« Incontestable »

La Cour d’Appel belge a jugé jeudi que le Transparency and Consent Framework (TCF) utilisé comme fondation pour la publicité ciblée était illégal en Europe. Pour le tribunal, le TCF viole le RGPD. Des modifications sont cependant déjà prêtes et chaque camp revendique une victoire.

Fin 2021, l’Irish Council for Civil Liberties (ICCL), une association de défense des libertés civiles, déposait plainte contre l’industrie européenne de la publicité. Elle y évoquait notamment « la plus grande violation de données au monde », les systèmes en place étant tous basés sur le Transparency and Consent Framework, soit la manière dont le consentement et les données personnelles sont gérés.

Retour sur le fonctionnement de la publicité ciblée

Pour comprendre le problème et la décision, il faut revenir un instant sur le fonctionnement de la publicité. Au cœur du dispositif, on trouve l’enchère en temps réel (RTB, pour Real-Time Bidding), un mécanisme qui permet aux entreprises d’acheter des espaces publicitaires pour les afficher sur les pages web visitées.

Ainsi, quand vous arrivez sur un site, vous constatez le plus souvent d’abord l’affichage des informations puis, dans un second temps, celui des publicités. Durant ce délai, des calculs sont effectués pour savoir quels contenus publicitaires sélectionner. Ces derniers sont, le plus souvent, ciblés. Les cookies sont examinés pour savoir si vous faites partie de la cible à atteindre, en fonction notamment de votre historique de navigation.

La construction de ce profil est cruciale pour le système publicitaire. On trouve en fait deux formes de données. D’abord, celles dites « déterministes », que vous fournissez volontairement à un site, notamment lors de l’inscription. Ensuite, celles déduites de votre navigation. La réunion des deux types permet parfois d’avoir une vue précise de votre catégorie socio-professionnelle, donc d’avoir une idée de vos revenus, en plus de vos centres d’intérêt.

Parce que ces informations peuvent être très précises et parfois embarrassantes, l’Interactive Advertising Bureau (IAB) fournit une taxonomie pour organiser la masse de données. Celle-ci en dit long sur la granularité des centres d’intérêt. Vous pouvez aussi bien être estampillé amateur d’ornithologie que de cookies, d’ampoules, d’équipements ménagers, de tout ce qui touche à la parentalité, au scrapbooking, aux produits pharmaceutiques, aux films d’horreur, aux voitures électriques, etc. Mais aussi à une religion spécifique, aux maladies sexuellement transmissibles ou à la santé mentale.

Le monde de la publicité « s’adapte » au RGPD

Cette précision dans les informations est au cœur de la plainte de l’ICCL et c’est ce qui l’avait poussée à parler de « plus grande violation de données au monde ». L’association irlandaise estime en effet que rien de tout cela n’est conforme au RGPD, notamment parce que le consentement fourni avec les fameuses bannières n’est pas complet.

L’industrie s’est pourtant adaptée à l’arrivée du règlement général sur la protection des données, entré en application en 2018. L’IAB, pour simplifier tout le processus, a ainsi proposé le fameux TCF. S’agissant d’un cadre censé avoir aplani le terrain pour l’ensemble de l’industrie publicitaire en Europe, il était proposé comme base pour modeler le recueil du consentement. Pain béni pour l’industrie, devant la complexité d’un RGPD qui refait parler d’elle depuis quelques mois, alors que la Commission travaille à sa simplification.

• RGPD : l’épineux sujet de la simplification

La plainte initiale de l’ICCL en 2018 visait le fonctionnement de ce cadre, principalement sur deux points. D’une part, elle pointait un « faux système de consentement », apparaissant bien trop fréquemment sur les sites et qui ne donnait que l’apparence d’un vrai recueil de consentement. D’autre part, et c’était le cœur de la plainte, le fait de refuser ce consentement devenait une donnée inscrite dans une base et aurait donc dû être considéré, lui aussi, comme une information personnelle.

En 2022, l’ICCL a gagné en première instance, la cour reconnaissant notamment que ce fameux refus constituait en lui-même une information personnelle et qu’elle n’était pas traitée comme tel par l’ensemble des mécanismes basés sur le TCF. Sans surprise, l’IAB avait fait appel.

En appel, les deux camps revendiquent une victoire

Il y a deux jours, l’association irlandaise a publié sur son site un communiqué annonçant sa victoire, mis à jour hier avec d’autres informations. Elle y proclame que « Google, Microsoft, Amazon, X et l’ensemble du secteur de la publicité basée sur le pistage » s’appuient un cadre illégal. La décision de la Cour d’Appel belge est d’autant plus marquante que le TCF est utilisé par « 80 % d’Internet », ajoute l’ICCL. Le chiffre, relativement vague au premier abord, renvoie à une étude de l’IAB qui estimait, en 2020, que le TCF était mis en œuvre dans 80 % des requêtes publicitaires émanant d’internautes de la zone Europe, hors trafic généré par les applications mobiles.

« La décision du tribunal d’aujourd’hui montre que le système de consentement utilisé par Google, Amazon, X, Microsoft, trompe des centaines de millions d’Européens. L’industrie technologique a cherché à dissimuler sa vaste violation de données derrière des fenêtres contextuelles de consentement factices. Les entreprises technologiques ont transformé le RGPD en une nuisance quotidienne plutôt qu’en un bouclier pour les gens », a déclaré Johnny Ryan, coordinateur de la plainte.

Trois infractions ont principalement été constatées. D’abord, le TCF n’assure pas la sécurité ni la confidentialité des données personnelles. Ensuite, le cadre ne demande pas correctement le consentement. Un point capital, car l’IAB s’est défendue en invoquant le fameux « intérêt légitime ». Or, en raison du risque grave posé par le suivi publicitaire en l’absence d’un traitement correct des informations, l’argument n’a pas été retenu. Enfin, le TCF n’assure pas la transparence sur le traitement des données.

Une responsabilité « limitée »

Dans la version en anglais de la décision (pdf), on peut lire notamment que la Cour estime « incontestable » le potentiel de l’IAB à identifier les personnes par recoupement des informations en sa possession. Que l’IAB n’ait actuellement pas les moyens techniques de le faire, car ne pouvant notamment pas relier le refus de consentement à une adresse IP, « n’est en soi pas pertinent ».

Pour autant, l’IAB Europe considère elle aussi qu’elle a gagné. L’ICCL n’a pas réussi en effet à démontrer que l’IAB était co-responsable des traitements de données personnelles. Son rôle a été reconnu comme « limité », ne portant que sur la création et l’utilisation des TC Strings (donnée sur le refus de consentement) par les éditeurs et vendeurs.

Cette décision va-t-elle entrainer un changement en Europe ? Dans l’absolu oui, mais ces changements ont en fait déjà été proposés par l’IAB en 2023 et validés par l’autorité belge de protection des données (APD). Leur exécution était cependant suspendue en attendant la fin de procédure. On ne sait donc pas, à l’heure actuelle, ce que la confirmation des infractions du RGPD aura comme conséquences exactes pour l’IAB Europe. Aujourd’hui, chaque camp estime avoir remporté une victoire.

Le Drive de Proton est resté relativement basique dans ses fonctions depuis sa sortie. L’éditeur suisse lui ajoute petit à petit des fonctions, pour lutter un peu plus à armes égales avec les deux ténors que sont Microsoft OneDrive et Google Drive.

• Proton Drive : une version finale peu convaincante pour le moment

Proton Drive reçoit ainsi les albums pour classer les photos. Comme sur les services concurrents, ils servent deux objectifs : regrouper des images par thématiques et/ou les partager. L’entreprise rappelle bien sûr que tout ce qui se trouve dans un album est chiffré de bout en bout, comme le reste des données.

Le partage est limité pour l’instant. On ne peut déclencher la fonction qu’avec d’autres personnes munies d’un compte Proton. Pour chaque partage, on peut définir les autorisations de chaque participant. À l’avenir cependant, Proton Drive permettra de générer des liens de partage et d’inviter des personnes extérieures à venir voir le contenu.

La fonction est disponible dès à présent sur toutes les versions de Proton Drive, y compris mobiles. En revanche, elle réclame d’avoir au moins un abonnement Drive Plus et n’est donc pas accessible aux utilisateurs gratuits.

Puisque l’on parle d’abonnements, Proton fête ses 11 ans d’existence et en profite pour lancer plusieurs promotions agressives sur les engagements d’un ou deux ans. Proton VPN Plus par exemple, disponible normalement à 9,99 euros par mois, voit son prix passer à 4,99 euros avec engagement d’un an (donc 59,88 euros) et 2,99 euros avec engagement de deux ans (soit 71,76 euros).

Sur Drive Plus, l’offre 200 Go passe de 4,99 à 2,49 euros avec engagement d’un an. Autre exemple, l’offre Unlimited (comprenant tous les services et leurs fonctions premium) passe de 12,99 à 9,99 euros avec engagement d’un an, soit 119,88 euros.

La politique de Microsoft sur Windows 10 : plus de support après le 14 octobre prochain. Les particuliers comme les entreprises sont invités à s’acheter de nouvelles machines capables de passer à Windows 11. S’ils possèdent des ordinateurs capables de faire le grand saut, il est chaudement recommandé de lancer la mise à jour.

• [Édito] Windows 11 : la radicalité de Microsoft est un sérieux problème

Cette frontière du 14 octobre 2025 rejaillissait automatiquement sur Office dans sa formule Microsoft 365. En d’autres termes, toutes les personnes et entreprises abonnées voyaient leur support sauter sur « l’ancien » système. De sorte que ni Windows 10 ni la suite bureautique ne recevaient plus aucune mise à jour de sécurité.

Microsoft a manifestement révisé ses plans. Sans le crier sur les toits, un nouvel article technique a été mis en ligne. L’éditeur y explique qu’au-delà du 14 octobre, les applications continueront de fonctionner comme d’habitude. Surtout, dans « l’intérêt du maintien de votre sécurité pendant la mise à niveau vers Windows 11, nous continuerons à fournir des mises à jour de sécurité pour Microsoft 365 sur Windows 10 pendant un total de trois ans après la fin du support de Windows 10, se terminant le 10 octobre 2028 ».

On parle bien des mises à jour de sécurité et d’aucune autre. Le même abonnement sur Windows 11 octroiera les nouveautés fonctionnelles mensuelles, comme d’habitude. La formule perdra donc une partie de son intérêt sur Windows 10.

Bien sûr, cette extension soudaine du support technique rouvre le dossier. La question revient sur toutes les lèvres : Microsoft se préparerait-elle à repousser la fin de support de Windows 10 ? Probablement pas, si l’on en croit la fermeté avec laquelle l’entreprise communique sur le sujet chaque fois qu’elle en a l’occasion.

Si l’on en croit StatCounter, la part de marché de Windows 10 baisse inexorablement. Cependant, le système représente toujours 53 % de tout le parc Windows installé. Un score encore très élevé, à seulement 5 mois de sa fin.

Opera a récemment mis à jour deux de ses navigateurs. Ce matin, c’était Opera GX, avec plusieurs fonctions bienvenues, mais déjà vues ailleurs. Nouveauté principale, la possibilité d’afficher deux sites côte à côte. Une capacité présente dans Vivaldi depuis plusieurs années et dans Edge depuis l’année dernière. Cet affichage se déclenche via un glisser-déposer.

La nouvelle mouture du navigateur permet également de simplifier le retour en arrière en mettant en surbrillance les cinq derniers onglets consultés. Cette fonction s’active automatiquement quand 30 onglets ou plus sont ouverts (le nombre peut être modifié dans les options). On note aussi l’arrivée de Bluesky dans la liste des réseaux sociaux pris en charge dans la barre latérale.

La gestion des onglets va piocher dans le navigateur Opera classique en récupérant les groupes d’onglets, activés là aussi par glisser-déposer. Comme chez les concurrents, on peut personnaliser la couleur et le nom du groupe, replier les onglets qui en font partie, etc. Une fonction nommée Tab Islands chez l’éditeur norvégien. Tant qu’à faire, Opera GX permet d’ajouter des émojis sur des onglets pour les retrouver plus facilement. Simple et efficace.

Rappelons qu’Opera GX est un navigateur pensé pour les joueurs. On y trouve notamment des options pour limiter la consommation des ressources et modifier le comportement du navigateur quand un jeu est actif.

Quelques jours avant, c’était Opera pour Android qui recevait une mise à jour. Lui aussi a reçu les Tabs Islands dans sa version 89. Pour la première fois, un des navigateurs mobiles d’Opera sait donc regrouper les onglets. Comme sur ordinateurs, les groupes peuvent être renommés et mis en couleur. Depuis un groupe d’onglets, si un lien doit en ouvrir un nouveau, ce dernier rejoindra automatiquement le groupe.

Au passage, Opera Mobile permet de choisir entre différentes présentations pour les onglets et groupes d’onglets : carrousel, grille ou liste. On change de vue grâce au nouveau bouton à gauche de la barre de menu en bas, dont les icônes ont été revues et agrandies pour l’occasion. Opera en a profité pour ajouter la recherche dans les onglets (il était temps) et la possibilité de mettre en sourdine un onglet.

Enfin, l’IA maison Aria a été améliorée et pourra suggérer des questions après avoir répondu à une requête. Elle invitera à compléter l’exploration de sujets, par exemple dans le cadre d’une question sur la Seconde Guerre mondiale, en listant des questions courantes.

Jusqu'à décourager les vols ?

Au cours des deux derniers jours, Google a procédé à de multiples annonces pour ses produits. L’entreprise s’est penchée notamment sur la sécurité d’Android, avec plusieurs nouveautés importantes. Elle consacre également l’ère de Gemini, l’assistant étant prévu sur pratiquement tous les supports, y compris les montres connectées et les voitures.

L’Android Show: I/O Edition est une nouvelle formule d’évènement, avant de commencer la Google I/O proprement dite. La grande conférence annuelle aura lieu les 20 et 21 mai et devrait en grande majorité se concentrer une nouvelle fois sur l’intelligence artificielle.

Défense renforcée contre les réinitialisations forcées

Le « Show » était largement centré sur les nouveautés pratiques d’Android, notamment sa sécurité. L’objectif général est simple : décourager les éventuels voleurs avec des appareils beaucoup plus complexes à réinitialiser. La société a donc présenté une protection renforcée contre le retour forcé aux paramètres d’usine, objectif ultime après le larcin.

Il s’agit d’un renforcement de protections existantes, plusieurs mécanismes existant actuellement pour vérifier que la personne demandant la réinitialisation est bien la détentrice de l’appareil. Aujourd’hui, si l’on veut déclencher cette opération via le menu de récupération ou le service Find My, il faut soit donner le mot de passe du compte Google, soit le code PIN de l’appareil. Le mécanisme se base sur une clé stockée dans une zone sécurisée. Elle n’est effacée que lors d’un lancement réussi d’une réinitialisation.

Ces protections ne sont cependant pas inviolables. Avec le temps, des méthodes ont été découvertes, dont le contournement de l’assistant de configuration. Android 15 a déjà insisté sur ce point, en rendant impossible l’installation d’applications ou la configuration d’un nouveau compte quand un tel contournement est détecté. Sur Android 16, via une mise à jour plus tard dans l’année, ces blocages seront généralisés. En somme, tout contournement détecté bloquera le reste des fonctions de l’appareil, tout en relançant l’assistant de configuration. La capture fournie par Google est claire sur ce point.

Des protections contre les arnaqueurs sur tous les appareils (ou presque)

Google avait également du neuf pour presque tous les utilisateurs, puisque des protections supplémentaires contre les arnaqueurs vont être déployées sur les appareils équipés d’Android 11 au moins.

Parmi ces protections, le blocage automatique des installations de nouvelles applications depuis un navigateur web, une application de messagerie ou d’un autre service quand une communication avec un contact inconnu sera détectée. Ce blocage pourra être outrepassé, mais le système avertira du danger.

Blocage automatique aussi pour la modification des paramètres d’accessibilité d’une application quand on est au téléphone. Là aussi, des messages de sécurité apparaitront pour informer du danger, mais il ne semble pas possible d’outrepasser la protection. Même chose pour toute tentative de désactiver le service de protection Play Protect pendant un appel. Ces protections seront cependant réservées à Android 16.

Une autre fonction arrivera plus tard, à nouveau pour tous les appareils avec Android 11 au moins. En test au Royaume-Uni, elle consiste à prévenir l’utilisateur d’un danger s’il essaye d’ouvrir une application bancaire pendant un partage d’écran. Le danger sera expliqué et, s’il décide de ne pas raccrocher, un temps d’attente de 30 secondes sera imposé avant de poursuivre.

Google vient ainsi renforcer son arsenal contre les arnaques en tout genre. Depuis l’année dernière, la firme met un accent particulier sur ces protections, avec notamment l’utilisation de l’IA pour détecter les arnaques probables au téléphone et dans l’application Messages.

Du nouveau aussi pour la Protection Avancée

La Protection Avancée s’adresse à une partie des utilisateurs Android, quand ils estiment que leurs données sont trop sensibles pour se contenter des défenses habituelles. Les profils fréquemment cités sont les personnalités publiques et politiques, le corps diplomatique, les journalistes, les activistes, etc.

Ce mode particulier verrouille un certain nombre de mécanismes et va être renforcé avec Android 16, a priori dès son lancement. Le système va ainsi garder une trace de toutes les tentatives d’intrusion détectées et les stockera dans un journal qui sera stocké dans le cloud de Google, mais avec un chiffrement de bout en bout. L’idée est de permettre son analyse depuis un autre appareil, si le smartphone est suspecté de compromission.

Dans le même ordre d’idée, le mode bloquera automatiquement toute recharge de la batterie dans le cas d’une nouvelle connexion USB si l’appareil est déverrouillé. Il faudra donc le verrouiller de nouveau, pour que l’appareil auquel le smartphone est adossé ne puisse pas déclencher de tentatives d’intrusion.

On a également appris que le redémarrage automatique du téléphone après trois jours d’inutilisation était prévu pour la Protection Avancée. Ce changement, équivalent à celui mis en place par Apple il y a quelques mois, avait pour rappel été détecté dans une mise à jour de Google Play. L’objectif de ce redémarrage est de replonger l’appareil dans un état dit « avant premier déverrouillage », dans lequel aucune autorisation n’a encore été donnée au moindre processus. Les possibilités de piratage sont d’autant plus réduites, à moins bien sûr de trouver une faille dans le système.

Deux autres fonctions seront ajoutées. D’une part, le blocage de toute tentative de connexion à un réseau Wi-Fi considéré comme non sécurisé. Exemple classique : les réseaux ouverts dans les lieux de restauration. D’autre part, une fonction permettra l’analyse en privé d’une conversation téléphonique pour y détecter une tentative d’arnaque. Par « privé », Google entend « local », ce qui devrait limiter l’outil aux appareils récents, voire aux derniers Pixel exclusivement.

La déferlante Gemini

Qu’on se le dise, Gemini est là pour rester et va devenir incontournable. C’est en somme le message de Google pour son service d’assistant basé sur la famille de modèles d’IA générative du même nom.

Principale annonce dans ce domaine, l’extension à venir de Gemini aux montres connectées Wear OS et à Google TV. Pour l’entreprise, tout cela a du sens. Sur une montre, on pourra ainsi faire appel au service dans des situations où le téléphone n’est pas accessible. Par exemple, quand on a les mains dans la farine ou pendant une balade à vélo. Google insiste particulièrement sur l’aspect « naturel » de l’utilisation. On pourra ainsi demander à sa montre de retrouver le nom du restaurant dont un ami a parlé hier dans un e-mail.

Sur Google TV, Gemini sera utilisé pour des tâches basiques comme les recommandations de contenus et pour répondre aux questions. Dans l’exemple donné par Google, des enfants demandent à l’assistant des informations sur le système solaire, Gemini ouvrant alors YouTube pour y dénicher des vidéos éducatives.

Évidemment, le manque de puissance des montres et appareils Google TV ne laisse pas le choix : le fonctionnement de Gemini sur ces plateformes se fera intégralement en ligne. Il ne fonctionnera donc plus en cas de coupure de connexion.

Gemini va aussi s’étendre à Android Auto. Tout passager (pas de correspondance vocale dans ce cadre) pourra demander à l’assistant des fonctions classiques comme envoyer des textes ou lancer de la musique. Même chose pour le guidage GPS, que l’on pourra demander à la voix. Google insiste une nouvelle fois sur le naturel des demandes, comparé à ce qui existe déjà. Gemini pourra se souvenir de certaines demandes, comme le fait qu’un utilisateur préfère recevoir ses messages dans une langue donnée. Gemini permettra bien sûr d’exploiter les informations d’autres services Google, par exemple en demandant de signaler les restaurants disposant d’une note minimale prédéfinie le long d’un itinéraire.

Gemini pour Android Auto disposera en outre d’une fonction Live. Cette fois, Gemini sera à l’écoute en permanence, avec l’objectif de discuter de tout et n’importe quoi. Google a indiqué que la fonction était particulièrement intéressante pour les sessions de brainstorming sur tous les sujets qui pourraient intéresser les personnes dans le véhicule. Là aussi, tout le fonctionnement se fera dans le cloud, ce qui signifie que le véhicule devra avoir une connexion active. Google a toutefois indiqué travailler avec les constructeurs pour ajouter plus de puissance dans le matériel utilisé, afin qu’une partie des tâches puisse s’exécuter en local. Un fonctionnement « à la périphérie » qui améliorerait les performances et la fiabilité.

Le réseau Find My intègre le support de l’Ultra Wide Band

Enfin, quelques nouveautés sont à signaler du côté du réseau Find My, d’ailleurs renommé en Find Hub (probablement pour éviter la confusion avec l’équivalent Apple, nommé Find My Device). Pour rappel, la fonction permet de retrouver l’ensemble de ses appareils reliés au même compte Google, ou tous les gadgets de type balises associés.

Le réseau prend ainsi en charge désormais l’Ultra Wide Band (UWB), qui permet notamment une géolocalisation plus précise des appareils grâce à des émissions radio captées par les appareils alentour (s’ils disposent de l’UWB) et permettant d’évaluer avec une grande précision la distance des objets.

Problème, il faut impérativement que les appareils disposent d’une puce dédiée. Dans l’univers Android, ils ne sont pas si nombreux. Il faut posséder des smartphones Pixel ou Samsung Galaxy très récents pour en disposer.

Cela faisait un moment que Linus Torvalds voulait se débarrasser de ces vieux processeurs. Du moins pas d’eux directement, mais du 32 bits lui-même, dont ils auraient été les principales victimes collatérales.

« J’ai vraiment l’impression qu’il est temps d’abandonner le support i486. Il n’y a aucune raison pour que quiconque gaspille une seconde d’effort de développement sur ce genre de problème », écrivait-il encore il y a quelques jours.

Un autre développeur, Ingo Molnàr, a détaillé cette position : « Dans l’architecture x86, nous disposons de diverses installations d’émulation matérielle compliquées sur x86-32 pour prendre en charge d’anciens processeurs 32 bits que très très peu de personnes utilisent avec des noyaux modernes. Cette colle de compatibilité est parfois même à l’origine de problèmes que les gens passent du temps à résoudre, temps qui pourrait être consacré à d’autres choses ».

En d’autres termes, cet ancien code, que très peu de gens utilisent, consomme du temps de développement qui pourrait être mieux employé. Et cette fois, ça va se faire. Ingo Molnàr a présenté une série de modifications pour le noyau 6.15, en cours de finalisation. Les caractéristiques minimales réclamées par Linux vont se baser désormais sur TSC (Time Stamp Counter) et CX8, dont les 486 et premiers 586 sont dépourvus.

Le changement aura-t-il un impact sur les utilisateurs ? Peu probable, tant ces configurations sont anciennes. Les 486 sont apparus il y a 36 ans (à cette époque, l’unité de calcul en virgule flottante étant encore en option) et Intel ne les fabrique plus depuis 18 ans. En revanche, le noyau sera nettoyé d’un code ancien, générant ses propres problèmes.

• L’incroyable évolution des processeurs : du 386 au 486 (plus d’un million de transistors), sans oublier les 5 × 86

« Rogntudju »

Depuis le rachat de VMware par Broadcom, les relations sont tendues avec une partie de la clientèle. La suppression des licences perpétuelles a fait couler beaucoup d’encre. Maintenant que les contrats de support pour ces licences expirent l’un après l’autre, Broadcom passe à l’étape suivante : mettre en demeure les entreprises de ne plus installer la moindre mise à jour.

Le rachat de VMware, pour 61 milliards de dollars, n’en finit plus de faire parler de lui. La plus grande onde de choc a été causée par l’arrêt complet des licences perpétuelles. Il est devenu tout à coup impossible pour les entreprises d’acheter simplement des logiciels VMware. À la place, Broadcom a regroupé les produits dans des formules d’abonnements. Le problème est vite apparu : même quand il ne fallait qu’un ou deux produits, les entreprises devaient prendre des packs, entrainant une facture bien plus lourde.

• La grogne monte contre VMware (Broadcom) : AT&T, Orange et Thales vont en justice

Depuis un peu plus d’un an, la situation se tend, au point que l’Europe a décidé de s’en mêler. Tandis que la grogne montait, VMware a parfois lâché un peu de lest, rendant au passage certains produits gratuits, dont les clients de virtualisation VMware Workstation et Fusion, y compris en usage commercial.

L’objectif de Broadcom est cependant clair : faire rentrer autant de liquidités que possible en peu de temps. Les abonnements proposés vont dans ce sens, et on a pu voir fin mars que l’éditeur serrait la vis sur les licences VMware en quadruplant le nombre de cœurs minimum de facturation (de 16 à 72). Et ces tensions ne sont pas près de se calmer.

Ultimatum sur les licences perpétuelles

Comme l’indiquait il y a quelques jours Ars Technica, Broadcom envoie depuis peu des courriers aux clients équipés de licences perpétuelles. La société s’attaque frontalement à ceux dont le contrat de support s’est terminé et n’a pas été renouvelé. Elle demande instamment que cesse l’installation de mises à jour majeures et mineures, les correctifs de bugs ou failles de sécurité et globalement de toutes les révisions de leurs produits. Seule exception, les correctifs de sécurité pour les vulnérabilités 0-day.

Le courrier explique que la fin du contrat d’assistance signifie que plus aucune nouvelle version ne peut être installée, y compris les mises à jour intermédiaires d’entretien. En conséquence, si de telles versions ont été installées, elles doivent être supprimées. Pour Broadcom, les versions présentes à expiration du contrat d’assistance sont les dernières, même pour des licences perpétuelles.

« Toute utilisation du support après la date d’expiration constitue une violation substantielle de l’accord conclu avec VMware et une atteinte aux droits de propriété intellectuelle de VMware, pouvant donner lieu à des demandes de dommages-intérêts accrus et à des honoraires d’avocat », indique ainsi la lettre, signée de Michael Brown, directeur général de Broadcom.

Tout le monde est servi

Il ne semble pas cependant que ces courriers fassent suite à une situation observée. Selon les témoignages lus par Ars Technica, ces mises en demeure sont envoyées automatiquement à tous les clients ayant acheté des licences perpétuelles, dès que les contrats d’assistance sont expirés. Y compris ceux qui n’ont rien installé depuis, voire ayant transité vers des solutions concurrentes, dont Proxmox.

En outre, Broadcom informe dans son courrier se réserver le droit de procéder à des audits, « ainsi que tout autre recours contractuel ou légal disponible ». « Foutaises » pour Dean Colpitts, directeur technique de Members IT Group, pour qui ces menaces ne riment à rien, car la falsification dans ce domaine est simple et invérifiable. Toujours selon lui, la plupart des clients VMware de son entreprise utilisent désormais les produits sans support. Il ajoute que la principale préoccupation est désormais de s’assurer que le personnel n’installe pas d’autres versions que les dernières présentes à l’expiration des contrats.

Première plainte en Allemagne

Nos voisins d’outre-Rhin sont également passés à l’attaque. L’association de consommateurs VOICE a déposé plainte contre Broadcom pour abus de position dominante.

Dans le communiqué, publié le 7 mai, l’association allemande reproche « à Broadcom d’imposer des augmentations de prix exorbitantes et injustes dans le cadre du passage de la licence perpétuelle à l’abonnement, à l’aide de bundles de produits composés arbitrairement ». L’impact sur la concurrence serait particulièrement négatif et ces pratiques n’auraient qu’un seul but : « atteindre les objectifs de chiffre d’affaires et de bénéfices annoncés pour VMware ». Au risque de tuer la poule aux œufs d’or ?

« Broadcom exploite de manière très préoccupante la dépendance de ses clients vis-à-vis des produits VMware. En tant qu’association d’utilisateurs indépendante représentant les intérêts de ses membres, nous nous devons d’agir contre de telles pratiques déloyales. Nous avons d’abord essayé de dialoguer directement avec Broadcom, mais aucune amélioration n’a pu être obtenue pour les utilisateurs. L’entreprise ne se préoccupe manifestement que de ses objectifs financiers ambitieux et ne s’intéresse absolument pas aux intérêts de ses clients », a ajouté Robin Kaufmann, directeur de l’association.

Ayant déposé plainte, VOICE invite toutes les entreprises souhaitant se défendre à la contacter. La perspective d’un recours collectif n’est pas abordée.

iOS 19 et macOS 16, qui seront présentés le mois prochain, incluront une nouvelle salve de fonctions dédiées à l’accessibilité. Apple a profité de la journée mondiale de sensibilisation à l’accessibilité, comme les précédentes années, pour présenter ses nouveautés, en amont de la WWDC qui aura lieu du 9 au 13 juin.

Parmi les apports mis en avant, une nouvelle étiquette pour les fonctions d’accessibilité dans l’App Store. À la manière de celle existant pour la vie privée, la nouvelle affichera une synthèse de ce que peut faire l’application en matière d’accessibilité : compatibilité VoiceOver, textes plus gros, descriptions audios, thème sombre, contraste élevé, etc.

On note également l’arrivée d’une fonction Braille Access sur iPhone, iPad et Mac, avec notamment un outil pour prendre des notes dans ce système d’écriture. Braille Access pourra ouvrir directement les fichiers Braille Ready Format (BRF).

Safari va s’y coller aussi, avec une version spécifique du mode Lecteur, qui permet pour rappel d’extraire le texte d’une page pour en afficher une version épurée. Ce « Lecteur accessibilité » disposera de fonctions spécifiques pour manipuler plus avant le texte. Grosse nouveauté d’ailleurs : ce lecteur spécial pourra être invoqué dans toutes les applications, et pas seulement dans le navigateur d’Apple.

Signalons aussi une nouvelle Loupe pour le Mac (pouvant agir aussi sur le nouveau Lecteur accessibilité), l’arrivée des sous-titres en direct sur l’Apple Watch (en se servant de l’iPhone comme microphone), la possibilité d’utiliser le Vision Pro comme loupe générale, des sons d’ambiance ou encore une fonction de réduction du mal des transports pour le Mac (elle existe déjà sur iPhone).

Dans un billet de blog, l’entreprise a révélé son Material 3 Expressive, langage graphique bâti sur les fondations de Material You et se voulant plus expressif. L’annonce avait pour rappel déjà été publiée il y a une semaine, avant d’être rapidement retirée.

Et effectivement, l’ensemble est riche en couleurs, vise la douceur avec des arrondis omniprésents et présente de nombreux petits effets graphiques. Par exemple, supprimer une notification dans la liste aura une légère influence sur les notifications proches.

Comme on peut le voir sur la vidéo, ces effets sont nombreux mais relativement subtils. On peut également voir que ce design débarquera aussi bien sur Android que sur Wear OS.  Google, dans son exposé, indique que ces changements sont le résultat de « recherches approfondies ».

Pourtant, il y a quelques jours, quand les premières informations sur ce nouveau langage graphique sont apparues, on pouvait lire de nombreux commentaires négatifs, voire acides, notamment chez Neowin.

Il ne s’agit pas que de modifications visuelles. Une partie des améliorations est liée à la lisibilité et, de manière générale, à l’accessibilité. Un travail particulier a par exemple été fait sur la police et sa taille à travers l’ensemble des interfaces.

Les réglages rapides sont également plus personnalisables, avec la possibilité d’ajouter plus de boutons. Material 3 Expressive inclura aussi le suivi « live » dans les notifications, comme on le trouve dans iOS depuis quelques années. Il permet d’afficher la progression d’une livraison, d’une commande, etc.

Selon Google, la diffusion aura lieu plus tard dans l’année et commencera par Android 16. Il ne semble pas prévu de répercussion sur les Android plus anciens. Dans tous les cas, ce sont – comme toujours – les Pixel qui seront servis en premier.

Un important changement a lieu en ce moment pour la gestion du code source de Firefox. Mozilla l’a « déplacé » vers GitHub. Les guillemets sont de rigueur, car le processus de transition depuis les serveurs hg.mozilla.org est toujours en cours et la synchronisation avec les serveurs Mercurial est toujours active.

Dans l’immédiat, rien ne change donc pour les développeurs. Il s’agit cependant du début de la fin pour l’ancienne architecture utilisée par Mozilla. C’est la conséquence du choix de passer sur une infrastructure Git pour gérer le projet. Pour le moment, on ne parle que de stockage du code, sans impact sur le suivi des bugs, l’intégration continue et autres fonctions.

Notez qu’il ne s’agit pas du premier dépôt que Mozilla possède sur GitHub. La fondation utilise par exemple un dépôt miroir pour Gecko, bien qu’en lecture seule uniquement.

Apple a publié hier soir la cinquième version intermédiaire pour les dernières versions de ses plateformes : iOS 18.5, macOS 15.5, watchOS 11.5, tvOS 18.5 et visionOS 2.5.

On ne peut pas dire que les nouveautés visibles se bousculent, après des versions « .4 » particulièrement intenses. Sur iOS par exemple, on trouve quelques nouveaux fonds d’écran et aménagement dans Mail, une meilleure prise en charge des eSIM chez Free ou encore un léger enrichissement du contrôle parental. L’ajout le plus significatif reste l’activation des communications d’urgence par satellite sur les iPhone 13.

Du côté de macOS, c’est encore plus léger. Tout au plus le bouton « Tous les e-mails » est devenu plus visible dans Mail, pour les personnes utilisant les catégories introduites par la version 15.4 du système. Pour les autres systèmes, la récolte est tout aussi maigre. On note quand même la possibilité sur Apple Watch de valider les achats réalisés sur l’application Apple TV sur des appareils tiers, ainsi que deux nouvelles voix pour Siri.

En revanche, ces mises à jour corrigent plusieurs dizaines de failles de sécurité. On trouve également ces correctifs dans des mises à jour disponibles pour d’anciennes versions des systèmes, comme macOS 14.7.6 et 13.7.6. L’installation de ces nouvelles versions est donc chaudement recommandée.

« On raccourcit tout, mais sans toucher à la longueur »

Lors de son entrée en vigueur en 2018, le règlement général sur la protection des données était un texte historique. La Commission travaille désormais à une simplification de ce texte complexe. Alors que les propositions n’ont pas été formellement posées sur la table, les premières critiques fusent déjà.

Le RGPD a pour beaucoup été un « phare » dans le domaine de la protection des données personnelles. Avec son règlement, l’Europe voulait donner le LA et inspirer les autres nations. Ce fut en partie le cas, la Californie et le Brésil adoptant des textes similaires. Son impact novateur sur le respect de la vie privée a aidé à mettre en lumière les pratiques de certaines entreprises, dont les condamnations sont venues illustrer l’ampleur du problème. Cependant, le règlement a été critiqué pour ses lourdeurs.

Lourdeurs et temps d’attente

Deux critiques ont ainsi été formulées à de nombreuses reprises. D’une part, le manque d’accompagnement des entreprises pour absorber une législation unanimement considérée comme complexe. D’autre part, la difficulté des processus était d’autant plus grande que le règlement affecte l’ensemble de l’Union européenne et qu’il suppose une collaboration renforcée des différentes autorités compétences, comme la CNIL en France. Or, toutes ne comprennent pas le RGPD de la même façon. Ces écarts ont créé une accumulation des procédures et un allongement significatif des délais de traitement.

Pour autant, le RGPD de 2018 n’était qu’une première version. Le sujet de sa simplification anime de vifs débats depuis deux ans. Il s’inscrit d’ailleurs dans une volonté de la Commission de simplifier de nombreuses procédures, intensifiée par le changement brusque d’attitude des États-Unis depuis le retour de Donald Trump à la Maison-Blanche. Compétitivité et investissements sont de nouveau les maitres-mots, faisant de la révision du RGPD un numéro de funambulisme. Une volonté de simplification que l’on retrouve notamment sur tout ce qui touche au développement durable, comme l’onde de choc du rapport Mario Draghi l’a montré en février.

Simplifier sans altérer ?

L’idée serait donc de simplifier une partie des procédures du RGPD, sans toucher à son essence. Mais comment obtenir globalement les mêmes résultats via des mécanismes plus fluides ? Essentiellement en allégeant certains critères, notamment pour les petites et moyennes structures.

La Commission envisage par exemple d’étendre certaines exemptions. Aujourd’hui, les structures de moins de 250 employés (entreprises, associations…) n’ont pas à tenir un registre des traitements opérés sur les données personnelles (article 30). La Commission réfléchit à relever ce plafond à toutes les structures de moins de 500 personnes et dont le chiffre d’affaires ne dépasse pas un certain seuil. De plus, cette dérogation ne s’applique actuellement pas si ces traitements présentent « un risque pour les droits et libertés des personnes physiques ». Le changement envisagé basculerait sur un « risque élevé ».

L’European Data Protection Board (EDPB, qui regroupe toutes les CNIL européennes) et l’European Data Protection Supervisor (EDPS, qui surveille la bonne application des lois sur la vie privée par les instances européennes) ont toutes deux manifester leur soutien à cette mesure.

Dans un courrier daté du 8 mai, les deux autorités rappellent cependant que cela ne dispensera pas les responsables de traitements des autres obligations. En outre, elles font remarquer à la Commission qu’il manque en l’état des informations. Elles demandent donc que soit mieux évalué l’impact, en indiquant notamment combien de structures seraient concernées et si un « équilibre proportionné » peut être établi entre juridiction des données personnelles et intérêts des organisations.

Paver la voie aux petites et jeunes entreprises

Cette simplification ne serait qu’un exemple, parmi un concert de voix réclamant une version plus légère du RGPD. Fin mars, la ministre danoise du Numérique, Caroline Stage Olsen, déclarait ainsi que si le RGPD avait apporté nombre de « bonnes choses », il fallait « faciliter la tâche des entreprises et leur permettre de se conformer », rapportait Politico.

Un peu plus tôt, Michael McGrath, le commissaire européen chargé de superviser les lois sur la confidentialité des données, révélait en effet l’ambition de simplifier le RGPD. Lors d’un échange au Center for Strategic and International Studies (CSIS, pdf), il parlait d’améliorer la compétitivité européenne via « toute une série de mesures de simplification ». Et de citer à nouveau le rapport Draghi, pour lequel le RGPD était trop strict et lourd en l’état, en plus d’une application incohérente à travers les membres de l’Union. Exemple : l’âge du consentement, différent selon les pays.

La conformité au RGPD ferait « peur », à cause notamment des coûts qu’elle engendre. Les petites et moyennes structures ne disposent pas toujours du personnel juridique nécessaire. Elles n’ont pas forcément de délégué à la protection des données (DPD) et ne connaissent pas toujours les exigences sur les AIPD (ou DPIA), les analyses d’impact sur la protection des données. La crainte d’énormes amendes, voulues dissuasives, engendrerait également une prudence excessive, voire une paralysie.

Plusieurs propositions ont été faites au sujet des AIPD. Actuellement, ces évaluations sont nécessaires dès qu’un risque élevé est supposé. Des exemptions pourraient être mises en place pour les PME dont le traitement des données est limité. Des modèles pré-approuvés sont également envisagés. Des orientations sectorielles pourraient être mises en place pour guider les entreprises et leur « mâcher » en partie le travail. La Commission réfléchit également à définir des seuils plus clairs pour déclencher l’obligation de nommer un DPD. Ces délégués pourraient être partagés entre plusieurs entreprises, voire pourraient être embauchés via des prestataires spécialisés.

Risques et critiques

Rouvrir le dossier RGPD en vue de le simplifier permettrait de répondre à une partie des craintes et critiques exprimées. Mais l’opération pourrait servir également de prétexte à une suppression zélée, sous prétexte de fluidifier la vie des entreprises et autres structures. C’était notamment la crainte exprimée par Guillaume Champeau sur LinkedIn le mois dernier. Il évoquait une « boite de pandore », dont l’ouverture servirait à glisser dans le texte des notions floues comme « l’intérêt légitime » ou des conditions allégées sur l’obtention du consentement.

Pourtant, à l’inverse, l’association noyb, fondée par Maximilien Schrems, met en garde contre une complexification extrême du RGPD. Le 17 avril, elle pointait que les négociations entre la Commission, le Parlement et le Conseil de l’Union créaient un sac de nœuds.

L’association reproche principalement à la Commission européenne l’absence d’étude d’impact sur le RGPD et de consultation avec les parties prenantes. Face aux problèmes de négociation, les volontés de simplification auraient abouti à la place à la multiplication des procédures et l’introduction de régimes spécifiques. Au lieu d’avoir une procédure simplifiée, il y en aurait maintenant une dizaine. Maximilien Schrems critique également « l’absence de savoir-faire procédural » et relève que la Commission ne semble pas avoir consulté d’avocats spécialisés. Il déplore en outre que rien ne semble prévu pour faciliter la coopération entre les différentes autorités des pays membres.

Pour l’instant, la Commission européenne n’a pas formellement annoncé l’ampleur des modifications envisagées. Cette publication devrait intervenir au cours des prochaines semaines et sera scrutée de près. Elles pourraient se limiter aux seules modifications « validées » par l’EDPB et l’EDPS, comme le suggérait Guillaume Champeau. Mais le RGPD, dans sa forme révisée, ne répondrait alors pas aux critiques sur sa lourdeur, dont les craintes de redondances avec de nombreux autres cadres réglementaires, dont le DMA, le DSA et les trois directives sur la cybersécurité, en cours de transposition en France.

• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat

L’ODF a fêté son vingtième anniversaire le 1^ᵉʳ mai. L’occasion pour la Document Foundation, qui édite aussi bien le format que la suite LibreOffice, de rappeler ses objectifs.

À sa création, la situation était très différente. La suite Office de Microsoft régnait en maitre et les usages étaient bien moins connectés. L’offre de Microsoft était la seule garantie d’ouvrir correctement les documents associés. Mais Sun rachète l’éditeur allemand Star Division en 1999, et avec lui sa suite bureautique StarOffice, qui deviendra OpenOffice.

En 2002, Sun propose à l’OASIS (Organization for the Advancement of Structured Information Standards) de standardiser son format de document, basé sur le XML. L’organisme va aller nettement plus loin, créant une nouvelle norme, publiée dans sa forme finale le 1^ᵉʳ mai 2005 : l’ODF ou Open Document Format. L’année suivante, il devient une norme ISO/IEC.

De son côté, Microsoft a voulu faire de même, car le danger était grand. Son format Office Open XML a ainsi d’abord été validé par l’ECMA, avant de devenir à son tour une norme ISO/IEC en 2008. Problème, comme le souligne la Document Foundation, ce standard n’a pas été implémenté dans Office, c’est une autre version d’OOXML que l’on y trouve.

« Le format Open Document (ODF) a été conçu comme une norme documentaire pour les 20 à 50 prochaines années, afin de libérer les utilisateurs de la stratégie de verrouillage des formats propriétaires d’hier et d’aujourd’hui et de favoriser l’interopérabilité », affirme ainsi la fondation. Par opposition, elle évoque une « stratégie de verrouillage pour les 20 à 50 prochaines années » pour l’OOXML de Microsoft.

Bien que Microsoft continue de régner en maitre sur la bureautique, l’ODF a remporté quelques succès notables. Il est ainsi le format de document par défaut dans certaines administrations, dont l’OTAN, le Brésil, l’Inde ou encore l’Afrique du Sud. En France, le référentiel général d’interopérabilité préconise également l’ODF dans les administrations.

Il y a quelques jours, Clément Lefebvre, développeur principal de Linux Mint, a donné quelques nouvelles sur les prochaines versions de la distribution.

On sait ainsi que la mouture 22.2 sera nommée « Zara » et est attendue pour le mois prochain ou juillet au plus tard. Comme les versions 22 et 22.1 précédemment, elle sera basée sur la branche Ubuntu 24.04. Linux Mint ne se base pour rappel que sur les moutures LTS (Long Term Support) d’Ubuntu, qui ne paraissent que tous les deux ans.

Les nouveautés de Linux Mint 22.2 sont globalement connues, dont une révision importante du menu général qui se veut plus clair, notamment avec des noms complets pour les dossiers usuels. Clément Lefebvre en profite pour aborder d’autres petites évolutions, dont une modernisation dans les teintes du thème Mint-Y, le support de la couleur d’accentuation dans l’application XApp du portail de bureau XDG ou encore les problèmes rencontrés avec la bibliothèque Libadwaita.

L’équipe de développement a abordé à plusieurs reprises les soucis engendrés par cette dernière. Les développeurs avaient notamment choisi de garder leurs XApps (applications maison) sous GTK3. La principale raison est que les XApps doivent pouvoir fonctionner de manière identique dans les environnements Cinnamon, MATE et Xfce, les trois supportés par Linux Mint. Comme l’indique Clément Lefebvre, Libadwaita est surtout conçue pour fonctionner avec GNOME.

Quant à LMDE 7, on sait que son nom officiel sera « Gigi ». Cette prochaine Linux Mint Debian Edition est particulièrement attendue car elle sera basée sur la toute nouvelle Debian 13. Sa date de sortie n’a pas encore été annoncée, même si les Debian sortent habituellement pendant l’été. LMDE 6 avait été ainsi publiée en septembre 2023, trois mois après Debian 12. La logique voudrait que LMDE 7 ne soit pas disponible avant cet automne.

Rappelons enfin que cette Debian Edition propose les mêmes fonctions et capacités que la distribution Linux Mint habituelle. Elle a été créée pour se ménager une voie de sortie dans cas où la politique de Canonical sur Ubuntu changerait de manière trop abrupte.

Il y a trois jours, un petit « évènement » a eu lieu au sein du projet GNOME : la proposition de fusionner Showtime dans la branche Master a été accepté. Showtime est un lecteur multimédia récent, qui a le gros avantage d’être bâti sur des fondations nettement plus récentes que l’application utilisée jusqu’à présent, Totem.

Le changement sera répercuté pour la version 49 de l’environnement, prévue pour septembre. Il mettra fin à la carrière de Totem, qui durait depuis dix ans. Dans les distributions Linux basées sur GNOME, l’application se trouve sous les noms « Video Player », ou simplement « Vidéos » en version française.

Totem avait fait son temps. Son développement n’était plus guère actif, les nouvelles versions n’étant surtout publiées que pour corriger quelques bugs. Problème principal, ses fondations GTK3, quand tout ce qui touche à GNOME est sur GTK4 depuis un moment. Showtime, qui le remplace, s’en sert justement, tout comme de la bibliothèque Libadwaita et du framework GStreamer. L’interface est donc plus moderne, minimaliste, avec notamment des contrôles s’effaçant pendant la lecture.

Bien que ce changement d’application par défaut soit prévu dans quelques mois, rien n’empêche d’utiliser Showtime en l’installant depuis la boutique Logiciels ou la ligne de commande. D’autres lui préfèreront cependant VLC, d’ailleurs fourni avec plusieurs distributions.