Plus il y a de fromage, plus il y a de trous

Après avoir passé au crible des imprimantes multifonctions Brother, des chercheurs en sécurité ont découvert huit vulnérabilités. Ces failles touchent une vaste partie de la gamme du fabricant japonais, mais aussi des appareils de concurrents comme Toshiba, Fujifilm, Ricoh. Au total, 748 modèles sont vulnérables. Brother a admis que la faille la plus grave ne pourrait pas être corrigée, et appelle à changer en urgence le mot de passe administrateur des machines concernées.

S’attendaient-ils à une moisson aussi abondante ? Des chercheurs de la firme spécialisée Rapid7 ont conduit à partir de mai 2024 un audit de sécurité sur plusieurs imprimantes multifonctions du constructeur japonais Brother. Leurs travaux ont permis d’identifier huit failles de sécurité exploitables qui n’avaient pas encore été documentées. Ils ont par ailleurs confirmé que plusieurs de ces vulnérabilités affectaient une part significative du catalogue produit du constructeur, y compris sur des gammes autres que les imprimantes multifonctions.

Au total, ils affirment que 689 appareils sont vulnérables chez Brother. La marque n’aurait cependant pas l’exclusivité : une partie de ces failles auraient également été constatées sur 46 imprimantes Fujifilm, six chez Konica Minolta, cinq chez Ricoh, deux chez Toshiba, pour un total de 748 modèles touchés.

Une vulnérabilité impossible à corriger

La plus sérieuse de ces failles, enregistrée sous la référence CVE-2024-51978 et qualifiée de critique, est estampillée d’un score de vulnérabilité (CVSS) de 9,8/10. Relativement simple à mettre en œuvre, elle permet selon Rapid7 à un attaquant qui dispose du numéro de série de l’appareil d’en modifier le mot de passe administrateur par défaut.

Les chercheurs expliquent à ce niveau avoir découvert sur une imprimante MFC L9570CDW que le mot de passe par défaut de l’administration était une séquence de huit caractères, générée via un algorithme à partir du numéro de série de la machine. Un attaquant qui disposerait de ce numéro de série serait donc en mesure de générer ce mot de passe et donc de prendre le contrôle de la machine, ou d’en modifier les identifiants d’accès. Le chiffrement apparait en effet défaillant aux yeux des chercheurs. « On ne sait pas clairement quelle propriété cryptographique cet algorithme cherche à atteindre ; il semble plutôt qu’il s’agisse d’une tentative de dissimulation de la technique de génération de mot de passe par défaut », commentent les auteurs.

Le problème, c’est que ce numéro de série serait lui-même vulnérable, notamment en raison d’une autre des huit failles découvertes. La faille CVE-2024-51977 ouvre en effet un accès non autorisé, sans authentification préalable, aux informations contenues dans le fichier /etc/mnt_info.csv. « Les informations divulguées incluent le modèle de l’appareil, la version du micrologiciel, l’adresse IP et le numéro de série », précise la notice.

En réponse à cette double découverte, Brother invite les utilisateurs à modifier sans délai le mot de passe administrateur des appareils concernés. La mesure s’impose à tous, sans attendre un éventuel correctif. « Brother a indiqué que cette vulnérabilité ne peut pas être entièrement corrigée dans le firmware et a exigé une modification du processus de fabrication de tous les modèles concernés », affirme Rapid7. En attendant cette modification, les appareils restent donc vulnérables.

Un an avant divulgation

Brother a devancé l’annonce de Rapid7 avec la mise en ligne, le 19 juin dernier, d’une note d’information, qui précise la conduite à tenir face à chacune des dernières vulnérabilités documentées et rendues publiques. Outre la modification du mot de passe administrateur, suggérée comme réponse à trois vulnérabilités, Brother recommande de désactiver temporairement la fonction WSD (Web Services for Devices) et le TFTP (Trivial File Transfer Protocol), en attendant une mise à jour du firmware de l’appareil concerné. Les autres fabricants incriminés ont, eux aussi, publié des alertes dédiées, et annoncé le déploiement prochain de correctifs (Fujifilm, Ricoh, Toshiba, Konica Minolta).

Comme souvent dans ce genre de travaux, ces découvertes ont conduit à des échanges entre les chercheurs et les constructeurs concernés, échanges organisés sous l’égide d’une autorité tierce. Ici, c’est le JPCERT/CC, centre d’alerte et de réaction japonais, qui a servi d’intermédiaire et a fixé à un an le délai avant publication des éléments techniques associés aux failles découvertes.

Testée depuis deux semaines par l’intermédiaire de versions bêta, l’intégration de la carte grise à l’application France Identité est désormais officielle. « À partir du lundi 30 juin 2025, les usagers de France Identité peuvent importer leur carte grise dans l’application », annonce le ministère de l’Intérieur.

La prise en charge est limitée aux véhicules dont l’immatriculation correspond au format AA-123-AA introduit à partir de 2009. Pour importer une carte grise au sein de l’application, il convient logiquement d’avoir déjà accompli le processus d’inscription à France Identité.

Il faut ensuite renseigner le numéro de formule et le numéro d’immatriculation du véhicule, puis s’authentifier avec son code personnel, et enfin valider la procédure en effectuant une lecture de la puce NFC de sa carte nationale d’identité avec son smartphone.

Le système se veut suffisamment souple pour gérer les véhicules partagés au sein d’un même foyer, mais aussi les contrats de location. « La fonctionnalité est ouverte aux titulaires, co-titulaires ou locataires privés du véhicule (y compris en leasing). Un même usager peut ainsi importer plusieurs cartes grises, s’il est rattaché à plusieurs véhicules », indique l’Intérieur, qui revendique plus de 2,2 millions d’utilisateurs de France Identité.

« Si vous cédez ou vendez votre véhicule, vous devez supprimer le certificat d’immatriculation du téléphone, il devient invalide. En cas de mise à jour, le certificat d’immatriculation sera supprimé automatiquement. Si vous êtes le nouvel acquéreur d’un véhicule, vous pourrez l’importer dès la période d’acquisition achevée », précise la FAQ associée.

Planche à billets

Capable d’imprimer des textures en relief jusqu’à 5 mm d’épaisseur, l’imprimante « eufyMake UV E1 » a bouclé une campagne de financement record sur Kickstarter, avec près de 47 millions de dollars recueillis auprès de 17 822 contributeurs.

La célèbre plateforme de financement participatif Kickstarter peut s’enorgueillir d’un nouveau record. « 17 822 contributeurs ont engagé 46 762 258 $ pour soutenir ce projet », affiche en effet la page dédiée aux précommandes de l’imprimante en relief eufyMake UV E1 depuis le 28 juin dernier, date de clôture d’une campagne menée sur les chapeaux de roue.

L’imprimante eufyMake UV E1 arrive désormais en première position de la page dédiée aux projets les mieux financés sur Kickstarter. Elle y détrône l’auteur de SF Brandon Sanderson, dont la publication programmée de 4 nouveaux romans avait engendré 41 millions de dollars de commandes, mais aussi la vénérable montre connectée Pebble Time qui, avec ses 20 millions de dollars recueillis en 2016, a détenu le record pendant près de six ans.

Une imprimante UV pour des textures 3D

Quelle est donc cette imprimante qui semble avoir enflammé la communauté des makers ? eufyMake constitue pour mémoire le nouveau nom d’AnkerMake, la marque dédiée à l’impression 3D du géant chinois Anker Innovations, notamment connu pour les batteries externes, produits de recharge et accessoires mobiles commercialisés sous sa marque principale, Anker. Dans le portefeuille du groupe, la marque eufy englobe traditionnellement les objets connectés dédiés à la maison (aspirateurs robots, etc.) et les caméras de surveillance.

Institué le 24 mars dernier, ce changement de marque est intervenu au moment où le groupe commençait la communication sur son prochain fer de lance : une imprimante UV capable de reproduire des textures en 3D. Baptisée eufyMake UV Printer E1, elle constitue, selon le fabricant, une alternative compacte et surtout abordable aux équipements professionnels capables de réaliser des impressions UV.

Permettant de traiter des surfaces allant jusqu’à 330 × 420 mm, elle sait gérer une impression en relief avec une épaisseur allant jusqu’à 5 mm, avec la possibilité de travailler sur des objets en relief et des matériaux aussi divers que le bois, le cuir, le verre ou la céramique.

Elle dispose par ailleurs d’un catalogue d’accessoires qui permettent d’envisager des usages plus avancés. Anker propose ainsi un système de roll-to-film qui permet d’imprimer jusqu’à 10 mètres à partir d’une bobine, mais aussi une cartouche d’encre blanche dédiée à l’impression sur des surfaces flexibles.

Un marketing bien rodé

eufy annonce un prix public conseillé (MSRP) de 2 499 dollars pour le kit de départ nécessaire à l’utilisation de son imprimante UV, soit un tarif équivalent à celui de petits équipements professionnels utilisés notamment dans le monde de la personnalisation d’objets publicitaires. La nouvelle venue revendique cependant une polyvalence supérieure, ainsi qu’un écosystème logiciel richement doté.

« Plus qu’un simple outil créatif, la E1 permet de personnaliser des objets du quotidien ou de se lancer dans des projets parallèles avec des résultats de qualité professionnelle. Son flux de travail unique basé sur l’IA, sa bibliothèque de plus de 20 000 modèles et sa conception modulaire rendent l’impression avancée accessible aux particuliers, aux studios et aux petites entreprises », promet ainsi l’entreprise.

Pour sa campagne de financement, eufy affichait la E1 à un prix d’appel de 1 699 dollars, avec un kit comprenant l’imprimante, une cartouche de nettoyage, et deux plateaux d’impression. Une utilisation sérieuse, notamment à des fins professionnelles, semble toutefois difficile sans ajouter, à cet ensemble de départ, un certain nombre d’accessoires qui alourdissent rapidement l’addition.

Les backers sauront dans quelques semaines si l’imprimante UV d’eufy tient ses promesses, puisque l’entreprise indique avoir déjà débuté la production et prévoit les premières livraisons dès le mois de juillet. Ils pourront, en attendant, observer les capacités de leur future imprimante sur YouTube. La marque s’est en effet attaché les services de plusieurs créateurs de contenus considérés comme influents dans la communauté des makers. Leurs vidéos, listées sur la page du projet, montre que ce travail de communication a débuté mi-mars, avec des titres et des commentaires saluant unanimement l’imprimante d’eufy comme une première mondiale.

Le Crou ne mourra jamais

Lancé en avril 2024, le mouvement Stop Killing Games conteste que les éditeurs puissent interrompre les services associés à un jeu vidéo, détruisant virtuellement ce dernier pour les consommateurs en ayant acquis une copie. Depuis quelques jours, il connait un regain d’attention, autour d’une pétition qui doit recueillir plus de 400 000 signatures d’ici au 31 juillet pour que la Commission européenne soit saisie du sujet.

Les courbes, compilées sur un site satellite du projet « Stop Killing Games », montrent une soudaine accélération du nombre de signatures recueillies dans tous les pays européens. L’initiative connait en effet depuis quelques jours un sursaut d’intérêt, motivé par une échéance proche.

Car c’est le 31 juillet 2025 que clôturera la pétition qui doit faire du sujet une initiative citoyenne européenne, c’est-à-dire un sujet porté à l’attention de la Commission européenne pour peu qu’il atteigne un seuil symbolique : un million de signatures.

Un mouvement né dans le sillage de la fermeture de The Crew

Au fait, de quoi parle-t-on déjà ? Stop Killing Games a émergé en avril 2024, dans la foulée d’une annonce qui n’a sans doute pas échappé à certains lecteurs de Next : la fermeture, par Ubisoft, des serveurs dédiés au jeu de course The Crew, sorti dix ans plus tôt. Fixée au 31 mars 2024, elle rend le titre inexploitable même s’il a été acheté plein tarif sur un support physique, au grand dam de certains joueurs.

Dans le lot figure un certain Ross Scott, qui s’est forgé une petite notoriété sur YouTube avec Freeman’s Mind, une série machinima réalisée avec le moteur d’Half-Life, doublée d’une seconde saison tournée dans Half-Life 2.

Ulcéré par la décision d’Ubisoft, Ross Scott prend le mors aux dents, et annonce le lancement d’un mouvement de lutte contre les éditeurs qui détruisent leurs jeux au détriment de ceux qui en possèdent une copie.

La démarche s’incarne au travers d’un site d’information dédié, par l’intermédiaire duquel Ross Scott veut recenser et surtout fédérer les différentes actions entreprises par des consommateurs européens contre le phénomène, à l’échelle de leurs différents pays.

Mobilisation européenne

En France, Stop Killing Games indique par exemple avoir déposé plainte auprès de la DGCCRF, affirme que « le problème a été escaladé au plus haut niveau de l’agence », et serait en attente d’une décision. Le mouvement encourage par ailleurs les joueurs français à se manifester auprès de l’UFC-Que Choisir, dans le but de motiver l’association de consommateurs à déclencher une action en justice.

Le 31 juillet dernier, Scott Ross annonce le lancement d’une nouvelle action, à l’échelle du continent cette fois, avec l’ouverture d’une pétition sur le site dédié aux initiatives citoyennes européennes.

« C’est l’option la plus puissante à notre disposition, mais elle nécessite un nombre massif de signatures de citoyens des pays de l’UE pour être adoptée. Si nous pouvons atteindre le seuil de signature, il y a de très fortes chances que l’UE adopte une nouvelle loi qui protégera à la fois les droits des consommateurs de conserver les jeux vidéo qu’ils ont achetés et avancera massivement les efforts de préservation », avance le mouvement. L’objectif fixé par Bruxelles pour la prise en compte est fixé à 1 million de signatures, émanant de citoyens d’au moins sept États membres.

« Cette initiative demande d’imposer aux éditeurs qui vendent ou accordent des licences pour des jeux vidéo (ou des fonctionnalités et ressources connexes vendues pour des jeux vidéo qu’ils exploitent) aux consommateurs de l’Union européenne l’obligation de laisser ces jeux vidéo dans un état fonctionnel (jouable) », indique le texte de la pétition. « Plus précisément, l’initiative vise à empêcher le blocage à distance des jeux vidéo par les éditeurs et à fournir ensuite des moyens raisonnables de faire en sorte que ces jeux continuent à fonctionner sans la participation de l’éditeur. »

La campagne connait un démarrage rapide, mais le rythme fléchit après quelques semaines. Alors que le seuil des 400 000 signatures est atteint dès le 19 décembre 2024, le compteur n’est qu’à 456 000 en date du 23 juin. Ce qui conduit Ross Scott à reprendre la parole pour une vidéo de la dernière chance, titrée : « la fin de Stop Killing Games ». Il y revient sur le déroulé de l’opération, les forces et les faiblesses du mouvement, mais aussi sur ses chances de succès, qui dépendent désormais d’un sursaut de mobilisation.

Le chant du cygne ?

L’appel semble avoir été entendu : depuis le 23 juin, des médias et des créateurs de contenus sur YouTube relaient l’information, et la courbe des signatures se redresse de façon visible. La pétition devrait selon toute attente franchir la barre des 600 000 signataires vendredi. Reste à voir si l’engouement sera suffisamment pérenne pour que le mouvement parvienne à atteindre le million.

« Si un album est acheté en forme de CD, il serait complétement inacceptable qu’il soit rendu illisible une fois que le label de musique ferme ses serveurs, ou que le label décide de ne plus le distribuer, ou que le label fait faillite, ou que le label décide de publier une version remastérisée de l’album », plaide Denis, lecteur de Next, dans un e-mail d’alerte envoyé à la rédaction.

« Un nombre croissant de jeux vidéo sont vendus effectivement comme des biens, sans date d’expiration indiquée, mais conçus pour être complètement injouables dès que le support de l’éditeur cesse. Cette pratique est une forme d’obsolescence programmée et est non seulement préjudiciable aux clients, mais rend la préservation pratiquement impossible. De plus, la légalité de cette pratique est largement non testée dans de nombreux pays », argue pour sa part le site du mouvement.

« 10 h de coupure de service pour un coffre fort numérique, c’est un peu inquiétant », grince un internaute. Digiposte, le coffre-fort numérique de la Poste, utilisé par de nombreuses entreprises (d’Amazon France à la SNCF) pour la distribution et le stockage des bulletins de salaire et autres documents RH, a en effet été victime d’un long dysfonctionnement, jeudi 26 juin.

« Suite à un incident technique à 10h00, l’accès à #Digiposte via le web & mobile est momentanément indisponible. Nous vous prions de bien vouloir nous excuser pour la gêne occasionnée », annonce dans la matinée le compte X de Digiposte. Moins d’une heure plus tard, il signale la résolution de l’incident, et le rétablissement des accès Web et mobile au service.

Suite à un incident technique à 10h00, l'accès à #Digiposte via le web & mobile est momentanément indisponible. Nous vous prions de bien vouloir nous excuser pour la gêne occasionnée.

— Digiposte (@digiposte) June 26, 2025

Problème : si l’interface client est bien de retour, les documents stockés par les utilisateurs restent inaccessibles, ce qui conduit l’entreprise à publier un nouveau message d’alerte en début d’après-midi. « Nous sommes vraiment désolés, mais l’incident de ce matin n’est pas encore totalement résolu. Certains utilisateurs ne peuvent pour l’instant ni consulter, ni télécharger leurs documents. Nous vous prions de bien vouloir nous excuser une nouvelle fois pour la gêne occasionnée ».

C’est finalement vendredi matin, vers 9 heures, que Digiposte annonce la résolution finale de l’incident, sans en commenter la cause, ou la durée. Le graphique des signalements répertoriés sur le site totalbug montre en effet que le service semble n’avoir été rétabli qu’aux alentours de 22 heures, jeudi soir. Contactée par nos soins, l’entreprise n’a pour l’instant pas réagi.

Google vient de déployer au sein de sa plateforme d’outils publicitaires une nouvelle brique baptisée Offerwall. Une fois implémentée, cette dernière permet aux éditeurs de sites d’échanger l’accès à un contenu contre une action proposée via un écran intermédiaire : regarder une publicité, effectuer un paiement via le service spécialisé partenaire Supertab, créer un compte sur le site ou sélectionner des centres d’intérêt qui serviront à affiner le ciblage des réclames affichées lors de la navigation.

« Les éditeurs peuvent même ajouter leurs propres options, comme une inscription à la newsletter. Ces options permettent aux utilisateurs de choisir comment accéder à leurs sites et contribuent à garantir qu’un contenu varié reste accessible à tous », commente Peentoo Patel, directeur de Google Ad Manager.

Offerwall, qui aurait déjà été testé auprès d’un millier d’éditeurs, propose également une brique basée sur l’IA et capable, selon Google, d’optimiser l’affichage des différentes options pour augmenter l’engagement des utilisateurs et les revenus associés. « Bien qu’Offerwall soit disponible pour les éditeurs de toutes tailles, il est particulièrement avantageux pour les petites entreprises qui ne disposent peut-être pas des ressources ou de l’infrastructure nécessaires pour mettre en place des sources de revenus variées », estime Peentoo Patel.

Déjà présent chez la plupart des éditeurs de médias au travers de ses outils publicitaires, Google étend ainsi son rayon d’action, avec une solution capable de participer à une stratégie de contenus payants, qui viendra de ce fait concurrencer des startups spécialisées dans la conversion d’audience comme Zuora ou les français de Poool.

Broken broker

Après Intelbroker, arrêté en février en France, quatre administrateurs présumés du célèbre site BreachForums, dédié à la vente de données personnelles, ont été interpellées lundi. La plainte, déposée à cette occasion par la justice américaine, lève le voile sur la façon dont les autorités ont réussi à remonter la piste de ces pirates. Ironie du sort, les coulisses racontent aussi comment Intelbroker, adepte d’imagerie nazie et de musique électronique, a été retrouvé grâce à des données personnelles mal camouflées…

Sa fermeture et la saisie de ses serveurs par le FBI, en mai 2024, sonnait comme une victoire symbolique mais, comme souvent dans le monde du piratage, BreachForums renaissait rapidement de ses cendres, sous la houlette d’une nouvelle équipe, mais cette dernière n’aura finalement pas tenu très longtemps.

Le parquet judiciaire de Paris a en effet annoncé mercredi l’interpellation de quatre personnes suspectées d’avoir orchestré les activités illicites de BreachForums, revenu sous une forme identique, mais hébergé sur une autre infrastructure et accessible via un nouveau nom de domaine.

Quatre administrateurs présumés interpellés

Bon nombre des vols de données chroniquées dans l’actualité ces dernières années ont donné lieu à des annonces publiées sur BreachForums qui, pour Laure Beccuau, procureure de Paris, « constituait le premier lieu d’échange et revente de données informatiques volées et d’accès frauduleux dans des systèmes d’information ».

« Les interpellations de cette semaine ont visé les personnes suspectées d’être les administrateurs principaux du site, et permettent d’espérer sa fermeture durable. Les éléments informatiques saisis seront exploités et sont susceptibles de faire progresser significativement de nombreuses enquêtes en cours », veut croire la procureure dans un communiqué (PDF).

Elle précise que les investigations se poursuivent sous la direction du juge d’instruction, et que ces arrestations ont été réalisées avec le concours du FBI et du département de la Justice américain. Ces quatre arrestations, déclenchées à la suite d’une enquête préliminaire ouverte en août 2024 au motif que plusieurs des administrateurs du site étaient de nationalité française, sonnent-elles le glas de BreachForums ?

Le Parquet de Paris indique que ces quatre personnes opéraient « sous le nom collectif de « Shinyhunters » ». Ce pseudo, issu de la série Pokemon, renvoie à un groupe de hackers déjà associé à plusieurs piratages d’ampleur (dont le Français Sébastien Raoult, arrêté en 2022 et condamné aux États-Unis), sans qu’on sache si un lien formel a été établi.

Sur la piste d’Intelbroker

Ces quatre nouvelles arrestations font suite à l’interpellation, là aussi en France, d’une autre personnalité de premier plan de la scène cyber, IntelBroker, suspecté d’avoir lui aussi été impliqué dans l’administration de BreachForums. Il en était à tout le moins l’un des membres actifs. Un temps identifié comme modérateur avant que son profil ne passe au statut « God » désignant les administrateurs, il y arborait le portrait d’un soldat nazi en guise d’avatar.

Ce jeune homme britannique, qui pendant un temps a laissé entendre qu’il était d’origine serbe et a longtemps revendiqué une forme de proximité avec la Russie, apparait en effet comme un pirate prolifique. Sur BreachForums et d’autres plateformes, il a notamment revendiqué des intrusions et des vols de données réussis au sein de nombreuses entreprises ou institutions parmi lesquelles Cisco, AMD, HPE, Home Depot et même Europol.

Ces quatre nouvelles arrestations permettent à la justice américaine de sortir du bois, et de publiquement inculper Intelbroker. Le département de la Justice a ainsi publié mercredi la plainte (PDF) et l’acte d’accusation (PDF) qui visent Intelbroker, ou plutôt Kai West, puisque tel est le nom avancé dans ces documents.

Le FBI ne s’étend pas à ce sujet, mais fournit une capture d’écran montrant que le tout premier critère de recrutement pour pouvoir figurer dans son groupe était d’ « être blanc et raciste », suivi par le fait de détester les forces de l’ordre et les agents infiltrés (« glowies »), et d’avoir une bonne sécurité opérationnelle (OPSEC), au vu des risques associés au fait de collecter et partager des fuites de données.

Fraude, conspiration en bande organisée et vol de données

Les différents chefs d’accusation dressent un tableau chargé, avec des activités dont l’impact est évalué par le FBI à au moins 25 millions de dollars de préjudice pour les entreprises basées aux États-Unis et visées par Intelbroker entre 2023 et 2025.

La plainte retient notamment que le pirate a directement proposé à la vente des données volées à 41 reprises, et qu’il aurait organisé 117 fois la diffusion gratuite de bases de données volées. « West et ses co-conspirateurs ont cherché à réunir au moins 2 millions de dollars en vendant ces données volées », estime le FBI.

Pour ce faire, les autorités ont logiquement épluché l’ensemble de ses messages publics sur BreachForums,. Elles tiennent une comptabilité précise de toutes les annonces de mise en vente, mais aussi des commentaires qui montrent que l’intéressé occupe une position privilégiée dans l’organigramme du forum. Elles s’attachent par ailleurs à signaler tous les éléments qui suggèrent qu’Intelbroker n’intervenait pas seul en la matière, pour soutenir la circonstance aggravante d’actes en bande organisée.

Les auteurs du volet états-unien de l’enquête illustrent par ailleurs comment Intelbroker se faisait payer pour ses services, qu’il s’agisse de vente de données ou de mise à disposition d’outils de piratage.

Achats sous couverture

Jusqu’à la transaction de trop ? À partir de mars 2023, un agent « sous couverture » du FBI entre en contact avec Intelbroker et engage des transactions pour vérifier que les données vendues par ce dernier sont bien issues de bases de données volées. Les échanges, à cette occasion, se font en monero (XMR), une cryptomonnaie axée sur la vie privée et la décentralisation, plus difficile à tracer que les cryptoactifs les plus courants.

En parallèle, un autre agent du FBI réussit à obtenir d’Intelbroker une transaction réalisée cette fois en bitcoin. L’opération mène à un portefeuille intermédiaire, que les enquêteurs parviennent ensuite à rattacher à un autre portefeuille, créé cette fois sur une place de marchés baptisée Ramp.

Comme beaucoup d’exchanges ayant pignon sur rue, la société éditrice, basée en Pologne et présente au Royaume-Uni, impose à ses clients une vérification d’identité dans une logique de KYC (« Know your customer »). Pour le portefeuille en question, elle dispose d’un permis de conduire britannique, grâce auquel le FBI et le DoJ identifieront un autre wallet, créé sur Coinbase cette fois, lequel donnera accès à des adresses e-mail et d’autres informations personnelles, dont l’un des pseudonymes d’Intelbroker, Kyle Northern.

C’est alors que l’étau se resserre, avec un recoupement entre, par exemple, les messages publics sur BreachForums et l’activité du compte YouTube du suspect. La plainte expose par exemple comment Kai West a écouté douze fois de suite Darkside de CHCML SØUP au moment même où Intelbroker publiait un lien vers le morceau sur le forum.

Dans sa plainte, le procureur du South District de New York réclame que Kai West soit transféré aux États-Unis et déféré devant sa juridiction. Il est accusé de conspiration en vue de commettre des intrusions informatiques (passible d’une peine maximale de cinq ans de prison), de conspiration en vue de commettre une fraude électronique (passible d’une peine maximale de 20 ans de prison), d’accès à un ordinateur protégé en vue d’obtenir des informations (passible d’une peine maximale de cinq ans de prison) et de fraude électronique (là encore passible d’une peine maximale de 20 ans de prison). Le ministère précise cela dit que ces peines maximales potentielles ne sont fournies ici qu’à titre d’information, « car toute condamnation du défendeur sera déterminée par un juge ».

Comme Netflix, Disney+ fait désormais payer le partage de compte à ses abonnés français. Le service de vidéos en ligne considère désormais que les connexions qui s’effectuent hors foyer justifient la souscription d’une option dédiée. Baptisée Abonné supplémentaire, celle-ci est facturée 4,99 euros par mois dans le cas d’un abonnement Disney+ Standard avec publicité et 5,99 euros par mois avec les formules Disney+ Standard et Disney+ Premium.

« Vous ne pouvez ajouter qu’un Abonné supplémentaire par abonnement Disney+. L’Abonné supplémentaire doit avoir au moins 18 ans et vivre dans le même pays / la même zone géographique que le titulaire du compte. Il ne doit pas posséder d’abonnement Disney+ actif ou résilié », précise par ailleurs le service.

À l’instar de ses concurrents, Disney+ prévoit un système de vérification du compte lorsque le titulaire tente de se connecter depuis un appareil qui ne semble pas pouvoir être directement rattaché au foyer de souscription, à l’occasion d’un déplacement ou de vacances par exemple. « Si le message « Cette TV ne semble pas faire partie du foyer pour ce compte » apparaît, vous pouvez sélectionner JE SUIS EN VOYAGE. Si vous êtes en voyage pour une période prolongée, par exemple pour des vacances d’hiver ou d’été, vous pouvez choisir de mettre à jour votre foyer ».

Si la France a bénéficié de quelques mois de souplesse supplémentaires, le déploiement de cette option Abonné supplémentaire a pour mémoire débuté à l’automne dernier.

Le conseil communautaire de la métropole de Châteauroux (Indre) a voté mardi soir la vente d’une parcelle de 195 hectares, située dans la zone d’activités d’Ozans, à Tricolore Computing, une filiale de Google. L’opération, qui prévoit un montant d’acquisition de 58,5 millions d’euros, viserait à permettre l’implantation d’un « campus de centres de données, en lien avec l’essor de l’intelligence artificielle », indique la métropole.

Le site concerné appartient à la ZAC d’Ozans, à l’est de Châteauroux, sur la commune d’Etrechet, dont l’aménagement progressif doit, selon la collectivité, aboutir sur une surface totale de l’ordre de 500 hectares. Les infrastructures de Google en occuperaient donc une part significative. Surtout, il fait partie des 55 « sites clés en main » identifiés par le gouvernement l’an dernier dans le cadre du plan France 2030, ce qui ouvre théoriquement la voie à des procédures administratives et des autorisations environnementales accélérées.

À ce stade, il n’est toutefois pas certain que le projet aille à son terme. « Il s’agit d’un compromis qui doit être signé dans un délai d’un an », indique Gil Avérous, maire de Châteauroux (ex-LR) et président de la métropole, selon qui la délibération votée mardi permet de « sécuriser la parcelle car ils doivent maintenant faire des études plus coûteuses pour ce projet ».

Le conseil communautaire a par ailleurs voté mardi une autre délibération relative à un « programme de renforcement du réseau électrique à 400 000 volts entre Eguzon et Marmagne », avec une ligne dont les capacités profiteraient au site d’Ozans.

« Une ligne à 400 000 volts existe déjà entre Eguzon et Marmagne. Grâce à des travaux menés en 2021 et 2022, sa capacité de transit d’électricité est passé de 1 400 MW à 2 200 MW. Aujourd’hui, il est nécessaire de renforcer cet axe électrique pour répondre aux besoins régionaux et nationaux, en créant une ligne à 400 000 volts, qui portera la capacité de transit à 7 600 MW », précise RTE.

S’il voit le jour, ce datacenter serait la première grande infrastructure détenue et opérée en propre par Google en France, qui se contentait jusqu’ici de colocation.

Free, mais pas trop non plus

Deux des syndicats des salariés de Free appellent à la grève à compter du 1ᵉʳ juillet en réaction à la mise à jour de la charte qui encadre le télétravail au sein des équipes de l’opérateur. Ils dénoncent une réduction drastique, imposée unilatéralement. La direction estime quant à elle nécessaire d’ajuster les curseurs au nom de la cohésion et de l’agilité des équipes.

Six mois après la mobilisation des centres d’appel, la problématique de la réduction du télétravail gagne du terrain au sein des équipes de Free en France. Deux organisations syndicales, FO et Printemps écologique, ont en effet annoncé vendredi le dépôt d’un préavis de grève au 1ᵉʳ juillet, concernant les salariés de plusieurs entités du groupe Iliad :  Free Réseau, Free SAS, Réseau Optique de France, Free Mobile, Assunet, Iliad SA, Freebox et Trax.

De 8 à 6 jours de télétravail par mois

« Le mouvement s’annonce particulièrement suivi : pour la première fois, les équipes techniques de Freebox, R&D, audiovisuel, développement et support technique se mobilisent ensemble pour faire entendre leur voix », indique un porte-parole des salariés à Next, estimant par ailleurs que la CGT devrait « rejoindre la mobilisation ».

La principale pomme de discorde concerne le télétravail : la nouvelle charte déployée par l’entreprise prévoit en effet le passage, pour les salariés concernés, de huit à six jours de travail à distance par mois. Pour les deux syndicats qui appellent à la grève, cette charte est « imposée unilatéralement et jugée régressive pour les droits des salariés ».

Surtout, elle s’accompagnerait de contraintes perçues comme excessives, comme un « plafond arbitraire » fixé à deux vendredis télétravaillés par mois, l’absence de garantie du maintien du télétravail dans le temps, la suspension possible sans préavis, ou une indemnité dont le montant reste fixé à 0,5 euro par jour télétravaillé.

Un réajustement nécessaire selon la direction

Contactée par Next, la direction de l’opérateur confirme la mise en place de cette charte, et qualifie de nécessaire ce « réajustement de [son] organisation du travail », tout en en limitant la portée, puisque le télétravail ne concernerait que 15 % des près de 12 000 collaborateurs du groupe.

« La collaboration, la proximité, la spontanéité des échanges et la rapidité de prise de décision font partie de notre ADN, justifie l’entreprise. Trouver le bon équilibre entre le télétravail et les temps de présence sur site est essentiel pour faire vivre cette cohésion et cette agilité. »

L’opérateur affirme par ailleurs avoir respecté l’obligation de consultation des partenaires sociaux, et met en avant quelques adaptations favorables à certains cas particuliers : « RQTH, proche aidant, salariés habitant à+ 75 min de leur lieu de travail, femmes enceintes, et pour la 1^ère fois en France d’après nous : collaboratrices atteintes d’endométriose ».

« Même pour les femmes enceintes, les personnes handicapées ou en situation médicale particulière, le nombre de jours reste plafonné (8 à 10 jours/mois), sous réserve d’un double accord manager + médecin du travail », rétorquent les organisations syndicales.

Un dialogue complexe

« Le projet vise davantage à encadrer, restreindre et surveiller le télétravail qu’à le promouvoir. Il impose des conditions rétrogrades, annule les accords existants, et place les salariés dans une précarité organisationnelle sans contrepartie », résume encore un argumentaire qui circule en interne.

D’après nos informations, un premier appel à la grève avait d’abord été envisagé pour le 5 juin, mais le dépôt du préavis a finalement été décalé, en partie parce que la journée était déjà occupée, sur le volet social, par une mobilisation intersyndicale tournée vers l’abrogation de la réforme des retraites. La finalisation des négociations annuelles obligatoires (NAO) ainsi que des nouvelles modalités de la démarche de Gestion des emplois et des parcours professionnels en entreprise (GEPP) pourraient également avoir joué un rôle dans ce calendrier.

Si les centres d’appel, qui s’étaient mobilisés en décembre dernier contre la suppression du télétravail, que l’entreprise justifiait à l’époque par une problématique de cybersécurité, ne semblent pas concernés au premier chef par ce préavis de grève, la situation y est également tendue. « Avec l’arrivée de l’IA développée en interne, on négocie dans les centres d’appel un accord GEPP avec un article sur la mobilité interne ou externe, qui devrait conduire cette année 300 personnes au départ », nous expliquait fin mai un porte-parole du syndicat FO Communication.

Quelle sera l’ampleur de la mobilisation le 1ᵉʳ juillet ? « Si l’appel à la grève devait être suivi, il n’y aurait
aucun impact pour nos abonnés », veut rassurer la direction de l’opérateur.

Long Live

Deezer a annoncé vendredi le lancement de son outil de détection et d’étiquetage automatique des contenus musicaux produits à 100% par des modèles d’intelligence artificielle générative. La plateforme revendique une première mondiale, qualifiée d’indispensable pour lutter contre le phénomène des streams frauduleux.

« Certains morceaux de cet album peuvent avoir été créés à l’aide de l’intelligence artificielle », indiquent désormais certaines fiches Deezer. Le service a en effet annoncé, vendredi 20 juin, la mise en service d’un outil d’étiquetage des morceaux générés par IA sur sa plateforme d’écoute de musique en ligne.

Pour ce faire, il exploite une technologie de détection automatisée, développée par ses soins, qui aurait donné lieu au dépôt de deux brevets, et aurait surtout permis à Deezer de mesurer l’explosion de la publication de musique générée par IA.

En avril dernier, la société affirmait ainsi que « 18% des nouvelles musiques publiées chaque jour sur sa plateforme sont entièrement générés par intelligence artificielle ». Elle évoquait alors un volume doublé en seulement trois mois.

0,5% des écoutes, mais 70% de fraude

Beaucoup de morceaux, mais peu d’écoutes : la musique générée par IA ne représenterait que 0,5% des streams de la plateforme. Elle servirait cependant un autre phénomène : celui des écoutes frauduleuses, c’est-à-dire des comportements d’internautes simulés sur la plateforme, utilisés pour gonfler artificiellement l’audience et donc les revenus de certains artistes. « Aujourd’hui, jusqu’à 70 % des écoutes de titres entièrement générés par IA sont considérées comme frauduleuses », affirme Deezer, sans détailler les modalités de ce calcul.

En réponse, la plateforme s’est donc lancée dans le développement d’un algorithme de détection « capable d’identifier la musique 100 % générée par les modèles génératifs les plus avancés – comme Suno ou Udio – avec la possibilité d’ajouter de nouveaux outils, à condition de disposer des données nécessaires ».

Deezer affirme ainsi être capable de détecter, directement dans le signal audio, des marqueurs associés à l’outil qui a servi à la génération, du moins s’il s’agit de Suno ou Udio, considérés comme les leaders du marché. « Quand les algorithmes d’IA génèrent de la nouvelle chanson, ils ont des espèces de petits bruits qui les identifient, propres à eux (…) qu’on va pouvoir retrouver. Ce n’est pas audible à l’oreille mais c’est visible dans le signal audio », décrit auprès de l’AFP Alexis Lanternier, directeur général de Deezer. L’outil serait, d’après lui, « fiable à 98% ».

« Concrètement, tu sauras enfin si ce que tu écoutes a été créé par un humain… ou pas », présente encore Deezer sur l’une des pages de son forum. La plateforme précise que les morceaux générés par IA ne seront plus mis en avant dans ses listes de lecture éditorialisées ou dans les recommandations algorithmiques.

• Billie Eilish, Pearl Jam, Stevie Wonder… 200 artistes alertent contre l’usage de l’IA dans la musique

Comment gérer ces productions générées par IA ?

Pourquoi ne pas purement et simplement les supprimer ? « Ou même encore mieux, pourquoi ne pas les bloquer à l’entrée en les soumettant à ce test de détection avant publication, afin d’éviter qu’ils envahissent inutilement la plateforme ? », s’interroge un utilisateur. En dehors des cas de plagiat ou de violation des droits d’auteur, la question n’est pas triviale : quid des faux positifs, ou des morceaux qui ne seraient que partiellement générés par IA ?

À défaut d’un blocage a priori, Deezer a déjà montré qu’il était possible de faire le ménage : en avril 2024, la société avait indiqué avoir supprimé sur six mois quelque 26 millions de titres (l’équivalent de 13% de son catalogue), « dont du contenu non artistique, des bruits et des doublons », grâce à ses outils de détection automatisés.

Jusqu’où les outils automatisés de Deezer se montreront-ils efficaces, surtout si de nouveaux modèles de génération de musique font leur apparition ? Dans le domaine du texte ou de l’image, les modèles de détection sont souvent pointés du doigt pour leur piètre efficacité, et nos propres travaux sur la prolifération des sites d’actualité générés par IA concluent à la nécessité d’une analyse manuelle.

La plateforme française n’est pas la seule à étudier cette approche automatisée. YouTube a ainsi annoncé en septembre dernier qu’il travaillait à la détection des éléments visuels ou sonores générés par IA au sein de sa technologie de lutte contre les infractions au droit d’auteur, Content ID.

Au-delà de l’efficacité technique, Deezer adopte surtout une posture de contrôle et d’encadrement des pratiques liées à l’IA, là où son grand rival Spotify est soupçonné d’avoir, au contraire, volontairement diffusé des morceaux créés par de faux artistes au sein de certaines listes de lecture thématisées.

• Faux artistes et vrais problèmes de Spotify