Le procès contre trois anciens cadres et dirigeants d’Ubisoft se déroulait cette semaine à Bobigny. Ils sont accusés de harcèlement moral et sexuel, et pour l’un d’eux d’agressions sexuelles. Le procureur a requis des peines de prisons avec sursis allant jusqu’à trois ans et des amendes pour tous, considérant les faits d’une « extrême gravité ». Le délibéré doit être rendu début juillet.

Cette semaine se tenait le procès (d’abord reporté) de Thomas François, Serge Hascoët et Guillaume Patrux. Tous les trois ont occupé des postes à responsabilité pendant des années chez Ubisoft et sont accusés de harcèlement moral et sexuel au sein de l’entreprise. Le premier est aussi poursuivi pour une tentative d’agression sexuelle aggravée sur une salariée.

La publication d’enquêtes de Libération et Numerama en 2020 a mis en lumière le harcèlement moral, sexiste et sexuel institué chez Ubisoft pendant une dizaine d’années.

Jeudi soir, le procureur a requis contre l’ancien vice-président du service éditorial, Thomas François, trois ans de prison avec sursis et 30 000 euros d’amende, explique Le Parisien. Le parquet a réclamé 18 mois avec sursis et 45 000 euros d’amende contre l’ex-n° 2 de l’entreprise, Serge Hascoët, et un an de prison et 10 000 euros d’amende contre le game designer Guillaume Patrux.

Ambiance violente, sexiste et de harcèlement

Pendant cette semaine, de nombreux témoins ont décrit une ambiance violente, sexiste et de harcèlement au sein du studio de jeux vidéo. « Au cours de quatre jours d’audition, d’anciennes employées ont raconté avoir été attachées à une chaise, forcées à faire le poirier, soumises à des commentaires constants sur le sexe et leur corps, à des blagues sexistes et homophobes, à des dessins de pénis collés sur les ordinateurs, à un directeur qui pétait au visage des employées ou gribouillait sur les femmes avec des marqueurs, à des massages d’épaule non sollicités, à des films pornographiques dans un bureau ouvert, et à un autre cadre qui faisait claquer un fouet près de la tête des employées », décrit le Guardian.

Accusation d’agressions sexuelles

« Quand j’allais au bureau, j’avais envie de créer un environnement de travail cool, de faire de grands jeux », a affirmé Thomas François comme le rapporte le média canadien La Presse. Sans nier tous les faits, il les a souvent minimisés. Il justifie par exemple l’organisation de « chat-bite » en affirmant que « c’était des blagues entre hommes, de façon consentante et en connivence ». « Si j’avais su que cela la mettait mal à l’aise, je n’aurais pas continué », affirme-t-il, à propos du fait d’avoir ligoté à une chaise une salariée et de l’avoir mise dans l’ascenseur, rapporte La Presse. Lors de sa plaidoirie, son avocat a tenté un trait d’humour pour le moins déplacé, glissant la réflexion « attention pas shabbat, chat-bite », raconte Libération.

Une ancienne assistante de son service a expliqué, soutenue par d’autres témoignages, que Thomas François a tenté de l’embrasser de force pendant une fête, des collègues la retenant de force. Lui continue à nier : « Je lui ai demandé : “Est-ce que je peux te faire un bisou ?” et j’ai vu qu’elle s’est reculée, donc je me suis arrêté, je ne suis pas un bourrin », rapporte La Presse. Une autre femme a témoigné avoir, elle-aussi, été victime d’un baiser forcé de sa part.

Laissé faire et encouragement

L’ancien numéro 2, Serge Hascoët n’a rien fait après avoir reçu des plaintes à propos du harcèlement de Thomas François. Pire, il a même « encouragé la poursuite du harcèlement commis par Thomas François en assistant aux scènes, en les banalisant et en y participant parfois activement », a expliqué le procureur. Mardi, il avait « nié avoir été témoin ou auteur de faits de harcèlement moral ou sexuel », selon Le Monde. Concernant le harcèlement sexuel, le procureur a demandé la relaxe de Serge Hascoët mais aussi qu’il en soit reconnu complice, explique le Parisien.

Il a aussi noté qu’il avait utilisé ses collaboratrices comme « des supplétifs », leur demandant de s’occuper de sujets personnels comme les obsèques de sa femme ou d’en humilier une en tendant son mouchoir souillé accompagné d’un « Tu peux le vendre, ça vaudra de l’or ».

Lundi, Libération racontait qu’au premier jour du procès, les deux anciens cadres avaient mêlé leurs regrets à leur nostalgie pour une époque où « on s’amusait et on faisait de belles choses ».

Enfin, le responsable du jeu Agos (A Game of Space), Guillaume Patrux est accusé de harcèlement moral, pour avoir fait notamment claquer un fouet dans l’open space de l’entreprise et « à quelques centimètres du visage de ses collaborateurs » mais aussi avoir brûlé au briquet la barbe d’un de ses collègues. Il s’est excusé pour certains de ses gestes mais son avocat a pointé le fait qu’il n’avait fait l’objet « d’aucune alerte et d’aucun reproche ». « Si Guillaume Patrux avait été d’une violence incroyable, ses supérieurs lui auraient dit d’arrêter. Mais rien, pas un mot, a-t-il fait valoir. Comment pouvait-il avoir conscience de harceler ses collègues si personne ne lui dit rien ? », cite La Presse.

L’absence de la personne morale d’Ubisoft et des frères Guillemot

Selon Libération, le procureur a nié le fait qu’il s’agisse d’un changement d’époque et de paradigme : « il s’agit d’une libération de la parole. Mais pas de faits qui seraient soudain devenus répréhensibles. On parle seulement de faits qui étaient tus et ne le seront plus ».

Les différentes parties ont pointé un vide lors du procès : l’absence décidée par le parquet de la direction des ressources humaines, de la personne morale d’Ubisoft et de ses PDG, Michel et Yves Guillemot. Comme on peut le lire plus haut, la défense de Guillaume Patrux a notamment renvoyé la responsabilité sur le manque de réaction de ses supérieurs.

Pourtant, lors de son réquisitoire, le procureur a affirmé que tous ces comportements de ces cadres dirigeants avaient laissé penser aux salariés « qu’ils étaient autorisés et relevaient de la norme » et qu’ils avaient mis en place « une ambiance harcelante ». Le délibéré doit être rendu le 2 juillet.

Mais l’entreprise n’est pas encore au bout de ses peines. Comme l’a rapporté notre consœur de France Info, Clara Lainé, l’avocate Maude Beckers va « délivrer « dans les semaines qui suivent » une citation directe à l’encontre d’Ubisoft en tant que personne morale, d’une DRH (Marie Derain) et Yves Guillemot ». Ceci « pour remettre en lumière, le caractère systémique du harcèlement chez Ubisoft », explique le syndicat Sud Informatique, dont elle est la représentante.

Le procès pour violation de Copyright entre le New York Times et OpenAI suit son cours depuis la plainte déposée par le journal étasunien en décembre 2023.

Mais, à la mi-mai, le juge en charge de l’affaire a ordonné à OpenAI de préserver « tous les journaux de sorties qui devraient normalement être supprimés » et ce « jusqu’à nouvel ordre de la Cour », a appris Arstechnica. Il précise que cet ordre concerne toutes les données qu’OpenAI supprime d’habitude, « que ces données soient supprimées à la demande d’un utilisateur ou en raison de « nombreuses lois et réglementations sur la protection de la vie privée » qui pourraient exiger qu’OpenAI le fasse ».

Sans surprise, l’entreprise d’IA générative s’oppose à cet ordre. Elle affirme que le tribunal a pris cette décision en se fondant uniquement sur une intuition du New York Times et d’autres plaignants du secteur de l’information. De fait, le média a affirmé que les utilisateurs qui exploiteraient le chatbot pour contourner son paywall seraient plus enclins à supprimer leur historique.

OpenAI ajoute que, sans « aucune raison valable », l’ordre « continue d’empêcher OpenAI de respecter les décisions de ses utilisateurs en matière de protection de la vie privée ».

OpenAI précise que les données concernées sont celles de tous les utilisateurs du chatbot de l’entreprise, qu’ils aient un compte gratuit, Plus ou Pro et qu’ils passent par l’interface graphique ou l’API. Elle précise dans un billet que ça n’affecte par contre pas les utilisateurs de ses offres Enterprise et Edu.

L’entreprise ajoute que « seule une petite équipe juridique et de sécurité d’OpenAI, soumise à un audit, pourra accéder à ces données si cela s’avère nécessaire pour respecter nos obligations légales ».

« Nous nous opposerons à toute demande qui compromettrait la vie privée de nos utilisateurs ; il s’agit là d’un principe fondamental », a affirmé Sam Altman sur X.

Dans un billet publié sur son blog, Anthropic annonce avoir livré plusieurs modèles destinés aux agences de la sécurité nationale américaine.

L’entreprise assure qu’ils commencent déjà à être déployés dans les agences avec un accès limité à « ceux qui travaillent dans ces environnements classifiés ».

L’entreprise a réussi à s’assurer des contrats avec différentes agences étasuniennes. En novembre, elle annonçait un partenariat avec AWS et Palantir pour fournir à l’armée et aux renseignements américains une plateforme.

L’entreprise donne une liste d’adaptations spécifiques à ce genre d’utilisation :

• « Meilleure gestion des documents classifiés, les modèles refusant moins de répondre à ce genre de demande
• Meilleure compréhension des documents et des informations dans les contextes du renseignement et de la défense
• Meilleure maîtrise des langues et des dialectes essentiels aux opérations de sécurité nationale
• Meilleure compréhension et interprétation des données complexes relatives à la cybersécurité pour l’analyse du renseignement »

L’organisation BEUC, qui rassemble des associations européennes de consommateurs comme l’UFC-Que choisir en France ou Testachats en Belgique, vient de porter plainte auprès de la Commission européenne pour l’utilisation de dark patterns (interactions trompeuses) sur le site marchand du géant chinois Shein.

« Ceux-ci poussent les consommateurs à acheter plus que prévu et alimentent les problèmes environnementaux et sociétaux causés par l’industrie de la mode éphémère », affirme la BEUC dans son communiqué de presse. Ces associations appuient leur action sur la vague actuellement en cours contre les marques chinoises de la « fast fashion ».

Leur plainte demande aux autorités européennes d’imposer à Shein de :

• « Cesser d’utiliser des techniques trompeuses telles que le « confirm-shaming », la manipulation des émotions des consommateurs, l’utilisation du défilement infini et le « harcèlement », qui, selon notre évaluation, constituent des pratiques commerciales déloyales (conformément à la directive de l’UE sur les pratiques commerciales déloyales).
• Fournir des preuves démontrant que les témoignages de clients ou les messages tels que « stock faible » qui sont affichés de manière répétée aux consommateurs sont authentiques. Si ce n’est pas le cas, demandez à SHEIN de cesser d’utiliser ces pratiques. »

Pour le directeur de la BEUC, Agustín Reyna, « l’utilisation par SHEIN de dark patterns est une réalité bien documentée, qui dure depuis plusieurs années, comme le révèlent les recherches des membres du BEUC. Ils incitent les consommateurs à dépenser toujours plus d’argent pour des produits de la « fast fashion », qui sont nocifs pour eux-mêmes, pour l’environnement et pour les personnes qui les produisent ».

La BEUC publie en parallèle un rapport sur cette pratique de Shein [PDF]. Pour ce regroupement d’associations de consommateurs, la fast fashion et les dark patterns sont un « cocktail toxique ».

Annonce cryptique

Le réseau social X lance doucement une messagerie personnelle annoncée avec emphase comme plus robuste par Elon Musk concernant la protection des données. Les déclarations du milliardaire sur la technologie utilisée ne donnent pas confiance dans la robustesse du système de chiffrement.

Comme souvent, c’est par un tweet qu’Elon Musk a annoncé dimanche l’arrivée d’une nouvelle fonctionnalité dans la galaxie de son entreprise de réseaux sociaux X : XChat. Plus que le remplacement du système de direct message (DM) de X, ce nouveau service est présenté comme une messagerie personnelle plus complète. Elon Musk a ajouté qu’il serait possible de passer des appels audio et vidéo avec cette nouvelle messagerie sans numéro de téléphone. Petit à petit, les utilisateurs abonnés du réseau social voient le nouvel onglet « chat » apparaitre sur la barre de navigation de X.

New Feature Alert!
X now has a Chat tab (Beta) – and it’s rolling out!
Encrypted messages
Strong privacy
Passcode protection pic.twitter.com/dw6jnhMaYz

— Jonah Manzano (@jonah_manzano) May 29, 2025

Passons sur le fait qu’un client de messagerie du même nom basé sur IRC a déjà existé. Celui-ci n’est plus mis à jour depuis 2010.

Ce message du CEO de X est arrivé quelques jours après que l’entreprise a annoncé la mise sur pause du service de chiffrement qu’elle avait mis en place pour les utilisateurs abonnés.

La longue et laborieuse mise en place du chiffrement dans les DM de X

En effet, en 2023, l’entreprise avait déjà mis en place une solution de chiffrement des messages privés. Mais très rapidement, celui-ci avait été critiqué. Wired expliquait qu’il était « nettement inférieur » à ceux de Signal et de WhatsApp. Après avoir affirmé utiliser un chiffrement de bout-en-bout, l’entreprise était revenue sur ses pas.

Le chercheur Matthew Green affirmait qu’il n’y avait pas de comparaison possible avec les messageries qui utilisent le protocole de Signal. Mais il ajoutait : « d’un point de vue positif, il s’agit d’un premier pas, et peut-être que les choses s’amélioreront ».

Des déclarations qui ne rassurent pas

Mais les premières déclarations d’Elon Musk ne permettent pas de rassurer sur ce point, concernant son nouveau système. En effet, il a affirmé que XChat « était développé avec Rust avec un chiffrement (de type Bitcoin), une toute nouvelle architecture ».

Comme l’a rapidement fait remarquer le chercheur de l’Université du Maryland, Ian Miers, cette déclaration n’est pas une description d’un système de chiffrement. Si la blockchain utilise de la cryptographie, ce n’est pas pour chiffrer des messages mais pour signer des transactions. Et les deux fonctionnalités n’ont rien à voir. De même, utiliser le langage Rust pour écrire tout ou partie d’une application ne certifie pas de la sécurité des données manipulées. « Cela revient à dire qu’on a décidé de faire fonctionner notre fusée à l’eau, puisque la NASA utilise de l’hydrogène et de l’oxygène », résume Ian Miers.

The Register a remarqué que la page d’aide en anglais fournie par X a été mise à jour (contrairement à la version francophone) et précise désormais que « la dernière version de X comprend une version bêta de la nouvelle fonction de messagerie directe (« Chat »). Lors de la première utilisation de la fonction Chat, une paire de clés privée-publique spécifique à chaque utilisateur est créée ».

Mais X y a laissé la phrase suivante : « Actuellement, nous n’offrons pas de protection contre les attaques de type « man-in-the-middle » ». Et l’entreprise commente : « par conséquent, si quelqu’un – un initié malveillant ou X lui-même à la suite d’un processus juridique obligatoire – compromettait une conversation chiffrée, ni l’expéditeur ni le destinataire ne le sauraient ».

« XChat semble n’être qu’une autre plateforme centralisée où les utilisateurs n’ont aucun contrôle sur leurs données », pour Matthew Hodgson, le co-créateur de la messagerie chiffrée Element (qui utilise le protocole Matrix), interrogé par The Register.

Hodgson ajoute  : « Elon Musk affirme qu’il est « chiffré », mais n’offre aucune transparence technique, aucun audit, aucune source, juste de vagues références à une architecture de type bitcoin ».

X n’a semble-t-il pas prévu pour l’instant d’application indépendante à son réseau social : il faudra donc en être un utilisateur pour utiliser XChat. C’est cohérent avec la vieille volonté d’Elon Musk de bâtir une application pour tout faire. On peut toutefois imaginer que cette stratégie évolue, de la même façon que Meta a, petit à petit, séparé Messenger de Facebook.

No code before it was cool, but fake

La startup britannique fondée en 2012 a annoncé entamer une procédure d’insolvabilité. Elle était pourtant soutenue financièrement par Microsoft. Mais Builder.ai, qui prétendait proposer une solution pour créer des applications presque no code avait été accusée de sous-traiter à des humains, installés en Inde. Il lui est maintenant reproché des manipulations financières.

L’entreprise l’a annoncé il y a deux semaines sur LinkedIn, « Engineer.ai Corporation, connue sous le nom de Builder.ai, va entamer une procédure d’insolvabilité et nommer un administrateur pour gérer les affaires de la société ». Dans ce message, la direction affirme qu’elle « n’a pas été en mesure de se remettre des défis historiques et des décisions passées qui ont mis à rude épreuve sa situation financière ».

Des promesses en avance sur la mode du « no code »

Mais dès cette annonce, le Financial Times expliquait que les ennuis de Builder.ai arrivaient après une enquête interne montrant de potentielles manipulations dans les chiffres de vente de l’entreprise.

L’entreprise affirmait, déjà bien avant les vagues de l’IA générative, du « no code » et du « vibe code », proposer un outil nommé Natacha intégrant de l’intelligence artificielle et permettant de créer une application ou un site web « aussi facilement que commander une pizza », selon son CEO de l’époque Sachin Duggal.

Avec cette promesse, Builder.ai a levé plus de 500 millions d’euros auprès de financeurs comme le fonds souverain du Qatar mais aussi de Microsoft. Et elle a, à un moment donné, été évaluée à environ 1,5 milliard de dollars.

Dès 2019, des soupçons de sous-traitance à des humains en Inde

Pourtant, dès 2019, des salariés et ex-salariés expliquaient au Wall Street Journal que l’entreprise exagérait ses capacités en matière d’IA pour attirer les clients et les investisseurs. L’entreprise était connue sous son nom officiel d’Engineer.ai.

Le journal étasunien avait pu consulter des documents qui indiquaient que « l’entreprise s’appu[yait] sur des ingénieurs humains en Inde et ailleurs pour effectuer la majeure partie de ce travail, et que ses prétentions en matière d’IA [étaient] exagérées, même à la lumière de la mentalité « fake-it-till-you-make-it », courante parmi les start-ups du secteur technologique ».

Après un changement de nom commercial, l’entreprise a quand même réussi à continuer à convaincre les investisseurs. En octobre dernier, l’entreprise avait encore emprunté 50 millions de dollars auprès d’un consortium d’entreprises mené par l’Israélienne Viola Credit. Elle avait annoncé cet emprunt en avril dernier au Financial Times tout en admettant avoir eu des problèmes financiers.

Des comptes suspects pour clore le cercueil

Mais, un mois après, le journal financier apprenait que l’entreprise avait revu ses revenus à la baisse : « une estimation antérieure de 220 millions de dollars pour les revenus de 2024 a été révisée à environ 55 millions de dollars, tandis qu’un chiffre de ventes totales de 180 millions de dollars pour 2023 a été révisé à environ 45 millions de dollars, ont ajouté les personnes interrogées ». Or, c’est bien sur ces anciennes estimations que l’emprunt avait été accordé. Le groupe de prêteurs aurait donc retiré 37 de ses 50 millions de dollars, selon Les Echos.

Selon Bloomberg, Builder.ai aurait créé un montage avec la startup de média sociaux indienne VerSe Innovation pendant des années pour gonfler ses ventes. « Les deux entreprises se seraient facturées régulièrement des montants à peu près identiques entre 2021 et 2024 », explique le média étasunien qui a pu consulter des documents internes.

Le co-fondateur de l’entreprise indienne réfute totalement ces accusations, affirmant à nos confrères qu’elles étaient « absolument sans fondement et fausses ». Du côté de Builder.ai, la direction n’a pas voulu commenter.

Depuis l’annonce de la faillite, les accusations d’une fausse IA refont surface. Le Times of India qualifie Builder.ai de « startup ayant fait passer 700 ingénieurs situés en Inde pour une IA ».

Pwned

Des chercheurs ont découvert que les applications de Meta et Yandex, souvent déjà installées, traquaient les activités des utilisateurs d’Android sur n’importe quel navigateur. Ce système leur permettait de désanonymiser les données récoltées via leurs traqueurs web (Meta Pixel et Yandex Metrica).

Meta et Yandex ont contourné les protections de sécurité et de respect de la vie privée d’Android pour désanonymiser les informations récoltées via leur système de tracking sur le web, ont découvert le chercheur Narseo Vallina-Rodriguez et ses collègues. Ceux-ci ont publié le détail de leurs observations directement sur un site GitHub.

S’ils ont observé ce mécanisme sur Android, ils expliquent n’avoir rien trouvé sur iOS. Mais ils ajoutent : « cela dit, un partage de données similaire entre les navigateurs iOS et les applications natives est techniquement possible ».

Les deux entreprises ont mis en place depuis longtemps des systèmes qui permettent de récolter des informations sur les visiteurs de sites web : Yandex Metrica et Meta Pixel. L’entreprise russe présente son outil aux responsables de sites comme un moyen de récupérer « toutes les informations que vous avez toujours voulu connaître sur votre site web ». De son côté, l’entreprise étasunienne les pousse à ajouter « un morceau de code à votre site web, qui vous permet de mesurer, d’optimiser et de créer des audiences pour vos campagnes publicitaires ». Mais ces quelques lignes de JavaScript ajoutées sur un bon nombre de sites web permettaient aussi à ces entreprises de récupérer des données sur les utilisateurs de leurs services sur Android.

Envoi d’informations via le serveur local

En effet, les chercheurs ont découvert que les applications de Meta (Facebook, Instagram) et celles de Yandex (dont l’appli de navigation et le navigateur) recevaient « les métadonnées, les cookies et les commandes des navigateurs » via Yandex Metrica et Meta Pixel.

Ces traqueurs récupèrent ces informations au gré de l’utilisation de n’importe quel navigateur installé sur le smartphone. Mais ils se connectaient également en silence avec ces applications via une connexion interne au téléphone (socket localhost) utilisant des ports UDP et TCP locaux au smartphone.

Les chercheurs observent qu’Android permet à toute application installée disposant d’une autorisation d’accès à internet d’ouvrir un socket qui écoute sur l’adresse locale (127.0.0.1, localhost) de l’appareil.

« Cela permet au JavaScript intégré dans les pages web de communiquer avec les applications Android natives et de partager les identifiants et les habitudes de navigation, en établissant un pont entre les identifiants web éphémères et les identifiants d’applications mobiles à long terme à l’aide d’API web standard », expliquent-ils.

« Puisque les applications natives accèdent par programmation aux identifiants des appareils tels que l’Android Advertising ID (AAID) ou gèrent l’identité des utilisateurs comme dans le cas des applications Meta, cette méthode permet effectivement à ces organisations de relier les sessions de navigation mobile et les cookies web aux identités des utilisateurs, et donc de désanonymiser les utilisateurs qui visitent des sites intégrant leurs scripts », ajoutent les chercheurs.

Un système mis en place depuis 2017 par Yandex et depuis quelques mois par Meta

Selon eux, Yandex avait mis en place ce système depuis 2017. Du côté de Meta, cette désanonymisation des données de son traqueur date « seulement » de septembre 2024.

Ils constatent que cette méthode met en échec « l’isolation inter-processus d’Android et ses protections de suivi basées sur le partitionnement, le sandboxing ou l’effacement de l’état côté client ».

Pris les doigts dans le pot de confiture, Meta et Yandex mettent sur pause

Interrogée par ArsTechnica, Google explique que ces comportements violent les conditions de service de Google Play et les attentes des utilisateurs d’Android en matière de protection de la vie privée. « Nous avons déjà mis en œuvre des changements pour atténuer ces techniques invasives, nous avons ouvert notre propre enquête et nous sommes directement en contact avec les parties », affirme un de ses représentants.

Meta n’a pas répondu aux questions de notre confrère, mais a assuré être en discussion avec Google « pour remédier à une éventuelle erreur de communication concernant l’application de leurs politiques ». L’entreprise ajoute avoir décidé de suspendre « cette fonctionnalité pendant que [elle travaille] avec Google pour résoudre le problème ».

Dans une mise à jour sur leur site, les chercheurs confirment que « le script Meta/Facebook Pixel n’envoie plus de paquets ou de requêtes à localhost. Le code responsable de l’envoi du cookie _fbp a été presque entièrement supprimé ».

Yandex affirme aussi à ArsTechnica avoir arrêté et être en contact avec Google. « Yandex respecte strictement les normes de protection des données et ne désanonymise pas les données des utilisateurs », jure l’entreprise. Elle ajoute que « la fonctionnalité en question ne collecte aucune information sensible et a pour seul but d’améliorer la personnalisation dans nos applications ».

Brave protégé, Microsoft ne répond pas, les autres patchent

Les chercheurs ont travaillé avec les équipes de plusieurs navigateurs (Chrome, Mozilla, DuckDuckGo, et Brave). Du côté de Brave, « les communications vers localhost requièrent le consentement de l’utilisateur depuis 2022 et une liste de blocage est en place », ce qui permet au navigateur de ne pas être affecté. DuckDuckGo utilise aussi une liste de blocage qu’il a dû mettre à jour pour parer le système mis en place par Yandex.

Firefox n’est touché que par la méthode de Yandex. Les chercheurs expliquent que la résolution est en cours, sans plus de détails. La version 137 de Chrome embarque des contre-mesures contre les méthodes de Meta et de Yandex qui semblent fonctionner, mais les chercheurs proposent une autre solution à plus long terme. Enfin, bien que le navigateur Edge de Microsoft soit touché par les deux méthodes, l’équipe de Narseo Vallina-Rodriguez n’a pas d’information sur d’éventuels patchs.

Concernant des implications légales sur la violation du consentement des utilisateurs, il semble que « ces pratiques ont pu être mises en œuvre sur des sites web sans formulaires de consentement explicites et appropriés pour les cookies ». « Si un site charge les scripts Facebook ou Yandex avant que l’utilisateur n’ait donné son accord pour les cookies appropriés, ce comportement se déclenchera quand même », estiment les chercheurs, tout en précisant que ceci ne se base que sur des résultats préliminaires.

99 cents

Non contente d’être, derrière Google, une des plus grosses régies publicitaires sur internet avec Meta Ads, l’entreprise de Mark Zuckerberg ambitionne de s’attaquer à un autre maillon de la chaine publicitaire : la création. Meta projette de proposer des outils, utilisant l’IA générative, qui permettent aux marques de créer leurs publicités du début à la fin.

Meta devrait proposer, d’ici la fin de l’année, des outils permettant aux entreprises de créer des publicités et de cibler les personnes auxquelles elles s’adressent, grâce à ses outils d’intelligence artificielle.

Si Meta Ads, la plateforme publicitaire de Meta, commence déjà à proposer de l’A/B testing en générant des variantes de publicités existantes, l’entreprise pense pouvoir proposer aux marques la possibilité de monter des concepts publicitaires de A à Z, expliquent plusieurs sources du Wall Street Journal.

Mark Zuckerberg l’évoquait déjà le mois dernier dans le podcast de Ben Thompson Stratechery. Pour lui, l’une des opportunités qu’apporte l’IA est d ‘ « optimiser le secteur de la publicité ». Le CEO de Meta affirmait que son entreprise maitrisait désormais complètement le profilage des potentiels clients.

L’objectif de Mark Zuckerberg : maitriser la chaine publicitaire

« Mais il reste toujours la partie créative », avait-il ajouté. « C’est-à-dire que les entreprises viennent nous voir et ont une idée de leur message, de leur vidéo ou de leur image, et c’est assez difficile à produire, mais je pense que nous en sommes assez proches », en référence à ses outils d’IA générative.

Dans ce podcast, Mark Zuckerberg exprimait clairement sa volonté de maitriser toute la chaine publicitaire : « Nous allons arriver à un point où vous êtes une entreprise, vous venez nous voir, vous nous dites votre objectif, vous vous connectez à votre compte bancaire, vous n’avez besoin d’aucune création, vous n’avez besoin d’aucun ciblage démographique, vous n’avez besoin d’aucune mesure, vous avez juste besoin de lire les résultats que nous produisons ». Et d’ajouter : « Je pense que cela va être énorme, je pense qu’il s’agit d’une redéfinition de la catégorie de la publicité ».

Ciblage et adaptation de la publicité à la cible

Selon le Wall Street Journal, le projet de Mark Zuckerberg est bien en route. Les outils boostés à l’IA que Meta développe doivent permettre à une marque d’obtenir une pub finalisée comprenant image, vidéo et texte. Tout ça en ne donnant au système qu’une image du produit et son objectif budgétaire. L’outil de Meta déciderait quelles personnes viser, en proposant bien sûr de cibler des utilisateurs de ses réseaux sociaux Facebook et Instagram.

L’entreprise prévoit même de pouvoir modifier les rendus des publicités en fonction des données qu’elle possède sur les utilisateurs cibles. « Une personne qui voit une publicité pour une voiture dans un endroit enneigé, par exemple, peut voir la voiture en train de gravir une montagne, alors qu’une personne qui voit une publicité pour la même voiture dans une zone urbaine la verra rouler dans une rue », explique le Wall Street Journal.

Quelles entreprises visées ?

Il est pour l’instant difficile de juger de l’efficacité de ces outils tant qu’ils ne sont pas disponibles. Meta, comme toutes les autres entreprises d’IA générative, n’a pas résolu le problème des « hallucinations » des modèles. Et, si un utilisateur lambda peut passer outre lorsqu’il fait de petites vidéos personnelles pour les réseaux sociaux, ce peut être plus gênant pour la publicité d’une entreprise.

« La sécurité des marques est encore une question importante, c’est pourquoi les laisser faire et optimiser la création est un concept effrayant », affirmait le CEO d’une agence de publicité, interrogé par The Verge suite aux déclarations de Mark Zuckerberg.

Le Wall Street Journal, de son côté, évoque plutôt « une aubaine pour les petites et moyennes entreprises, qui représentent la plupart des annonceurs sur les plateformes de Meta et n’ont souvent pas de gros budgets pour la création de publicités ». Mais les sources du journal précisent que les outils développés par Meta demandent énormément de puissance, voire des modèles spécifiques à chaque marque.

Une autre question reste en suspens : en se donnant la possibilité de maitriser toute la chaine publicitaire, Meta ne risque-t-elle pas d’attirer l’œil des autorités de régulation ?

Oups

Les bots des entreprises d’IA qui parcourent le web en permanence augmentent la fréquentation des sites de manière vertigineuse. Si tout type de sites est touché, les bases de données ouvertes et les revues scientifiques le sont particulièrement. Le blocage de ces bots n’est pas simple, mais CloudFlare a esquissé récemment une solution.

Les bots des entreprises d’IA continuent, plus que jamais, à parcourir le web en permanence à la recherche d’information à récolter pour entrainer de nouveaux modèles mais aussi pour répondre en direct aux questions de leurs utilisateurs. En avril, Wikimédia alertait sur le sujet.

D’autres sites, moins connus mais avec des contenus tout aussi prisés, en font les frais : ceux qui hébergent des données et des articles scientifiques. Alors que les données de la recherche sont déjà menacées par l’administration Trump, les sites qui les hébergent doivent supporter un nombre important de connexions venant de ces bots.

Des contenus de haute qualité facilement accessibles

En effet, ces sites de revues sont réputés pour la qualité de leurs contenus qui sont, par définition, à la pointe de la connaissance scientifique. De même, les bases de données scientifiques sont des mines d’or de contenus. Elles rassemblent des informations agrégées par des experts d’un sujet, et souvent un tri et des métadonnées précises. Les chercheurs ont, de plus, récemment fait d’énormes efforts en ce qui concerne l’open access. Plus besoin de passer par un paywall ou même un compte pour accéder aux contenus ou aux données scientifiques. Bref, le rêve pour quelqu’un qui veut entrainer un modèle d’IA.

La revue Nature explique, par exemple, que DiscoverLife reçoit actuellement des millions de visites par jour. Jusqu’à récemment, cette base de données qui contient près de 3 millions de photos d’espèces d’animaux et de végétaux n’avaient aucun problème de trafic. Mais depuis le début de cette année, ça devient de plus en plus compliqué. « En février, environ dix millions de visites quotidiennes de robots sur DiscoverLife ont ralenti le site, interrompant de fait l’accès des humains », expliquaient récemment les responsables du site.

De même, en mars, Ian Mulvany, le CTO du British Medical Journal (BMJ, une des revues les plus connues dans le domaine) écrivait que « le problème est réel » et citait une des personnes de son équipe : « malheureusement, le trafic de robots sur les sites web de nos journaux a maintenant dépassé le trafic des utilisateurs réels. Ces robots agressifs tentent de parcourir des sites web entiers en peu de temps, ce qui surcharge nos serveurs web et a un impact négatif sur l’expérience des utilisateurs légitimes. (…) Plus de 100 millions de requêtes de robots proviennent de centres de données de Hong Kong et de Singapour au cours des trois dernières semaines ».

Auprès de Nature, le responsable de l’hébergeur de revues scientifique Highwire Press, Jes Kainth, témoigne aussi d’ « une augmentation considérable de ce qu’ [ils appellent] le trafic des « mauvais robots » ». Le géant de l’édition scientifique Wiley a aussi jugé bon de prendre position sur « le scraping illégal » mis en place par les développeurs d’IA. Ici, l’éditeur met plutôt en avant les problèmes de Copyright.

Un blocage par IP peu efficace

« Nous bloquons désormais plus de 190 millions d’adresses IP signalées par mois, mais les tentatives d’autres robots pour visiter le site restent une menace existentielle pour la plateforme », expliquaient le 20 mai dernier les responsables de DiscoverLife. Et effectivement, la course folle au blocage des blocs d’IP semble être la solution la plus simple et rapide à mettre en place.

Dans son billet de mars, Ian Mulvany expliquait que l’hébergeur de BMJ utilisait les services de blocage de bots de Cloudflare. Il remarquait cependant un problème : « lorsque le blocage du trafic de robots a été activé, il semblait que Cloudflare adoptait une approche large et bloquait presque tout ce qui ressemble à une communication de machine à machine ». Notamment, étaient bloquées l’utilisation des API mis en place ainsi que les méthodes d’authentification par lots d’IP. Plutôt problématique quand une bonne partie des utilisateurs sont des chercheurs dont l’autorisation d’accès est donnée par ce genre de méthodes et qui ont besoin d’accéder aux données sans forcément passer par le web.

Cloudflare propose une authentification des bots

Cloudflare et d’autres ont, depuis, mis en place des systèmes de labyrinthe pour bloquer les bots d’IA. Nous en parlions en avril. Mais, mi-mai, l’entreprise confirmait dans un billet de blog que « les mécanismes actuels de vérification des robots sont cassés ». Cloudflare pousse pour une autre approche : la signature de message HTTP. Stéphane Bortzmeyer détaille dans un billet de blog le fonctionnement de cette signature.

Cloudflare ajoute travailler « en étroite collaboration avec l’ensemble de l’industrie pour soutenir ces approches fondées sur des normes » et donne l’exemple d’OpenAI qui a commencé à signer ses demandes avec des signatures de message HTTP. L’entreprise creuse aussi d’autres pistes : « le protocole HTTP n’est pas le seul moyen de transmettre des signatures. Par exemple, un mécanisme qui a été utilisé dans le passé pour authentifier le trafic automatisé contre des points finaux sécurisés est mTLS, la présentation « mutuelle » des certificats TLS ».

L’entreprise pense que ces deux voies sont « des mécanismes prometteurs permettant aux propriétaires de robots et aux développeurs d’agents d’intelligence artificielle de s’authentifier de manière infalsifiable ». L’un de ces systèmes devrait, selon Cloudflare, permettre de remplacer les listes interminables de plages d’adresses IP et la vérification par User-Agent qui sont facilement falsifiables. Reste à voir si l’industrie de l’IA générative, qui jusque-là s’accommode bien de pouvoir moissonner le web sans demander d’autorisation, adoptera massivement ce genre de solutions.

IA moins de gène

Meta prévoit de confier jusqu’à 90 % des évaluations des risques de ses nouveaux produits à des IA. L’entreprise avait, progressivement, été poussée à mettre en place des équipes d’évaluation de ses nouveaux produits pour atténuer leurs conséquences négatives avant leur mise en place sur le marché.

Les produits de Meta ne sont pas exempts de risques pour leurs utilisateurs, loin s’en faut, que ce soit de problèmes liés à la désinformation, à l’utilisation de données privées ou l’exposition des jeunes à des contenus problématiques. Mais l’entreprise a été poussée par certaines instances de régulation comme la Federal Trade Commission à mettre en place quelques garde-fous.

Le scandale Cambridge Analytica a aussi eu un petit effet. À l’époque, l’entreprise avait étendu son programme de recherche de bugs (bug bounty) aux utilisations frauduleuses de données par des applications tierces, par exemple.

De même, dès 2019, l’entreprise a mis en place une « red team » spécialisée sur l’IA, racontait Forbes. En 2023, pour la sortie de Llama 2, les chercheurs de Meta expliquaient avoir travaillé avec 350 personnes pour atténuer les risques, « y compris des experts en cybersécurité, fraude électorale, désinformation dans les médias sociaux, droit, politique, droits civils, éthique, génie logiciel, apprentissage automatique, IA responsable et création littéraire », précisaient-ils.

Automatisation de 90 % des évaluations de risques

L’entreprise prévoirait désormais d’automatiser jusqu’à 90 % des évaluations de risques, selon des documents internes obtenus par le média public américain NPR.

Selon nos confrères, les modifications des algorithmes des différents réseaux sociaux de Meta, les nouveaux dispositifs de sécurité ou les éventuels changements de règles de partages des contenus sur les plateformes de l’entreprise seront approuvés par des systèmes automatisés utilisant de l’intelligence artificielle et ne seront plus débattus en interne par une équipe dédiée.

Dans l’entreprise, ce changement serait vu comme une victoire des responsables produits qui pourront lancer des nouveautés plus rapidement. « Dans la mesure où ce processus signifie fonctionnellement que davantage de produits sont lancés plus rapidement, avec un examen et une opposition moins rigoureux, cela signifie que vous créez des risques plus élevés », explique cependant un ancien responsable de Meta de manière anonyme.

De son côté, l’entreprise assure à la NPR que « l’expertise humaine » sera toujours utilisée pour les « questions nouvelles et complexes » et que seules les « décisions à faible risque » seraient automatisées. Le média étasunien assure que les documents internes qu’il a consultés évoquent l’automatisation de domaines sensibles comme la sécurité des IA, les risques pour les jeunes, et ce que l’entreprise appelle « intégrité » qui englobe les contenus violents et les fausses informations.

Obligée par le DSA, Meta maintient une équipe en Europe

Selon les documents consultés par la NPR, le processus de validation que Meta met en place passerait dans la plupart des cas par un simple questionnaire sur le projet. Les équipes produits recevront une « décision instantanée » automatisée identifiant les risques et les moyens d’y remédier.

Interrogé par NPR, l’ancien directeur du service « Innovation responsable » de Facebook, Zvika Krieger explique que « la plupart des chefs de produit et des ingénieurs ne sont pas des experts en matière de protection de la vie privée et ce n’est pas l’objet de leur travail. Ce n’est pas ce sur quoi ils sont principalement évalués et ce n’est pas ce qui les incite à donner la priorité à la protection de la vie privée ».

En avril, le prestataire de modération Telus a licencié plus de 2000 personnes à Barcelone après avoir perdu le contrat qui le liait à Meta. Cela dit, selon ses documents internes, l’entreprise de Mark Zuckerberg devrait garder une équipe en Europe (en Irlande, où se situe son siège social pour l’UE) pour prendre des décisions sur le lancement de produits et l’utilisation des données utilisateurs au sein de la zone européenne. Le DSA oblige, en effet, les plateformes à porter une plus grande attention à ces sujets.