Tesla a fait état mardi soir d’un bénéfice trimestriel en recul de 71 % sur un an, sur fond de ventes qualifiées de décevantes. Si l’entreprise admet souffrir de l’incertitude économique générale liée à la guerre commerciale lancée par Donald Trump, ses représentants réaffirment leur confiance dans sa stratégie à long terme, et récusent l’idée selon laquelle Tesla souffrirait de l’implication d’Elon Musk aux côtés du président des États-Unis. L’intéressé fait quant à lui souffler le chaud et le froid quant à sa participation active au désormais célèbre Doge.

Publiés mercredi soir, les résultats de Tesla pour le premier trimestre 2025 confirment le ralentissement des ventes de l’entreprise sur son marché principal qu’est l’automobile.

Dans le détail, Tesla indique avoir produit 362 000 véhicules sur le trimestre, en recul de 16 % sur un an, tandis que les livraisons se montent à 337 000 véhicules sur la même période (- 13 %). Faut-il y voir une baisse de la demande, comme le supputent de nombreux observateurs ?

Les ventes de véhicules ralentissent

Pas forcément : la baisse des livraisons découlerait ainsi « en partie » de la conversion des lignes de production vers le nouveau Model Y au sein des quatre usines concernées, indique l’entreprise dans sa communication financière (PDF). Elle note par ailleurs une légère baisse du prix de vente moyen de ses véhicules, qu’elle attribue à la fois au mix (la répartition entre les différentes versions d’une même voiture) et aux incitations à la vente pratiquées dans son réseau de distribution.

Les manifestations anti-Tesla, qui ont défrayé la chronique aux États-Unis suite à la mise en œuvre par Elon Musk de son plan d’épuration des finances publiques, semblent tout de même avoir affecté l’homme d’affaires. « Comme les gens le savent, il y a eu des réactions négatives suite au temps que j’ai passé au gouvernement », a-t-il commencé, avant d’affirmer sans ambages y voir le signe d’un complot. « Les manifestations que vous avez pu voir étaient très bien organisées. [Les participants] ont été payés pour ça », a notamment déclaré le cofondateur de Tesla lors du webcast de présentation de ces résultats, sans préciser ses allégations.

Des finances toujours très solides

Résultat des courses ? Sur son activité principale qu’est l’automobile, Tesla réalise sur le trimestre un chiffre d’affaires global de 13,967 milliards de dollars, en recul de 20 % sur un an. Au sein de cet ensemble, qui réunit principalement les ventes (12,925 milliards de dollars) et le leasing (447 millions de dollars), on note que Tesla engrange aussi 595 millions de dollars grâce à la vente de crédits carbone à d’autres acteurs industriels. Une activité indirecte, qui a déjà représenté 2,8 milliards de dollars de chiffre d’affaires pour le groupe en 2024.

Outre les véhicules, Tesla réalise 2,730 milliards de dollars de chiffre d’affaires sur les activités liées au stockage et à la production d’énergie (batteries domestiques ou industrielles, actifs ENR), et 2,638 milliards de dollars via sa division dédiée aux services (au premier rang desquels la recharge).

L’ensemble représente un chiffre d’affaires trimestriel total de 19,335 milliards de dollars, en baisse de 9 % par rapport au premier trimestre 2024. En bas de bilan, Tesla parvient tout de même à un résultat positif en dépit de dépenses d’exploitation qui augmentent (+ 9 % sur un an) : son bénéfice net s’établit ainsi à 409 millions de dollars, en baisse de 71 % sur un an.

Tesla souligne dans ce contexte sa robustesse financière, avec un cycle de conversion achevé au niveau de ses principales usines, des travaux déjà bien avancés pour ses futures usines dédiées au Robotaxi/Cybercab (Texas) et au Tesla Semi (Nevada), ainsi qu’une trésorerie largement disponible de l’ordre de 2,2 milliards de dollars. Elle se montre également très optimiste quant à la future contribution de sa Megafactory de Shanghai, qui a déjà produit 100 Mégapacks (stockage d’énergie par batteries à l’échelle d’un conteneur) et doit arriver à une production annuelle de l’ordre de 40 GWh.

• Avec son Robotaxi, Tesla mise gros sur la conduite autonome

Une visibilité limitée

Un mauvais trimestre n’est pas un problème dans la trajectoire d’une entreprise de croissance… tant que cette dernière peut rassurer quant à ses perspectives futures. Et sur ce point, Tesla ne semble pas beaucoup mieux lotie que les autres acteurs de l’industrie automobile.

« Il est difficile de mesurer l’impact de l’évolution des politiques commerciales mondiales sur les chaînes d’approvisionnement automobile et énergétique, notre structure de coûts et la demande de biens durables et de services associés. Bien que nous réalisions des investissements prudents qui prépareront nos activités automobiles et énergétiques à la croissance, le rythme de croissance cette année dépendra de divers facteurs, notamment l’accélération de nos efforts en matière d’autonomie, la montée en puissance de nos usines et le contexte macroéconomique général », expose ainsi Tesla dans sa communication financière.

Elon Musk prêt à lever le pied du Doge, mais pas à le quitter

L’attitude d’Elon Musk vis-à-vis de ses multiples engagements, professionnels ou politiques, interroge tout particulièrement dans ce contexte. Un analyste de Wall Street tirait d’ailleurs la sonnette d’alarme la veille de la publication de ces résultats financiers, estimant que Musk s’exposait au risque d’un « code rouge » s’il ne revenait pas pleinement aux manettes de Tesla.

Le message semble avoir été entendu, mais l’intéressé entretient tout de même un certain flou quant à la suite de sa mission au sein du Doge, le ministère de l’efficacité gouvernementale installé par Donald Trump.

« À compter probablement du mois prochain, mai, le temps que je consacre au Doge devrait diminuer significativement, a ainsi déclaré Elon Musk aux analystes, avant d’immédiatement nuancer son propos, en expliquant qu’il devrait veiller à ce que l’action du Doge ne soit pas défaite jusqu’à la fin du mandat de Donald Trump. Je pense que je continuerai à consacrer un jour ou deux par semaine aux affaires gouvernementales, aussi longtemps que le Président le souhaitera et tant que c’est utile ». Selon les termes initiaux de l’annonce formulée par Donald Trump, la mission de Musk en tant que conseiller spécial de la Maison-Blanche devait durer 130 jours.

Musk prudent dans son désaccord avec Trump sur les droits de douane

Au-delà de son agenda personnel, Elon Musk était également attendu sur l’épineux dossier des droits de douane, qui a plongé les bourses du monde entier dans une crise de volatilité depuis le début d’avril. Sur ce point, le milliardaire avait déjà laissé entendre, via son très prolifique compte X, qu’il ne partageait pas totalement les vues de Trump, semblant plutôt se ranger du côté des soutiens du libre-échange.

Une opinion confirmée mardi. « Je suis partisan des structures de taxes prévisibles, et je soutiens en général le libre-échange et des droits de douane plus modérés, a admis Elon Musk, avant là encore quelques précautions oratoires. Je pense que ça reste à traiter stratégiquement au cas par cas. Le Président est le représentant élu du peuple, et il est complètement dans son droit de faire les choses comme il le souhaite ».

Si Tesla affirme avoir sécurisé les grands maillons stratégiques de sa chaîne d’approvisionnement, Musk reconnait que les tensions entre la Chine et les États-Unis pourraient avoir d’autres impacts opérationnels sur les diversifications du groupe, notamment la branche incarnée par le robot humanoïde Optimus. Bien qu’il soit encore au stade du développement, Tesla prévoit d’en assembler « quelques milliers » d’unités en 2025, et se heurte actuellement aux restrictions mises en place par la Chine sur les terres rares, dont les aimants permanents. « On y travaille avec la Chine », a indiqué Musk, qui réaffirme par ailleurs son ambition de produire un million de robots par an d’ici 2030.

And the winners are...

La Commission européenne informe, dans un communiqué, que les deux entreprises américaines ont été reconnues coupables de violations du Digital Markets Act. Les amendes, de plusieurs centaines de millions d’euros, font suite à des dossiers connus : les blocages « anti-steering » chez Apple et l’approche « consentir ou payer » chez Meta.

« Aujourd’hui, la Commission européenne a constaté qu’Apple n’avait pas respecté l’obligation de lutte contre le pilotage qui lui incombe en vertu de la loi sur les marchés numériques (DMA) et que Meta n’avait pas respecté l’obligation de donner aux consommateurs le choix d’un service qui utilise moins de données à caractère personnel les concernant », indique la Commission européenne dans son communiqué. Il s’agit des premières amendes infligées dans le cadre du DMA.

Apple et ses blocages sur les tarifs tiers

Il y a donc deux amendes. La première, de 500 millions d’euros, vient frapper Apple pour ses pratiques anti-steering. Le terme désigne les blocages plus ou moins visibles mis en place par l’entreprise pour empêcher les éditeurs tiers de communiquer librement sur leurs tarifs. Y compris quand ils sont plus intéressants que ceux affichés sur l’App Store.

C’est l’un des principaux reproches faits à l’App Store ces dernières années. Nombreux sont les éditeurs à estimer qu’ils devraient pouvoir afficher les liens qu’ils souhaitent dans leurs applications, surtout quand il s’agit de périodes promotionnelles. 

En outre, ces liens peuvent pointer vers des paiements plus rémunérateurs pour les éditeurs, puisqu’Apple ne prélève pas sa fameuse dîme de 30 % sur les achats et abonnements (pour ces derniers, la commission baisse à 15 % dès le 13^ᵉ mois consécutif). Spotify est probablement la société la plus remuante sur le sujet. Avec d’autres, elle fait même partie des entreprises ayant choisi de ne plus autoriser l’abonnement via l’application pour iOS. Pour s’inscrire, il faut passer par le site officiel. Apple avait estimé de son côté que Spotify devrait être reconnaissante.

Des consommateurs lésés

Quoi qu’il en soit, le DMA impose que les développeurs tiers soient libres de communiquer comme ils le souhaitent sur ces offres. La Commission indique avoir constaté qu’Apple « ne respecte pas cette obligation ». En outre, puisque les consommateurs ne peuvent pas être informés directement, ils sont lésés. Enfin, Apple était invitée à justifier ces restrictions, mais n’a pas réussi à démontrer qu’elles « étaient objectivement nécessaires et proportionnées ».

La Commission précise que le montant de l’amende (500 millions d’euros) « tient compte de la gravité et de la durée de l’infraction ». Apple a 60 jours pour payer, sous peine d’une pénalité pour chaque jour de retard. À noter en revanche que la Commission a clos en revanche le dossier sur le choix du navigateur, Apple étant félicitée pour son « engagement précoce et proactif » sur le sujet. Rappelons que la première version n’avait guère convaincu, avant que l’écran de sélection ne soit révisé dans iOS 18.

Comme l’indique notamment Le Monde, Apple a simplement indiqué qu’elle était « injustement visée » par l’Europe et qu’elle ferait appel de la décision.

Sans surprise, les abonnements de Meta n’ont pas plu

On savait que les abonnements proposés par Meta pour mettre fin à la publicité ne plairaient pas. L’entreprise les avait proposés en réaction à ses obligations face au DMA sur la publicité personnalisée.

Sommée de proposer une alternative permettant de ne pas exploiter les données personnelles sans avoir recueilli le consentement explicite des internautes, Meta avait en effet lancé une approche surprenante. Plutôt que de demander le consentement, elle avait lancé des abonnements pour ne plus afficher de publicités. Un modèle « consentir ou payer » qui n’est pas passé auprès de la Commission européenne. Non conforme au RGPD notamment, le choix ne garantissait pas non plus que les données personnelles échappaient au traitement, simplement que les publicités n’étaient pas affichées.

La Commission note cependant que Meta a proposé un autre système en novembre dernier. Il utiliserait moins de données personnelles et serait la conséquence de « nombreux échanges avec la Commission ». Cette dernière évalue actuellement la nouvelle option et dit poursuivre son dialogue avec Meta, pour lui demander notamment des preuves de son impact.

Meta voit rouge

Le montant de l’amende (200 millions de dollars) tient compte de cette chronologie, sur la période mars-novembre 2024, quand les internautes européens n’ont eu à disposition que l’option qualifiée de « binaire ». Comme pour Apple, Meta a 60 jours pour se conformer à la décision, sous peine d’une astreinte journalière.

Sur X, Joel Kaplan, responsable des affaires mondiales chez Meta, vient de lancer une réponse au vitriol : « La Commission européenne tente de mettre des bâtons dans les roues d’entreprises américaines prospères tout en permettant aux entreprises chinoises et européennes d’opérer selon des normes différentes. Ce n’est pas qu’une question d’amende, la Commission nous force à modifier notre modèle commercial, nous impose une taxe de plusieurs milliards de dollars et requiert de notre part un service inférieur ».

Dans les deux dossiers, la question demeure toutefois : la situation géopolitique actuelle, extrêmement tendue, a-t-elle joué un rôle ? Plusieurs dossiers ont été ouverts par la Commission au cours des dernières années contre des géants américains du numérique. La position récente de la Maison-Blanche était cependant que ces entreprises devaient être gouvernées par des lois américaines. Des rumeurs avaient rapidement couru sur la possibilité pour la Commission de se « retenir » sur ses prochaines amendes, mais l’institution ne s’est pas exprimée sur le sujet.

• Entre l’Europe et les États-Unis, le torchon brûle autour du DMA et du DSA

Méga BaaS In

Les robots utilisés par les grands modèles de langage (LLM) pour indexer le web ne sont que la partie émergée de l’iceberg. Une étude portant sur le trafic web des clients d’une entreprise de cybersécurité proposant des services de lutte contre les bots avance que 37 % émanerait en effet de « robots malveillants » (contre 19 % il y a 10 ans), contre 14 % pour les robots légitimes, et 49 % pour les internautes humains (contre plus de 60 % il y a encore 5 ans).

Mise à jour, 19h48 : en réponse à des remarques effectuées en commentaires, l’article a été modifié pour préciser que l’étude porte sur le trafic web des clients d’une entreprise de cybersécurité proposant des services de lutte contre les bots (et non sur le « trafic Internet » en général), et le titre modifié en conséquence.

---

« Pour la première fois en dix ans, le trafic automatisé a dépassé l’activité humaine, représentant 51 % de l’ensemble du trafic web en 2024 ». Ces derniers représentaient en effet un peu plus de 60 % du trafic web jusqu’en 2020, contre 49 % seulement en 2024.

Les « gentils bots », tels que les crawlers qui indexent les pages web, sont quant à eux passés de 20 % environ à 14 %. Les « robots malveillants », a contrario, voient leur trafic augmenter depuis six ans, passant de 19 à 37 %.

Les chiffres émanent du 12e rapport « Bad Bot » (.pdf) d’Imperva, une entreprise états-unienne de cybersécurité rachetée par Thales en 2023 pour 3,6 milliards de dollars. Elle précise que son analyse « s’appuie sur des données collectées sur l’ensemble du réseau mondial d’Imperva en 2024, y compris le blocage de 13 000 milliards de requêtes de robots malveillants dans des milliers de domaines et d’industries ».

Le rapport définit ces robots malveillants comme des programmes automatisés conçus pour effectuer des activités nuisibles, telles que la récupération de données, le spam et le lancement d’attaques par déni de service distribué (DDoS).

Ils peuvent également extraire des données de sites web sans autorisation pour les réutiliser, obtenir un avantage concurrentiel, et « sont souvent utilisés pour le scalping, qui consiste à obtenir des articles à disponibilité limitée et à les revendre à un prix plus élevé », souligne le rapport.

• Les chatbots IA ne ramènent quasiment pas de trafic aux éditeurs de sites

Ils peuvent aussi, a contrario, être utilisés pour remplir des formulaires pour, par exemple, créer des comptes fictifs, tromper les CAPTCHA, s’attaquer à la double authentification et voler des identités (« Credential Stuffing / Cracking »).

Le nombre de vols d’identités numériques imputables à des « bad bots » aurait ainsi augmenté de 40 % depuis 2023, et 54 % depuis 2022. Une explosion « probablement due » au fait que les cybercriminels utilisent l’IA pour automatiser les tentatives d’authentification et les attaques par force brute, ce qui les rend en outre plus sophistiquées et plus difficiles à détecter.

Le rapport souligne que l’augmentation de fuites et de vols de données rend également ce type d’attaques plus faciles à exploiter. Or, le centre de ressources sur le vol d’identité (Identity Theft Resource Center), qui documente depuis 2005 les violations de données signalées publiquement aux États-Unis, a de son côté identifié une augmentation de 211 % de notifications par rapport à 2023.

Des plateformes de Bots-as-a-Service (BaaS)

Le rapport précise aussi que « les attaquants utilisent de plus en plus des techniques sophistiquées pour imiter le trafic humain et mener des activités malveillantes, ce qui rend ces attaques plus difficiles à détecter et à atténuer ».

Cette expansion serait largement due à l’adoption rapide de l’IA et des grands modèles de langage (LLM), « qui ont rendu le développement de robots plus accessible et réalisable même pour les moins qualifiés techniquement », mais également permis le lancement de plateformes de Bots-as-a-Service (BaaS).

Bytespider, un robot d’exploration du web exploité par ByteDance, le propriétaire chinois de TikTok, officiellement utilisé pour télécharger des données d’entraînement pour ses LLM, serait à lui seul responsable de 54 % de toutes les attaques basées sur l’IA, devant AppleBot (26 %), ClaudeBot (13 %) et ChatGPT User Bot (6 %).

• Les crawlers des IA deviennent un sérieux problème pour le web, même pour Wikimédia

Le rapport précise, cela dit, que cette prévalence de ByteSpider « peut être attribuée en grande partie au fait qu’il est largement reconnu comme un robot d’exploration légitime, ce qui en fait un candidat idéal pour l’usurpation d’identité » :

« Les cybercriminels déguisent souvent leurs robots malveillants en robots d’exploration pour échapper à la détection et contourner les mesures de sécurité qui placent les robots d’exploration connus sur liste blanche. »

L’équipe Threat Research d’Imperva a également constaté une augmentation de 55 % des attaques dirigées contre les API. 44 % du trafic de bots avancés prennent ces interfaces pour cibles, contre seulement 10 % ciblant les applications.

Les cybercriminels déploient en effet des bots spécifiquement conçus pour exploiter les vulnérabilités dans les flux des API, se livrant à des fraudes automatisées aux paiements, à des détournements de comptes ou encore à l’exfiltration de données.

31 % des attaques enregistrées l’an passé émanaient de « bad bots »

Au total, 31 % de toutes les attaques enregistrées l’an passé par Imperva émanaient de tels « bad bots » et de l’un des 21 types d’attaques automatisées identifiés par l’Open Web Application Security Project (OWASP).

L’entreprise recommande dès lors de renforcer les défenses des sites web afin de de pouvoir distinguer les consommateurs légitimes des robots malveillants :

« La mise en œuvre d’une analyse avancée du trafic, de mécanismes de détection des robots en temps réel et de mesures d’authentification robustes peut contribuer à protéger votre plateforme, en garantissant un accès équitable aux clients réels. »

Imperva souligne à ce titre que de nombreux outils et scripts de robots reposent sur des user-agents de versions de navigateurs obsolètes. Alors qu’a contrario, les internautes humains sont quant à eux obligés de mettre à jour automatiquement leurs navigateurs vers des versions plus récentes.

L’entreprise, qui a également constaté un recours accru aux services de proxies, afin de masquer la provenance des robots malveillants, recommande la mise en œuvre de contrôles d’accès pour les fournisseurs d’IP connus pour être utilisés à cet effet, « tels que Host Europe GmbH, Dedibox SAS, Digital Ocean, OVH SAS et Choopa LLC ».

Abandon d'abandon d'abandon d'abandon

L’initiative Privacy Sandbox, lancée en 2019, devait aboutir progressivement au blocage par défaut des cookies tiers au sein du navigateur Chrome. La fonction, orientée vers la confidentialité et largement critiquée, est cependant figée. Dans un billet, Google a en effet annoncé que les cookies tiers resteront en place.

Les utilisateurs de Chrome n’auront finalement pas de changement sur les cookies tiers. Le comportement actuel sera préservé, avec une acceptation par défaut et la possibilité de modifier les options pour les bloquer. Le mode Incognito, qui les bloque par défaut, continuera lui aussi de fonctionner de la même manière.

On est bien comme on est

Google a annoncé cette décision hier soir, par un billet d’Anthony Chavez, vice-président de l’entreprise et chargé de Privacy Sandbox. Il explique que le contexte a largement changé depuis les débuts de l’initiative en 2019. Il cite l’adoption croissante de technologies améliorant la protection de la vie privée, de nouvelles possibilités pour la protection et la sécurisation des expériences de navigation par l’IA, ou encore une évolution « considérable » du paysage réglementaire dans le monde.

« Compte tenu de tous ces facteurs, nous avons pris la décision de maintenir notre approche actuelle pour offrir aux utilisateurs le choix des cookies tiers dans Chrome », indique ainsi Anthony Chavez. Dans le même temps, d’autres briques de protection comme Safe Browsing, Safety Check et des mécanismes s’appuyant sur l’IA seront renforcées. Google évoque également l’arrivée d’IP Protection pour le troisième trimestre. Ce mécanisme, prévu pour le mode Incognito, veut limiter la diffusion de l’adresse IP dans les contextes tiers, en la bloquant aux sites présents dans la Masked Domain List (MDL).

Que deviendra alors la Privacy Sandbox ? Ce n’est pas très clair. De ce que l’on comprend du billet, elle va rester en place. Google indique que des entretiens auront lieu avec l’industrie dans les mois à venir, pour « recueillir des commentaires et partager une feuille de route actualisée ».

Un long fleuve pas si tranquille

Si l’annonce d’hier soir vous semble familière, c’est que Google avait préparé le terrain. En juillet 2024, elle indiquait déjà qu’elle renonçait au blocage par défaut des cookies tiers. À la place, l’éditeur indiquait réfléchir à la possibilité de poser la question à l’internaute pour lui demander quoi faire. Dans le billet d’hier soir, cette possibilité a justement été écartée, pour rester sur le comportement actuel, qui a l’avantage d’être connu par des centaines de millions de personnes.

La gestion du projet Privacy Sandbox aura cependant été riche en rebondissements. À sa présentation en 2019, il s’agissait d’un mécanisme devant permettre une meilleure approche de la confidentialité des données, tout en préservant l’efficacité des publicités personnalisées. Un numéro d’équilibrisme auquel Google s’est adonné pendant plusieurs annonces, rencontrant sur cette corde raide de nombreuses critiques.

C’était notamment le cas avec la Competition and Markets Authority (CMA) et l’Information Commissioner’s Office (ICO) du Royaume-Uni, ainsi que d’une partie de l’industrie. Petit à petit, la Privacy Sandbox est devenue ce que l’on en connait aujourd’hui : un mécanisme d’envoi de statistiques groupées sur les habitudes des internautes. Il casse ainsi le suivi individuel pour se baser sur des cohortes d’internautes, dont les données sont agrégées en fonction de centres d’intérêt. La Privacy Sandbox prévoit également que les données restent locales et ne puissent pas permettre une reconstitution de l’identité.

Condamnée depuis longtemps ?

Il ne s’agissait cependant pas, comme on a parfois pu le voir, de débarrasser totalement Chrome de la collecte des données personnelles. L’objectif de la Privacy Sandbox était simplement d’en limiter la quantité. Google tire une proportion écrasante de son chiffre d’affaires des publicités et leur personnalisation représente depuis longtemps une industrie complète.

• Publicité en ligne : Google a bien construit un monopole selon la justice étasunienne

De fait, comme l’indiquait TechCrunch l’année dernière, Google s’est retrouvée prise au piège dans une ambivalence qui ne pouvait satisfaire personne. Il fallait pouvoir continuer sur les publicités comme l’entreprise l’avait toujours fait, tout en renforçant la protection de la vie privée. Le résultat peut être comparé aujourd’hui à une solution n’ayant satisfait personne. L’association noyb avait même déposé plainte contre Google, qu’elle accusait de mentir sur le fonctionnement de la Privacy Sandbox.

Dans ce contexte, la volonté affichée de collecter les avis de l’industrie sur la fonction est peut-être un vœu pieu. Mieux vaut peut-être d’ailleurs que la Privacy Sandbox disparaisse, tant elle aura attiré des problèmes à Google, entre concurrence l’accusant d’en faire une arme, critiques acerbes de plusieurs autorités nationales et erreurs manifestes pointées par le W3C.

Instagram a lancé mardi sa nouvelle application dédiée au montage vidéo. Baptisée Edits, elle se positionne comme une alternative directe au célèbre CapCut, propriété de TikTok, très en vogue chez les créateurs de contenus adeptes du mobile.

Disponible sur iOS et Android, Edits revendique une approche complète de la réalisation de vidéos, avec un volet dédié à la prise de vue (réglage de la fréquence d’images, ouverture, luminosité, etc.) et un panneau très complet dédié au montage.

Entre autres options d’édition, Edits propose la gestion de pistes audio et vidéo, le sous-titrage automatique, la création simplifiée de fondus et de transitions, etc. Elle dispose également d’une banque d’effets sonores et d’une réserve d’animations visuelles et de polices de textes.

Instagram promet par ailleurs l’arrivée prochaine de nouvelles fonctionnalités, dont un mode collaboratif, qui offrira la possibilité de partager le brouillon d’un projet avec ses contacts, ou des effets d’IA, qui permettront de modifier une vidéo à partir de prompts.

L’application se veut enfin directement connectée à Instagram. Elle affiche un flux de vidéos populaires censées pouvoir nourrir l’inspiration des créateurs en herbe, et dispose d’un panneau statistiques permettant à l’utilisateur de suivre les performances de ses propres vidéos. L’export des vidéos se fait, pour l’instant, sans filigrane ou mention explicite du logiciel utilisé.

« La réalisation de vidéos peut représenter un processus délicat, qui nécessite souvent plusieurs applications et implique des workflows complexes. Grâce à Edits, vous disposez désormais d’une plateforme dédiée avec des fonctionnalités performantes en matière de création de vidéos », estime Instagram.

L’application est disponible gratuitement sur l’App Store et le Google Play Store. Un compte Instagram est en revanche exigé pour y accéder. « Nous utiliserons vos informations Edits et Instagram pour personnaliser les publicités et d’autres expériences sur Edits et Instagram », prévient par ailleurs l’application lors du premier lancement.

Meta a initialement dévoilé son projet Edits fin janvier, en rebond à la possible interdiction de TikTok et des applications du groupe chinois Bytedance sur le sol américain.

La présentation des prochains résultats financiers d’Intel, programmée jeudi 24 avril, sera particulièrement scrutée : d’après Bloomberg, le nouveau CEO Lip-Bu Tan devrait y annoncer la mise en œuvre d’un nouveau plan de restructuration.

Le média américain évoque une réduction de l’ordre de 20 % des effectifs totaux du groupe, motivée par la volonté de « réduire la bureaucratie » et reconstruire une culture d’entreprise « basée sur l’ingénierie ».

Sous la houlette de Pat Gelsinger, Intel avait déjà annoncé et engagé un plan de restructuration en août 2024, qui visait à supprimer l’équivalent de 15 000 postes.

Au 28 décembre 2024, Intel comptait 108 900 employés d’après son rapport annuel. Mercredi 23 avril, son site dédié au recrutement n’évoque déjà plus que « plus de 99 000 collaborateurs ».

Depuis sa prise de fonction, le 18 mars dernier, Lip-Bu Tan a déjà exprimé son intention de recentrer les activités d’Intel sur son cœur de métier. Une volonté qui s’est déjà incarnée avec l’annonce, formulée mi-avril, de la vente de 51 % d’Altera au fonds d’investissement Silver Lake.

Un grand pouvoir implique de grandes...

Après avoir été jugée, aux États-Unis, en situation de monopole sur le marché de la recherche en ligne en août dernier, Google vient également de l’être pour ce qui est du marché de la publicité en ligne. L’entreprise, qui vient de faire l’objet d’accusations similaires au Royaume-Uni, essaie en outre de contrer la menace de devoir céder son navigateur Chrome, et d’ouvrir l’accès à ses données de recherche.

En août 2024, le ministère de la Justice états-unienne (Department of Justice, DOJ) avait tranché : Google LLC, filiale d’Alphabet, est en position de monopole sur le marché de la recherche en ligne, et elle en abuse. 



Ce 21 avril, un nouveau chapitre s’est ouvert pour la société fondée par Larry Page et Sergueï Brin, qui tente de s’opposer aux conséquences susceptibles de lui être imposées. En octobre, nous détaillions en effet que le juge Amit P. Mehta envisageait des « mesures structurelles et comportementales qui empêcheraient Google d’utiliser des produits comme Chrome, Play et Android pour avantager Google search ou des produits et des fonctionnalités liées à Google search ».

Autrement dit, le DOJ réfléchissait à démanteler Google, et notamment à le forcer à se séparer de son navigateur. L’entreprise a décidé de monter au créneau avant qu’une décision finale ne soit rendue. Une bataille centrée sur les mesures de lutte contre sa position monopolistique s’est donc ouverte hier.

Et si les dirigeants d’Alphabet, comme ceux de la plupart des autres géants numériques du pays, ont fait en sorte de se rapprocher de la nouvelle administration états-unienne, cela ne leur assure pas pour autant d’éviter la condamnation. D’autant qu’en parallèle de ce procès, une autre juge fédérale états-unienne a conclu le 17 avril que Google était aussi en situation de monopole sur le marché de la publicité en ligne.

• Publicité en ligne : Google a bien construit un monopole selon la justice étasunienne

Au Royaume-Uni, l’entreprise doit par ailleurs se défendre face à une class action l’accusant… d’avoir abusé de sa position dominante pour surfacturer les annonceurs britanniques.

La fin de Chrome tel qu’on le connaît ?

La séparation de Google d’avec son navigateur, son magasin d’application ou son système d’exploitation de smartphone ne sont qu’une des pistes envisagées par la justice états-unienne. Comme nous l’expliquions en octobre, les démantèlements restent extrêmement rares aux États-Unis, surtout depuis 1984 (date de la séparation du géant des télécoms AT&T de multiples filiales).

• Comment la justice américaine envisage-t-elle le démantèlement de Google

Néanmoins, l’industrie évoluant à marche rapide, le DoJ souligne que le monopole de Google participe à améliorer ses outils d’intelligence artificielle, désormais au cœur de toutes les attentions.

Google a, par exemple, accepté de payer Samsung chaque mois en échange de l’installation de son application d’IA Gemini sur tous ses appareils. Dans son jugement, relève Reuters, Amit Mehta avait souligné que ce genre d’accord unilatéral avec des constructeurs avait permis à Google de maintenir son monopole dans la recherche.

Google fait valoir, pour sa part, que la proposition du ministère américain de la justice de scinder ses activités Chrome et Android affaiblirait la sécurité nationale et nuirait à la position du pays dans la course mondiale à l’intelligence artificielle, en particulier face à la Chine, souligne CNBC.

Loin de justifier de séparer Chrome de Google, analyse Platformer, ces éléments pourraient aussi pousser à obliger l’entreprise à partager son trésor de guerre, par exemple en ouvrant l’accès aux données relatives aux requêtes de recherche, aux résultats et à ce sur quoi les utilisateurs cliquent.

Google cherche de son côté à sortir l’intelligence artificielle du périmètre des discussions. L’entreprise a par ailleurs signalé qu’elle ferait appel du jugement une fois celui-ci rendu. Dans les derniers mois, elle a néanmoins fait évoluer la gouvernance du projet libre Chromium, qui soutient son navigateur.

• La fondation Linux abrite désormais un important groupe de soutien à Chromium

OpenAi s’est de son côté déclaré intéressé par le rachat de Chrome si le tribunal tranchait en faveur du démantèlement. Son directeur exécutif a déclaré avoir contacté Google pour conclure un éventuel partenariat permettant à ChatGPT de s’appuyer sur les technologies de recherche de Google (en plus de son autre partenariat avec Bing de Microsoft), ce que cette dernière a refusé.

Nommée par Donald Trump, la nouvelle directrice du département de lutte contre les pratiques anticoncurrentielles du DOJ, Gail Slater, était présente à l’ouverture du procès aux côtés d’autres membres de l’équipe, pour souligner qu’il s’agissait d’un enjeu non partisan. « C’est l’avenir d’internet qui est en jeu », a-t-elle déclaré. La plainte initiale contre Google avait été déposée lors du premier mandat de Donald Trump, puis traité lors du mandat de Joe Biden.

Cinq milliards de livres sterling en jeu

En parallèle, l’entreprise doit se défendre face à une action collective déposée le 16 avril devant le tribunal d’appel de la concurrence, la juridiction en charge des problématiques monopolistiques au Royaume-Uni, relève The Guardian. Déposée par Or Brook, maître de conférence en droit et politiques de la concurrence à l’université de Leeds, le recours accuse la société d’avoir profité de sa position de monopole dans le marché publicitaire pour surfacturer les annonceurs. 



De fait, Google Ads fonctionne sur un système d’enchères : plus une entité est prête à payer, meilleures seront ses chances de voir sa publicité arriver en tête des résultats sur le moteur de recherche. L’action collective demande 5 milliards de livres sterling de dommages et intérêts (soit 5,85 milliards d’euros) et appelle toute organisation britannique ayant utilisé les services publicitaires de Google du 1er janvier 2011 au 15 avril 2025 à les rejoindre.

Le recours présente des arguments similaires à ceux employés aux États-Unis, rapporte l’Usine digitale, dont les accords conclus avec des fabricants de smartphone pour réinstaller Chrome et Search sur de multiples appareils Android, et ainsi asseoir sa position.

QEMU, émulateur aussi bien que client de virtualisation, revient dans une nouvelle version majeure. Estampillée 10.0, elle comporte de nombreuses améliorations et nouveautés.

On trouve ainsi de fortes optimisations pour certains processeurs Xeon (surtout ClearwaterForest et SierraForest-v2), le support des files d’attente multiples pour le périphérique virtio-scsi, ou encore des périphériques apple-gfx-pci et apple-gfx-mmio pour fournir des graphismes accélérés sous macOS.

Les apports dépendent pour beaucoup des architectures visées. Sur ARM par exemple, on note l’arrivée des caractéristiques FEAT_AFP, FEAT_RPRES et FEAT_XS CPU, la prise en charge des timers physiques et virtuels Secure EL2, le support de différentes cartes (dont les modèles Stellaris, NPCM845 Evaluation et i.MX 8M Plus EVK), ainsi qu’une propriété highmem-mmio-size permettant de configurer une plus grande région PCIe MMIO.

C’est toutefois l’architecture RISC-V qui reçoit le plus grand nombre de nouveautés. QEMU 10.0 ajoute ainsi le support du processeur Tenstorrent Ascalon, de l’espace utilisateur AIA irqchip_split, de l’adresse 64 bits d’initrd, de la carte générique Microblaze V, du processeur RV64 Xiangshan Nanhu, du périphérique sriscv-iommu-sys, de l’extension ssstateen, des traces pour les exceptions en mode utilisateur, de Smrnmi, de l’extension ISA RISC-V Counter delegation, ou encore des extensions Smdbltrp et Ssdbltrp.

On trouve également des améliorations pour les architectures HPPA, s390x et LoongArch. Viennent aussi des nouveautés pour VFIO (Virtual Function I/O), un sous-système Linux fournissant un cadre pour exposer l’accès direct au matériel aux applications de l’espace utilisateur. QEMU 10.0 fournit la prise en charge du multifd pour la migration, des anciens GPU ATI, de la capacité PCI PM (support initial), de l’IGD passthrough pour les puces Intel Gen 11 et 12, ou encore un rapport d’erreur plus détaillé pour les échecs de mappage MMIO.

La liste complète des nouveautés est disponible depuis le site officiel. Bien qu’on le trouve souvent associé aux distributions Linux, QEMU est multiplateforme. C’est aussi un logiciel libre, sous licence GPLv2.

Beaucoup plus rapide que la plus rapide de tes mémoires

Une équipe de recherche de l’université chinoise de Fudan décrit comment elle a mis au point une cellule de mémoire Flash capable de changer d’état en seulement 400 picosecondes, soit une vitesse d’écriture supérieure à celle des mémoires volatiles les plus rapides.

La mémoire Flash utilisée à des fins de stockage rivalisera peut-être bientôt de performances avec la mémoire vive. Une équipe de chercheurs de l’université de Fudan, à Shanghai, vient en effet de présenter les résultats d’un projet visant à concevoir une cellule de mémoire Flash capable de réaliser une opération d’écriture en seulement 400 picosecondes (10⁻¹² seconde), soit l’équivalent de 2,5 milliards d’opérations par seconde.

La première Flash sub-nanoseconde

Présenté au travers d’un article scientifique publié dans Nature, le projet reviendrait donc à faire passer la mémoire Flash, utilisée à des fins de stockage, sous la barre symbolique de la nanoseconde ( 10⁻⁹ seconde), à laquelle se heurtent aujourd’hui les mémoires vives les plus rapides du marché.

Et les débouchés sont d’ores et déjà bien identifiés, estiment les auteurs. « À la lumière des progrès accélérés de l’intelligence artificielle, il existe un besoin urgent de mémoires de données non volatiles d’une vitesse inférieure à 1 ns afin de surmonter le goulot d’étranglement de l’efficacité énergétique des calculs ».

Au cours de leurs travaux, les chercheurs expliquent avoir étudié deux types de transistors, basés respectivement sur du diséléniure de tungstène et sur du graphène. Si le premier a permis d’atteindre des performances de l’ordre de la nanoseconde, c’est avec le second que le record a été obtenu, en raison des propriétés exceptionnelles du graphène lorsqu’il s’agit de transporter des électrons sur un plan.

Une super-injection qui pousse la NAND à ses limites théoriques

Le dispositif mis au point par les chercheurs offrirait par ailleurs une stabilité et des caractéristiques de fonctionnement prometteuses au regard des modalités techniques de l’informatique actuelle, avec une tension en entrée fixée à 3,7 V et une endurance estimée à au moins 5,5 millions de cycles. Au-delà de la performance pure, les chercheurs se réjouissent surtout d’avoir réussi à valider le principe d’une injection de porteurs chauds (Hot carrier injection, ou HCI) sur un matériau dit 2D (une couche unique d’atomes ou de molécules).

Ce qui les amène à qualifier leur procédé de « super-injection », avec la promesse théorique de pouvoir surmonter les limites usuelles des semiconducteurs. « Le mécanisme de super-injection bidimensionnel pousse la vitesse de la mémoire non volatile à sa limite théorique, redéfinissant ainsi les limites des technologies de stockage existantes », se réjouit ainsi l’un des auteurs du projet.

Des laboratoires de l’université de Fudan au PCB des supercalculateurs dédiés à l’IA, la route est toutefois encore longue : rien ne dit à ce stade que le procédé puisse être industrialisé, que ce soit d’un point de vue technique ou économique.

Network Attached Shark

Synology a annoncé mi-avril que les fonctionnalités avancées de ses prochains NAS ne seraient accessibles que si l’utilisateur utilise des disques durs aux couleurs de la marque, ou à défaut des modèles tiers dûment certifiés. Le fabricant taïwanais se montre précis sur les restrictions à attendre, mais nettement moins sur les modalités de mise en œuvre de cette décision polémique.

Vous aurez moins de choix, mais c’est pour votre bien, nous informe le spécialiste du stockage réseau Synology. Dans un communiqué daté du 16 avril dernier, signé de sa filiale basée à Düsseldorf, le fabricant taïwanais annonce en effet que sa gamme Plus exigera, à partir des modèles 2025, des disques durs signés Synology ou, à défaut, des périphériques certifiés par la société, afin de délivrer l’ensemble de ses fonctionnalités.

Les vertus supposées de l’intégration

Le message, d’abord repéré par la presse germanophone, évoque de façon explicite la mise en place de restrictions dans les autres cas de figure.

« La déduplication à l’échelle du volume, l’analyse de la durée de vie et les mises à jour automatiques du micrologiciel des disques durs ne seront désormais disponibles que pour les disques durs Synology », écrit par exemple l’entreprise. L’utilisation de simples disques durs compatibles, par opposition aux disques certifiés, pourrait également diminuer le niveau de prise en charge par le support ou les possibilités en matière de création de pool de stockage.

D’après Synology, cette décision, qui consiste donc à favoriser l’emploi des disques durs propriétaires aux couleurs de la marque, se justifierait au nom d’une logique d’intégration.

« Grâce à notre solution de disque dur propriétaire, nous avons déjà constaté des avantages significatifs pour nos clients dans divers scénarios de déploiement », déclare ainsi Chad Chiang, directeur général de la filiale allemande de Synology, dans ce communiqué. « En étendant notre écosystème intégré à la série Plus, nous souhaitons offrir à tous les utilisateurs, des particuliers aux petites entreprises, les plus hauts niveaux de sécurité, de performances et une assistance nettement plus efficace ».

Une gamme de disques durs Synology depuis 2021

Ce changement ne concerne pour l’instant que les modèles de la série Plus, sortis en 2025. « Les modèles Plus commercialisés jusqu’en 2024 inclus (à l’exception de la série XS Plus et des modèles rack) ne subiront aucun changement. De plus, la migration des disques durs d’un NAS Synology existant vers un nouveau modèle Plus restera possible sans restriction », précise l’entreprise.

Rappelons que Synology a d’abord commercialisé des SSD à ses couleurs avant de se lancer, début 2021, dans la vente de disques durs. L’entreprise taïwanaise ne les fabrique cependant pas et n’a, a priori, pas vocation à le faire : elle s’approvisionne chez les grands noms du secteur, et prodigue ensuite sa propre offre de services, de l’assistance au suivi du firmware.

Le premier problème, rapidement pointé du doigt, réside dans le prix : les disques durs estampillés Synology sont parfois vendus plus cher que des modèles de série aux caractéristiques techniques équivalentes, qui peuvent par ailleurs bénéficier d’une garantie plus intéressante (cinq ans par exemple chez Seagate sur la gamme Ironwolf Pro, contre trois ans chez Synology).

Une liste de compatibilité qui reste en suspens

Pour ne rien arranger, Synology semble ne pas avoir réellement préparé sa communication, comme l’ont confirmé les réactions de certains de nos contacts en interne, quelque peu désemparés par le sujet.

La question de la compatibilité restreinte entre les NAS Synology et les disques durs de fabricants tiers n’a en réalité rien de nouveau. Les clients de l’entreprise taïwanaise sont d’ailleurs invités à vérifier dès l’achat la liste des disques compatibles avec leur serveur réseau. Jusqu’ici, l’utilisation d’un disque dur non référencé n’entraînait toutefois pas de restriction importante sur le plan des fonctionnalités.

Synology a fini par clarifier sa position, au travers d’une communication partagée, mardi, avec le site Nascompares.

« D’après les statistiques du support client au cours des dernières années, l’utilisation de disques validés entraîne près de 40 % de problèmes liés au stockage en moins et un diagnostic et une résolution plus rapides des problèmes », y affirme notamment un porte-parole de l’entreprise. Ses disques n’affichent pourtant pas un MTBF (temps moyen de fonctionnement entre deux pannes) supérieur à celui de modèles équivalents chez Seagate ou Western Digital.

Il précise que chaque disque « validé » par Synology fait l’objet de plus de 7 000 heures de test, et que les modèles répondant au cahier des charges voient leur taux de défaillances entraînant une perte significative de données baisser de 88 %.

« En adhérant à la Liste de compatibilité des produits, nous pouvons réduire considérablement les écarts introduits par les changements de fabrication non annoncés, les modifications du micrologiciel et d’autres variations difficiles à identifier et encore plus à suivre pour les utilisateurs finaux et Synology », conclut-il.

Problème : la liste de compatibilité associée aux futurs NAS de la série Plus n’est pas communiquée, et les disques Synology apparaissent donc comme la seule option disponible à date.

Open bar

Non content d’avoir invité un journaliste dans une boucle Signal sur la préparation de frappes américaines contre des Houthis au Yémen, le secrétaire d’État à la Défense américain, Pete Hegseth, est accusé d’avoir informé une autre boucle Signal de ces frappes. Dans cette boucle, se trouvaient entre autres sa femme, son frère et son avocat personnel.

Le gouvernement de Donald Trump a du mal à refermer le scandale surnommé « Signalgate » par certains. Il y a un peu plus d’un mois, le rédacteur en chef de The Atlantic racontait qu’il s’était retrouvé dans une boucle Signal aux côtés de J.D. Vance, Marco Rubio ou encore du Secrétaire d’État à la Défense américain, Pete Hegseth, qui préparaient les frappes américaines du 15 mars dernier contre des Houthis au Yémen.

Un groupe de discussion informel

Mais Pete Hegseth a aussi partagé des informations sur ces frappes sur un autre groupe Signal, selon un article du New York Times publié ce dimanche. Le journal explique que ce groupe Signal a été créé par Pete Hegseth lui-même avant qu’il soit confirmé en tant que secrétaire d’État à la Défense, Le groupe réunit une douzaine de personnes dont sa femme, son frère et son avocat personnel.

« La vérité est qu’il existe un groupe de discussion informel de ses conseillers les plus proches qui a commencé avant la confirmation », a répondu un fonctionnaire du secrétariat d’état au New York Times, tout en affirmant que « rien de confidentiel n’a jamais été discuté dans ce chat ».

Sans avoir répondu à nos confrères, le porte-parole du Pentagone, Sean Parnell, a réagi après la publication de l’article en réaffirmant : « il n’y avait pas d’informations classifiées dans les discussions sur Signal, quelles que soient les façons dont ils essaient d’écrire l’histoire ». Pourtant, plusieurs sources du New York Times affirment que les messages contenaient, entre autres, les plans de vols des avions qui ont ciblé les Houthis au Yémen.

Nos confrères précisent que le frère de Pete Hegseth et son avocat travaillent aussi au sein du Pentagone, mais « on ne voit pas très bien pourquoi l’un ou l’autre aurait besoin d’être informé des prochaines frappes militaires visant les Houthis au Yémen ».

« Un quasi-effondrement au sein de l’état-major du Pentagone »

Techniquement, le système de chiffrement de Signal et sa robustesse ne sont pas remis en cause. La messagerie avait tenu d’ailleurs à s’en expliquer après la première phase de ce scandale.

Le constat est surtout que le secrétaire d’État à la Défense n’utilise pas une messagerie recommandée par la Maison-Blanche pour partager des informations sensibles, si ce n’est confidentielles, avec des personnes qui ne sont pas censées y avoir accès.

Une telle messagerie bloquerait, par exemple, tout accès à des personnes non autorisées. Plusieurs sources du New York Times, mais aussi de NBC News, affirment de plus que Pete Hegseth utilise Signal via son smartphone personnel et son téléphone officiel.

Cet épisode est celui d’ « un quasi-effondrement au sein de l’état-major du Pentagone », a commenté l’ancien porte-parole du Pentagone, John Ullyot, qui a tout juste quitté son poste la semaine dernière. Il était pourtant un des conseillers de Donald Trump lors de son premier mandat.

Dans une tribune publiée par Atlantico, le conseiller en communication a affirmé que « Dans ces conditions, il est difficile d’imaginer que le secrétaire d’État à la Défense, Pete Hegseth, puisse rester en poste encore longtemps ».

NPR a aussi publié un article ce lundi expliquant que la Maison-Blanche lui cherchait un remplaçant. Mais la porte-parole de la Maison-Blanche a démenti et Donald Trump a réaffirmé son soutien à son secrétaire d’État, affirmant qu’il faisait « un boulot super » en ajoutant « il suffit de demander aux Houthis comment ils se portent ».

L’article de NPR se clôture par ailleurs sur un « NPR disclosure : Katherine Maher, PDG de NPR, préside le conseil d’administration de la Signal Foundation ».

Correctifs de correctifs

Depuis le lancement des RTX 50xx, NVIDIA semble avoir du mal avec ses pilotes graphiques. Les forums de l’entreprise se sont remplis d’utilisateurs mécontents qui critiquent la fiabilité des dernières versions. La dernière mouture, lancée la semaine dernière, a ainsi dû être suivie d’un « hotfix » publié lundi.

Le lancement de la série 50 des GeForce RTX restera longtemps dans les mémoires. Certains y voient déjà les travers typiques d’une entreprise ayant pris un peu trop la grosse tête, au point d’en oublier ses fondamentaux. Divers éléments ont ainsi grippé la mécanique bien huilée du lancement sur les quatre derniers mois.

Erreurs de jeunesse

Il y a d’abord les gigantesques gains annoncés sur les performances face à la génération précédente. Nous mettions d’ailleurs en garde sur ce point, puisqu’il fallait passer par le nouveau DLSS 4, à condition que les jeux soient compatibles. Comme le rapportait DigitalTrends mi-janvier, NVIDIA avait finalement indiqué au CES que le gain était de 15 à 20 % sans le DLSS. Les mois se sont enchainés avec différents problèmes, matériels cette fois, dont des ROP manquants sur certaines 5090 et 5070 Ti et des connecteurs d’alimentation qui auraient fondu sur des RTX 5090.

Mais quelle que soit la carte utilisée, beaucoup semblent avoir rencontré des problèmes de fiabilité avec les pilotes, même quand il ne s’agissait pas d’un GPU dernier cri. Témoignages d’écrans noirs, de plantages dans les jeux, d’écrans bleus et de stabilité générale ont afflué, particulièrement dans les forums officiels de NVIDIA. Au point que les développeurs du jeu InZoi par exemple ont communiqué sur le sujet, recommandant d’utiliser les pilotes 566.36 de décembre dernier pour les personnes qui le pouvaient.

Si revenir à un ancien pilote calme en théorie le jeu sur les séries 30 et 40, les possesseurs d’une RTX 50 n’ont pas le choix, car les vieux pilotes ne prennent pas en charge leur matériel. Il faut donc une version sortie au cours des quelques derniers mois, et chaque nouvelle mouture est attendue comme le loup blanc.

Gloire au nouveau pilote

Aussi, l’arrivée du pilote 576.02 la semaine dernière était porteuse d’espoir. Les notes de version (pdf) font état d’une longue liste de corrections et confirment que NVIDIA travaille bien sur le sujet. Le nouveau pilote règle notamment des incompatibilités importantes avec la version 24H2 de Windows 11 (alors qu’elle est disponible depuis l’automne), dont des écrans bleus aléatoires quand le DLSS 4 est activé. Un écran bleu, de nos jours, est un phénomène rare, le plus souvent lié au matériel ou à un pilote disposant d’un composant en espace noyau, comme c’est le cas pour un pilote graphique. Cette version apportait également le support des RTX 5060 Ti, lancées il y a une semaine.

On savait cependant que ce pilote ne réglerait pas tout. NVIDIA recensait en effet 15 tickets ouverts avec le pilote 576.02 la semaine dernière. Et effectivement, un problème est apparu, pour les personnes ayant une RTX 50 : un mauvais fonctionnement du capteur de température. À la clé, divers bizarreries comme des alarmes en sortie de veille sous Windows ou des températures erronées pour des utilitaires tels qu’AfterBurner, qui sert notamment à configurer une courbe personnalisée pour la vitesse des ventilateurs.

Correctifs de correctifs

NVIDIA a donc publié hier soir une version 576.15. Il s’agit d’un hotfix venant corriger ce défaut, ainsi que plusieurs autres, dont des corruptions graphiques dans certains jeux ou encore des fréquences plus basses que prévu sur les RTX 50 quand le système est au repos.

Si la sortie rapide de cette version reste une bonne nouvelle, les commentaires sur l’annonce dans le forum sont loin d’être élogieux. Depuis hier soir, plusieurs dizaines de commentaires mentionnent déjà de nombreux autres problèmes, voire une aggravation des soucis existants. Quelques-uns indiquent quand même que des bugs ont été résolus. Attention cependant, car on se dirige plus volontiers vers un forum pour pester contre un dysfonctionnement que pour signaler que tout va bien. La situation semble dans tous les cas encore complexe pour NVIDIA. Les correctifs devraient donc continuer à affluer dans les prochaines versions des pilotes.

En mars, un thread de Chungin Roy Lee sur X est devenu viral : le jeune homme de 21 ans y expliquait avoir été suspendu de l’université de Columbia après avoir triché lors des tests techniques d’entretiens d’embauche pour des emplois de développeurs.

Avec son camarade Neel Shanmugam, Chungin Lee avait construit un outil nommé Interview Coder, initialement pensé pour tricher aux tests techniques passés sur la plateforme LeetCode. Il déclare avoir réussi des entretiens pour un poste chez Amazon grâce à son système.

Quelques semaines plus tard, Interview Coder est devenu une start-up nommée Cluely. Son principal produit est présenté comme permettant de « tricher » à tout moment, et surtout pendant des examens ou des entretiens d’embauche, grâce à une fenêtre cachée dans le navigateur et invisible pour l’intervieweur ou l’examinateur.

Ses deux fondateurs ont publié une vidéo de présentation appréciée par certains, comparée à un épisode de Black Mirror par d’autres. Elle s’accompagne d’un manifeste, dans lequel ils expliquent globalement que l’IA permet de « tricher » de la même manière que des calculatrices, des correcteurs orthographiques ou Google l’ont permis à leur apparition.

Pour développer le projet, Chungin Lee vient d’annoncer avoir levé 5,3 millions de dollars auprès des fonds Abstract Ventures et Susa Ventures. 


Leave my data alone

À partir du 27 mai, Meta utilisera les données des comptes Facebook, Instagram et Thread publics, sauf si leurs propriétaires s’y opposent.

Vous utilisez Instagram, Facebook ou Threads ? Vos profils sont réglés pour être visibles par le grand public ? Si oui, vous devez avoir reçu une notification comme celles ci-dessous vous alertant que Meta allait se servir des données de vos profils accessibles publiquement pour entraîner ses systèmes d’IA.

En vertu du Règlement Général sur la protection des données, Meta doit vous demander votre consentement avant d’utiliser ces données, quand bien même publiques, pour entraîner ses modèles. Si vous ne souhaitez pas le donner, Next vous explique comment procéder.

En 2024, Meta avait déjà annoncé son projet de traiter les données de ses usagers européens. Devant les 11 plaintes déposées par l’association noyb, l’entreprise avait d’abord renoncé. Si vous avez refusé le traitement de vos données lors de ce premier épisode, vous aurez tout de même à refaire l’opération cette fois-ci.

Cheat sheet

Si vos comptes sur vos différentes plateformes sont liés, vous n’aurez a priori qu’une seule démarche à réaliser, depuis votre espace compte. Mais si, comme dans notre cas, vos comptes Facebook et Instagram sont séparés, vous devrez la reproduire pour signaler votre refus de voir les données de chacun des comptes utilisés par l’entreprise de Mark Zuckerberg. Pour Threads, certaines fonctionnalités – dont celle-ci – sont paramétrables directement dans le compte Instagram.

Sur chacune des applications, cherchez le centre de confidentialité. Sur Instagram, vous le trouverez depuis votre profil, en cliquant en haut à gauche sur les trois barres qui donnent accès aux paramètres, puis en scrollant assez bas, jusqu’à la mention « centre de confidentialité ». Sur Facebook, un chemin possible consiste à cliquer sur votre image de profil en haut à gauche, puis sur « paramètres et confidentialité », puis sur « centre de confidentialité ».

Pour aller plus vite, cela dit, vous pouvez aussi directement vous rendre à l’adresse suivante : https://www.facebook.com/privacy/genai, ou sur les « centres de confidentialité » de chaque plateforme : https://www.facebook.com/privacy/center, https://privacycenter.instagram.com/.

« Opposer »

Là, Meta vous informe d’une évolution de ses politiques de confidentialité qui entreront en vigueur le 27 mai 2025. « Nous souhaitons vous informer que nous utiliserons des informations publiques telles que les publications et les commentaires publics de comptes appartenant à des personnes âgées de 18 ans ou plus, ainsi que vos interactions avec les fonctionnalités d’IA de Meta. Nous utiliserons ces informations sur la base de nos intérêts légitimes de développement et d’amélioration des modèles d’IA générative pour l’IA de Meta », écrit l’entreprise.

Dans le deuxième paragraphe, cliquez sur le mot « opposer ». Vous arriverez sur un panneau intitulé « Vous opposer à l’utilisation de vos informations pour l’IA de Meta » qui demande encore une fois de beaucoup scroller si vous êtes sur téléphone. Sur ordinateur, ça ressemble à ceci : 


Vérifiez que l’adresse e-mail entrée automatiquement correspond bien à celle de votre compte, puis cliquez sur « envoyer ». Une boîte indiquant « Nous honorerons votre objection » s’affiche. Pour vous assurer que tout est bon, vérifiez votre boîte mail. Vous devez y recevoir un mail de ce type :

La vie privée est un sport d’équipe

Au terme de ses explications sur l’entraînement de ses IA, Meta indique :

« Nous sommes susceptibles de continuer à traiter des informations vous concernant pour développer et améliorer l’IA de Meta, même si vous vous y opposez ou que vous n’utilisez pas nos produits. Cela pourrait arriver dans les cas suivants :

• Vous ou vos informations apparaissez sur une image partagée publiquement sur nos produits par quelqu’un qui les utilise
• Vous ou vos informations êtes mentionné·es publiquement dans des publications ou des légendes partagées par un tiers sur nos produits. »

Autrement dit, pour une meilleure protection de vos données, recommandez aussi à vos contacts ou à toute personne susceptible de partager vos contenus publiés sur Facebook, Instagram ou Threads de s’opposer au traitement de leurs données par Meta. Comme l’énonçait la directrice juridique de l’Electronic Frontier Foundation Corynne McSherry auprès de Next, « la vie privée est un sport d’équipe ».

Mon compte est privé, que dois-je faire ?

Meta précise bien que les données qu’il utilisera pour entraîner ses systèmes sont les éléments publics des comptes. Si les vôtres sont privés, vous êtes parés… en revanche, si vous décidez de les passer en public dans le futur, mais que vous ne souhaitez pas voir vos données utilisées dans l’entraînement des IA de Meta, veillez bien à vous opposer au traitement de vos données.

Peut-on se protéger sur WhatsApp ?

Si WhatsApp appartient bien à Meta, il s’agit d’une application de messagerie, dans laquelle les publications n’ont pas vocation à être accessible publiquement. Elle n’est donc pas concernée par cette communication précise de Meta.

Comme vous l’avez peut-être remarqué, Meta y propose néanmoins un accès à son robot Llama, aussi intégré dans Messenger sous la forme d’un onglet similaire à celui d’une conversation. Meta indique que « vos interactions avec les fonctionnalités d’IA peuvent être utilisées pour entraîner des modèles d’IA. C’est notamment le cas des messages envoyées (sic) dans les discussions avec l’IA, des questions que vous posez et des images que vous demandez à Meta AI d’imaginer pour vous. »

Sur WhatsApp et Messenger, la meilleure manière d’éviter de voir des données utilisées dans l’entraînement du modèle Llama, c’est donc… d’éviter d’interagir avec.

Adyen, qui opère des services de paiement à destination des entreprises et des commerçants, a fait l’objet d’une vague d’attaques par déni de service distribué lundi dans la soirée. Sur sa page dédiée aux incidents, l’entreprise néerlandaise décrit une salve de trois attaques successives, lancées à l’encontre de ses infrastructures européennes.

Chaque attaque a entraîné une interruption de service temporaire de l’ordre d’une quinzaine de minutes. Le phénomène a été sensible dans les commerces et restaurants physiques faisant appel aux solutions de paiement d’Adyen, mais aussi sur tous les sites marchands qui utilisent sa brique logicielle dédiée.

Au-delà des clients finaux, les attaques ont aussi temporairement paralysé l’accès à l’espace client, les services d’intégration logicielle et les API dédiées aux transferts de fonds, commente l’entreprise. Adyen compte notamment Uber, eBay, Deezer, Booking, BackMarket, Spotify ou Easyjet parmi ses clients.

D’après les signalements opérés sur le service Status d’Adyen, les attaques se seraient déroulées par vagues, avec une première salve évoquée à partir de 18h51, puis une deuxième vers 20h35 et une troisième aux alentours de 23 heures.

« L’attaque s’est déroulée en trois vagues distinctes, chacune présentant un schéma unique nécessitant des ajustements constants de nos stratégies d’atténuation. À mesure qu’une vague était atténuée, une nouvelle vague, avec une signature différente, émergeait. À son pic, l’attaque générait des millions de requêtes par minute, provenant d’un ensemble d’adresses IP réparties dans le monde entier et en constante évolution. Cela a entraîné la saturation de composants clés de l’infrastructure, entraînant une disponibilité intermittente de certains de nos services », précise Tom Adams, CTO d’Adyen, dans un rapport d’incident.

L’entreprise, qui réalise près de 2 milliards d’euros de chiffre d’affaires annuel, n’avance aucune piste quant à la provenance éventuelle de cette attaque.

Hey ho, doucement...

Les cinq ans de support classique pour la version LTS 20.04 d’Ubuntu se termineront le 31 mai prochain. Les utilisateurs auront alors plusieurs choix, dont la mise à jour vers une LTS plus récente. Il est également possible de garder le système cinq années supplémentaires.

Les versions LTS d’Ubuntu disposent d’un support technique de cinq ans, contrairement aux versions ordinaires, qui n’ont que six mois. Ces moutures spécifiques sortent tous les deux ans (les années paires) et sont généralement très attendues. En plus du grand public et des entreprises qui peuvent en avoir besoin, elles sont en effet utilisées comme base pour d’autres distributions, dont Linux Mint.

• Ubuntu 24.04 LTS se profile comme une version majeure, le tour des nouveautés

Solution idéale : la mise à niveau

Le mois prochain, Ubuntu 20.04, alias Focal Fossa, arrivera à la fin du compte à rebours. Les utilisateurs ont le choix entre plusieurs solutions. Idéalement, il faudrait faire une mise à niveau vers une LTS plus récente, 22.04 ou 24.04. À ce stade, votre installation d’Ubuntu 20.04 a d’ailleurs peut-être commencé à vous prévenir via une notification, ouvrant Ubuntu Software pour vous proposer une telle mise à jour.

Si l’on parle de solution idéale, c’est parce qu’il s’écoule deux ans entre chaque version LTS. L’installation d’une mouture plus récente apporte souvent des bénéfices visibles, dont un noyau Linux plus moderne et donc plus à l’aise avec le matériel en général.

Gardez en mémoire cependant que l’on ne peut pas sauter deux versions LTS d’un coup. Si Ubuntu 24.04 vous intéresse, il faudra d’abord passer par la version 22.04. L’installation de cette dernière vous offrira cependant deux ans de tranquillité, avant la fin de son support en mai 2027.

Si vous n’avez pas reçu de notification vous proposant la mise à niveau, la commande à utiliser est la suivante :

sudo do-release-upgrade

Comme toujours en pareil contexte, il faut soigneusement sauvegarder ses données avant de se lancer dans cette opération. Passer d’un système d’exploitation à un autre, même quand le processus parait simple, n’est jamais anodin.

Cinq ans supplémentaires ? C’est gratuit pour vous

Toutefois, on peut refuser les LTS plus récentes et se tourner vers une autre option : garder Ubuntu 20.04. Une situation « à la Windows 10 » ? Non, car il y a deux différences majeures. D’abord, aucune barrière technique ne vous empêche de mettre à niveau vers Ubuntu 22.04 ou 24.04. Ensuite, Canonical propose cinq années supplémentaires de correctifs de sécurité via son offre Ubuntu Pro, débloquant alors une période nommée Expanded Security Maintenance (ESM). Ce qui explique par exemple que le vieil Ubuntu 16.04 reçoit encore des correctifs.

Ubuntu Pro est un abonnement. Son tarif dépend du statut de l’utilisateur : gratuit pour les personnes seules et les petites structures jusqu’à cinq postes, 25 dollars par an et par poste dans les organisations plus importantes, ou encore 500 dollars par an pour chaque serveur de virtualisation (nombre de machines illimité).

Pourquoi se tourner vers Ubuntu Pro ? Parce que vous avez peut-être une configuration spécifique, que vous avez besoin de plus de temps pour analyser les changements d’une Ubuntu plus récente, que vous envisagez peut-être de transiter vers une autre distribution, ou encore parce que vous n’avez pas envie, tout simplement. Qu’importe la raison, la possibilité existe.

Si vous êtes la seule personne à décider, il suffit de souscrire à Ubuntu Pro. Ce dernier, une fois renseigné dans le système, vous ouvrira l’Expanded Security Maintenance pour un maximum de cinq machines. Précision importante, Canonical ne fait pas de différence entre des machines personnelles et professionnelles, tant que l’on reste dans la limite des cinq ordinateurs. Pour obtenir un compte, on se rend sur la page dédiée et on choisit « Myself ». On peut voir qu’en bas de la page, le prix total passe à « Free ».

Une commande ou quelques clics

Si vous n’avez pas encore de compte Ubuntu, ce sera le moment de le créer. Il est obligatoire comme « agent de liaison » pour contrôler le nombre de machines inscrites au programme. La validation est ensuite très rapide. On arrive directement sur une page du compte, la partie de gauche indiquant qu’un jeton personnel a été créé, que cinq machines peuvent en bénéficier et qu’il n’expirera jamais. C’est l’un des bénéfices de cette approche : le jeton s’applique à toute version LTS que vous avez.

Une fois que vous avez ce jeton, il faut le renseigner dans le système via la commande suivante :

sudo pro attach [VOTRE_JETON]

La commande affiche ensuite le statut de plusieurs services liés. Ubuntu Pro ne permet en effet pas seulement de prolonger les correctifs de sécurité. Il fournit par exemple Livepatch, qui autorise certains correctifs à être appliqués sur le noyau sans nécessiter de redémarrage. Vous aurez d’ailleurs peut-être la surprise de recevoir peu après une notification du système vous informant qu’une telle mise à jour a été effectuée.

Pour activer Ubuntu Pro, on peut également passer par l’interface graphique. Ouvrez « Logiciels et mises à jour » et rendez-vous dans le dernier onglet. Là, on pourra cliquer sur le bouton dédié et coller le jeton lorsqu’il sera demandé. On peut voir plus facilement que les correctifs ESM sont distribués par défaut pour deux lots de paquets : « Infra » pour les 2 300 paquets du dépôt Ubuntu Main et « Apps » pour les 23 000 paquets du dépôt Ubuntu Universe. Livepatch, activé par défaut, peut être coupé aisément depuis ce panneau.

Attention, ESM n’est pas une panacée

ESM est capable de dépanner les personnes embêtées par une date de fin de support trop proche. Cette période supplémentaire peut être une vraie chance dans de nombreux cas. Toutefois, comme avec n’importe quel outil, il y a certaines précautions à prendre.

Techniquement, cette maintenance ne couvre pas la totalité des failles de sécurité, mais uniquement celles de sévérité modérée au moins. Les brèches de sévérité faible sont laissées telles quelles. Ce n’est pas forcément crucial, mais l’information peut avoir son importance.

Surtout, ESM ne couvre que les correctifs du système et des applications présentes dans le dépôt principal d’Ubuntu. Les paquets provenant d’autres sources ne sont pas concernés et leur entretien demandera donc un examen. Rien n’empêche en effet une application d’être abandonnée, avec les mêmes problèmes qu’une fin de support. D’anciennes branches de développement ainsi souvent abandonnées, avec nécessité de passer sur une version plus récente. Or, il peut arriver que cette dernière réclame une version plus récente aussi du système d’exploitation. Il faut donc faire attention à ne pas se retrouver coincé(e).

Rappelons enfin que même si vous activez Ubuntu Pro, rien ne vous empêche de migrer vers un système plus récent par la suite. Si vous décidez de mettre à niveau vers Ubuntu 22.04 dans un an, l’opération se déroulera de la même façon. Le compte Ubuntu Pro vous suivra dans la procédure et appliquera les mêmes effets. Situation identique pour une migration vers Ubuntu 24.04, actuellement la LTS la plus récente.

Bien sûr, si vous n’utilisez une version d’Ubuntu que pendant deux ou trois ans avant de basculer vers la nouvelle version, ESM perd une bonne partie de son intérêt. Reste quand même Livepatch qui, selon le scénario, peut se révéler utile, par exemple pour une machine faisant office de serveur domestique (stockage, jeu…).

« Ton estomac ne gargouille pas, il t’applaudit. » Alors que la tendance #SkinnyTok, qui promeut la maigreur extrême, rencontre un grand succès sur TikTok (plus de 55 000 vidéos ce 22 avril au matin), la ministre en charge du Numérique Clara Chappaz a annoncé le 18 avril avoir saisi l’Arcom, régulation des médias et la Commission européenne pour faire face au phénomène.

À l’AFP, l’Arcom a déclaré s’être « d’ores et déjà saisie du sujet compte tenu du risque de santé publique que ce phénomène peut représenter ».

TikTok affirme de son côté avoir mis en place « des règles strictes contre le body shaming (dénigrement du corps) et les comportements dangereux liés à la perte du poids. »

Lorsque les termes « skinny tok » sont recherchés, l’application affiche en effet un message d’alerte (mais celui-ci n’est plus visible dès que l’internaute commence à regarder des vidéos).

Le message mène les utilisatrices et utilisateurs vers des ressources liées aux troubles de l’alimentation.
Début mars, l’Assemblée nationale a créé une commission d’enquête sur les effets psychologique de l’application chinoise sur les enfants et les adolescents.

Depuis les skyblogs jusqu’à TikTok aujourd’hui, la promotion de l’anorexie est une problématique récurrente en ligne, devenue visible il y a une vingtaine d’années avec l’émergence des contenus « pro-ana ».

• Les vidéos TikTok ont de réelles conséquences sur l’image qu’ont les femmes d’elles-mêmes

Sur la page consacrée à ses obligations au nom du DSA européen, OpenAI a publié aujourd’hui le nombre mensuel d’utilisateurs actifs de son outil de recherche en ligne.

Selon les décomptes de l’entreprise repérés par TechCrunch, environ 41,3 millions de personnes situées dans l’Union européenne par mois ont utilisé ChatGPT search ces 6 derniers mois.

L’outil de l’entreprise de Sam Altman se rapproche à grands pas du critère des 45 millions d’utilisateurs mensuels qui permet à la Commission européenne de classer les moteurs de recherche dans la catégorie des très grands moteurs de recherche en ligne (VLOSE).

Le DSA oblige ces très grands moteurs de recherche à une plus grande transparence et à mettre en place un certain nombre d’outils, dont le refus de système de recommandation ou de profilage, le partage de données avec les chercheurs et les autorités européennes et de procéder à des audits réguliers.

• Que change le Digital Services Act en pratique ?

Pour comparaison, Google déclarait en février auprès de la Commission un nombre de 364 millions d’utilisateurs en moyenne mensuellement.

Bluesky a déployé lundi un nouvel outil dédié à la certification des comptes de ses utilisateurs. Il s’incarne au travers d’un badge bleu, similaire à celui qu’avait popularisé Twitter avant son rachat par Elon Musk.

Le réseau social indique travailler de façon proactive à l’identification et à la certification des comptes « authentiques et notables ». À ce stade, c’est donc Bluesky qui va sélectionner et vérifier les utilisateurs concernés par ce nouveau badge bleu.

L’entreprise prévoit toutefois de conférer la possibilité à certaines entreprises ou organisations de devenir, à leur tour, des « vérificateurs de confiance » au sein de son programme. Elle prend l’exemple d’un journal comme le New York Times qui, avec ce nouveau système, va lui-même pouvoir vérifier puis certifier les comptes de ses journalistes.

Bluesky prévoit de ce fait deux badges bleus : le premier, destiné aux utilisateurs individuels, prend la forme d’un cercle plein. Le second, dédié aux vérificateurs, adopte des contours festonnés.

« Durant cette phase initiale, Bluesky n’accepte pas les demandes directes de vérification. Une fois cette fonctionnalité stabilisée, nous lancerons un formulaire de demande pour les comptes notables et authentiques souhaitant être vérifiés ou devenir des vérificateurs de confiance », prévient le réseau social.

Destiné à limiter les risques d’usurpation d’identité sur le réseau social (un anonyme qui crée un compte au nom d’une personnalité célèbre par exemple), cette brique de certification s’ajoute au système d’auto-certification via un nom de domaine personnalisé déjà implémenté sur Bluesky.

Rappelons que sur X (ex-Twitter), le badge bleu, initialement dévolu à la certification, identifie les comptes payants depuis le rachat de l’entreprise par Elon Musk, en octobre 2022.

• Bluesky : vidéos de 3 min, gestion des DM et consentement pour l’entrainement des IA

Plusieurs lecteurs nous ont alerté au sujet d’une notification d’incident « concernant la sécurité des données » émises par le groupe Indigo, qui gère les parkings et stationnements du même nom. Ce dernier a en effet informé vendredi, par mail, ses clients et abonnés au sujet d’une intrusion au sein de son système d’information.

« Aucune donnée bancaire, aucun mot de passe, ni aucun moyen d’accès à votre compte INDIGO Neo n’est concerné », rassure d’emblée le gestionnaire de parkings, qui prévient tout de même que des informations personnelles ont pu fuiter.

« Les données potentiellement exposées concernent et se limitent à : votre adresse mail, votre numéro de plaque d’immatriculation si vous l’avez renseignée, votre nom, votre numéro de téléphone et votre adresse postale, associés à votre compte », alerte Indigo.

Le groupe indique avoir déposé plainte et notifié l’incident à la CNIL. « À ce jour, aucune utilisation frauduleuse de ces données n’a été constatée. Toutefois, nous vous encourageons à faire preuve de vigilance vis-à-vis de tout message suspect ou inhabituel, notamment ceux vous demandant des informations personnelles », prévient-il encore, avant d’inviter les utilisateurs à tout de même changer de mot de passe par précaution.

Le groupe a par ailleurs relayé cette alerte sur son site Web. Indigo rejoint ainsi Alain Afflelou, Hertz ou la Mutuelle des motards dans la longue liste des sociétés victimes d’une cyberattaque ayant entraîné la compromission de données personnelles.

Microsoft a débuté mercredi le déploiement de Copilot Vision au sein de son navigateur Edge, avec la promesse d’une fonctionnalité accessible gratuitement à tous les utilisateurs. La promesse ? Avec Copilot Vision, l’intelligence artificielle générative de Microsoft est capable de voir ce qui est affiché à l’écran, ce qui permet à l’utilisateur d’échanger avec le logiciel, en langage naturel, pour par exemple obtenir un résumé, affiner une sélection de produits, etc. L’accès à Copilot Vision, pour l’instant réservé aux internautes basés aux États-Unis, ne se fait que sur consentement préalable (opt-in).

« Copilot Vision est disponible gratuitement sur Edge. Il peut voir ce que vous voyez à l’écran (si vous l’activez). Incroyable ! Il réfléchit à voix haute avec vous lorsque vous naviguez en ligne », s’enthousiasme Mustafa Suleyman, CEO de Microsoft AI, dans un message d’annonce. « Ajoutez-le à une page de recette pour cuisiner sans écran. Copilot vous guidera pas à pas, vous dépannera ou vous expliquera la signification de « julienne » », illustre-t-il encore.

La fonction avait initialement été déployée en décembre dernier, mais uniquement sur le parc des utilisateurs disposant d’un abonnement payant à Copilot. Cette fois, Microsoft ouvre donc plus largement les vannes, en indiquant tout de même que « pour commencer, Vision n’interagira qu’avec une sélection de sites Web », parmi lesquels Wikipédia, Amazon ou Tripadvisor.

Pour activer la fonction (depuis une IP américaine), il suffit de se rendre, via Edge, sur la page dédiée, et d’entrer dans le programme. Pour activer Vision, il suffit ensuite d’ouvrir la barre dédiée à Copilot, et de lancer une interaction vocale avec le logiciel par le biais du bouton micro. Une paire de lunettes rouge et un effet de couleur sur l’interface du navigateur confirment alors la mise en œuvre de la reconnaissance visuelle.

« Les réponses du modèle Copilot sont enregistrées afin de permettre la surveillance des interactions et des sorties dangereuses », prévient Microsoft, qui se veut cependant rassurant quant aux aspects liés à la vie privée. « Les images, les voix et le contexte des utilisateurs ne seront ni enregistrés ni stockés. Votre conversation avec Vision est retranscrite dans votre historique de conversation. Vous pouvez supprimer l’historique de discussion à tout moment. »

Google continue de proposer des préversions d’Android 16 avec un rythme mensuel depuis la première bêta en janvier. La troisième bêta en mars était une étape importante puisqu’elle était synonyme de « Platform Stability ». En clair, « les comportements liés aux applications sont définitifs ». Cette bêta 4 est la dernière ligne droite (probablement la dernière bêta) avant la version finale attendue pour ce deuxième trimestre.

Google annonce une large liste de compatibilité, au-delà de ses Pixel, avec des terminaux de chez Honor, iQOO, Lenovo, OnePlus, OPPO, Realme, vivo et Xiaomi. Des liens vers chaque fabricant sont disponibles sur cette page. Attention, cela ne veut pas dire que c’est la bêta 4 qui est proposée par les partenaires, c’est souvent une version plus ancienne, la bêta 2 dans la grande majorité des cas. Vous pouvez aussi installer Android 16 via Android Studio.

Google continue de prévenir du passage prochain aux pages de 16 ko à la place de 4 ko (initié avec Android 15) permettant ainsi « d’offrir des performances améliorées pour les charges de travail gourmandes en mémoire ». Désormais, c’est 16 ko par défaut, mais un mode de compatibilité permet de revenir à 4 ko. Android 16 prépare aussi un autre changement : des restrictions sur le réseau local via Local Network Protection.

Plusieurs bugs sont évidemment corrigés, notamment avec une amélioration de la gestion des pertes du Bluetooth. Il est aussi question de la disparition de la carte radar dans l’application météo Pixel, d’un bug « qui entraînait une décharge excessive de la batterie sur certains appareils », etc. Les notes de version détaillées se trouvent par là.

Google proposera pour rappel une seconde mise à jour du SDK d’Android au quatrième trimestre, mais elle sera « mineure ». Entre les deux, de nouvelles fonctionnalités pourront être ajoutées.

De quoi faire toujours plus de Starter pack… Super !

La HBM4 est finalisée par le JEDEC, bien que les fabricants de puces et de GPU n’aient pas attendu pour se lancer. Cette nouvelle version permet d’avoir des puces jusqu’à 64 Go avec 2 To/s de bande passante.

Cela fait des mois que le JEDEC – chargé de développer les normes pour la mémoire – planche sur la HBM4 (High Bandwidth Memory). Les fabricants de GPU n’ont pas attendu pour préparer le terrain, à l’image de NVIDIA avec sa prochaine génération Rubin prévue pour 2026.

• Toujours plus chez NVIDIA : voici Blackwell Ultra, puis Vera Rubin (Ultra), Feynman…

Deux canaux indépendants pour la HBM4

Le Joint Electron Device Engineering Council explique que la HBM4 dispose désormais de deux canaux indépendants, « totalement indépendants l’un de l’autre, ils ne sont pas nécessairement synchrones ». Chaque canal dispose d’un bus sur 64 bits. Dans la pratique, « HBM4 double le nombre de canaux indépendants par stack en passant de 16 canaux (HBM3) à 32 canaux (HBM4) avec 2 pseudo-canaux par canal ».

Cela à une conséquence : une empreinte physique plus importante. Le JEDEC avait déjà expliqué qu’afin d’assurer une large compatibilité, « la norme garantit qu’un seul contrôleur peut fonctionner avec de la HBM3 ou de la HBM4 ».

Jusqu’à 16 couches de 32 Gb, soit 64 Go par puce

La HBM4 supporte des puces avec entre 4 et 16 couches, contre 12 maximum pour la HBM3(e). Les puces de DRAM peuvent avoir une densité de 24 ou 32 Gb. Cela donne une capacité maximale de 64 Go par puce (32 Gb x 16 couches = 512 Gb soit 64 Go). En HBM3(e), c’était 48 Go maximum (16 couches, 24 Gb), SK hynix était le premier à sauter le pas fin 2024.

2 To/s de bande passante, des tensions plus basses

La bande passante de la HBM4 peut atteindre jusqu’à 2 To/s, avec une interface à 8 Gb/s sur un bus à 2048 bits (8 x 2048 = 16 384 Gb/s, soit 2 048 Go/s).

La consommation électrique n’est pas laissée de côté avec différents niveaux de tensions : 0,7, 0,75, 0,8 ou 0,9 V pour VDDQ (Voltage Drain to Drain et Q comme… I/O), contre 1,0 ou 1,05 V pour VDDC (Voltage Drain-Drain Core) au lieu de 1,1 V en HBM3, « entraînant une consommation d’énergie inférieure et une efficacité énergétique améliorée ».

Micron a pour rappel déjà annoncé de la HBM4 pour 2025, avec des puces de 48 Go (24 Gb et 16 couches) et le fabricant prévoit de la « HBM4E » pour 2027 avec 64 Go (32 Gb et de nouveau 16 couches). Cela correspond aux annonces du jour du JEDEC sur la HBM4 (sans le E).

• HBM4, GDDR7, CXL 3.x… : la roadmap Micron jusqu’en 2028

Un tribunal américain a jugé que Google avait bien créé illégalement un monopole sur le marché de la publicité en ligne. L’entreprise a enfreint les lois américaines sur la concurrence en organisant « l’acquisition et le maintien délibérés d’un pouvoir de monopole ». Les conséquences seront décidées dans un second temps, mais Google pourrait se voir obligée de se séparer de plusieurs services liés à la publicité.

Après avoir, pendant des années, construit un empire du web, Google fait maintenant face aux conséquences devant la justice étasunienne. En aout 2024, la justice américaine concluait que l’entreprise détenait un monopole sur la recherche en ligne. Ce jeudi 16 avril, elle a aussi estimé que Google s’était créé un monopole du marché de la publicité en ligne.

Les conséquences de ces deux décisions pourraient aboutir à un démantèlement de la société imposé par la justice. Du côté de la recherche en ligne, des pistes ont déjà été envisagées et la décision est prévue pour aout prochain.

• Comment la justice américaine envisage-t-elle le démantèlement de Google

Concernant le marché de la publicité en ligne, l’entreprise pourrait être forcée de se séparer d’outils de gestion des publicités en ligne. Dans le viseur figure notamment Google Ad Manager qui a rassemblé en 2018 les outils DoubleClick for Publishers (DFP) et DoubleClick Ad Exchange (AdX). Mais d’autres options sont possibles comme l’obligation de séparer de nouveau DFP et AdX pour permettre l’interopérabilité avec d’autres outils.

Une construction délibérée d’un monopole

Dans l’explication de sa décision [PDF], la juge Leonie M. Brinkema estime que Google a acquis et maintenu « délibérément un pouvoir monopolistique » sur le marché des serveurs pour annonceurs et celui des échanges pour la publicité sur le web.

Elle n’a, par contre, pas retenu l’accusation faite par le ministère de la Justice américain de construction d’un monopole sur le marché des réseaux d’outils d’affichage de publicité pour les annonceurs. Elle n’a tout bonnement pas considéré que ce marché existait à lui seul.

« Google a renforcé son pouvoir de monopole en imposant des politiques anticoncurrentielles à ses clients et en éliminant des caractéristiques souhaitables de ses produits », explique-t-elle dans ses conclusions. Elle ajoute qu’ « en plus de priver les rivaux de leur capacité de la concurrencer, ce comportement d’exclusion a porté un préjudice considérable aux éditeurs clients de Google, au processus concurrentiel et, en fin de compte, aux consommateurs d’informations sur le web ».

Une victoire historique pour l’accusation, un match nul selon Google

C’est « une victoire historique dans la lutte en cours pour empêcher Google de monopoliser la place publique numérique », estime la procureure générale des États-Unis, Pamela Bondi, citée par Reuters.

Du côté de Google, l’entreprise affirme ne pas avoir tout perdu dans cette affaire. « Nous avons gagné la moitié de cette affaire et nous ferons appel pour l’autre moitié. La Cour a estimé que nos outils pour les annonceurs et nos acquisitions, telles que DoubleClick, ne nuisent pas à la concurrence », a déclaré la vice-présidente de l’entreprise, Lee-Anne Mulholland :

« Nous ne sommes pas d’accord avec la décision de la Cour concernant nos outils pour les éditeurs. Les éditeurs ont de nombreuses options et ils choisissent Google parce que nos outils publicitaires sont simples, abordables et efficaces. »

Concernant l’acquisition de DoubleClick, la juge Leonie M. Brinkema affirme pourtant dans l’explication de sa décision qu’ « en renforçant son activité tournée vers les éditeurs grâce à l’acquisition de DoubleClick, Google a pu établir une position dominante des deux côtés de la pile de technologies publicitaires ».

Fake America Great Again

Un sous-secrétaire d’État complotiste de l’administration Trump vient d’annoncer la fermeture du service de lutte contre la manipulation de l’information et les ingérences étrangères. Et ce, alors qu’un sondage révèle « une croyance généralisée dans les fausses informations » de la part des citoyens états-uniens. Au point que 20 % croient que les vaccins ont fait plus de morts que la Covid-19, et qu’un peu moins de la moitié ne sont « pas sûr » de savoir si cette affirmation est vraie, ou pas.

Le chef de la diplomatie américaine, Marco Rubio vient d’annoncer, ce mercredi 16 avril, la fermeture de la seule agence fédérale américaine qui traquait et contrait la désinformation en provenance des pays étrangers, rapporte l’AFP.

La fermeture du Counter Foreign Information Manipulation and Interference (R/FIMI, pour « service de lutte contre la manipulation de l’information et les ingérences étrangères ») a été justifiée par la nécessité de « défendre la liberté d’expression des Américains ».

« Sous l’administration précédente, ce service, qui coûtait aux contribuables plus de 50 millions de dollars par an, a dépensé des millions de dollars pour faire taire et censurer activement les voix des Américains qu’il était censé servir », a accusé M. Rubio dans un communiqué.

En fermant le R/FIMI, le controversé sous-secrétaire intérimaire du ministère, Darren Beattie, « offre une victoire importante aux critiques conservateurs qui ont allégué qu’il censurait les voix conservatrices », estime la MIT Technology Review.

Darren Beattie, qui avait été renvoyé de la première administration Trump pour avoir assisté à une conférence sur le nationalisme blanc, a depuis suggéré que le FBI avait organisé l’attaque du 6 janvier contre le Congrès, déclaré que défendre Taïwan contre la Chine ne valait pas la peine, appelé à la stérilisation de ce qu’il appelle les « déchets à faible QI », et laissé entendre que la communauté du renseignement des États-Unis était plus susceptible que l’Iran d’être à l’origine des tentatives d’assassinat contre Donald Trump.

En octobre 2024, Darren Beattie avait aussi tweeté que « les hommes blancs compétents doivent être aux commandes si l’on veut que les choses fonctionnent. Malheureusement, toute notre idéologie nationale est fondée sur le fait de dorloter les sentiments des femmes et des minorités, et de démoraliser les hommes blancs compétents ».

« Le Kremlin et le Parti communiste chinois peuvent aujourd’hui se réjouir »

Le R/FIMI a été créé à la fin de l’année 2024, sur les cendres de son prédécesseur, le Global Engagement Center (GEC), après qu’une mesure visant à ré-autoriser son budget de 61 millions de dollars a été bloquée par les républicains du Congrès. Ces derniers l’accusaient d’aider les grandes entreprises technologiques à censurer les voix conservatrices américaines.

En 2023, Elon Musk avait par exemple qualifié le centre de « pire délinquant en matière de censure [et] de manipulation des médias par le gouvernement américain » et de « menace pour notre démocratie ».

Le R/FIMI avait un objectif similaire de lutte contre la désinformation étrangère, mais avec moins de moyens, relève la MIT : doté d’un budget de 51,9 millions de dollars, son personnel ne comptait plus que 40 employés, contre 125 au GEC.

Les conservateurs qui s’insurgent contre ce qu’ils qualifient de « complexe industriel de la désinformation et de la censure », note la MIT Technology Review, se sont également attaqués à l’Agence de cybersécurité et de sécurité des infrastructures (CISA) du département de la sécurité intérieure (DHS) et à l’Observatoire de l’internet de Stanford, connu pour ses recherches consacrées à la désinformation pendant les élections. 

L’ancien directeur de la CISA, l’équivalent américain de l’Agence nationale de la sécurité des systèmes d’information (Anssi) en France, Chris Krebs, a été personnellement visé dans un mémo de la Maison Blanche daté du 9 avril, et l’université de Stanford a fermé le Stanford Internet Observatory avant les élections présidentielles de 2024.

Chris Krebs a en effet été licencié pour avoir indiqué n’avoir « aucune preuve » d’une éventuelle fraude lors de la défaite de Donald Trump aux élections de 2020, ajoutant même que « l’élection du 3 novembre a été la plus sûre de l’histoire des États-Unis ».

Le décret visant Chris Krebs contient même « des attaques ad personam contre M. Krebs et des accusations de nature politique et non étayées », relève Le Monde. Il l’accuse en effet et notamment d’avoir sciemment cherché à « censurer » les voix conservatrices – Chris Krebs est pourtant un républicain – ou encore d’avoir « perturbé les débats sur le Covid-19 en tentant de discréditer les opinions populaires qui étaient contraires à la vision de la CISA ».

• L’administration Trump voudrait en finir avec la cyberdéfense et privilégier le « hack back »

Et ce, alors que la Russie dépenserait 1,5 milliard de dollars par an pour des campagnes d’influence à l’étranger, que la Radiodiffusion de la République islamique d’Iran, son principal organe de propagande étrangère, disposait d’un budget de 1,26 milliard de dollars en 2022, et que la Chine dépenserait jusqu’à 10 milliards de dollars par an pour des médias ciblant les étrangers non chinois, relève la MIT Technology Review.

Cité par Politico, un responsable du département d’État, qui a requis l’anonymat par crainte de représailles, a déclaré que « le Kremlin et le Parti communiste chinois peuvent aujourd’hui se réjouir. […] Une nouvelle faille a été créée dans notre sécurité nationale, rendant l’Amérique encore plus vulnérable ».

Un Américain sur cinq croit que les vaccins ont plus tué que la Covid-19

Ces annonces interviennent alors que l’entreprise NewsGuard, spécialisée dans la lutte contre la désinformation, déplore de son côté « une croyance généralisée dans les fausses informations » de la part des citoyens états-uniens.

« Les Américains sont largement enclins à croire les fausses infos diffusées en ligne sur toute une série de sujets, notamment la santé et la médecine, les élections et les conflits internationaux » relève en effet NewsGuard, qui souligne également que « les Américains sont dupés dans des proportions alarmantes par les affirmations de désinformation du Kremlin ».

NewsGuard a en effet demandé à YouGov de présenter à un échantillon représentatif de 1 000 citoyens états-uniens de plus de 18 ans une liste de « 10 fausses informations largement répandues en ligne, dont trois proviennent de médias russes ou ont été principalement diffusées par ces derniers ». Les personnes interrogées devaient indiquer si elles étaient vraies, fausses, ou si elles n’étaient « pas sûres » de leur véracité.

NewsGuard n’a pas mis en ligne l’intégralité de l’étude de YouGov. Reste que la probabilité statistique que les personnes interrogées puissent avoir été induites en erreur était donc élevée. 78 % d’entre elles ont, de fait, cru à au moins une affirmation, et moins de 1 % des personnes interrogées seulement ont correctement identifié les 10 affirmations comme étant fausses.

Il n’empêche : plusieurs de ces 10 désinformations sont tellement grossières qu’on peine à comprendre ce pourquoi autant de citoyens états-uniens y croient, ou peinent à les identifier comme fausses. Il leur était par exemple demandé si le fait d’avorter favorisait le risque d’avoir un cancer du sein. Ou encore si les vaccins contre la poliomyélite contenaient des ingrédients basés sur du mercure (ce qui n’a jamais été le cas, précise NewsGuard).

Moins de la moitié des personnes interrogées ont en outre correctement identifié comme fausse l’affirmation selon laquelle « les vaccins COVID-19 ont tué entre 7,3 et 15 millions de personnes dans le monde, alors qu’une personne interrogée sur cinq pensait que cette affirmation était vraie ».

Outre le fait que les données des agences sanitaires et études validées par des pairs montrent que les vaccins COVID-19 approuvés sont sûrs et efficaces, le nombre de personnes mortes du Covid-19 est lui-même estimé à un peu plus de 7 millions, la surmortalité étant de son côté estimée à un peu plus de 27 millions, relève OurWorldinData.

Une autre désinformation était, cela dit, plus sujette à caution. Seuls 13 % des répondants ont en effet été en mesure d’identifier correctement comme fausse l’affirmation selon laquelle le Projet 2025 néoconservateur proposait d’éliminer la sécurité sociale. Bien que le texte, qui visait notamment à remplacer des dizaines de milliers de fonctionnaires fédéraux par des personnes nommées pour leurs positions conservatrices, puisse être qualifié de xénophobe, protectionniste et climatodénialiste, il ne mentionne effectivement pas ce point.

Un tiers des états-uniens croient à au moins une désinformation russe

Reste qu’un tiers (33,9 %) des personnes interrogées ont estimé qu’au moins une des trois désinformations d’origine russe était vraie. Et que moins d’un quart (23,8 %) ont identifié correctement les trois fausses informations. Les trois quarts des sondées étaient en outre « incapables d’identifier systématiquement les récits de désinformation russes comme étant faux », souligne NewsGuard.

61 % ont ainsi été incapables de qualifier de fausse l’affirmation selon laquelle « entre 30 et 50 % de l’aide financière américaine fournie à l’Ukraine a été volée par des fonctionnaires ukrainiens à des fins personnelles ». Une personne interrogée sur quatre a estimé que cette affirmation, tirée d’un article du média d’État russe RT (anciennement Russia Today), était vraie.

Près des deux tiers des personnes interrogées (64 %) n’ont pas, non plus, identifié comme fausse l’affirmation selon laquelle « la cote de popularité du président ukrainien Zelensky est tombée à 4 % », émanant elle aussi de plusieurs médias d’État russes. Pire, déplore NewsGuard : près d’un Américain sur cinq a déclaré que cette fausse information était vraie, alors que des sondages récents ont montré que Zelensky disposait d’un taux d’approbation compris entre 57 et 63 %.

Moins de la moitié des personnes interrogées (44 %) a en outre correctement identifié comme fausse l’affirmation selon laquelle « l’Ukraine a vendu au Hamas des armes qui lui ont été données par les États-Unis », infox là encore largement relayée par les médias d’État russes ainsi que « certains sites américains », et amplifiée par de hauts responsables russes sur les réseaux sociaux.

Au-delà de la désinformation russe, le confusionnisme serait massif

15 % des personnes interrogées ont au surplus qualifié de vrai le fait que des immigrants haïtiens avaient volé, tué et mangés des animaux domestiques à Springfiled dans l’Ohio (comme l’avait affirmé Donald Trump pendant sa campagne électorale), mais également que Starlink avait été utilisé pour truquer les élections de 2024 en faveur de Donald Trump. Et 45 % d’entre elles n’ont pas non plus correctement identifié ces deux affirmations comme fausses.

« Dans un pays politiquement divisé », constate NewsGuard, les résultats de l’enquête montrent aussi « une croyance généralisée dans les fausses affirmations », qui « dépasse les frontières des partis » :

« Les personnes interrogées s’identifiant comme démocrates sont à peu près aussi susceptibles (82 %) de croire à au moins une des dix fausses affirmations que celles s’identifiant comme républicaines (81 %). »

Les personnes interrogées ne s’identifiant pas à un parti politique sont « légèrement moins enclines à croire à la désinformation », 72 % d’entre elles considérant « au moins une fausse affirmation comme vraie ».

NewsGuard relève toutefois que les républicains « sont plus enclins à croire les allégations de désinformation russe que leurs homologues démocrates » :

« Parmi les républicains, 57,6 % ont identifié au moins une allégation de désinformation russe comme étant vraie, contre 17,9 % des démocrates et 29,5 % des personnes interrogées n’ayant pas identifié de parti. »

Un confusionnisme conspirationniste qui correspond en tous points aux agendas politiques de la propagande russe, ainsi qu’à celui de Steve Bannon.

La première repose en effet, notamment, sur le fait d’inonder les réseaux sociaux et médias de plusieurs versions « alternatives » des faits dont il est question, de sorte de les « noyer » dans la masse, « afin de saper les faits authentiques », expliquait à Newsweek Vitaliy Naida, haut fonctionnaire du service de sécurité de l’État ukrainien.

L’ex-directeur de la campagne présidentielle de Donald Trump Steve Bannon s’était quant à lui illustré en avançant que « Les démocrates n’ont pas d’importance. La véritable opposition, ce sont les médias. Et la façon de traiter avec eux est d’inonder la zone avec de la merde » :

« Les médias sont l’opposition, et comme ils sont stupides et paresseux, ils ne peuvent s’intéresser qu’à une chose à la fois. Tout ce que nous avons à faire, c’est noyer la zone. Chaque jour, nous devons leur balancer trois choses. Ils en mordront une et nous pourrons faire nos affaires. Bang, bang, bang, ils ne s’en remettront jamais. »

• [Édito] GenAI, arme de désinformation massive

Quand on voit ce qu’on voit, qu’on entend ce qu’on entend, qu’on sait ce que qu’on sait, a-t-on raison de penser ce qu’on pense ? Vous avez quatre heures.

Ce dessin a été initialement publié dans une chronique de Flock en décembre 2023.

• Retrouvez tous les dessins de Flock

L’opération séduction des grands noms de l’IA en direction des étudiants se poursuit aux États-Unis. Après Anthropic (Claude) et OpenAI (ChatGPT) début avril, c’est maintenant Google qui lance son offensive, avec une offre de poids : un accès gratuit à l’ensemble de l’offre Gemini Advanced, valable jusqu’au 30 juin 2026, soit pendant plus d’un an, accessible à tous les étudiants âgés de plus de 18 ans, inscrits dans un établissement supérieur.

Pour montrer patte blanche, il suffit de s’enregistrer à l’aide d’une adresse mail en .edu, indique Google, qui garnit encore son panier avec 2 To de stockage offert sur Google Drive, un accès à NotebookLM Plus et l’intégration de Gemini aux Google Apps.

La stratégie de conquête est assumée : l’accès gratuit à ces services passe par la création d’un abonnement Google One AI Premium, et l’étudiant qui arrive au terme de l’offre promotionnelle se verra par défaut basculé vers l’offre payante (facturée 21,99 euros par mois en France).

Peur sur la ville

L’ANSSI vient de publier un rapport sur l’état de la menace contre les opérateurs de transports urbains. Les principaux risques sont détaillés, avec des exemples de compromissions un peu partout dans le monde ces dernières années.

Les transports urbains et en communs représentent un enjeu sensible à cause de leur nature critique : « Certaines infrastructures de transport urbain connaissent une forte pression (plusieurs millions d’usagers par jour pour certains réseaux) ». À cela s’ajoutent de vastes réseaux auxquels s’interconnectent de nombreuses entités externes, augmentant ainsi la surface d’attaque pour les pirates. Un mélange potentiellement détonnant et qu’il faut donc surveiller de près.

32 incidents en 5 ans

Selon le décompte de l’ANSSI, entre janvier 2020 et décembre 2024, l’Agence a traité 123 « événements de sécurité d’origine cyber » sur les transports urbains (ferroviaire, routier, guidé, fluvial). Dans le lot, il y a eu 91 signalements (c’est-à-dire des comportements anormaux ou inattendus) et 32 incidents. Ces derniers signifient qu’un acteur malveillant a réussi sa cyberattaque contre le système d’information, avec des conséquences pouvant être variées.

Les trois principales manifestations des attaques sont le DDoS, des fuites de données et des usurpations d’identité. Elles « représentent plus de la moitié des signalements et incidents portés à la connaissance de l’ANSSI ».

Néanmoins, « aucune conséquence significative sur le fonctionnement des entités concernées n’a été identifiée à la suite de ces activités ». Les attaques DDoS ont pu « être contenues par les mesures de sécurité en place et ont provoqué, dans les cas les plus graves, des indisponibilités de très courte durée des sites visés », explique l’ANSSI.

Le trio du jour : le gain, la déstabilisation et l’espionnage

L’Agence détaille trois motivations : l’appât du gain, la déstabilisation et l’espionnage. Dans le premier cas, « la majorité des attaques à des fins lucratives observées semble davantage de nature opportuniste qu’orientées spécifiquement contre ces entreprises et services ». Les transports ne sont donc pas spécialement ciblés, mais si l’occasion se présente, les pirates ne s’en privent pas. Les principaux outils des pirates sont l’hameçonnage et l’exploitation de failles.

Dans le second cas (déstabilisation), des attaques peuvent être menées par « des États visant à saboter ces réseaux critiques, ou des acteurs appartenant à la mouvance hacktiviste, qui conduisent des attaques par déni de service distribué ». Comme nous l’avons déjà expliqué, les Jeux Olympiques et Paralympiques de Paris 2024 étaient l’occasion pour les pirates d’essayer de « briller », de faire parler d’eux. Il y a eu 83 incidents de cybersécurité, mais aucun événement majeur, affirme l’ANSSI.

• Cyberattaques pendant les JO : « des gens nous en voulaient vraiment »

Même chose pour l’espionnage (industriel ou individuel) dont des modes opératoires sont réputés liés à des États. Le secteur transports offre des « opportunités intéressantes pour des services de renseignement », mais la discrétion reste de mise.

« Des cyberattaques contre des entités du secteur ont été constatées dans le monde sans que la finalité exacte des attaques comme l’identité de la menace n’aient pu être établies de manière certaine, mais qui pourraient relever de l’espionnage », explique l’ANSSI.

Des compromissions par rançongiciels ont eu lieu

L’Agence détaille néanmoins quatre « compromissions ou tentatives de compromission par rançongiciel ». La première compromission concerne « l’infrastructure de virtualisation du comité d’entreprise d’une entité du secteur », sans plus de détails.

En 2023 puis en 2024, des rançongiciels ont chiffré des données d’une entreprise spécialisée dans les services de mobilité (et une de ses filiales), puis une autre des transports urbains. Une souche de rançongiciel a été observée en 2022 sur l’infrastructure d’un réseau de bus lors d’une tentative de compromission.

L’ANSSI publie un commentaire qui n’est pas nouveau, mais toujours bon à rappeler : « dans le cas d’une attaque par rançongiciel, l’ANSSI recommande de ne jamais payer la rançon qui ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient ce système frauduleux […] L’expérience montre par ailleurs que l’obtention de la clé de déchiffrement ne permet pas toujours de reconstituer l’intégralité des fichiers chiffrés ».

Détourner la signalisation

Un chapitre est consacré au détournement d’équipements de signalisation, avec des conséquences potentiellement très importantes. L’ANSSI se fait l’écho de travaux de chercheurs qui, en 2020, ont « démontré la possibilité de manipuler des feux de signalisation  […] Ils sont parvenus à manipuler les temps d’attente entre les changements de feux de signalisation afin d’accélérer le passage au vert pour les cyclistes ». Ils ne semblent pour autant pas avoir pu faire passer au vert plusieurs feux qui ne sont pas censés l’être en même temps, au risque de créer des accidents.

En 2022, à Hanovre en Allemagne, des chercheurs « sont parvenus à manipuler les systèmes de feux de signalisation à certaines intersections […] Ils ont exploité une technologie obsolète conçue pour permettre à certains véhicules (voitures de police et de pompiers, ambulances, bus locaux) de circuler plus rapidement sans s’arrêter aux feux ».

Il serait techniquement impossible de causer des accidents, ajoute l’ANSSI, mais il y a de quoi largement perturber le trafic. La communication entre les véhicules et les infrastructures (dont la signalisation) est, pour rappel, une des technologies du V2X (Vehicle-to-everything) sur laquelle des constructeurs travaillent.

Ces preuves de concept permettent de mesurer l’ampleur des dégâts potentiels tout en expliquant que cela ne demande pas de capacités sophistiquées. « Toutefois, l’ANSSI n’a pas connaissance d’exploitation réelle de ces capacités à des fins de nuisance par des acteurs offensifs ».

26 recommandations

La fin du rapport est consacrée à pas moins de 26 recommandations, allant d’actions aussi élémentaires que la sensibilisation du personnel et le cloisonnement des systèmes d’informations, à la limitation des dépendances aux technologies de géolocalisation par satellite GNSS (Global navigation satellite system), aux mises à jour et aux sauvegardes.

Si tu ne viens pas au nuage...

Windows 10 ne sera pas le seul produit de Microsoft à ne plus avoir de support cet automne. Le même 14 octobre, Exchange 2016 et 2019 recevront leur mise à jour finale. Après quoi, les garder sera dangereux. Problème, les solutions de remplacement sont en ligne ou sur abonnement.

Exchange 2016 et 2019 sont actuellement les deux dernières versions sur site (on premise) du serveur e-mail de Microsoft. On parle bien de logiciels que l’on peut installer et configurer sur des serveurs présents dans des locaux. À l’inverse, Exchange Online est l’offre en ligne de Microsoft, sur ses propres serveurs. Ce découpage de gamme est à peu près le même que pour Office, avec une offre Microsoft 365 en ligne et des licences perpétuelles (et locales) tous les trois ans en moyenne.

Les habituels dangers

En début de semaine, Microsoft a prévenu : Exchange 2016 et 2019 n’en ont plus que pour six mois de support. Après quoi, plus aucune mise à jour de sécurité ne sera publiée. Comme toujours dans le cas d’un produit exposé à internet, il est recommandé de ne plus utiliser de tels produits, puisque les failles ne sont plus corrigées. Certains facteurs peuvent atténuer une partie des risques, mais aucune solution ne peut compenser durablement la présence de failles.

« Les installations clients d’Exchange 2016 et d’Exchange 2019 continueront bien sûr à fonctionner après le 14 octobre 2025 », précise quand même Microsoft. « Cependant, continuer à utiliser ces offres après la date de fin de support invite à des risques de sécurité potentiels, c’est pourquoi nous recommandons fortement de prendre des mesures dès maintenant ».

Rappelons que les risques de sécurité ne sont pas les seuls. En Europe, le RGPD exige par exemple que les données personnelles soient entreposées dans des logiciels à jour. L’utilisation de versions obsolètes peut donc exposer à des amendes. Il n’y aura plus non plus de support technique. En outre, plus les logiciels prennent de l’âge, plus leur maintenance peut coûter cher.

Enfin, cette fin de support s’applique également aux éditions 2016 et 2019 d’Office, Outlook et Skype for Business. Pour Microsoft, ce sera le grand ménage d’automne et une manière de pousser encore un peu plus vers le cloud. Le 14 octobre, ce sera également la fin officielle de Windows 10.

Deux solutions possibles pour Microsoft

Microsoft propose essentiellement deux solutions. La première est de migrer vers une offre totalement hébergée. Exchange Online par exemple si l’on ne veut effectivement gérer que des e-mails, ou Microsoft 365 dans l’une de ses formes pour entreprises pour avoir tout le package productivité.

L’autre est de mettre à niveau l’ancienne installation sur site vers Exchange Server Subscription Edition. Celle-ci sortira en juillet et Microsoft en profite pour recommander la préparation du terrain si le produit intéresse les entreprises.

De quoi parle-t-on exactement ? D’une version fonctionnant, dans les grandes lignes, avec le même code qu’Exchange 2019 Cumulative Update 15, mais légèrement modernisé. Cette édition prendra en charge Windows Server 2025, remplace NTLMv2 par Kerberos pour les communications entre serveurs, l’intégration de l’API Admin, la suppression de Remote PowerShell, d’Outlook Anywhere et de l’API UCMA 4.0. Cette édition sera mise à jour deux fois par an pour entretenir sa compatibilité générale, corriger les bugs et colmater les failles.

Problème bien sûr, ces deux solutions sont sur abonnement. Migrer vers Exchange SE depuis la version 2019 réclamera ainsi de nouvelles licences, qui ne fonctionneront plus en cas d’arrêt des paiements. Migrer depuis la version 2016 est plus complexe. Microsoft recommande de faire d’abord la mise à jour vers Exchange 2019, avant de migrer ensuite vers l’édition SE.

Ou de nouveaux horizons

Qui héberge encore sur site ses e-mails ? La question peut faire sourire, tant le monde semble s’être tourné très rapidement vers les solutions hébergées et plus généralement le cloud. Les entreprises concernées ont peut-être cependant des installations parfaitement fonctionnelles, sans avoir eu besoin de changer. Auquel cas l’installation des correctifs de sécurité était tout ce qui pouvait les intéresser.

Les avantages du cloud sont connus, avec notamment une infogérance beaucoup plus légère et la résilience des gigantesques infrastructures. Ces dernières offrent le plus souvent plusieurs niveaux de redondance, des mécanismes efficaces de reprise sur incident et de solides protections pour de nombreuses menaces. Au contraire, une entreprise peut être intéressée par une gestion de ses courriels à sa manière, sur son matériel et dans son réseau, sans appétence pour des fonctions modernes, dont tout ce qui touche à l’IA.

Pour rester sur Exchange sans prendre le risque d’exposer toutes ses données aux quatre vents, il faut donc préparer une migration et réaliser des analyses bénéfices/risques sur les solutions proposées. À moins que ce soit l’occasion de migrer vers une autre solution. Google Workspace ? L’offre est financièrement compétitive face à Microsoft 365, mais Google ne propose que des solutions hébergées.

Le sujet est plus complexe qu’il n’y parait et va dépendre des besoins de l’entreprise. Car lorsqu’on parle d’Exchange, cela inclut la gestion des contacts et les calendriers, avec tout ce qui touche à la synchronisation. Il y a sinon les solutions de type collaboratif (groupware), mais tous ne proposent pas forcément des installations sur site. Dans tous les cas, la solution ne sera pas simple, car il faudra pouvoir en plus pouvoir migrer les données.

Stop ou encore ?

Depuis ce matin, les tarifs sont en hausse pour les clients français. La plateforme de streaming n’y va pas avec le dos de la cuillère puisqu’il est question de 1,5 à 2 euros de plus par mois suivant les formules. L’annonce a été faite à l’occasion de la publication de son bilan financier, avec des revenus en hausse et des bénéfices de 2,890 milliards de dollars.

De 7,99 à 21,99 euros par mois

La nouvelle grille tarifaire est en ligne, voici sans attendre les trois forfaits avec, entre parenthèses, les anciens prix :

• Standard avec pub : 7,99 euros par mois (au lieu de 5,99 euros)
• Standard : 14,99 € par mois (au lieu de 13,49 euros)
• Premium : 21,99 € par mois (au lieu de 19,99 euros)

Le forfait Standard permet toujours d’ajouter un abonné supplémentaire. Le tarif est de 5,99 euros par mois avec pub ou de 6,99 euros par mois sans. Avec Premium jusqu’à deux abonnés peuvent être ajoutés.

L’offre Essentiel n’existe plus

À 7,99 euros par mois, Netflix Standard avec pub se positionne exactement au tarif de l’offre standard lors du lancement de la plateforme en septembre 2014. « Le second palier à 8,99 euros par mois vous ouvre les portes de la HD sur deux écrans en simultanée, tandis que pour profiter de quatre écrans qui peuvent aller jusqu’à la 4K Ultra HD il faudra débourser 11,99 euros par mois », expliquions-nous à l’époque. De 11,99 euros par mois, la formule en 4K UHD est désormais à 21,99 euros par mois.

Netflix en profite au passage pour indiquer que son « offre Essentiel n’est plus proposée ». C’était la formule d’entrée de gamme, sans publicité, en HD seulement et sur un seul appareil à la fois (elle était à 10,99 euros par mois). Aucun détail supplémentaire n’est donné, si ce n’est que « vous pouvez changer d’offre à tout moment ».

Netflix content de ses récentes hausses

L’annonce a été faite à l’occasion de la publication du bilan financier de Netflix : « Aujourd’hui, nous ajustons les prix en France, qui sont déjà pris en compte dans nos prévisions 2025 », peut-on lire dans le communiqué. « Les récents ajustements tarifaires que nous avons opérés sur les principaux marchés (notamment les États-Unis, le Royaume-Uni et l’Argentine) ont été conformes à nos attentes », affirme Netflix.

Netflix semble satisfait de ses offres avec publicité : « Nous sommes en bonne voie pour atteindre une taille critique de notre base de membres dans tous les pays cette année ». « L’un de nos principaux objectifs pour 2025 est d’améliorer nos capacités avec les annonceurs. Nous avons déployé avec succès Netflix Ads Suite, notre plateforme interne, aux États-Unis le 1ᵉʳ avril. Dans les prochains mois, nous la lancerons sur nos autres marchés publicitaires », ajoute l’entreprise.

10,5 milliards de revenus, 2,9 milliards de bénéfices, en trois mois

Sur le premier trimestre 2025, la plateforme a réalisé 10,5 milliards de dollars de revenus, en hausse de 12,5 % sur un an. Elle prévoit d’arriver à 11 milliards au deuxième trimestre, ce qui serait une hausse de 15,4 % par rapport à 2024. Le bénéfice net sur les trois premiers mois de 2025 est de 2,9 milliards de dollars, contre 2,3 milliards un an auparavant.

With or Without IA

Le nombre de morceaux de musique identifiés par le détecteur de contenus synthétiques développé par la plateforme est passé de 10 000 à plus de 20 000 par jour entre janvier et avril. 7 à 8 % relèveraient de tentatives de fraude. Le patron de Deezer propose de « légiférer pour que les plateformes rémunèrent les artistes et pas ces bruits », mais ne précise pas comment.

« Environ 10 000 pistes totalement générées par IA sont livrées à la plateforme chaque jour, soit environ 10 % du contenu quotidien livré », expliquait Deezer en janvier dernier. La plateforme annonçait alors avoir déployé un « outil de pointe », conçu en interne et testé depuis un an, pour les détecter.

Alexis Lanternier, son CEO, précisait vouloir « développer un système de marquage pour le contenu totalement généré par IA, [pour] l’exclure des recommandations algorithmiques et éditoriales ». L’entreprise se donnait également pour objectif de développer des capacités de détection de voix générées par deepfakes.

Trois mois plus tard seulement, Deezer vient de révéler que « 18% des nouvelles musiques publiées chaque jour sur sa plateforme sont entièrement générés par intelligence artificielle ». « Soit plus de 20 000 chansons sur les quelque 150 000 qui sont versées chaque jour » (contre 25 000 il y a trois ans), souligne à Ouest-France Alexis Lanternier.

« C’est exponentiel », précise-t-il. « En deux mois, ce chiffre a presque doublé et il n’y a aucune raison que ça s’arrête tellement les outils sont faciles d’utilisation. Ça va continuer ! »

Légiférer pour rémunérer les artistes « et pas ces bruits »

« Nous les signalons clairement à l’utilisateur, en IA Generated, afin qu’il sache que ledit titre est produit par une IA générative et nous les sortons de nos algorithmes pour qu’ils ne remontent pas », tempère Alexis Lanternier, qui indique que Deezer a par ailleurs identifié « 7 à 8 % de fraude » :

« On ne voit pas d’explosion de la consommation de titres produits par l’IA. Les auditeurs cherchent des vrais artistes, de la musique incarnée et c’est heureux. Cependant, c’est un très bon outil pour les fraudeurs, qui créent plein de chansons pour générer des écoutes et récupérer des royalties. C’est sur ce point qu’il faut sans doute imaginer de légiférer pour que les plateformes rémunèrent les artistes et pas ces bruits. »

En 2024, Deezer avait déjà supprimé 13 % de son catalogue

La plateforme, qui héberge aujourd’hui 130 millions de titres, fait régulièrement le ménage pour nettoyer son catalogue des titres qui faussent le calcul de la rémunération des artistes professionnels. La plateforme supprime ainsi l’encodage Flac (la meilleure qualité audio, mais très gourmande en stockage, précise Ouest France) des titres qui n’ont pas été écoutés depuis un an, au motif que « C’est très important, car cela génère de la pollution numérique ».

En avril 2024, Deezer avait ainsi annoncé avoir supprimé 13 % de son catalogue global, soit environ 26 millions de titres entre septembre 2023 et mars 2024, relevait alors BFMTech. Y figuraient des pistes composées de bruits blancs, albums ne contenant qu’un seul et unique morceau, titres et mauvaises imitations générés par intelligence artificielle.

10 millions d’utilisateurs dans le monde, dont la moitié en France

La plateforme vient par ailleurs d’annoncer plusieurs fonctionnalités, censées « offrir une expérience musicale encore plus personnalisée à ses utilisateurs et abonnés ». Elles visent, explique Alexis Lanternier, à « permettre aux utilisateurs de mieux comprendre les algorithmes et de prendre un peu plus le contrôle sur leur usage, de personnaliser encore plus leur expérience et de pouvoir partager facilement avec leurs communautés, abonnées ou non à Deezer ».

À compter du 28 avril, Deezer proposera un « lien de partage universel » afin que ses utilisateurs puissent partager leurs titres favoris, « que leurs amis soient sur Spotify, Apple music ou Youtube music ».

Interrogé par Ouest France sur la possibilité de se convertir en « futur réseau social », Alexis Lanternier botte en touche : « C’est tout à fait possible mais c’est trop tôt pour le dire. On va créer des solutions petit à petit. Évidemment, ça ne peut pas être un réseau social comme les autres, mais la musique est un outil de connexion exceptionnel, donc elle doit créer des liens, à nous de les faciliter. Les utilisateurs veulent davantage d’humain et moins d’algorithmes. »

Ouest-France souligne que la plateforme, cotée en Bourse et qui a atteint la rentabilité en 2024, « compte désormais un peu moins de 10 millions d’utilisateurs dans le monde, dont la moitié en France (où ça augmente) et le reste ailleurs (où ça baisse un peu) ».

Terra what ?

En France, les datacenters ont consommé 2,4 TWh d’électricité en 2023 et 681 000 m³ d’eau en direct… car on passe à 6 millions de m³ en comptant la consommation indirecte. Sans surprise, des chiffres en hausse par rapport aux années précédentes.

L’Arcep vient de publier la quatrième édition de son enquête annuelle « Pour un numérique soutenable » avec une évaluation de l’empreinte environnementale des acteurs du numérique en France sur l’année 2023. Il s’agit bien de 2023 ; un décalage « du fait du grand nombre d’acteurs concernés par la collecte de données environnementales ».

Consommation des datacenters en France : 2,4 TWh en 2023

La consommation électrique totale des datacenters en France est de 2,4 TWh sur l’année 2023, en hausse de 8 % sur un an. À titre de comparaison, cela correspond à la consommation annuelle moyenne d’environ 500 000 foyers français, selon les données d’Engie.

« La croissance de cette consommation reste soutenue malgré un ralentissement en 2023. Elle s’établit à+ 8 % après + 14°% en 2022 », explique le régulateur. Notez que les données de 2022 et 2021 ont été ajustés depuis le précédent observatoire.

À titre de comparaison, l’Agence internationale de l’énergie atomique (sous l’égide de l’ONU) expliquait que « les datacenters avaient consommé environ 460 TWh d’électricité en 2022 », et prévoyait que cette consommation pourrait dépasser les 1 000 TWh d’ici à 2026. La France représente donc moins de 0,5 % de la consommation mondiale

• Numérique soutenable : l’Arcep détaille la consommation des box, décodeurs et répéteurs

Île-de-France en force

Dans le détail des 2,4 TWh, 1,6 TWh provient directement des équipements informatiques, tandis que les 0,8 TWh sont attribués aux autres postes de consommations tels que le refroidissement et le tertiaire.

Le régulateur donne aussi quelques indications géographiques : « les centres de données mis en service entre 2021 et 2023 sont majoritairement situés en Ile-de-France ». Ils sont responsables de plus de 70 % de l’augmentation de la consommation.

PUE de 1,46, en baisse grâce aux « nouveaux » datacenters

L’Arcep donne également l’indicateur d’efficacité énergétique (Power Usage Effectiveness en anglais, ou PUE) moyen de l’ensemble des datacenters en France : 1,46 en 2023. Pour rappel, cela signifie que pour chaque kWh consommé par les équipements informatiques, le datacenter dans sa globalité, consomme 1,46 kWh. Il s’améliore doucement avec l’arrivée de nouveaux datacenters plus économes. Le PUE était de 1,51 en 2022.

L’Arcep le confirme dans son analyse : le PUE moyen est de 1,34 pour les datacenters de moins de 10 ans, « soit un peu plus d’un tiers des centres de données étudiés », contre 1,54 pour ceux mis en production avant 2013. Sur le graphique ci-dessous, on voit bien la différence en fonction de l’âge.

681 000 m³ d’eau en consommation directe…

Autre élément analysé, la consommation en eau. Quelques bases d’abord : « La quasi-totalité du volume d’eau prélevé par les centres de données en 2023 est de l’eau potable ». En 2023, il était question de 681 000 m³, soit 19 % de plus qu’en 2022. À mettre en balance avec les 755 000 m³ d’eau prévus pour les trois prochains datacenters qu’Amazon prévoit d’installer en Aragon, au nord de l’Espagne.

• Big Tech : la multiplication des datacenters pèse sur les zones les plus arides du globe

Deux raisons à cette hausse importante (quasiment identique en 2022, pour les mêmes raisons) : « les vagues de chaleur et les températures records des dernières années qui ont accru les besoins en eau de certains centres de données ». Le réchauffement climatique pourrait accentuer ce phénomène. « D’autre part, des facteurs externes à l’activité de centres de données, tels que des travaux d’aménagements des sites anciens, ont également contribué à cette hausse », ajoute le régulateur.

6 000 000 m³ d’eau en consommation indirecte

L’Arcep relève un point intéressant : il faut aussi compter le volume d’eau consommé indirectement (c’est-à-dire la consommation nécessaire au fonctionnement) : « Ce dernier dépend du mix énergétique français (par exemple, un peu plus de 2 litres d’eau pour 1 kWh d’origine nucléaire) ».

On change alors complétement de registre : « le volume d’eau prélevé directement par les centres de données (681 000 m³ en 2023) est faible au regard du volume d’eau consommé indirectement par les centres de données ». Le régulateur annonce ainsi un volume total (direct + indirect) « estimé à près de 6 millions de m³, soit la consommation annuelle moyenne d’eau en France d’environ 100 000 personnes ».

La liste des 21 opérateurs analysés

Pour rappel, l’Arcep considère pour ses analyses les opérateurs de colocation et de co-hébergement dont le chiffre d’affaires en France est égal ou supérieur à 10 millions d’euros hors taxes. « Ils représentent environ 50 % des centres de données de colocation en service en 2020 », selon une étude ADEME-Arcep.

Dans son annexe 5, l’Arcep donne la liste des 21 opérateurs qui doivent lui envoyer des données : Adista, Amazon Data Services France SAS, Ato, Celeste, Ciril Group, Cogent Communications France SAS, Colt technology Services, Data4 Services, Digital Realty, Equinix France, Free pro, Foliateam Opérateur, Global Switch, Hexanet, Kyndryl France, Orange, OVHcloud, Opcore, SFR, Sigma informatique et Telehouse.

Le bilan du régulateur comporte bien d’autres informations, que nous détaillerons dans une prochaine actualité.

Portes ouvertes pour le DOGE

L’architecte DevSecOps de l’agence du droit du travail américaine accuse l’équipe du DOGE d’Elon Musk d’être responsable d’une fuite de données personnelles de plaignants et d’accusés, ainsi que des données commerciales confidentielles. Le lanceur d’alerte a reçu une lettre de menaces ainsi que des photos de lui prise via un drone.

10 Go de données ont été exfiltrées d’un système de gestion de données du National Labor Relations Board (NLRB), l’agence américaine du droit du travail, selon l’architecte DevSecOps de l’agence, Daniel Berulis. Cette fuite se serait passée alors que l’équipe du DOGE d’Elon Musk a créé des comptes dans différents systèmes informatiques du NLRB.

Daniel Berulis est sous la protection officielle du statut de lanceur d’alerte. Une lettre [PDF] adressée par l’association d’avocats « Whistleblower Aid » à une commission du Sénat américain soutient sa démarche, explique ArsTechnica. Dans celle-ci, l’association affirme qu’ « il craint que les activités récentes des membres du Department of Government Efficiency (« DOGE ») aient entraîné une violation importante de la cybersécurité qui a probablement exposé et continue d’exposer notre gouvernement aux services de renseignement étrangers et aux adversaires de notre nation ».

Interrogé par le média public étasunien NPR, Daniel Berulis explique qu »il ne peut pas « attester de leur objectif final ni de ce qu’ils font avec les données. Mais je peux vous dire que les éléments du puzzle que je peux quantifier sont effrayants. … C’est une très mauvaise image que nous avons sous les yeux ».

Accès illimités du DOGE et sans logs

La lettre de Whistleblower Aid, accompagnée d’une déclaration sur l’honneur du lanceur d’alerte, décrit dans les détails les agissements du DOGE et les problèmes qu’il a constatés au sein du système informatique de l’agence.

Il y explique notamment la préparation de l’arrivée des membres du DOGE début mars. Selon lui, sa hiérarchie lui a demandé de ne pas passer par des procédures standard pour créer leurs comptes. Aucun journal et aucun enregistrement de leurs actions ne devaient avoir lieu.

Ses responsables lui auraient demandé de créer, pour les membres du DOGE, des comptes « du plus haut niveau d’accès et d’un accès illimité aux systèmes internes ». Sur le serveur Azure de l’agence, leurs droits devaient être réglés en « tenant owner ». Comme l’explique Daniel Berulis, c’est l’équivalent d’ « une autorisation pratiquement illimitée de lire, copier et modifier les données ».

Il ajoute que « cet accès s’apparente à celui du propriétaire de l’ensemble du bâtiment dans lequel l’entreprise travaille. Il s’agit notamment des clés du centre de données et de toutes les portes verrouillées, des registres d’entrée dans le bâtiment, de la plomberie et des caméras de sécurité ».

Daniel Berulis fait remarquer que Microsoft déconseille d’utiliser le niveau « tenant » pour créer des comptes d’audit, « car ça peut masquer des actions comme la création ou la suppression de comptes, le changement de rôle ou modifier les règles et dépasse de loin tout besoin légitime pour ce travail ».

L’architecte DevSecOps explique qu’au sein de l’agence, des rôles spéciaux pour les auditeurs avaient déjà été créés. Mais il n’était pas question d’utiliser ce genre de comptes.

« C’était un signal d’alarme énorme » a souligné Daniel Berulis à la NPR, ajoutant que « c’est quelque chose qu’on ne fait pas. Cela va à l’encontre de tous les concepts fondamentaux de la sécurité et des meilleures pratiques ».

Le lanceur d’alerte explique que la structure d’au moins un compte suggère qu’il a été créé puis supprimé par le DOGE pour utiliser le système de cloud du NLRB.

Des tentatives de connexion extérieures et une fuite de 10 Go de données

Il affirme aussi que quelqu’un a essayé de se connecter au système de l’extérieur du NLRB avec un compte nouvellement créé : « dans les jours qui ont suivi l’accès du DOGE aux systèmes du NLRB, nous avons remarqué qu’un utilisateur ayant une adresse IP dans la région du Primorié, en Russie, a tenté de se connecter. Ces tentatives ont été bloquées, mais elles étaient particulièrement alarmantes ».

Le problème n’est pas une énième tentative de connexion d’un bot utilisant la force brute pour essayer de se connecter. « La personne qui tentait de se connecter utilisait l’un des comptes nouvellement créés et utilisés pour d’autres activités liées au DOGE, et il semblait qu’elle disposait du nom d’utilisateur et du mot de passe corrects puisque le flux d’authentification ne l’arrêtait qu’en raison de l’activation de notre politique d’interdiction des connexions en dehors du pays », décrit-il.

Il affirme qu’ « Il y a eu plus de 20 tentatives de ce type et, ce qui est particulièrement inquiétant, c’est que beaucoup d’entre elles se sont produites dans les 15 minutes qui ont suivi la création des comptes par les ingénieurs du DOGE ».

Dans sa déclaration, Daniel Berulis explique avoir constaté la suppression de divers paramètres de sécurité dans le système du NLRB. Enfin, il explique avoir commencé à suivre le 7 mars « ce qui semblait être des données sensibles quittant l’endroit sécurisé où elles sont censées être stockées » sur le système de gestion des dossiers NxGen de l’agence.

Au moins 10 Go de données ont été exfiltrées, mais le lanceur d’alerte n’a pas réussi à savoir quels fichiers ont été copiés ou supprimés. Si les données ont été compressées avant envoi, la fuite pourrait être plus importante. Daniel Berulis explique avoir essayé d’éliminer l’hypothèse d’une exfiltration, « mais aucune piste n’a porté ses fruits et certaines ont été arrêtées net ».

Comme l’explique sa déposition, le NLRB garde des données sensibles qui doivent rester confidentielles, notamment « sur les syndicats, sur des affaires juridiques et des informations concernant le secret des affaires d’entreprises ». Elle stocke également des « informations personnelles identifiables de plaignants et d’accusés ayant des affaires en cours » ainsi que des informations commerciales confidentielles « recueillies ou fournies au cours d’enquêtes et de litiges qui n’étaient pas destinées à être rendues publiques ».

Enfin, la lettre évoque le fait que Daniel Berulis a trouvé des menaces scotchées sur sa porte, le 7 avril alors qu’il était en train de préparer sa déclaration. Des photos de lui prises par drone le montrant en train de promener son chien dans son quartier accompagnaient le message.

Interrogée par la NPR, le NLRB nie que l’agence ait accordé l’accès à ses systèmes au DOGE et même que le service d’Elon Musk l’ait demandé. L’agence assure avoir mené une enquête après des signalements de Daniel Berulis mais « a déterminé qu’il n’y avait pas eu de violation des systèmes de l’agence ». Le média explique pourtant avoir eu la confirmation de 11 sources internes à l’agence qui partagent les préoccupations de l’architecte DevSecOps.

La NPR a mis à jour son article après que la Maison-Blanche, en réponse à son enquête, a déclaré : « cela fait des mois que le président Trump a signé un décret pour embaucher des employés du DOGE dans les agences et coordonner le partage des données. Leur équipe hautement qualifiée a été extrêmement publique et transparente dans ses efforts pour éliminer le gaspillage, la fraude et les abus dans l’ensemble de la branche exécutive, y compris le NLRB ».

Sur CNN, l’avocat Andrew Bakaj qui a signé la lettre de Whistleblower Aid, a évoqué le fait que le DOGE aurait utilisé Starlink pour exfiltrer les données. « Ce qui veut dire, de ce que nous comprenons, que la Russie a un pipeline direct d’information via Starlink et que tout ce qui passe par Starlink va vers la Russie », affirme-t-il.

Sans autre information, il est difficile de s’appuyer sur cette déclaration pour en conclure quoi que ce soit sur les liens de cette affaire avec la Russie. En effet, même si l’IP utilisée pour essayer de se connecter au système du NLRB indique la région du Primorié, dont la capitale est Vladivostok, à l’extrême est de la Russie, celle-ci n’est pas une source sûre de localisation d’un attaquant. Celui-ci peut, entre autres, avoir utilisé un VPN pour obfusquer sa réelle localisation.

La voie du milieu

OpenAI a finalement lancé ses deux nouveaux modèles de raisonnement o3 et o4-mini, destinés à remplacer o1. Les scores affichés par l’entreprise sont particulièrement bons. Pour la première fois, OpenAI a aussi ajouté des protections spécifiques pour empêcher ses modèles d’être utilisés pour créer des armes chimiques et biologiques.

Il était temps de briller un peu. Entre la sortie d’un GPT-4.1, le départ en pré-retraite de GPT-4.5 et le report de GPT-5, l’actualité n’était pas brillante pour OpenAI, dans un domaine où tout va très vite. La société avait cependant prévenu que deux nouveaux modèles de raisonnement allaient arriver.

o3 et o4-mini ont donc été présentés hier. Il s’agit de deux modèles multimodaux, capables de traiter du texte et des images en entrée. La nouvelle « star » est en théorie o3, mais o4-mini pourrait lui voler la vedette, avec des scores équivalents – voire meilleurs – sur certaines tâches. Un modèle plus petit, donc moins cher à faire fonctionner.

Encore des modèles orientés vers « les tâches réelles »

Sans trop de surprise, OpenAI reprend les mêmes éléments de langage que pour son récent GPT-4.1. Les deux nouveaux modèles sont ainsi conçus pour des « tâches réelles » et seraient particulièrement performants pour des activités comme la programmation. Plus question de laisser prendre du terrain aux trois principaux concurrents que sont Gemini 2.5 Pro de Google, Claude Sonnet 3.7 d’Anthropic et DeepSeek V3 dans sa version améliorée.

Selon OpenAI, o3 atteint ainsi un score de 69,1 % sur la version vérifiée du test SWE-bench. o4-mini fait à peine moins bien avec 68,1 %. On est loin devant les 48,9 % d’o1 et les nouveaux venus se permettent une marge confortable sur Claude Sonnet 3.7 et ses 62,3 %. Bien que nous mentionnions le score de Claude, la communication d’OpenAI n’établit aucune comparaison directe avec des modèles concurrents. Les tableaux affichés – ils sont nombreux – ne montrent que les gains conséquents sur o1 et o3-mini.

Les deux modèles sont présentés comme idéaux pour des tâches telles que le développement logiciel, la navigation web, l’exécution de scripts Python dans le navigateur (via Canvas), ainsi que le traitement et la génération d’images. OpenAI annonce d’ailleurs qu’o3 et o4-mini sont les premiers modèles de l’entreprise capables de « penser avec des images » (sic). Ils peuvent par exemple exploiter des photos flous de tableaux blancs pour en extraire les données, diagrammes et ainsi de suite.

De manière générale, o4-mini montre tout le potentiel du futur modèle o4, si OpenAI le lance un jour en version complète. Il se révèle aussi performant, voire légèrement meilleur qu’o3-mini sur des tâches comme la programmation, l’analyse d’images et les mathématiques. Sur le test mathématique AIME 2024, il atteint même 92,7 %, soit légèrement plus que le plus gros modèle de Google, Gemini 2.5 Pro.

OpenAI a ses nouvelles stars du raisonnement

Les modèles de raisonnement devenant dominants dans le secteur de l’IA générative, il est probable qu’OpenAI soit revenue sur ses plans de ne pas s’attarder sur o3 et o4 pour passer directement à la suite, malgré ses annonces en fin d’année dernière. C’est bien ce qui avait été annoncé, de la même manière que GPT-4.5 est écarté pour laisser de la place au développement des futurs modèles.

Ils sont donc là pour occuper le terrain. Les deux sont déjà disponibles dans les forfaits Pro, Plus et Team de ChatGPT. On note également une variante o4-mini-high, qui doit fournir des réponses plus précises, au prix bien sûr d’un temps de calcul plus long.

En outre, une version o3-pro sera fournie dans les semaines qui viennent, là encore pour des réponses plus précises, mais uniquement pour les personnes abonnées à ChatGPT Pro, la formule à 200 dollars par mois. o3, o4-mini et o4-mini-high seront également disponibles pour les développeurs via les API Chat Completions et Responses.

Les prix annoncés sont relativement modestes au vu des performances. Pour o3, le tarif est ainsi de 10 dollars par million de jetons en entrée et 40 dollars par million de jetons en sortie. La tarification d’o4-mini est la même qu’o3-mini : 1,10 dollar en entrée et 4,40 dollars en sortie.

Enfin, OpenAI annonce le lancement de Codex CLI, un agent de développement conçu pour la ligne de commande dans un terminal. Il exploite pour l’instant o3 et o4-mini, mais prendra bientôt en charge des modèles supplémentaires, dont GPT-4.1. L’outil est open source, sous licence Apache 2.0.

Des protections contre les menaces biochimiques

En même temps que ses annonces sur o3 et o4-mini, OpenAI a publié un document (pdf) reflétant l’analyse de sécurité de ses nouveaux modèles. On peut y lire notamment que les risques d’hallucinations ou de biais sont toujours présents, de même que l’utilisation à des fins malveillantes.

Parmi ces fins, la préparation de menaces biologiques ou chimiques. OpenAI indique donc avoir intégré des protections spécifiques, dont un « moniteur de raisonnement axé sur la sécurité ». Il a lui-même été formé pour raisonner sur les politiques de contenu, identifier les messages pouvant correspondre à l’élaboration d’une menace et bloquer les réponses.

L’entreprise dit demander à sa « red team » de consacrer environ 1 000 heures à étiqueter des conversations « dangereuses » sur les risques biochimiques, pour intégrer la logique dans le moniteur. Selon les informations du document, o3 et o4-mini bloqueraient les demandes liées au développement de menaces à hauteur de 98,7 %.

Ces informations sont cependant à nuancer. Dans son propre document, OpenAI admet ne pas savoir si cette protection tiendra devant l’originalité renouvelée des invites (prompts), que l’on peut adapter à chaque refus pour tenter de contourner la difficulté. De plus, OpenAI ne présente pas vraiment son moniteur comme un apport clair sur la sécurité. Il vient surtout compenser la hausse des capacités de raisonnement qui, elles, ouvrent de nouveaux champs.

o3 et o4-mini peuvent tricher… comme les autres

En outre, le même rapport mentionne les tests de la société Apollo Research, habituée de la red team d’OpenAI. Ses tests ont montré que les deux modèles pouvaient tricher dans les demandes comme dans les benchmarks. Par exemple, un test visant à effectuer certaines tâches avec 100 crédits de calcul ont finalement été réalisées avec 500. Il avait été spécifiquement demandé aux IA de ne pas augmenter le quota, ordre ignoré par les deux modèles, qui ont affirmé ensuite que les 100 crédits avaient été respectés.

Même son de cloche globalement chez la société Metr, autre habituée de la red team d’OpenAI. Dans un billet publié hier et soir et repéré notamment par TechCrunch, la société note que les deux modèles peuvent effectivement tricher. Dans les deux, le risque n’est pas jugé significatif, OpenAI reconnaissant elle-même que ses modèles peuvent entrainer de « petits préjudices », quand les résultats ne sont pas supervisés.

Une conclusion que l’on peut rappeler pour chaque nouveau modèle. Mais l’envolée des capacités de raisonnement rend le problème plus visible. Les protections mises en place permettent à OpenAI de rester dans une marge acceptable.

Qualif à la place de Qualif

Après S3ns (Thales et Google), c’est au tour d’un autre « cloud de confiance » basé sur des services étasuniens de passer le jalon J0 de la qualification SecNumCloud : Bleu (Orange, Capgemini et Microsoft). Le processus doit encore durer une année.

L’annonce de Bleu, un « cloud de confiance » d’Orange et Capgemini, a été faite en 2021, avec Microsoft (Azure et 365) comme partenaire technologique. Les activités commerciales ont pour leur part débuté en janvier 2024. En septembre, Bleu présentait ses « 12 premiers partenaires de services » et visait un dépôt de son dossier de la qualification SecNumCloud par l’ANSSI pour la fin de l’année.

• Bleu annonce 12 partenaires et devrait déposer son dossier SecNumCloud à la fin de l’année

SecNumCloud : Bleu valide le jalon J0, la route est encore longue

Aujourd’hui, Bleu (détenue à 100 % par Capgemini et Orange) vient de passer une étape importante, même si la route est encore longue : « le franchissement du jalon J0 ». La co-entreprise en profite pour en faire des tonnes.

« Ce jalon atteste de la maturité de la solution cloud que nous développons. Nos équipes et nos partenaires sont pleinement mobilisés pour mettre à disposition nos services et atteindre la qualification SecNumCloud dans les meilleurs délais », affirme ainsi Jean Coumaros, président de Bleu.

Bleu « vise la qualification de ces services pour le premier semestre 2026 ».

C’est quoi ce jalon J0 ?

L’AFNOR rappelle de son côté que le jalon préalable J0 ne concerne que « la validation par l’ANSSI d’un dossier de candidature. La phase d’évaluation avec audit sur site a lieu après la validation de ce jalon 0 ». Il y a ensuite J1, J2 et J3 à passer.

L’ANSSI ajoute néanmoins que « dès son entrée officielle dans le processus de qualification SecNumCloud (reconnue par un courrier de l’ANSSI à l’entreprise annonçant « le jalon J0 »), toute entreprise pourra évoquer publiquement la démarche en cours ». Et, si elle le souhaite, elle peut apparaitre sur la liste de l’ANSSI des prestataires en cours de qualification. Pour le moment, ce n’est pas encore le cas.

Bien évidemment, le jalon J0 n’est pas suffisant pour « utiliser le logo du Visa de sécurité ANSSI ni afficher la qualification SecNumCloud tant qu’elle n’aura pas officiellement obtenu la qualification SecNumCloud ». L’Agence de cybersécurité ajoute que « tout communiqué de presse évoquant le processus de qualification SecNumCloud de l’ANSSI devra préalablement être partagé à [ses services] pour validation ».

Datacenters en France, 130 employés pour l’instant

Bleu en profite pour rappeler que ses services « sont hébergés dans ses datacenters, en Ile-de-France et dans le sud de la France. Ces services sont pilotés par du personnel de Bleu, depuis ses centres opérationnels ouverts à Paris et Rennes ».

130 personnes sont actuellement employées, avec l’objectif d’atteindre les 200 à la fin de l’année.

S3ns a passé le J0 en juillet 2024 « sans réserve »

Son concurrent S3ns, avec Thales et Google à la manœuvre, a passé le « jalon 0 » de la qualification ANSSI en juillet dernier, avec une finalisation espérée durant l’été 2025. C’est dans le délai moyen d’un an après un jalon J0.

Le service presse de Thales nous avait alors confirmé que, « à ce stade, il n’y a pas de réserve à avoir de la part de l’ANSSI et l’agence n’en a pas émise ». Bleu ne donne pas de précision sur ce point. Nous avons posé la question à son service presse.

La différence peut avoir son importance, comme le rappelle l’ANSSI. Franchir le jalon J0 avec des réserves signifie que « l’ensemble des critères d’acceptation […] sont respectés, mais l’ANSSI estime qu’un jalon de la qualification ne peut a priori pas être franchi ou que les coûts et délais nécessaires pour atteindre la qualification sont très importants ».

Nous mettrons à jour cette actualité dès que nous aurons une réponse de Bleu.

Alain Afflelou envoie actuellement des emails à ses clients et prospects, avec un objet laissant peu de place au doute : « Informations sur vos données personnelles ».

Il est évidemment question d’une fuite de données personnelles : « Une faille dans le système de l’un de nos prestataires a entraîné un accès non autorisé à notre outil de gestion des relations clients ». Le nom du prestataire n’est pas communiqué, comme c’est très (trop) souvent le cas durant les derniers mois.

Dans le lot des données piratées, on retrouve l’état civil (nom, prénom, date de naissance), les coordonnées (adresse postale, e-mail, numéros de téléphone) et des informations commerciales : date et montant total des derniers achats, date du dernier devis, nom de la dernière mutuelle et/ou OCAM, date du dernier rendez-vous, enseigne de rattachement des achats (opticien ou acousticien) et information selon laquelle vous êtes parent d’enfant(s) client(s) mineur(s).

« Aucune donnée bancaire, aucun numéro de Sécurité sociale, aucune donnée de correction visuelle ou d’audition, ni aucun mot de passe n’a été compromis », affirme l’entreprise. Le nombre de clients et/ou prospects touchés n’est pas précisé.

Le risque est toujours le même en pareille situation : une attaque par phishing en utilisant les données récupérées. Des pirates peuvent ainsi tenter de se faire passer pour Alain Afflelou et essayer de récupérer d’autres données.

Papa don't preach

Elon Musk a 14 enfants publiquement connus, et « certainement beaucoup plus » selon ses proches. Plongée dans une réflexion tout à fait liée à ses projets entrepreneuriaux.

Elon Musk a 14 enfants connus de 4 mères différentes. La dernière à s’être fait connaître publiquement : l’influenceuse pro-Trump Ashley St. Clair. En février, la jeune femme de 26 ans a publié un message sur X dans lequel elle déclarait être la mère d’un enfant de 5 mois, conçu avec Elon Musk. Elle expliquait au passage publier cette déclaration pour prendre de vitesse des tabloïds qui s’apprêtaient à révéler l’affaire.

Outre les médias à l’affut du scoop, l’autre victime de cette publication semble être Ashley St. Clair elle-même. Dans une longue enquête sur la manière dont Elon Musk gère ses relations avec les mères de ses multiples enfants, le Wall Street Journal revient en effet sur l’imbroglio judiciaire dans lequel l’influenceuse a été propulsée après avoir refusé de signer un accord liant confidentialité et soutien financier.

La reproduction, partie intégrante du projet de Musk

Car dans le parcours de l’homme le plus riche du monde et actuelle tête du « ministère de l’efficacité gouvernementale » (DOGE) des États-Unis, la reproduction est une entreprise à part entière. Proche du courant de pensée long-termiste, adepte de thèses complotistes comme celle du grand remplacement, Elon Musk encourage les personnes de son milieu social à se reproduire pour peupler la planète de ce qu’il considère être des personnes d’intelligence supérieure.

Ceci explique les débats récurrents en ligne sur le quotient intellectuel (QI) de l’entrepreneur – comme nous le rappelions dans notre article sur les idéologies TESCREAL, auxquelles appartient le long-termisme, la validité scientifique de la notion de QI est largement débattue.

• Transhumanisme, long-termisme… comment les courants « TESCREAL » influent sur le développement de l’IA

Ouvertement pronataliste, Musk se déclare en effet inquiet devant les taux de natalité plus élevés dans les pays du Sud mondial que dans les pays du Nord. À de multiples reprises, il a qualifié la question de la natalité de priorité absolue pour la « survie de l’humanité au long-terme », un projet qu’il prévoit par ailleurs d’aider en envoyant des fusées Space X vers la planète Mars, qu’il souhaite coloniser (lors d’un meeting politique, il a récemment déclaré la planète comme faisant partie des États-Unis, au mépris du traité de l’espace de 1967 interdisant l’appropriation nationale des corps célestes).

Musk se réfère enfin à sa progéniture en évoquant une « légion », en référence à l’unité militaire utilisée pour évoquer les milliers de soldats nécessaires à l’extension de l’Empire romain. Lors de sa relation avec Ashley St. Clair, Musk a notamment souligné le besoin « de recourir à des mères porteuses » pour avoir des enfants plus rapidement et « atteindre le niveau de la légion avant l’apocalypse ».

Rapports financiers

La question de la reproduction occupe Musk au point qu’il aborde des utilisatrices de X par message privé, jusqu’à leur proposer d’avoir des enfants. Dans le cas de l’influenceuse crypto Tiffany Fong, la proposition a été formulée après plusieurs semaines de discussions en ligne, mais sans que Musk et Fong ne se soient rencontrés, rapporte le Wall Street Journal.

Vu la position publique et politique d’Elon Musk, le procédé se met en place dans un évident contexte de rapport de pouvoir. La place qu’il occupe sur son propre réseau social et l’audience qu’il y accumule fait par ailleurs mécaniquement monter l’audience des internautes avec lesquels il interagit, donc leurs revenus. Tiffany Fong explique ainsi avoir enregistré une nette hausse de revenus et gagné 21 000 dollars pendant deux semaines d’interactions avec Elon Musk.

Lorsque l’entrepreneur lui a proposé de se reproduire, cela l’a obligée à s’interroger sur les conséquences financières de son refus. Dès que le milliardaire a appris que Tiffany Fong avait demandé l’avis de ses proches, il a arrêté de suivre la jeune femme et cessé de communiquer avec elle.

Les rapports financiers s’installent aussi avec celles qui acceptent les propositions de Musk, d’après Ashley St. Clair. Au Wall Street Journal, elle explique s’être vue proposer 15 millions de dollars et 100 000 $ de soutien mensuel jusqu’aux 21 ans de leur fils Romulus en échange de son silence sur l’identité du père. Jared Birchall, l’analyste financier à la tête du family office d’Elon Musk depuis 2016, lui aurait expliqué que des accords similaires avaient été signés avec les mères d’autres enfants. Leur nombre n’est pas connu – Jenna Wilson, fille de Musk ayant rompu tout contact avec son père après que celui-ci a refusé d’accepter sa transition, indique ainsi ne pas connaître le nombre exact de ses frères et sœurs.

Ashley St. Clair a refusé l’accord, car celui-ci lui interdisait d’évoquer le lien entre Musk et son fils, mais n’empêchait pas le milliardaire de parler mal d’elle s’il le souhaitait. La jeune femme indique ne pas vouloir que son fils se sente illégitime, et que le contrat ne prévoyait aucune sécurité en cas de maladie de l’enfant, ou de décès de Musk avant les 21 ans du petit garçon.

Quatre jours après sa publication sur X, l’influenceuse indique que Musk a mis fin à l’offre de 15 millions de dollars. Alors que St. Clair demandait un test de paternité – depuis revenu avec une probabilité de 99, 9999 % sur le fait que Musk soit le père –, celui-ci a réduit l’allocation mensuelle à 40 000, puis 20 000 dollars. Les dates des réductions de paiement coïncident avec des désaccords juridiques, explique l’un des avocats de la mère de famille : « La seule conclusion que nous puissions en tirer est que l’argent est utilisé comme une arme ».

Avant Ashley St. Clair, la chanteuse Grimes (Claire Boucher à la ville) a, elle aussi, eu à se battre contre l’entrepreneur politique. Après avoir fréquenté Musk à partir de 2018, l’artiste a eu avec lui trois enfants, puis s’est battue dans les tribunaux pour obtenir leur garde – la chanteuse accuse le chef d’entreprises de l’avoir empêchée de voir l’un de leurs enfants pendant cinq mois. Elle déclare en outre avoir été ruinée par la bataille judiciaire.

Obsession partagée

Outre Ashley St. Clair et Grimes, les deux autres mères connues d’enfants de Musk sont son ex-femme Justine Musk et l’investisseuse Shivon Zilis. Cette dernière vit dans un complexe fermé dont l’acquisition a été gérée par Jared Birchall, qui supervise l’essentiel des négociations liées aux grossesses et au soutien financier post-naissance des femmes liées à Musk. Dans l’idée initiale de Musk, le complexe aurait accueilli tous ses enfants – il a tenté de convaincre Grimes de s’y installer, puis St. Clair de venir y passer du temps.

Aussi étranges que puissent sonner ces récits, ils ne sont pas propres à Elon Musk.

Dans l’univers de la tech, ils s’intègrent dans un courant plus large de promotion d’une forme d’eugénisme « positif », qui permettrait de faire naître des enfants « plus intelligents » que la moyenne. Le fondateur de Telegram Pavel Durov s’est ainsi félicité que ses dons de spermes aient aidé plus de 100 couples dans 12 pays différents à concevoir des enfants. Si le projet peut sembler philanthropique (en France, les dons de sperme sont très insuffisants), ils prennent un tour plus sujet à débat lorsqu’on lit l’entrepreneur décrire ses dons comme du « matériel de haute qualité » et vouloir rendre son ADN « open source ».

D’un point de vue plus entrepreneurial, le patron d’OpenAI Sam Altman a notamment investi dans la start-up Conception, qui cherche à rendre possible la conception biologique entre personnes de même sexe.

Le cas de Musk s’inscrit, aussi, dans un contexte politique. Fin mars, des influenceurs d’extrême-droite organisaient par exemple un événement d’un week-end au Texas pour permettre à des personnes fortunées de se rencontrer, dans le but de leur faire concevoir des enfants.

Alors que le Parti républicain est divisé sur la question de la procréation médicalement assistée, Donald Trump a récemment déclaré vouloir devenir le « président de la fécondation ». C’est aussi au président, par l’intermédiaire de ses nominations à la cour suprême, que les États-Unis doivent le recul du droit à l’avortement à l’échelle fédérale.

• La drôle de trajectoire politique d’Elon Musk

Débranche, débranche, débranche tout

OVHcloud est (presque) sur un petit nuage, avec de bons résultats dans son dernier bilan semestriel. Le groupe revendique une forte croissance aux États-Unis et en Asie-Pacifique, mais réalise toujours quasiment la moitié de son chiffre d’affaires en France. Pour Benjamin Revcolevschi, il y a une « troisième voie entre les États-Unis et la Chine », et OVHcloud veut s’en occuper.

OVHcloud vient de dévoiler son bilan financier pour le premier semestre de l’année, avec des hausses sur l’ensemble de ses segments. Le chiffre d’affaires passe de 486,1 millions d’euros au 1ᵉʳ semestre 2024 à 536,0 millions d’euros cette année, soit une hausse de 10,3 %. Le groupe confirme au passage ses objectifs annuels.

Des bénéfices (des pertes en 2024) et 1 milliard d’euros de dette

Le résultat net consolidé est de 7,2 millions d’euros, alors qu’il était question de pertes de 17,2 millions l’année dernière. « Le résultat net du premier semestre 2025 intègre notamment une charge d’intérêts de (24,2) millions d’euros, en hausse de 8,4 millions d’euros. Cette augmentation provient principalement des frais liés à la mise en place de la nouvelle dette et de l’augmentation des taux d’intérêts et de la dette nette sur la période », explique la société.

La dette d’OVHcloud au 28 février 2025 est de 1,03 milliard d’euros contre 667,2 millions d’euros au 31 août 2024. « Le levier d’endettement atteint 2,7x au 28 février 2025, en ligne avec la politique d’endettement du Groupe ».

« Forte demande aux États-Unis et en Asie-Pacifique »

Le cloud privé (Bare Metal et Hosted Private) représente toujours la part la plus importante avec 334,2 millions d’euros (+ 10,5 %). Les deux autres branches sont au coude à coude : cloud public à 103,8 millions d’euros (+ 17,4 %) et webcloud à 98 millions d’euros (+ 2,9 %).

L’entreprise note une « forte dynamique des noms de domaine, soutenue par la mise en place d’engagements pluriannuels dans de nouvelles géographies ». Sur le webcloud, « en excluant les sous-segments Connectivité et Téléphonie, activités historiques du Groupe, la croissance du segment atteint + 6,3 % ».

Revenons sur le cloud privé qui se taille la part du lion et affiche une croissance de 10,5 % sur un an. Deux éléments sont mis en avant : « une bonne croissance du revenu par client (ARPAC) principalement soutenue par une forte demande aux États-Unis et en Asie-Pacifique », ainsi que « des effets prix liés au changement de facturation des licences VMware par Broadcom depuis mai 2024 ».

Concernant les licences VMware, cela permet certes d’augmenter les revenus, mais OVHcloud doit ensuite reverser les sommes à Broadcom (modulo sa marge/commission). En ce début d’année 2025, Broadcom a encore resserré la vis sur les licences VMwares.

« Le seul acteur européen dans le top 10 mondial du cloud »

Lors de la conférence de presse, Next a demandé à Benjamin Revcolevschi (directeur général d’OVHcloud) d’où venait cette « forte demande aux États-Unis et en Asie-Pacifique ». Il nous a expliqué qu’aux États-Unis, la croissance se fait notamment via des entreprises « dans la tech (startup et scale-up) », sans entrer dans les détails.

Il a ajouté que « les États-Unis sont un marché fragmenté : quand vous avez la bonne solution, au bon prix et avec les bonnes performances, les clients décident de migrer. J’ai des exemples de clients qui ont migré », mais aucun n’a été donné. Pour servir directement ses clients étasuniens, OVHcloud dispose de deux datacenters sur place (côte Est et Ouest) ainsi que 10 Local Zones.

Pour Benjamin Revcolevschi, « les clients recherchent un cadre de confiance » et veulent « limiter la dépendance à des acteurs non européens ». Il revendique être « le seul acteur européen dans le top 10 mondial du cloud » et « le seul à ne pas être soumis aux lois extraterritoriales ». Il y a une « place pour une troisième voie entre les États-Unis et la Chine », ajoute-t-il.

Mais OVHcloud dépend toujours fortement de la France (à 48 %)

La France représente quasiment 50 % de son chiffre d’affaires avec 256,7 millions d’euros sur six mois (+ 8,1 %), suivie par l’Europe à 156,2 millions (+ 10,6 %) et le reste du monde (qui représente 23 % de ses revenus) à 123,1 millions d’euros (+ 14,7 %). En France, la locomotive est le cloud public avec 18,6 % de hausse en un an.

En bourse, OVHcloud affiche + 47 % depuis fin mars, avec une forte hausse entre les 2 et 4 avril, après l’annonce sur les droits de douane par Donald Trump. L’action est aujourd’hui à 11 euros, mais cela reste largement en dessous des 18,50 euros lors de l’introduction fin 2021 et des 25 euros dans les semaines suivantes.

En avril 2024, l’entreprise dévissait toutefois de près de 30 % après l’annonce de ses résultats. Entre le 5 avril 2024 (avant les résultats) et aujourd’hui, le cours de l’action est quasiment stable.

• Les droits de douane Trump relancent l’hypothèse d’une taxe GAFAM européenne

23 Local Zones, Bare Metal Pod passe SecNumCloud

OVHcloud revendique « 23 grandes villes disponibles à fin février 2025 » pour ses Local Zones. Fin 2024, Benjamin Revcolevschi nous expliquait que la société est « militaire dans le déploiement de ces Local Zones : toutes les deux ou trois semaines, on en déploie une ». Les premières remontent à février 2024 et avaient été annoncés au Summit fin 2023.

OVHcloud prévoyait « jusqu’à 150 Local Zones ouvertes d’ici à 2026 ». Des ambitions revues à la baisse, nous confiait le directeur général lors de son arrivée : « on n’aura pas 150 Local Zones en 2026 […] On les déploie activement, mais on veut faire ça bien ».

OVHcloud rappelle aussi avoir obtenu la qualification SecNumCloud pour son offre Bare Metal Pod. Il s’agit de proposer un minimum de huit serveurs dans une demi-baie, et jusqu’à 480 serveurs dans 10 baies, « l’ensemble clé en main, le hardware et le software ».

Les « datacenters déconnectés » sont là

2024 était aussi l’occasion de lancer On-Prem Cloud Platform : « une plateforme cloud intégrée (matérielle et logicielle) qui sera, en mode déconnecté, hébergée et opérée de façon autonome ». Pour simplifier, il s’agit d’un ensemble prêt à être installé chez des clients et qui n’a pas besoin d’être connecté à Internet. Octave Klaba en parlait déjà en 2022 avec ses « datacenters déconnectés » lors de la conférence EcoEx.

• EcoEx : OVHcloud va proposer des « datacenters déconnectés » et mise sur l’open source

Toutes les plateformes Apple ont reçu hier soir une mise à jour estampillée « X.4.1 ». Elles ont été déployées pour colmater deux failles de sécurité déjà exploitées.

La première, CVE-2025-31200, réside dans CoreAudio. Elle est de type corruption de la mémoire et peut être utilisée pour envoyer un flux audio spécialement conçu dans un fichier multimédia pour déclencher un code arbitraire. La seconde, CVE-2025-31201, touche RPAC. On ne sait pas grand-chose de son fonctionnement, sinon qu’un attaquant disposant de droits arbitraires en lecture et écriture pourrait contourner Pointer Authentication.

Il est très probable que ces deux vulnérabilités soient utilisées par des outils d’espionnage. Elles auraient en effet été exploitées « dans des attaques extrêmement sophistiquées contre des individus spécifiques », indique Apple. A priori, ce comportement n’aurait été observé que sur iOS.

Comme souvent dans ce genre de cas, il est recommandé d’installer ces mises à jour le plus rapidement possible.

Nouvelle version pour le client de virtualisation open source (GPLv3). Même s’il s’agit d’une mise à jour d’entretien, VirtualBox 7.1.8 vient corriger plusieurs problèmes gênants, dont un pouvant faire grimper le taux d’occupation CPU à 100 %, ce qui n’est jamais bon. Il touche le composant VBxTray dans les Windows Guest Additions, donc dans les machines virtuelles équipées du système de Microsoft.

Dans la longue liste des changements, on peut voir de nombreuses autres corrections. Par exemple, un curseur qui ne s’affichait pas, un souci dans DevVirtioSCSI pouvant bloquer la restauration des états antérieurs, un plantage de VBoxSVC pendant l’enregistrement de la configuration via le service web, des équipements Wi-Fi qui n’étaient plus découverts sur des distributions Linux « modernes », ou encore des Linux Guest Additions qui ne s’installaient parfois pas si les bibliothèques X11 étaient absentes.

Comme d’habitude, la nouvelle mouture peut être téléchargée depuis le site officiel.