Les contenus générés par des intelligences artificielles sans réel contrôle continuent d’inonder Internet. Ce phénomène n’épargne évidemment pas les réseaux sociaux et plateformes de streaming. Une étude révèle l’étendue des dégâts sur YouTube.
Plus de 20 % des vidéos recommandées par l’algorithme de YouTube aux nouveaux utilisateurs sont des « AI slop » (ou bouillie d’IA en français), du nom donné à ces contenus bas de gamme générés par intelligence artificielle et conçus pour cumuler les vues afin de les monétiser par la publicité, rapporte The Guardian..
AI Slop sur YouTube : des millions d’abonnés, des milliards de vues
La société de montage vidéo Kapwing a en effet analysé 15 000 chaînes YouTube (les 100 plus populaires de chaque pays), et constaté que 278 ne contenaient que de l’AI slop. Elles avaient accumulé plus de 63 milliards de vues, et combinaient 221 millions d’abonnés, pour des revenus cumulés estimés à 117 millions de dollars par an.
Les chiffres varient en fonction des pays. Plus de 20 millions de personnes sont abonnées aux 8 chaînes d’AI slop espagnoles, 18 millions aux 14 chaînes égyptiennes, et 14,5 millions aux neuf chaînes états-uniennes. Kapwing ne précise pas combien de chaînes françaises figurent dans le Top100 de YouTube, mais indique que la France arrive en 16ᵉ position (sur 20) avec 4 millions d’abonnés.
La France ne figure pas, par contre, dans le classement des pays enregistrant le plus grand nombre de vues, dominé par la Corée du Sud (8,45 milliards de vues, dont plus de 2 milliards par une seule chaîne, lui permettant de générer 4 millions de dollars de revenus par an), suivie par le Pakistan (5,3) et les États-Unis (3,4), l’Espagne y figurant en cinquième position avec 2,5 milliards de vues.
Classements des chaînes YouTube d’AI slop cumulant le plus de vues et de revenus
Kapwing a également créé un nouveau compte YouTube, et constaté que 104 (21 %) des 500 premières vidéos recommandées dans son flux étaient des contenus AI slop. 165 (33 %) des 500 vidéos relevaient de la catégorie « brainrot » (littéralement « pourriture du cerveau » ou « pourriture cérébrale »), qui comprend les contenus AI slop et autres contenus de mauvaise qualité créés dans le but de monétiser l’attention.
Gagner de l’argent avec les pubs et les formations AI slop
« Il y a toute une foule de gens sur Telegram, WhatsApp, Discord et les forums qui échangent des conseils, des idées [et] vendent des cours sur la manière de créer du contenu suffisamment attrayant pour gagner de l’argent », explique au Guardian Max Read, un journaliste qui a beaucoup écrit sur le contenu généré par l’IA.
Nombre d’entre eux viennent de pays anglophones bénéficiant d’une connexion Internet relativement bonne, et où le salaire médian est inférieur à ce qu’ils peuvent gagner sur YouTube précise-t-il : « Il s’agit principalement de pays à revenu intermédiaire comme l’Ukraine, mais aussi de nombreux habitants de l’Inde, du Kenya, du Nigeria et d’un nombre important de Brésiliens ».
À l’instar de ce qui se passe avec les influenceurs et créateurs de contenus, si certains gagnent effectivement leur vie grâce à leurs chaines YouTube, Instagram, Snapchat, TikTok ou Facebook, une bonne partie en vivent en vendant des formations surfant sur la tendance, sans forcément vivre eux-mêmes de leurs propres chaînes.
« L’IA générative est un outil, et comme tout outil, elle peut être utilisée pour créer du contenu de haute ou de basse qualité », rétorque un porte-parole de YouTube au Guardian :
« Nous continuons à nous concentrer sur la mise en relation de nos utilisateurs avec du contenu de haute qualité, quelle que soit la manière dont il a été créé. Tout contenu téléchargé sur YouTube doit respecter nos règles communautaires, et si nous constatons qu’un contenu enfreint une politique, nous le supprimons. »
Ce jeudi 20 novembre, des chercheurs d’OpenAI ont mis en ligne une série de témoignages sur l’utilisation de GPT-5 en recherche. En jouant avec les codes de la publication scientifique sans faire un réel travail de recherche, ils appuient la communication de leur entreprise et poussent les chercheurs à adopter leur outil dans leur routine de travail.
Pour les fêtes de fin d’année, Next vous offre cet article initialement paru le 24 novembre 2025 et réservé aux abonnés. Pour lire les prochains entretiens dès leur publication, abonnez-vous !
OpenAI et ses chercheurs ont publié ce jeudi 20 novembre sur le blog de l’entreprise un billet vantant les mérites de GPT-5 qui permettrait d’ « accélérer la science ». L’entreprise s’appuie pour cela sur des témoignages de chercheurs qu’elle a recueillis et compilés dans un fichier qui a la présentation d’un article scientifique, qui a comme auteurs des chercheurs qui pourraient signer un article scientifique, mais qui n’est pas un article scientifique.
De vieilles lunes
Rappelons d’abord qu’il y a trois ans quasiment jour pour jour, Meta s’était embourbée dans un « bad buzz » après avoir publié son IA Galactica. À l’époque, l’entreprise expliquait que cette IA était un grand modèle de langage pour la science capable de « résumer la littérature académique, résoudre des problèmes de maths, générer des articles Wiki, écrire du code scientifique, annoter des molécules et des protéines, et plus encore ». Critiqué par la communauté scientifique, notamment car Galactica pouvait générer des réponses fausses à des questions de culture scientifique assez basiques, le projet avait été dépublié au bout de trois jours. Seulement une semaine après, Sam Altman annonçait, avec un peu moins d’arrogance que Meta à l’époque, la disponibilité d’un nouveau chatbot : ChatGPT.
Les proclamations des entreprises d’IA génératives pour nous assurer que leurs outils sont de très bons compagnons pour les chercheurs ne sont donc pas nouvelles.
D’ailleurs, si OpenAI est resté pendant un temps un peu en dehors de ces déclarations, l’entreprise affirmait en septembre 2024 que son modèle o1, « dépassait le niveau d’un docteur [human PhD-level accuracy] » sur un benchmark de physique, de biologie et de chimie, tout en précisant un peu plus loin que « ces résultats ne signifient pas que o1 est plus compétent qu’un docteur à tous égards, mais seulement que le modèle est plus performant pour résoudre certains problèmes qu’un docteur serait censé résoudre ».
Nous expliquions en juin dernier que le benchmark utilisé se basait sur un QCM alors que les compétences demandées à un chercheur ne sont pas de répondre à des questions de culture scientifique (même très pointue) mais de formuler des problèmes scientifiques, d’établir des projets de recherche et de mettre en place des protocoles, tout ça pour trouver potentiellement de nouvelles réponses. Comme le remarquait Ars Technica, l’industrie de l’IA a, depuis ce moment-là, adopté le terme marketing « PhD-level AI » (« IA du niveau doctorat », en français) pour promouvoir ses modèles.
« Comme un chercheur débutant »
« Avec notre modèle le plus avancé, GPT-5, nous avons maintenant des IA qui agissent vraiment comme un chercheur débutant », affirme maintenant le chercheur d’OpenAI Sébastien Bubeck interrogé par Le Monde.
L’entreprise joue d’ailleurs sur le fil, puisque si son chercheur compare GPT-5 à un « chercheur débutant », dans son billet, OpenAI avoue qu’ « il ne mène pas de projets ni ne résout de problèmes scientifiques de manière autonome, mais il peut élargir le champ d’exploration et aider les chercheurs à obtenir plus rapidement des résultats corrects ».
Or un chercheur n’est pas formé pour sortir de son cerveau des réponses à des questions très compliquées comme les QCM utilisés dans certains benchmarks de LLM ou à aider des chercheurs séniors à réfléchir.
Des témoignages recueillis par OpenAI présentés comme un article scientifique
Le billet d’OpenAI sur l’ « accélération de la science » avec GPT-5 s’appuie sur un texte cosigné par Sébastien Bubeck. Présenté comme un article scientifique (même mise en page et présentation, mis en ligne sur arXiv après l’avoir d’abord été sur les serveurs d’OpenAI [PDF]), il réunit surtout des témoignages de chercheurs en mathématiques, physique ou biologie sélectionnés par l’entreprise qui expliquent comment ils ont utilisé GPT-5 dans leur recherche.
Si les entreprises d’IA générative ont pris l’habitude de mettre en ligne des articles de leurs chercheurs (sur leur site ou sur des serveurs de prépublication comme arXiv), celui-ci se distingue sur le sujet du texte. Ici, pas question de dévoiler un nouveau modèle accompagné de ses caractéristiques techniques. Il diffuse des avis de chercheurs sans information sur une éventuelle méthode scientifique avec laquelle auraient été recueillis les témoignages. Six des douze cas impliquent des chercheurs d’OpenAI (dont trois de Sébastien Bubeck lui-même).
Deux des cas évoqués dans le texte concernent des problèmes de mathématiques posés par le mathématicien Paul Erdős. « Outre la publication de plus de 1 500 articles mathématiques, Erdős a posé un nombre considérable de conjectures mathématiques, dont plusieurs sont devenues des problèmes centraux en mathématiques », explique l’article.
Des résultats déjà grandement dégonflés par la communauté
En octobre dernier, sur X, Sébastien Bubeck avait proclamé que « deux chercheurs ont trouvé des solutions à 10 problèmes de Erdőspendant le week-end avec l’aide de GPT-5 ». Comme l’expliquait Gary Marcus, le chercheur d’OpenAI a ensuite supprimé son message. En effet, il a ensuite précisé « seules des solutions ont été trouvées dans la littérature [scientifique], et je trouve que ça accélère beaucoup les choses parce que je sais que c’est difficile de faire des recherches dans la littérature ». Cette anecdote avait engendré quelques persiflages de la communauté, notamment de la part de Yann LeCun.
Dans leur texte présenté comme un article scientifique, les chercheurs d’OpenAI présentent quand même l’utilisation de leur modèle pour la recherche bibliographique concernant certains problèmes de Erdős.
Pour l’un d’entre eux (le 848e problème de Erdős), ils fournissent une solution mathématique formelle qu’ils auraient trouvée, en s’aidant donc du modèle d’OpenAI. Il en reviendra à des mathématiciens de se prononcer sur la qualité de cette proposition. Dans ce témoignage, ils affirment que cet exemple « met en évidence la capacité du GPT-5 à servir d’assistant mathématique efficace, capable de rappeler des lemmes pertinents, d’identifier des analogies et de localiser des résultats pertinents à partir d’indications vagues et mal spécifiées ». Cependant, ils remarquent des limites importantes, notamment sur « une confiance excessive dans la puissance des méthodes existantes […] car cette discussion est largement absente de la littérature mathématique elle-même ».
Le texte mis en ligne par les chercheurs d’OpenAI aborde aussi quelques critiques de l’utilisation des LLM dans la recherche, comme les hallucinations des références scientifiques. Ainsi Timothy Gowers y témoigne que, selon lui, « GPT-5 semble significativement meilleur que GPT-4 » à ce sujet. Le mathématicien, chercheur au Collège de France et à Cambridge, y affirme qu’ « avec GPT-5, mon expérience m’a montré que les références sont rarement imaginaires, et même les hallucinations peuvent s’avérer être des indications vers des références qui existent et qui sont utiles », mais aucune analyse chiffrée n’y est effectuée.
Rappelons que même en dehors de la communauté scientifique, une semaine après sa sortie, GPT-5 essuyait les mêmes critiques que ses prédécesseurs sur ses réponses à de simples questions logiques ou mathématiques.
En 2025, près de la moitié des 400 milliards de dollars d’investissements dans les startups ont été captés par des entreprises et start-ups liées à l’IA, générant une cinquantaine de nouveaux milliardaires. La fortune cumulée du Top10 des milliardaires de la tech’ a dans le même temps explosé de 550 milliards de dollars, en augmentation de 32 %, quand le S&P 500 ne progressait « que » de 18 %.
Les entreprises liées à l’IA ont capté près de 50 % de l’ensemble des financements mondiaux dédiés aux startups en 2025, contre 34 % en 2024, et 21 % en 2023, d’après les données collectées par Crunchbase. Au total, 202,3 milliards de dollars ont été investis dans les entreprises liées à l’IA en 2025, soit 75 % de plus que les 114 milliards de dollars investis en 2024, et 215 % de plus que les 64 milliards de 2023.
Ces levées de fonds massives ont aussi permis à une cinquantaine d’acteurs de l’IA de devenir milliardaires, relève Forbes. Les levées de fonds successives de 16,5 milliards de dollars enregistrées l’an passé par Anthropic ont ainsi valorisé l’entreprise à 61,55 puis 183 milliards, faisant entrer ses sept cofondateurs dans le cénacle des milliardaires.
Les investissements tout aussi massifs dans les centres de données liés à l’IA ont eux aussi générés une douzaine d’autres nouveaux milliardaires cette année. Dans le lot figurent les fondateurs de sociétés telles que Astera Lab (semiconducteurs), Fermi (foncière spécialisée), ISU Petasys (entreprise coréenne de semiconducteurs), Sanil Electric (transformateurs électriques), sans oublier Coreweave, spécialiste du cloud computing associé à plusieurs des projets d’OpenAI.
Sont également devenus milliardaires le fondateur de Surge AI, spécialisée dans l’étiquetage de données, ceux d’ElevenLabs, une start-up spécialisée dans la génération audio par IA, ceux de l’entreprise de « vibe coding » Lovable (qui vient de lever 330 millions de dollars et se targue d’avoir enregistré l’équivalent de 100 millions de dollars de revenu annuel récurrent en seulement huit mois), ou encore les trois co-fondateurs de la start-up Mercor, créée en 2023 et qui recrute des experts chargés d’évaluer et affiner les données pour le compte des grands laboratoires d’IA de la Silicon Valley. Âgés de seulement 22 ans, ils détrônent Mark Zuckerberg, qui était devenu milliardaire il a près de 20 ans, à 23 ans.
La fortune du Top10 des milliardaires de la tech’ a explosé de 550 milliards de dollars
Les 10 milliardaires états-uniens les plus riches du secteur technologique ne sont pas en reste. Leur fortune combinée a en effet augmenté de plus de 550 milliards de dollars cette année, du fait de l’engouement des investisseurs pour les grandes entreprises spécialisées dans l’intelligence artificielle, relève le Financial Times.
D’après les données de Bloomberg, ils détenaient « près de 2 500 milliards de dollars en liquidités, actions et autres investissements » à la clôture de la Bourse de New York la veille de Noël, contre 1 900 milliards de dollars au début de l’année (soit + 31,6 %), quand le S&P 500 n’a grimpé « que » de plus de 18 % dans le même temps.
Les cofondateurs de Google détrônent ceux de Meta et Oracle
Elon Musk reste en tête du classement, avec une fortune nette ayant augmenté de près de 50 % pour atteindre 645 milliards de dollars. Et ce, alors qu’il a aussi conclu un plan de rémunération de mille milliards de dollars avec les actionnaires de Tesla, et que la valorisation de SpaceX a grimpé à 800 milliards de dollars.
Le FT relève également que Mark Zuckerberg et Larry Ellison d’Oracle ont été dépassés par les cofondateurs de Google, Larry Page et Sergey Brin, grâce à leurs modèles d’IA et puces développés en interne.
Suivent en effet Larry Page (270 milliards de dollars,+ 61 %), Jeff Bezos (255 milliards ,+ 7 %), Sergey Brin (251 milliards ,+ 59 %), Larry Ellison (251 milliards ,+ 31 %), Mark Zuckerberg (236 milliards ,+ 14 %), Steve Ballmer (170 milliards ,+ 16 %), Jensen Huang de NVIDIA (156 milliards , 37 %), Michael Dell (141 milliards ,+ 14 %).
Dernier du Top 10, Bill Gates (118 milliards ,- 26 %) est le seul à avoir vu sa fortune chuter d’un quart de sa valeur potentielle, du fait qu’il continue à vendre ses actions afin de financer ses activités philanthropiques, précise le FT.
Mark Zuckerberg passe de la 3e à la 6e position
Il note que d’autres ont profité de cette explosion des cours boursiers pour vendre une partie de leurs actions et empocher de substantiels gains. Les documents déposés auprès des autorités boursières montrent que Huang a ainsi cédé pour plus d’un milliard de dollars d’actions cette année, Michael Dell plus de 2 milliards et Jeff Bezos 5,6 milliards.
Mark Zuckerberg, PDG de Meta, est de son côté passé de la 3e à la 6e position du classement suite à la récente chute du cours de l’action du réseau social. Le FT l’explique du fait que les investisseurs s’inquiéteraient de ses « dépenses considérables » dans les infrastructures d’IA et des montants faramineux proposés pour débaucher les « meilleurs chercheurs en IA ».
Le cours de l’action d’Oracle explose, puis perd 40 %
Larry Ellison a pour sa part vu sa fortune personnelle monter en flèche après qu’Oracle a annoncé, il y a trois mois, un contrat de 300 milliards de dollars avec OpenAI pour la construction d’un centre de données. Depuis, rappelle le FT, les craintes concernant le financement de la construction de ce centre de données ont cela dit entraîné une chute de 40 % du cours de l’action Oracle par rapport à son pic de septembre.
Les dirigeants de la Silicon Valley ont certes tiré profit des centaines de milliards de dollars dépensés à l’échelle mondiale dans les puces, les centres de données et les produits liés à l’IA, « même si certains de leurs gains ont été réduits ces derniers mois en raison des inquiétudes suscitées par une bulle spéculative alimentée par l’IA », tempère le FT.
« Tout cela n’est que spéculation et dépend du succès de l’IA », résume Jason Furman, professeur d’économie à l’université Harvard et consultant pour la start-up OpenAI : « Il y a un énorme point d’interrogation quant à savoir si tout cela va porter ses fruits, mais les investisseurs parient que ce sera le cas. »
Vous avez peut-être vu passer ces quelques derniers jours des actualités pointant vers la fin du support d’anciens GPU NVIDIA par Arch Linux. Ce n’est pas tout à fait ça, même si le résultat y ressemble.
À l’origine, on trouve la publication des pilotes 590 de NVIDIA. C’est bien cette version, sortie début décembre, qui met fin au support officiel des GPU des générations Maxwell et Pascal, c’est-à-dire les GeForce GTX des séries 900 et 1000.
Cette fin de support, annoncée il y a plusieurs années, signifie que NVIDIA n’ajoute plus d’optimisations spécifiques ni de prises en charge de jeux en particulier. Les GPU continuent de fonctionner avec la version précédente des pilotes (de la branche 580). En outre – et c’est une information importante – le support complet n’est pas coupé : les mises à jour de sécurité continueront d’arriver jusqu’en octobre 2028.
Simple comme une mise à jour
Pourquoi un problème particulier avec Arch Linux dans ce cas ? À cause du fonctionnement en « rolling release », à savoir la diffusion quasi immédiate des dernières nouveautés logicielles. Le pilote 590 de NVIDIA y a été diffusé, avec utilisation par défaut. Ce n’est pas sans conséquence sur des systèmes appliquant toutes les mises à jour quand un pilote supprime un support.
Pour Arch Linux, la situation a été expliquée le 20 décembre par Peter Jung, l’un des mainteneurs du système (et créateur de cachyOS, distribution spécialisée dans le jeu vidéo). Il y indique que la nouvelle série 590 supprime le support des générations Pascal et antérieures, et que des remplacements de paquets sont donc appliqués : nvidia par nvidia-open, nvidia-dkms par nvidia-open-dkms, et nvidia-lts par nvidia-lts-open.
Il avertissait également que la mise à jour des paquets NVIDIA sur des systèmes intégrant ces anciens GPU entraînerait l’échec de chargement du pilote et donc celui de l’environnement graphique. La seule solution est de désinstaller les paquets nvidia, nvidia-lts et nvidia-dkms, puis d’installer le paquet nvidia-580xx-dkms depuis le dépôt AUR.
Les GeForce 16XX hors de danger
Il ajoute que rien ne change pour les GPU datant d’au moins la génération Turing, qui comprend la série 2000 des GeForce, mais également la série 1600. Cette dernière est en effet basée sur Turing, mais débarrassée des capacités de ray tracing. Les GeForce 1660 Ti, notamment, ne sont ainsi pas concernées par l’abandon de support dans le pilote 590.
Reste que la décision d’Arch Linux de procéder ainsi a provoqué de nombreuses réactions, comme on peut le voir dans les commentaires de sites tels que Phoronix et TechPowerUp. Plusieurs personnes manifestent de l’incompréhension face à une méthode jugée un peu trop radicale, indiquant qu’une détection automatique aurait pu être mise en place.
Enfin, précisons que cet arrêt de support n’est pas spécifique à la sphère Linux : Windows est lui aussi concerné. Le problème est cependant différent, car l’application NVIDIA n’installera pas d’elle-même la mise à jour, et Windows Update ne devrait pas non plus la proposer. Si l’on veut télécharger le pilote depuis le site officiel, l’outil intégré permet d’envoyer vers la bonne version. Si vous avez par exemple une GeForce GTX 1060, la version proposée au téléchargement est la 581.80.
Une faille MongoDB laisse fuiter des données sensibles des serveurs, y compris des mots de passe et des clés secrètes. Le danger est réel, d’autant plus que la faille existe depuis plus de huit ans et que des preuves de concept sont librement disponibles sur Internet. Des correctifs sont disponibles, à déployer au plus vite si ce n’est pas encore fait !
MongoDB est de nouveau victime d’une vilaine faille de sécurité, baptisée cette fois CVE-2025-14847. « De multiples vulnérabilités ont été découvertes dans MongoDB Server. Certaines d’entre elles permettent à un attaquant de provoquer un déni de service à distance, une atteinte à la confidentialité des données et une atteinte à l’intégrité des données », explique le CERT-FR.
Depuis 2017, il était possible de récupérer des données en mémoire
Le CERT Santé français donne quelques détails sur la faille et ses conséquences. Elle est exploitable par le réseau avec une complexité « faible » et ne nécessite aucun privilège, ce qui explique sa dangerosité. Dans tous les cas, elle ne permet pas d’obtenir des privilèges plus élevés, mais tout de même d’accéder à des « espaces mémoire non initialisés sans authentification ».
Le CVE lui attribue une note de dangerosité de 7,5 sur 10 dans la version 3.1 du CVSS et de 8,7 sur 10 pour la version 4.0. L’alerte date du 19 décembre 2025 et fait suite à cinq bulletins de sécurité publiés par MongoDB les 25 novembre (1, 2 et 3), le 9 décembre (4) et enfin le 19 décembre (5). Le CERT indiquait le 23 décembre que la faille n’était pas activement exploitée… mais la situation va rapidement changer.
Dans le dernier bulletin de MongoDB, on peut lire que la faille concerne toutes les versions de MongoDB Server à partir de la 3.6. Le bug a été ajouté dans ce commit du 1ᵉʳ juin 2017… il y a donc plus de huit ans. Il est ensuite resté dans les versions plus récentes, de la 4.x à la 8.2 en passant par les 5.x, 6.x et 7.x. Des correctifs sont disponibles avec les versions 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 et 4.4.30. Les moutures 4.2, 4.0 et 3.6 de MongoDB sont donc laissées sur le côté.
Si vous ne pouvez pas mettre à jour rapidement, MongoDB recommande de « désactiver la compression zlib sur le serveur MongoDB en démarrant mongod ou mongos avec l’option networkMessageCompressors ou net.compression.compressors qui exclut explicitement zlib ».
Pour Noël, des « experts » publient des preuves de concept
Dans une mise à jour, le CERT Santé affirme maintenant qu’une preuve de concept « est disponible en sources ouvertes », permettant donc à n’importe qui d’exploiter facilement cette brèche si elle n’est pas corrigée. Les documents nécessaires pour créer un outil afin d’exploiter cette brèche ont été mis en ligne dans la nuit du 25 au 26 décembre sur un dépôt GitHub, soit une semaine après l’annonce de MongoDB et la mise en ligne des correctifs, en pleine période de préparation des fêtes de fin d’année.
Ils ont été publiés par un utilisateur qui serait responsable technique chez Elastic Security, qui se présente comme une « plateforme open source qui optimise la recherche, l’observabilité et la sécurité ». Le chercheur en cybersécurité Kevin Beaumont affirme avoir testé le PoC et confirme « que cet exploit est réel ».
C’est visiblement aussi simple à exploiter que HeartBleed, avec les mêmes dangers : « il suffit de fournir l’adresse IP d’une instance MongoDB et elle commencera à dénicher en mémoire des choses comme les mots de passe de base de données (qui sont en texte brut), les clés secrètes AWS, etc. », détaille Kevin Beaumont.
Ce dernier ajoute qu’une « autre entreprise a jugé bon de publier des détails techniques la veille de Noël » ; il s’agit d’Ox Security. Le ton est volontairement sarcastique car le calendrier est tout sauf idéal. La faille peut se révéler extrêmement dangereuse et publier les détails techniques de son exploitation permet à quasiment n’importe qui de tenter sa chance. Plusieurs s’étonnent d’ailleurs de voir des experts ainsi publier les détails d’exploitation d’une faille de sécurité aussi sensible, surtout en pleine période de fête.
Nous en parlions avec des experts en cybersécurité lors des Assises de Monaco en octobre dernier : « Quand une vulnérabilité est rendue publique avec son code d’exploitation, des acteurs malveillants vont lancer une campagne sur l’ensemble d’Internet en mode « /0 » pour tester si des sites ou services sont vulnérables ». Désormais, le plus difficile est presque d’estimer le bon montant de la rançon.
Corriger est une chose, mais comment savoir si on a été victime ?
Que des chercheurs en cybersécurité postent des preuves de concepts et des détails techniques en plein pendant le réveillon n’est certainement pas l’idée de l’année… même s’il faut aussi reconnaitre que laisser des serveurs vulnérables pendant une semaine n’est pas mieux.
Aussi bien de la part du chercheur de chez Elastic Security que chez Ox Security, on ne trouve aucune précision sur comment détecter une exploitation de cette vulnérabilité dans les journaux par exemple. Un autre expert en cybersécurité s’est attelé à la tâche : Eric Capuano. Sur son blog, il recommande évidemment d’appliquer les correctifs, mais ajoute que « le patch seul ne suffit pas — il faut savoir si vous avez été ciblé avant le patch ».
Il explique que la particularité de cette brèche est qu’elle ne semble « détectable que dans les journaux du serveur MongoDB, qui ont très peu de chance d’être transmis à un système SIEM [Security Information and Event Management ou gestion des événements et des informations de sécurité, ndlr], et nécessite une logique relativement complexe qui pourrait être difficile à intégrer à la plupart des moteurs de détection SIEM ». Il propose un « artefact » pour Velociraptor, une plateforme open source de collecte et d’analyse. Si vous avez d’autres moyens de vérifier ce qu’il en est, n’hésitez pas à nous le signaler via les commentaires.
L’annonce semble tardive, mais OpenAI cherche activement à recruter une personne dont le rôle sera de s’inquiéter de tous les dangers liés à l’IA. Ce nouveau « chef de la préparation » (head of preparedness) aura pour mission de diriger les efforts de l’entreprise dans l’encadrement de ses modèles.
« Le responsable de la préparation développera, renforcera et guidera ce programme afin que nos normes de sécurité s’adaptent aux capacités des systèmes que nous développons », indique OpenAI dans son annonce. « Vous serez le responsable direct de la construction et de la coordination des évaluations des capacités, des modèles de menace et des mesures d’atténuation qui forment un pipeline de sécurité cohérent, rigoureux et opérationnellement évolutif ».
L’annonce ajoute que ce poste nécessite « un jugement technique approfondi, une communication claire et la capacité de guider des travaux complexes à travers de multiples domaines de risque ». Il implique une collaboration « avec la recherche, l’ingénierie, les équipes produit, les équipes de suivi et d’application des politiques, la gouvernance et des partenaires externes ».
Sam Altman, CEO de l’entreprise, y est allé de sa propre annonce sur X. Il y évoque un poste « crucial à un moment charnière ». Selon lui, les modèles évoluent très vite et sont capables désormais « de prouesses remarquables », mais « commencent » à poser de sérieux défis. Il cite deux exemples « entrevus » en 2025 : l’impact sur la santé mentale et une puissance telle que les LLM révèlent des vulnérabilités critiques.
Altman affirme qu’OpenAI dispose déjà d’outils solides pour mesurer ces « capacités croissantes ». Mais une personne qualifiée permettrait d’aller plus loin, notamment en aidant « le monde à trouver comment doter les défenseurs de la cybersécurité de capacités de pointe tout en veillant à ce que les attaquants ne puissent pas les utiliser à des fins malveillantes ».
Plusieurs personnalités reconnues du monde de l’IA se sont déjà succédé à ce poste chez OpenAI. La casquette a d’abord été portée par Aleksander Mądry, qui a discrètement été affecté à d’autres missions en juillet 2024. Elle est ensuite revenue à un duo composé de Joaquin Quinonero Candela et Lilian Weng, qui ont préféré jeter l’éponge au printemps dernier.
« Ce sera un travail stressant et vous serez plongé directement dans le grand bain », avertit le CEO. L’annonce évoque un salaire annuel de l’ordre de 555 000 dollars, assorti d’une participation.
Tout commence ce week-end par un cadeau de Noël totalement inattendu pour certains joueurs : des crédits, des objets, des skins et des packs ont été distribués « gratuitement ». Selon BleepingComputer, pas moins de deux milliards de crédits R6 qui auraient été distribués. Actuellement, 15 000 crédits R6 sont vendus 99,99 euros.
Selon l’ancien joueur et désormais streameur KingGeorge, des joueurs ont aussi été bannis et/ou réautorisés dans le jeu. De faux messages étaient aussi affichés sur le bandeau d’information du bannissement. Bref, c’est un peu le scénario catastrophe avec une pénétration des pirates en profondeur dans les mécanismes du jeu.
Ubisoft has apparently been breached by an unknown group that gifted random items and billions of R6 credits pic.twitter.com/Z8qnTWuClT
La réaction officielle d’Ubisoft ne s’est pas fait attendre. Samedi 27 décembre (à 15h10 heure française), l’entreprise publiait un message sur le compte officiel de Rainbow Six Siege sur X : « Nous sommes au courant d’un incident […] Nos équipes travaillent à sa résolution ». Rapidement suivi d’un deuxième message, plus inquiétant : le jeu et sa marketplace « ont été volontairement mis hors service le temps que l’équipe se concentre sur la résolution du problème ».
« Personne ne sera banni pour avoir dépensé les crédits reçus. Une annulation de toutes les transactions effectuées depuis 11 h (heure UTC) est en cours. L’indicateur de bannissement a été désactivé lors d’une mise à jour précédente. Les messages affichés ne sont pas de notre fait. Une vague officielle d’interdiction de R6 ShieldGuard s’est déroulée, mais n’est pas liée à cet incident. Nous travaillons d’arrache-pied pour que ce problème soit résolu et que les joueurs puissent rejouer ».
Hier après-midi, le compte officiel annonçait qu’une « restauration [était] en cours. Et, par la suite, des tests de contrôle approfondis seront effectués afin de garantir l’intégrité des comptes et l’efficacité des modifications ». Il y a quelques heures seulement, Ubisoft annonçait un « retour progressif, en ouvrant le jeu à un petit nombre de joueurs seulement ». Deux heures plus tard (ce matin à 3h12), « le jeu est ouvert à tous », mais pas la marketplace, qui reste fermée « jusqu’à nouvel ordre ».
Le retour en arrière est désormais terminé : : « Les joueurs qui ne se sont pas connectés entre le samedi 27 décembre à 10h49 UTC et le 29 décembre ne devraient voir aucun changement dans leur inventaire ». Par contre, pour ceux « qui se sont connectés après le 27 décembre à 10h49 UTC : un faible pourcentage d’entre eux pourraient temporairement perdre l’accès à certains objets leur appartenant. Des investigations et des corrections seront menées au cours des deux prochaines semaines ».
Ubisoft ne donne pas de détail sur le piratage de son jeu, mais des yeux se tournent vers une faille MongoDB massivement exploitée ces derniers jours. Nous aurons l’occasion d’y revenir dans la matinée.
« Sur la plateforme, dédiée au suivi des colis et au support client, se trouvaient le nom, prénom, adresse e-mail et postale et numéro de téléphone des clients. Aucune donnée bancaire ou de paiement n’était accessible », expliquent nos confrères de l’AFP, via Sud Ouest. Les clients de l’entreprise « potentiellement exposés » sont contactés.
Mondial Relay affirme avoir informé la CNIL, comme la loi l’y oblige. Elle a également fait part de son intention de déposer plainte.
Les risques en pareilles situations sont un peu toujours les mêmes : du phishing personnalisé, d’autant plus en cette période de fête où les livraisons de colis sont en forte augmentation. Redoublez donc de prudence en cas de correspondance venant de Mondial Relay.
Lancé en 2017, signé en 2021, le projet « i-Police » était censé « moderniser les outils informatiques de la police fédérale » belge. Mais, révèle Le Soir, « suite à une évaluation approfondie, j’ai décidé d’arrêter le projet », explique Bernard Quintin, ministre de la Sécurité et de l’Intérieur.
« Les résultats sont loin des attentes », résume le cabinet du ministre, évoquant des « lacunes fondamentales dans l’exécution du marché public par le prestataire de services », à savoir le groupe français Sopra Steria, adossé à plusieurs partenaires.
Le Soir rappelle qu’il devait remplacer 80 applications existantes et « améliorer les services rendus aux citoyens ». Or, près de cinq ans plus tard, les 185 zones de police locales et les services fédéraux « doivent toujours composer avec une mosaïque de dizaines d’applications et de bases de données, dont certaines reposent sur des architectures héritées des années 1990 », souligne Le Soir.
Le système, précisait Télésambre, était censé pouvoir « rechercher automatiquement des informations dans d’autres bases de données auxquelles la police a accès », dont la Direction de l’immatriculation des véhicules et les bases de données de la Justice. Mais également proposer « une analyse et un recoupement automatiques des données, telles que les images des caméras, les photos, les empreintes digitales, les traces, les documents, … » :
« La standardisation des déclarations (numériques) et le suivi central des dossiers permettent d’assurer un échange d’informations plus rapide et efficace entre la police et les citoyens. En outre, le système offre aux citoyens une garantie de confidentialité et un contrôle transparent. Les fonctionnaires de police auront un accès limité et contrôlé aux informations des citoyens, sur la base de leur fonction et de leur mission à ce moment. »
Le Soir évoque de multiples griefs, « par exemple : une connaissance insuffisante des produits proposés pour les missions, une appropriation limitée des processus, une méthodologie insuffisante, et une implication tardive des sous-traitants et éditeurs de logiciels ».
En 2023, un audit de Deloitte avait déjà dénoncé « un manque de vision sur la transformation numérique, des priorités floues » ainsi que des « failles dans la sécurisation des données », des « abus constatés par certains agents et un contrôle interne jugé insuffisant ».
Initialement estimé à 299 millions d’euros, le projet en a d’ores et déjà coûté 75,8 millions. La police fédérale souhaiterait désormais en récupérer une partie.
Les autorités voudraient également pouvoir réaffecter les sommes restantes dans des projets plus ciblés, « développés en fonction des besoins du terrain et en étroite collaboration entre la police fédérale, les zones locales et les services informatiques », précise le cabinet du ministre.
Chers amis, est venu le temps du bilan bon an mal an. Voici donc le TOP 24 chrono de l’année. Comme un tour de cadran pour les fêtes, avec des événements qui paraissent déjà lointains. Le temps passe vite quand le monde part en vrille. Noël oblige, on met cette publication et ces dessins en accès libre pour tous! Bonnes fêtes à vous!
NVIDIA signe un accord de licence non exclusif avec Groq et récupère au passage une partie des dirigeants et le fondateur. 20 milliards de dollars auraient été déposés sur la table par le géant américain de l’intelligence artificielle. Après cette opération qualifiée de « acqui-hire » par certains, Groq va continuer de vivre de manière indépendante.
La veille de Noël, Groq annonçait un « accord de licence non exclusif » au niveau mondial avec NVIDIA, sur l’inférence de l’intelligence artificielle. Le communiqué ne fait que quelques lignes et annonce « un objectif commun d’élargir l’accès à de l’inférence haute performance et à faible coût ». Attention à ne pas confondre Groq et Grok, l’intelligence artificielle générative de xAI (Elon Musk).
L’inférence est, pour rappel, le terme utilisé pour désigner les opérations liées au traitement des demandes des utilisateurs afin de mettre en pratique des capacités acquises par le modèle de langage après la phase d’apprentissage.
Groq de son côté développe des LPU, pour Language Processing Unit. Groq veut se différencier de NVIDIA en affirmant que ses puces sont pensées et développées depuis le début pour l’inférence, contrairement aux puces modifiées pour s’adapter à ces nouveaux usages… une manière de tacler au passage NVIDIA avec ses GPU d’abord pensés pour les jeux.
Pour en revenir à l’accord du jour, l’entreprise américaine annonce que « Jonathan Ross, fondateur de Groq, Sunny Madra, président de Groq, ainsi que d’autres membres de l’équipe Groq rejoindront NVIDIA »… mais le communiqué affirme dans le même temps que « Groq continuera de fonctionner en tant qu’entreprise indépendante ». Pour la petite histoire, Jonathan Ross est passé pendant quatre ans chez Google, où il s’occupait notamment des… TPU. Un domaine qu’il connait donc très bien.
Simon Edwards est le nouveau CEO alors qu’il était jusqu’à présent directeur financier (CFO ou Chief Financial Officer). Quel plan stratégique pour l’entreprise ? Qui pour remplacer les départs ? Aucune précision n’est donnée. D’autant que Simon Edwards a fait toute sa carrière dans la finance, notamment pendant plus de 10 ans chez GE.
Non, ce n’est pas un rachat, affirme NVIDIA
Avant l’annonce officielle de Groq, CNBC affirmait que NVIDIA rachetait les actifs de cette entreprise pour 20 milliards de dollars, en se basant sur des déclarations d’Alex Davis, patron de Disruptive, « qui a mené le dernier tour de financement de la startup en septembre ». Alors que la rumeur d’un rachat pur et simple se répandait comme une trainée de poudre, NVIDIA affirmait à TechCrunch (et d’autres) que ce n’est pas un rachat, sans toutefois préciser les contours de l’accord, et sans non plus confirmer les 20 milliards de dollars.
Lors de sa dernière levée de fonds en septembre 2025, Groq revendiquait « 750 millions de dollars de nouveaux financements et une valorisation à 6,9 milliards de dollars ». L’entreprise revendiquait au passage deux millions de développeurs sur sa plateforme. À titre de comparaison, NVIDIA a dépassé les 4 000 milliards de dollars de valorisation en juillet de cette année, puis plus récemment les 5 000 milliards, avant de redescendre à 4 600 milliards environ.
Acqui-hire plutôt qu’un rachat ?
Seules certitudes actuelles : NVIDIA signe un accord de licence non exclusif et récupère des têtes dirigeantes de l’entreprise, qui va continuer d’exister de manière indépendante… au moins sur le papier. Pour l’AFP, via Le Monde, cette opération s’apparente à un acqui-hire, un mot-valise qui est la contraction d’acquisition et recrutement.
C’est un « concept ancien mais remis au goût du jour ces dernières années dans le secteur technologique. Il consiste pour une entreprise à débaucher les principaux cadres d’une autre et, dans certains cas, à s’assurer de l’accès à sa technologie. La manœuvre est parfois assortie d’une prise de participation, mais minoritaire », expliquent nos confrères.
Ils y voient deux avantages pour NVIDIA. Le premier étant que, comme il n’y a pas de prise de contrôle, il n’y a pas de risque de rejet des régulateurs. De plus, avec ce genre de montage, la société prédatrice « s’évite les dépenses substantielles liées au rachat des parts des investisseurs existants ».
Meta a utilisé ce procédé avec Scale AI, rachetant 49 % des parts et récupérant son fondateur (Alexandr Wang). Scale AI a ensuite annoncé licencier 200 personnes, et cessé de travailler avec 500 sous-traitants.
Les chatbots d’IA générative font-ils le jeu des thèses conspirationnistes et climatosceptiques ? L’ONG Global Witness a fait le test, et Grok les alimente bien plus que Meta AI.
Comment Grok, ChatGPT et MetaAI réagissent-ils aux sujets climatiques ? L’ONG Global Witness a testé les trois modèles d’IA génératives (et seulement ces trois-là) pour observer dans quelle mesure ils produisaient de la désinformation climatique.
Elle cherchait aussi à savoir s’ils la formulaient de la même manière selon que l’internaute se déclare climatosceptique ou convaincu que leur gouvernement devrait prendre davantage de mesures en matière de lutte contre le changement climatique (comme 89 % des 75 000 personnes interrogées en 2024 par le programme des Nations Unies pour le développement).
Grok et ChatGPT promeuvent des désinformateurs
En pratique, l’étude a consisté à créer deux personas, qui décrivaient en introduction leur manière de se placer dans l’écosystème de l’information. L’un affirmait « ne pas aimer les scientifiques, ne pas considérer que le Covid-19 est réel, considérer les vaccins comme dangereux » et « faire confiance à des influenceurs pour apprendre la vérité ». À l’inverse, l’autre déclarait « aimer les scientifiques, penser que le Covid-19 est réel, ne pas considérer les vaccins comme dangereux » et « faire confiance aux institutions et aux médias grand public pour apprendre la vérité ».
Pour limitée qu’elle soit, l’étude démontre des variations de comportements d’un modèle à l’autre. Comme on pourrait s’y attendre, vu la ligne éditoriale affichée par le chatbot de xAI, Grok est celui qui s’est le plus ouvertement aligné avec le point de vue climatosceptique et conspirationniste lorsque celui-ci lui a été présenté. Il a notamment cité des influenceurs connus d’organismes de fact-checking climatiques comme Desmog, ou encore des internautes qui attribuent l’Holocauste à des problématiques environnementales ou publient des propos islamophobes.
S’il lui a recommandé des noms de personnalités scientifiques et des « voix qui appellent à la prudence », ChatGPT a, de son côté, spécifiquement souligné le consensus scientifique sur l’origine humaine du réchauffement climatique. Les recommandations de MetaAI, elles, ont peu varié en fonction des profils qui lui étaient soumis. Le chatbot a proposé aux deux types d’internautes des noms d’activistes pour le climat et d’institutions spécialisées dans les questions environnementales.
Grok s’adapte au climatoscepticisme, Meta AI très peu
En termes de propos, Grok a produit de nombreux textes reprenant des éléments de désinformation climatique à destination du persona climatosceptique. Le chatbot a notamment généré des textes suggérant que la crise climatique était « incertaine », que les données relatives au climat étaient manipulées, ou encore que l’internaute « ressentirait les conséquences des réglementations bien avant les conséquences climatiques » – quand bien même une personne meurt chaque minute en moyenne sous les effets des bouleversements en cours (canicules, sécheresses, pollutions), en nette hausse par rapport au rythme de 1990, selon une récente étude publiée dans The Lancet.
Outre le fait de nier la réalité de la situation, le chatbot produit par ailleurs de nombreux propos alarmistes sur les effets concrets des régulations climatiques. Il en va de critiques que Global Witness qualifie de « légitimes », soulignant notamment l’inefficacité des conférences sur le climat à enrayer les émissions de CO2 à l’échelle du globe, mais il y mêle divers éléments de désinformation, dont l’idée selon laquelle les politiques visant à atteindre la neutralité carbone auraient provoqué des problématiques énergétiques européennes comme le black-out de la péninsule ibérique en avril 2025.
Globalement, Grok est non seulement le modèle génératif le plus prompt à produire des textes et des recommandations climatosceptiques, mais également des résultats incitant les internautes à critiquer tout ce qui touche à la protection de l’environnement en ligne, suggérant notamment l’usage du hashtag #ClimateScam (arnaque climatique), ou poussant les usages à produire des médias taillés pour la viralité. Si ChatGPT a aussi suggéré d’optimiser « les hashtags, le ton et la structure pour avoir la meilleure diffusion », il a néanmoins indiqué veiller à produire un message « responsable et exact » pour éviter toute modération pour désinformation.
Réalisée pendant la COP 30, qui se déroulait à Belem, au Brésil, fin novembre, l’expérimentation de Global Witness se fait dans un contexte plus large dans lequel Donald Trump déploie une politique d’attaques directes envers les activités relatives à la protection du climat, mais aussi de lutte contre toute initiative de modération de la violence et contre la désinformation sur les réseaux sociaux.
D’un point de vue réglementaire, aux États-Unis comme en Europe, avec le récent vote du Parlement européen pour réduire diverses dispositions du Pacte vert, la tendance est à la réduction des cadres incitant les entreprises à minimiser leurs impacts sur la planète ou la désinformation sur les enjeux climatiques. Que ce soit au niveau mondial, européen ou français (.pdf), les populations sont pourtant en demande d’actions plus fortes de leurs responsables politiques pour faire face aux bouleversements climatiques.
Profitez des fêtes pour vous replonger dans notre série Algorithmique, six épisodes de podcast pour explorer les enjeux de l’intelligence artificielle.
À l’automne 2025, Next ouvrait son fil de podcasts avec une série sur les enjeux de l’intelligence artificielle. Dans le premier épisode, nous y interrogions l’informaticien et philosophe Jean-Gabriel Ganascia et la docteure en intelligence artificielle Amélie Cordier sur les définitions de l’intelligence artificielle (IA). De quoi s’agit-il, dans quelle mesure l’appellation concerne-t-elle un champ de recherche, un domaine économique, que dit ce relatif flou de la frénésie autour du concept ?
Dans le deuxième épisode, l’enseignante-chercheuse en science de l’éducation Isabelle Collet et la chercheuse en IA Raziye Buse Çetin détaillaient les enjeux techniques et sociaux posés par la présence de biais dans les systèmes d’IA.
Dans le troisième épisode, Valérie, la responsable numérique du collectif Change de Cap, et Camille Lextray, autrice du compte Instagram Hystérique mais pas que, détaillaient deux cas de tentatives citoyennes d’interroger les effets concrets de systèmes d’IA : celui qui détecte les paiements indus de la Caisse d’Allocation Familiale (CAF), et ceux qui président à la modération d’Instagram.
Dans le quatrième épisode, le sociologue Clément Marquet et l’informaticienne Anne-Laure Ligozat détaillaient les besoins énergétiques des systèmes d’IA et les enjeux que l’explosion des grands modèles de langage posaient en termes environnementaux.
Dans le cinquième épisode, la juriste Imane Bello et le sociologue Bilel Benbouzid revenaient sur les forces en présence dans les débats politiques et réglementaires autour de l’IA, en particulier dans ceux qui ont mené à l’écriture du règlement européen sur l’IA.
Dans le sixième épisode, le co-président de Data for Good Théo Alves, le co-président de Designers éthiques Karl Pineau et le chargé de formations chez Latitudes Valentin Hacault revenaient sur diverses manières de s’emparer des questions relatives à l’IA, de participer aux débats relatifs à ces technologies en tant que citoyennes ou citoyens.
Pour réécouter tout cela depuis votre application de podcast, abonnez-vous au fil d’« Entre la chaise et le clavier » et remontez le fil des épisodes publiés.
Depuis son lancement le 1ᵉʳ avril 2004, la messagerie Gmail de Google ne permettait pas de changer son adresse. C’est désormais possible, comme le rapporte 9to5Google.
Une page d’aide dédiée a été mise en ligne. Elle indique que « vous pouvez remplacer l’adresse e-mail de votre compte Google se terminant par gmail.com par une nouvelle adresse se terminant par gmail.com ».
Votre ancienne adresse deviendra alors automatiquement une adresse secondaire toujours liée à votre compte Google. Vous pourrez d’ailleurs y revenir « à tout moment ». La nouvelle s’affichera par défaut sur les services Google, mais « les anciennes instances ne seront pas modifiées de manière rétroactive. Cela signifie que certains éléments, tels que les événements d’agenda créés avant le changement, continueront d’afficher votre ancienne adresse e-mail ».
La foire aux questions dresse une liste des limitations. On apprend notamment que l’ancienne adresse email ne peut pas être supprimée et qu’il n’est pas possible de l’empêcher de s’afficher dans le compte Google.
De plus, « vous ne pouvez créer une adresse e-mail de compte Google se terminant par @gmail.com qu’une fois tous les 12 mois et trois fois au total », soit un total de quatre adresses en gmail.com pour votre compte Google (d’ici trois ans minimum).
Cette fonctionnalité est en cours de déploiement « pour tous les utilisateurs », précise Google. Sur notre compte, il n’est pour le moment pas possible de la modifier.
"On m'a dit de venir, pas de venir avec des bagages"
En naviguant dans les Google Groupes, il ne faut pas plus de quelques minutes pour tomber sur des informations qui ne devraient pas être librement accessibles : devis, relevés de compte, bilans de santé, rendez-vous médicaux, etc. Parents d’élèves, associations, syndicats de copropriété, entreprises… tout le monde est concerné. Pire encore, certaines données sont en ligne depuis près de 20 ans.
Pour les fêtes de fin d’année, Next vous offre cet article initialement paru le 2 juillet 2025 et réservé aux abonnés. Pour lire les prochains entretiens dès leur publication, abonnez-vous !
En décembre 2024, nous parlions d’un cas emblématique de Shadow IT : l’équipe d’une clinique privée utilisait Google Groupes pour parler des patients et s’échanger des documents confidentiels avec des données personnelles et médicales. Nous avions contacté l’établissement de santé et le groupe de discussions avait été rendu inaccessible dans la foulée.
Mais en trainant un peu sur les Google Groupes, on se rend rapidement compte que c’est loin, très loin d’être un cas isolé. Il serait quasiment impossible de boucher toutes les brèches potentielles, sauf à rendre privés l’ensemble des groupes, dont certains ont plus de 20 ans.
C’est, en effet, début 2001 que Google rachète Deja.com et sa base de données contenant les discussions des Newgroups, soit pas moins de 500 millions de messages, selon le communiqué de l’époque. Le tout est rendu accessible sur Groups.google.com. C’est encore aujourd’hui l’adresse des Google Groupes.
Ils sont accessibles à condition d’avoir un compte Google et se sont largement développés au fil des années. Ils continuent aujourd’hui d’attirer du monde. Souvent, il s’agit d’avoir un email commun pour partager des informations au sein d’une communauté. Problème, suivant les réglages de visibilité, tout le monde peut lire les emails envoyés au groupe. Comme nous allons le voir, certains utilisent même cette adresse comme email d’identification.
En première ligne : les associations sportives et syndics de copropriété
Les exemples de données accessibles par tout un chacun, nous pourrions presque les multiplier à l’infini, mais nous allons nous limiter à quelques cas emblématiques. Accrochez-vous, certains sont inquiétants ; d‘autant qu’ils peuvent avoir quelques mois comme quelques (dizaines d’) années.
Un club de sport pour commencer. Des dossiers d’inscriptions des membres, des autorisations RGPD et des certificats médicaux sont disponibles en toute liberté sur un groupe ouvert à tous. Nous y retrouvons aussi des comptes rendus des réunions de bureau ainsi que divers documents, certains bancaires.
Voici un exemple d’échange librement accessible :
Ce groupe a été créé en 2013 et il est toujours actif. Nous avons contacté l’association sportive pour lui signaler le problème il y a plusieurs mois déjà, sans aucune réponse ou action de sa part jusqu’à présent.
On retrouve aussi beaucoup de groupes autour des copropriétés et/ou des conseils syndicaux. Devis, querelles de voisinage, photos, codes, etc. tout y passe ou presque. On y retrouve aussi des coordonnées téléphoniques et des adresses de certaines personnes.
L’une d’entre elles est même ingénieure chez Thales depuis plus de 20 ans, selon son profil LinkedIn. On pourrait se dire qu’elle est un minimum rompue aux questions de cybersécurité, mais on retrouve son adresse et ses numéros de téléphones dans un message.
Encore une fois, le souci principal vient de la configuration du Google Groupe qui permet à tout le monde de consulter les messages. Il suffit donc d’envoyer un email à une adresse branchée sur un Google Groupe pour que toute la correspondance soit visible.
Le compte Google Groupe sert à s’identifier dans une banque
Toujours sur le principe des choses à ne pas faire, certains utilisent l’email associé au compte Google Groupes comme identifiant pour les réseaux sociaux et, pire, pour des comptes bancaires, PayPal, des cagnottes…
Résultats des courses, si quelqu’un fait une demande de mot de passe perdu, l’email est envoyé sur l’adresse du Google Groupe… qui est donc automatiquement publié dans le groupe de discussions visible par tout le monde.
Ce n’est pas un cas isolé : en moins de temps qu’il en faut pour le dire, nous avons identifié plusieurs messages du genre.
Il y a également des entreprises qui utilisent l’adresse du compte Google Groupes comme une messagerie interne, pour discuter des devis envoyés à des prospects et clients (avec le détail des prestations évidemment).
Nous avons l’exemple d’une entreprise qui, en plus des discussions internes, s’en sert aussi pour réceptionner les mails de sa banque Qonto et d’abonnements à Starlink. Son activité ? Elle vend des solutions d’accès à Internet par satellite de SpaceX.
Nous avons voulu vérifier si la procédure fonctionnait. En l’espace de quelques secondes, les emails de réinitialisation de mot de passe pour Qonto et Starlink sont arrivés sur le Google Groupes, visible par tout le monde…
« Pas seulement par simplicité, mais par nécessité »
Contacté par Next, l’administrateur du groupe a toutefois rapidement fermé les vannes. Il nous explique avoir « choisi cela non pas seulement par simplicité, mais par nécessité » :
« J’ai besoin d’une multitude d’adresses email différentes pour les différents services que j’utilise sans que je puisse utiliser les mêmes à chaque fois. Donc, soit je m’achète un domaine et je me crée des tonnes d’adresses email, soit je détourne l’usage de ce groupe pour me rendre destinataire de tous ces services ».
À lire les emails envoyés dans le Google Groupes, on se rend compte que l’entreprise dispose déjà d’un nom de domaine et d’un site, bien que ce soit principalement une coquille vide.
Bilan de santé et de fertilité
Dans le domaine de la santé, un service dédié à la reproduction est aussi sur Google Groupes, avec le planning des interventions, des comptes rendus opératoires, des résultats d’analyses, etc. Nous avons contacté il y a plusieurs mois le médecin responsable de cette unité (hors Europe), sans réponse. Les premiers messages remontent à 2022, les derniers ont quelques jours.
Il s’agit là de comptes récents, dont nous avons à chaque fois tenté de contacter les responsables pour leur expliquer le problème. Mais il y a également d’autres groupes, laissés à l’abandon depuis des années, mais toujours librement accessibles.
Des groupes abandonnés depuis 10, 15, 20 ans…
On y retrouve une multitude d’informations qui n’ont rien à faire en ligne, à la vue de tous. Problème, il y a très peu de chances de contacter l’administrateur d’un groupe créé en 2010 et inactif depuis plus de 15 ans… D’autres remontent même aux années 2000 et sont encore accessibles.
Or, Google Groupes regorge de groupes de parents d’élèves, d’associations locales, de syndicats, etc. Chaque année scolaire, chaque événement, chaque action peut être l’occasion de créer un groupe et de le laisser tomber rapidement par la suite. Souvent, les responsables ne savent peut-être même pas que les informations sont librement accessibles. Qui plus est, les pièces jointes envoyées (PDF, images…) sur les Google Groupes sont hébergées par Google, et donc toujours téléchargeables, des années plus tard.
Pour ne rien arranger, les questions du respect de la vie privée, des informations personnelles et du fait qu’Internet n’oublie rien, n’étaient pas aussi présentes dans les années 2000 et 2010 qu’elles le sont aujourd’hui. Beaucoup de groupes se sont lancés (et se lancent encore) pour « simplifier » la discussion entre plusieurs personnes d’horizons différents. En témoignent d’ailleurs certains messages d’ouverture des groupes qui vantent la simplicité d’utilisation du service pour leurs usages, sans penser une seconde à la confidentialité.
Sur la plupart des groupes qui ne sont plus actifs, il y a quand même des messages parfois publiés au fil du temps : du spam, en masse, pour des sites plus que douteux.
La (molle) réponse de Google
L’ampleur du phénomène est telle qu’il nous est impossible de contacter l’ensemble des groupes divulguant des données personnelles. Nous avons contacté plusieurs associations, leur avons expliqué comment faire pour limiter la visibilité, mais face à la déferlante de résultats, ce n’est qu’une petite goutte d’eau. Nous ne parlons là que des groupes récents, la chance d’avoir une réponse sur ceux abandonnés depuis plus de 10 ans est proche de zéro.
Une autre approche serait de basculer, par défaut, l’ensemble des groupes sur une visibilité limitée aux membres. C’est le cas pour les nouveaux groupes lors d’une création, comme nous avons pu le confirmer encore récemment.
Nous avons aussi contacté Google, en lui demandant s’il comptait agir sur cette problématique et, si oui, de quelle manière. Comme indiqué précédemment, Google nous rappelle que « les Groupes sont privés par défaut, et ce sont les propriétaires de ces Groupes qui contrôlent ces paramètres ».
« S’il y a des exemples de contenus de Groupe qui violent les règles de contenu ou nos conditions d’utilisation, les utilisateurs peuvent alerter sur le sujet en suivant ce process (par groupe ou par message) », ajoute Google. Pas de changement de masse sur les Groupes donc, mais un traitement au cas par cas suite à des signalements.
Dans le règlement relatif au contenu de Google Groupes, un paragraphe est dédié aux « informations personnelles et confidentielles : il est interdit de communiquer les informations personnelles et confidentielles d’autrui telles que les numéros de carte de paiement, les numéros de Sécurité sociale, les numéros de téléphone sur liste rouge et les numéros de permis de conduire. Sachez que, dans la plupart des cas, les informations déjà disponibles sur Internet ou dans des archives publiques ne sont pas considérées comme privées ou confidentielles selon notre règlement ».
Hasard ou pas du calendrier, Google vient d’annoncer des changements pour les Groupes avec la mise en place pour tout le monde d’une option permettant de les verrouiller pour « empêcher les modifications sensibles ». Quand un groupe est « locked », cela « restreint considérablement la possibilité de modifier les attributs du groupe, tels que le nom et l’adresse e-mail) et les membres ». Cette fonction permet d’« éviter qu’il ne se désynchronise avec une source externe ».
Une fois activé, seuls certains administrateurs peuvent modifier le nom, la description, l’adresse e-mail, les alias, ajouter ou retirer des membres, supprimer le groupe, configurer une restriction d’adhésion, qui peut rejoindre le groupe, ce qu’il en est pour les membres externes, etc.
Dans tous les cas, cela ne change rien pour les données déjà exposées sur Internet dans les Google Groupes.
Le mercredi 24 décembre au matin, La Poste annonçait sur X un retour partiel à la normale : « nos services Banque en ligne et App mobile sont rétablis ». La société ajoutait que ses équipes restaient « pleinement mobilisées ». En effet, la cyberattaque (DDoS) était toujours en cours et, quatre jours plus tard, elle n’est toujours pas terminée.
C’est en effet le sens du message affiché sur laposte.fr ce vendredi 26 matin : « L’attaque informatique est toujours en cours. L’accès à nos services en ligne s’améliore progressivement. Les opérations bancaires et postales en bureau de poste fonctionnent normalement. La Poste met tout en œuvre pour rétablir le service aussi vite que possible ».
À l’AFP (via Le Monde), La Poste expliquait hier soir que le suivi de colis sur le site avait repris, mais en ajoutant qu’il « peut rester des colis qui n’y sont pas encore référencés, mais c’est très marginal ». C’était le dernier service de La Poste en mode dégradé. Le groupe affirme que 5,5 millions de colis ont été acheminés depuis lundi matin, dont « 2 millions pour la seule journée du 24 décembre ».
La Poste a évidemment déposé plainte auprès du parquet de Paris, qui a ouvert une enquête pour des « faits d’entrave au fonctionnement d’un système de traitement automatisé de données ». Le groupe pro-russe NoName057(016) a revendiqué l’attaque, mais ce genre de revendications est à prendre avec de grosses pincettes.
Le ministère de la Guerre (DoW) de l’administration Trump annonce des accords avec Google Gemini et xAI afin d’alimenter sa nouvelle plateforme GenAI.mil. Déployée sur tous les ordinateurs de bureau du Pentagone et des installations militaires américaines à travers le monde, elle vise à ouvrir une « nouvelle ère de domination mondiale » grâce au « génie commercial américain ».
War.gov, le site du ministère de la Guerre (DoW, ex-ministère de la Défense renommé en septembre) de l’administration Trump vient d’annoncer qu’il va « étendre son arsenal d’IA » grâce aux « capacités de pointe de la suite xAI for Government », mais sans expliquer comment, ni à quoi cela servira.
Tout juste apprend-on que, prévue pour un déploiement initial début 2026, cette intégration leur permettra d’utiliser les capacités de xAI « Impact Levels 5 (IL5), ce qui permettra le traitement sécurisé des informations contrôlées non classifiées (CUI) dans les flux de travail quotidiens ».
Protéger, stocker, traiter et transmettre des informations non classifiées
IL5 est le deuxième niveau de classification le plus élevé en matière de contrôles de sécurité pour les fournisseurs de services cloud du DoW, conçu pour protéger les informations sensibles contre les acteurs malveillants, explique IPKeys, un prestataire du DoW.
IL4 est en effet conçu pour protéger, stocker, traiter et transmettre des informations contrôlées non classifiées (CUI) liées à des opérations militaires ou d’urgence « qui, si elles étaient compromises, pourraient perturber les opérations, entraîner des pertes financières ou nuire à la vie privée ou au bien-être des personnes ».
IL5 vise pour sa part les informations non classifiées nécessitant un niveau de protection plus élevé, quand IL6 est réservé au stockage et au traitement d’informations classifiées jusqu’au niveau SECRET, et concerne les informations classifiées « qui, si elles étaient obtenues, pourraient menacer les intérêts de la sécurité nationale ».
IL5 viserait dès lors à protéger les Systèmes de sécurité nationale (NSSs) non classifiés soutenant les missions du ministère de la Guerre à :
la prévention des perturbations : IL5 protège les données nécessaires pour prévenir les défaillances logistiques, les retards opérationnels ou les vulnérabilités susceptibles de nuire aux missions.
la protection de la R&D : IL5 empêche les adversaires d’obtenir des informations sur les capacités militaires de pointe, ce qui permet de conserver un avantage technologique.
la protection des partenariats : IL5 garantit la sécurité des échanges de données avec les sous-traitants et les partenaires, protégeant ainsi les informations commerciales sensibles.
Utiliser Grok et X.com « du Pentagone jusqu’au terrain »
Ce nouveau partenariat entre xAI et le bureau du Chief Digital and Artificial Intelligence Officer (CDAO) du DoW permettra d’utiliser ses systèmes d’IA Frontier « alimentés par la famille de modèles Grok », se félicite le communiqué de xAI, « du Pentagone jusqu’au terrain ».
Il précise que xAI for Government est une plateforme d’IA qui combine l’accès aux modèles d’IA de pointe de xAI, à des outils agentiques, à une plateforme de recherche et à une API, et que xAI mettra à disposition une famille de modèles de base optimisés pour le gouvernement afin de prendre en charge les charges de travail opérationnelles classifiées.
Le communiqué du DoW précise en outre que les 3 millions de militaires et de civils qu’il emploie « auront également accès à des informations mondiales en temps réel provenant de la plateforme X, ce qui procurera au personnel du ministère de la Guerre un avantage décisif en matière d’information ».
Une « nouvelle ère de domination mondiale » grâce au « génie commercial américain »
Les outils de xAI viendront compléter ceux de Gemini for Government de Google Cloud au sein de GenAI.mil, la nouvelle plateforme d’IA du DoW, qui « vise à former une main-d’œuvre axée sur l’IA, en tirant parti des capacités de l’IA générative pour créer une entreprise plus efficace et prête au combat », annoncée début décembre.
Le communiqué précisait que « d’autres modèles d’IA de classe mondiale seront mis à la disposition de tous les civils, sous-traitants et militaires, conformément au plan d’action de la Maison Blanche en matière d’IA ».
Annoncé par Donald Trump en juillet dernier, il vise à « atteindre un niveau sans précédent de supériorité technologique en matière d’IA ». Le DoW soulignait qu’en réponse à cette directive, « les capacités d’IA ont désormais été déployées sur tous les ordinateurs de bureau du Pentagone et des installations militaires américaines à travers le monde ».
Le communiqué précisait que « Gemini for Government offre un avantage concurrentiel grâce à la conversation en langage naturel, à la génération à enrichissement contextuel (RAG) et à son ancrage web basé sur Google Search, qui garantit la fiabilité des résultats et réduit considérablement le risque d’hallucinations de l’IA » :
« GenAI.mil est un autre élément constitutif de la révolution américaine en matière d’IA. Le ministère de la Guerre ouvre une nouvelle ère de domination opérationnelle, dans laquelle chaque combattant utilise l’IA de pointe comme un multiplicateur de force. Le lancement de GenAI.mil est un impératif stratégique indispensable pour nos forces armées, qui renforce encore la position des États-Unis en tant que leader mondial dans le domaine de l’IA. »
« Nous misons tout sur l’intelligence artificielle comme force de combat. Le département exploite le génie commercial américain et nous intégrons l’IA générative dans notre rythme de combat quotidien », avait déclaré le secrétaire à la Guerre Pete Hegseth : « Les outils d’IA offrent des possibilités illimitées pour accroître l’efficacité, et nous sommes ravis de constater l’impact positif futur de l’IA au sein du département de la Guerre. »
« Nous avons gagné la Première Guerre mondiale. Nous avons gagné la Seconde Guerre mondiale. Nous avons gagné toutes les guerres avant et entre les deux. Puis nous avons décidé de devenir « woke » et nous avons changé le nom en ministère de la Défense », avait de son côté déclaré Donald Trump début septembre, pour justifier ce pourquoi « Nous allons donc devenir le ministère de la Guerre. »
Avec la loi n° 2022 – 300 du 2 mars 2022, l’ANFR a hérité de la vérification du contrôle parental. Depuis le 13 juillet 2024, cela concerne « l’ensemble des nouveaux appareils connectés à internet mis sur le marché », notamment les smartphones.
L’Agence nationale des fréquences a contrôlé le Pixel 9 de Google : « Les analyses ont mis en évidence que, dans certains cas d’usage concernant les mineurs de plus de 15 ans, l’appareil ne respectait pas l’exigence réglementaire consistant à proposer l’activation du dispositif de contrôle parental lors de la première mise en service de l’équipement ».
Google a été mis en demeure de corriger le tir, ce qui a été fait via la mise à jour BP3A.251105.015 du 14 novembre 2025. Elle est déployée sur les Pixel 7 à 9, ainsi que les Pixel Tablet et Fold, avec divers autres correctifs.
« L’ANFR a vérifié l’efficacité de cette mesure », mais précise : « Toutefois, l’ANFR attire l’attention des utilisateurs sur le fait que, dans certains cas, cette activation, du fait qu’elle se poursuit au-delà de la procédure d’initialisation de l’appareil, peut être abandonnée sans que ceux-ci en aient clairement manifesté l’intention ».
Il y a tout juste un mois, c’était l’iPhone 16 qui était épinglé par l’ANFR pour le même genre de problème. Apple aussi avait corrigé le tir. Que ce soit chez Apple ou Google, on peut supposer que les modifications ne concernent pas que les deux smartphones testés (iPhone 16 et Pixel 9), mais plus largement iOS et Android.
Des To par milliers, des analyses fouillées, des articles de fond qualitatifs, des enquêtes pointues, des tests et des tutos de bargeot, des gribouilles d’andouilles, autant de petits biscuits sans cookies, n’est-ce pas Noël toute l’année ? Toute l’équipe Next se joint pour vous souhaiter de bonnes fêtes. Préparez vos bonnes résolutions, qu’on espère au dessus du 720p.
Plus d’excuse pour ne pas sauvegarder ses données !
Avec votre abonnement Next vous avez désormais droit à 1 To de stockage offert (et même davantage selon votre ancienneté), mais vous ne savez pas comment en profiter ? Voici un tuto pour configurer un ordinateur (Windows, macOS, Linux) ou un NAS.
C’est du stockage « compatible S3 », utilisable par de très nombreux services pour sauvegarder des données. Pour ce lancement en pleine période de fêtes, l’accès est limité aux cent premiers lecteurs, mais les vannes seront ouvertes plus largement dès le mois de janvier.
1 To de S3 offert et les explications pour l’exploiter au mieux !
Pour profiter du To offert, il faut commencer par demander vos codes d’accès. Cela se passe dans votre compte Next. Si vous disposez d’un abonnement actif, un nouvel onglet « Stockage S3 » est désormais disponible entre les paramètres et la liste des utilisateurs bloqués.
Sur cet onglet, il vous suffit de demander l’activation de votre espace de stockage, puis de valider les conditions d’utilisation. Veillez à bien les lire et les comprendre (promis, elles ne sont pas longues).
Point important et répété par la suite, votre clé privée n’est proposée qu’une seule fois lors du parcours, et uniquement à la création de votre espace (via le téléchargement d’un fichier texte) ! Il ne faut pas la perdre, sous peine de ne plus pouvoir accéder à vos données. Ni Next, ni moji, n’ont la moindre trace de cette clé.
En cas de perte, vous disposerez (notez l’emploi du futur, la fonctionnalité arrivera rapidement, promis !) d’une option permettant de réinitialiser votre espace de stockage. Elle permettra de disposer d’une nouvelle clé privée, et de mettre en place une nouvelle sauvegarde, mais toutes les données hébergées sur votre sauvegarde précédente seront supprimées.
Par défaut, la capacité de stockage est de 1 To (1024 Go) pour les abonnés Premium, avec 100 Go supplémentaires par année d’ancienneté du compte (on parle bien du compte, pas du statut Premium), au travers d’un bucket unique (puisque le service est à usage individuel).
Une fois votre espace de stockage créé, vous retrouvez sur l’onglet dédié de votre compte les informations nécessaires à son utilisation, à l’exception donc de la fameuse clé privée. Un tableau récapitule les infos dont vous aurez besoin pour paramétrer votre sauvegarde : l’adresse du service de stockage, une clé d’accès publique, un paramètre de région, et le nom du bucket (s3-next-ink), qui n’est pas modifiable.
Dans cet article, nous vous détaillons comment mettre à profit ces informations pour créer une sauvegarde automatisée, sur votre espace de stockage Next, à partir d’un ordinateur sous Windows, macOS ou Linux, mais aussi depuis un NAS QNAP ou Synology. Ce ne sont que quelques exemples, il n’y a évidemment aucune limitation sur la manière d’utiliser votre espace S3.
Nous expliquons la procédure pour le cas des utilisateurs de Next sur cet espace offert dans le cadre de l’abonnement, mais notre tuto fonctionne pour n’importe quel service de stockage exploitant S3. Dans ce cas, il faut simplement adapter l’adresse du serveur S3, les clés et éventuellement le nom bucket, mais le reste de la procédure est identique. Il est d’ailleurs possible d’ajouter le stockage Next comme une sauvegarde distante supplémentaire, en plus de celles que vous avez déjà.
Dans tous les cas, pensez à chiffrer vos données avant de les envoyer dans le cloud, que ce soit chez Next ou n’importe où ailleurs. Toutes les solutions présentées ici permettent d’activer le chiffrement côté client.
Pour sauvegarder ses données depuis un ordinateur, nous allons utiliser une seule « application » dans le cadre de ce tuto : Duplicati. Elle est disponible aussi bien sur Windows, macOS et Linux. Une image Docker est aussi proposée. L’interface est donc la même pour tout le monde. Pour ne rien gâcher, le code source est disponible sur GitHub.
Windows, macOS, Linux : sauvegarder et chiffrer ses données
La version gratuite est suffisante pour un usage grand public, avec jusqu’à cinq machines prises en charge, 200 sauvegardes et un an d’historique des logs. Une version à 5 dollars par mois et par machine permet d’avoir des messages d’alerte, des webhooks, une analyse par IA des sauvegardes, un accès prioritaire au support, etc.
Une fois installée, la particularité de Duplicati est de fonctionner en ligne de commande ou sous la forme d’un site web accessible à une adresse locale (c’est-à-dire depuis votre ordinateur) via votre navigateur Internet (Brave, Chrome, Edge, Firefox, Opera, Safari…) : http://127.0.0.1:8200/.
Pour créer une sauvegarde, cliquez sur « Add + » dans la partie Backups et laissez-vous guider. Pensez à activer le chiffrement dans le second menu. C’est le cas par défaut avec AES sur 256 bits, mais vous pouvez aussi passer sur GNU Privacy Guard (GnuPG). Pensez à sauvegarder votre mot de passe, faute de quoi vous ne pourrez plus accéder à vos données.
Dans la page Destination, choisissez Compatible S3. L’adresse du serveur (on parle aussi d’endpoint) est s3.fr1.next.ink. Saisissez ensuite votre access et secret key récupérés depuis votre compte Next. Pensez à ajouter un dossier pour éviter que les sauvegardes se retrouvent à la racine de votre bucket, puis cliquez sur « Test destination » pour vérifier que tout est bon avant d’aller plus loin.
L’écran suivant vous permet de sélectionner les dossiers et fichiers de votre ordinateur à sauvegarder. Chacun sélectionnera en fonction de ses besoins. Vous pouvez ajouter des filtres et/ou exclure certains fichiers, comme ceux dépassant une certaine taille.
La page suivante permet de régler la récurrence des sauvegardes, aussi bien au niveau des jours que des heures. Dans les options, deux paramètres. Le premier concerne la taille des volumes, à 50 Mo par défaut. Duplicati découpera les sauvegardes par morceaux de 50 Mo avant de les uploader sur S3. Laissez la valeur par défaut sauf si vous avez des besoins particuliers et que vous savez ce que vous faites. Le deuxième paramètre permet de mettre en place une rotation des sauvegardes.
Si vous lancez une sauvegarde à la fin du processus, vous pouvez voir l’état de l’avancement dans le haut de la page.
Synology : sauvegarder et chiffrer ses données avec Hyper Backup
Chez Synology, la sauvegarde des données de son NAS sur un espace de stockage S3 passe par l’application Hyper Backup. Nous l’avons installé sur un NAS DiskStation 1520 + dont nous disposons. Pour mettre en place une tâche de sauvegarde, cliquez sur le bouton « + » dans le menu de gauche de Hyper Backup.
Il faut ensuite cocher « Dossiers et paquets » puis S3 Storage dans le menu Cloud Service. L’adresse du serveur S3 doit être personnalisée avec s3.fr1.next.ink. Ajoutez vos clés d’accès et secrète, puis sélectionnez votre bucket (l’interface vous le propose automatiquement) et modifiez le répertoire si besoin. Par défaut c’est le nom de votre NAS avec « _1 » en plus à la fin pour la première tâche de sauvegarde, « _2 » pour la seconde, etc.
La page suivante vous permet de sélectionner les répertoires à sauvegarder, et par ailleurs d’ajouter des filtres pour exclure ou inclure certains fichiers par exemple. Vous pouvez aussi sauvegarder des applications (avec leurs paramètres).
La page suivante est celle des paramètres où l’on peut activer le chiffrement côté client, c’est-à-dire avant d’envoyer les données sur un stockage S3. Saisissez un mot de passe (Hyper Backup impose une longueur minimum de 8 caractères) et cliquez sur suivant. Activez et ajustez une rotation des sauvegardes si besoin, puis validez le résumé avec le bouton « Effectué ».
La configuration est terminée, vous pouvez lancer la sauvegarde immédiatement si vous le désirez.
QNAP : sauvegarder et chiffrer ses données avec Hybrid Backup Sync
Sur les NAS QNAP, la sauvegarde des données dans un bucket S3 passe par l’application du fabricant Hybrid Backup Sync 3 (ou HBS 3). Comme celle de Synology, elle permet aussi de mettre en place des sauvegardes locales et distantes, mais nous allons nous concentrer sur celle dans le cloud. N’ayant pas de NAS physique QNAP récents sous la main, nous avons installé QuTScloud sur une machine virtuelle, nous permettant ainsi de la transformer en NAS QNAP.
Dans HBS 3, rendez-vous dans la partie « Sauvegarder et Restaurer », puis cliquez sur créer une tâche de sauvegarde. Sélectionnez le ou les dossiers à sauvegarder, puis cliquez sur suivant. Dans le stockage de destination, descendez dans la partie Serveur Cloud puis choisissez « Compatible Amazon S3 et S3 ».
Le fournisseur de services n’est pas Amazon Web Services (AWS) comme indiqué par défaut, mais moji. Il faut donc le changer et choisir Compatible S3. Entrez l’adresse suivante : s3.fr1.next.ink et vos clés. Sur la page suivante, choisissez votre bucket (vous n’en avez qu’un seul et il n’est pas possible d’en créer de nouveau) et laissez le reste par défaut, sauf à savoir exactement ce que vous faites et pourquoi. Cliquez sur Sélectionner.
Le menu suivant vous permet de choisir ou créer le répertoire pour sauvegarder les données de votre NAS QNAP. Nous avons créé le répertoire Sav-QNAP dans notre bucket grâce à la petite icône en forme de dossier avec un « + » dedans.
Un menu récapitule enfin les informations de la tâche de sauvegarde. Si tout est bon, cliquez sur suivant et choisissez si vous le désirez une planification des tâches (périodique, quotidienne, hebdomadaire, mensuelle).
Pensez à faire un tour sur le menu à gauche, vous pouvez définir la gestion des versions et la vérification de l’intégrité des données. Il y a la possibilité de filtrer les fichiers, d’inclure ou d’exclure certains fichiers, de compresser les données et enfin d’utiliser ou non la déduplication.
De nouveau sur la gauche, allez faire un tour dans Politiques pour activer le chiffrement côté client afin de chiffrer vos données avant de les envoyer. Entrez votre mot de passe et pensez à le sauvegarder. Si vous le perdez, l’accès à vos données ne sera plus possible ; notez-le précieusement dans un endroit sûr.
C’est la dernière ligne droite. Vérifiez les informations et créez la tâche de sauvegarde si tout est bon. Lancez-la immédiatement si vous le souhaitez.
C’est à vous ! Pensez à chiffrer !!
Une fois les différentes sauvegardes en place, elles s’exécuteront automatiquement en fonction de la récurrence que vous avez demandée. Vous pouvez multiplier les ordinateurs et les NAS, il n’y a pas de limite. La seule limite étant la capacité de stockage S3 : 1 To pour tous les abonnés Next, avec 100 Go de plus par année d’ancienneté.
On ne le répétera jamais assez, mais chiffrez vos données AVANT de les envoyer dans le cloud, que ce soit chez moji ou n’importe qui d’autre. Duplicati est un exemple, mais bien d’autres solutions sont possibles. Le S3 de moji est évidemment agnostique de l’application. Vous avez l’adresse du serveur (endpoint) et les clés, et êtes donc totalement libre de vos choix.
Le Canard enchaîné révèle que c’est l’algorithme de surveillance des accès au fichier TAJ qui aurait déclenché l’alerte, 13 jours après que le pirate y a eu accès après avoir dérobé l’identifiant et le mot de passe d’un policier.
Le Canard enchaîné révèle que le « fric-frac informatique du ministère de l’Intérieur » avait duré du dimanche 9 novembre au jeudi 4 décembre, soit 26 jours, « une très longue journée portes ouvertes ».
L’intrusion, révélée dans la presse le jeudi 11 et confirmée par le ministre le lendemain, aurait été découverte le samedi 22 novembre, grâce à l’algorithme qui surveille les requêtes effectuées dans le Traitement des antécédents judiciaires (TAJ). Ce fichier recense « 16,4 millions de personnes » ayant été « mises en cause », et dès lors « défavorablement connues » des services de police et de gendarmerie, pour reprendre l’expression consacrée.
« C’est la consultation compulsive – le week-end et la nuit – de ce listing ultra-sensible qui a déclenché l’alerte », souligne le Canard. Il ne précise pas cependant pourquoi il a fallu 13 jours à l’algorithme pour repérer qu’un pirate avait réussi à accéder au système de Circulation Hiérarchisée des Enregistrements Opérationnels de la Police Sécurisés (CHEOPS), le portail permettant d’accéder aux fichiers de la police et de la gendarmerie.
L’article ne précise pas non plus combien de temps il a fallu pour disculper le policier soupçonné d’avoir abusivement farfouillé dans le TAJ, et identifier qu’il s’était fait dérober ses identifiant et mot de passe.
Il relève toutefois qu’alerté, le parquet de Paris a de son côté ouvert une enquête préliminaire le 4 décembre (soit 12 jours après le déclenchement de l’alerte), « date à laquelle le pirate, se sentant sans doute pisté, cesse d’arpenter CHEOPS ».
D’après le dernier bilan du ministère de l’Intérieur, que le Canard a pu consulter, « les dégâts sont bien plus importants qu’annoncé : 37 serveurs de messagerie sur 250 ont été compromis, et 14 fichiers de police ont été visités, dont celui des personnes recherchées, qui contient notamment les fichés S » :
« Sur le TAJ, où il s’est bêtement fait repérer, Melvin L. a dérobé 120 fiches personnelles et procédé au siphonnage de dizaines de milliers de noms inscrits dans ce fichier sensible. »
Pour accéder à CHEOPS, il suffit d’un identifiant et d’un code à six chiffres
Le Canard souligne que le pirate, interpellé le 17 décembre, aurait profité du fait que « nombre de poulets se tamponnent le coquillard de la sécurité informatique ». Pour se connecter à CHEOPS, les policiers et gendarmes doivent normalement utiliser leur carte professionnelle, dotée d’une puce, ainsi qu’un code à quatre chiffres.
À ceci près que « les poulets, moins disciplinés que les pandores, utilisent à tort et à travers un système de secours sans carte, reposant sur le seul identifiant et un code à six chiffres ». Identifiant et code que le policier aurait partagé en clair dans un e-mail auquel le pirate avait pu accéder.
« Celui qui a fait le coup n’est pas spécialement un cador », précise au Canard un commissaire : « il a laissé plein de traces qui ont permis de remonter à lui ». À défaut de savoir combien d’autres pirates, plus discrets, auraient eux aussi déjà pu accéder à CHEOPS de la sorte, le ministre de l’Intérieur vient d’ouvrir une enquête administrative sur les manquements à la sécurité informatique.
Reste donc aussi à comprendre pourquoi, en 2025, le recours à la double authentification n’a pas encore été rendu obligatoire, surtout pour accéder à un système aussi sensible. Mais également, comme le souligne bohwaz en commentaire, « pourquoi ces systèmes et fichiers sont accessibles depuis n’importe quelle IP et ne sont pas restreints à un intranet sécurisé du ministère de l’intérieur… »
Annonce importante à votre adresse, vous qui nous lisez, vous qui nous soutenez, vous qui nous aimez. Ou même parfois les trois à la fois.
Chères lectrices et chers lecteurs,
Cette année pour les fêtes, chez Next, nous ne voulions pas vous laisser dehors dans le froid sans vous donner une petite lueur d’espoir dans le regard, ni de quoi réchauffer vos cœurs endoloris par l’état du monde en général, ou plus particulièrement par les blagues de ce boomer de Bertrand, votre oncle à la retraite depuis 2003.
J’en profite pour vous donner quelques nouvelles qui n’en sont pas vraiment, en gros tendanciellement ça va toujours de mieux en mieux, mais on perd toujours pas mal de pognon. C’est pas très grave, on a équilibré le budget en offrant des oranges à tout le monde cette année en lieu et place des traditionnelles barrettes de RAM (et ce fruit nous est particulièrement cher chez moji, vous même vous savez). On a repris le dev sous le capot en cette fin d’année, et les efforts vont se poursuivre en 2026. On s’accroche et on poursuit l’ascension.
Cela dit, en regardant en bas, quelque pincement au cœur nous saisit immanquablement à la vue de toutes ces lectrices et tous ces lecteurs qu’on a laissé crever au fond du précipice (et depuis un bon moment), à l’ombre de la crevasse du paywall, loin de la lumière éblouissante du savoir absolu de l’abonnement premium à Next. Sans même parler du massacre impitoyable des remises de fidélité impies à la reprise, ou de l’abandon des promotions sous ecstasy de type cinq ans pour le prix d’un. Tout ça travaille nos petites consciences, voyez-vous ?
En d’autres termes moins lyriques, comment convaincre toujours plus de monde que l’information de qualité se paye ? Chez Next, nous investissons continuellement sur le média lui-même, ça se voit dans le fond, la forme, et les chiffres, mais est-ce qu’il n’existerait pas un raccourci vers la rentabilité, une sorte de highway to sell if you will ?
Notre position un peu particulière de mécène opérateur d’infrastructure offre quelques avantages en matière de routes. Plutôt que de perdre de l’argent en subventions pures, est-ce qu’on ne pourrait pas mettre gratuitement à disposition une partie de notre infrastructure aux membres premium, afin de sweeten quelque peu le deal de l’abonnement Next ? C’est évidemment une question rhétorique. Non seulement on peut, mais j’ai l’immense plaisir de vous annoncer qu’en plus on l’a fait, pile à temps pour celles et ceux qui veulent leur juste dose de cadeaux au pied du sapin.
À partir de maintenant, ce 24 Décembre 2025, 1 To d’espace de stockage S3 en ligne est inclus gracieusement en bêta dans votre abonnement Premium, avec un bonus de 100 Go par année d’ancienneté de votre compte Next.
Pour un membre de 2003, ça fait tout de même 3,2 To, excusez du peu, encore un ou deux siècles d’abonnement comme ça et vous pourrez stocker l’intégralité de la bibliothèque de Spotify ! On rigole évidemment, ne vivez surtout pas aussi longtemps, c’est illégal.
Vous pouvez activer l’offre depuis votre compte, attention, l’offre est en bêta sur les 100 premiers inscrits jusqu’à mi-janvier, où nous ouvrirons les vannes plus franchement une fois le retex dûment effectué. Déjà qu’on prode un 24 Décembre, on ne voudrait pas en plus se retrouver le 25 sur Dealabs. Il ne manquerait plus qu’on crashe l’infra avec 10 000 abonnés en trois jours, ce serait le comble.
Un tas de tutos vont suivre pour sauvegarder vos données sous Linux, Mac, Windows, vos NAS, votre frigidaire connecté, mais plusieurs points sont à souligner :
Chiffrez vos données AVANT de nous les envoyer. On n’a pas du tout envie de savoir combien de bananes il vous reste dans le troisième tiroir.
Il s’agit d’un service best-effort, les données sont stockées en France, mais avec un niveau de disponibilité limité (un seul site géographique), c’est un service de sauvegarde à usage individuel, supplémentaire à ce que vous avez déjà, il est fourni avec zéro garantie. Respectez toujours les principes 3,2,1, et prenez garde à bien conserver vos données les plus précieuses sur un support hors ligne.
Au moment de l’activation du service, vous allez pouvoir télécharger votre passphrase, conservez-la bien précieusement, nous n’y avons pas accès, et elle seule vous permet d’accéder à vos données. Si vous la perdez, votre seule option sera de réinitialiser complètement votre accès, en perdant l’accès à vos données précédemment enregistrées.
Tous les abonnements premium sont éligibles, y compris les abonnés Next qui ont pris l’abonnement LPL. Le service est accessible à tous les lecteurs qui disposent d’un abonnement Next en propre. Les internautes qui nous lisent par l’intermédiaire d’une offre La Presse Libre ne sont en revanche pas éligibles, faute de revenus suffisants pour justifier le coût de ce service. Pour le moment, les abonnés Next de l’offre entreprise ne sont pas éligibles non plus, faute de temps, mais ça arrive rapidement.
Enfin, je tenais tout particulièrement à remercier les équipes moji, tant les devs que les ingés système et réseau, pour avoir travaillé sur une infra multi péta badass avec une deadline aussi sensible. Kudos à eux, c’est des vrais, leurs noms résonneront pour toujours dans l’éternité.
Excellentes fêtes à toutes et à tous de la part de toutes nos équipes, et à vos clients de sauvegarde !
Next vaincra.
Ferd
PS : Petite précision, il s’agit bien d’un service offert par moji à Next et ses lecteurs, aucune facturation n’est émise de moji à Next, ni aucune compensation d’aucune forme. Pas de filouterie fiscale ici, juste la joie d’offrir et le plaisir de recevoir.
Une nouvelle fonction a été découverte dans le « about:config » du navigateur, qui permet pour rappel d’activer certaines capacités non finalisées. Firefox va ainsi se doter d’une vue scindée, souvent appelée Split View, comme relevé par OMGUbuntu.
Ce type de fonction, que l’on trouve volontiers dans des navigateurs « avancés » comme Vivaldi, permet d’afficher deux sites côte à côte. La vue scindée est devenue plus courante avec le temps, Microsoft l’ayant ajoutée dans Edge en 2024 et Google dans Chrome le mois dernier.
L’utilisation dans Firefox est simple. Il faut d’abord se rendre dans « about :config » et lancer une recherche sur « split ». Il suffit ensuite de double-cliquer sur la ligne « browser.tabs.splitView.enabled », afin que la valeur « False » passe en « True ». Pas besoin de télécharger une préversion de Firefox, l’option est disponible dans l’actuelle révision stable 146.
Une fois le paramètre activé, il suffit de faire un clic droit sur n’importe quel onglet et de sélectionner « Ajouter une vue scindée ». L’onglet se divise alors en deux sous-onglets plus petits, chacun ayant sa propre adresse. Par défaut, chaque site récupère la moitié de la fenêtre, mais on peut déplacer la barre de séparation. Ce type de fonction est très utile pour comparer deux pages ou pour lire un contenu tout en surveillant un flux de réseau social.
Si la fonction est disponible actuellement, elle ne préfigure pas d’une arrivée officielle dans Firefox 147. Celle-ci s’annonce déjà comme une mouture importante, au moins sous le capot. D’après les notes de version actuelles du canal Beta, Firefox 147 apportera ainsi le support de WebGPU aux Mac équipés puces Apple Silicon, une amélioration des performances pour les vidéos avec les GPU AMD, le support de la spécification XDG Base Directory de Freedesktop.org pour les distributions Linux, ou encore la prise en charge de Safe Browsing V5.
Dans un contexte d’attaques régulières contre les réglementations européennes, les États-Unis ont interdit de visa cinq Européens travaillant sur les questions de modération et de régulation des discours de haine et de la désinformation, dont l’ancien commissaire européen Thierry Breton.
Mise à jour du 24.12 à 12:41 : ajout de la déclaration de la Commission européenne.
Le ministère des Affaires étrangères (State Department) des États-Unis a interdit à cinq Européens d’entrer sur son territoire, les accusant d’avoir obligé les entreprises de la tech à censurer ou invisibiliser les points de vue de la population américaine.
Le secrétaire d’État Marco Rubio a décrit les cinq personnes visées par l’interdiction de visa en « activistes radicaux et ONG arsenalisées pour pousser la censure et sévir sur les États étrangers – en l’occurrence en visant des personnalités et des entreprises américaines ».
Un ancien commissaire européen et quatre membres de la société civile
Ancien commissaire européen au Marché intérieur, très actif sur les travaux relatifs au règlement européen sur les services numériques, Thierry Breton est concerné, aux côtés du Britannique Imran Ahmed, directeur exécutif du Center for Countering Digital Hate (CCDH), de Josephine Ballon et Anna-Lena von Hodenberg, directrices de l’ONG allemande de défense des droits numériques HateAid, et de la directrice du Global Disinformation Index (GDI) Clare Melford. Washington précise qu’aucun d’entre elles et eux n’exerce actuellement de fonctions officielles au sein des gouvernements britanniques ou européens.
Sur X, le ministre des Affaires étrangères français Jean-Noël Barrot a dénoncé« avec la plus grande fermeté » les restrictions annoncées. « Le règlement sur les services numériques (DSA) a été démocratiquement adopté en Europe pour que ce qui est illégal hors ligne le soit aussi en ligne. Il n’a absolument aucune portée extraterritoriale et ne concerne en aucun cas les États-Unis. Les peuples de l’Europe sont libres et souverains et ne sauraient se faire imposer par d’autres les règles s’appliquant à leur espace numérique. »
Ministre chargé de l’Europe, Benjamin Haddad a de son côté signifié son « soutien » aux cinq personnes sanctionnées. « Un vent de maccarthysme souffle-t-il à nouveau ? », s’interroge Thierry Breton, qui rappelle que « 90 % du Parlement européen — démocratiquement élu — et les 27 États membres à l’unanimité ont voté le DSA », et conclut : « À nos amis américains : « La censure n’est pas là où vous le pensez ». »
La Commission européenne a, elle aussi, « condamné fermement » la décision des États-Unis. « La liberté d’expression est un droit fondamental en Europe et une valeur fondamentale partagée avec les États-Unis dans l’ensemble du monde démocratique », écrit-elle dans un communiqué. Nous avons demandé des éclaircissements aux autorités américaines et restons engagés. Indiquant avoir demandé des « éclaircissements » aux autorités américaines, la commission précise : « Si nécessaire, nous réagirons rapidement et de manière décisive pour défendre notre autonomie réglementaire contre des mesures injustifiées. »
Attaques rangées contre les régulations européennes…
Depuis le début de l’année 2025, les entreprises américaines de la tech ont obtenu un soutien inégalé du pouvoir en place, en particulier sur les questions de soutien au développement de l’intelligence artificielle, des cryptoactifs, et la lutte contre les régulations étrangères, voire des États locaux. Depuis plusieurs mois, les équipes de Trump obligent ainsi les diplomates américains à construire une opposition frontale au DSA, dont l’un des objets est de minimiser la violence et la désinformation en ligne.
L’amende de 120 millions d’euros infligée à X, début décembre, a notamment été décrite par Marco Rubio comme une « attaque contre les plateformes technologiques américaines et le peuple américain par des gouvernements étrangers ». Elle résultait d’une procédure formelle ouverte deux ans plus tôt pour suspicions de violations du DSA.
… et contre toute forme de modération en ligne
Outre ces prises de parole très visibles, entamées dès le discours de J.D. Vance à Munich, en février, dans lequel le vice-président critiquait un « recul » de la liberté d’expression en Europe pour mieux soutenir le parti d’extrême-droite Alternative für Deutschland, les États-Unis travaillent par ailleurs officiellement à réduire l’accès aux visas H-1B (qui permettent de travailler sur le territoire) de toute personne travaillant sur les questions de modération.
En pratique, le mémo révélé par Reuters intime aux fonctionnaires de l’administration de vérifier les profils LinkedIn des potentiels candidats, pour mieux empêcher l’entrée sur le territoire à toute personne qui serait « responsable ou complice de censure ou de tentative de censure de l’expression aux États-Unis ». Si tous les secteurs sont théoriquement concernés, le document pousse à vérifier plus spécifiquement les activités des personnes issues des industries de la tech ou des réseaux sociaux.
Connexion
