectifs pour 2025 est d’améliorer nos capacités avec les annonceurs. Nous avons déployé avec succès Netflix Ads Suite, notre plateforme interne, aux États-Unis le 1ᵉʳ avril. Dans les prochains mois, nous la lancerons sur nos autres marchés publicitaires », ajoute l’entreprise.

10,5 milliards de revenus, 2,9 milliards de bénéfices, en trois mois

Sur le premier trimestre 2025, la plateforme a réalisé 10,5 milliards de dollars de revenus, en hausse de 12,5 % sur un an. Elle prévoit d’arriver à 11 milliards au deuxième trimestre, ce qui serait une hausse de 15,4 % par rapport à 2024. Le bénéfice net sur les trois premiers mois de 2025 est de 2,9 milliards de dollars, contre 2,3 milliards un an auparavant.

With or Without IA

Le nombre de morceaux de musique identifiés par le détecteur de contenus synthétiques développé par la plateforme est passé de 10 000 à plus de 20 000 par jour entre janvier et avril. 7 à 8 % relèveraient de tentatives de fraude. Le patron de Deezer propose de « légiférer pour que les plateformes rémunèrent les artistes et pas ces bruits », mais ne précise pas comment.

« Environ 10 000 pistes totalement générées par IA sont livrées à la plateforme chaque jour, soit environ 10 % du contenu quotidien livré », expliquait Deezer en janvier dernier. La plateforme annonçait alors avoir déployé un « outil de pointe », conçu en interne et testé depuis un an, pour les détecter.

Alexis Lanternier, son CEO, précisait vouloir « développer un système de marquage pour le contenu totalement généré par IA, [pour] l’exclure des recommandations algorithmiques et éditoriales ». L’entreprise se donnait également pour objectif de développer des capacités de détection de voix générées par deepfakes.

Trois mois plus tard seulement, Deezer vient de révéler que « 18% des nouvelles musiques publiées chaque jour sur sa plateforme sont entièrement générés par intelligence artificielle ». « Soit plus de 20 000 chansons sur les quelque 150 000 qui sont versées chaque jour » (contre 25 000 il y a trois ans), souligne à Ouest-France Alexis Lanternier.

« C’est exponentiel », précise-t-il. « En deux mois, ce chiffre a presque doublé et il n’y a aucune raison que ça s’arrête tellement les outils sont faciles d’utilisation. Ça va continuer ! »

Légiférer pour rémunérer les artistes « et pas ces bruits »

« Nous les signalons clairement à l’utilisateur, en IA Generated, afin qu’il sache que ledit titre est produit par une IA générative et nous les sortons de nos algorithmes pour qu’ils ne remontent pas », tempère Alexis Lanternier, qui indique que Deezer a par ailleurs identifié « 7 à 8 % de fraude » :

« On ne voit pas d’explosion de la consommation de titres produits par l’IA. Les auditeurs cherchent des vrais artistes, de la musique incarnée et c’est heureux. Cependant, c’est un très bon outil pour les fraudeurs, qui créent plein de chansons pour générer des écoutes et récupérer des royalties. C’est sur ce point qu’il faut sans doute imaginer de légiférer pour que les plateformes rémunèrent les artistes et pas ces bruits. »

En 2024, Deezer avait déjà supprimé 13 % de son catalogue

La plateforme, qui héberge aujourd’hui 130 millions de titres, fait régulièrement le ménage pour nettoyer son catalogue des titres qui faussent le calcul de la rémunération des artistes professionnels. La plateforme supprime ainsi l’encodage Flac (la meilleure qualité audio, mais très gourmande en stockage, précise Ouest France) des titres qui n’ont pas été écoutés depuis un an, au motif que « C’est très important, car cela génère de la pollution numérique ».

En avril 2024, Deezer avait ainsi annoncé avoir supprimé 13 % de son catalogue global, soit environ 26 millions de titres entre septembre 2023 et mars 2024, relevait alors BFMTech. Y figuraient des pistes composées de bruits blancs, albums ne contenant qu’un seul et unique morceau, titres et mauvaises imitations générés par intelligence artificielle.

10 millions d’utilisateurs dans le monde, dont la moitié en France

La plateforme vient par ailleurs d’annoncer plusieurs fonctionnalités, censées « offrir une expérience musicale encore plus personnalisée à ses utilisateurs et abonnés ». Elles visent, explique Alexis Lanternier, à « permettre aux utilisateurs de mieux comprendre les algorithmes et de prendre un peu plus le contrôle sur leur usage, de personnaliser encore plus leur expérience et de pouvoir partager facilement avec leurs communautés, abonnées ou non à Deezer ».

À compter du 28 avril, Deezer proposera un « lien de partage universel » afin que ses utilisateurs puissent partager leurs titres favoris, « que leurs amis soient sur Spotify, Apple music ou Youtube music ».

Interrogé par Ouest France sur la possibilité de se convertir en « futur réseau social », Alexis Lanternier botte en touche : « C’est tout à fait possible mais c’est trop tôt pour le dire. On va créer des solutions petit à petit. Évidemment, ça ne peut pas être un réseau social comme les autres, mais la musique est un outil de connexion exceptionnel, donc elle doit créer des liens, à nous de les faciliter. Les utilisateurs veulent davantage d’humain et moins d’algorithmes. »

Ouest-France souligne que la plateforme, cotée en Bourse et qui a atteint la rentabilité en 2024, « compte désormais un peu moins de 10 millions d’utilisateurs dans le monde, dont la moitié en France (où ça augmente) et le reste ailleurs (où ça baisse un peu) ».

Terra what ?

En France, les datacenters ont consommé 2,4 TWh d’électricité en 2023 et 681 000 m³ d’eau en direct… car on passe à 6 millions de m³ en comptant la consommation indirecte. Sans surprise, des chiffres en hausse par rapport aux années précédentes.

L’Arcep vient de publier la quatrième édition de son enquête annuelle « Pour un numérique soutenable » avec une évaluation de l’empreinte environnementale des acteurs du numérique en France sur l’année 2023. Il s’agit bien de 2023 ; un décalage « du fait du grand nombre d’acteurs concernés par la collecte de données environnementales ».

Consommation des datacenters en France : 2,4 TWh en 2023

La consommation électrique totale des datacenters en France est de 2,4 TWh sur l’année 2023, en hausse de 8 % sur un an. À titre de comparaison, cela correspond à la consommation annuelle moyenne d’environ 500 000 foyers français, selon les données d’Engie.

« La croissance de cette consommation reste soutenue malgré un ralentissement en 2023. Elle s’établit à+ 8 % après + 14°% en 2022 », explique le régulateur. Notez que les données de 2022 et 2021 ont été ajustés depuis le précédent observatoire.

À titre de comparaison, l’Agence internationale de l’énergie atomique (sous l’égide de l’ONU) expliquait que « les datacenters avaient consommé environ 460 TWh d’électricité en 2022 », et prévoyait que cette consommation pourrait dépasser les 1 000 TWh d’ici à 2026. La France représente donc moins de 0,5 % de la consommation mondiale

• Numérique soutenable : l’Arcep détaille la consommation des box, décodeurs et répéteurs

Île-de-France en force

Dans le détail des 2,4 TWh, 1,6 TWh provient directement des équipements informatiques, tandis que les 0,8 TWh sont attribués aux autres postes de consommations tels que le refroidissement et le tertiaire.

Le régulateur donne aussi quelques indications géographiques : « les centres de données mis en service entre 2021 et 2023 sont majoritairement situés en Ile-de-France ». Ils sont responsables de plus de 70 % de l’augmentation de la consommation.

PUE de 1,46, en baisse grâce aux « nouveaux » datacenters

L’Arcep donne également le PUE moyen de l’ensemble des datacenters en France : 1,46 en 2023. Pour rappel, cela signifie que chaque kWh consommé par les équipements informatiques, le datacenter dans sa globalité, consomme 1,46 kWh. Il s’améliore doucement avec l’arrivée de nouveaux datacenters plus économes. Le PUE était de 1,51 en 2022.

L’Arcep le confirme dans son analyse : le PUE moyen est de 1,34 pour les datacenters de moins de 10 ans, « soit un peu plus d’un tiers des centres de données étudiés », contre 1,54 pour ceux mis en avant 2013. Sur le graphique ci-dessous, on voit bien la différence en fonction de l’âge.

681 000 m³ d’eau en consommation directe…

Autre élément analysé, la consommation en eau. Quelques bases d’abord : « La quasi-totalité du volume d’eau prélevé par les centres de données en 2023 est de l’eau potable ». En 2023, il était question de 681 000 m³, soit 19 % de plus qu’en 2022. À mettre en balance avec les 755 000 m³ d’eau prévus pour les trois prochains datacenters qu’Amazon prévoit d’installer en Aragon, au nord de l’Espagne.

• Big Tech : la multiplication des datacenters pèse sur les zones les plus arides du globe

Deux raisons à cette hausse importante (quasiment identique en 2022, pour les mêmes raisons) : « les vagues de chaleur et les températures records des dernières années qui ont accru les besoins en eau de certains centres de données ». Le réchauffement climatique pourrait accentuer ce phénomène. « D’autre part, des facteurs externes à l’activité de centres de données, tels que des travaux d’aménagements des sites anciens, ont également contribué à cette hausse », ajoute le régulateur.

6 000 000 m³ d’eau en consommation indirecte

L’Arcep relève un point intéressant : il faut aussi compter le volume d’eau consommé indirectement (c’est-à-dire la consommation nécessaire au fonctionnement) : « Ce dernier dépend du mix énergétique français (par exemple, un peu plus de 2 litres d’eau pour 1 kWh d’origine nucléaire) ».

On change alors complétement de registre : « le volume d’eau prélevé directement par les centres de données (681 000 m³ en 2023) est faible au regard du volume d’eau consommé indirectement par les centres de données ». Le régulateur annonce ainsi un volume total (direct + indirect) « estimé à près de 6 millions de m³, soit la consommation annuelle moyenne d’eau en France d’environ 100 000 personnes ».

La liste des 21 opérateurs analysés

Pour rappel, l’Arcep considère pour ses analyses les opérateurs de colocation et de co-hébergement dont le chiffre d’affaires en France est égal ou supérieur à 10 millions d’euros hors taxes. « Ils représentent environ 50 % des centres de données de colocation en service en 2020 », selon une étude ADEME-Arcep.

Dans son annexe 5, l’Arcep donne la liste des 21 opérateurs qui doivent lui envoyer des données : Adista, Amazon Data Services France SAS, Ato, Celeste, Ciril Group, Cogent Communications France SAS, Colt technology Services, Data4 Services, Digital Realty, Equinix France, Free pro, Foliateam Opérateur, Global Switch, Hexanet, Kyndryl France, Orange, OVHcloud, Opcore, SFR, Sigma informatique et Telehouse.

Le bilan du régulateur comporte bien d’autres informations, que nous détaillerons dans une prochaine actualité.

Portes ouvertes pour le DOGE

L’architecte DevSecOps de l’agence du droit du travail américaine accuse l’équipe du DOGE d’Elon Musk d’être responsable d’une fuite de données personnelles de plaignants et d’accusés, ainsi que des données commerciales confidentielles. Le lanceur d’alerte a reçu une lettre de menaces ainsi que des photos de lui prise via un drone.

10 Go de données ont été exfiltrées d’un système de gestion de données du National Labor Relations Board (NLRB), l’agence américaine du droit du travail, selon l’architecte DevSecOps de l’agence, Daniel Berulis. Cette fuite se serait passée alors que l’équipe du DOGE d’Elon Musk a créé des comptes dans différents systèmes informatiques du NLRB.

Daniel Berulis est sous la protection officielle du statut de lanceur d’alerte. Une lettre [PDF] adressée par l’association d’avocats « Whistleblower Aid » à une commission du Sénat américain soutient sa démarche, explique ArsTechnica. Dans celle-ci, l’association affirme qu’ « il craint que les activités récentes des membres du Department of Government Efficiency (« DOGE ») aient entraîné une violation importante de la cybersécurité qui a probablement exposé et continue d’exposer notre gouvernement aux services de renseignement étrangers et aux adversaires de notre nation ».

Interrogé par le média public étasunien NPR, Daniel Berulis explique qu »il ne peut pas « attester de leur objectif final ni de ce qu’ils font avec les données. Mais je peux vous dire que les éléments du puzzle que je peux quantifier sont effrayants. … C’est une très mauvaise image que nous avons sous les yeux ».

Accès illimités du DOGE et sans logs

La lettre de Whistleblower Aid, accompagnée d’une déclaration sur l’honneur du lanceur d’alerte, décrit dans les détails les agissements du DOGE et les problèmes qu’il a constatés au sein du système informatique de l’agence.

Il y explique notamment la préparation de l’arrivée des membres du DOGE début mars. Selon lui, sa hiérarchie lui a demandé de ne pas passer par des procédures standard pour créer leurs comptes. Aucun journal et aucun enregistrement de leurs actions ne devaient avoir lieu.

Ses responsables lui auraient demandé de créer, pour les membres du DOGE, des comptes « du plus haut niveau d’accès et d’un accès illimité aux systèmes internes ». Sur le serveur Azure de l’agence, leurs droits devaient être réglés en « tenant owner ». Comme l’explique Daniel Berulis, c’est l’équivalent d’ « une autorisation pratiquement illimitée de lire, copier et modifier les données ».

Il ajoute que « cet accès s’apparente à celui du propriétaire de l’ensemble du bâtiment dans lequel l’entreprise travaille. Il s’agit notamment des clés du centre de données et de toutes les portes verrouillées, des registres d’entrée dans le bâtiment, de la plomberie et des caméras de sécurité ».

Daniel Berulis fait remarquer que Microsoft déconseille d’utiliser le niveau « tenant » pour créer des comptes d’audit, « car ça peut masquer des actions comme la création ou la suppression de comptes, le changement de rôle ou modifier les règles et dépasse de loin tout besoin légitime pour ce travail ».

L’architecte DevSecOps explique qu’au sein de l’agence, des rôles spéciaux pour les auditeurs avaient déjà été créés. Mais il n’était pas question d’utiliser ce genre de comptes.

« C’était un signal d’alarme énorme » a souligné Daniel Berulis à la NPR, ajoutant que « c’est quelque chose qu’on ne fait pas. Cela va à l’encontre de tous les concepts fondamentaux de la sécurité et des meilleures pratiques ».

Le lanceur d’alerte explique que la structure d’au moins un compte suggère qu’il a été créé puis supprimé par le DOGE pour utiliser le système de cloud du NLRB.

Des tentatives de connexion extérieures et une fuite de 10 Go de données

Il affirme aussi que quelqu’un a essayé de se connecter au système de l’extérieur du NLRB avec un compte nouvellement créé : « dans les jours qui ont suivi l’accès du DOGE aux systèmes du NLRB, nous avons remarqué qu’un utilisateur ayant une adresse IP dans la région du Primorié, en Russie, a tenté de se connecter. Ces tentatives ont été bloquées, mais elles étaient particulièrement alarmantes ».

Le problème n’est pas une énième tentative de connexion d’un bot utilisant la force brute pour essayer de se connecter. « La personne qui tentait de se connecter utilisait l’un des comptes nouvellement créés et utilisés pour d’autres activités liées au DOGE, et il semblait qu’elle disposait du nom d’utilisateur et du mot de passe corrects puisque le flux d’authentification ne l’arrêtait qu’en raison de l’activation de notre politique d’interdiction des connexions en dehors du pays », décrit-il.

Il affirme qu’ « Il y a eu plus de 20 tentatives de ce type et, ce qui est particulièrement inquiétant, c’est que beaucoup d’entre elles se sont produites dans les 15 minutes qui ont suivi la création des comptes par les ingénieurs du DOGE ».

Dans sa déclaration, Daniel Berulis explique avoir constaté la suppression de divers paramètres de sécurité dans le système du NLRB. Enfin, il explique avoir commencé à suivre le 7 mars « ce qui semblait être des données sensibles quittant l’endroit sécurisé où elles sont censées être stockées » sur le système de gestion des dossiers NxGen de l’agence.

Au moins 10 Go de données ont été exfiltrées, mais le lanceur d’alerte n’a pas réussi à savoir quels fichiers ont été copiés ou supprimés. Si les données ont été compressées avant envoi, la fuite pourrait être plus importante. Daniel Berulis explique avoir essayé d’éliminer l’hypothèse d’une exfiltration, « mais aucune piste n’a porté ses fruits et certaines ont été arrêtées net ».

Comme l’explique sa déposition, le NLRB garde des données sensibles qui doivent rester confidentielles, notamment « sur les syndicats, sur des affaires juridiques et des informations concernant le secret des affaires d’entreprises ». Elle stocke également des « informations personnelles identifiables de plaignants et d’accusés ayant des affaires en cours » ainsi que des informations commerciales confidentielles « recueillies ou fournies au cours d’enquêtes et de litiges qui n’étaient pas destinées à être rendues publiques ».

Enfin, la lettre évoque le fait que Daniel Berulis a trouvé des menaces scotchées sur sa porte, le 7 avril alors qu’il était en train de préparer sa déclaration. Des photos de lui prises par drone le montrant en train de promener son chien dans son quartier accompagnaient le message.

Interrogée par la NPR, le NLRB nie que l’agence ait accordé l’accès à ses systèmes au DOGE et même que le service d’Elon Musk l’ait demandé. L’agence assure avoir mené une enquête après des signalements de Daniel Berulis mais « a déterminé qu’il n’y avait pas eu de violation des systèmes de l’agence ». Le média explique pourtant avoir eu la confirmation de 11 sources internes à l’agence qui partagent les préoccupations de l’architecte DevSecOps.

La NPR a mis à jour son article après que la Maison-Blanche, en réponse à son enquête, a déclaré : « cela fait des mois que le président Trump a signé un décret pour embaucher des employés du DOGE dans les agences et coordonner le partage des données. Leur équipe hautement qualifiée a été extrêmement publique et transparente dans ses efforts pour éliminer le gaspillage, la fraude et les abus dans l’ensemble de la branche exécutive, y compris le NLRB ».

Sur CNN, l’avocat Andrew Bakaj qui a signé la lettre de Whistleblower Aid, a évoqué le fait que le DOGE aurait utilisé Starlink pour exfiltrer les données. « Ce qui veut dire, de ce que nous comprenons, que la Russie a un pipeline direct d’information via Starlink et que tout ce qui passe par Starlink va vers la Russie », affirme-t-il.

Sans autre information, il est difficile de s’appuyer sur cette déclaration pour en conclure quoi que ce soit sur les liens de cette affaire avec la Russie. En effet, même si l’IP utilisée pour essayer de se connecter au système du NLRB indique la région du Primorié, dont la capitale est Vladivostok, à l’extrême est de la Russie, celle-ci n’est pas une source sûre de localisation d’un attaquant. Celui-ci peut, entre autres, avoir utilisé un VPN pour obfusquer sa réelle localisation.

La voie du milieu

OpenAI a finalement lancé ses deux nouveaux modèles de raisonnement o3 et o4-mini, destinés à remplacer o1. Les scores affichés par l’entreprise sont particulièrement bons. Pour la première fois, OpenAI a aussi ajouté des protections spécifiques pour empêcher ses modèles d’être utilisés pour créer des armes chimiques et biologiques.

Il était temps de briller un peu. Entre la sortie d’un GPT-4.1, le départ en pré-retraite de GPT-4.5 et le report de GPT-5, l’actualité n’était pas brillante pour OpenAI, dans un domaine où tout va très vite. La société avait cependant prévenu que deux nouveaux modèles de raisonnement allaient arriver.

o3 et o4-mini ont donc été présentés hier. Il s’agit de deux modèles multimodaux, capables de traiter du texte et des images en entrée. La nouvelle « star » est en théorie o3, mais o4-mini pourrait lui voler la vedette, avec des scores équivalents – voire meilleurs – sur certaines tâches. Un modèle plus petit, donc moins cher à faire fonctionner.

Encore des modèles orientés vers « les tâches réelles »

Sans trop de surprise, OpenAI reprend les mêmes éléments de langage que pour son récent GPT-4.1. Les deux nouveaux modèles sont ainsi conçus pour des « tâches réelles » et seraient particulièrement performants pour des activités comme la programmation. Plus question de laisser prendre du terrain aux trois principaux concurrents que sont Gemini 2.5 Pro de Google, Claude Sonnet 3.7 d’Anthropic et DeepSeek V3 dans sa version améliorée.

Selon OpenAI, o3 atteint ainsi un score de 69,1 % sur la version vérifiée du test SWE-bench. o4-mini fait à peine moins bien avec 68,1 %. On est loin devant les 48,9 % d’o1 et les nouveaux venus se permettent une marge confortable sur Claude Sonnet 3.7 et ses 62,3 %. Bien que nous mentionnions le score de Claude, la communication d’OpenAI n’établit aucune comparaison directe avec des modèles concurrents. Les tableaux affichés – ils sont nombreux – ne montrent que les gains conséquents sur o1 et o3-mini.

Les deux modèles sont présentés comme idéaux pour des tâches telles que le développement logiciel, la navigation web, l’exécution de scripts Python dans le navigateur (via Canvas), ainsi que le traitement et la génération d’images. OpenAI annonce d’ailleurs qu’o3 et o4-mini sont les premiers modèles de l’entreprise capables de « penser avec des images » (sic). Ils peuvent par exemple exploiter des photos flous de tableaux blancs pour en extraire les données, diagrammes et ainsi de suite.

De manière générale, o4-mini montre tout le potentiel du futur modèle o4, si OpenAI le lance un jour en version complète. Il se révèle aussi performant, voire légèrement meilleur qu’o3-mini sur des tâches comme la programmation, l’analyse d’images et les mathématiques. Sur le test mathématique AIME 2024, il atteint même 92,7 %, soit légèrement plus que le plus gros modèle de Google, Gemini 2.5 Pro.

OpenAI a ses nouvelles stars du raisonnement

Les modèles de raisonnement devenant dominants dans le secteur de l’IA générative, il est probable qu’OpenAI soit revenue sur ses plans de ne pas s’attarder sur o3 et o4 pour passer directement à la suite, malgré ses annonces en fin d’année dernière. C’est bien ce qui avait été annoncé, de la même manière que GPT-4.5 est écarté pour laisser de la place au développement des futurs modèles.

Ils sont donc là pour occuper le terrain. Les deux sont déjà disponibles dans les forfaits Pro, Plus et Team de ChatGPT. On note également une variante o4-mini-high, qui doit fournir des réponses plus précises, au prix bien sûr d’un temps de calcul plus long.

En outre, une version o3-pro sera fournie dans les semaines qui viennent, là encore pour des réponses plus précises, mais uniquement pour les personnes abonnées à ChatGPT Pro, la formule à 200 dollars par mois. o3, o4-mini et o4-mini-high seront également disponibles pour les développeurs via les API Chat Completions et Responses.

Les prix annoncés sont relativement modestes au vu des performances. Pour o3, le tarif est ainsi de 10 dollars par million de jetons en entrée et 40 dollars par million de jetons en sortie. La tarification d’o4-mini est la même qu’o3-mini : 1,10 dollar en entrée et 4,40 dollars en sortie.

Enfin, OpenAI annonce le lancement de Codex CLI, un agent de développement conçu pour la ligne de commande dans un terminal. Il exploite pour l’instant o3 et o4-mini, mais prendra bientôt en charge des modèles supplémentaires, dont GPT-4.1. L’outil est open source, sous licence Apache 2.0.

Des protections contre les menaces biochimiques

En même temps que ses annonces sur o3 et o4-mini, OpenAI a publié un document (pdf) reflétant l’analyse de sécurité de ses nouveaux modèles. On peut y lire notamment que les risques d’hallucinations ou de biais sont toujours présents, de même que l’utilisation à des fins malveillantes.

Parmi ces fins, la préparation de menaces biologiques ou chimiques. OpenAI indique donc avoir intégré des protections spécifiques, dont un « moniteur de raisonnement axé sur la sécurité ». Il a lui-même été formé pour raisonner sur les politiques de contenu, identifier les messages pouvant correspondre à l’élaboration d’une menace et bloquer les réponses.

L’entreprise dit demander à sa « red team » de consacrer environ 1 000 heures à étiqueter des conversations « dangereuses » sur les risques biochimiques, pour intégrer la logique dans le moniteur. Selon les informations du document, o3 et o4-mini bloqueraient les demandes liées au développement de menaces à hauteur de 98,7 %.

Ces informations sont cependant à nuancer. Dans son propre document, OpenAI admet ne pas savoir si cette protection tiendra devant l’originalité renouvelée des invites (prompts), que l’on peut adapter à chaque refus pour tenter de contourner la difficulté. De plus, OpenAI ne présente pas vraiment son moniteur comme un apport clair sur la sécurité. Il vient surtout compenser la hausse des capacités de raisonnement qui, elles, ouvrent de nouveaux champs.

o3 et o4-mini peuvent tricher… comme les autres

En outre, le même rapport mentionne les tests de la société Apollo Research, habituée de la red team d’OpenAI. Ses tests ont montré que les deux modèles pouvaient tricher dans les demandes comme dans les benchmarks. Par exemple, un test visant à effectuer certaines tâches avec 100 crédits de calcul ont finalement été réalisées avec 500. Il avait été spécifiquement demandé aux IA de ne pas augmenter le quota, ordre ignoré par les deux modèles, qui ont affirmé ensuite que les 100 crédits avaient été respectés.

Même son de cloche globalement chez la société Metr, autre habituée de la red team d’OpenAI. Dans un billet publié hier et soir et repéré notamment par TechCrunch, la société note que les deux modèles peuvent effectivement tricher. Dans les deux, le risque n’est pas jugé significatif, OpenAI reconnaissant elle-même que ses modèles peuvent entrainer de « petits préjudices », quand les résultats ne sont pas supervisés.

Une conclusion que l’on peut rappeler pour chaque nouveau modèle. Mais l’envolée des capacités de raisonnement rend le problème plus visible. Les protections mises en place permettent à OpenAI de rester dans une marge acceptable.

Qualif à la place de Qualif

Après S3ns (Thales et Google), c’est au tour d’un autre « cloud de confiance » basé sur des services étasuniens de passer le jalon J0 de la qualification SecNumCloud : Bleu (Orange, Capgemini et Microsoft). Le processus doit encore durer une année.

L’annonce de Bleu, un « cloud de confiance » d’Orange et Capgemini, a été faite en 2021, avec Microsoft (Azure et 365) comme partenaire technologique. Les activités commerciales ont pour leur part débuté en janvier 2024. En septembre, Bleu présentait ses « 12 premiers partenaires de services » et visait un dépôt de son dossier de la qualification SecNumCloud par l’ANSSI pour la fin de l’année.

• Bleu annonce 12 partenaires et devrait déposer son dossier SecNumCloud à la fin de l’année

SecNumCloud : Bleu valide le jalon J0, la route est encore longue

Aujourd’hui, Bleu (détenue à 100 % par Capgemini et Orange) vient de passer une étape importante, même si la route est encore longue : « le franchissement du jalon J0 ». La co-entreprise en profite pour en faire des tonnes.

« Ce jalon atteste de la maturité de la solution cloud que nous développons. Nos équipes et nos partenaires sont pleinement mobilisés pour mettre à disposition nos services et atteindre la qualification SecNumCloud dans les meilleurs délais », affirme ainsi Jean Coumaros, président de Bleu.

Bleu « vise la qualification de ces services pour le premier semestre 2026 ».

C’est quoi ce jalon J0 ?

L’AFNOR rappelle de son côté que le jalon préalable J0 ne concerne que « la validation par l’ANSSI d’un dossier de candidature. La phase d’évaluation avec audit sur site a lieu après la validation de ce jalon 0 ». Il y a ensuite J1, J2 et J3 à passer.

L’ANSSI ajoute néanmoins que « dès son entrée officielle dans le processus de qualification SecNumCloud (reconnue par un courrier de l’ANSSI à l’entreprise annonçant « le jalon J0 »), toute entreprise pourra évoquer publiquement la démarche en cours ». Et, si elle le souhaite, elle peut apparaitre sur la liste de l’ANSSI des prestataires en cours de qualification. Pour le moment, ce n’est pas encore le cas.

Bien évidemment, le jalon J0 n’est pas suffisant pour « utiliser le logo du Visa de sécurité ANSSI ni afficher la qualification SecNumCloud tant qu’elle n’aura pas officiellement obtenu la qualification SecNumCloud ». L’Agence de cybersécurité ajoute que « tout communiqué de presse évoquant le processus de qualification SecNumCloud de l’ANSSI devra préalablement être partagé à [ses services] pour validation ».

Datacenters en France, 130 employés pour l’instant

Bleu en profite pour rappeler que ses services « sont hébergés dans ses datacenters, en Ile-de-France et dans le sud de la France. Ces services sont pilotés par du personnel de Bleu, depuis ses centres opérationnels ouverts à Paris et Rennes ».

130 personnes sont actuellement employées, avec l’objectif d’atteindre les 200 à la fin de l’année.

S3ns a passé le J0 en juillet 2024 « sans réserve »

Son concurrent S3ns, avec Thales et Google à la manœuvre, a passé le « jalon 0 » de la qualification ANSSI en juillet dernier, avec une finalisation espérée durant l’été 2025. C’est dans le délai moyen d’un an après un jalon J0.

Le service presse de Thales nous avait alors confirmé que, « à ce stade, il n’y a pas de réserve à avoir de la part de l’ANSSI et l’agence n’en a pas émise ». Bleu ne donne pas de précision sur ce point. Nous avons posé la question à son service presse.

La différence peut avoir son importance, comme le rappelle l’ANSSI. Franchir le jalon J0 avec des réserves signifie que « l’ensemble des critères d’acceptation […] sont respectés, mais l’ANSSI estime qu’un jalon de la qualification ne peut a priori pas être franchi ou que les coûts et délais nécessaires pour atteindre la qualification sont très importants ».

Nous mettrons à jour cette actualité dès que nous aurons une réponse de Bleu.

Alain Afflelou envoie actuellement des emails à ses clients et prospects, avec un objet laissant peu de place au doute : « Informations sur vos données personnelles ».

Il est évidemment question d’une fuite de données personnelles : « Une faille dans le système de l’un de nos prestataires a entraîné un accès non autorisé à notre outil de gestion des relations clients ». Le nom du prestataire n’est pas communiqué, comme c’est très (trop) souvent le cas durant les derniers mois.

Dans le lot des données piratées, on retrouve l’état civil (nom, prénom, date de naissance), les coordonnées (adresse postale, e-mail, numéros de téléphone) et des informations commerciales : date et montant total des derniers achats, date du dernier devis, nom de la dernière mutuelle et/ou OCAM, date du dernier rendez-vous, enseigne de rattachement des achats (opticien ou acousticien) et information selon laquelle vous êtes parent d’enfant(s) client(s) mineur(s).

« Aucune donnée bancaire, aucun numéro de Sécurité sociale, aucune donnée de correction visuelle ou d’audition, ni aucun mot de passe n’a été compromis », affirme l’entreprise. Le nombre de clients et/ou prospects touchés n’est pas précisé.

Le risque est toujours le même en pareille situation : une attaque par phishing en utilisant les données récupérées. Des pirates peuvent ainsi tenter de se faire passer pour Alain Afflelou et essayer de récupérer d’autres données.

Papa don't preach

Elon Musk a 14 enfants publiquement connus, et « certainement beaucoup plus » selon ses proches. Plongée dans une réflexion tout à fait liée à ses projets entrepreneuriaux.

Elon Musk a 14 enfants connus de 4 mères différentes. La dernière à s’être fait connaître publiquement : l’influenceuse pro-Trump Ashley St. Clair. En février, la jeune femme de 26 ans a publié un message sur X dans lequel elle déclarait être la mère d’un enfant de 5 mois, conçu avec Elon Musk. Elle expliquait au passage publier cette déclaration pour prendre de vitesse des tabloïds qui s’apprêtaient à révéler l’affaire.

Outre les médias à l’affut du scoop, l’autre victime de cette publication semble être Ashley St. Clair elle-même. Dans une longue enquête sur la manière dont Elon Musk gère ses relations avec les mères de ses multiples enfants, le Wall Street Journal revient en effet sur l’imbroglio judiciaire dans lequel l’influenceuse a été propulsée après avoir refusé de signer un accord liant confidentialité et soutien financier.

La reproduction, partie intégrante du projet de Musk

Car dans le parcours de l’homme le plus riche du monde et actuelle tête du « ministère de l’efficacité gouvernementale » (DOGE) des États-Unis, la reproduction est une entreprise à part entière. Proche du courant de pensée long-termiste, adepte de thèses complotistes comme celle du grand remplacement, Elon Musk encourage les personnes de son milieu social à se reproduire pour peupler la planète de ce qu’il considère être des personnes d’intelligence supérieure.

Ceci explique les débats récurrents en ligne sur le quotient intellectuel (QI) de l’entrepreneur – comme nous le rappelions dans notre article sur les idéologies TESCREAL, auxquelles appartient le long-termisme, la validité scientifique de la notion de QI est largement débattue.

• Transhumanisme, long-termisme… comment les courants « TESCREAL » influent sur le développement de l’IA

Ouvertement pronataliste, Musk se déclare en effet inquiet devant les taux de natalité plus élevés dans les pays du Sud mondial que dans les pays du Nord. À de multiples reprises, il a qualifié la question de la natalité de priorité absolue pour la « survie de l’humanité au long-terme », un projet qu’il prévoit par ailleurs d’aider en envoyant des fusées Space X vers la planète Mars, qu’il souhaite coloniser (lors d’un meeting politique, il a récemment déclaré la planète comme faisant partie des États-Unis, au mépris du traité de l’espace de 1967 interdisant l’appropriation nationale des corps célestes).

Musk se réfère enfin à sa progéniture en évoquant une « légion », en référence à l’unité militaire utilisée pour évoquer les milliers de soldats nécessaires à l’extension de l’Empire romain. Lors de sa relation avec Ashley St. Clair, Musk a notamment souligné le besoin « de recourir à des mères porteuses » pour avoir des enfants plus rapidement et « atteindre le niveau de la légion avant l’apocalypse ».

Rapports financiers

La question de la reproduction occupe Musk au point qu’il aborde des utilisatrices de X par message privé, jusqu’à leur proposer d’avoir des enfants. Dans le cas de l’influenceuse crypto Tiffany Fong, la proposition a été formulée après plusieurs semaines de discussions en ligne, mais sans que Musk et Fong ne se soient rencontrés, rapporte le Wall Street Journal.

Vu la position publique et politique d’Elon Musk, le procédé se met en place dans un évident contexte de rapport de pouvoir. La place qu’il occupe sur son propre réseau social et l’audience qu’il y accumule fait par ailleurs mécaniquement monter l’audience des internautes avec lesquels il interagit, donc leurs revenus. Tiffany Fong explique ainsi avoir enregistré une nette hausse de revenus et gagné 21 000 dollars pendant deux semaines d’interactions avec Elon Musk.

Lorsque l’entrepreneur lui a proposé de se reproduire, cela l’a obligée à s’interroger sur les conséquences financières de son refus. Dès que le milliardaire a appris que Tiffany Fong avait demandé l’avis de ses proches, il a arrêté de suivre la jeune femme et cessé de communiquer avec elle.

Les rapports financiers s’installent aussi avec celles qui acceptent les propositions de Musk, d’après Ashley St. Clair. Au Wall Street Journal, elle explique s’être vue proposer 15 millions de dollars et 100 000 $ de soutien mensuel jusqu’aux 21 ans de leur fils Romulus en échange de son silence sur l’identité du père. Jared Birchall, l’analyste financier à la tête du family office d’Elon Musk depuis 2016, lui aurait expliqué que des accords similaires avaient été signés avec les mères d’autres enfants. Leur nombre n’est pas connu – Jenna Wilson, fille de Musk ayant rompu tout contact avec son père après que celui-ci a refusé d’accepter sa transition, indique ainsi ne pas connaître le nombre exact de ses frères et sœurs.

Ashley St. Clair a refusé l’accord, car celui-ci lui interdisait d’évoquer le lien entre Musk et son fils, mais n’empêchait pas le milliardaire de parler mal d’elle s’il le souhaitait. La jeune femme indique ne pas vouloir que son fils se sente illégitime, et que le contrat ne prévoyait aucune sécurité en cas de maladie de l’enfant, ou de décès de Musk avant les 21 ans du petit garçon.

Quatre jours après sa publication sur X, l’influenceuse indique que Musk a mis fin à l’offre de 15 millions de dollars. Alors que St. Clair demandait un test de paternité – depuis revenu avec une probabilité de 99, 9999 % sur le fait que Musk soit le père –, celui-ci a réduit l’allocation mensuelle à 40 000, puis 20 000 dollars. Les dates des réductions de paiement coïncident avec des désaccords juridiques, explique l’un des avocats de la mère de famille : « La seule conclusion que nous puissions en tirer est que l’argent est utilisé comme une arme ».

Avant Ashley St. Clair, la chanteuse Grimes (Claire Boucher à la ville) a, elle aussi, eu à se battre contre l’entrepreneur politique. Après avoir fréquenté Musk à partir de 2018, l’artiste a eu avec lui trois enfants, puis s’est battue dans les tribunaux pour obtenir leur garde – la chanteuse accuse le chef d’entreprises de l’avoir empêchée de voir l’un de leurs enfants pendant cinq mois. Elle déclare en outre avoir été ruinée par la bataille judiciaire.

Obsession partagée

Outre Ashley St. Clair et Grimes, les deux autres mères connues d’enfants de Musk sont son ex-femme Justine Musk et l’investisseuse Shivon Zilis. Cette dernière vit dans un complexe fermé dont l’acquisition a été gérée par Jared Birchall, qui supervise l’essentiel des négociations liées aux grossesses et au soutien financier post-naissance des femmes liées à Musk. Dans l’idée initiale de Musk, le complexe aurait accueilli tous ses enfants – il a tenté de convaincre Grimes de s’y installer, puis St. Clair de venir y passer du temps.

Aussi étranges que puissent sonner ces récits, ils ne sont pas propres à Elon Musk.

Dans l’univers de la tech, ils s’intègrent dans un courant plus large de promotion d’une forme d’eugénisme « positif », qui permettrait de faire naître des enfants « plus intelligents » que la moyenne. Le fondateur de Telegram Pavel Durov s’est ainsi félicité que ses dons de spermes aient aidé plus de 100 couples dans 12 pays différents à concevoir des enfants. Si le projet peut sembler philanthropique (en France, les dons de sperme sont très insuffisants), ils prennent un tour plus sujet à débat lorsqu’on lit l’entrepreneur décrire ses dons comme du « matériel de haute qualité » et vouloir rendre son ADN « open source ».

D’un point de vue plus entrepreneurial, le patron d’OpenAI Sam Altman a notamment investi dans la start-up Conception, qui cherche à rendre possible la conception biologique entre personnes de même sexe.

Le cas de Musk s’inscrit, aussi, dans un contexte politique. Fin mars, des influenceurs d’extrême-droite organisaient par exemple un événement d’un week-end au Texas pour permettre à des personnes fortunées de se rencontrer, dans le but de leur faire concevoir des enfants.

Alors que le Parti républicain est divisé sur la question de la procréation médicalement assistée, Donald Trump a récemment déclaré vouloir devenir le « président de la fécondation ». C’est aussi au président, par l’intermédiaire de ses nominations à la cour suprême, que les États-Unis doivent le recul du droit à l’avortement à l’échelle fédérale.

• La drôle de trajectoire politique d’Elon Musk

Débranche, débranche, débranche tout

OVHcloud est (presque) sur un petit nuage, avec de bons résultats dans son dernier bilan semestriel. Le groupe revendique une forte croissance aux États-Unis et en Asie-Pacifique, mais réalise toujours quasiment la moitié de son chiffre d’affaires en France. Pour Benjamin Revcolevschi, il y a une « troisième voie entre les États-Unis et la Chine », et OVHcloud veut s’en occuper.

OVHcloud vient de dévoiler son bilan financier pour le premier semestre de l’année, avec des hausses sur l’ensemble de ses segments. Le chiffre d’affaires passe de 486,1 millions d’euros au 1ᵉʳ semestre 2024 à 536,0 millions d’euros cette année, soit une hausse de 10,3 %. Le groupe confirme au passage ses objectifs annuels.

Des bénéfices (des pertes en 2024) et 1 milliard d’euros de dette

Le résultat net consolidé est de 7,2 millions d’euros, alors qu’il était question de pertes de 17,2 millions l’année dernière. « Le résultat net du premier semestre 2025 intègre notamment une charge d’intérêts de (24,2) millions d’euros, en hausse de 8,4 millions d’euros. Cette augmentation provient principalement des frais liés à la mise en place de la nouvelle dette et de l’augmentation des taux d’intérêts et de la dette nette sur la période », explique la société.

La dette d’OVHcloud au 28 février 2025 est de 1,03 milliard d’euros contre 667,2 millions d’euros au 31 août 2024. « Le levier d’endettement atteint 2,7x au 28 février 2025, en ligne avec la politique d’endettement du Groupe ».

« Forte demande aux États-Unis et en Asie-Pacifique »

Le cloud privé (Bare Metal et Hosted Private) représente toujours la part la plus importante avec 334,2 millions d’euros (+ 10,5 %). Les deux autres branches sont au coude à coude : cloud public à 103,8 millions d’euros (+ 17,4 %) et webcloud à 98 millions d’euros (+ 2,9 %).

L’entreprise note une « forte dynamique des noms de domaine, soutenue par la mise en place d’engagements pluriannuels dans de nouvelles géographies ». Sur le webcloud, « en excluant les sous-segments Connectivité et Téléphonie, activités historiques du Groupe, la croissance du segment atteint + 6,3 % ».

Revenons sur le cloud privé qui se taille la part du lion et affiche une croissance de 10,5 % sur un an. Deux éléments sont mis en avant : « une bonne croissance du revenu par client (ARPAC) principalement soutenue par une forte demande aux États-Unis et en Asie-Pacifique », ainsi que « des effets prix liés au changement de facturation des licences VMware par Broadcom depuis mai 2024 ».

Concernant les licences VMware, cela permet certes d’augmenter les revenus, mais OVHcloud doit ensuite reverser les sommes à Broadcom (modulo sa marge/commission). En ce début d’année 2025, Broadcom a encore resserré la vis sur les licences VMwares.

« Le seul acteur européen dans le top 10 mondial du cloud »

Lors de la conférence de presse, Next a demandé à Benjamin Revcolevschi (directeur général d’OVHcloud) d’où venait cette « forte demande aux États-Unis et en Asie-Pacifique ». Il nous a expliqué qu’aux États-Unis, la croissance se fait notamment via des entreprises « dans la tech (startup et scale-up) », sans entrer dans les détails.

Il a ajouté que « les États-Unis sont un marché fragmenté : quand vous avez la bonne solution, au bon prix et avec les bonnes performances, les clients décident de migrer. J’ai des exemples de clients qui ont migré », mais aucun n’a été donné. Pour servir directement ses clients étasuniens, OVHcloud dispose de deux datacenters sur place (côte Est et Ouest) ainsi que 10 Local Zones.

Pour Benjamin Revcolevschi, « les clients recherchent un cadre de confiance » et veulent « limiter la dépendance à des acteurs non européens ». Il revendique être « le seul acteur européen dans le top 10 mondial du cloud » et « le seul à ne pas être soumis aux lois extraterritoriales ». Il y a une « place pour une troisième voie entre les États-Unis et la Chine », ajoute-t-il.

Mais OVHcloud dépend toujours fortement de la France (à 48 %)

La France représente quasiment 50 % de son chiffre d’affaires avec 256,7 millions d’euros sur six mois (+ 8,1 %), suivie par l’Europe à 156,2 millions (+ 10,6 %) et le reste du monde (qui représente 23 % de ses revenus) à 123,1 millions d’euros (+ 14,7 %). En France, la locomotive est le cloud public avec 18,6 % de hausse en un an.

En bourse, OVHcloud affiche + 47 % depuis fin mars, avec une forte hausse entre les 2 et 4 avril, après l’annonce sur les droits de douane par Donald Trump. L’action est aujourd’hui à 11 euros, mais cela reste largement en dessous des 18,50 euros lors de l’introduction fin 2021 et des 25 euros dans les semaines suivantes.

En avril 2024, l’entreprise dévissait toutefois de près de 30 % après l’annonce de ses résultats. Entre le 5 avril 2024 (avant les résultats) et aujourd’hui, le cours de l’action est quasiment stable.

• Les droits de douane Trump relancent l’hypothèse d’une taxe GAFAM européenne

23 Local Zones, Bare Metal Pod passe SecNumCloud

OVHcloud revendique « 23 grandes villes disponibles à fin février 2025 » pour ses Local Zones. Fin 2024, Benjamin Revcolevschi nous expliquait que la société est « militaire dans le déploiement de ces Local Zones : toutes les deux ou trois semaines, on en déploie une ». Les premières remontent à février 2024 et avaient été annoncés au Summit fin 2023.

OVHcloud prévoyait « jusqu’à 150 Local Zones ouvertes d’ici à 2026 ». Des ambitions revues à la baisse, nous confiait le directeur général lors de son arrivée : « on n’aura pas 150 Local Zones en 2026 […] On les déploie activement, mais on veut faire ça bien ».

OVHcloud rappelle aussi avoir obtenu la qualification SecNumCloud pour son offre Bare Metal Pod. Il s’agit de proposer un minimum de huit serveurs dans une demi-baie, et jusqu’à 480 serveurs dans 10 baies, « l’ensemble clé en main, le hardware et le software ».

Les « datacenters déconnectés » sont là

2024 était aussi l’occasion de lancer On-Prem Cloud Platform : « une plateforme cloud intégrée (matérielle et logicielle) qui sera, en mode déconnecté, hébergée et opérée de façon autonome ». Pour simplifier, il s’agit d’un ensemble prêt à être installé chez des clients et qui n’a pas besoin d’être connecté à Internet. Octave Klaba en parlait déjà en 2022 avec ses « datacenters déconnectés » lors de la conférence EcoEx.

• EcoEx : OVHcloud va proposer des « datacenters déconnectés » et mise sur l’open source

Toutes les plateformes Apple ont reçu hier soir une mise à jour estampillée « X.4.1 ». Elles ont été déployées pour colmater deux failles de sécurité déjà exploitées.

La première, CVE-2025-31200, réside dans CoreAudio. Elle est de type corruption de la mémoire et peut être utilisée pour envoyer un flux audio spécialement conçu dans un fichier multimédia pour déclencher un code arbitraire. La seconde, CVE-2025-31201, touche RPAC. On ne sait pas grand-chose de son fonctionnement, sinon qu’un attaquant disposant de droits arbitraires en lecture et écriture pourrait contourner Pointer Authentication.

Il est très probable que ces deux vulnérabilités soient utilisées par des outils d’espionnage. Elles auraient en effet été exploitées « dans des attaques extrêmement sophistiquées contre des individus spécifiques », indique Apple. A priori, ce comportement n’aurait été observé que sur iOS.

Comme souvent dans ce genre de cas, il est recommandé d’installer ces mises à jour le plus rapidement possible.

Nouvelle version pour le client de virtualisation open source (GPLv3). Même s’il s’agit d’une mise à jour d’entretien, VirtualBox 7.1.8 vient corriger plusieurs problèmes gênants, dont un pouvant faire grimper le taux d’occupation CPU à 100 %, ce qui n’est jamais bon. Il touche le composant VBxTray dans les Windows Guest Additions, donc dans les machines virtuelles équipées du système de Microsoft.

Dans la longue liste des changements, on peut voir de nombreuses autres corrections. Par exemple, un curseur qui ne s’affichait pas, un souci dans DevVirtioSCSI pouvant bloquer la restauration des états antérieurs, un plantage de VBoxSVC pendant l’enregistrement de la configuration via le service web, des équipements Wi-Fi qui n’étaient plus découverts sur des distributions Linux « modernes », ou encore des Linux Guest Additions qui ne s’installaient parfois pas si les bibliothèques X11 étaient absentes.

Comme d’habitude, la nouvelle mouture peut être téléchargée depuis le site officiel.

vulnérabilités au carré

La base de données de vulnérabilités CVE, mondialement utilisée pour connaître et corriger des risques de cybersécurité, a bien cru voir son financement fédéral américain s’arrêter. Alors qu’il devait expirer aujourd’hui même, l’Agence de cybersécurité américaine CISA l’a renouvelé à la dernière minute. En parallèle, des responsables de CVE ont lancé une fondation pour assurer son indépendance à long terme.

L’Agence de cybersécurité américaine CISA a finalement décidé de continuer à financer la base de données de vulnérabilités CVE en étendant son contrat avec la MITRE, l’organisation à but non lucratif qui gère le projet.

« Le programme CVE est inestimable pour la cybercommunauté et constitue une priorité de la CISA. Hier soir, la CISA a exécuté la période d’option du contrat afin de s’assurer qu’il n’y aura pas d’interruption des services CVE essentiels », a affirmé l’agence dans un communiqué envoyé à Forbes et notre BleepingComputer.

Le stress de la communauté cyber

Il était temps. La communauté de la cybersécurité avait commencé, mardi soir, à s’émouvoir sur les réseaux sociaux de la possible disparition de cette base de données. En effet, ce contrat arrivait à échéance ce mercredi 16 avril. Cette information a fuité mardi via une lettre adressée aux membres du bureau du CVE publiée sur Bluesky.

Yosry Barsoum, le vice-président du MITRE, l’organisation à but non-lucratif dont dépend le CVE, y annonçait un possible arrêt de financement et affirmait : « Si une interruption de service devait se produire, nous prévoyons de multiples conséquences pour CVE, notamment la détérioration des bases de données et des avis nationaux sur les vulnérabilités, des fournisseurs d’outils, des opérations de réponse aux incidents et de toutes sortes d’infrastructures critiques ».

Le spécialiste en cybersécurité Kevin Beaumont réagissait par exemple en affirmant que « le secteur de la cybersécurité dans son ensemble est également en difficulté – c’est l’éléphant dans la pièce – l’effondrement du soutien de la Maison-Blanche à la cybersécurité est évident et prononcé en raison des coupes budgétaires généralisées ».

En effet, CVE est vraiment devenu un outil indispensable dans ce secteur depuis sa création en 1999. Elle recense toutes les vulnérabilités de sécurité des systèmes informatiques en indiquant leurs sévérités. Cette base permet notamment d’unifier les noms des failles pour s’assurer que tout le monde s’entende et ne fasse pas de confusion. Toutes les personnes travaillant dans le secteur l’utilisent. On peut aussi s’appuyer sur CVE pour analyser la variation du nombre failles de sécurité, mais attention à le faire en prenant en compte leur exploitation et pas seulement leur nombre absolu.

• Le nombre de failles de sécurité a augmenté de 30 % en 6 mois : beaucoup de bruit pour rien ?

Une fondation créée à la hâte

Alors que l’annonce de la reconduction du contrat n’avait pas encore été faite, des membres du bureau du CVE ont annoncé le lancement de la Fondation CVE. Celle-ci doit assurer « la viabilité, la stabilité et l’indépendance à long terme du programme CVE, pilier essentiel de l’infrastructure mondiale de cybersécurité depuis 25 ans ».

Elle est présentée comme une réponse à l’instabilité dans laquelle se trouve le CVE. En même temps, ce texte explique qu’elle est le fruit d’« une coalition de membres actifs et de longue date du conseil d’administration de CVE [qui] a passé la dernière année à élaborer une stratégie de transition de CVE vers une fondation à but non lucratif ».

Il est difficile pour l’instant de savoir quel sera l’avenir de la gouvernance du CVE entre cette fondation et la gestion historique par le MITRE.

Ce dernier a, certes, finalement pu reconduire le contrat avec la CISA, mais 442 employés du MITRE ont été licenciés récemment après l’arrêt de contrats par le DOGE équivalent à 28 millions de dollars de budget, selon Virginia Business. Difficile de promettre une stabilité au projet dans ce contexte.

Depuis l’attaque terroriste du Hamas contre Israël le 7 octobre 2023, l’État a réalisé une opération de modération des plateformes de Meta d’un genre particulier : il a formulé des requêtes de suppression de contenus publiés dans quantité de pays étrangers.

D’après des documents internes obtenus par Drop Site, une newsletter créée par d’anciens journalistes d’investigation de The Intercept, Meta a coopéré dans 94 % des cas. 
L’immense majorité de ces contenus contenaient des propos pro-palestiniens ou critiques du génocide opéré dans la bande de Gaza. Les demandes de retraits formulées par Israël ont principalement visé des internautes de pays arabes ou à majorité musulmanes, parmi lesquels l’Égypte, la Jordanie, l’Algérie, le Yémen, la Tunisie ou encore le Maroc.

95 % des requêtes – quasiment toujours formulées de la même manière, quel que soit le contenu – était classifiée par le gouvernement israélien comme relevant du « terrorisme » ou de l’« incitation à la violence » selon les politiques d’utilisation de Meta.

Les données montrent que Meta aurait modéré plus de 90 000 posts pour se conformer aux demandes du gouvernement israélien en 30 secondes en moyenne. Drop Site souligne que ces actions auront un impact futur, dans la mesure où les contenus supprimés servent à entraîner les systèmes automatisés de modération pour leur faire faire prendre de futures décisions.

Meta a également considérablement étendu les suppressions automatisées depuis le 7 octobre, ce qui aurait valu à près de 39 millions de posts supplémentaires de faire l’objet d’une « action » (interdiction, retrait, voire bannissement) sur Facebook et Instagram depuis la fin de l’année 2023, relève d’ailleurs Drop Site.

Ces documents renforcent une tendance observée par des organisations comme Human Rights Watch, qui relevait dès la fin 2023 des suppressions de contenus, du shadow banning (fait de limiter la visibilité) et de la suspension de comptes favorables à la cause palestinienne sur Instagram et Facebook dans plus de soixante pays du globe.

• Facebook et Instagram ont « sévèrement restreint » les médias et internautes palestiniens

Drop Site relève que seulement 1,3 % des requêtes de suppression formulées par le gouvernement israélien concerne ses propres internautes, quand l’immense majorité des autres gouvernements s’intéressent à du contenu domestique (63 % des requêtes de la Malaisie se concentrent du contenu publié en Malaise, 95 % de celles formulées par le Brésil concernent du contenu brésilien).

• Israël – Hamas : sur le front numérique aussi, le conflit fait rage

ANSSI font font les pirates

L’année 2024 a sans doute été l’une des plus chargées pour l’agence française. Dans le domaine de la cybersécurité, les travaux ont été très nombreux, entre les opérations courantes, la préparation aux directives européennes ou encore la sécurisation des Jeux olympiques et paralympiques. Et 2025 s’annonce tout aussi dense.

L’Agence nationale de la sécurité des systèmes d’information a publié hier son rapport d’activité pour 2024. Une année charnière dans la cybersécurité, tant elle a été chargée en travaux. Elle a consacré la montée en puissance de l’ANSSI et son rôle au sein de l’Union européenne, l’agence était l’une des plus actives d’Europe. Sa labellisation SecNumCloud avait même servi à établir le niveau de sécurité High+ dans la première version d’EUCS, avant que le projet ne soit gelé, en attente d’une reprise des débats dans un contexte très différent de tensions avec les États-Unis.

• En France, le niveau de risque des cybermenaces est « particulièrement élevé »
• Vincent Strubel (ANSSI) : « On est en Ligue 1 des nations cyber »… face aux Russes et Chinois

Un travail de fond sur les nouvelles lois

L’ANSSI aborde en long et en large le nécessaire travail d’adaptation à l’évolution des cadres juridiques. L’Agence est ainsi très occupée avec la transposition en cours des directives européennes NIS2, DORA et REC. En France, ce travail a franchi une étape décisive il y a un mois avec le passage au Sénat du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, aussi appelé « PJL Cyber Résilience », qui transpose d’un coup les trois directives.

• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat

Cette loi va chambouler profondément la vie de nombre d’entreprises, qui vont devoir s’adapter à de nombreuses exigences. C’est surtout le cas avec la directive NIS2, comme nous l’avions détaillé dans un précédent article. L’ANSSI a commencé son travail d’accompagnement des milliers d’infrastructures concernées. Dans son édito, le directeur de l’ANSSI, Vincent Strubel, indique d’ailleurs que la transposition de NIS2 est vectrice d’une « transformation profonde de son organisation, de ses méthodes et de sa manière d’interagir avec ses bénéficiaires et ses partenaires ». Elle est également qualifiée d’ « extrêmement dimensionnante ».

L’ANSSI se dit ainsi « pleinement mobilisée » pour les 18 secteurs d’activités visés par NIS2. Elle a par exemple organisé des consultations auprès des fédérations professionnelles concernées, coordonné le travail d’élaboration du projet de loi et les négociations européennes sur le sujet, développé sa stratégie d’accompagnement, lancé un site dédié (MonEspaceNIS2, toujours en bêta), préparé son accompagnement et adapté ses outils.

On note aussi l’aboutissement d’un projet lancé en 2022 pour adopter une nouvelle organisation interne, apte à gérer les nouveaux défis. Il a débouché en début d’année 2025 sur la création de la mission Contrôles et Supervision, rattachée directement au directeur de l’ANSSI. Elle contrôlera la conformité des activités d’importance vitale, au règlement eIDAS (identité numérique) ou encore au règlement sur la cybersécurité (CSA). Ce sera aussi à elle de préparer les mesures correctrices qui seraient à prendre par les entités concernées par les nouveaux textes.

Coopération et action collective

On ne reviendra pas en détail sur les Jeux olympiques et paralympiques de l’année dernière, considérés par l’ANSSI comme un très grand succès. Le long travail préparatoire avait payé, comme l’indiquait déjà l’agence l’année dernière. « Comme pour nos athlètes olympiques, la cybersécurité des Jeux olympiques et paralympiques s’est préparée sur le temps long, bien avant le coup d’envoi », résume Julien Garcin, chargé de mission gouvernance.

• Bilan des JOP 2024 par l’ANSSI : 465 signalements et 83 incidents de cybersécurité

L’ANSSI revient surtout dans son rapport sur sa place centrale, la nécessité de la coopération et le succès d’une approche collective. L’agence se trouve en effet au cœur d’un grand écosystème mettant en présence des acteurs politiques (dont le gouvernement et le Parlement), institutionnels (ministères, autorités, collectivités, organismes de normalisation…), tous ceux de la cyberdéfense (dont les CSIRT et les forces de l’ordre), la communauté scientifique et technique, l’industrie de la cybersécurité et enfin les partenaires internationaux (dont l’ENISA européenne et l’OTAN).

L’anticipation des prochaines menaces

L’activité cybersécurité de l’ANSSI a été particulièrement intense en 2024. Ses capacités opérationnelles sont en pleine mutation, poussées par le besoin de s’adapter aux nouveaux cadres, mais également par la Loi de Programmation Militaire 2024 - 2030. Les JOP 2024 étaient d’ailleurs la première grande épreuve depuis le vote de cette dernière en 2023.

Le reste de l’année a vu tous les indicateurs décoller. L’ANSSI indique ainsi avoir traité 1 361 incidents de sécurité, soit 18 % de plus qu’en 2023. 4 386 évènements de sécurité ont été rapportés, soit 15 % de plus. L’ANSSI a également reçu 59 191 rapports d’audits automatisés, une progression de 56 %. 1 696 personnes ont été formées au CFSSI (Centre de formation à la sécurité des systèmes d’information) et 117 856 attestations SecNumacadémie ont été délivrées (le premier MOOC de l’ANSSI, lancé en 2022), une progression de 21 %. Pour cette année, le budget de l’agence était de 29,6 millions d’euros, hors masse salariale.

Si 2024 est qualifiée « d’exceptionnelle » par Vincent Strubel, l’ANSSI planche aussi sur la suite, en particulier quatre grandes verticales de réflexion et de recherche. L’IA d’abord et son rapport à la sécurité, qu’elle l’épaule ou qu’elle l’impacte. L’ANSSI a d’ailleurs publié l’année dernière ses recommandations pour l’IA générative.

La cryptographie post-quantique dans le collimateur

Autre « gros morceau », la cryptographie post-quantique (PQC). Comme le rappelle l’agence, « la menace d’attaques rétroactives (dites store now, decrypt later) nécessite une prise en compte de ce risque dès aujourd’hui ». La problématique n’a rien de nouveau et ne concerne pas que le quantique, on en parlait déjà il y a… plus de 10 ans. Nous avions expliqué le fonctionnement de cette cryptographie et étions revenu sur l’offre existante, jugée « très immature » par l’ANSSI.

Son avis étant connu, elle a poursuivi l’année dernière un travail sur deux axes : garantir la disponibilité d’une offre plus adaptée (intégrant notamment des algorithmes résistants) et accompagner la migration des systèmes chez les bénéficiaires de l’agence.

Enfin, les deux autres axes concernent la sécurité du cloud (avec la promotion de SecNumCloud bien sûr) et la Data-Centric Security (DCS). Celle-ci est explorée avec Inria et se penche sur l’approche visant à sécuriser la donnée elle-même, où qu’elle se trouve. Le partenariat doit notamment définir les « mécanismes cryptographiques répondant aux exigences de sécurisation de ces nouvelles architectures ».

Notion, connue pour son application à tout faire dans la prise de notes et le formatage des informations, lance une nouvelle application, en bêta depuis longtemps : Notion Mail. Limité pour l’instant à Gmail, l’éditeur met en avant les capacités d’organisation de son application et la possibilité de configurer le client comme on le souhaite.

Notion Mail met l’accent sur la personnalisation et l’automatisation. Son système d’étiquetage permet d’apposer automatiquement des labels sur les courriels, en fonction de ce que l’on a indiqué précédemment dans Notion AI. Par exemple : « Classe tous les courriers de mon agence immobilière comme importants ». Les e-mails concernés sont alors dument étiquetés.

La boite de réception peut également être divisée en vues, chacune représente un intérêt particulier. Un label peut aussi constituer une vue. Une idée intéressante et qui évite de forcer les utilisateurs à tabler sur trois ou quatre catégories imposées, comme Apple l’a fait dans Mail avec les dernières versions d’iOS et macOS.

Notion Mail propose d’autres fonctions, comme la possibilité d’enregistrer des modèles d’e-mails à partir de courriers fréquemment envoyés pour ne pas avoir à les réécrire. Les disponibilités peuvent aussi être partagées via l’intégration avec Notion Calendar. Notion AI peut bien sûr être utilisé pour aider à la rédaction et on retrouve toutes les commandes habituelles, accessibles via le raccourci clavier « / ».

Malgré une assez longue phase de test, Notion Mail est pour l’instant disponible sur peu de plateformes : web et macOS. Une version iOS est prévue pour « bientôt », sans précision. À TechCrunch, l’éditeur a confirmé vouloir se rendre compatible avec d’autres services e-mail et travailler à pouvoir réunir plusieurs boites de réception en une seule vue.

L’utilisation de Notion Mail reste gratuite, comme les autres services de Notion, avec des limitations mensuelles pour Notion AI. Elles disparaissent avec l’abonnement spécifique à cette fonction (détachés des formules habituelles), qui débute à 7,50 euros par mois et par personne.

22’, VLOP l’Arcom

En mars, l’Arcom demandait à Cloudflare de bloquer l’accès à Camschat, un site de contenus pornographiques. La plateforme a contesté cette décision devant le tribunal administratif de Paris. Ce dernier a rejeté la demande et répond au passage à « plusieurs questions de principe » sur le sujet.

En avril 2024, la loi SREN (Sécuriser et réguler l’espace numérique) était définitivement adopté. Le projet de loi avait été déposé en mai 2023, avec une procédure accélérée. Afin de s’accorder avec le droit européen, le texte a été revu avec précaution et corrigé durant sa navette parlementaire.

• Loi SREN adoptée : comment la France va sécuriser et réguler l’espace numérique

Un des axes du texte est de « protéger les plus jeunes des dangers d’Internet », notamment des contenus pornographiques. Ainsi, le texte permet à l’Arcom, après mise en demeure, d’« ordonner sous le contrôle a posteriori du juge administratif qui devra statuer rapidement : le blocage des sites pornographiques qui ne contrôlent pas l’âge de leurs utilisateurs ; leur déréférencement des moteurs de recherche sous 48 heures », explique Vie-Publique.

En 2023, l’Arcom tirait la sonnette d’alarme : « L’exposition des mineurs aux contenus pornographiques est en forte progression sur internet. Chaque mois, 2,3 millions de mineurs fréquentent des sites pornographiques, un chiffre en croissance rapide au cours des dernières années ».

« Le droit de l’Union européenne prime sur le droit national »

Mais attention, comme nous l’avions déjà expliqué l’année dernière, cela ne concerne que les sites basés en France et en dehors de l’Europe. Des sites domiciliés dans un autre pays de l’Union européenne pourront aussi être concernés, mais uniquement via un arrêté. C’est la même pirouette pour les mesures sur le cloud (encadrement des frais de transfert de données et de migration, plafonnement à un an des crédits cloud, obligation pour les services cloud d’être interopérables…).

En effet, la France (comme n’importe quel pays de l’Union) ne peut pas entrer en concurrence avec les textes européens : « le droit de l’Union européenne prime sur le droit national, y compris les dispositions constitutionnelles », rappelle Vie Publique. Il en est de même pour les arrêts de la Cour de justice de l’Union européenne qui sont contraignants pour toutes les autorités des États membres.

Des demandes de blocages de sites pornos

C’est ainsi que, en octobre dernier, la cour d’appel de Paris ordonnait « le blocage de plusieurs sites pornographiques extra-européens en raison de l’absence de contrôle de l’âge des utilisateurs, mais a accordé un sursis aux plateformes hébergées dans l’Union européenne ».

• La justice valide le blocage de quatre sites porno non établis en Europe, du répit pour cinq autres

Cette année, l’Arcom a ordonné à Cloudflare de bloquer l’accès au site Camschat, un site qui propose des contenus pornographiques, dans un délai de 48 h. Cloudflare a contesté la décision. Pour la première fois, le tribunal administratif de Paris a ainsi été saisi d’un « recours contre une décision de l’Arcom », comme l’a repéré l’avocat spécialiste du numérique Alexandre Archambault.

Le quarté du jour : 91.134.78.244

Dans sa décision, le tribunal commence par rappeler les doléances de Cloudflare : « à titre principal, d’annuler la décision du 6 mars 2025 par laquelle le président de l’autorité de régulation de la communication audiovisuelle et numérique (Arcom) lui a notifié l’adresse électronique https://camschat.net/ afin qu’elle empêche l’accès à cette adresse dans un délai de quarante-huit heures pour une durée de deux ans et l’informe que les utilisateurs souhaitant accéder à l’adresse sont redirigés vers une page d’information de l’Arcom accessible à l’adresse 91.134.78.244 ».

Cette IP (gérée par OVHcloud) est associée au nom de domaine protectiondesmineurs.arcom.fr. On arrive sur une page expliquant que « le site pornographique auquel vous avez tenté d’accéder fait l’objet d’une décision de blocage ».

Compatibilité entre la loi française et le DSA européen

Dans un communiqué, le tribunal explique qu’il a dû se « prononcer sur plusieurs questions de principe ». La première était « la compatibilité de la loi française avec le règlement européen sur les services numériques », alias le DSA. La question peut être résumée ainsi : est-ce que « le législateur national pouvait fixer des règles complémentaires à celles issues du droit de l’Union » ?

La réponse est oui pour le tribunal administratif. Bien évidemment, il s’explique : « Le tribunal a relevé que le règlement européen procède à une harmonisation complète du régime de protection des mineurs s’agissant des fournisseurs de plateformes en ligne normalement accessibles aux mineurs […] et de « très grandes plateformes en ligne » » (ou VLOP), c’est-à-dire celle avec plus de 45 millions d’utilisateurs mensuels actifs ou « qui est désignée comme telle par une décision de la Commission européenne ».

Camschat n’est ni une très grande plateforme ni accessible aux mineurs

Sur ces deux types de plateformes (sans condition d’âge ou les VLOP), « les autorités nationales sont en principe dessaisies de leur compétence normative », précise le tribunal. Mais, il reste un trou dans la raquette, comme l’indique le tribunal : « le règlement européen ne procède pas à une telle harmonisation s’agissant des autres plateformes qui ne relèvent pas de ces deux catégories, à l’instar de Camschat ».

Pour simplifier, le site ne dépasse pas le seuil pour être qualifié de VLOP et ne doit pas être accessible aux mineurs (puisqu’il propose des contenus pornographiques). Le Tribunal l’explique d’ailleurs dans sa décision :

« Il ressort des pièces du dossier et n’est pas contesté par la société Cloudflare que le fournisseur de la plateforme de partage de vidéos proposant le service « Camschat », dont il est constant qu’il contient des contenus pornographiques licites, n’est pas une plateforme normalement accessible aux mineurs ou une très grande plateforme au sens du règlement du 19 octobre 2022 ».

Puisque le règlement européen ne s’applique pas dans ce genre et de situation, et afin de « protéger les mineurs contre les contenus proposés par celles-ci, les États membres peuvent édicter des mesures complémentaires à celles du règlement européen ». Pour le moment, rien à redire donc sur la décision de l’Arcom.

Une « atteinte proportionnée »

La deuxième question de principe concerne la territorialité de l’injonction : « Le tribunal a considéré que même si l’injonction peut viser des plateformes ayant leur siège hors de France, seuls les mineurs établis sur le territoire français doivent être empêchés d’accéder à ces contenus en ligne ».

Enfin, le tribunal administratif a « jugé que le dispositif de contrôle par l’Arcom porte une atteinte proportionnée aux libertés d’entreprise et d’expression ». L’objectif d’empêcher l’accès des mineurs à des contenus pornographiques est légitime et « aucun dispositif moins attentatoire à l’exercice des droits ne permet d’atteindre cet objectif ».

En conséquence, le tribunal administratif décide que la « requête de la société Cloudflare est rejetée ».

Au deuxième jour du procès de Meta dans lequel la FTC accuse l’entreprise d’avoir voulu créer un monopole, un email de Mark Zuckerberg montre qu’il envisageait la vente d’Instagram, précisément pour éviter ce genre d’allégation. Il a expliqué l’achat initial de l’application par le fait qu’elle avait une meilleure partie photo. Entre autres idées pour doper le développement de Facebook, il a également évoqué « l’idée folle » de remettre à zéro les listes d’amis.

Mardi, Mark Zuckerberg a expliqué la stratégie de son entreprise depuis les années 2010 pour donner le contexte des rachats successifs d’Instagram en 2012 et de WhatsApp en 2014. Ceux-ci constituent les exemples les plus saillants de l’accusation de la FTC visant « une stratégie systématique d’éliminer les menaces qui pèsent sur son monopole ».

Le procès opposant Meta et la FTC a commencé cette semaine. Rappelons que l’agence a déposé une plainte en 2020 accusant l’entreprise de Mark Zuckerberg de « maintenir illégalement son monopole ».

Comme nous l’avons déjà rappelé, l’enjeu de ce procès est de taille puisque Meta pourrait être obligée de se séparer d’Instagram qui lui procure la moitié de son chiffre d’affaires. De l’autre côté, la crédibilité de la FTC pourrait être ébranlée si le tribunal ne se range pas à ses côtés.

• Meta face à la justice pour répondre de l’achat d’Instagram et WhatsApp

Une revente d’Instagram envisagée en 2018 pour plusieurs raisons

Mais un email qu’il a lui-même envoyé pourrait mettre Mark Zuckerberg dans l’embarras. En effet, l’avocat de la FTC a cité un mémo qu’il a envoyé en 2018 à son équipe, explique le Washington Post. Il y évoquait une éventuelle scission avec Instagram.

Son premier argument était la croissance d’Instagram, vue comme susceptible de cannibaliser celle de Facebook. Il se demandait si le départ des utilisateurs de Facebook rejoignant Instagram pourrait éventuellement provoquer un « effondrement du réseau » de Facebook, à l’époque le « produit le plus rentable ».

Mais il appuyait son point de vue d’un second argument : la pression des autorités de régulation : « alors que les appels au démantèlement des grandes entreprises technologiques se multiplient, il y a une chance non négligeable que nous soyons obligés de nous séparer d’Instagram et peut-être de WhatsApp dans les 5 à 10 prochaines années ».

« Réseau social personnel », une catégorie de marché débattue

Le CEO de Meta a dû aussi expliquer le choix d’acheter Instagram en 2012. L’avocat de la FTC lui a demandé s’il avait pensé que la croissance rapide d’Instagram aurait pu être destructive pour Facebook, explique Reuters. « Nous faisions une analyse « créer ou acheter » alors que nous étions en train de créer une application photo », a répondu Mark Zuckerberg, ajoutant « je pensais qu’Instagram était meilleur dans ce domaine, et j’ai donc pensé qu’il valait mieux l’acheter ».

Mais les avocats de Meta ont fait valoir que ses intentions passées n’étaient pas pertinentes car la FTC se baserait sur une mauvaise définition pour assoir son accusation de position dominante. L’autorité considère que Meta détient un monopole sur ce qu’elle appelle les « réseaux sociaux personnels » et définit ces derniers comme des applications permettant aux gens d’entretenir des relations avec leurs amis et famille. Pour l’accusation, le plus gros concurrent de Meta est Snapchat.

Du côté de Meta, la vision du marché est bien plus large et inclut TikTok, YouTube ou X. Interrogé par ses avocats, Mark Zuckerberg a affirmé n’avoir pas entendu parler du terme « réseau social personnel » avant la plainte de la FTC.

Une idée folle en 2022 : rebooter Facebook

Ce procès est aussi l’occasion de connaitre un peu plus la stratégie mise en place par Facebook (puis Meta) pour rebooster son image et l’utilisation de son réseau social phare. En 2022, dans un email interne à son équipe, explique Business Insider, Mark Zuckerberg a proposé une « idée folle » pour que Facebook récupère son aura : « Une idée potentiellement folle est d’envisager d’effacer les graphs de tout le monde et de les faire recommencer ». En clair, le CEO de Facebook a proposé à son équipe de remettre à zéro les listes d’amis de tous les utilisateurs du réseau social.

Lors de son témoignage, Mark Zuckerberg a affirmé que le réseau avait beaucoup évolué et que son objectif principal n’était plus vraiment de se connecter avec des amis. Cet argument permet aussi à Meta de réfuter le classement de son réseau originel dans la catégorie de « réseau social personnel » évoqué par la FTC.

Un pirate piraté sachant pirater sans son chien est-il un bon pirate ? L’arroseur arrosé a sans doute abusé du rosé pour ne pas avoir changé de version de php.

En juin de l’année dernière, une décision de justice demandait à Cisco (propriétaire d’OpenDNS), Google et CloudFlare de bloquer l’accès à plus d’une centaine de sites. La réponse du résolveur ne s’était pas fait attendre :

« À compter du 28 juin 2024, en raison d’une décision de justice en France rendue en vertu de l’article L.333 – 10 du code du sport français et d’une décision de justice au Portugal rendue en vertu de l’article 210-G(3) du code portugais du droit d’auteur, le service OpenDNS n’est actuellement pas disponible pour les utilisateurs en France et dans certains territoires français et au Portugal. Nous nous excusons pour la gêne occasionnée ».

Cette année, rebelote, comme l’indique le message d’un employé de Cisco sur les forums de la société, et repéré par TorrentFreak : « à compter du 11 avril 2025, suite à une décision de justice belge rendue en vertu des articles XVII.34./1. et suivants du Code of economic law, le service OpenDNS n’est plus accessible aux utilisateurs en Belgique. Nous vous prions de nous excuser pour la gêne occasionnée ».

• [Dossier] Internet, mode d’emploi : de l’URL à l’IP avec le DNS (partie 2)

Aucun détail supplémentaire n’est donné concernant cette « décision de justice », mais le calendrier laisse penser qu’il pourrait s’agir du blocage de plus d’une centaine de sites de streaming et cinq plateformes IPTV. D’autant qu’OpenDNS avait déjà quitté la France et le Portugal pour des raisons similaires.

« DAZN et 12th Player, diffuseurs du football professionnel en Belgique, ont obtenu de la justice belge une opération de chasse contre ces fléaux », expliquait Lalibre.be la semaine passée. « Aux opérateurs télécom (Voo, Orange, Proximus, Telenet…) mais aussi aux fournisseurs de DNS alternatifs – des entreprises comme Cloudflare, Cisco ou Google […] d’empêcher leurs clients de visiter les plateformes incriminées », précisait Lesoir.be.

Nos confrères ajoutaient que l’ordonnance (qu’ils avaient consultés) prévoit une astreinte de 100 000 euros par jour de non-conformité contre les fournisseurs de DNS alternatifs.

• DAZN et la Ligue 1 : du « juste prix » au piratage en masse

Comme le rappelle Alexandre Archambault sur X, cette décision « n’est pas sans poser quelques petits problèmes de sécurité / continuité de service, en particulier chez des fabricants d’objets connectés qui ont eu la bonne idée de coder en dur une unique solution DNS basée sur #OpenDNS, sans prévoir un repli sur une solution alternative ». La problématique s’était déjà posée lors de son départ de la France.

• Contraint de bloquer des noms de domaine, OpenDNS décide de quitter la France

Aux États-Unis, la Bibliothèque du Congrès des États-Unis dispose d’une collection un peu particulière : le Registre national des enregistrements (National Recording Registry). Créée avec le National Recording Preservation Act, cette collection vise à sauvegarder le patrimoine sonore américain. 25 titres sont ainsi ajoutés chaque année depuis le début des années 2000.

La fournée 2025 a été dévoilée il y a quelques jours avec des artistes de renom et quelques surprises : Elton John, Chicago, Broadway’s Hamilton, Mary J. Blige, Amy Winehouse, Minecraft et Microsoft, comme le rapporte MacG.

Du côté de Microsoft, il s’agit du son de démarrage de Windows 95, sorti en 1995. Nous devons ce jingle The Microsoft Sound à Brian Eno. Dans un entretien à la BBC, le compositeur expliquait l’avoir « écrit sur un Mac », comme le rapportait Neowin. « Je n’ai jamais utilisé de PC de ma vie, je ne les aime pas », ajoutait-il. Ambiance…

• L’histoire de Windows : de MS-DOS à NT 3.x
• L’histoire de Windows : l’attente fut longue avant Windows XP

« Eno a livré 84 éléments sonores aux concepteurs de Microsoft, qui ont finalement sélectionné un son presque deux fois plus long que prévu. Néanmoins, selon eux, il transmettait le sentiment d’accueil, d’espoir et de progrès qu’ils avaient imaginé », explique le Registre national des enregistrements. Ce jingle venait après un autre son iconique de Microsoft : le fameux tada.wav de Windows 3.x

L’autre entrée marquante de 2025 pour les geeks concerne donc « Minecraft : Volume Alpha ». La bande-son de 2011 a été « créée par le producteur allemand Daniel Rosenfeld sous son alias, C418 ». « La douce partition électronique se prête parfaitement à la conception du jeu », explique le Registre national des enregistrements.

Dans iOS 18.1, Apple avait ajouté un comportement non documenté, mais rapidement relevé : les appareils redémarrent automatiquement au bout de trois jours d’inactivité après le premier déverrouillage. Ce délai était de sept jours dans iOS 18.0.

Ce même comportement est désormais déployé depuis lundi sur tous les appareils Android recevant encore des mises à jour des Play Services, a noté 9to5Google. Cette version, estampillée 25.14, peut prendre plusieurs jours pour être installée sur l’ensemble des appareils concernés. Le changement est en outre décrit dans les notes de version : « Avec cette fonctionnalité, votre appareil redémarre automatiquement s’il est verrouillé pendant 3 jours consécutifs ».

Pourquoi ce changement ? Comme nous l’avions expliqué, le monde de la sécurité sépare bien les états BFU (Before First Unlock, avant le premier déverrouillage) et AFU (After First Unlock, après le premier déverrouillage). En BFU, par exemple après un redémarrage de l’appareil, de nombreuses données sont encore chiffrées et donc difficilement accessibles. En AFU, une partie est déchiffrée et devient accessible avec des outils ou en exploitant des failles de sécurité.

Avec l’état BFU, la sécurité est donc plus importante. On ne peut pas utiliser la biométrie ou la géolocalisation. Il faut obligatoirement le code PIN, schéma ou autre mécanisme basé sur la mémoire.

L’idée, bien sûr, est de retourner plus vite à cet état quand le smartphone (ou la tablette) se retrouve dans un contexte particulier : l’appareil a été déverrouillé une première fois, mais est verrouillé depuis trois jours, sans activité. Le redémarrage automatique permet alors de repasser en état BFU, dans le cas où l’appareil serait perdu ou tombé entre de mauvaises mains.

Depuis la semaine dernière, le Maroc est touché par les conséquences d’une cyberattaque de grande ampleur. Celle-ci a visé la Caisse de Sécurité sociale du pays. Sur une chaine Telegram maintenant désactivée, des pirates ont notamment diffusé des attestations de salaires de 2 millions d’affiliés. On y trouve celle du secrétaire particulier de Mohammed VI.

La semaine dernière, le média marocain Le Desk expliquait qu’une attaque « d’assez grande envergure » avait visé le ministère de l’Emploi « mais aussi et surtout, la Caisse nationale de sécurité sociale (CNSS) ».

Mardi 8 avril, via une chaine Telegram nommée Jabaroot DZ, des pirates se réclamant de l’Algérie ont diffusé des données provenant de la CNSS. Ces informations concernent les salariés de nombreuses entreprises et entités du pays comme le Fonds Mohammed VI pour l’Investissement, le Crédit du Maroc, la Banque centrale populaire. Mais elles touchent aussi des entreprises de presse, ainsi que Siger, la holding personnelle du roi.

Finalement, Telegram a supprimé la chaine, comme l’a confirmé au Monde le réseau social, « dès qu’elle a été découverte » par ses modérateurs.

Le montant du salaire du secrétaire particulier du roi dans la nature

Mais, entre temps, « les listes publiées permettent […] de lever le voile sur les salaires déclarés de plusieurs personnalités, dont par exemple le secrétaire particulier du roi, Mohammed Mounir El Majidi », détaille Le Desk. Près de 500 000 entreprises sont touchées, explique le média marocain TelQuel. Le média ajoute que les pirates algériens auraient réagi au piratage par des marocains du compte X de l’agence de presse algérienne APS.

La CNSS a bien reconnu le 9 avril que son système informatique a fait l’objet d’une série d’attaques, explique le Desk. Mais elle a affirmé que le caractère de certains documents fuités sur les réseaux sociaux était « souvent faux, inexact ou tronqué ». La caisse aurait actionné, « dès l’observation de la fuite des données […] des mesures correctives qui ont permis de contenir le chemin utilisé et de renforcer les infrastructures ».

La Caisse a annoncé ce week-end suspendre certains de ses services et demande à ses adhérents de suivre quelques recommandations comme changer son mot de passe et se méfier des messages et appels suspects prétendant provenir de la CNSS.

Un torrent qui bouscule la société marocaine

Mais TelQuel constate : « ce n’est plus une fuite, c’est un torrent ». Le Monde explique que cette affaire est l’occasion pour certains de pointer un pays « inégalitaire » alors que d’autres soupçonnent que les entreprises sous-déclarent. Le média français explique que ce n’est pas seulement la révélation des salaires de certains qui provoque des secousses. Par exemple, cette fuite révèle la liste des personnes employées par le bureau de liaison israélien à Rabat. Ceux-ci ont subi des menaces suite à cette révélation.

Selon une enquête du Desk publiée vendredi 11 avril, l’infrastructure de cybersécurité de la CNSS est « le produit d’un véritable mille-feuilles de missions effectuées par divers prestataires ». Et le journal marocain pointe les responsabilités du leader du secteur, Dataprotect. La responsabilité de la Direction générale de la sécurité des systèmes d’information (DGSSI) du pays est aussi en cause. Selon les informations du Monde, elle avait classé la CNSS parmi les infrastructures d’intérêt vital.

En 2020, le journal Yabiladi avait alerté la CNSS à propos d’une « inquiétante faille de sécurité ». Il avait déjà constaté que les données personnelles des assurés étaient accessibles. La caisse avait, à l’époque, assuré qu’elle avait été identifiée et corrigée.

La bêta avait été mise en ligne au début de l’année, en février. TrueNAS « Fangtooth » est un peu particulière puisque cette mouture unifie les versions Core et Scale, pour former TrueNAS Community Edition (CE). TrueNAS 25.04 est à la fois une mise à jour pour Scale (24.10 Electric Eel) et Core 13.x. Nous avons déjà expliqué ce changement dans un précédent article.

• TrueNAS : l’unification est en marche, la version 25.04 (Fangtooth) disponible en bêta

Avec TrueNAS 25.04, les changements sont importants par rapport à TrueNAS 24.10 : « plus de 1 000 améliorations, environ 160 corrections de bugs et diverses améliorations ». Les notes de version se trouvent par ici. Signalons notamment le passage au noyau Linux 6.12 et à OpenZFS 2.3.

Malgré la mise en ligne de la version finale de TrueNAS 25.04, l’équipe reste prudente : « Si vous déployez un nouveau système TrueNAS, nous vous recommandons TrueNAS 24.10.2.1 pour sa maturité, sa large prise en charge matérielle, son catalogue d’applications étendu, ses meilleures performances et son interface utilisateur web améliorée ».

Les développeurs ajoutent que « TrueNAS 25.04.0 complète ce système et est recommandé uniquement pour les Early adopters. Des articles ultérieurs détailleront des fonctionnalités spécifiques et des mesures de performances », promet l’équipe.

• Télécharger TrueNAS 25.04

Microsoft prévient : les domaines envoyant plus de 5 000 e-mails par jour vont devoir s’assurer de leur compatibilité avec SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting and Conformance). Objectif, s’assurer que toutes les pratiques vertueuses en matière de courrier électronique sont respectées.

Voici un bref rappel de ce que sont ces trois protocoles :

• SPF : vérifie la légitimité du domaine d’envoi en garantissant que seules les adresses IP et les hôtes désignés sont inclus dans l’enregistrement DNS du domaine
• DKIM : valide l’authenticité et l’intégrité d’un courriel par une signature électronique
• DMARC : permet aux expéditeurs de définir comment gérer les courriels non authentifiés et génère des rapports sur les résultats de l’authentification du courrier électronique

• Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?

Les expéditeurs concernés ont peu de temps pour s’y mettre si ce n’est pas encore fait, car le changement sera effectif au 5 mai. À compter de cette date, les courriels ne respectant pas ces trois technologies seront tous envoyés dans le dossier Indésirable.

Ce n’est pas tout, car Microsoft fournit plusieurs recommandations. Il ne s’agit donc pas d’obligations, du moins pour l’instant. L’éditeur demande ainsi que les adresses d’expéditeur P2 (primaire) soient conformes, que des liens de désabonnement soient fournis, d’entretenir un niveau d’hygiène sur les listes (suppression régulière des adresses invalides) et d’afficher des pratiques d’envoi transparentes, avec des objets précis, sans en-têtes trompeurs, et avec le consentement des utilisateurs.

Microsoft ajoute se réserver le droit de prendre des « mesures négatives, y compris le filtrage ou le blocage, contre les expéditeurs non conformes ».

Rappelons que les grandes plateformes prennent régulièrement ce type de décision pour monter d’un cran dans la lutte contre le spam. À l’automne 2023 par exemple, Gmail avait annoncé de nouvelles exigences pour l’authentification des e-mails, là aussi pour les expéditeurs dépassant les 5 000 courriels par jour.

• Sécurité des emails : trop peu de « .fr » sont protégés, quid des quatre FAI nationaux ?

Trollface de circonstance

4Chan est inaccessible depuis plusieurs heures. Des pirates revendiquent une attaque, avec la récupération de l’intégralité des données (code source et bases de données), mais impossible à confirmer pour l’instant. De nombreuses captures d’écran ont été mises en ligne.

4Chan est un forum créé en 2003 sur lequel on trouve un peu de tout et beaucoup de n’importe quoi, lui valant parfois, chez ses détracteurs, le surnom de « poubelle de l’Internet ». Il est connu pour ne pas vraiment appliquer de modération et héberger des contenus extrêmes, à plusieurs points de vue.

4Chan inaccessible

Depuis les environs de 16 h, le forum est inaccessible, comme le confirme Downdetector avec de multiples signalements. Encore maintenant, le site a du mal à répondre et ne s’affiche pas correctement, d’après nos constatations. Parfois, nous avons aussi un « Connection timed out ».

Sur les réseaux sociaux, la piste du piratage est privilégiée, avec une possible très importante fuite de données.

4chan, the internet’s litter box, got hacked. https://infosec.exchange/@rebane2001/114341178486935903

[image or embed]

— Kevin Beaumont (@GossiTheDog.cyberplace.social.ap.brid.gy) 15 avril 2025 à 11:22

Une guerre des forums avec Soyjak ?

« 4chan a été piraté, doxxé et exposé – par nul autre que la communauté même qu’il avait autrefois bannie », affirme SoyjakSOL sur X. « La personne qui les a piratés a affirmé avoir vidé l’intégralité de la base de données », ajoute Yushe, avec des captures d’écran.

Le groupe Soyjak.Party serait à l’origine du piratage, selon un message publié sur la page d’accueil du forum, mais qui n’est plus disponible actuellement. Et ne comptez pas sur la Wayback Machine pour avoir des sauvegardes du site, cette URL a été exclue.

Soyjak.Party est un groupe issu de 4Chan, banni il y a quelques années. À l’occasion du piratage, l’imageboard dissident aurait d’ailleurs réouvert /qa/ sur 4Chan. Sur leur forum, on retrouve de nombreuses captures d’écran qui proviendraient du piratage. Il y a également des messages que nous avons consultés :

« Ce soir a été une soirée très spéciale pour beaucoup d’entre nous […] Un pirate informatique présent dans le système de 4cuck [le nom donné à 4Chan par les dissidents, ndlr] depuis plus d’un an a exécuté la véritable opération soyclipse, rouvrant /qa/, exposant les informations personnelles de divers membres du personnel de 4cuck et divulguant du code du site ».

Manque de mises à jour ?

La cause du piratage ? « Il est donc très probable que 4chan ait été piraté parce qu’ils fonctionnaient sur une version extrêmement ancienne de PHP, avec de nombreuses vulnérabilités et qui utilise une fonction obsolète pour interagir avec sa base de données MySQL », ajoute Yushe.

L’intégralité du code source et de la base de données aurait été récupérée. Des adresses IP, mots de passe et IRC des « jannies » (modérateurs, ndlr) auraient aussi été mis en ligne par les pirates.

THEY LEAKED ALL THE EMAILS OF THE JANNIES AAAAAAAAAAAAAAAAAAAAAAA THIS IS THE BIGGEST HAPPENING

— Priniz (@Priniz_twt) April 15, 2025

Des informations à confirmer…

La seule chose sûre pour le moment, c’est que rien n’est confirmé (hormis la panne). 4Chan n’a pas fait de commentaire sur cette affaire . Comme toujours en pareille situation, et d’autant plus avec un site comme 4Chan, de nombreuses informations circulent et il faut bien faire le tri.

4Chan existe depuis 2003 et s’est fait largement connaitre du grand public comme vecteur de nombreux mèmes et phénomènes (des lolcats à Anonymous en passant par le rickrolling et Pepe the Frog, entre autres), puis en 2014 avec l’affaire du Gamergate, et sa bascule vers l’alt-right.

• Dix ans après le Gamergate, où en est-on ?

On attend maintenant la réponse d’AMD

Trois nouvelles cartes NVIDIA dans la série 50 sont annoncées : les RTX 5060 Ti avec 8 ou 16 Go qui seront disponibles demain à partir de 399 euros, ainsi que la RTX 5060 à partir de 299 dollars. Blackwell est aux commandes, ainsi que DLSS 4 qui permet d’augmenter les performances grâce à l’IA (par rapport aux générations précédentes).

En janvier, NVIDIA profitait du CES de Las Vegas pour lancer sa nouvelle gamme de cartes graphiques grand public : les GeForce RTX de la série 50, de la RTX 5070 à la RTX 5090. Mi-mars, le fabricant ajustait ses prix, avec un ticket d’entrée à 629 euros pour la RTX 5070.

• NVIDIA annonce ses GeForce RTX 50 dès 649 euros : « + 1 » et « x2 », en résumé

Deux nouvelles références en Blackwell, avec DLSS 4

Le mois dernier, les caractéristiques techniques de quatre nouvelles cartes fuitaient sur Internet. C’est désormais confirmé pour trois d’entre elles : les RTX 5060, en 8 et 16 Go, et la 5060 Ti, avec évidemment Blackwell aux commandes. On y retrouve donc toutes les évolutions inhérentes à cette génération : 5e gen de Tensor, 4e Gen de Ray Tracing, DLSS 4, etc.

Comme sur la RTX 5070, les trois nouvelles cartes n’ont qu’un seul encodeur NVIDIA (NVENC) de 9e génération et un décodeur NVDEC de 6e génération.

8 ou 16 Go de GDDR7 pour la GeForce RTX 5060 Ti

Comme on peut le voir sur le tableau ci-dessus, la RTX 5060 Ti existe en deux versions (c’était déjà le cas de la RTX 4060 Ti), avec 8 ou 16 Go de GDDR7 et un bus sur 128 bits dans tous les cas. Il faudra donc être prudent au moment de choisir sa carte. Pour le reste, pas de surprise : 4 608 cœurs CUDA sur la RTX 5060 Ti et 3 840 sur la RTX 5060 (uniquement proposée avec 8 Go de GDDR7).

Les fréquences oscillent entre 2,28 GHz en IDLE et 2,57 GHz en Boost selon les recommandations NVIDIA. Nul doute que les fabricants vont s’en donner à cœur joie à ce niveau là.

NVIDIA annonce une consommation maximale de 180 watts pour la RTX 5060 Ti et 145 watts pour la RTX 5060. Les trois cartes demandent un connecteur PCIe à 8 broches ou un câble PCIe Gen 5 de 300 watts pour l’alimentation. Une alimentation de respectivement 600 et 550 watts est recommandée.

Forte hausse des performances, merci DLSS 4

Bien évidemment, NVIDIA annonce une forte hausse des performances dans les jeux, poussée par DLSS 4. Les performances de la RTX 5060 Ti font, en théorie, presque x3 à x6 par rapport à la RTX 3060 Ti et seraient doublées par rapport à la GeForce RTX 4060 Ti.

C’est un peu la même chose avec la RTX 5060 par rapport aux RTX 3060 et RTX 4060. Dans tous les cas, NVIDIA peut certainement dire un grand merci à DLSS 4 et la génération multi-images, une technologie qui n’est pas disponible sur les générations précédentes.

• Les premiers tests de la RTX 5090 sont en ligne, avec une large victoire de… l’IA

RTX 5060 Ti à partir de 399 euros, 299 dollars pour la RTX 5060

La RTX 5060 Ti sera vendue à partir de 399 euros dès demain et il faudra attendre le mois de mai pour la RTX 5060, ce qui explique que son prix public n’ait été évoqué qu’en dollars pour l’instant. Outre-Atlantique les tarifs sont de respectivement 299 dollars pour la RTX 5060, 379 dollars pour la RTX 5060 Ti avec 8 Go et 429 dollars pour celle avec 16 Go.

Des portables en RTX 5060 arrivent

NVIDIA annonce l’arrivée de portables avec une RTX 5060 dès le mois de mai, à partir de 1 099 dollars. Sur cette série de produit, NVIDIA annonce un doublement du nombre de fps (merci encore DLSS 4) et une latence inférieure aux modèles de la génération précédente. Les GPU seront disponibles « dans une large gamme de designs, avec des tailles aussi fines que 14,9 mm ».

Rien n’est précisé pour l’instant concernant une possible RTX 5050 qui avait fuitée en mars, en même temps que les RTX 5060. Il était alors question de 2 560 Cuda Cores avec 8 Go de GDDR6 (contre de la GDDR7 sur le reste des RTX 50) sur 128 bits et TDP de 120 watts.

« Better to buy than compete »

Le procès de Meta s’est ouvert le 14 avril à Washington. L’entreprise est accusée par la FTC d’avoir acheté Instagram et WhatsApp pour étouffer toute concurrence.

Meta a-t-il racheté Instagram et WhatsApp pour tuer toute compétition ? Telle est la thèse défendue ce 14 avril par Daniel Matheson, avocat du gendarme états-unien de la concurrence, la Federal Trade Commission, devant le tribunal de Washington.

Le procès, dont les débats doivent durer deux mois, s’ouvre à la suite d’une plainte initialement déposée en 2020, sous le premier mandat de Donald Trump. D’abord rejetée par le juge James Boasberg car mal argumentée, sa reformulation a été acceptée en janvier 2022, alors que Joe Biden présidait les États-Unis.

Dedans, la FTC accuse Meta d’avoir racheté Instagram en 2012 et WhatsApp en 2014, respectivement pour 1 et 19 milliards de dollars, afin de créer un monopole – la FTC considère d’ailleurs que le montant concédé pour l’achat d’Instagram était surévalué, et de nature à neutraliser un concurrent en pleine ascension.

Enjeux de taille

Meta a beaucoup à perdre dans ce procès, souligne Le Monde : en 2024, grâce à son modèle essentiellement publicitaire, elle réalisait 62 milliards de dollars de bénéfice net après impôts, ce qui représentait 38 % de son chiffre d’affaires. Sa valorisation de l’ordre de 1 380 milliards de dollars en Bourse fait de Mark Zuckerberg le troisième homme le plus riche du monde, derrière Elon Musk et Jeff Bezos.

En 2025, d’après le cabinet Emarketer cité par la BBC, Instagram devrait compter pour plus de la moitié du chiffre d’affaires réalisé par Meta aux États-Unis. Mais si la FTC convainc le juge, la société pourrait être contrainte au démantèlement.

Premier témoin appelé à la barre, son fondateur a été interrogé lundi au sujet d’un mémo de 2011, dans lequel il s’inquiétait des résultats de son application face au nouvel arrivant de partage de photo qu’était Instagram. S’il explique avoir investi dans le produit après son rachat, donc avoir participé à son évolution, la FTC considère qu’il est difficile d’être « plus littéral » que cette vision, énoncée par Zuckerberg en 2008 : « Mieux vaut acheter que rivaliser ». Ce mardi, ce dernier est de nouveau appelé à la barre.

Périmètre de marché et crédibilité de la FTC

Parmi les enjeux à trancher, celui du périmètre de marché à considérer pour établir si Meta est en situation de monopole. Si la FTC cherche à ne considérer que les réseaux sociaux « personnels », c’est-à-dire mettant en relation familles et amis, et dans lesquels elle range Facebook, Instagram, WhatsApp et Snapchat, Meta est en désaccord.

Mark Hansen, l’avocat de l’entreprise, a d’ailleurs utilisé la réaction des internautes au bref blocage de TikTok pour décrire la vitalité du secteur. Au moment de la suspension, le trafic d’Instagram avait bondi de 17 % et celui de Facebook de 20 %. Et l’entreprise de lancer, dans un communiqué : « Les preuves présentées au procès démontreront ce que chaque adolescent de 17 ans sait : Instagram est en concurrence avec TikTok (et YouTube, et X et beaucoup d’autres applications). »

La société s’attaque par ailleurs à la crédibilité de l’institution, précisant que la FTC n’avait pas empêché les rachats à l’époque de leur réalisation. Alors que le gendarme de la concurrence tente d’empêcher l’arrêt de TikTok, après avoir ordonné sa cession à des acteurs états-uniens, Meta avance par ailleurs : « Il est absurde que la FTC cherche à démanteler une grande entreprise américaine alors même qu’elle essaie de sauver l’entreprise chinoise TikTok. »

Le procès se déroule dans un contexte politique tendu, Donald Trump ayant supprimé l’indépendance de plusieurs agences états-uniennes par décret en février. La FTC fait partie des institutions visées, de même que la Fédéral Communications Commission (FCC) et la Securities and Exchange Commission (SEC).

D’après le Wall Street Journal, Mark Zuckerberg a d’ailleurs personnellement rencontré le président des États-Unis pour tenter d’obtenir l’abandon du procès. L’entrepreneur et ses équipes se sont entretenus trois fois avec Donald Trump depuis le début de son mandat, après avoir implémenté d’importants changements de politiques allant dans son sens (suspension de modération, paiement de 25 millions de dollars pour avoir suspendu le compte du président en janvier 2021, etc).

• Comment la justice américaine envisage-t-elle le démantèlement de Google

La différence, pour le meilleur et pour le pire

L’utilité et les performances des services dopés à l’IA d’Apple sont remises en question. La voie d’amélioration des modèles est toute trouvée : leur fournir des données fraiches. Mais les proclamations de l’entreprise sur la vie privée la coincent. Elle explique donc comment elle procède.

L’intelligence artificielle générative chez Apple, ce sont pour l’instant des milliards de dollars et une rentabilité nulle. Non seulement il a fallu s’armer face à la concurrence pour ne pas paraître « has been », mais tout s’est fait dans l’urgence, avec une compatibilité limitée et des résultats moyens. Le bouquet de services Apple Intelligence est globalement peu apprécié, avec en point d’orgue le retard calamiteux du nouveau Siri. Au point qu’aux États-Unis, un recours collectif a été déposé devant un tribunal californien.

• IA : mais que se passe-t-il chez Apple ?

On le sait depuis un moment maintenant, l’une des clés des performances des modèles réside dans les données disponibles. Or, l’approche spécifique d’Apple envers la vie privée la laisse le bec dans l’eau. Ce qui n’aurait pu être initialement qu’un argument marketing a aujourd’hui un impact fort, car l’entreprise est attendue au tournant.

Dans un communiqué hier, elle a donc exposé sa solution : la confidentialité différentielle.

Confidentialité différentielle : quésaco ?

« Apple n’utilise pas les données personnelles privées de ses utilisateurs ni leurs interactions lors de l’entraînement de ses modèles de base et, pour le contenu disponible publiquement sur Internet, nous appliquons des filtres pour supprimer les informations personnellement identifiables telles que les numéros de Sécurité sociale et de carte de crédit », explique Apple dans son billet.

Comment améliorer la pertinence de ses suggestions dans ce cas, surtout dans les outils d’écriture ? Avec un mécanisme déjà utilisé par l’entreprise pour ses Genmoji. Chez les personnes ayant autorisé le partage d’informations sur le compte iCloud, les données de ce dernier sont mélangées avec d’autres, synthétiques.

Le mécanisme de base consiste ainsi à ajouter un « bruit » statistique contrôlé aux données collectées localement sur les appareils des utilisateurs participants avant de les agréger sur les serveurs d’Apple. Ce bruit masque les contributions individuelles, rendant mathématiquement très improbable (voire impossible, selon Apple) de remonter à un utilisateur spécifique ou de découvrir des requêtes uniques ou rares. Apple affirme qu’il faut que des centaines d’utilisateurs utilisent un même terme ou schéma de requête (non unique) pour que celui-ci émerge comme une tendance détectable au niveau agrégé.

Une compréhension du « comment »

Apple dit se servir de ce mécanisme pour connaitre les invites (prompt) populaires, car elles permettent à l’entreprise « d’évaluer les modifications et les améliorations apportées à [ses] modèles en fonction des types d’invites les plus représentatifs de l’engagement réel des utilisateurs ».

L’approche d’Apple consiste à décomposer une requête en fragments. Les appareils participants sont ensuite interrogés au hasard pour savoir si ce fragment a déjà été rencontré. Si c’est le cas, ils répondent avec un signal « bruité », sans association avec l’adresse IP ou le compte iCloud.

Ce mécanisme statistique permet à Apple de savoir essentiellement comment sont utilisées ses fonctions et quelles sont les requêtes les plus fréquentes. Cependant, elle n’est pas suffisante pour du texte.

Pour le texte, c’est plus compliqué

Si cette approche a été suffisante en effet pour les Genmoji, il en va autrement des outils textuels, nettement plus complexes. D’autant que savoir « comment » ne répond pas à la question de l’entrainement des LLM.

Apple indique donc créer de vastes collections de phrases et e-mails synthétiques « dont le sujet ou le style est suffisamment similaire au contenu réel pour nous aider à améliorer nos modèles de résumé ». Pour créer ces données, Apple se sert d’un grand modèle de langage.

La suite est plutôt maline. Apple génère des lots de phrases et e-mails synthétiques pour couvrir autant de sujets courants que possible. Ils doivent être « représentatifs », selon l’entreprise. La société fournit le sujet suivant comme exemple : « Aimeriez-vous jouer au tennis demain à 11h30 ». Chaque e-mail produit ensuite une représentation numérique, pour « capturer » les informations clés de chaque message, comme la langue, le sujet et la longueur.

Après quoi, des lots sont envoyés aux appareils dont les utilisateurs ont choisi de participer à l’analyse des données. Là, un processus local compare les données synthétiques aux données réelles de la machine. Au cours d’une intégration, le processus « décide » quelles données sont les plus proches des informations synthétiques. Plus les correspondances sont nombreuses, plus l’approche statistique fonctionne : Apple peut voir les formules les plus utilisées et peut donc les prédire avec efficacité.

L’entreprise ajoute que les données synthétiques peuvent également faire l’objet d’étapes supplémentaires de curation, par exemple en remplaçant « tennis » par « football », pour observer le résultat. Apple insiste dans tous les cas : le contenu réel ne quitte jamais l’appareil, n’est pas associé à l’adresse IP ni au compte iCloud. Les informations transmises à l’entreprise sont là encore bruitées, toujours avec les mêmes techniques de confidentialité différentielle.

Un choix entre précision et vie privée ?

Si on lit entre les lignes, on peut deviner le message marketing derrière les explications de l’entreprise : nous ne serons peut-être jamais aussi performants que la concurrence en matière d’IA, mais au moins la vie privée est protégée. Au moins, comme on peut le lire dans certains recoins du web, Apple n’a pas prévu d’utiliser les données des e-mails pour entrainer ses modèles.

• Meta va de nouveau entrainer ses IA sur les données des utilisateurs européens

Dans quels cas concrets ces résultats sont-ils ensuite utilisés ? Pour des fonctions désormais classiques comme la reformulation d’un e-mail, le résumé d’un texte, la suggestion de réponses intelligentes, la recherche d’informations contextuelles ou encore la priorisation des notifications. Mais comme on l’a vu au lancement d’Apple Intelligence en Europe, tout ce qui touche à la priorisation ou aux résumés de notification va demander encore du travail. La BBC peut en attester, tant le média britannique a été concerné de près par le problème.

Et le problème ne va sans doute pas être résolu du jour au lendemain. La faille « évidente » de l’approche est qu’elle table sur les personnes ayant activé le partage d’informations sur leurs appareils. La question est posée à la première configuration et est en opt-in. Sur Mac par exemple, elle se retrouve dans Réglages, puis « Confidentialité et sécurité », puis « Analyse et améliorations ». Rien n’est coché par défaut et ces paramètres ont tendance à être oubliés par la suite.

Reste à voir si Apple obtiendra de bons résultats. Jusqu’à présent, l’entrainement sur des données synthétiques exclusivement a été jugé périlleux, avec un risque élevé de développer des hallucinations. Il est probable qu’Apple ait noué des partenariats pour obtenir des données réelles, mais la firme ne s’est jamais exprimée sur ce point.

• L’entrainement sur des données synthétiques, talon d’Achille de l’IA générative

Dans son communiqué transmis par email, la société française spécialisée dans l’informatique quantique rappelle que « Michel Paulin a passé l’essentiel de sa carrière dans le domaine de la Tech et des télécom. En particulier il a auparavant été directeur général d’OVHcloud, de SFR et de Neuf Cegetel ».

• [FAQ] Notre antisèche sur l’informatique quantique

Chez Quandela, il apportera « son expérience et contribuera à enrichir la vision stratégique de l’entreprise ». Depuis son départ d’OVHcloud – il a été remplacé par Benjamin Revcolevschi au poste de DG, que nous avions interviewé – il préside le Comité stratégique de la filière Logiciels et Solutions Numériques de Confiance du Conseil national de l’industrie (CNI), chargée d’élairer et conseiller les pouvoirs publics.

Ce Comité « regroupe des éditeurs de logiciels, qui développent des briques technologiques essentielles à la construction de parcours de confiance, et des fournisseurs de solutions numériques dans les domaines stratégiques du cloud, des offres collaboratives, de l’intelligence artificielle, des technologies quantiques, immersives et du logiciel ».

Depuis 2022, Michel Paulin est aussi membre nommé du conseil d’administration de l’Institut national de recherche en sciences et technologies du numérique (INRIA).

« Ses conseils seront extrêmement utiles au moment où Quandela amorce son développement à l’international et la montée en puissance de la production d’ordinateurs quantiques », explique Niccolo Somaschi, cofondateur et directeur général de Quandela.

Michel Paulin connait bien les machines quantiques de Quandela : il était encore à la tête d’OVHcloud quand l’hébergeur en a acheté une. Sur la photo ci-dessous, on peut d’ailleurs le voir à côté de la machine quantique lors de son inauguration.

• OVHcloud montre son MosaiQ et nous parle de son ordinateur quantique

Entrainement intensif

Après avoir activé l’accès à Meta AI en Europe, l’entreprise de Marc Zuckerberg remet en route l’entrainement de ses IA avec des données des utilisateurs européens de ses réseaux sociaux Facebook, Instagram et Threads. L’opposition est possible via un formulaire. WhatsApp n’est pas concerné.

Après la pause annoncée l’année dernière, Meta vient d’indiquer qu’elle allait de nouveau remettre en place, par défaut, l’utilisation des données de ses utilisateurs situés en Europe. L’entreprise précise que cet entrainement se fera « sur les interactions que les personnes ont avec l’IA de Meta, ainsi que sur le contenu public partagé par des adultes sur les produits Meta ».

L’entreprise avait annoncé le mois dernier avoir finalement décidé de déployer son IA dans ses produits destinés aux utilisateurs européens.

Un formulaire plus clair, promis

Les utilisateurs de Facebook, Instagram et Threads vont recevoir des notifications « dans l’application et par e-mail » précise Meta avec un texte d’explication sur le type de données qui seront utilisées par l’entreprise pour entrainer ses IA. « Ces notifications comprendront également un lien vers un formulaire permettant aux personnes de s’opposer à tout moment à l’utilisation de leurs données de cette manière », explique l’entreprise.

Elle assure avoir fait en sorte que ce formulaire d’objection (opt out) « soit facile à trouver, à lire et à utiliser » et qu’elle honorera « tous les formulaires d’objection que nous avons déjà reçus, ainsi que ceux qui seront soumis ultérieurement ». Meta promet donc que ce nouveau formulaire ne sera pas dissuasif, contrairement à celui que l’entreprise avait déployé l’année dernière lorsqu’elle avait, une première fois, mis en place l’entrainement de ses IA sur les données des utilisateurs européen.

Rappelons que Meta a été contrainte de mettre ce projet en pause, car l’association autrichienne noyb a déposé 11 plaintes contre l’entreprise. La CNIL irlandaise (Data Protection Commission) avait ensuite annoncé que l’entreprise suspendait son projet d’entrainement sur les données européennes. Meta a lancé son modèle Llama 3.1 en excluant son utilisation dans l’Union européenne tant que le terrain juridique n’était pas dégagé.

L’association de Max Schrems considérait que l’entreprise « n’[avait] aucun « intérêt légitime » qui [prévalait] sur les intérêts » des plaignants que noyb accompagne et ne disposait d’ « aucune autre base légale pour traiter des quantités aussi importantes de données à caractère personnel pour des finalités totalement indéterminées ». Elle accusait Meta d’avoir « pris toutes les mesures nécessaires pour dissuader les personnes concernées d’exercer leur droit de choisir ».

Sur ce deuxième point, Meta semble avoir fait un pas pour rendre l’opt-out de ses utilisateurs plus clair et plus simple. Il faudra tout de même vérifier sur pièce.

Meta campe sur ses positions concernant la légalité de son traitement

Sur le premier, l’entreprise considère que son « approche initiale était conforme à [ses] obligations légales » et affirme que l’avis rendu par le Comité européen de la protection des données en décembre confirme cela.

Dans son communiqué en français, Meta commente : « Il est regrettable que cela ait pris près d’un an, mais nous saluons la garantie donnée par l’IDPC (Irish Data Protection Commission) et le Comité européen de la protection des données, qui nous a permis de franchir cette étape ». Une phrase qui n’existe pas dans le communiqué en anglais.

Les autorités sont-elles alignées avec les positions de Meta ?

Interrogé par Next sur cette garantie donnée à Meta et sur la légalité de l’approche initiale de l’entreprise, le CEPD se borne à rappeler que l’opinion qu’elle a publiée en décembre « ne fait aucune déclaration à l’égard des contrôleurs individuels, mais fournit une réponse aux questions posées par l’autorité irlandaise chargée de la protection des données ».

La DPC ne nous a pas encore répondu. Nous ne manquerons pas d’ajouter son commentaire le cas échéant.

L’entreprise semble en tout cas s’appuyer toujours sur l’intérêt légitime comme base légale de cet entrainement. En effet, si elle ne le précise pas explicitement dans son communiqué, Meta affirme que les textes des notifications aux utilisateurs expliqueront « comment cela améliorera l’IA de Meta et l’expérience utilisateur globale ». Elle affirme aussi : « cet entraînement permettra de mieux soutenir des millions de personnes et d’entreprises en Europe, en apprenant à nos modèles d’IA générative à mieux comprendre et refléter leurs cultures, leurs langues et leur histoire ». Et elle n’indique d’ailleurs aucun nouveau changement dans ses conditions d’utilisation.

Reste à savoir si les autorités de protection des données approuveront son interprétation de l’avis du Comité européen de la protection des données rendu public le 18 décembre dernier.

En effet, si Meta affirme que cet avis va dans son sens, la CNIL italienne a récemment infligé 15 millions d’euros d’amende à OpenAI pour avoir, entre autres, utilisé des données personnelles pour entrainer ses modèles utilisés par ChatGPT, en s’appuyant sur le même avis. Dans ce dossier, OpenAI n’avait pas préalablement identifié de base juridique sur laquelle s’appuyer pour ce traitement.

Puis dominer le monde ?

Déjà présente et impliquée dans plusieurs instances européenne et internationale, la CNIL veut renforcer son influence. Elle souhaite se maintenir, au niveau mondial, « à l’avant-garde des développements juridiques, technologiques et économiques liés à la protection des données personnelles ».

La Commission nationale de l’informatique et des libertés a publié sa stratégie européenne et internationale pour les années 2025 à 2028. Elle vient en complément de son plan stratégique national dévoilé au début de l’année. Il était pour rappel axé sur la promotion d’une « intelligence artificielle éthique et respectueuse des droits ».

• 2025 - 2028 : la CNIL prend le dossier de l’IA sous l’angle de la promotion de l’éthique

La Commission affiche franchement ses ambitions dans ce nouveau document : « se positionner pour s’assurer de la protection des données des personnes en France, en Europe et dans le reste du monde ».

Trois axes sont mis en avant sur la question des données personnelles : fluidifier la coopération européenne, promouvoir des standards internationaux élevés en accompagnant l’innovation et la circulation des données, et enfin consolider l’influence européenne et internationale de la CNIL.

« Jouer un rôle de premier plan au niveau européen »

Pour le premier point, la CNIL explique qu’elle « se doit de jouer un rôle de premier plan au niveau européen » et donc « s’impliquer dans l’amélioration de l’efficacité et la fluidification de la coopération
européenne ».

D’autant plus que le contexte géopolitique est tendu et que l’Europe est en pleine phase de renouveau législatif sur le numérique. Ce dernier occupe toujours plus de place numérique et prend même de l’ampleur avec les sujets d’identité numérique et d’IA générative.

Le but ? Permettre l’adoption rapide de positions communes (avis, lignes directrices, bonnes pratiques et sanctions) au sein du CEPD (Comité européen de la protection des données). Ce Comité est un organe de l’Union européenne mis en place par le RGPD. Il dispose du pouvoir d’adopter des « décisions contraignantes pour trancher les différends entre autorités de contrôle ».

La Commission participe aussi à la supervision de plusieurs systèmes : Eurodac (empreintes digitales des demandeurs d’asile), Europol (coopération policière), Eurojust (coopération judiciaire), Schengen (signalement aux frontières), Douanes, Visas.

Étendre son influence à l’international

Sur le deuxième axe (promouvoir des standards internationaux), la CNIL rappelle qu’elle participe déjà aux travaux de plusieurs instances internationales intergouvernementales : Conseil de l’Europe, Organisation de coopération et de développement économiques, Global Privacy Assembly, G7 des autorités de protection de la vie privée, Association francophone des autorités de protection des données personnelles… Elle affirme qu’elle « doit poursuivre son implication dans ces instances ».

Elle veut aussi étendre son influence à d’autres instances internationales de protection des données personnelles, « notamment Global Cross Border Privacy Rules Forum (Global CBPR Forum), l’Association des nations de l’Asie du Sud-Est (ASEAN), la Coopération économique pour l’Asie-Pacifique (APEC)
ou le réseau ibéro-américain de protection des données (RIPD) ».

La Commission précise au passage qu’elle souhaite « maintenir un lien étroit avec le gouvernement français » sur la question de la protection des données.

Rester à l’avant-garde

Enfin, le troisième et dernier axe (influence européenne et internationale) vient en soutien des deux premiers. Il s’agit de maintenir de bonnes relations avec les autres autorités afin de faciliter le partage de sa position et d’obtenir le soutien d’autres parties prenantes : « La doctrine de la CNIL doit être renforcée sur les grands enjeux internationaux de la protection des données personnelles pour susciter l’adhésion ».

Pour garder sa « position pertinente » au niveau international, la CNIL « veut se maintenir à l’avant-garde des développements juridiques, technologiques et économiques liés à la protection des données personnelles ». Elle veut apporter « une réponse dès à présent à l’impact de la mondialisation, des développements technologiques et de la circulation des données personnelles ».

Pour cela, elle doit « consolider sa doctrine en matière de transferts de données » et « anticiper les enjeux internationaux liés aux flux transfrontaliers de données personnelles ».