La semaine dernière, l’ICANN interpelait le gouvernement et la justice mauriciens quant à la demande de liquidation de l’AfriNIC effectuée officiellement par le broker d’IP Cloud Innovation.
Vendredi 18 juillet, le premier ministre de Maurice, Navinchandra Ramgoolam, a publié un avis général [PDF] désignant l’AfriNIC comme une « société déclarée » selon l’article 230 de la loi sur les sociétés, explique le média sud africain MyBroadBand. Comme le disent nos collègues, les conséquences de cette décision ne sont pas claires.
Si l’article 240 fait référence à la suspension des poursuites à l’encontre de la société déclarée, certains membres de l’AfriNIC l’interprètent comme la suspension de toutes les poursuites mais d’autres pensent que cette suspension ne s’applique qu’aux poursuites sur le passif comptable.
Néanmoins, cet acte officialise la prise en main du dossier par le gouvernement de Maurice. Pour expliquer sa décision, Navinchandra Ramgoolam évoque dans son avis le fait que l’AfriNIC est désigné comme registre régional de l’internet pour le continent africain.
Comme une réponse à l’ICANN, il ajoute aussi qu’il a été « informé que la procédure qui a conduit à la mise sous séquestre de l’entreprise est juridiquement contestable » et que « la mise sous séquestre de la société a eu pour conséquence qu’aucune nouvelle adresse de protocole Internet n’a pu être attribuée à l’ensemble du continent africain depuis novembre 2024 ».
Dans ce texte, le premier ministre mauricien ajoute même que « cet état de fait a causé, et continue de causer, une grave atteinte à la réputation de l’île Maurice en tant que juridiction au niveau international ».
Vous utilisez l’IA générative pour préparer un entretien d’embauche ? Selon votre genre, armez-vous d’un esprit critique bien affuté. Si vous êtes une femme, selon une étude menée sur cinq modèles génératifs (Claude 3.5 Haiku, GPT-4o Mini, Qwen 2.5 Plus, Mistral 8x22B, Llama 3.1 8B), les robots conversationnels risquent en effet de vous pousser à… vous desservir par rapport à vos collègues masculins.
Menée par Ivan Yamshchikov, enseignant d’IA et de robotique à l’université technique de Würzburg-Scheinfurt, en Allemagne, et cofondateur de la start-up franco-allemande Pleias, l’étude a notamment consisté à demander des montants de salaires à négocier lors d’un entretien d’embauche, selon le genre et selon différents degrés de séniorité. Dans un exemple partagé à la newsletter TheNextWeb, le chercheur demande à ChatGPT quel salaire demander en entretien pour un poste de médecin dans la ville de Denver. La machine propose 280 000 dollars lorsque son interlocuteur se fait passer pour une femme, 400 000 dollars lorsqu’il se fait passer pour un homme.
En droit, en médecine ou en ingénierie, l’écart était toujours relativement marqué – seules les scénarios évoquant des carrières en sciences sociales ont permis d’obtenir des recommandations relativement neutres en fonction du genre.
Mais les chercheurs ont aussi testé les réponses des machines sur les buts à se fixer dans le futur emploi, ou quant à l’attitude à adopter. Les modèles ont fourni des réponses très stéréotypées en fonction du genre : les femmes se voient suggérer d’être discrètes et compréhensives, les hommes d’être ambitieux et bavards. De même, en termes d’orientation de carrière, les premières se voient poussées vers des métiers liés au relationnel, et généralement moins bien payés que les hommes, qui se voient répondre de chercher des carrières techniques et des postes à haute responsabilité.
Ces résultats viennent s’ajouter à une série d’autres travaux sur la question de la reproduction ou du renforcement de biais sociaux présents hors ligne. À aucun moment, les machines ne proposent de messages alertant leurs usagers et usagères de potentiels biais dans les résultats.
Ces résultats en éclairent un autre, récurrent : celui selon lequel les femmes utilisent moins ChatGPT et les outils d’IA générative que les hommes. Sur les questions de recrutement, cela leur évite certainement de mauvais conseils.
La partie de l’AI Act sur l’ « IA à usage général » entre en vigueur le 2 aout prochain. En publiant ses lignes directrices sur le sujet, la Commission européenne répond aux critiques des entreprises contre l’insécurité réglementaire qu’amènerait le règlement européen sur l’IA, en donnant des interprétations assez larges de certains termes, comme « open-source ».
Ce vendredi, la Commission européenne a publié ses lignes directrices concernant les modèles d’IA générative qu’elle classe dans la catégorie de l’ « IA à usage général ». L’idée est de clarifier, pour les entreprises d’IA comme Google, OpenAI, Meta, Anthropic, ou Mistral, la partie du texte de l’AI Act qui doit rentrer en application début aout. Ces lignes directrices sont ainsi une explication de texte de l’AI Act adressée à ces entreprises.
Cette clarification accompagne le « code de bonne conduite » que la commission a publié un peu plus tôt. Comme nous l’expliquions, ce code est très peu contraignant. Mais si Mistral a joué le bon élève en le signant, Meta a publiquement fait savoir qu’il ne l’avaliserait pas.
Des définitions pour clarifier la loi
Dans ses lignes directrices, la Commission donne enfin une définition de ce qu’elle appelle « IA à usage général ». Car, comme elle l’avoue elle-même en creux, l’AI Act en livrait une définition assez vague. Ici, au lieu de la définir exclusivement par ses capacités à générer des contenus de différents types (textes, images, vidéos, sons…), elle donne une approche quantitative des ressources utilisées pour entrainer le modèle en question.
Ainsi, « un critère indicatif pour qu’un modèle soit considéré comme un modèle d’IA à usage général est que les ressources de calcul pour son entrainement soient supérieures à 1023 FLOP et qu’il puisse générer du langage (que ce soit sous forme de texte ou d’audio), du texte à l’image ou du texte à la vidéo ».
Les entreprises d’IA générative avaient apparemment besoin d’une clarification sur les termes de « fournisseur » d’ IA à usage général et de « mise sur le marché » d’une IA à usage général. La commission leur fournit donc des explications par l’exemple.
Ainsi, elle explique que :
« Si l’acteur A développe un modèle d’IA à usage général et le met sur le marché, l’acteur A est le fournisseur.
Si l’acteur A fait développer pour son compte par l’acteur B un modèle d’IA à usage général et que l’acteur A met ce modèle sur le marché, l’acteur A est le fournisseur.
Si l’acteur A développe un modèle d’IA à usage général et le télécharge dans un référentiel en ligne hébergé par l’acteur C, l’acteur A est le fournisseur.
Si un collaborateur ou un consortium fait développer un modèle d’IA à usage général par différentes personnes ou organisations et met le modèle sur le marché, c’est généralement le coordinateur du collaborateur ou du consortium qui est le fournisseur. Le collaborateur ou le consortium peut également être le fournisseur. Cette situation doit être évaluée au cas par cas ».
Concernant la mise sur le marché :
un modèle d’IA à usage général est mis à disposition pour la première fois sur le marché de l’Union par l’intermédiaire d’une bibliothèque de logiciels ou d’un progiciel ;
un modèle d’IA à usage général est mis à disposition pour la première fois sur le marché de l’Union par l’intermédiaire d’une API ;
un modèle d’IA à usage général est uploadé pour la première fois sur un catalogue, une plate-forme ou un référentiel public en vue d’un téléchargement direct sur le marché de l’Union ;
un modèle d’IA à usage général est mis à disposition pour la première fois sur le marché de l’Union sous la forme d’une copie physique ;
un modèle d’IA à usage général est mis à disposition pour la première fois sur le marché de l’Union par l’intermédiaire d’un service de cloud computing ;
un modèle d’IA à usage général est mis à disposition pour la première fois sur le marché de l’Union en étant copié sur l’infrastructure d’un client ;
un modèle d’IA à usage général est intégré dans un chatbot mis à disposition pour la première fois sur le marché de l’Union via une interface web ;
un modèle d’IA à usage général est intégré dans une application mobile mise à disposition pour la première fois sur le marché de l’Union via des magasins d’applications ;
un modèle d’IA à usage général est utilisé pour des processus internes qui sont essentiels pour fournir un produit ou un service à des tiers ou qui affectent les droits des personnes physiques dans l’Union ».
Une IA « open-source » de façon large pour la Commission
La commission explique aussi ce qu’elle considère comme un modèle sous licence open-source et libre. Ainsi, elle propose une version assez large de la définition d’un modèle open-source. Contrairement à certaines demandes, elle affirme que, pour elle, pour qu’il soit qualifié d’ « open-source », un modèle à usage général ne doit pas « nécessairement révéler des informations substantielles sur les données utilisées pour son entraînement ou pour sa modification, ni sur la manière dont le respect du copyright a été assuré ».
Cette définition est plus large que celle donnée par l’OSI. Pour qualifier l’IA d’ « open-source », l’institution internationale exige, elle, une description « complète » des données utilisées pour entrainer le modèle.
La commission affirme, par contre, que les licences qui imposeraient des usages non commerciaux, les limiteraient à la recherche ou qui interdiraient la distribution du modèle ne feront pas partie de ce qu’elle considère comme des licences de modèles « open-source ».. De même pour ceux qui imposeraient un nombre maximum d’utilisations gratuites ou l’utilisation d’une licence commerciale particulière pour des cas d’utilisation spécifique.
Enfin, la commission rappelle qu’elle considère que le code de bonne conduite sera un moyen simple pour juger de la conformité avec l’AI act, ce qui doit simplifier les démarches administratives des entreprises qui l’auront signé. Dans ses lignes directrices, la commission souligne qu’à partir du 2 aout 2026, elle pourra donner des amendes allant jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires annuel mondial.
Engagé dans un processus drastique de réduction des coûts, Intel a annoncé vendredi l’arrêt, sans sommation, des mises à jour et de la maintenance assurées pour Clear Linux OS. Le géant des semi-conducteurs signe ainsi la mort symbolique de cette distribution axée sur les performances.
« Toutes les bonnes choses ont une fin : arrêt de Clear Linux OS », titre Arjan van de Ven, principal architecte et pilote du développement de cette distribution Linux historiquement portée par Intel. Dans un message qu’on imagine difficile à écrire, il indique qu’à compter de la publication de ce billet daté du 18 juillet, Intel ne fournira plus ni correctifs de sécurité, ni mises à jour pour Clear Linux OS. Son dépôt GitHub est dans le même temps passé en lecture seule.
La fin d’une distribution Linux portée par Intel
« Soyez assuré qu’Intel reste profondément investi dans l’écosystème Linux, en soutenant et en contribuant activement à divers projets open source et distributions Linux, de façon à assurer la compatibilité et optimiser les composants Intel », prend soin de préciser Arjan van de Ven, avant de remercier la communauté qui s’est impliquée dans Clear Linux OS depuis dix ans.
Ces accents corporate ne cachent pas la façon dont cet arrêt s’impose de façon très immédiate : les utilisateurs de Clear Linux OS sont en effet invités à migrer sans délai vers une autre distribution. « Sérieusement ? Pas de période de grâce, les utilisateurs sont censés migrer instantanément ? Franchement, ce n’est pas très sérieux », lâche en réponse un utilisateur dépité. « Serait-il possible d’en faire un projet communautaire ? » s’enquiert un autre.
Lancée à l’occasion de OpenStack Summit 2015, Clear Linux se voulait une distribution Linux optimisée à la fois pour les performances et pour la sécurité. Initialement pensée pour les environnements cloud, elle a évolué au fil des années pour répondre à des scénarios d’usage élargis, tout en conservant sa philosophie de mise à jour en continu (rolling release). Elle a aussi et surtout gardé sa logique d’optimisations pour les matériels x86, présentées comme adressées en priorité aux processeurs Intel mais également efficaces sur les puces concurrentes d’AMD.
Clear Linux OS prônait par ailleurs une approche stateless, selon laquelle le système d’exploitation doit pouvoir fonctionner indépendamment de tous les éléments de configuration.
Arjan van de Ven présentait les nouveautés de Clear Linux OS en 2019 (vidéo source)
Réduction des coûts tous azimuts
Combien d’ingénieurs le projet Clear Linux OS pouvait-il bien mobiliser au quotidien chez Intel ? Leur nombre était probablement marginal, surtout si l’on considère que le rythme de développement semblait avoir ralenti depuis 2021. Il est cependant probable que la distribution ait fait les frais du grand plan de restructuration engagé par Lip Bu Tan, le CEO d’Intel.
Annoncé en avril dernier, ce chantier prévoit pour mémoire de remettre à plat l’organisation interne du groupe, principalement pour en réduire les coûts de fonctionnement, et donc en améliorer théoriquement l’efficacité. Dans le cadre de ce plan, Lip Bu Tan avait également laissé entendre que le géant des semi-conducteurs tirerait un trait sur un certain nombre d’activités jugées non stratégiques.
Michelle Johnston Holthaus, CEO de la branche Intel Products, a résumé cette approche début juin lors d’une conférence organisée par Bank of America en affirmant qu’Intel n’avait pas vocation à assigner des ingénieurs à des projets non susceptibles de générer au moins 50 % de marges.
Intel, qui présentera le 24 juillet ses résultats financiers pour le deuxième trimestre 2025, prévoyait d’après Bloomberg de supprimer quelque 20 000 emplois dans le cadre de cette restructuration. Les grandes manœuvres associées semblent avoir déjà commencé : mi-juillet, Intel a par exemple rempli les déclarations préalables relatives à quelque 2 000 suppressions d’emploi sur ses sites de Folsom et Santa Clara, et d’autres vagues de licenciements sont engagées dans l’Oregon, le Texas et l’Arizona.
Plusieurs ingénieurs Linux ont quitté le navire
L’annonce de l’arrêt de Clear OS intervient quelques jours après que plusieurs ingénieurs spécialistes de GNU/Linux ont quitté la firme de Santa Clara, remarque Phoronix. C’est le cas notamment de Kirill Shutemov, contributeur historique du noyau Linux, qui a annoncé son départ sur LinkedIn.
Un porte-parole de NVIDIA a révélé le 16 juillet dernier que son environnement logiciel CUDA serait prochainement porté en direction de l’architecture libre de jeux d’instructions pour processeurs RISC-V.
L’annonce a été formulée par Frans Sijstermans, vice-président de l’ingénierie matérielle chez NVIDIA, à l’occasion de l’édition chinoise du sommet dédié à RISC-V, et relayée par le consortium qui gère cette architecture. Krste Asanović, président du conseil d’administration de la fondation RISC-V et architecte en chef de SiFive, l’a également saluée.
Même si elle doit encore être précisée de façon plus formelle, l’annonce de NVIDIA ne signifie a priori pas que CUDA sera directement exécuté sur les processeurs RISC-V : les GPU de la marque restent l’environnement d’exécution exclusif, mais il sera désormais possible de faire tourner ces derniers sur des serveurs équipés de CPU RISC-V, vus ici comme une alternative aux puces x86 ou ARM.
Reste à voir dans quelle mesure ce mouvement initié par NVIDIA peut contribuer à accélérer l’adoption, encore modeste, de RISC-V dans les datacenters. Si le nombre d’entreprises qui développe des cœurs ou des cartes RISC-V est encore modeste, l’architecture suscite un intérêt grandissant, comme en témoignent la récente acquisition de MIPS par GlobalFoundries, ou l’annonce de la prise en charge au sein d’Ubuntu 25.10, suite logique de celle attendue pour Debian 13.
NVIDIA tutoie depuis longtemps le monde RISC-V, puisque l’entreprise fait appel à des microcontrôleurs basés sur cette architecture au sein de ses cartes graphiques depuis 2016. D’après la fondation RISC-V, chaque GPU NVIDIA compterait entre 10 et 40 cœurs RISC-V, ce qui signifie que la firme au caméléon aurait livré, en 2024, plus d’un milliard de microcontrôleurs RISC-V sur le marché.
Deux failles dans SharePoint sont activement exploitées par des pirates à travers le monde. Bien qu’elles aient été corrigées une première fois, les solutions ont été contournées dans de nouvelles exploitations. Microsoft vient de publier en urgence de nouveaux patchs, mais les dégâts semblent déjà nombreux.
En mai, lors de l’évènement Pwn2Own à Berlin, des chercheurs de la société Viettel avaient montré comment ils pouvaient prendre le contrôle d’un serveur SharePoint sur site grâce à l’enchainement de deux failles. Ces exploitations, estampillées CVE-2025-49706 et CVE-2025-49704, ont été corrigées dans le patch Tuesday du mardi 8 juillet. Il valait mieux : l’attaque, nommée ToolShell, pouvait mener à une exécution de code arbitraire à distance.
Or, durant tout le week-end, des attaques ont eu lieu un peu partout pour viser les mêmes failles. Le problème n’était pas cette fois le manque d’installation des correctifs, mais un contournement des méthodes mises en place par Microsoft.
Deux failles sauvages apparaissent
Dès la nuit du 18 au 19, plusieurs dizaines de serveurs SharePoint sur site ont été attaqués avec la même méthode que pour ToolShell. Mais si la méthode est la même, les failles ne le sont pas. Deux nouvelles vulnérabilités ont été utilisées pour parvenir au résultat, CVE-2025-53770 et CVE-2025-53771. La première affiche un score CVSS très élevé de 9,8 sur 10, qui en fait une faille critique. La seconde a une note de 6,3. Des failles connues et corrigées ont donc été transformées en une nouvelle menace 0-day.
La situation est vite devenue grave, au point que Microsoft a publié il y a quelques heures deux nouveaux correctifs en urgence. Dans sa note technique sur le sujet, l’entreprise indique que les solutions apportées sont plus robustes que celles diffusées il y a deux semaines.
Il est donc recommandé d’installer ces correctifs aussi rapidement que possible, une centaine de serveurs au moins ayant déjà été piratés. Exploitées, les nouvelles failles conduisent à l’exécution de code arbitraire à distance et permettent aux pirates de prendre le contrôle des serveurs, avec tout ce que cela suppose de danger pour les données hébergées.
Il faut noter en outre que ces correctifs ne concernent pour l’instant que deux éditions de SharePoint : Server 2019 et Subscription Edition. La version 2016 n’a pas encore de solution, mais Microsoft promet la publication rapide d’un correctif dédié.
Aux États-Unis, la CISA (Cybersecurity and Infrastructure Security Agency) a ajouté la faille critique CVE-2025-53770 à son catalogue des vulnérabilités connues activement exploitées (KEV). En théorie, cet ajout donne 24 heures aux administrations américaines pour appliquer les correctifs.
Manipulations supplémentaires
Les pirates cherchent avant tout à récupérer les clés cryptographiques du serveur SharePoint. Connues sous le nom de MachineKeys, elles incluent la ValidationKey et la DecryptionKey, qui représentent le fondement de la confiance pour les mécanismes de gestion d’état, dont les jetons __VIEWSTATE. La chaine ToolShell permet la récupération de ces informations depuis la mémoire ou de la configuration. Munis de ces informations, les pirates peuvent alors créer leurs propres charges __VIEWSTATE valides, signées par l’outil ysoserial qui autorise la génération de leurs propres jetons.
Après installation des mises à jour, Microsoft conseille vivement de procéder à une rotation des clés pour les machines SharePoint. L’opération est manuelle et peut être effectuée via deux méthodes.
La première consiste à utiliser PowerShell et à lancer la commande « cmdlet Update-SPMachineKey ». C’est de loin la plus simple.
La seconde passe par Central Admin et réclame un plus grand nombre d’étapes. Il faut ainsi se rendre dans Central Admin, puis se rendre dans Monitoring -> Review job definition. Là, il faut chercher « Machine Key Rotation Job » et cliquer sur « Run Now ». après quoi, il faudra redémarrer IIS (Internet Information Services) sur l’ensemble des serveurs SharePoint.
Microsoft recommande également de vérifier les journaux (logs) et systèmes de fichiers pour chercher des traces d’une infection existante. Il faut notamment chercher la présence du fichier spinstall0.aspx présent dans C:\Progra~1\Common~1\Micros~1\Webser~1\16\Template\Layouts. Autre trace de contamination, la présence dans les journaux d’IIS d’une requête POST vers _layouts/15/ToolPane.aspx?DisplayMode=Edit&a=/ToolPane.aspx et d’un référent HTTP de _layouts/SignOut.aspx.
Microsoft donne d’ailleurs une requête Defender pour automatiser le processus :
eviceFileEvents
| where FolderPath has "MICROS~1\\WEBSER~1\\16\\TEMPLATE\\LAYOUTS"
| where FileName =~ "spinstall0.aspx"
or FileName has "spinstall0"
| project Timestamp, DeviceName, InitiatingProcessFileName, InitiatingProcessCommandLine, FileName, FolderPath, ReportId, ActionType, SHA256
| order by Timestamp desc
Quatre jours auront suffi
Que s’est-il passé exactement ? Lors de la publication des correctifs initiaux par Microsoft le 8 juillet, la communauté des chercheurs estime a priori que le problème est réglé. Les détails des failles n’avaient pas été divulgués par Viettel et le chercheur à l’origine de la découverte, Khoa Dinh, annonçait lui aussi que le problème était réglé le 10 juillet, donnant d’ailleurs le nom ToolShell à la chaine d’attaque. Il encourageait vivement l’installation des correctifs car l’exploitation pouvait se faire par une seule requête.
Le 14 juillet cependant, une autre société de sécurité s’en mêle : Code White. Située en Allemagne, elle annonce sur X avoir reproduit le problème, confirmant qu’une seule requête était nécessaire. Code White ne donne pas la requête, mais publie une capture dans laquelle apparaissent certains détails. De quoi mettre des pirates sur la piste. De plus, le 18 juillet, le chercheur Soroush Dalili publie d’autres informations, indiquant s’être servi de Gemini pour retrouver le contournement initial de Khoa Dinh et se réjouissant de l’utilisation de l’IA dans ce domaine.
On ne sait quelles informations précises ont été utilisées, mais les premières attaques ont été enregistrées à peine quelque heures plus tard. Ce lancement très rapide et l’absence apparente de traits communs entre les victimes laissent penser qu’il ne s’agit pas d’une attaque coordonnée par un acteur étatique, mais davantage d’une attaque opportuniste par divers groupes et individus. Elle serait donc le résultat de la diffusion de l’exploitation.
Le consortium Unicode a profité du World Emoji Day, le 17 juillet dernier, pour présenter en avant-première les nouveaux émojis qui intègreront la révision 17.0 de la norme de codage de caractères éponyme. À ce stade, neuf émojis ont été sélectionnés pour faire partie de la version finale de la norme, attendue pour l’automne. Sauf changement de dernière minute, les neuf visuels correspondants devraient donc faire leur apparition d’ici quelques mois sur le clavier virtuel des environnements les plus courants.
Si le consortium oriente parfois sa livraison annuelle d’émojis vers une problématique particulière (le handicap, par exemple, avec la révision 12.0 de la norme), Unicode 17.0 témoigne d’un certain éclectisme. On y retrouve ainsi un trombone (pas Clippy, l’instrument de musique), un coffre à trésor, un visage déformé, une « créature poilue » qu’on suppose être un yéti, un nuage représentant une bagarre à la façon d’une BD, un trognon de pomme, un orque, une danseuse de ballet et une chute de pierres.
Ces neuf émojis devraient intégrer la révision 17.0 d’Unicode
« Ces nouveaux émojis ont des significations symboliques de longue date, sont visuellement distinctifs et contiennent une multitude d’expressions », estime le consortium. Rappelons que pour devenir un émoji, les propositions d’illustration doivent répondre à une liste de critères qui se résume en trois points : l’image est-elle lisible avec des dimensions réduites, est-elle capable de véhiculer une idée complémentaire d’un propos, et semble-t-il plausible que l’image soit largement utilisée ?
Le consortium Unicode, qui se présente pour mémoire comme une organisation privée sans but lucratif, lance par ailleurs à cette occasion un programme d’adoption qui permet de sponsoriser l’émoji de son choix. Comptez 5 000 dollars pour devenir l’adoptant exclusif d’un émoji.
Voici un récapitulatif de tous les mécanismes que l’on peut activer sur un iPhone pour en augmenter la sécurité. Bien que les comportements humains fassent toute la différence, certaines fonctions permettent de réduire les risques. Elles ne sont cependant pas sans conséquences sur les possibilités offertes par l’appareil.
Au printemps 2020, nous avions publié un guide sur les différentes méthodes existant pour augmenter l’autonomie de l’iPhone. Au-delà des questions évidentes sur les usages, nous revenions sur le fonctionnement des batteries, la maitrise de sa charge, le ménage à faire dans les notifications et les tâches en arrière-plan, ou encore sur certaines idées reçues, comme le résultat contre-productif des applications tuées en mémoire.
Nous vous proposons cette fois un guide sur la sécurité. Nous prenons le terme « sécurité » au sens large, en incluant les notions de confidentialité. Plusieurs fonctions existent pour relever le niveau général de protection des données personnelles, pour aller plus loin que la configuration de base. Cependant, comme c’est souvent le cas avec la sécurité, elles ont un impact sur les possibilités et la facilité d’usage au quotidien.
Apple se vante régulièrement de la sécurité de ses appareils et de son respect de la vie privée, la majorité de ses services connectés fonctionnant par défaut avec un chiffrement de bout en bout. La société ajoute régulièrement des protections supplémentaires, essayant de s’adapter à un état des menaces en constante évolution. C’est ainsi qu’on l’a vue cette année introduire un nouveau comportement de redémarrage automatique de l’appareil après une période d’inactivité.
Pourquoi ne pas tout activer par défaut ? Parce que la sécurité maximale crée des frictions et est envisagée comme un processif actif destiné aux personnes sachant un minimum où elles mettent les pieds. Un durcissement délibéré qui dépend aussi des besoins, notamment de la profession. Certaines fonctions ont ainsi été créées pour des métiers plus souvent visés par les menaces.
Le code de déverrouillage, la base non négociable
Sur un nouvel iPhone, la principale protection active est le code créé à la première configuration. Depuis plusieurs versions d’iOS, il est composé de six chiffres. Ne négligez pas le choix de ce code, car il est utilisé par le système pour composer la clé privée de chiffrement des données sur l’appareil. On peut le modifier dans les Réglages d’iOS, avec quatre choix, du moins sécurisé au plus sécurisé : code à quatre chiffres, code à six chiffres, séquence numérique personnalisée ou séquence alphanumérique personnalisée.
L’utilisation de Face ID ou Touch ID, bien que fortement mise en avant par Apple, n’est pas obligatoire. Et quand bien même, elle n’est là que pour accélérer les manipulations ultérieures. Il est impossible en effet de désactiver le code pour ne laisser que la biométrie, pour une bonne raison : un capteur peut tomber en panne. Impossible de bloquer les données derrière une fonction matérielle défectueuse.
Ce seul aspect met en lumière l’augmentation de la friction avec le niveau de sécurité. Une séquence alphanumérique personnalisée, incluant tous les types de caractères, est bien plus difficile à deviner qu’un code à quelques chiffres, mais le saisir plusieurs fois par jour peut vite devenir pénible.
Sachez en outre que si vous vous rendez dans Réglages puis dans « Face ID et code », vous verrez de nombreuses options. En plus de pouvoir changer le code, vous trouverez en bas de la page une option nommée « Effacer les données ». Si vous l’activez, le téléphone supprimera l’intégralité des données personnelles si la saisie du code de déverrouillage échoue dix fois d’affilée. C’est la crainte de cette option qui avait créé de fortes tensions entre Apple et le FBI en 2015, après l’attentat de San Bernardino en Californie.
Le mot de passe du compte Apple, l’autre brique essentielle
Avec le code de déverrouillage, le mot de passe du compte Apple est une autre pierre angulaire de la sécurité. De manière générale, tout mot de passe d’un compte central – comme peuvent l’être ceux d’Apple, Google, Microsoft ou encore Meta – doivent être créés avec beaucoup de soin. Ils donnent accès à de nombreux services et à toutes vos données personnelles liées. Le mot de passe doit donc être aussi long que possible et faire intervenir des minuscules, majuscules, caractères spéciaux et chiffres. On peut aussi s’orienter vers une phrase de passe, comme recommandé par l’ANSSI.
Si votre compte Apple a été créé au cours des dernières années, la double authentification est active par défaut. Cela signifie qu’aucune nouvelle connexion au compte n’est possible sans validation sur l’iPhone, qui sert de point de repère. Si vous n’avez pas la double authentification, son activation est chaudement recommandée. Pour ce faire, rendez-vous dans Réglages >[Votre nom]> Connexion et sécurité> Identification à deux facteurs. Dans ce même menu, on pourra gérer les appareils de confiance et révoquer les accès. En bas de la page, vous trouverez l’option permettant d’activer les clés physiques de type YubiKey.
De manière générale, il est conseillé d’activer l’authentification à deux facteurs sur tous vos comptes.
Protection avancée des données : les choses sérieuses commencent
Cette fonction représente un autre exemple de solution à mi-chemin entre sécurité et facilité d’utilisation. Ainsi, par défaut, certaines données ne sont pas chiffrées de bout en bout dans les services d’Apple : les sauvegardes iCloud, photos, notes, rappels, mémos vocaux, signets Safari ou encore fichiers stockés dans iCloud Drive bénéficient d’un chiffrement simple (transfert et au repos). Apple possède une copie des clés.
Pourquoi ce choix ? Essentiellement pour des questions de responsabilité et de praticité. En cas de chiffrement de bout en bout, vous êtes seul(e) responsable du devenir de vos données. Si vous perdez le mot de passe et l’accès à vos appareils de confiance, il peut être impossible de récupérer vos informations.
La Protection avancée des données transfère cette responsabilité. Elle va renforcer le niveau de sécurité et de confidentialité en imposant le chiffrement de bout en bout sur la quasi-totalité des données liées au compte Apple. L’entreprise, de son côté, supprime sa copie des clés.
Pour s’assurer que des hordes d’utilisateurs en furie n’inondent pas son service client, la société impose plusieurs conditions. En plus du code d’accès de l’appareil, l’authentification à deux facteurs doit avoir été activée sur le compte Apple. Ensuite, il faudra choisir : définir un contact de récupération ou une clé de secours. Impossible d’activer la protection avancée sans l’un des deux. Si vous n’en avez configuré aucun, l’assistant d’activation de la protection vous forcera à choisir un contact.
Il y a plusieurs autres éléments à prendre en compte. La protection avancée valorise le chiffrement de bout en bout et isole les données personnelles derrière le compte Apple. Ce périmètre renforcé a des conséquences, dont l’impossibilité par défaut d’accéder au site iCloud.com. L’activation ne pourra en outre se faire que si tous les appareils reliés au compte disposent d’une version récente du système. Un appareil qui n’a pas été manipulé et/ou mis à jour depuis plusieurs mois pourra empêcher le fonctionnement.
Sachez enfin que la Protection avancée ne permet pas de chiffrer l’intégralité des données rattachées à iCloud. Certains services comme iCloud Mail, Contacts et Calendrier ne sont pas inclus. Au contraire, des données très sensibles comme celles de l’application Santé ou les mots de passe sont toujours chiffrées de bout en bout, Protection avancée ou pas.
Mode Isolement : le cran au-dessus
Si la Protection avancée concerne les services en ligne et concerne avant tout la confidentialité, le mode Isolement (Lockdown) est, lui, conçu pour la sécurité de l’appareil. Son objectif est simple : bloquer certaines fonctions, désactiver des capacités et réduire la surface d’attaque, afin de bloquer autant de scénarios malveillants que possible.
Il s’agit d’une protection aussi radicale qu’optionnelle, conçue pour certaines catégories de personnes comme celles à hautes responsabilités, les dissidents politiques, activistes et journalistes. Apple la qualifie de « protection extrême facultative destinée à de rares personnes susceptibles d’être personnellement ciblées (en raison de leur identité ou de leurs activités) par certaines des menaces numériques les plus sophistiquées », pour empêcher l’installation à distance de logiciels espion.
On l’active depuis Réglages > Confidentialité et sécurité > Mode Isolement. Cette activation se répercute immédiatement sur toute Apple Watch jumelée avec le téléphone. En revanche, sur les autres appareils (dont les Mac), il faudra refaire la manipulation.
L’activation du mode Isolement produit une série d’effets :
Messages : la plupart des pièces jointes sont bloquées (sauf les images) et certaines fonctionnalités sont indisponibles
FaceTime : toute invitation d’appel de la part d’une personne qui n’a pas déjà été appelée sera refusée
Navigation web : certaines fonctions sont bloquées, notamment la compilation JIT pour JavaScript, à moins d’indiquer expressément qu’un site n’est pas concerné
Services Apple : invitations bloquées, à moins d’avoir déclenché d’abord une première interaction avec la personne
Les connexions filaires vers un ordinateur ou un accessoire sont bloquées à moins que l’iPhone soit déverrouillé
Les profils de configuration sont bloqués et l’appareil ne peut pas rejoindre une flotte pilotée par une solution MDM
Photos : blocage des albums partagés et des invitations liées, suppression des informations de localisation
Connectivité sans fil : déconnexion automatique de tous les réseaux Wi-Fi non sécurisés, impossibilité de les rejoindre, désactivation de la compatibilité 2G
Ajoutons que ce mode empêche toute installation de profils de configuration. Cela empêche notamment l’appareil de pouvoir être inscrit à une solution de gestion ou de supervision des appareils. Les profils installés avant l’activation du mode Isolement restent en place. Notez que la fonction elle-même n’est pas accessible depuis les solutions de gestion et supervision. Elle ne peut activée ou désactivée que localement.
Les points à vérifier
Il existe de nombreux paramètres à vérifier pour s’assurer que tout va bien. Ces conseils s’appliquent à tous, même quand on ne compte pas se lancer dans des mécanismes renforcés comme la Protection avancée et le mode Isolement.
L’un des principaux points à contrôler est aussi l’un des plus rébarbatifs : se rendre dans Réglages > Confidentialité et sécurité, et vérifier les autorisations données aux applications. iOS regroupe ces autorisations par catégories, permettant de voir facilement par exemple quelles applications ont accès à la caméra, au micro ou à la géolocalisation.
Il est toujours conseillé de donner le moins d’autorisations possible. Une application de retouche photo n’a, a priori, pas besoin d’accéder aux contacts. Dans le panneau de configuration, on trouve également le Rapport d’activité des applications, qui permet de savoir précisément qui a fait quoi au cours des sept derniers jours.
L’écran de verrouillage est un élément important de la sécurité locale de l’iPhone. Réglages > Luminosité et affichage > Verrouillage automatique, on peut modifier le temps d’attente avant verrouillage automatique. Plus le délai est court, plus grande est la sécurité, mais chacun(e) devra équilibrer ce réglage entre protection et praticité.
La configuration de cet écran est capitale. En vous rendant dans Réglages > Face ID et code et en descendant dans le panneau, vous trouverez une section « Autoriser l’accès en mode verrouillé ». De là, on pourra décocher les fonctions que l’on ne veut plus voir disponibles avant déverrouillage. Les centres de notifications et de contrôle sont ainsi activés par défaut, à vous de voir s’ils doivent le rester. On peut également choisir pour les widgets, les activités en direct ou encore l’accès à Siri.
Parmi les conseils généraux, il est recommandé de ne pas jailbreaker son appareil et de vérifier que les mises à jour du système sont téléchargées et installées automatiquement.
Un assistant pour parer au plus urgent
Notez que de nombreux points à vérifier sont présents dans l’assistant Contrôle de sécurité, disponible dans Réglages > Confidentialité et sécurité > Contrôle de sécurité. Il a deux fonctionnements : un mode classique dans lequel on va passer en revue de nombreux réglages (dont la liste des personnes avec qui on partage du contenu et les autorisations données aux applications) et une option « nucléaire ».
Celle-ci, nommée « Réinitialisation d’urgence », révoque immédiatement tous les partages d’informations et toutes les autorisations données aux applications. Par exemple, les calendriers et notes partagés, l’accès aux accessoires dans Maison, ou encore le partage de position dans Localiser. Après quoi, l’assistant tente de renforcer la sécurité du compte Apple, en invitant à modifier le mot de passe, en vérifiant les contacts d’urgence et en contrôlant les appareils de confiance.
Il n’y a pas de défense absolue
Ces protections ont beau être nombreuses et pour certaines puissantes, il n’existe pas de protection totale contre les menaces. Le fait que des failles de sécurité soient corrigées à chaque mise à jour le rappelle à chaque fois. Tout comme l’existence d’un marché gris dans ce domaine : il y a 10 ans, des entreprises comme Zerodium allaient jusqu’à proposer 1,5 millions de dollars pour une faille 0-day. Elle a depuis fermé, mais l’un de ses principaux successeurs, Crowdfense, propose aujourd’hui jusqu’à 5 à 7 millions de dollars pour une faille « zero click ».
La sécurité d’un appareil dépend aussi bien des options activées que des comportements, autrement dit d’une hygiène numérique plus générale. Dans ce domaine, on peut par exemple reprendre la liste des dix règles publiée par l’ANSSI, et dans laquelle on trouvait déjà une référence au mode Isolement. Une attention dans l’usage quotidien est ainsi fondamentale, le smartphone étant (presque) un ordinateur comme un autre.
Enfin, un guide équivalent pour Android est prévu, mais prendra plus de temps, à cause de la pluralité des modèles et surcouches des constructeurs.
Meta ne signera pas le code de bonne conduite publié par la Commission européenne récemment. Le responsable des affaires internationales de Meta, Joel Kaplan, a affirmé dans un post LinkedIn : « Nous avons examiné attentivement le code de pratique de la Commission européenne pour les modèles d’IA à usage général (GPAI) et Meta ne le signera pas ».
Photo de Dima Solomin sur Unsplash
« Ce code introduit un certain nombre d’incertitudes juridiques pour les développeurs de modèles, ainsi que des mesures qui vont bien au-delà du champ d’application de la loi sur l’IA », ajoute-t-il.
Pourtant, comme nous l’expliquions la semaine dernière, ce code n’engage pas à grand chose. Il a même été édulcoré depuis sa version de travail de mars dernier en perdant, par exemple, des informations sur les performances et limites des modèles ou encore une exigence de transparence sur les contenus copyrightés utilisés.
« L’Europe fait fausse route en matière d’IA », affirme Joel Kaplan. Mistral AI, de son côté, avait joué la semaine le rôle de bon élève en annonçant en premier sa signature.
Via un cavalier législatif, la Douma vient de mettre en place une loi qui impose des amendes pour la recherche sur internet de termes listés comme « extrémistes » par le pouvoir. La promotion d’outils de contournement de la censure comme les VPN sera aussi interdite sous peine d’amende.
La Russie a voté ce jeudi une loi qui devrait drastiquement élever les possibilités de sanctionner les internautes vivant dans le pays. Alors que le pays connaissait déjà une censure de la publication sur internet, le pouvoir vient d’interdire la recherche de certains contenus qu’il qualifie d’ « extrémistes », explique le Washington Post.
L’organisation Net Freedoms Projetm qui a alerté sur Telegram juste avant le vote, affirme que la loi prévoit des amendes pour avoir « recherché sciemment du matériel extrémiste et y avoir accédé, y compris en utilisant des logiciels et du matériel permettant d’accéder à des ressources d’information dont l’accès est restreint ». Elle devrait entrer en application dès le 1er septembre.
Selon le Washington Post, le pays définit comme « matériel extrémiste » une liste régulièrement mise à jour de 5 500 termes qui cible des mots employés autant par la communauté LGBT que par Al-Qaïda, ou encore ce qui est défini par le pouvoir russe comme de l’idéologie nazie ou incitant à des actions extrémistes. Ce durcissement légal suivrait des remarques d’officiels militaires justifiant la censure en temps de guerre.
De petites amendes qui peuvent tourner en prétexte pour arrestation, de plus grosses amendes pour la promotion des VPN
L’amende pour une telle recherche serait d’un maximum de 3 000 roubles (55 euros). Citée par le journal étasunien, l’activiste Sarkis Darbinyan expliquait juste avant le vote sur Telegram que « les amendes imposées pour la recherche de matériel extrémiste dans cette version peuvent être mineures, mais elles peuvent constituer un motif de détention, de pression, un prétexte pour être escorté au poste de police ».
Le Washington Post explique qu’une amende plus élevée, d’environ 2 150 euros pour les individus et 11 000 euros pour les entreprises, serait prévue pour la promotion d’outils informatiques qui permettent d’éviter la surveillance comme les VPN.
Un cavalier législatif pour passer discrètement des mesures répressives
Net Freedoms dénonce aussi la façon dont la loi a été votée : ces nouvelles décisions auraient été ajoutées via un cavalier législatif dans une loi sur la réglementation des entreprises de transport de marchandises. « Les législateurs ont eu recours à plusieurs reprises à cette tactique « astucieuse » consistant à insérer discrètement des mesures répressives dans des projets de loi dormants et déjà présentés », s’insurge l’organisation.
L’un des auteurs du projet de loi, le sénateur russe Artem Sheikin, a voulu rassurer en affirmant qu’aller sur Facebook ou scroller sur Instagram « ne constitue pas une infraction administrative », alors que l’utilisation des VPN pour consulter les réseaux sociaux est une pratique courante dans le pays. « L’accent est mis sur la réglementation des fournisseurs. Il n’est pas prévu de punir massivement les utilisateurs », a-t-il ajouté.
Comment les utilisateurs sauront qu’un terme est dans la liste à ne pas rechercher n’est pas clairement expliqué.
Mark Zuckerberg et dix autres responsables de Facebook étaient accusés par des actionnaires d’avoir failli à leur devoir en laissant Cambridge Analytica exploiter, à leur insu, les données de dizaines de millions d’utilisateurs du réseau social. Au deuxième jour du procès, un avocat des plaignants, qui réclamaient initialement 8 milliards de dollars de dédommagement, a révélé qu’un accord venait d’être conclu pour mettre un terme au procès, mais sans en révéler le montant. Zuckerberg devait être entendu dans trois jours.
Le deuxième jour du procès qui visait onze actuels et anciens responsables de Facebook s’est conclu par un coup de théâtre. Un avocat des plaignants a en effet expliqué à la juge qu’un accord avait été conclu pour mettre un terme au procès, rapporte l’agence Reuters.
Les détails de l’accord n’ont pas été rendus publics. L’avocat des plaignants, Sam Closic, a juste déclaré que l’accord avait été conclu rapidement. La juge Kathaleen McCormick, de la cour de la chancellerie du Delaware, a donc ajourné le procès et félicité les parties.
Ce coup de théâtre intervient alors que Mark Zuckerberg devrait comparaître lundi, et que le procès, qui avait débuté ce mercredi 16 juillet, était prévu pour durer jusqu’au 25 juillet. « En réglant l’affaire à l’amiable, Zuckerberg et les autres défendeurs évitent d’avoir à répondre à des questions sous serment », souligne Reuters.
Les plaignants, des actionnaires de Meta parmi lesquels figurent des fonds de pension, lui réclamaient, ainsi qu’à dix autres dirigeants et membres du conseil d’administration actuels et passés de Facebook, plus de 8 milliards de dollars en remboursement des amendes infligées à Facebook, ainsi que les frais de justice associés, dans le cadre du scandale Cambridge Analytica.
Les plaignants les accusaient en effet d’avoir violé un accord conclu avec la Federal Trade Commission (FTC) en 2012, censé encadrer la protection des données personnelles des utilisateurs de Facebook, afin de les exploiter, sans leur consentement, résume l’agence Reuters.
Pour rappel, l’entreprise Cambridge Analytica avait exploité les données personnelles de 87 millions d’utilisateurs de Facebook à partir de 2014 afin d’influencer leurs intentions de vote dans le cadre des primaires présidentielles du Parti républicain américain de 2016, puis en faveur de Donald Trump, et du Brexit au Royaume-Uni.
Étaient également visés par la class action Sheryl Sandberg, l’ex-n°2 de Facebook, le capital-risqueur Marc Andreessen, le co-fondateur de Paypal et de Palantir Peter Thiel, ainsi que Reed Hastings, co-fondateur de Netflix, en tant que membres du conseil d’administration de Facebook, pour avoir manqué à leur devoir de surveillance.
Les amendes les plus importantes jamais infligées en la matière aux USA
Facebook avait en effet accepté de payer en 2019 une amende record de 5 milliards infligée par la Federal Trade Commission. La FTC précisait alors que cette amende était « près de vingt fois supérieur à la plus importante amende jamais imposée dans le monde en matière de confidentialité ou de sécurité des données ».
Meta avait également accepté, en 2022, de payer 725 millions de dollars à la justice états-unienne pour mettre fin à un procès collectif réclamant des dommages et intérêts pour avoir laissé des tiers, à l’instar de la société Cambridge Analytica, avoir accès aux données privées des utilisateurs.
Il s’agissait là encore du « montant le plus élevé jamais atteint dans un procès en nom collectif sur les données privées et jamais payé par Facebook pour mettre fin » à ce type de poursuite, avaient alors affirmé les avocats de la défense, soulignait La Tribune.
Facebook avait aussi dû payer 100 millions de dollars après que la Securities and Exchange Commission (SEC) l’eut accusé d’avoir fourni des informations trompeuses concernant le risque d’utilisation abusive des données des utilisateurs de Facebook.
Il fallait sauver le soldat Mark, « force motrice » de Facebook
Pour leur défense, les mis en cause rétorquaient que Meta disposait bien d’une équipe chargée de la conformité, qu’elle avait également fait appel à un cabinet indépendant pour encadrer la protection des données, mais qu’ils avaient été victimes d’une « tromperie méthodique » de la part de Cambridge Analytica.
Les plaignants avançaient en outre que Mark Zuckerberg aurait vendu pour 1 milliard de dollars d’actions Facebook, anticipant une chute de son cours en bourse suite au scandale. Ses défenseurs rétorquaient que ces ventes avaient été effectuées conformément à la réglementation sur les délits d’initiés, afin de financer des activités caritatives.
Toujours d’après Reuters, qui a assisté à l’ouverture du procès ce mercredi, un ancien conseiller de Barack Obama et Joe Biden a affirmé que le conseil d’administration de Facebook n’avait pas cherché à protéger Mark Zuckerberg lorsqu’il avait accepté de payer l’amende de la FTC, mais à soutenir la croissance de l’entreprise.
Jeffrey Zients, qui fut chef de cabinet de la Maison Blanche sous la présidence de Joe Biden après avoir occupé plusieurs postes à responsabilité du temps de Barack Obama, avait été nommé au conseil d’administration de Facebook en 2018, suite au scandale Cambridge Analytica, afin d’en diriger son comité d’audit et de supervision des risques, avant de le quitter en 2020.
M. Zients a précisé que la FTC avait initialement demandé « des dizaines de milliards de dollars », mais aussi qu’elle était prête à accepter 5 milliards de dollars, et que Facebook estimait alors qu’il était important de parvenir à un accord qui ne mentionnerait pas Zuckerberg en tant que défendeur.
« Rien n’indiquait qu’il ait fait quelque chose de mal », a soutenu M. Zients au tribunal, ajoutant que Zuckerberg était la « force motrice » de Facebook, et qu’ « il était important qu’il continue dans ce rôle ».
Des notes prises par M. Zients lorsqu’il siégeait au conseil d’administration semblaient par ailleurs montrer qu’il incitait le conseil d’administration à faire de la protection de la vie privée des utilisateurs une priorité absolue, ce qui affaiblirait les allégations des plaignants, relève Reuters.
Des « allégations d’actes répréhensibles à une échelle vraiment colossale »
Les avocats des plaignants affirmaient cela dit que Mme Sandberg et M. Zients avaient utilisé des comptes de messagerie personnels pour communiquer sur des questions essentielles liées au procès et qu’ils n’avaient pas désactivé la fonction de suppression automatique, bien qu’il leur ait été demandé de préserver leurs archives.
Cela avait d’ailleurs valu à Sheryl Sandberg d’être sanctionnée, en janvier dernier, rapportait Reuters, pour avoir utilisé un compte personnel sous pseudonyme, et effacé des messages susceptibles d’être pertinents pour le procès intenté par les actionnaires.
« Étant donné que Mme Sandberg a supprimé de manière sélective des éléments de son compte Gmail, il est probable que les échanges les plus sensibles et les plus probants aient disparu », avait souligné le Vice-chancelier Travis Laster, de la Cour de la chancellerie du Delaware.
Les actionnaires avaient également demandé à Laster de sanctionner Jeffrey Zients, qui avait lui aussi utilisé et supprimé des courriels personnels lorsqu’il siégeait au conseil d’administration de Meta. Le juge avait cela dit estimé que ses messages étaient moins pertinents parce qu’il avait rejoint le conseil de Meta en 2018, après le scandale Cambridge Analytica, et qu’il n’était pas un dirigeant de l’entreprise.
En 2023, Laster avait par ailleurs refusé de rejeter l’action en justice intentée par les actionnaires, qu’il a qualifiée d’ « affaire impliquant des allégations d’actes répréhensibles à une échelle vraiment colossale ».
Une juge connue pour avoir fait plier Elon Musk
La juge Kathaleen McCormick, elle aussi de la Cour de la chancellerie du Delaware, s’était fait connaître en contraignant Elon Musk à débourser 44 milliards de dollars pour finaliser l’acquisition de Twitter, puis en cherchant à annuler l’an passé sa rémunération de 56 milliards de dollars de la part de Tesla, ce qui avait incité l’entreprise à quitter le Delaware pour le Texas.
Les deux tiers des sociétés du Fortune 500 y sont en effet domiciliées, ce qui en fait une plaque tournante des litiges relatifs à la gouvernance d’entreprise aux États-Unis, et l’un des principaux tribunaux de commerce du monde.
Meta, qui n’est pas directement mise en cause, a refusé de commenter le procès. Sur son site web, relève Reuters, l’entreprise explique avoir investi des milliards de dollars dans la protection de la vie privée des utilisateurs depuis 2019.
C’est la deuxième fois que Zuckerberg évite de témoigner devant le tribunal, souligne Reuters. En 2017, Facebook avait déjà abandonné un projet d’émission d’une nouvelle catégorie d’actions pour permettre à Zuckerberg d’étendre son contrôle sur l’entreprise tout en vendant ses actions. La décision était intervenue une semaine avant que Zuckerberg ne doive témoigner devant la Cour de chancellerie.
L’entreprise vient de lancer un nouveau produit, qui promet de réaliser et d’automatiser la plupart des tâches du quotidien. Indisponible en Europe et réservé pour l’instant aux formules payantes, ChatGPT Agent marque en quelque sorte un aboutissement.
Les agents sont souvent présentés comme l’émanation ultime de l’IA générative. Ce sont des automates à qui l’on confie une mission. Ils sont chargés d’effectuer une ou plusieurs tâches, selon leur programmation et le contexte. Leur rôle premier est d’automatiser des tâches, en fonction des données reçues. L’industrie de l’IA est en ébullition autour du concept et des technologies transversales émergent, comme A2A chez Google (reprise par d’autres) pour standardiser la manière dont les agents exposent leurs capacités aux autres éléments.
ChatGPT Agent se définit comme un agent général, conçu pour effectuer un vaste ensemble de tâches via un prompt. Contrairement à des sociétés comme Perplexity qui lancent leur propre navigateur pour descendre dans l’arène, le nouveau produit d’OpenAI arrive sous la forme d’une fonction supplémentaire dans le client ChatGPT, équipée d’un navigateur pour réaliser ses missions en ligne (quand il y en a).
La société évoque « un système agentique unifié combinant le navigateur à distance d’Operator, la synthèse web de Deep Research, et les forces conversationnelles de ChatGPT ».
Ce que sait faire ChatGPT Agent
OpenAI annonce que son produit est beaucoup plus performant que tous les agents généraux lancés jusqu’à présent. Les possibilités annoncées sont ainsi nombreuses. On peut y connecter notamment de nombreuses sources de données, notamment les services de Google, pour automatiser des tâches. Dans sa présentation, OpenAI indique qu’Agent permet justement de répondre à la plus grosse critique faite jusqu’à présent à Deep Search : l’impossibilité de se connecter sur des sites pour en récupérer les informations.
Dans les exemples donnés, OpenAI cite la planification et l’achat des ingrédients nécessaires à l’organisation d’un petit-déjeuner japonais pour quatre personnes ou encore l’analyse de plusieurs concurrents pour créer un jeu de diapositives. On peut en citer d’autres : automatiser la récupération des pièces jointes provenant de certains courriels pour les stocker dans un dossier spécifique dans un drive, planifier un voyage en s’occupant de toutes les démarches, etc.
« Au travail, vous pouvez automatiser des tâches répétitives, comme la conversion de captures d’écran ou de tableaux de bord en présentations composées d’éléments vectoriels modifiables, la réorganisation de réunions, la planification et la réservation de réunions hors site, et la mise à jour de feuilles de calcul avec de nouvelles données financières tout en conservant le même formatage », ajoute l’entreprise.
ChatGPT Agent est disponible partout, sauf en Europe et en Suisse. De plus, les comptes gratuits n’y ont pas accès. Il faut avoir au moins un abonnement Plus ou Team pour en profiter, avec une limite de 40 utilisations par mois. Dans la formule Pro, à 200 dollars par mois, on peut s’en servir 400 fois par mois.
Côté technique et sécurité
On ne peut pas dire que les agents aient particulièrement brillé jusqu’à présent quand ils se sont frottés au monde réel. OpenAI indique que sa fonction Agent se débrouille beaucoup mieux, avec un score de 41,6 % au test Humanity’s Last Exam, jugé difficile. C’est le double des résultats obtenus par deux autres modèles de l’entreprise, o3 et o4-mini. Sur FrontierMath, ChatGPT Agent a obtenu 27,4 %, à comparer aux 6,3 % d’o4-mini. OpenAI ne donne cependant pas de résultats pour les modèles concurrents, à l’exception notable de Copilot pour des opérations sur les fichiers Excel.
La société indique que ChatGPT Agent exécute les tâches « à l’aide de son propre ordinateur virtuel, passant avec fluidité du raisonnement à l’action pour gérer des flux de travail complexes du début à la fin, en fonction de vos instructions ».
La sécurité de la fonction pourrait cependant poser problème. Le rapport de sécurité attenant pointe « une capacité élevée » de la fonction dans le domaine des armes biologiques et chimiques. La société indique ne pas avoir constaté réellement ces capacités, mais le potentiel d’amplification des « voies existantes vers des dommages graves » est jugé sérieux. Des protections supplémentaires ont donc été activées, dont une fonction de surveillance chargée d’inspecter les résultats au fur et à mesure. Un autre outil inspecte la réponse générale.
En outre, la fonction Mémoire a été désactivée sur Agent. Selon OpenAI, le risque existerait sinon que des attaques par injection permettent la récupération d’informations sensibles lors des requêtes. Il est également important de noter qu’aucune action irréversible n’est effectuée sans demander l’autorisation. Une protection valable aussi bien pour un paiement en ligne que l’envoi d’un e-mail. Ce qui fait dire à OpenAI que son produit est un « agent qui travaille pour vous, avec vous ». En outre, certaines actions à haut risque sont explicitement bloquées, comme les virements bancaires.
ChatGPT ne ferait qu’exploiter les données existantes. OpenAI affirme que les entrées restent privées et qu’Agent « ne collecte ni ne stocke les données que vous saisissez au cours de ces sessions, telles que les mots de passe, car le modèle n’en a pas besoin et il est plus sûr qu’il ne les voie jamais ».
Du temps devant soi
OpenAI indique que ChatGPT Agent n’en est qu’à ses débuts et qu’il peut faire des erreurs. Ce serait particulièrement vrai avec la génération de diapositives, dont les résultats « peuvent parfois sembler rudimentaires en termes de formatage et de finition ». Cette fonction est d’ailleurs présentée comme étant en bêta. Une nouvelle version de ce composant est en cours de formation.
De manière générale, on manque encore de retours réels sur la fonction. On sait en revanche que certaines actions peuvent prendre du temps, voire beaucoup de temps, jusqu’à 15 ou 30 minutes selon la complexité de la requête.
L’ensemble sera suivi de près, car les ambitions d’OpenAI sont nombreuses avec son Agent. La question de la sécurité est également prégnante, même si l’entreprise aborde directement la question dans son annonce, en plus de son rapport de sécurité.
La Commission d’enrichissement de la langue française a validé des traductions pour deux termes qui reviennent régulièrement dans l’étude des comportements et de la psychologie associés aux outils numériques.
Ces deux traductions, officialisées par une publication au Journal Officiel daté du 18 juillet, sont donc censées s’imposer comme une alternative aux anglicismes qu’elles remplacent, notamment dans les services publics de l’État.
Pour désigner le doomscrolling, que la commission définit comme la « pratique qui consiste à faire défiler sur un écran, de manière répétitive et obsessionnelle, un grand nombre d’informations anxiogènes provenant de l’internet, notamment des réseaux sociaux », c’est désormais le terme « défilement anxiogène » qui est préconisé.
La commission de terminologie s’intéresse par ailleurs au gaslighting, défini comme un « ensemble de manœuvres visant à faire douter une personne de sa mémoire, de sa perception de la réalité et, par là, de sa santé mentale ». Ici, elle recommande d’employer maintenant le terme « déboussolage ».
Ces deux nouvelles terminologies sont introduites au sein d’un ensemble plus vaste, centré sur la création d’équivalents français à des termes étrangers touchant à l’univers de la santé et de la médecine.
Le JO du 18 juillet liste dix nouveaux équivalents officiels à des termes issus de l’anglais
Le broker d’IP Cloud Innovation a demandé à la justice mauricienne rien de moins que la liquidation juridique de l’AfriNIC, alors que les élections de son bureau ont été reportées après des suspicions de fraude. L’ICANN se dit opposée à cette demande et rappelle au gouvernement de Maurice qu’elle est la seule autorité à pouvoir accréditer un registre Internet régional.
La guerre des IPv4 en Afrique vient de passer une nouvelle étape. L’entreprise Cloud Innovation, qui a son siège social aux Seychelles mais est associée à une société établie à Hong Kong, a demandé la liquidation juridique de l’AfriNIC.
Alors que Cloud Innovation affirme s’appuyer sur les positions de l’ICANN pour justifier sa demande, l’autorité de régulation d’Internet au niveau global répond dans un courrier que « l’ICANN tient à préciser que rien n’est plus éloigné de la vérité ».
Cette demande fait suite à l’annulation des élections du bureau du Registre Internet régional desservant l’Afrique que nous évoquions et la confirmation de nouvelles élections le 30 septembre prochain.
Une liquidation demandée par Cloud Innovation mais pas du tout par l’ICANN
Comme le rapporte le média sud africain MyBroadBand, la procédure de liquidation de l’AfriNIC a été lancé par Cloud Innovation avec une annonce officielle dans plusieurs journaux mauriciens le 10 juillet dernier. L’AfriNIC a confirmé sur son site en avoir été informée et explique qu’elle doit y répondre devant la justice mauricienne avant le 24 juillet prochain.
Le broker d’IP a aussi annoncé sur son site personnel cette action en affirmant que « l’annulation des élections de juin en raison d’une irrégularité mineure a confirmé qu’aucune élection ne sera acceptée comme légitime tant qu’un seul concurrent pourra en invalider les résultats ».
Mais l’entreprise basée aux Seychelles affirme aussi que, « comme l’a noté l’ICANN, même un vote parfaitement supervisé ne peut réussir si les parties prenantes sont prêtes à contester les résultats et si le cadre de gouvernance lui-même est compromis ».
« Bien que Cloud [Innovation] suggère que la dissolution de l’AFRINIC est conforme aux demandes de l’ICANN, l’ICANN souhaite préciser que rien n’est plus éloigné de la vérité », affirme le président et CEO de l’ICANN, Kurt Erik Lindqvist, dans une lettre adressée à la justice mauricienne et au ministre des télécommunications de l’île. L’autorité internationale y réaffirme sa volonté d’une nouvelle organisation d’élections pour le bureau de l’AfriNIC : « Comme l’ICANN l’a demandé à plusieurs reprises, des élections libres et équitables au cours desquelles tous les membres éligibles d’AFRINIC ont la possibilité de participer en connaissance de cause ont été et restent possibles. Un bureau dûment élu, capable d’agir au nom de membres engagés, devrait être l’organe qui agit au nom d’AFRINIC ».
Dans cette lettre, l’autorité réaffirme être la seule responsable de la reconnaissance des registres Internet régionaux et de leur accréditation.
La Number Resource Society pointée du doigt
En soutien aux avertissements que l’AfriNIC a publiés sur son site à propos de la Number Resource Society, l’ICANN en profite pour remettre à sa place ce lobby créé par Cloud Innovation. L’AfriNIC expliquait : « Nous savons qu’un certain nombre de membres ont récemment été contactés par un groupe externe connu sous le nom de Number Resource Society (NRS), invitant à participer à des réunions en ligne et encourageant la signature d’une procuration ». Dans sa lettre, l’ICANN confirme avoir « entendu des informations similaires ».
Elle ajoute que : « les allégations selon lesquelles l’ICANN aurait déformé les rapports d’un média financé par le PDG d’un membre ressource de l’AFRINIC, Cloud Innovation Ltd (Cloud), sont sans fondement. L’ICANN exhorte les membres ressources de l’AFRINIC à examiner attentivement les sources, en particulier lorsqu’un média prétendument « impartial » publie plus de 50 articles relatifs à l’AFRINIC en deux semaines et sollicite les membres à utiliser la Number Resource Society (NRS) pour « organiser votre activité électorale [AFRINIC] » ».
« La NRS a également des liens directs avec le PDG de Cloud et a pris des positions controversées qui préconisent explicitement de traiter les blocs d’adresses IP comme des biens propres, en contradiction directe avec les politiques officielles de l’AFRINIC, en cherchant à établir des titres de propriété légaux pour les ressources IP », affirme, toujours dans sa lettre, Kurt Erik Lindqvist.
Des appels plus insistants du milieu de la tech africaine
L’expert Emmanuel Vitus, qui a alerté depuis quelques temps sur le sujet, a récemment publié une lettre ouverte à l’Afrique dans laquelle il qualifie cette demande de dissolution de l’AfriNIC de « requête sèche, glaciale, implacable ». « Elle demande qu’on abatte la maison », déplore-t-il en ajoutant qu’ « il ne faut pas être juriste pour saisir la gravité du moment. Il faut être africain ». Pour lui, « Cloud Innovation ne crie pas à l’aide. Elle chante sa victoire annoncée. Ce n’est pas un appel à la raison. C’est un chant du cygne, un sabbat procédurier aux allures de danse macabre ».
Sur X, l’entrepreneuse ougandaise Evelyn Namara alerte aussi et demande aux fournisseurs d’accès à internet de son pays de déposer une objection à cette dissolution avant le 24 juillet « pour maintenir AFRINIC en vie ! ».
Cette fois, c’est la bonne : SES a annoncé jeudi 17 juillet la finalisation du rachat de son concurrent et compatriote luxembourgeois Intelsat, pour 2,8 milliards d’euros. Formellement engagée le 30 avril 2024, la transaction était subordonnée à l’approbation des autorités compétentes en Europe et aux États-Unis, où Intelsat opère l’essentiel de ses activités.
Le blanc-seing de la Commission européenne est arrivé début juin. Outre-Atlantique, la FCC (Federal Communications Commission) a donné son accord le 11 juillet dernier (PDF), et c’est ce qui permet aujourd’hui à SES d’annoncer ses perspectives consolidées.
Les ressources combinées des deux opérateurs le positionnent comme un intervenant potentiel sur toutes les orbites courantes
Les forces rapprochées des deux entreprises permettent à SES de revendiquer 90 satellites géostationnaires (GEO) et près de 30 satellites en orbite terrestre moyenne (MEO). À cette flotte partagée entre deux orbites, SES ambitionne d’en ajouter bientôt une troisième, avec des déploiements programmés en orbite basse (LEO), notamment pour aller concurrencer les constellations de SpaceX (Starlink) et Amazon (Kuiper).
Fort des nouvelles capacités apportées par Intelsat, SES se dit aujourd’hui en mesure de proposer des services de connectivité sur un large spectre de bandes (C-, Ku-, Ka-, Military Ka-, X-band, Ultra High Frequency), et anticipe un chiffre d’affaires consolidé de 3,7 milliards d’euros. Le carnet de commande du nouvel ensemble dépasserait les 8 milliards d’euros.
Meta a décidé qu’un changement à la tête de Threads s’imposait. Depuis la première version du réseau social lancée en juillet 2023, c’est en effet Adam Mosseri qui tire les ficelles. Une organisation « logique », dans la mesure où Threads a été surtout envisagé comme une extension d’Instagram, que Mosseri dirige depuis longtemps.
Le nouveau responsable se nomme Connor Hayes, selon Axios. Ce cadre de longue date travaille dans l’IA générative depuis des années chez Meta. Cependant, il est loin d’être étranger à Threads, car il faisait partie de l’équipe ayant accouché de la première version du réseau. Adam Mosseri resterait responsable général, mais c’est Hayes qui dirigerait le réseau social et ses évolutions au quotidien.
Source : Axios
« Compte tenu de la maturité de Threads, nous pensons que nous avons besoin d’un responsable de l’application qui puisse consacrer tout son temps à aider Threads à aller de l’avant », aurait indiqué Mosseri dans une note interne.
Hayes devrait prendre ses fonctions à la mi-septembre. Ce changement semble indiquer que Meta se penche plus sérieusement sur son application, qui rattrape X sur les appareils mobiles, avec 120 millions d’utilisateurs actifs quotidiens, contre 134 millions sur le réseau d’Elon Musk. Le fait qu’un responsable de l’IA chez Meta prenne les rênes peut également signifier que la technologie pourrait jouer un rôle plus important sur Threads.
À noter enfin que Meta teste actuellement la connexion à Threads par le compte Facebook, en plus du compte Instagram et de l’e-mail classique, comme le rapporte SocialMediaToday.
Au printemps, Jon Prosser devient tout à coup célèbre. Il est à l’origine de plusieurs vidéos montrant ce qui semble être un grand renouvellement d’interface dans le prochain iOS. Même si l’on parle encore d’iOS 19 à ce moment et que plusieurs éléments s’avèreront finalement différents, l’essentiel est là. La fuite est conséquente, Apple a perdu l’effet de surprise sur Liquid Glass.
La société n’a pas apprécié. Comme rapporté par MacRumors, elle attaque Jon Prosser en justice, dans un tribunal du district nord de Californie, pour violation de la loi américaine sur la fraude et les abus informatiques (Computer Fraud and Abuse Act).
Dans cette plainte, on peut lire que Prosser se serait servi d’un autre personnage, Michael Ramacciotti (également accusé), pour obtenir les informations. Ce dernier aurait hébergé quelque temps Ethan Lipnik, employé chez Apple et possédant un iPhone de développement, dont la sécurité n’avait pas été correctement paramétrée. Ramacciotti aurait réussi à déverrouiller l’iPhone et aurait passé un appel vidéo à Prosser pour lui montrer ce qu’il avait découvert.
« M. Prosser a pris des vidéos des secrets commerciaux sur l’iPhone de développement, les a conservées sur son propre appareil et a diffusé ces enregistrements à d’autres personnes. Il a partagé les enregistrements avec au moins une personne qui a signalé à M. Lipnik qu’elle avait reconnu l’appartement de M. Lipnik dans l’enregistrement. En fin de compte, M. Prosser a profité des secrets commerciaux d’Apple, au moins en les partageant dans de multiples vidéos sur la chaîne YouTube de son entreprise, dont il tire des revenus publicitaires », indique Apple dans sa plainte.
Apple demande un procès devant un jury, afin qu’un montant des dommages et intérêts puisse être calculé. Apple espère ces dommages « punitifs », à hauteur de « l’appropriation illicite délibérée et malveillante de secrets commerciaux ».
Sur X, Jon Prosser conteste cette version, mais la défense parait légère, le « leaker » affirmant qu’il ne savait pas comment les informations avaient été obtenues. Ethan Lipnik, lui, a été licencié par Apple.
Envie de renouer quelques instants avec le vénérable Windows XP et sa séquence sonore de démarrage, unique entre toutes ? C’est désormais possible au travers d’un simple navigateur, grâce au travail d’un passionné qui a entrepris de recréer une interface Windows XP très avancée sur le plan fonctionnel.
Une fois le système lancé, on accède en effet à un bureau dont tous les éléments répondent, avec un explorateur de fichiers, une archive .rar que l’on peut extraire, des raccourcis vers des applications, elles aussi fonctionnelles, comme le Démineur, Paint, ou Word, mais aussi un véritable clic droit, un menu Démarrer, et même une instance d’Internet Explorer… qui malheureusement ne permet pas de vraiment surfer sur le Web !
En explorant plus avant les menus et les options, on identifie rapidement les limites, mais le travail de reproduction a été largement poussé : s’il est impossible de modifier la résolution de l’affichage, on peut à sa guise naviguer entre les différents fonds d’écran fournis d’origine avec Windows XP !
Back to 2001 grâce à cette simulation de Windows XP
Le projet est accessible directement à l’adresse Win32.run, mais il est aussi hébergé sur Github, à destination des nostalgiques qui souhaiteraient l’installer sur leur propre serveur.
« WIN32.RUN s’exécute uniquement côté client (le navigateur de l’utilisateur). Tous les fichiers sont traités directement dans le navigateur de l’utilisateur. Il n’y a pas de téléchargement de fichiers ni de traitement côté serveur (je suis fauché et je n’en ai pas les moyens). Chaque utilisateur dispose de sa propre session de système d’exploitation (comme sous Windows XP) », y décrit l’instigateur du projet, Ducbao414. Il explique sur Reddit avoir mené ce projet pour le plaisir, et c’est la date du 13 juillet, qu’il considère comme le 25e anniversaire du début du développement du système par Microsoft, qui l’aurait incité à mettre ses travaux en ligne.
« WIN32.RUN est développé avec Svelte/SvelteKit et Tailwindcss. Si vous avez une expérience React ou Vue, Svelte est très facile à utiliser », indique encore Ducbao414.
Travailler ou conduire, il ne faudrait plus choisir ?
Mercedes-Benz a annoncé une intégration inédite de l’application Microsoft Teams au sein de l’environnement logiciel destiné à l’écran de contrôle de ses voitures, MB OS. L’accord prévoit également que ses véhicules puissent être administrés via la plateforme de gestion Intune, et reliés à Microsoft 365 Copilot.
Les promesses d’une productivité accrue serviront-elles de déclencheur au moment de passer un contrat relatif à des véhicules de direction ? C’est le pari que semble faire Mercedes-Benz, qui a annoncé mercredi 16 juillet un accord inédit avec Microsoft, portant sur l’intégration de certains de ses outils professionnels au sein de l’écran principal de ses véhicules, à commencer par sa dernière berline en date, la CLA 2026.
Passer des appels en visio sur Teams tout en conduisant
L’élément le plus visible de cet accord, présenté comme une première dans l’industrie, consiste en une intégration poussée de Microsoft Teams, le client logiciel dédié à la collaboration et aux télécommunications. Sur ce volet, Mercedes-Benz annonce qu’il sera possible de participer à un appel vidéo directement depuis l’écran central de sa voiture, à l’aide d’une caméra embarquée dans l’habitacle.
« Compte tenu de l’accent mis par la marque sur la sécurité, l’utilisation de la caméra est conforme aux lois de chaque pays et a été approuvée pour une utilisation en déplacement », prend soin de souligner le constructeur, sans indiquer dans quels pays la visioconférence au volant via le système de bord sera activée ou non. Il précise en revanche que le flux vidéo des autres participants, affiché sur l’écran central, sera désactivé si le conducteur a activé sa propre caméra. « Ainsi, le conducteur ne verra jamais les écrans ou diapositives partagés et la caméra peut être désactivée à tout moment ».
Qui n’a jamais rêvé de rejoindre une réunion Teams depuis l’écran de sa voiture ? – crédit Mercedes-Benz
L’intégration de Teams passera également par la création d’une sorte de widget au niveau de l’interface de son nouvel environnement embarqué, MB OS, affichant directement les prochaines réunions programmées, ainsi qu’un accès direct aux contacts les plus fréquents. « Il existe également une fonction de chat étendue qui facilite la lecture et l’écriture de messages », décrit encore Mercedes-Benz, avant de mettre l’accent sur les possibilités offertes par les commandes vocales.
Il existait déjà des frontières entre Microsoft Teams et les environnements populaires tels qu’Apple CarPlay ou Android Auto, mais pas avec le niveau d’intégration envisagé ici.
Si le conducteur est censé utiliser les identifiants de sa messagerie professionnelle pour se connecter à Teams, la logique veut que la voiture soit considérée comme un nouveau terminal, et puisse être administré comme tel par la direction des services informatiques de l’entreprise. Les deux partenaires annoncent de ce fait la prise en charge des futurs véhicules équipés au sein de Microsoft Intune, à la main de l’administrateur.
La fête ne serait pas parfaite sans un peu d’IA générative. À ce niveau, les véhicules Mercedes-Benz éligibles recevront une application Microsoft 365 Copilot, là encore administrée par l’entreprise, pour que le conducteur puisse « résumer les e-mails, récupérer ou interroger les préférences et les détails des clients et gérer les tâches quotidiennes sans distraction ». L’accord conclu entre les deux industriels n’évince toutefois pas les propres travaux de Mercedes en matière d’IA générative : ainsi son application MBUX Notes, hébergée sur le cloud du constructeur mais motorisée par GPT-4o reste proposée, et se voit par ailleurs administrable via Intune.
La course à l’IA générative des fabricants
Cette intégration de Copilot rappelle à quels points l’IA générative est devenue l’un des nouveaux arguments commerciaux des constructeurs automobiles, quitte à multiplier les partenariats. En début d’année, le même Mercedes-Benz annonçait par exemple en grande pompe le renforcement de son partenariat stratégique avec Google, l’ambition étant cette fois d’exploiter Gemini sur Vertex AI (la plateforme cloud dédiée à l’IA de Google) pour étoffer la panoplie des capacités de l’agent virtuel de la marque, MBUX Virtual Assistant.
Au-delà des « conversations » avec un assistant pour déterminer le meilleur endroit où déjeuner, qui reproduisent finalement dans l’habitacle de l’automobile des usages déjà possibles sur d’autres écrans, et conduisent les constructeurs à reproduire la logique de partenariat qui a conduit à l’avènement d’Apple Carplay et d’Android Auto, jusqu’où ira le secteur ?
Une étude de marché centrée sur le marché chinois, parue en juin 2025 et publiée par ResearchInChina, estime que les liens entre systèmes d’infodivertissement des véhicules et intelligence artificielle générative n’ont pas fini de se développer.
Elle décrit la façon dont cette intégration progressive devrait faire basculer la logique de construction des OS d’un modèle basé sur des fonctionnalités vers une approche plus horizontale où c’est l’intention exprimée par l’utilisateur et l’analyse sémantique associées qui primeraient. Déjà possible techniquement, ce niveau d’imbrication serait rapidement suivi par l’arrivée de systèmes d’exploitation décrits comme « nativement IA », au sein desquels un modèle ferait office d’environnement d’exécution et de gestionnaire de ressources pour des « agents IA » plus spécialisés.
Cerballiance, entreprise disposant de plus de 700 laboratoires d’analyses en France, a annoncé la constitution d’un entrepôt de données de santé (EDS). Au-delà des buts poursuivis, cette étape pose des questions légitimes sur la confidentialité des données.
Les entrepôts de données de santé existent depuis des années en France. Selon les chiffres fournis par le ministère de la Santé, on en comptait une centaine au 1er janvier 2025. Leurs objectifs sont toujours les mêmes : rassembler une vaste quantité de données « à des fins de pilotage (gestion, contrôle et administration de l’activité) et de recherches, d’études, d’évaluations dans le domaine de la santé ».
Aussi, l’annonce de Cerballiance pourrait sembler n’être qu’un EDS de plus dans la liste des entrepôts officiels et autorisés par la CNIL. La Commission fournit d’ailleurs un référentiel pour la création de ces structures. Pour obtenir l’autorisation d’ouvrir l’EDS, « l’organisme responsable de ce traitement est tenu de documenter sa conformité au RGPD et au référentiel dans son registre des activités de traitement ».
À quoi doit servir cet entrepôt de données ?
L’EDS annoncé par Cerballiance ne concerne pas l’ensemble des clients. Dans la longue annonce de l’entreprise, on peut ainsi lire que seuls 24 laboratoires sont concernés. Bien que Cerballiance ne le précise pas, il pourrait s’agir d’un début, même si une montée en puissance nécessiterait une nouvelle autorisation de la CNIL. La société indique que l’EDS reprendra les données précédemment générées depuis le 1er janvier 2023 et y ajoutera toutes celles collectées à compter du 1er septembre prochain.
Les objectifs de l’EDS de Cerballiance se répartissent en deux catégories. D’abord, pour « améliorer la santé de chacun », via la compréhension qu’impliquent les traitements envisagés : statistiques plus fiables que dans le cadre d’essais cliniques traditionnels, recherches sur des données à grande échelle, etc. Cette mission, de type service public, doit faciliter le suivi et la surveillance épidémiologique pour les autorités de santé. L’EDS doit également profiter à des organismes de recherche publics, comme l’Institut Pasteur, l’INSERM ou encore les étudiants en thèse de médecine.
Il y a ensuite une composante privée. Cerballiance cite plusieurs exemples : « Des fournisseurs de kits de diagnostic souhaitant en améliorer les performances, des industriels du médicament devant surveiller l’efficacité d’un traitement au sein de la population générale ou encore une start-up développant un nouveau marqueur de diagnostic pour l’endométriose ».
L’exploitation des données doit ainsi faire avancer la recherche et les pratiques médicales ou à tout le moins permettre des études de faisabilité sur ces recherches. Cerballiance ajoute à l’exploitation privée une dimension de « meilleure connaissance » des patients, pour proposer des « tests les plus adaptés à leurs besoins ». Sur ce point, l’entreprise évoque seulement la production d’indicateurs pour le pilotage stratégique de l’activité des laboratoires.
De manière générale, ces objectifs sont classiques dans le contexte des EDS. La constitution de l’entrepôt européen EMC2, sous l’égide du Health Data Hub français, en abordait par exemple plusieurs, dont l’efficacité des traitements à des fins de pilotage, à destination notamment de l’agence européenne du médicament.
Les données concernées
Selon Cerballiance, les données seront de deux types. D’abord, les informations directement identifiantes : nom, prénom, adresse postale, date de naissance et les coordonnées de contact (essentiellement e-mail et numéro de téléphone). Ce sont, en d’autres termes, les informations administratives.
Seul un petit nombre de personnes strictement habilitées est censé pouvoir y accéder. Selon Cerballiance, il faut avoir une habilitation de niveau administrateur ou être un chercheur interne, à des fins de pré-screening (repérage des patients pouvant correspondre à la cible d’une étude) ou de prise de contact (nous y reviendrons).
Viennent ensuite les données de santé proprement dites. Elles sont pseudonymisées uniquement et ne sont, en tant que telles, pas directement identifiables (nous y reviendrons également). C’est le cœur sensible de l’entrepôt, puisque ces informations renvoient directement au parcours médical des personnes : examens de biologie médicale, antécédents, données cliniques diverses, informations sur les traitements, voire régime alimentaire dans certains cas. Elles sont à la fois couvertes par le secret médical et considérées comme « sensibles » par le RGPD.
Si la communication de Cerballiance parait claire et détaillée, elle témoigne également d’une certaine dualité. Cet EDS reste avant tout le projet d’une entreprise privée qui, si elle compte contribuer à la santé publique, a également ses propres objectifs.
La principale pierre d’achoppement réside dans la sécurité des données et leur confidentialité. Cerballiance indique par exemple que les informations sont stockées en Europe. Elle ne donne cependant aucune autre précision, les patients pouvant témoigner un intérêt pour le pays où sont stockées leurs données.
Et alors que ce stockage devrait assurer la résistance aux lois étrangères à portée extraterritoriale (en premier lieu celles des États-Unis), Cerballiance indique que les données peuvent « faire l’objet d’un accès à distance depuis un tel pays dans des cas très limités, notamment dans le cadre de prestations de maintenance de l’EDS réalisées par l’un de nos sous-traitants ». L’entreprise ajoute que cet accès se fait depuis « des pays reconnus par la Commission européenne comme assurant un niveau de protection équivalent à celui du RGPD ». Or, c’est officiellement le cas des États-Unis à travers le Data Privacy Framework. Une situation complexe, que le retour de Donald Trump a rendu encore plus opaque.
À titre d’information, le site de Cerballiance est hébergé chez Amazon Web Services, mais l’espace client est confié à Atos.
Opt-out uniquement
Puisque l’on parle de données, les choix faits par Cerballiance sur la confidentialité peuvent également faire hausser quelques sourcils. Les données de santé ne sont ainsi que pseudonymisées, et non anonymisées. En outre, puisque l’entreprise évoque explicitement la possibilité de contacter la patientèle, le faisceau pointe vers un mécanisme pensé dès le départ pour la ré-identification.
Cependant, il y a deux « bons points » à noter. D’une part, les chercheurs accédant aux données ne verront que leurs versions pseudonymisées. D’autre part, ces accès se font au moyen de « bulles informatiques sécurisées » et les données ne sont jamais extraites de l’entrepôt. Dans le cas contraire, selon Cerballiance, les informations seraient obligatoirement anonymisées. Dans ce contexte, il faut rappeler que l’entreprise avait été victime d’une fuite de données par l’intermédiaire de « son prestataire informatique ».
Enfin, Cerballiance contacte actuellement les personnes concernées par son EDS (a priori tous les patients passés au cours des deux dernières années dans les 24 laboratoires visés), mais l’acceptation est automatique. Un opt-out (via ce formulaire) qui suppose que la patientèle verra l’information et aura le temps de s’opposer au traitement si elle le souhaite, puisqu’il reste moins d’un mois et demi. De même, il n’est rien précisé sur le contrôle que l’on pourra exercer lors du partage avec des acteurs privés, pas plus que sur la période rétroactive démarrant au 1er janvier 2023.
Nous avons contacté Cerballiance, qui n’a pas encore répondu. Nous mettrons à jour cet article avec les réponses obtenues.
Alors que Meta vient de racheter 49 % des parts de Scale AI et de débaucher son fondateur, cet acteur phare du marché de l’annotation de données licencie 14 % de ses effectifs.
Mark Zuckerberg a jeté toutes ses forces dans la bataille de l’IA. Après avoir passé plusieurs semaines à débaucher des scientifiques et ingénieurs en vue dans le secteur, le patron de Meta vient d’annoncer des investissements de l’ordre de « centaines de milliards de dollars » dans des centres de données et des supercalculateurs dédiés à l’IA.
Ces déploiements de capitaux sont loin de profiter aux travailleurs du clic qui œuvrent à l’entraînement des systèmes d’IA, en revanche. Pour preuve, Meta a beau avoir dépensé plus de 14 milliards de dollars pour racheter 49 % des parts de Scale AI et débauché son fondateur Alexandr Wang, cet acteur phare de l’annotation de données annonce licencier 200 personnes et cesser de travailler avec 500 sous-traitants.
Son porte-parole explique que la décision doit permettre de « rationaliser [leurs] activités liées aux données pour [les] aider à évoluer plus rapidement ». La société prévoit par ailleurs d’embaucher dans d’autres domaines, dont la vente aux entreprises et aux gouvernements.
D’après un mémo obtenu par Bloomberg, le PDG par interim de l’entreprise, Jason Droege, aurait expliqué aux équipes de Scale AI que son activité d’annotation de données auraient embauché trop de gens trop rapidement au fil des années passées, ce qui aurait créé une « bureaucratie excessive et une confusion inutile sur les missions des équipes ».
Le quasi-rachat de Meta a aussi participé à la décision, dans la mesure où il a été suivi par la suspension de certains de ses contrats les plus importants, avec des acteurs comme OpenAI et Google (Alphabet).
La décision ne se fera pas sans toucher des personnes aux conditions de travail déjà complexes. La chaîne de production de l’IA est en effet constituée de trois couches principales, pour reprendre les explications du sociologue Antonio Casilli : les géants détenteurs de données, les acteurs intermédiaires comme Scale AI, qui répartissent les travaux, et la « grande masse des travailleurs », quelquefois seuls chez eux, quelquefois réunis en petits groupes ou entreprises de taille plus modeste. Or, avant les licenciements, Scale AI comptait 1 400 employés et des milliers de ces sous-traitants, partout sur la planète, d’après CNBC.
Fondée en 2016 par un Alexandr Wang âgé seulement, à l’époque, de 19 ans, Scale AI s’est, en l’occurrence, spécialisée dès le départ dans l’offre de services d’annotations de données et d’entraînement de système d’IA de qualité, à bas coût.
Comme le raconte la journaliste Karen Hao dans son ouvrage Empire of AI, l’entreprise est parvenue à déployer ce modèle en allant chercher ses travailleurs du clic dans d’anciennes colonies britanniques – le Kenya, les Philippines –, mais aussi en découvrant, à la faveur de la crise économique vénézuelienne, comment convaincre quantité de personnes éduquées à travailler pour sa plateforme.
« Cette expérience est devenue leur méthode classique d’intervention, qu’ils ont réutilisée ailleurs, explique-t-elle à Next. Quand la pandémie a frappé, Scale AI s’est tourné vers tous les pays où les économies se sont retrouvées en souffrance, et où de nombreux travailleurs très qualifiés devenaient disponibles pour des salaires bas, faute de trouver d’autres emplois ».
Une fois qu’une masse critique de travailleurs est atteinte, Scale AI tend à réduire les salaires proposés pour chaque tâche, ou à placer les personnes en compétition les unes contre les autres.
Si d’autres entreprises ont tenté de proposer de meilleures conditions de travail, des périodes de tensions budgétaires comme celle provoquée par la pandémie ont poussé leur clientèle vers des sociétés proposant des tarifs plus faibles, comme Scale AI.
Un secteur en pleine reconfiguration
Au Kenya comme au Népal ou ailleurs, de nombreux employés ont mécaniquement dû se tourner vers la société cofondée par Alexandr Wang, ce qui a permis à cette dernière d’engranger 870 millions de dollars de chiffre d’affaires en 2024, d’après Bloomberg.
Si la société s’est placée en leader de cette étape de la chaine de production des systèmes d’IA, elle doit néanmoins composer avec une concurrence active d’entreprises variées, parmi lesquelles Turing, Invisible Technologies, Labelbox, ou même Uber.
Surtout, son PDG par intérim indique qu’un axe de travail consistera à tenter de reconquérir « les clients qui ont ralenti leur travail avec nous ». Jason Droege indique par ailleurs que des personnes seront embauchées pour créer des applications d’IA personnalisées pour les besoins de la nouvelle clientèle privée et publique que Scale AI prévoit d’approcher.
Dans un message publié sur X, Anne Wojcicki explique que son organisation à but non lucratif TTAM a finalisé l’acquisition de 23andMe.
Comme nous l’expliquions il y a un mois, cette organisation, dont l’acronyme reprend les premières lettres de « Twenty three and me », a été créée spécifiquement pour cette reprise. Elle a fait une offre de 305 millions de dollars, dépassant celle effectuée par l’entreprise de biotech Regeneron. Celle-ci avait annoncé, un peu trop rapidement, avoir racheté 23andMe avec une offre de 256 millions de dollars.
« Une structure à but non lucratif est le meilleur moyen de consolider nos valeurs et nos engagements vis-à-vis de nos clients, de la communauté scientifique et du monde en général », affirme Anne Wojcicki dans son message.
Rappelons que l’entreprise était entrée en bourse en 2021. Mais elle a depuis rencontré énormément de difficultés, dont une cyberattaque en 2023 lors de laquelle les données génétiques de ses 7 millions d’usagers se sont retrouvées dans la nature.
Google introduit les résumés d’articles générés par IA dans Discover, pour l’instant seulement dans sa version étasunienne.L’entreprise met en place cette fonctionnalité alors que les éditeurs de sites web accusent les outils d’IA générative de tarir leur trafic et que les spécialistes SEO jouent avec les contenus générés par IA pour augmenter le leur.
Google est en train de modifier son application Discover. Aux États-Unis, celle-ci propose des résumés d’actualité créés par IA générative. Jusque-là, Discover – désormais le principal flux d’actualités de Google – avait pris une place centrale dans la manière de suivre l’actu pour une bonne partie de la population.
Ainsi, en juin, l’Alliance de la presse d’information générale (APIG) expliquait que Discover était devenu la principale source de trafic pour la presse française. Sur un an et demi, les chiffres de l’APIG montrent que ce service de Google était celui qui amenait le plus de clics aux sites d’information :
Comme nous l’expliquions, cette application est devenue la vraie source de clic du côté de Google puisque Discover représente, à lui seul, 68 % du trafic en provenance de Google.
Au lieu de montrer une actu venant d’un site en particulier accompagnée du lien pour avoir plus d’infos sur le sujet, Discover affiche désormais aux États-Unis un texte généré par IA utilisant le contenu de plusieurs sites d’actualité, explique TechCrunch. Ces médias sont visibles via un rassemblement d’icônes au-dessus du texte généré :
Crédit image : Google
Selon TechCrunch, le résumé généré dans Discover cite les différentes sources dans lesquelles Google a été piocher pour le générer. L’application affiche un avertissement aux utilisateurs : « Généré par IA, qui peut faire des erreurs ».
Interrogé par nos confrères, Google confirme que la fonctionnalité est mise en place sur Discover aux États-Unis sur Android et iOS et que ce n’est pas un simple test. TechCrunch a constaté que ces résumés ne s’affichent pas pour tous les sujets d’actualité pour l’instant.
Pour Google, « cette fonctionnalité permettra aux internautes de choisir plus facilement les pages qu’ils souhaitent visiter ».
L’entreprise a essayé aussi d’autres façons de présenter l’actu dans son application. En juin, le NiemanLab expliquait que Discover propose parfois des présentations en puces. Curieuse de savoir si celles-ci étaient générées par IA, Laura Hazard Owen a découvert qu’ils étaient rédigés par les éditeurs eux-mêmes et intégrés dans l’outil Google News Showcase. Celui-ci est une plateforme d’actualités en ligne lancée fin 2020, dans laquelle les éditeurs peuvent intervenir pour mettre en avant certains articles et modifier leurs présentations.
Rappelons que Discover est aussi devenu le terrain de jeu favori des pros du SEO. Le plus prolifique des éditeurs de sites francophones générés par IA a réussi à faire promouvoir plusieurs milliers d’articles via l’application, au point que ses concurrents s’en plaignent publiquement, alors que le milieu est habituellement très discret.
Si l’entreprise assure à nos confrères que cette nouvelle présentation n’est disponible que dans la version étasunienne, Google semble tester aussi d’autres manières de présenter l’actu dans Discover dans sa version française. Ainsi, le consultant médias Aurélien Viers a repéré des titres raccourcis et l’apparition des résumés ou chapôs des articles, précisant que ce n’est « pas une synthèse faite par l’IA, apparemment ».
« Les plus rigoureux rédigeront un chapô qui explicite le titre.Pour les plus extrêmes, dont les fermes IA / Discover, on peut s’attendre à une avalanche de chapos vides de sens, de titres courts, provoc’, clickbait, et sur des visuels très forts (cascade à ne pas reproduire selon le positionnement de votre site) », commente-t-il.
YouTube a officialisé le lancement, en France, d’une nouvelle formule d’abonnement baptisée YouTube Premium Lite. Facturée 7,99 euros par mois, elle permet de profiter de « la plupart des vidéos sans publicité ». La souscription ne garantit donc pas la suppression de toutes les réclames, contrairement à la formule Premium à 12,99 euros par mois.
L’affichage des publicités semble décidé en fonction de la thématique consultée : la publicité est ainsi conservée sur la musique et les clips musicaux, qui font l’objet de mécaniques de rémunération spécifiques des ayant-droits.
YouTube Premium Lite ne fait pas totalement disparaître la publicité , même dans l’environnement jeunesse YouTube Kids
« Avec Premium Lite, vous ne verrez plus d’annonces sur les vidéos de gaming, de mode, de beauté, d’actualités et plus encore. Cependant, des annonces peuvent être diffusées sur des contenus musicaux, des Shorts et lorsque vous effectuez des recherches ou parcourez YouTube. Premium Lite n’inclut pas YouTube Music Premium ni les fonctionnalités telles que le téléchargement de vidéos ou la lecture en arrière-plan », indique le géant du streaming dans une FAQ dédiée.
Bien qu’elle soit déjà disponible dans onze pays, dont les États-Unis, la formule fait l’objet d’un déploiement progressif. « Premium Lite est en cours de déploiement dans votre pays. Veuillez réessayer plus tard », affiche ainsi dans certains cas la page d’accès à l’offre. Les esprits taquins se souviendront que YouTube avait déjà testé cette formule Lite en 2021, avant de faire marche arrière en 2023, et donc de revenir aujourd’hui avec une copie retravaillée.
Connexion
