Aujourd’hui, un ancien certificat racine expirera. Il est utilisé dans d’anciennes versions de Firefox pour les extensions du navigateur. Il est donc demandé à toutes les personnes utilisant une vieille version non mise à jour de Firefox d’installer la dernière mouture disponible pour la branche utilisée.

L’avertissement concerne a priori une minorité d’utilisateurs, car Firefox se met automatiquement à jour dans l’immense majorité des cas. Pour ne pas rencontrer de problème, il faut donc avoir au moins Firefox 128 en version classique, ou Firefox 115.13 en version ESR (Extended Support Release). Au cours de la journée, les versions antérieures ne pourront plus faire fonctionner les extensions installées.

Dans un autre document, Mozilla prévient que les risques vont au-delà d’un simple problème d’extensions ne fonctionnant plus. Il devient plus facile de leurrer les internautes pour leur faire installer des extensions malveillantes, visiter des sites malveillants devient plus dangereux, et les alertes sur les mots de passe compromis peuvent ne plus fonctionner (pour les personnes utilisant le gestionnaire de mots de passe intégré).

Ce problème touche l’ensemble des plateformes, à l’exception de la version iOS. L’avertissement touche également tous les navigateurs basés sur Firefox, y compris Tor Browser, qui a publié hier soir un message similaire. L’éditeur recommande, comme on s’en doute, d’installer les dernières versions disponibles, les 14.0.7 en branche stable et 13.5.11 en branche legacy.

Aujourd’hui, un ancien certificat racine expirera. Il est utilisé dans d’anciennes versions de Firefox pour les extensions du navigateur. Il est donc demandé à toutes les personnes utilisant une vieille version non mise à jour de Firefox d’installer la dernière mouture disponible pour la branche utilisée.

L’avertissement concerne a priori une minorité d’utilisateurs, car Firefox se met automatiquement à jour dans l’immense majorité des cas. Pour ne pas rencontrer de problème, il faut donc avoir au moins Firefox 128 en version classique, ou Firefox 115.13 en version ESR (Extended Support Release). Au cours de la journée, les versions antérieures ne pourront plus faire fonctionner les extensions installées.

Dans un autre document, Mozilla prévient que les risques vont au-delà d’un simple problème d’extensions ne fonctionnant plus. Il devient plus facile de leurrer les internautes pour leur faire installer des extensions malveillantes, visiter des sites malveillants devient plus dangereux, et les alertes sur les mots de passe compromis peuvent ne plus fonctionner (pour les personnes utilisant le gestionnaire de mots de passe intégré).

Ce problème touche l’ensemble des plateformes, à l’exception de la version iOS. L’avertissement touche également tous les navigateurs basés sur Firefox, y compris Tor Browser, qui a publié hier soir un message similaire. L’éditeur recommande, comme on s’en doute, d’installer les dernières versions disponibles, les 14.0.7 en branche stable et 13.5.11 en branche legacy.

John Gruber, du haut de son blog Daring Fireball, toujours très bien informé sur les projets d’Apple, est en colère. Contre Apple pour tout ce qui touche au nouveau Siri conversationnel, et contre lui-même pour ne pas avoir vu les signes annonciateurs. Et selon lui, la gestion de cette annonce par Apple aura de sérieuses conséquences.

Comme nous l’indiquions récemment, le nouveau Siri a été présenté à la WWDC de l’année dernière, en juin. Une présentation intéressante, montrant un Siri plus fluide dans ses réactions et capable de prendre en compte le contexte des demandes, qui pouvaient se baser sur plusieurs critères.

Dans les mois qui suivent cependant, aucune nouvelle, pas plus que dans les bêtas d’iOS 18. À la sortie de l’iPhone 16, toujours rien. Il faut attendre la version 18.1 pour voir apparaître les premières briques d’Apple Intelligence, en bêta, en anglais et pour les seuls États-Unis. iOS 18.2 et 18.3 sont depuis passés, élargissant le périmètre à tous les pays anglophones. Le mois prochain, iOS 18.4 apportera encore des fonctions dopées à l’IA et activera Apple Intelligence en Europe. Mais toujours pas de nouveau Siri. Apple a fini par supprimer la fameuse publicité.

Pour John Gruber, il s’agit d’un fiasco. Qu’Apple ait été en retard sur l’intelligence artificielle est un problème, mais tout le monde le savait. En revanche, la gestion du nouveau Siri implique que quelqu’un, quelque part, s’est lourdement trompé. Soit la direction a estimé que le projet serait dans les temps et a gravement sous-estimé l’ampleur des travaux, soit elle connaissait l’état exact du projet et a menti. Mais en l’état, le projet présenté est qualifié de « vaporware ».

Ce qui fait dire à John Gruber qu’Apple a perdu en crédibilité, car toute annonce un tant soit peu ambitieuse risque de rencontrer un certain scepticisme. C’est toute la capacité de l’entreprise à mener sa barque qui semble remise en question. Si l’on suit les rumeurs, Apple devait lancer en début d’année une sorte de HomePod avec écran, un produit destiné à gérer toute la domotique. Mais cet appareil ne pourrait pas fonctionner sans le nouveau Siri, avec un report pour l’instant au second semestre.

Comme le relève MacG, ce n’est pas le premier fiasco qu’affronte Apple. Au lancement de MobileMe, ancêtre d’iCloud, la situation était calamiteuse, entre inaccessibilité des services et faibles performances. À l’époque, Steve Jobs avait procédé à plusieurs licenciements. On pourrait également citer le lancement catastrophique du nouveau Plans, quand Apple s’est débarrassée de Google Maps.

Sur son blog dédié aux développeurs, Microsoft a annoncé que le TypeScript (un surensemble de JavaScript) avait un problème de performances. Sa base en JavaScript ne lui permet pas une mise à l’échelle : les performances ne suivent pas la taille des projets. L’éditeur travaillait donc à rendre le compilateur et ses outils natifs.

Microsoft a choisi le langage Go pour ce portage natif. Le projet est en cours, mais les premiers résultats semblent à la hauteur des attentes avec un temps de compilation moyen divisé par 10. Des gains très élevés ont également été observés dans le chargement des projets, la réactivité dans les éditeurs ou encore dans la consommation de mémoire vive, en moyenne divisée par deux.

L’arrivée de cette version native n’est pas pour tout de suite. La prochaine révision sera la 5.9, qui sera disponible « bientôt ». Après quoi, Microsoft passera à la branche 6.0, qui « introduira quelques dépréciations et ruptures pour s’aligner sur la base de code natif à venir ». Ce n’est que lorsqu’une parité « suffisante » aura été atteinte avec le TypeScript actuel que la version native sera lancée, en tant que TypeScript 7.0.

Le choix du Go peut bien sûr intriguer : Microsoft semblait ne jurer que par le Rust depuis quelques années. Sur X, le choix interroge. Comme le signale Analytics India Mag, Ryan Cavanaugh, responsable du développement de TypeScript, est venu expliquer ce choix sur Reddit.

Selon le développeur, c’est essentiellement une question de contraintes, dont la principale était la portabilité. Toutes les approches tentées auraient présenté des « compromis inacceptables (performances, ergonomie, etc.) », dont l’obligation d’écrire son propre ramasse-miettes (garbage collector). L’équipe se serait parfois approchée d’un résultat correct, mais au prix de nombreux pans de code non sécurisés. En définitive, un portage vers Rust aurait nécessité des années et aurait abouti à une version incompatible « que personne n’aurait pu utiliser ».

Son de cloche identique pour Anders Hejsberg, auteur du billet de Microsoft et créateur de TypeScript, dans une interview donnée à la chaine Michigan TypeScript sur YouTube.

John Gruber, du haut de son blog Daring Fireball, toujours très bien informé sur les projets d’Apple, est en colère. Contre Apple pour tout ce qui touche au nouveau Siri conversationnel, et contre lui-même pour ne pas avoir vu les signes annonciateurs. Et selon lui, la gestion de cette annonce par Apple aura de sérieuses conséquences.

Comme nous l’indiquions récemment, le nouveau Siri a été présenté à la WWDC de l’année dernière, en juin. Une présentation intéressante, montrant un Siri plus fluide dans ses réactions et capable de prendre en compte le contexte des demandes, qui pouvaient se baser sur plusieurs critères.

Dans les mois qui suivent cependant, aucune nouvelle, pas plus que dans les bêtas d’iOS 18. À la sortie de l’iPhone 16, toujours rien. Il faut attendre la version 18.1 pour voir apparaître les premières briques d’Apple Intelligence, en bêta, en anglais et pour les seuls États-Unis. iOS 18.2 et 18.3 sont depuis passés, élargissant le périmètre à tous les pays anglophones. Le mois prochain, iOS 18.4 apportera encore des fonctions dopées à l’IA et activera Apple Intelligence en Europe. Mais toujours pas de nouveau Siri. Apple a fini par supprimer la fameuse publicité.

Pour John Gruber, il s’agit d’un fiasco. Qu’Apple ait été en retard sur l’intelligence artificielle est un problème, mais tout le monde le savait. En revanche, la gestion du nouveau Siri implique que quelqu’un, quelque part, s’est lourdement trompé. Soit la direction a estimé que le projet serait dans les temps et a gravement sous-estimé l’ampleur des travaux, soit elle connaissait l’état exact du projet et a menti. Mais en l’état, le projet présenté est qualifié de « vaporware ».

Ce qui fait dire à John Gruber qu’Apple a perdu en crédibilité, car toute annonce un tant soit peu ambitieuse risque de rencontrer un certain scepticisme. C’est toute la capacité de l’entreprise à mener sa barque qui semble remise en question. Si l’on suit les rumeurs, Apple devait lancer en début d’année une sorte de HomePod avec écran, un produit destiné à gérer toute la domotique. Mais cet appareil ne pourrait pas fonctionner sans le nouveau Siri, avec un report pour l’instant au second semestre.

Comme le relève MacG, ce n’est pas le premier fiasco qu’affronte Apple. Au lancement de MobileMe, ancêtre d’iCloud, la situation était calamiteuse, entre inaccessibilité des services et faibles performances. À l’époque, Steve Jobs avait procédé à plusieurs licenciements. On pourrait également citer le lancement catastrophique du nouveau Plans, quand Apple s’est débarrassée de Google Maps.

Sur son blog dédié aux développeurs, Microsoft a annoncé que le TypeScript (un surensemble de JavaScript) avait un problème de performances. Sa base en JavaScript ne lui permet pas une mise à l’échelle : les performances ne suivent pas la taille des projets. L’éditeur travaillait donc à rendre le compilateur et ses outils natifs.

Microsoft a choisi le langage Go pour ce portage natif. Le projet est en cours, mais les premiers résultats semblent à la hauteur des attentes avec un temps de compilation moyen divisé par 10. Des gains très élevés ont également été observés dans le chargement des projets, la réactivité dans les éditeurs ou encore dans la consommation de mémoire vive, en moyenne divisée par deux.

L’arrivée de cette version native n’est pas pour tout de suite. La prochaine révision sera la 5.9, qui sera disponible « bientôt ». Après quoi, Microsoft passera à la branche 6.0, qui « introduira quelques dépréciations et ruptures pour s’aligner sur la base de code natif à venir ». Ce n’est que lorsqu’une parité « suffisante » aura été atteinte avec le TypeScript actuel que la version native sera lancée, en tant que TypeScript 7.0.

Le choix du Go peut bien sûr intriguer : Microsoft semblait ne jurer que par le Rust depuis quelques années. Sur X, le choix interroge. Comme le signale Analytics India Mag, Ryan Cavanaugh, responsable du développement de TypeScript, est venu expliquer ce choix sur Reddit.

Selon le développeur, c’est essentiellement une question de contraintes, dont la principale était la portabilité. Toutes les approches tentées auraient présenté des « compromis inacceptables (performances, ergonomie, etc.) », dont l’obligation d’écrire son propre ramasse-miettes (garbage collector). L’équipe se serait parfois approchée d’un résultat correct, mais au prix de nombreux pans de code non sécurisés. En définitive, un portage vers Rust aurait nécessité des années et aurait abouti à une version incompatible « que personne n’aurait pu utiliser ».

Son de cloche identique pour Anders Hejsberg, auteur du billet de Microsoft et créateur de TypeScript, dans une interview donnée à la chaine Michigan TypeScript sur YouTube.

« Rester humble. Travailler dur. Ravir nos clients »

Intel a annoncé hier soir s’être trouvé un dirigeant : Lip-Bu Tan. Le nouveau CEO entrera en fonction le 18 mars. Il aura un vaste chantier à poursuivre sur les activités de fonderie, en plus d’un bilan financier calamiteux à redresser.

L’ancien CEO d’Intel, Pat Gelsinger, a été licencié le 1ᵉʳ décembre dernier, après plusieurs trimestres de pertes. Le nouveau venu, Lip-Bu Tan, a été membre du conseil d’administration de l’entreprise ainsi que d’autres (notamment HP et Semiconductor Manufacturing International Corporation). Il reprend toutefois le flambeau dans une période bien difficile.

Un vaste chantier

C’est peu dire qu’Intel vit une période complexe de transition, après plusieurs vagues de licenciements. Les plans de Pat Gelsinger étaient de renforcer les activités de fonderie pour traiter les commandes d’autres entreprises, via la filiale Intel Foundry. Le projet est en bonne voie. Les deux CEO par intérim, David Zinsner et Michelle Johnston Holthaus, avaient indiqué poursuivre dans cette direction. Le premier restera d’ailleurs vice-président et directeur financier, la seconde gardera la tête d’Intel Products.

Les travaux qui attendent le nouveau CEO sont nombreux. La barre financière doit être redressée, après des pertes de 18,74 milliards de dollars en 2024. Une partie de ces pertes est directement compensée par le gouvernement américain via le CHIPS Act, mais ce dernier est dans le collimateur de Donald Trump.

Intel devrait également lancer cette année son nouveau processus de gravure 18A, grâce auquel l’entreprise entend rapatrier une portion de la production de ses propres puces en interne, TSMC s’occupant aujourd’hui d’une bonne partie de ses produits. Le processus permettra aussi de produire des puces personnalisées pour AWS (Amazon Web Services), comme nous l’indiquions en septembre dernier. La firme doit également se faire une place dans le domaine de l’IA.

Vers une coentreprise menée par TSMC ?

« Intel dispose d’une plateforme informatique puissante et différenciée, d’une vaste base installée de clients et d’une empreinte industrielle robuste qui se renforce de jour en jour à mesure que nous reconstruisons notre feuille de route en matière de technologie des processus. Je suis impatient de rejoindre la société et de m’appuyer sur le travail accompli par l’ensemble de l’équipe d’Intel pour positionner notre entreprise pour l’avenir », a indiqué Lip-Bu Tan dans le communiqué d’Intel.

Dans un message publié à part, le nouveau CEO dit souscrire « à une philosophie simple : Rester humble. Travailler dur. Ravir nos clients ». Il assure qu’en ancrant ces « trois convictions fondamentales, les choses se passent bien ».

C’est dans ce contexte tendu qu’une rumeur vient d’apparaitre chez Reuters. TSMC aurait approché AMD, Broadcom et surtout NVIDIA en vue de créer une coentreprise. Celle-ci serait chargée de gérer et d’exploiter les usines d’Intel. Ce plan serait la conséquence d’une demande de la Maison-Blanche à TSMC : aider Intel à redresser la barre. Le fondeur taïwanais verrait sa part dans la coentreprise limitée à un maximum de 50 %.

Ni les entreprises concernées ni la Maison-Blanche n’ont commenté l’information. Entre la nomination du nouveau CEO et la rumeur, la bourse a bien réagi, avec un petit bond de 10,66 % après clôture. La journée s’était déjà bien passée pour Intel, avec une hausse de 4,55 % de l’action. Le titre a cependant perdu plus de la moitié de sa valeur sur les douze derniers mois.

Le client e-mail possède une version Android depuis un moment maintenant. Grâce au rachat de l’application K9, Thunderbird est parti d’une base existante, à partir de laquelle les évolutions et améliorations sont développées. Il n’existe cependant aucune base semblable sur iOS.

Il y a quelques jours, Mozilla a présenté son « rapport de progression » pour Android. On peut y voir de nombreux travaux prévus, en phase avec les retours des utilisateurs. On y trouve par exemple des problèmes de lisibilité, la manière dont sont présentés les noms des comptes, des soucis avec les icônes, de trop grands espaces vides (notamment dans le tiroir), un manque de personnalisation, le manque d’utilité de la barre latérale quand on ne possède qu’un seul compte, etc.

Le même rapport évoque également la situation pour iOS. L’équipe de développement confirme que le projet prend forme, « certaines nombreuses décisions architecturales de base » ayant été prises. Un dépôt sera bientôt ouvert sur GitHub, mais Mozilla prévient : « le vrai travail commencera lorsque nous aurons embauché un ingénieur logiciel senior qui dirigera le développement d’une application Thunderbird pour l’iPhone et l’iPad ».

L’équipe prévoit la publication d’une version alpha de Thunderbird pour iOS d’ici la fin de l’année, en passant par la plateforme Test Flight. L’éditeur prévient : les fonctions au départ seront « assez basiques ». Il n’y aura initialement que l’affichage des e-mails, leur réception et leur envoi. Les actions de tri arriveront plus tard.

La société de Cupertino a diffusé hier soir une série de mises à jour pour l’ensemble de ses plateformes : iOS/iPadOS 18.3.2, macOS 15.3.2, tvOS 18.3.2 ou encore visionOS 2.3.2.

Toutes ces versions ont la même mission : colmater une faille découverte dans WebKit. Il s’agit même d’un second correctif, car cette faille avait déjà été corrigée dans des versions précédentes (notamment iOS 17.2). Apple dit avoir été informée d’une nouvelle exploitation, via une attaque « extrêmement sophistiquée ».

Cette faille, estampillée CVE-2025-24201, permet en cas d’exploitation de sortir de la sandbox de Safari. Autrement dit, un problème sérieux, la sandbox étant une zone sécurisée de la mémoire permettant d’isoler un code et limitant strictement ses droits. Pour les plateformes plus anciennes, Safari est d’ailleurs disponible en version 18.1.

Un trou de quatre mois

Medefer, une société travaillant régulièrement avec le système de santé anglais, aurait eu pendant plusieurs années une API mal configurée qui aurait pu permettre l’exfiltration de données médicales sensibles. Aucun vol d’informations ne serait à déplorer, mais le cas rappelle le danger entourant les API mal configurées ou « perdues », comme le signalaient plusieurs rapports de sécurité l’année dernière.

Le NHS (National Health System) travaille en partenariats réguliers avec plusieurs entreprises du secteur privé. Parmi elles, Medefer, un géant anglais de la consultation externe, dont le produit doit permettre une accélération de la prise en charge. Dans le cadre de sa mission, il y a donc des échanges réguliers de données entre le NHS et les systèmes de Medefer.

Une porte grande ouverte

Hier, dans un article de la BBC, on apprenait que le NHS se penchait sur de sérieuses accusations : les données des patients auraient été vulnérables à des attaques à cause d’un bug chez Medefer. Plus précisément, une API (Application Programming Interface) était mal configurée, ce qui permettait en théorie de l’interroger pour obtenir des données médicales sensibles, sans vérifications particulières.

Ce qui est qualifié de « faille » a été découvert par un ingénieur, selon qui le problème existerait depuis au moins six ans. L’homme avait été embauché en octobre pour tester la sécurité des solutions logicielles de Medefer. La découverte a eu lieu en novembre et corrigée dans les jours qui ont suivi.

Un audit externe de sécurité a également commencé depuis fin février. Selon Medefer, rien ne prouve que le problème de configuration existe depuis aussi longtemps.

Une enquête est en cours pour définir plus précisément le périmètre du problème et de ses conséquences. Selon l’ingénieur (qui a tenu à rester anonyme), il est peu probable que des données aient été extraites, ce qui serait un immense coup de chance. Toutefois, il a invité à attendre le terme de l’enquête. Selon Medefer, les résultats préliminaires vont dans le même sens : aucune preuve de violation de données.

La société ajoute que le processus d’enquête est « extrêmement ouvert », que l’ICO (Information Commissioner’s Office) a été averti, tout comme la CQC (Care Quality Commission). C’est d’ailleurs cette dernière qui délivre les approbations permettant aux entreprises privées de nouer des échanges avec le NHS.

De novembre à février

Comme l’indique la BBC, la communauté des experts en cybersécurité n’est pas tendre avec Medefer. Beaucoup signalent ainsi que l’entreprise aurait beaucoup de chance si l’enquête et l’audit finissaient par ne révéler aucune fuite d’informations. Alan Woodward par exemple, de l’université de Surrey, rappelle ainsi que « la base de données peut être chiffrée et toutes les autres précautions prises, mais s’il existe un moyen de fausser l’autorisation de l’API, n’importe qui sachant comment faire peut y accéder ».

Pour le chercheur Scott Helme, il y a surtout un gros problème dans l’enchainement des évènements. Qu’aucune donnée n’ait été volée n’excuse pas le temps écoulé entre la découverte du problème en novembre et le déclenchement d’une enquête et d’un audit fin février. L’ingénieur qui avait trouvé le défaut de configuration avait pourtant recommandé de lancer immédiatement un audit.

Le NHS, de son côté, a rappelé que les organisations qui le composent ont la responsabilité de s’assurer que les prestataires privés « respectent leurs responsabilités légales et les normes nationales de sécurité des données ».

Plein feu sur les API

L’accident est d’autant plus visible que l’année 2024 a été marquée par un nombre croissant de rapports sur la recrudescence des attaques via les API. C’était le cas en janvier avec un épais document de Cloudflare, puis en août avec celui d’Akamai.

Les API sont de petits modules logiciels permettant d’interroger un produit pour obtenir des informations ou déclencher une action. Elles sont omniprésentes et notamment à la base du développement des applications sur les systèmes d’exploitation. Ces derniers exposent leurs capacités via des API, auxquelles le code des applications se réfèrent, pour des actions aussi variées que maximiser la taille d’une fenêtre ou faire appel à une solution de chiffrement gérée nativement.

Or, les rapports et chercheurs étaient formels : les entreprises ne font globalement pas assez attention à leurs API. Elles sont de plus en plus nombreuses et constituent autant de portes d’entrée, dont les accès doivent être sécurisés pour contrôler qui peut accéder aux ressources, selon le contexte.

Les rapports de Cloudflare et d’Akamai enjoignaient notamment les entreprises à dresser un inventaire complet et régulièrement mis à jour de toutes les API entourant leurs produits. Il fallait surtout référencer celles tournées vers l’extérieur, et donc accessibles par le réseau, internet ou autre. Ils alertaient également sur le danger des API fantômes : des interfaces créées il y a un certain temps et oubliées depuis.

Depuis hier soir, le réseau social autorise la publication de vidéos pouvant aller jusqu’à 3 minutes. Le changement met globalement Bluesky au niveau de ses deux gros concurrents, X et ses 2 min 20 s (sans abonnement, 4 heures à partir de la formule Premium), Threads et ses 5 minutes.

Cette amélioration est proposée dans le cadre de la version 1.99 du réseau, des mises à jour étant également proposées depuis hier pour les applications mobiles. L’un des changements les plus attendus est ainsi l’apparition d’une boite de réception dans les messages privés pour gérer les demandes. Un message envoyé par un inconnu n’est donc plus automatiquement accepté.

Autre changement, la possibilité de « muter » un compte via le menu « … » situé sous un post. La fonction est disponible pour l’ensemble des publications. Il suffit d’aller dans le menu et de cliquer sur « Masquer le compte ». On pourra le rendre à nouveau visible en se rendant sur la fiche du compte masqué, puis dans le menu « … » et en cliquant sur « Réafficher le compte ». Dommage qu’un petit pictogramme rouge ne soit pas présent sur la fiche pour rappeler visuellement que le compte est masqué.

Le développement du réseau continue donc son chemin, le passage à des vidéos de 3 min montrant d’ailleurs que Bluesky devient plus sérieux dans ses ambitions. Dans les commentaires, au milieu des remerciements, on trouve cependant des demandes régulières comme la possibilité d’envoyer des photos et vidéos dans les messages privés, celle de rendre son compte privé, ou encore la modification des posts.

À noter que dans le cadre de la conférence SXSW a Austin hier soir, la CEO de Bluesky, Jay Graber, est revenue sur le thème des IA et de leur entrainement, comme le rapporte TechCrunch. Elle a répété ce que l’on savait déjà : Bluesky développe actuellement avec des partenaires un cadre pour recueillir le consentement des utilisateurs.

« Nous croyons vraiment au choix de l’utilisateur », a déclaré Jay Graber. Selon elle, il pourrait s’agir d’une solution proche de ce que l’on peut voir sur les sites web ne souhaitant pas être « scrapés » par les moteurs de recherche. Elle ajoute que ce cadre peut être ignoré, mais qu’il est « en général respecté ». La proposition figure dans le dépôt GitHub de Bluesky et correspond à ce qu’en disait déjà l’entreprise en novembre dernier.

« Pratique courante »

Deux chercheurs espagnols ont annoncé avoir découvert des commandes cachées dans la puce ESP32, largement utilisée dans le monde. Ce qui a conduit la société Tarlogic Security à parler de « porte dérobée ». En s’y penchant de plus près, d’autres ont remarqué cependant qu’il s’agissait de commandes non documentées, dont l’exploitation serait complexe.

Durant le week-end, la communauté de la sécurité informatique découvrait avec stupeur une information étonnante : la puce ESP32, que l’on trouve dans plus d’un milliard d’appareils dans le monde, contenait une porte dérobée. C’était la découverte de deux chercheurs espagnols, Miguel Tarascó Acuña et Antonio Vázquez Blanco, de la société Tarlogic Security.

Cette découverte a été partagée en fin de semaine dernière dans le cadre de la conférence RootedCON, qui s’est tenue à Madrid du 6 au 8 mars. La puce ESP32, chargée d’assurer les connexions Wi-Fi et Bluetooth, est fabriquée par la société chinoise Espressif et est souvent intégrée pour son rapport qualité/prix (2 euros, selon Tarlogic Security). Bien sûr, l’éventualité d’une porte dérobée dans un composant aussi courant et provenant de Chine a fait se dresser de nombreuses oreilles.

Une découverte via un pilote maison

« Tarlogic Security a détecté une fonctionnalité cachée qui peut être utilisée comme porte dérobée dans l’ESP32, un microcontrôleur qui permet la connexion Wi-Fi et Bluetooth et qui est présent dans des millions d’appareils IoT grand public », débute le communiqué de la société le 6 mars.

Comment a-t-elle procédé ? En développant son propre pilote Bluetooth en C, sans passer par les API mises à disposition par le système d’exploitation. Ce pilote a permis aux chercheurs d’accéder au trafic Bluetooth brut. C’est là qu’ils ont repéré 29 commandes cachées, codées dans le firmware de la puce ESP32. Ces commandes, exploitées, permettent la manipulation de la mémoire et donc d’accéder à de nombreuses informations, en plus d’autoriser l’injection de paquets.

Ce lot de commandes a été initialement qualifié de « porte dérobée » par Tarlogic. Le cas est suivi sous la référence CVE-2025-27840, écope d’une note de sévérité CVSS3.1 de 6,8 sur 10 et a reçu le type « fonctionnalité cachée ». Un qualificatif entouré, dans le cas présent, d’une petite polémique, comme on le verra.

Une exploitation pas si simple

Quels sont les risques ? « L’exploitation de cette fonctionnalité cachée permettrait à des acteurs hostiles de mener des attaques par usurpation d’identité et d’infecter de manière permanente des appareils sensibles tels que des téléphones portables, des ordinateurs, des serrures intelligentes ou des équipements médicaux en contournant les contrôles d’audit du code », indique Tarlogic Security dans son communiqué.

Bien que le danger existe, l’exploitation de ces commandes cachées reste complexe. Idéalement, il faut disposer d’un accès bas niveau sur l’appareil que l’on veut ainsi contrôler. L’objectif peut être de collecter des informations sur ce dernier, ou de s’en servir comme base de départ pour mener des attaques contre d’autres équipements connectés.

Les chercheurs indiquent qu’il n’y a que deux manières de procéder : soit obtenir un accès physique (port USB ou UART) soit par l’intermédiaire d’une autre attaque capable d’octroyer un accès distant. Ce qui suppose, dans ce second cas, l’exploitation d’au moins une autre faille pour gagner cet accès, via un logiciel malveillant par exemple.

Si les pirates y arrivent, ils pourraient cacher un malware résident dans la petite quantité de mémoire accompagnant la puce et ainsi obtenir une menace avancée persistante (APT). De là, il est en théorie possible d’infecter d’autres appareils du réseau, si la ou les failles utilisées en premier lieu peuvent être réemployées.

Une porte dérobée ? « Ce n’est pas le cas »

Problème pour Tarlogic, sa communication initiale sur une « porte dérobée » a créé des vagues. On peut d’ailleurs voir à la fin du communiqué une mise à jour datant d’hier, expliquant que la présence de ces commandes a été requalifiée en « fonction cachée », plutôt qu’en « porte dérobée ». L’expression reste dans le texte, mais seulement pour indiquer que ces commandes peuvent être utilisées « comme » une porte dérobée. Les risques, eux, restent.

De nombreux experts ont réagi, critiquant cette qualification. Xeno Kovah par exemple, de la société de sécurité Dark Mentor, n’est pas tendre avec l’annonce des chercheurs. « Ce que les chercheurs mettent en évidence (commandes HCI spécifiques au fournisseur pour lire et écrire la mémoire du contrôleur) est un modèle de conception commun que l’on retrouve dans d’autres puces Bluetooth d’autres fournisseurs, tels que Broadcom, Cypress et Texas Instruments », affirme-t-il ainsi. Selon lui, il ne faudrait donc pas parler de porte dérobée, mais d’API privée.

La société rappelle que l’utilisation du terme backdoor renvoie vers une définition spécifique, qui inclut une « intentionnalité malveillante », avec une volonté de tromper sur le périmètre d’un produit pour mieux en profiter ensuite.

Dans le cas présent, Dark Mentor indique que le protocole Bluetooth dispose d’une couche architecturale nommée Host Controller Interface, c’est-à-dire une interface entre l’hôte (l’ordinateur, le smartphone…) et le contrôleur, autrement dit la puce Bluetooth elle-même. « Si l’hôte souhaite rechercher les appareils BT disponibles à proximité ou se connecter à l’un d’entre eux, il envoie une commande au contrôleur via l’interface HCI pour l’informer de l’action qu’il souhaite effectuer », explique la société.

Un chat est un chat

Surtout, Dark Mentor explique que la spécification Bluetooth Core contient un grand nombre de commandes communes à l’ensemble des constructeurs, ce que l’on attend d’une norme. Toutefois, cette même norme laisse un « blanc » pour qu’un constructeur puisse introduire ses propres commandes, appelées VSC (Vendor specific commands). En outre, Dark Mentor indique que la méthode utilisée par les deux chercheurs espagnols se basent sur une rétro-ingénierie réalisée sur une ROM fournie par Espressif sur son dépôt GitHub. « Un niveau de transparence peu commun », ajoute Dark Mentor.

Le communiqué de Tarlogic Security est ainsi accusé de FUD (Fear, uncertainty and doubt), puisque les commandes spécifiques sont une pratique courante et connue. En outre, dans le cas d’Espressif, elles sont partiellement documentées. Dark Mentor souligne toutefois que seul le communiqué de Tarlogic Security parle de porte dérobée : dans leur présentation à Madrid, les chercheurs espagnols n’en ont pas parlé.

Même son de cloche chez Davi Ottenheimer qui, après analyse, voit simplement des « commandes propriétaires » pour les tests et la fabrication, une pratique qualifiée de « standard ». Selon lui cependant, les travaux présentés gardent leur valeur, car ils explorent la sécurité autour du Bluetooth et comment la tester.

C’est ce qui explique que la fiche CVE contienne la référence CWE-912, le « W » signifiant « weakness » : la découverte est considérée comme une « faiblesse » dans le firmware dans la puce ESP32, non comme une « vulnérabilité ».

L’automne dernier a été particulièrement complexe pour Google. En octobre, le Department of Justice (DoJ) relançait l’idée d’un démantèlement de Google et son éclatement en plusieurs structures plus petites. Le mois suivant, le même ministère proposait que Chrome soit vendu. Android pouvait rester au sein de l’entreprise, à condition d’être plus clairement séparé des autres produits.

Google, de son côté, fustigeait un « programme radical » qui « nuirait aux consommateurs, aux développeurs et au leadership technologique américain au moment même où il en a le plus besoin ».

Entre temps, l’occupant de la Maison-Blanche a changé, propageant des ondes de choc dans l’appareil d’État, les administrations et dans de nombreux secteurs. Selon le Washington Post, on apprend pourtant que le DoJ n’a pas changé d’avis : Google affiche des comportements monopolistiques et devrait se séparer de Chrome.

Comme le signale Neowin, la séparation de Chrome rebattrait de nombreuses cartes, dont l’hégémonie du moteur de recherche. Cependant, la décision serait accompagnée d’autres, notamment les contrats de promotion de Google au sein des produits. Dont celui d’Apple, qui reçoit 20 milliards de dollars par an pour configurer Google comme moteur de recherche par défaut dans Safari sur tous ses appareils.

Nos confrères rappellent qu’Apple a déposé en janvier un recours devant le tribunal pour demander l’arrêt de la procédure. L’avis de l’entreprise est qu’au vu des sommes en balance, ses intérêts n’étaient pas équitablement représentés. La demande a été rejetée par le juge fédéral Amit Mehta, mais Apple a été autorisée à fournir ses arguments.

Les propositions finales du tribunal sont attendues dans le courant du mois prochain, indique le Washington Post.

Causes et conséquences

Aux États-Unis, le fournisseur d’accès internet par satellite Starlink pourrait bénéficier largement d’une modification dans l’allocation des fonds visant à favoriser le très haut débit sur le territoire. Tandis qu’en Italie le rapprochement n’est plus si sûr, la question d’un retrait d’Ukraine reste prégnante. Eutelsat se dit pourtant prêt à prendre la relève.

Starlink, en tant qu’entreprise privée dirigée par Elon Musk, lui-même conseiller de Donald Trump et très présent dans le Bureau Ovale, est loin d’être imperméable à la politique, et encore moins à la géopolitique. Les derniers jours ont été particulièrement chargés en actualités sur le fournisseur d’accès par satellite, qui dispose actuellement d’une longueur d’avance sur ses concurrents.

Starlink d’abord écarté en 2021 d’un plan ambitieux

En 2021, le Congrès américain vote le programme Broadband Equity, Access and Deployment (BEAD). À l’époque, comme le rapportait alors le New York Times, la nouvelle était bien accueillie, malgré de nombreuses questions en suspens. La principale était de savoir si les fonds alloués, soit 42,5 milliards de dollars, allaient suffire à atteindre les objectifs ambitieux. Les États-Unis recouvrent une très grande surface, d’autant que le plan prévoyait d’atteindre une couverture en très haut débit pour l’ensemble de la population d’ici 2030.

Le programme américain devait refermer la fracture numérique, comme chez nous le plan FranceTHD. Et comme chez nous, c’est la fibre optique qui a été choisie comme voie royale, pour ses performances et ses perspectives d’évolution. Pourtant, déjà à l’époque, des voix s’étaient élevées et demandaient pourquoi les connexions satellites avaient été écartées.

En 2023, la Federal Communications Commission (FCC) avait ainsi repoussé une demande de Starlink de bénéficier d’une subvention de 885 millions de dollars pour soutenir un plan rural distinct. Décision largement critiquée par Brendan Carr, alors commissaire, aujourd’hui président de l’agence fédérale.

Un changement « bienvenu »

Et les prières d’Elon Musk ont été entendues. Le 5 mars, la Maison-Blanche est revenue sur le programme BEAP créé par le gouvernement de Joe Biden. Si le montant ne change pas, la priorité donnée à la fibre optique disparait. « Le ministère supprime les exigences inutiles du gouvernement Biden. Il réorganise le programme BEAD pour adopter une approche neutre sur le plan technologique et rigoureusement axée sur les résultats, afin que les États puissent fournir un accès à l’internet au coût le plus bas possible », a ainsi déclaré Howard Lutnick, secrétaire au Commerce.

Le gouvernement Trump a souligné que jusqu’à présent, 20 milliards de dollars avaient été distribués aux États, mais qu’aucun citoyen américain supplémentaire n’avait été raccordé. Le changement ouvre ainsi la porte aux autres technologies, dont bien sûr le satellite. Starlink, qui a jusqu’ici été écarté, pourrait donc profiter de cette manne.

Conflits d’intérêt ?

À cause toutefois de sa grande proximité avec le président américain, l’attribution à Elon Musk d’une partie des marchés pose de vastes questions de conflit d’intérêt. Plus qu’un conseiller, Musk est également à la tête du département de l’efficacité gouvernementale (DOGE), enchainant les licenciements dans de nombreuses administrations, en particulier celles ayant eu maille à partir avec l’une de ses entreprises (SpaceX, Starlink, Tesla et X) et les agences scientifiques.

Ces conflits d’intérêt potentiels sont soulignés depuis plusieurs semaines, notamment fin février quand la FAA a annoncé tester Starlink pour une éventuelle amélioration du contrôle aérien dans le pays. Elon Musk, la semaine précédente, claironnait sur X qu’il pouvait faire mieux que les prestataires actuels, dont Verizon, sans couter un centime au contribuable américain.

La bascule est d’autant plus intrigante qu’Elon Musk a largement pesté contre les structures ayant bénéficié de subventions, évoquant souvent gaspillage de l’argent public, notion censée avoir présidé à la création du DOGE.

En Italie, le rapprochement avec Starlink en question

Chez nos voisins italiens, le rapport avec Starlink se fait plus flou. La société y est implantée depuis 2021 et compte aujourd’hui 55 000 clients environ. Le pays est également en pourparlers avec l’entreprise américaine pour un autre projet : la création d’un réseau sécurisé de communication pour les membres du gouvernement, les diplomates et les militaires. Il serait également question de pousser Starlink dans les zones encore faiblement connectées. Giorgia Meloni, l’actuelle Première ministre italienne, n’a jamais caché son admiration pour Elon Musk et sa proximité politique.

Cependant, comme l’a rapporté Bloomberg le 5 mars, la situation devient plus complexe. Les déclarations successives de la Maison-Blanche au cours des dernières semaines, le positionnement croissant de Donald Trump en ennemi de l’Europe et l’annonce du retrait dans le soutien à l’Ukraine auraient jeté un froid sur les négociations. Elon Musk ne serait pas non plus considéré comme un partenaire fiable par le gouvernement italien. Il y a deux mois, il se disait pourtant « prêt à fournir à l’Italie la connectivité la plus sûre et la plus avancée ».

Mauvais timing

Dans un contexte géopolitique évoluant très vite vers une Europe devant se prendre en charge seule, la question est sur la table et ne peut plus être ignorée : est-ce le moment de confier les communications les plus importantes du pays au milliardaire américain, proche d’un gouvernement agressif envers l’Europe ?

Cette question lancinante est sans doute à l’œuvre depuis quelque temps, ce qui pourrait expliquer par exemple que l’Italie n’a pas encore répondu aux demandes répétées de Starlink sur la bande E. Ces fréquences (de 71 à 76 GHz et de 81 à 86 GHz) sont en effet déjà utilisées par plusieurs pays européens pour leur défense.

Impossible donc d’accéder à la demande de Starlink sans négociations avec le reste de l’Europe. Et si l’on en croit Reuters, l’entreprise demande ces fréquences depuis deux ans. « La bande E ne fait pas encore l’objet de décisions d’harmonisation […]. Cela nous incite à attendre une coordination à l’échelle de l’Union européenne », a ainsi déclaré Massimo Bitonci, ministre délégué à l’Industrie.

Eutelsat pourrait prendre la relève en Ukraine

Depuis que Washington a annoncé le retrait de son aide à l’Ukraine, une question demeure : Starlink va-t-il également plier bagage ? Le fournisseur d’accès assure dans le pays une liaison capitale pour la coordination de l’effort de guerre. La peur d’une coupure au moment crucial est désormais prégnante, comme le rapportait jeudi le Washington Post.

Selon une déclaration d’un porte-parole à Reuters, Eutelsat affirme être en mesure de prendre le relai. L’opérateur européen dispose actuellement de la deuxième plus grande constellation de satellites en orbite basse après Starlink, même si loin derrière (650 contre 7 000 environ).

Si les moyens ne sont pas les mêmes, Eutelsat assure être en capacité de fournir une connexion à l’intégralité de l’Ukraine, sans interruption. À Bloomberg, Eutelsat a indiqué que « tout le monde » lui posait la même question actuellement : « Pouvez-vous remplacer le grand nombre de terminaux en Ukraine ? Et c’est ce que nous étudions ». Car la couverture satellitaire n’est guère utile sans les terminaux capables de s’y connecter. Or, Starlink en a livré des dizaines de milliers à l’Ukraine. Eutelsat, qui a fusionné avec OneWeb en 2023, a affirmé être capable de fournir jusqu’à 40 000 nouveaux terminaux en quelques mois si on lui en donnait les moyens.

Depuis les déclarations d’Eutelsat, on note une explosion de son titre en bourse depuis quelques jours. Même si le titre est actuellement redescendu à 5,8 euros environ, il était à 1,12 euro le 4 mars, au point de provoquer un brusque revirement chez l’agence Goldman. Selon la CEO d’Eutelsat, l’Italie aurait même opéré un rapprochement, ce qu’a nié le gouvernement italien, comme le rapporte Euractiv.

L’opérateur européen commence également à déployer son réseau 5G NTN (NR), permettant d’intégrer dans des satellites dans un réseau de stations de base au sein d’infrastructures 5G.

Sur le fil de l’épée

Les questions autour de l’Italie et surtout de l’Ukraine sont au cœur des discussions sur la souveraineté nationale sur les communications. Des questions d’autant plus présentes que le groupe Thales y est allé de son commentaire cette semaine, lors d’une réunion d’information sur ses résultats financiers.

Selon Reuters, le PDG du groupe, Patrice Caine, a remis en question le modèle économique de Starlink. Il s’interroge notamment sur la nécessité de renouveler fréquemment les satellites, puisque ceux dédiés aux constellations en orbite basse n’ont qu’une durée de vie de quelques années. Autre interrogation : la rentabilité de l’entreprise américaine.

Sans citer directement Starlink, il mettait également en garde contre l’utilisation de services extérieurs pour les liaisons gouvernementales : « Les acteurs gouvernementaux ont besoin de fiabilité, de visibilité et de stabilité. Un acteur qui – comme nous l’avons vu de temps en temps – mélange logique économique et motivation politique n’est pas le genre d’acteur qui rassurerait certains clients ».

La situation de Starlink pourrait rapidement évoluer en fonction du contexte. Elon Musk va devoir réaliser un numéro d’équilibriste, car la santé financière de son entreprise dépend de nombreux facteurs, dont sa réputation. Apparaitre comme levier de pression dans des négociations pourrait être dommageable, entrainant une érosion de la confiance dans la marque.

Le milliardaire a d’ailleurs cherché hier à éteindre l’incendie. Rebondissant sur le tweet de Marco Rubio, secrétaire d’État du gouvernement américain, il a affirmé que Starlink ne menaçait pas de se retirer d’Ukraine. À la question de savoir pourquoi il ne dénonçait pas Vladimir Poutine, Elon Musk a déclaré : « J’ai littéralement défié Poutine en combat physique en un contre un pour l’Ukraine et mon système Starlink est l’épine dorsale de l’armée ukrainienne. Toute leur ligne de front s’effondrerait si je l’éteignais ». Il dit déplorer « les années de massacre », mais reste persuadé que la défaite de l’Ukraine est « inévitable ».

Nouvelle mouture pour le client e-mail de Mozilla, qui se dote d’un nouveau panneau Apparence dans les paramètres de l’application. On y trouve les options liées à l’organisation des messages en fils, au tri par défaut et à l’ordre chronologique (le plus récent tout en haut ou l’inverse).

Malgré l’utilisation d’une version française, cette partie est toujours en anglais. Dommage également de ne pas en avoir profité, quitte à être dans un panneau Apparence, pour y placer tout ce qui touche aux thèmes, ou au moins un raccourci. En revanche, l’équipe de développement a ajouté la possibilité d’appliquer les changements à l’ensemble des dossiers ou à un dossier spécifique et ses sous-dossiers.

Thunderbird 136 présente également une adaptation automatique des courriers en thème sombre, si ce dernier est utilisé. Cette bascule s’accompagne d’un bouton situé en haut à droite du panneau de lecture, pour revenir au fond blanc en cas de besoin.

Outre la correction de nombreux bugs, la nouvelle mouture apporte quelques changements interne, dont une amélioration des performances pour les personnes ayant de nombreux dossiers lors du redimensionnement des panneaux de messages. On note aussi un meilleur support des écrans HiDPI, ou encore des modifications pour les critères de fermeture des bases de données de messages inactives.

• Télécharger Thunderbird

Errare humanum est, sed lex

Alors que la proposition de loi Narcotrafic a été évidée en France d’un article qui aurait affaibli le principe du chiffrement de bout en bout, le Royaume-Uni réclame à Apple de percer une porte dérobée dans son chiffrement. La demande a conduit Apple à supprimer une fonction optionnelle. Désormais, elle contre-attaque au tribunal.

Il y aura bientôt un mois, on apprenait que le Royaume-Uni avait demandé à Apple de forer dans ses propres défenses. Pour accélérer certaines enquêtes, les forces de l’ordre pourraient ainsi obtenir des informations protégées jusqu’à présent et par défaut par le chiffrement de bout en bout. Parmi elles, les discussions dans l’application Messages, quand iMessage est utilisé entre deux appareils Apple. Au cœur du dispositif, la loi IPA (Investigatory Powers Act), surnommée « loi des fouineurs ».

• Pourquoi Apple a-t-elle coupé sa Protection avancée des données au Royaume-Uni ?

Communiquer sans communiquer

L’information était alors au conditionnel. Très peu de temps après cependant, Apple a annoncé que sa Protection avancée des données était supprimée au Royaume-Uni. Une manière pour l’entreprise d’acquiescer ? Pas vraiment, car cette option peu connue est relativement peu utilisée. Elle apporte le chiffrement de bout de bout aux autres services Apple ne l’ayant pas déjà, notamment les sauvegardes iCloud.

Surtout, ce retrait ne répondait pas à la demande du Royaume-Uni : supprimer une fonction optionnelle ne revient pas à percer le chiffrement de bout en bout. On peut supposer qu’il s’agissait à ce moment de commencer à se battre par un avertissement à la population anglaise. Outre-Manche, se rendre dans les paramètres pour activer la Protection avancée des données affiche en effet un message expliquant que la fonction n’est plus disponible dans ce pays. La société ne pouvait expliquer pourquoi : la loi IPA interdit à un prestataire de faire savoir qu’une mesure technique lui a été réclamée.

Parallèlement, Apple a publié le 24 février une note expliquant la situation, sans nommer la loi IPA bien sûr. « Nous sommes profondément déçus que nos clients au Royaume-Uni n’aient plus la possibilité d’activer la protection avancée des données », indiquait l’entreprise. « Comme nous l’avons déjà dit à maintes reprises, nous n’avons jamais construit de porte dérobée ou de clé maîtresse pour l’un de nos produits ou services et nous ne le ferons jamais ».

Devant les tribunaux

Selon le Financial Times, Apple n’a pas seulement supprimé sa Protection avancée des données au Royaume-Uni : elle s’est également rendue dans un tribunal pour s’opposer à la mesure technique. Nos confrères estiment que la procédure est secrète, expliquant pourquoi aucun écho n’était parvenu au public jusqu’à présent. Ce secret serait une conséquence directe de la loi IPA, puisque les mesures techniques ne doivent pas être communiquées.

La société américaine aurait donc fait appel devant l’Investigatory Powers Tribunal, un organe judiciaire indépendant chargé d’examiner les plaintes contre les services de sécurité britanniques. Le Financial Times cite des sources proches du dossier. Ces dernières auraient communiqué sur un autre élément important : c’est la première fois que les pouvoirs conférés par la loi IPA seraient frontalement contestés devant le tribunal spécial.

Même joueur joue encore

Il est probable qu’Apple remporte la partie. Dans ce domaine, l’entreprise a déjà fait ses armes plus d’une fois, dont un affrontement vif avec le FBI dans les mois qui ont suivi l’attentat de San Bernardino. Le Bureau avait exigé d’Apple qu’elle perce dans ses propres défenses pour récupérer les données présentes dans l’iPhone 5c retrouvé sur le corps d’un des terroristes.

Les enquêteurs ne pouvaient plus tenter de codes PIN pour déverrouiller le téléphone, par crainte de l’option entrainant une suppression complète des données en cas d’erreurs répétées. Apple avait fourni des outils, mais refusé d’affaiblir ses défenses (le code PIN est une composante de la clé de chiffrement). Le FBI avait déposé plainte, puis abandonné les poursuites : un prestataire (sans doute Cellebrite) lui avait fourni une faille de sécurité pour contourner les défenses.

• iPhone (dé)verrouillé : résumé et épilogue de l’imbroglio San Bernardino

Dans le cas du Royaume-Uni, la loi IPA « prétend s’appliquer de manière extraterritoriale, ce qui permet au gouvernement britannique d’affirmer qu’il peut imposer des exigences secrètes aux fournisseurs situés dans d’autres pays et qui s’appliquent à leurs utilisateurs dans le monde entier », déclarait Apple l’année dernière dans un témoignage remis au Parlement britannique en mars 2024. Il était alors question d’augmenter les capacités de cette loi, nombre de ses ajouts ayant été validés depuis.

Une mesure inapplicable ?

La situation est similaire à la France, dont la loi Narcotrafic aurait pu entrainer un affaiblissement du principe de chiffrement de bout en bout. Même si Bruno Retailleau, ministre de l’Intérieur, avait tenté d’expliquer qu’il ne s’agissait pas d’introduire une porte dérobée, la garantie de sécurité s’en retrouvait affaiblie. L’article 8 ter, qui aurait introduit cette obligation pour les prestataires, a finalement été supprimé le soir du 5 mars, à la faveur de plusieurs amendements de suppression adoptés.

La similitude est toutefois forte : si l’article avait été adopté, la France aurait eu la capacité de demander aux entreprises – notamment aux éditeurs de messageries sécurisées – d’instaurer un mécanisme permettant la récupération des conversations lors d’enquêtes. Ce qui revenait à exiger de lourdes modifications auprès de structures américaines.

C’est le cœur du problème. Des entreprises comme Meta et Apple préfèreront sans doute quitter cet ennuyant marché plutôt que d’introduire un affaiblissement qui aurait un impact mondial. Pour que des Anglais ou Français puissent communiquer avec le reste du monde, il faut bien que le protocole soit le même. De plus, la Maison-Blanche s’est montrée très claire sur ses intentions : l’Europe doit cesser d’embêter ses grandes entreprises.

Au Royaume-Uni, on peut constater quoi qu’il en soit un mouvement général contre le chiffrement. Comme remarqué par exemple par l’expert en sécurité Alec Muffett dans un billet de blog, les références au chiffrement disparaissent sur les pages web gouvernementales. Sur le site du NCSC (Centre national de cybersécurité du Royaume-Uni), on ne trouve plus par exemple un document donnant des conseils aux personnes à haut risque. On y trouvait d’ailleurs… la Protection avancée des données d’Apple.

Old story

Il y a quelques jours, dans une vidéo, le youtubeur Louis Rossman disait avoir constaté qu’une mise à jour de firmware dans une imprimante Brother avait rendu celle-ci dysfonctionnelle avec une cartouche d’encre compatible tierce. L’affaire fait du bruit. Pourtant, l’entreprise nie formellement avoir modifié quoi que ce soit.

Plusieurs constructeurs d’imprimantes se sont attiré les foudres de leurs clients en déployant des mécanismes visant à freiner l’utilisation des cartouches d’encre ou de toner de marques tierces, les fameuses cartouches compatibles. Dans ce domaine, HP est souvent citée. Brother, jusqu’à présent, n’avait pas emprunté cette voie. Pourtant, le youtubeur Louis Rossman, grand militant du droit à la réparation, a jeté un pavé dans la mare il y a quelques jours.

Imprimante bloquée

Dans une vidéo publiée le 3 mars ainsi que dans son wiki, Rossman évoque le cas de l’imprimante laser MFC-3750. Selon lui, la version 1.56 du firmware a entrainé un brusque changement : la calibration des couleurs ne fonctionne plus avec les toners compatibles. Cette mise à jour se serait installée seule, l’imprimante étant connectée à Internet. Pire, on ne peut pas revenir en arrière, car les anciennes versions du firmware ont été supprimées du site officiel.

Rapidement, l’affaire fait du bruit. La vidéo, repérée par Tom’s Hardware, a été vue pour l’instant 171 000 fois. Rossman y indique avoir longtemps recommandé Brother pour la facilité à utiliser des cartouches compatibles. Pour lui, Brother rejoint « les autres », terme utilisé pour pointer des entreprises comme HP et Canon, dont les technologies sont utilisées pour brider ou bloquer les cartouches tierces, par exemple en dégradant la qualité d’impression.

Sur son Wiki, Louis Rossman indique que les impacts sont concrets. Les clients qui avaient l’habitude d’économiser en achetant des cartouches compatibles doivent désormais dépenser plus, la réputation de Brother est ternie, aucun avertissement n’a été donné et les mesures pour contourner le firmware sont complexes.

Une « vieille » histoire

Quand on se rend sur la page de support de l’imprimante MFC-3750, on peut voir que la dernière version du firmware proposée par Brother est estampillée 1.60. Le constructeur aurait-il diffusé une nouvelle version au cours des derniers jours ? Il n’en est rien, car la version 1.56 abordée dans la vidéo a en fait plus de trois ans.

Le problème dénoncé par Louis Rossman n’est pas directement basé sur des observations personnelles. Sur son wiki, les références renvoient vers plusieurs sites, dont un fil Reddit datant justement de janvier 2022. Un client de Brother y décrivait justement les problèmes remontés par le youtubeur. L’utilisateur, 20Factorial, indiquait que sur les conseils du service client, il avait installé une cartouche d’origine, l’imprimante redevenant fonctionnelle.

Les autres liens renvoient vers des problèmes similaires, aboutissant à une impossibilité d’imprimer ou à une qualité d’impression dégradée. 

Pourtant, certaines personnes ne se sont pas laissé faire. West-Skin4092 indique par exemple avoir eu un message d’erreur avec une cartouche de toner compatible sur une imprimante 3770. « J’ai donc retiré la puce d’origine de la cartouche Brother et je l’ai mise sur la cartouche de toner non OEM. L’imprimante l’a reconnue et ça fonctionne », affirma-t-il il y a un mois, signe que le fil est toujours actif après trois ans. De son côté, Gloomy-Score-8279 assure avoir essayé la solution de la puce, sans succès.

Brother dément vigoureusement

Le sujet peut agacer plus d’une personne, mais il prend un tour différent avec les déclarations de Brother à Ars Technica :

« Nous sommes conscients des fausses allégations récentes suggérant qu’une mise à jour du firmware de Brother pourrait avoir restreint l’utilisation de cartouches d’encre tierces. Nous vous assurons que les mises à jour du firmware de Brother ne bloquent pas l’utilisation de cartouches d’encre d’autres marques dans nos appareils »

La société est donc droite dans ses bottes. L’entreprise élabore d’ailleurs : « Les imprimantes Brother ne dégradent pas intentionnellement la qualité d’impression en fonction de l’utilisation d’une cartouche d’encre ou de toner authentique ou non authentique ». Toutefois, la société indique ne pas pouvoir « vérifier la qualité d’impression qui résultera de l’utilisation d’une cartouche tierce compatible ».

Mais alors, d’où pourraient venir ces problèmes ? Brother a une piste : le processus Brother Genuine. La société dit bien sûr encourager l’utilisation de cartouches authentiques. Après tout, elle a conçu ce matériel. Elle ajoute que la vérification Brother Genuine, qui vérifie l’authenticité des cartouches, est une mesure courante lors des réparations. « Nous préférons effectuer un dépannage avec des consommables Brother Genuine », indique l’entreprise. Cette étape pourrait avoir donné « lieu à un malentendu ».

Et d’affirmer à nouveau qu’aucun nouveau firmware n’a jamais dégradé la qualité d’impression ou supprimé des fonctions.

Le bénéfice du doute

Comme l’indiquent nos confrères, il est difficile de vérifier l’authenticité des témoignages sur internet. Mais même s’il s’agit de véritables retours d’expérience, il est encore plus compliqué de vérifier l’origine du problème. Si l’entreprise dit vrai, les problèmes pourraient provenir d’une erreur côté utilisateur ou d’un paramètre inconnu.

Difficile donc en l’état d’affirmer d’où peut venir la panne. Des problèmes apparaissant juste après une mise à jour sont toujours suspects. Et cela d’autant plus que le problème des cartouches compatibles est connu depuis de nombreuses années. En novembre dernier, l’association HOP (Halte à l’obsolescence programmée) a ainsi déposé plainte contre HP pour, justement, obsolescence programmée de ses cartouches d’encre. Le constructeur est accusé de favoriser une surconsommation d’encre, notamment en mettant des bâtons dans les roues des personnes utilisant des cartouches compatibles ou recyclées, « vendues 30 à 70 % moins cher ».

• HOP porte plainte contre HP pour obsolescence programmée de ses cartouches d’encre

La logique est simple et connue : des imprimantes vendues à des tarifs de plus en plus bas, pour mieux vendre les consommables. Une simple pratique commerciale, différente cependant d’un éventuel blocage des cartouches recyclées ou compatibles.

Brother, quoi qu’il en soit, prend un risque en niant fermement avoir engendré ces problèmes. Si l’avenir devait prouver que l’entreprise a menti, son image serait d’autant plus écornée et la voie serait ouverte à des plaintes en bonne et due forme.

Apple a présenté hier soir ses nouveaux MacBook Air et Mac Studio. Sur ces derniers, la société laisse le choix entre un M4 Max (que l’on trouvait déjà sur les MacBook Pro haut de gamme) et une puce M3 Ultra, de génération précédente mais embarquant un grand nombre de cœurs CPU et GPU. Nous avons détaillé ses caractéristiques dans un précédent article.

• Récap’ des puces Apple Silicon : M1 à M4, avec les versions Pro, Max et Ultra

Comme le signale cependant MacG, le communiqué de presse d’Apple contenait une petite information, presque cachée dans une section consacrée à macOS Sequoia : « Le mois prochain, macOS Sequoia 15.4 permettra aux utilisateurs de configurer plus facilement leur MacBook Air avec leur iPhone. Il suffira aux utilisateurs de rapprocher leur iPhone de leur Mac pour se connecter à leur compte Apple de manière simple et pratique, et accéder à leurs fichiers, leurs photos, leurs messages, leurs mots de passe et plus encore sur leur MacBook Air ».

Bien qu’Apple mentionne directement le MacBook Air, cette nouveauté sera en fait présente sur tous les Mac équipés de macOS 15.4. De là, on pourra rapprocher un iPhone sous iOS 18.4 lors de la configuration initiale du Mac pour récupérer les informations de base, le compte Apple et autres paramètres.

Cette manipulation existe déjà pour les appareils iOS depuis quelques années. Elle a d’abord été pensée comme un moyen plus rapide de paramétrer un nouvel iPhone quand on dispose encore de l’ancien. Les iPad l’avaient ensuite rapidement obtenue. Les Mac sont donc les prochains.

À noter qu’il ne s’agit pas complètement d’une nouveauté. Il y a deux semaines, 9to5Mac avait repéré un code lié à la fonction dans la bêta de macOS 15.4.

Les personnes se souvenant des débuts de Twitter et qui avaient un iPhone à cette époque ont peut-être utilisé Tweetbot. Elle date d’un temps où Twitter, bien avant de s’appeler X, autorisait encore les applications tierces.

Tweetbot était largement appréciée. Payante (environ 5 dollars/euros), elle était connue pour être particulièrement rapide, avec un poids plume : moins de 10 Mo, quand Twitter dépassait déjà les 150 Mo. En outre, Tweetbot était un client à part, il n’affichait aucune publicité. Cette époque « dorée » a pris fin quand Twitter a décidé de durcir les conditions d’accès à l’API, limitant notamment le nombre de personnes pouvant utiliser un même client tiers, avant d’interdire ces derniers.

• Twitter interdit les clients tiers pour son service

Si Tweetbot est abandonné depuis longtemps, son éditeur Tapbot a appliqué la même recette depuis à Mastodon avec son application Ivory, qui n’existe là encore que pour iOS. Et alors que le fondateur de l’entreprise, Paul Haddad, avait indiqué ne plus jamais avoir à faire à Jack Dorsey, voilà qu’une autre application mobile est en préparation, cette fois pour Bluesky.

Sur la page créée pour l’occasion, Tapbot indique ne pas quitter Mastodon, mais obéir simplement à un déplacement d’une partie de sa clientèle vers Bluesky. Financièrement, l’éditeur indique ne pas pouvoir tenir avec uniquement Mastodon. Il explique également que Phoenix sera une application dédiée, pour que l’expérience soit « bien meilleure ». Un moyen de publier sur plusieurs réseaux sera cependant ajouté.

On apprend également que le développement se fera simultanément sur Ivory et Phoenix. « Une fois Phoenix sorti, le développement se fera simultanément et les deux applications bénéficieront de toutes les améliorations que nous avons planifiées pour l’ensemble des applications. Nous avons encore une longue liste d’améliorations à apporter à Ivory (et par conséquent à Phoenix) », indique Tapbot.

Phenix est prévu pour cet été, avec une version alpha publique limitée « dès que possible ».