Adobe a lancé une application pour iOS destinée à la prise de photos. Elle propose une approche de « photographie computationnelle » qui a fait les grandes heures des Pixel à leur sortie. « Les gens se plaignent souvent du « look smartphone » : luminosité excessive, faible contraste, forte saturation des couleurs, lissage et accentuation importants », indique la société.
Project Indigo, c’est son nom, est donc la réponse d’Adobe à ce problème. Le principe est simple : l’application prend jusqu’à 32 clichés pour une seule prise de vue, afin de récupérer plus de détails sur la lumière et de réduire le bruit. Ce principe est déjà appliqué par Apple dans son application intégrée, mais Adobe pousse le concept plus loin.
Il existe un temps de traitement qui se voit à l’usage et qui peut atteindre plusieurs secondes selon l’appareil que vous utilisez. La compatibilité est d’ailleurs limitée, puisqu’il faut avoir au moins un iPhone 12 Pro, un iPhone 13 Pro, un iPhone 14 ou un modèle ultérieur. Pour une expérience « optimale », Adobe recommande cependant un iPhone 15 Pro au moins.
Un traitement spécifique s’applique également quand le zoom dépasse les capacités de l’optique sur l’appareil, pour tenter là aussi d’avoir une image plus nette. La technique n’utilise pas l’IA à la manière d’un traitement « super resolution » classique comme sur les jeux vidéo, mais se base sur les micro-décalages engendrés par les tremblements de la main pour reconstituer la scène.
L’application dispose de nombreux contrôles manuels. On peut ainsi changer rapidement la mise au point, la sensibilité ISO, la vitesse d’obturation, la balance des blancs ou encore la compensation de l’exposition. Par défaut, l’application enregistre ses clichés au format JPG, mais on peut aussi exporter en RAW. On peut aussi contrôler le nombre d’images dans la rafale. Indigo propose égaussi un bouton pour l’exposition longue.
L’application est gratuite et ne réclame pas de compte Adobe. Dans le descriptif, on peut lire qu’elle sera régulièrement mise à jour. Et pour cause, elle est publiée par Adobe Labs et est considérée comme un projet de recherche, ce qui explique son nom. Rien ne dit que l’application restera disponible de manière définitive. Ses fonctions seront peut-être intégrées plus tard dans une application payante destinée à concurrencer certains ténors du domaine, comme Halide Mark II. Seul vrai problème pour l’instant, l’application n’existe qu’en anglais.
Aujourd’hui, deux importants règlements européens entrent en application. L’étiquette énergétique fait ainsi officiellement son entrée pour les smartphones et les tablettes. En outre, les fabricants ont désormais plusieurs nouvelles obligations, notamment sur les pièces détachées et les mises à jour des systèmes d’exploitation.
Beaucoup les attendaient, ils sont enfin là : les règlements UE 2023/1669 (Energy Labelling) et UE 2023/1670 (Ecodesign) entrent en application aujourd’hui. À la clé, une série d’obligations pour les fabricants de smartphones et de tablettes. Rappelons qu’un règlement, comme le RGPD, s’applique de manière uniforme sans nécessiter de transposition, contrairement aux directives. Ils peuvent cependant donner lieu à des interprétations différentes selon les pays membres de l’Union.
Le premier règlement est le plus visible dans ses conséquences : tous les smartphones et tablettes commercialisés doivent désormais être accompagnés d’une étiquette énergétique. Il y a des exceptions : les produits d’occasion ne sont pas concernés, pas plus que les smartphones disposant d’écrans flexibles et ceux conçus « pour la communication de haute sécurité ».
L’étiquette reprend le même modèle que pour l’électroménager, avec une note allant de A, pour les appareils les plus vertueux, à G pour les moins efficaces. Ces étiquettes s’accompagnent cependant de plusieurs autres informations importantes.
La nouvelle étiquette énergie
Que trouve-t-on sur cette étiquette ? Déjà, la classe énergétique, qui reflète le ratio entre la capacité de la batterie et son autonomie estimée. En haut à droite de la fiche, un code QR renvoie vers la fiche du produit dans la base de données européenne Eprel (European Product Registry for Energy Labelling). Une information que remet en avant le ministère de la Transition écologique dans son communiqué.
À gauche, la fiche du Galaxy S25+ de Samsung. À droite, la fiche de l’iPhone 16 Pro
Sous l’échelle colorée, on trouve l’autonomie estimée de l’appareil. Celle-ci est basée sur une utilisation jugée standard, mêlant de la navigation web, des appels téléphoniques, des jeux, des transferts de données ainsi que des périodes de veille. Le cycle est répété jusqu’à épuisement de la batterie et extinction de l’appareil.
Viennent ensuite quatre pictogrammes disposés en carré. En haut à gauche se trouve la note de résistance aux chutes. Pour obtenir la note maximale, comme on peut le voir en Annexe II du règlement, un smartphone doit résister à un minimum de 270 chutes d’une hauteur de 1 m. Les modèles repliables (mais sans écran flexible) ont des exigences moindres : 210 chutes quand ils sont fermés, 45 quand ils sont ouverts. Les tablettes doivent résister au moins à 208 chutes, avec une différence là aussi pour les modèles pliables : 182 pour une tablette repliée, 20 quand elle est ouverte.
À sa droite se situe la note de réparabilité, également donnée via une lettre, toujours avec la même échelle. Elle prend en compte des critères comme la documentation et l’accès aux pièces détachées. En bas à gauche, on peut voir le nombre de cycles que la batterie peut endurer avant d’atteindre 80 % de sa capacité d’origine, pourcentage à partir duquel on considère qu’elle est usée et devrait faire l’objet d’un remplacement. Enfin, en bas à droite, on trouve l’indice IP, qui reflète la résistance à la pénétration de l’eau et des poussières.
Efficacité et critiques
Pour Que Choisir, l’étiquette est globalement une bonne information. Le magazine exprime cependant « quelques réserves », car ce nouvel affichage représente avant tout un compromis entre législateur, industriels et laboratoires. « L’intérêt commercial n’est jamais bien loin », estiment nos confrères.
Se pose ensuite la question du contrôle, car les informations fournies sur ces étiquettes sont déclaratives. En clair, les constructeurs pourraient être tentés de tricher. En France, ce sera à la DGCCRF de s’occuper de contrôler les informations, comme elle le fait sur les étiquettes déjà présentes sur l’électroménager depuis des années. Sur les 350 entreprises contrôlées en 2023, la moitié d’entre elles étaient hors des clous.
Du côté de l’association HOP (Halte à l’obsolescence programmée), on se dit « très déçu » par cette nouvelle étiquette. Comme elle l’avait déjà expliqué, cette étiquette remplace en effet le projet français dans ce domaine, supplanté par la version européenne. L’association regrettait déjà un nombre plus important de compromis et le retrait de certaines informations.
HOP critique en particulier « le caractère non agrégé » de la fiche, avec plusieurs notes séparées qui rendent incommode la comparaison des appareils. Autre point problématique, également souligné par Que Choisir, le prix des pièces détachées n’est pas pris en compte dans l’indice de réparabilité, alors que la version française le faisait. La seule disponibilité n’est pas suffisante en effet, dès lors que le prix des pièces peut s’envoler et décourager la clientèle face à la réparation, au profit d’achats neufs.
En revanche, HOP se réjouit de l’entrée en vigueur de l’autre règlement, qui touche cette fois à l’écoconception.
Mises à jour : cinq ans au moins de correctifs de sécurité
Bien que plus discret, l’autre règlement va avoir des conséquences profondes sur le marché des smartphones et tablettes.
L’une de ses principales mesures est ainsi de rendre obligatoire un support de cinq ans minimum sur les mises à jour logicielles. Attention, on parle de cinq ans pour les mises à jour de sécurité.
Ces correctifs sont cruciaux pour l’entretien d’un appareil, car les failles non corrigées peuvent être rapidement exploitées dans de vastes campagnes de piratage. C’est particulièrement vrai dans le monde Android : les constructeurs ont lancé de très nombreux modèles d’entrée de gamme, dont l’entretien logiciel ne dépassait parfois pas les deux ans. Ce qui a participé à l’image du smartphone comme « un produit jetable » pour une partie de la population.
Ce n’est pas tout : les constructeurs auront un temps limité pour publier ces mises à jour. Ils auront ainsi 4 mois pour répercuter un correctif de sécurité sur un appareil si son code source a été publié ou s’il a été mis à disposition d’un autre appareil de la même marque. Ce délai passe à 6 mois pour les mises à jour de fonctionnalités.
En outre, les mises à jour fonctionnelles devront avertir si elles risquent d’entrainer un impact négatif sur les performances. Les fabricants seront tenus de modifier la nouvelle version pour que cet impact disparaisse, à moins que l’utilisateur donne son consentement exprès pour l’installation. Un joli casse-tête en perspective pour les entreprises impliquées.
Une évolution majeure donc, car les plus longs supports étaient souvent gardés pour les modèles les plus haut de gamme. L’industrie a cependant senti le vent tourner et a commencé à réagir. Depuis deux ans par exemple, Google assortit ses Pixel d’une période de sept ans, comprenant les mises à jour majeures d’Android. Samsung a fait de même sur les gammes Galaxy S24 et S25. Apple, longtemps en tête dans ce domaine, garantit officiellement des mises à jour pour cinq ans, même si cette période va souvent plus loin.
7 ans minimum de disponibilité pour les pièces détachées
L’autre grande mesure de ce règlement concerne la disponibilité des pièces détachées pour les smartphones et tablettes. Elle doit être d’au moins sept ans, avec un découpage en deux phases. Durant les cinq premières années, les pièces doivent être disponibles en un maximum de cinq jours. Pour les deux dernières années (et les éventuelles années supplémentaires), la disponibilité doit se faire sous dix jours.
Le même règlement définit également plusieurs autres mesures. Par exemple, la batterie d’un smartphone ou d’une tablette doit pouvoir assurer un minimum de 800 charges avant descendre à 80 % de capacité.
Un smartphone non pliable doit également résister à un strict minimum de 45 chutes (sans protection), chiffre qui passe à 35 pour un smartphone plié et 14 pour un déplié. Les fabricants doivent aussi veiller « à ce que l’écran de l’appareil passe le niveau de dureté 4 sur l’échelle de dureté de Mohs », afin de résister aux rayures.
Et encore d’autres mesures
Plusieurs mesures sont ajoutées pour simplifier la réparation des appareils. À l’exception de la batterie, toutes les pièces détachées doivent pouvoir être facilement manipulées, sans outils, avec des outils courants ou fournis directement. Les éléments de fixation doivent être amovibles, renouvelés ou réutilisables.
Les batteries sont à part et leur remplacement dépend d’un paramètre important : l’indice IP67. Si l’appareil est certifié ou dispose d’une certification plus élevée, la réparation peut être confiée à un réparateur professionnel. Toujours en ce qui concerne la batterie, son état de santé doit pouvoir être accessible depuis les réglages de l’appareil, tout comme le nombre de cycles déjà écoulés ou encore la date de première utilisation.
Le règlement évoque également la question du chiffrement, le texte utilisant d’ailleurs le mot « cryptage ». Tous les appareils sont ainsi tenus de chiffrer par défaut les données de l’utilisateur enregistrées « dans la mémoire interne », à l’aide d’une clé aléatoire. Une fonction doit être présente pour réinitialiser complètement le téléphone, en effaçant la clé et en en générant une nouvelle.
Toutes ces mesures sont également entrées en application aujourd’hui dans toute l’Union européenne. Précisons qu’elles s’appliquent uniquement aux nouveaux appareils commercialisés à compter d’aujourd’hui, contrairement à l’étiquette qui, elle, s’applique déjà à tous les produits existants.
Il aura fallu des années, mais Facebook va enfin intégrer le support des clés d’accès (passkeys) dans ses applications mobiles pour Android et iOS. Le déploiement de cette fonction commence tout juste, il est donc possible que vous ne l’ayez pas encore.
Comme nous le rappelions récemment, les clés d’accès sont un moyen plus sécurisé que les mots de passe pour protéger l’authentification. Mettant en contact une clé publique détenue par l’éditeur et une clé privée stockée par l’internaute dans une enclave sécurisée. Cette négociation se fait par l’intermédiaire d’un jeton émis par la clé privée, de façon à ne jamais la faire sortir de sa zone protégée.
Alors que les clés d’accès sont gérées par une grande partie des éditeurs – notamment Microsoft, Apple et Google – depuis des années, Facebook commence tout juste à s’en équiper. Et on parle bien de Facebook : Messenger n’est pas encore concerné, Meta précisant dans son communiqué que la messagerie l’aura « dans les prochains mois », sans plus de précision pour l’instant. Qu’on se rassure, la même clé d’accès créée pour Facebook fonctionnera aussi pour Messenger.
Pour créer une clé de sécurité, il faut se rendre dans les paramètres de l’application, puis dans Espace comptes, et enfin dans la section « Mots de passe et sécurité ». Si votre compte a été mis à jour avec cette capacité, une ligne « Clés d’accès » apparaitra.
Attention : le stockage de la clé de sécurité a toute son importance. Selon l’appareil que vous utilisez et le gestionnaire de mots de passe que vous avez, la clé pourra se retrouver plus ou moins facilement sur les autres appareils. Dans l’absolu, l’absence de clé d’accès n’est pas non plus un problème, car le mot de passe peut toujours être utilisé.
Début mai, Microsoft a annoncé deux changements importants pour le développement de pilotes à destination de Windows. D’abord, la suppression des métadonnées et des Windows Metadata and Internet Services (WMIS). Ensuite, l’autorité de certification a changé pour la signature des pilotes en préproduction, à cause de l’expiration de la précédente, prévue pour le mois prochain.
L’éditeur vient d’annoncer un autre changement, cette fois plus radical. Comme il l’explique dans un billet, il va lancer prochainement un grand ménage sur Windows Update pour en supprimer tous les anciens pilotes destinés au matériel. Un mouvement décrit comme « stratégique », pour se débarrasser enfin des pilotes n’étant pas au niveau de qualité attendu, « afin de réduire les risques de sécurité et de compatibilité ».
Ce grand nettoyage va se faire en plusieurs étapes. La première consiste à ne supprimer que les pilotes ayant un remplaçant plus moderne. « Techniquement, l’expiration d’un pilote signifie la suppression de toutes ses attributions d’audience dans le Hardware Development Center, ce qui empêche Windows Update de proposer ce pilote à des périphériques », précise Microsoft.
Quand ce premier coup de balai sera passé, l’éditeur publiera un autre billet pour annoncer la fin de cette étape. Les constructeurs auront alors six mois « pour faire part de leurs préoccupations ». Après quoi, le ménage continuera, dans des conditions qui restent à préciser.
Dans tous les cas, Microsoft prévient : « À l’avenir, attendez-vous à ce que ce nettoyage devienne une pratique de routine et préparez-vous à l’introduction de nouvelles directives de publication qui aideront tous les utilisateurs de Windows à maintenir leurs systèmes dans un état sûr et fiable ». La firme ajoute que chaque opération de ce type sera accompagnée d’une communication abondante.
Le nettoyage n’est en tout cas pas surprenant. On sait depuis longtemps que 85 % des écrans bleus sont causés par des pilotes. Microsoft a régulièrement rendu le cadre de développement plus strict et opéré des changements importants, comme réserver l’espace noyau aux seuls pilotes graphiques.
Depuis quelques jours, la presse américaine évoque les « OpenAI Files ». Ce regroupement d’informations, essentiellement des témoignages, a été créé par deux ONG pour sensibiliser sur la gouvernance actuelle d’OpenAI. Particulièrement visé, Sam Altman n’est pas jugé digne de mener la course vers l’AGI.
Les « OpenAI Files » ne sont pas une compilation de documents volés, comme l’ont été en leur temps les fameux Pentagon Papers ou, plus récemment, les publications de WikiLeaks et les Panama Papers. Il s’agit d’une bibliothèque regroupant de nombreux témoignages, dont d’anciens employés de l’entreprise.
Ces « dossiers OpenAI », et le site qui les accompagne, ont été créés par deux organisations, Midas Project et Tech Oversight Project, spécialisées dans la surveillance technologique. Ils se veulent « la collection la plus complète à ce jour de préoccupations documentées concernant les pratiques de gouvernance, l’intégrité du leadership et la culture organisationnelle d’OpenAI ».
Que disent ces dossiers ?
Le site contient de nombreuses informations faisant le tour d’une thématique centrale : la gouvernance d’OpenAI et donc l’influence de Sam Altman, son CEO actuel.
On rappelle ainsi qu’OpenAI a été fondée en 2015 en tant qu’organisation à but non lucratif dans un seul but : parvenir à l’AGI (intelligence artificielle générale) et s’assurer qu’elle profite à toute l’humanité. Mais, dès 2019, une filiale à but lucratif est créée pour faciliter les investissements. Elle fonctionne sur la base d’un facteur 100x. Ainsi, chaque dollar investi ne peut rapporter qu’un maximum de 100 dollars. Au-delà, les profits partent à la structure d’origine, qui a en théorie le contrôle sur toutes les décisions. Ce chiffre aurait depuis été abaissé à 20x, puis à « un seul chiffre », selon un article du New York Times en 2021.
Les dossiers dressent un inventaire de tout ce qui s’est passé dans l’entreprise, à travers le prisme d’une AGI qui profiterait véritablement à tout le monde.
Éviction de Sam Altman, le choc de 2023
L’idée de constituer cette base n’est pas neuve. Elle est née en 2023 avec l’épisode rocambolesque de l’éviction de Sam Altman du conseil d’administration et de sa place de CEO. On apprenait peu après que le conseil d’administration lui reprochait un « manque constant de franchise dans ses communications ». Il n’avait donc plus confiance en la capacité d’Altman à diriger et à respecter la mission d’origine.
Mais, comme nous l’avions relaté, tout s’est très vite déréglé. La quasi-totalité des employés (plus de 700 sur 770) a menacé de démissionner pour suivre Altman, où qu’il aille. Dès le lendemain, Microsoft faisait une annonce tonitruante : Sam Altman est embauché pour créer une nouvelle division IA au sein du géant et tous ceux qui le voudront pour l’accompagner. Microsoft est à ce moment, et de très loin, le plus gros investisseur d’OpenAI, avec 13 milliards de dollars et des contrats d’exclusivité.
La pression qui s’exerce alors sur le conseil d’administration devient trop forte. Devant la fronde générale et plutôt que de provoquer l’implosion de l’entreprise, le conseil d’administration se ravise, capitule et fait revenir Sam Altman dans ses attributions. Le nouvel ex-CEO provoque le remaniement complet du conseil. En tout, il se sera écoulé moins de cinq jours.
Les dossiers reviennent sur ces évènements, via notamment les témoignages d’Helen Toner et Tasha McCauley, deux anciennes membres du conseil d’administration. On y retrouve des passages et résumés de leurs déclarations dans divers médias et podcasts. Elles y dénonçaient son manque de transparence et ses mensonges répétés, comme lorsque le conseil a découvert le lancement de ChatGPT sur le compte Twitter d’OpenAI. Altman aurait créé le fonds d’investissement OpenAI Startup Fund sans informer le conseil, masquant un conflit d’intérêt. Il serait également la source d’une atmosphère toxique, de manœuvres d’intimidation et même de tentatives de manipulation du conseil, notamment pour faire renvoyer Helen Toner.
Quatre grands domaines de préoccupation
Sur le site des dossiers, on trouve des informations réparties en quatre onglets, qui représentant autant de domaines de préoccupation : restructuration, intégrité du CEO, transparence & sécurité, et conflits d’intérêt.
Chaque onglet liste plusieurs sujets forts et s’accompagne d’un bouton menant vers une « analyse complète ». Dans les conclusions de l’onglet Restructuration, on peut ainsi lire qu’OpenAI compte supprimer le plafond des bénéfices, que l’entreprise n’est pas sincère dans sa volonté de laisser la structure à but non lucratif en charge des décisions, ou encore qu’elle procèderait à tous ces changements pour rassurer des investisseurs désireux d’apporter des réformes structurelles. Ils auraient notamment demandé des rendements illimités sur les investissements, ce qui couperait tout financement à la structure d’origine. Et pour cause : en septembre 2024, Sam Altman ne cachait plus ses ambitions.
L’intégrité du CEO est pointée du doigt, ou plutôt son absence présumée d’intégrité. Selon les informations recueillies, les cadres supérieurs de chacune des trois entreprises qu’il a dirigées ont tenté de le démettre de ses fonctions. Son comportement à Y Combinator aurait été qualifié de « trompeur et chaotique », avec des accusations d’absentéisme et de course à l’enrichissement personnel. Il aurait menti sur les accords très restrictifs de non-divulgation (NDA) imposés aux salariés et aurait cherché à semer la zizanie dans le conseil d’administration, en faisant notamment courir le bruit qu’un membre cherchait à en évincer un autre.
Ces NDA sont d’ailleurs un argument central dans la partie critiquant la transparence et la sécurité au sein de l’entreprise. Ces documents menaçaient les employés de perdre tous leurs droits acquis s’ils critiquaient l’entreprise, même en cas de démission. Les évaluations de sécurité auraient été bâclées et l’entreprise n’aurait pas respecté ses engagements sur l’écoute de ses employés, surtout quand ils auraient cherché à faire part de leurs préoccupations.
Enfin, les dossiers pointent de nombreux conflits d’intérêt, notamment au sein du « nouveau » conseil d’administration, à commencer par Sam Altman lui-même. Il aurait ainsi répété devant le conseil n’avoir aucun intérêt personnel financier dans OpenAI, mais aurait nettement investi dans plusieurs partenaires de l’entreprise, dont Retro Bioscences et Rewind AI, dont le succès est alimenté en partie par celui d’OpenAI.
L’idéal derrière les OpenAI Files
Les dossiers, en recoupant de nombreux témoignages, cherchent à mettre une certaine forme de pression sur une entreprise accusée d’avoir modifié sa course et ses objectifs. Le remaniement du conseil d’administration, suite au retour de Sam Altman, en serait la preuve éclatante. Parmi les nouveaux arrivants, on pouvait en effet remarquer des personnalités telles que Bret Taylor, ancien co-dirigeant de Salesforce, ou encore Larry Summers, ancien secrétaire au Trésor américain.
Dans le sillage de ces nouvelles nominations, le conseil a diligenté une enquête interne sur le renvoi de Sam Altman. Conclusion : le renvoi n’était pas justifié par des préoccupations concernant la sécurité des produits, la situation financière de l’entreprise ou ses déclarations aux investisseurs. Les déclarations des anciens membres, particulièrement d’Helen Toner, sont réfutées, le conseil ayant exprimé sa « déception » de la voir soulever des sujets qu’il considère comme classés.
Les deux organisations à l’origine de ces OpenAI Files pointent ce qui est désormais décrit comme un conflit philosophique profond au sein de l’entreprise. Sa charte fondatrice contenait des missions de sécurité et d’éthique. Mais tout aurait changé sous l’impulsion d’une course effrénée au développement et à la commercialisation de produits, largement alimentée par Sam Altman. En filigrane, on retrouve la crainte que la pression pour générer des profits ne prenne définitivement le pas sur l’idée d’une IA sûre, éthique et responsable. Cette tension structurelle aurait été illustrée dès 2019 par la création de l’entité à but lucratif.
En mai, alors qu’une partie des documents était déjà publiée, OpenAI a quand même annoncé un changement de gouvernance. Pas question d’entreprise à but lucratif classique, mais une structure capitalistique accompagnée d’une mission d’intérêt public (Public Benefit Corporation, ou PBC). « OpenAI n’est pas une entreprise normale et ne le sera jamais », a alors promis Sam Altman.
À The Verge, Tyler Johnston, directeur du Midas Project, a déclaré : « Nous sommes dans un projet d’archives, où nous montrons comment était OpenAI à l’époque, comment elle est aujourd’hui… Nous mettons simplement ces informations devant le lecteur et lui demandons de tirer ses propres conclusions sur ce qu’il doit en faire ». La mission de surveillance va donc continuer, les changements annoncés le mois dernier étant eux aussi référencés.
Les chercheurs de la société de sécurité Qualys ont publié des informations sur deux failles, CVE-2025-6018 et CVE-2025-6019. Leur exploitation conjointe permet d’obtenir des droits root, donc complets sur le système.
CVE-2025-6018 réside dans la configuration de Pluggable Authentication Modules (PAM) d’openSUSE Leap 15 et de SUSE Linux Enterprise 15. Elle permet à un attaquant local sans privilège d’obtenir les droits « allow_active » d’un utilisateur connecté localement. Pas besoin pour l’attaquant d’être physiquement présent : une session SSH distante fonctionne aussi.
Pour comprendre la faille, il faut savoir que PAM est chargé de contrôler comment les utilisateurs s’authentifient et démarrent les sessions Linux. La faille réside dans une erreur de configuration. Et quelle erreur, puisque PAM traite toute connexion locale comme si la personne était physiquement présente devant la console. Dans le cas présent, l’exploitation réussie de cette faille autorise celle de la seconde.
Celle-ci, CVE-2025-6019, se situe dans la bibliothèque libblockdev et peut être exploitée via le service (daemon) udisks pour obtenir les droits root. Contrairement à la première faille, cette vulnérabilité peut être exploitée dans toutes les distributions où le service udisks est activé par défaut, autrement dit la grande majorité. Le service établit un pont entre les droits allow_active et root, permettant de décrocher le précieux sésame, l’attaquant obtenant alors carte blanche.
« Ces exploits modernes « local-to-root » ont réduit le fossé entre un utilisateur connecté ordinaire et une prise de contrôle complète du système. En enchaînant des services légitimes tels que les montages en boucle udisks et les bizarreries PAM/environnement, les attaquants qui possèdent une interface graphique ou une session SSH active peuvent franchir la zone de confiance allow_active de polkit et prendre le contrôle du système en quelques secondes. Rien d’exotique n’est nécessaire : chaque lien est préinstallé sur les distros Linux courantes et leurs versions serveur », indique Saeed Abbasi, responsable chez Qualys.
Les correctifs nécessaires sont en cours de diffusion dans un nombre croissant de distributions Linux. Il est donc recommandé de vérifier leur disponibilité. Les chercheurs pointent une méthode en attendant : dans les règles de Polkit, modifier « org.freedesktop.udisks2.modify-device » pour qu’une authentification administrateur soit systématiquement réclamée. Le paramètre « allow_active » doit alors être modifié en « auth_admin ».
Nouvelle version majeure pour la suite bureautique open source. Rappelons qu’OnlyOffice est proposé en deux variantes. La première, Docs, est une version hébergée sur un serveur et donnant accès aux applications web sur des postes clients. L’autre est la suite logicielle classique à installer (Windows, macOS ou Linux), qui récupère les nouveautés de Docs avec un léger décalage.
C’est bien la version 9.0 de Docs qui a été annoncée hier. Les nouveautés y sont nombreuses, dont une modernisation de l’interface. La suite en a fait très rapidement un argument, l’équipe étant consciente que l’interface datée de LibreOffice, presque rébarbative, était une opportunité. OnlyOffice reprend ainsi largement ce que l’on connait dans la suite Office de Microsoft, avec notamment les rubans repliables. Les nouveaux thèmes se nomment Modern Light et Modern Dark et peuvent être changés dans les options.
L’édition des PDF fait également un grand bond. La modification peut maintenant se faire en collaboration temps réel, annonce l’entreprise. On peut réarranger les pages du document par des glisser-déposer dans la colonne des vignettes, ou encore les dupliquer par les raccourcis classiques Ctrl + C et Ctrl + V.
OnlyOffice Docs 9.0 est aussi la première version de la suite à proposer des fonctions basées sur l’IA. Elle l’utilise pour quelques outils, dont l’extraction de texte dans les PDF et une meilleure automatisation des macros et formules dans les feuilles de calcul.
Parmi les autres nouveautés, citons un bouton d’accès rapide pour les bordures de paragraphe et de meilleurs contrôles de contenus dans le traitement de texte, la prise en charge des boutons personnalisés via des plugins, un support amélioré des langues s’écrivant de droite à gauche, ou encore l’ajout d’un dictionnaire pour la vérification orthographique en arabe.
Signalons enfin le support de plusieurs nouveaux formats de fichiers, dont le Markdown (.md). OnlyOffice Docs 9.0 peut lire et modifier également les fichiers Visio (.vsd et .vsdx), OpenDocument Graphics (.odg) et Excel Binary (.xslb).
Les versions 9.0 des conteneurs peuvent être récupérées depuis le site officiel. La version Enterprise, la plus complète, réclame une licence payante. La version Community, sans support dédié, est gratuite. Les applications natives, elles, devraient arriver dans les semaines qui viennent.
Amazon Web Services tenait cette semaine sa conférence re:Inforce. L’un de ses objectifs est de rassurer l’Europe en insistant et détaillant ses annonces sur la souveraineté technique via des offres dédiées. Une philosophie différente de Microsoft sur le sujet, mais qui présente la même faiblesse centrale sur le cloud public : la perméabilité aux lois américaines.
Début juin, AWS a présenté une nouvelle offre « souveraine » pour l’Europe. Estampillée logiquement European Sovereign Cloud, elle pousse des critères exclusifs au Vieux continent. alors que Microsoft a dégainé sa propre arme dans ce domaine, en visant à la fois le cloud public, le cloud privé et les installations hybrides sur site, AWS se concentre sur le cloud public.
La société tient depuis lundi sa conférence re:Inforce, centrée sur la sécurité. Si elle est dédiée aux offres cloud de l’entreprise et à la séduction des acteurs qui n’auraient pas encore gouté au cloud d’Amazon, AWS en a profité pour revenir sur son European Sovereign Cloud et son fonctionnement, apportant au passage quelques détails.
De quoi parle-t-on ?
L’European Sovereign Cloud est un cloud public, physiquement et logiquement séparé des autres régions AWS. La conséquence la plus directe est que l’offre n’existe pas encore. Contrairement à Microsoft qui va adapter petit à petit ses centres dans son initiative Sovereign Public Cloud, AWS part directement sur de nouvelles infrastructures.
La première région sera implantée dans le Brandebourg, en Allemagne, avec un investissement de 7,8 milliards d’euros jusqu’en 2040. L’infrastructure doit être prête d’ici la fin de l’année et sera dirigée par Kathrin Renz, vice-présidente allemande d’AWS Industries. Les deux autres membres de la direction (DPO et RSSI) seront également des citoyens européens résidant au sein de l’Union.
Cette infrastructure est donc pensée pour l’Europe, sans dépendance vis-à-vis d’une autre infrastructure non-européenne. Le contrôle et l’exploitation doivent être 100 % européens, assurés par des « résidents européens », y compris l’accès aux centres de données, l’assistance technique et le service client.
Par défaut, tous les outils de gestion des coûts, la facturation et l’interface de la console seront paramétrés en euros. Rappelons que les États-Unis peuvent engager des poursuites sur la base de transactions effectuées en dollars. C’est l’un des aspects de l’extraterritorialité du droit américain. Pour les clients le souhaitant, l’euro pourra être remplacé par une autre devise par défaut.
L’offre d’Amazon aura sa propre infrastructure réseau, avec une connectivité dédiée, via Direct Connect. Le DNS d’Amazon, Route 53, sera également présente sous une forme spécifique et autonome. L’European Sovereign Cloud aura aussi sa propre autorité de certification européenne « racine ». Ces trois éléments seront disponibles au lancement du premier centre. Cette offre européenne s’accompagnera en outre d’un centre d’opérations de sécurité (SOC) dédié.
Lors de son annonce, Amazon mettait largement en avant son « étroite collaboration » avec le BSI, l’équivalent allemand de l’ANSSI. Au moment de lister les certifications de l’European Sovereign Cloud, on retrouvait ainsi des normes comme ISO/IEC 27001:2013, les rapports SOC 1/2/3 ou encore la qualification C5 du BSI. Rappelons que si C5 est la plus haute qualification de sécurité du BSI, elle ne tient pas compte du caractère extraterritorial des législations non-européennes. Les écarts de vision entre l’Allemagne et la France ont notamment été au cœur des chambardements dans la genèse de la direction EUCS, aujourd’hui au point mort.
Stratégie de la forteresse
Lors de la conférence re:Inforce, Amazon Web Services n’a rien annoncé de véritablement nouveau. Toutefois, l’entreprise s’est servie de son évènement pour faire intervenir des experts sur le sujet, renforcer son message en revenant notamment sur certains points, particulièrement la sécurité.
Par exemple, l’authentification à facteurs multiples sera obligatoire et activée par défaut pour l’ensemble des comptes root des clients. On a également vu des annonces sur l’extension du service de détection des menaces Amazon GuardDuty aux environnements de conteneurs EKS, ou encore une nouvelle version du Security Hub pour rassembler et prioriser les alertes de sécurité.
Si Amazon communique autant, c’est que l’entreprise n’avait proposé encore aucune solution concrète en matière de souveraineté. Là où Google et Microsoft commercialisaient déjà des produits dédiés. Microsoft vient d’ailleurs de renforcer son offre.
AWS présente ainsi en grande pompe sa forteresse numérique à destination de l’Europe. Toute la structure juridique est européenne, avec une maison mère et trois filiales, toutes constituées en Allemagne. Amazon vante même la création d’un conseil consultatif indépendant, qui pourra embarquer jusqu’à trois employés européens d’Amazon et au moins un(e) citoyen(ne) européen(ne) sans affiliation avec Amazon. Ce conseil aura l’obligation légale « d’agir dans le meilleur intérêt de l’European Sovereign Cloud », même si on ne sait ce que cela signifie réellement.
AWS le dit et le redit : les décisions sont prises en Europe, par des Européens et selon le droit européen. L’entreprise bâtit un mur pour isoler sa nouvelle offre du reste du monde. Mais aussi haut que soit le mur, l’intrication juridique est toujours présente.
L’éternel problème des lois américaines
Car si AWS insiste sur la souveraineté, il faut encore s’entendre sur la définition du mot. Si l’on considère qu’elle définit une infrastructure européenne gérée par une entité européenne, alors l’offre d’Amazon est techniquement souveraine. Mais si on l’examine à travers le prisme du « cloud de confiance », ça coince.
Même si l’European Sovereign Cloud désigne des structures isolées du reste du monde, opérée par des citoyens européens et gérée par une entité européenne, celle-ci est une filiale d’Amazon Web Services, une société de droit états-unien. La maison mère est soumise à plusieurs lois à portée extraterritoriale, dont les deux plus connues : le Cloud Act et le FISAA.
De fait, si la justice américaine devait valider un mandat de perquisition, Amazon n’aurait d’autre choix que d’y obéir. Elle peut contester la validité de ce mandat, sans garantie d’arriver à repousser la demande. Microsoft s’est engagée à contester systématiquement ces demandes. Mais ni l’une ni l’autre ne peuvent assurer que personne en dehors de l’Europe n’aura un jour accès à des données européennes.
Cette incertitude teinte aussi l’offre « souveraine » d’AWS. Et, contrairement à Microsoft, l’entreprise ne propose pas de variante hybride « sur site », qui aurait pu donner naissance à une structure de type Bleu ou S3ns. Pour ces dernières, rien ne s’oppose a priori à la qualification SecNumCloud de l’ANSSI par exemple, qui garantie l’immunité face aux législations extraterritoriales notamment. Dans toutes ses offres, AWS reste en position de contrôle. Mais cette approche a un certain avantage pour la clientèle intéressée : l’offre européenne aura les mêmes fonctions que dans le reste du monde, avec l’intégralité des portefeuilles de services, y compris tout ce qui touche à l’intelligence artificielle.
La multiplication et le renforcement de ces offres en provenance des hyperscalers américains témoignent quoi qu’il en soit d’une adaptation aux inquiétudes européennes. Les géants de la tech restent cependant soumis aux législations de leur pays d’origine et aux soubresauts de la politique mondiale. Les relations entre l’Union européenne et les États-Unis sont tendues, le gouvernement Trump ayant dans son collimateur des règlements tels que le DMA et le DSA. La Maison-Blanche a fait savoir que ses grandes entreprises ne devraient obéir qu’à des lois américaines.
Deux systèmes d’exploitation, aux antipodes l’un de l’autre, développent actuellement le même type de fonctionnalité : l’économie d’énergie adaptative. Elle doit permettre de mieux contrôler la consommation d’énergie en fonction du contexte.
L’idée est de faire entrer un plus grand nombre de paramètres dans le calcul. Sur Windows 11, la fonction a été découverte par fantomofearth, à qui l’on doit déjà d’autrestrouvailles. La fonction, pour l’instant inactive, se servira du contexte pour mieux adapter la consommation. Ce que fait l’utilisateur, le niveau actuel de charge, l’utilisation des ressources et d’autres paramètres seront utilisés pour ajuster le remplissage de la batterie. L’arrivée de la fonction a été confirmée par le responsable Brandon LeBlanc de chez Microsoft.
Du côté d’iOS 26 (et d’iPadOS 26), pour l’instant disponible uniquement sous forme d’une première bêta pour les développeurs, on trouve d’abord un tableau de bord plus complet sur l’usage de la batterie, comme pointé par iGen notamment.
On y trouve une nouvelle option, « Adaptive Power », désactivée par défaut. Elle se propose de faire « de petits ajustements », comme diminuer légèrement la luminosité de l’appareil ou permettre à certaines tâches de s’exécuter un peu moins vite. La fonction ne remplace pas le mode Économie d’énergie, qui s’activera toujours automatiquement à 20 % de charge restante. D’ailleurs, iOS 26 saura enfin fournir une durée indicative restante jusqu’à la charge complète.
Dans les deux cas, la fonction viendra compléter la recharge adaptative que l’on connait déjà, quand les appareils apprennent des habitudes de leurs utilisateurs, pour bloquer la recharge à 80 %, et ne débloquer les 20 % restants que peu avant l’utilisation. L’objectif est de limiter le temps passé avec une batterie à 100 % et en charge, source de stress pour les batteries lithium-ion.
C’est peu dire que la nouvelle version de Plasma apporte du neuf. Il s’agit probablement de l’une des versions les plus riches en améliorations, dans presque tous les domaines.
La nouvelle version de l’environnement de bureau Plasma apporte une multitude de nouveautés. La plus importante est sa nouvelle gestion étendue des fenêtres, plus souple. Elle permet notamment de définir une disposition spécifique pour chaque écran virtuel. Par exemple, deux applications occupant chacune la moitié de l’écran sur un premier bureau, et d’autres applications en mosaïque sur un autre.
On trouve une myriade d’autres améliorations. Par exemple, le thème Breeze a été légèrement assombri pour améliorer le contraste et la lisibilité. En outre, quand une boite de dialogue apparait pour demander le mot de passe, le reste de l’écran s’assombrit pour mieux isoler la fenêtre et refléter son importance. Plasma 6.4 ajoute aussi une petite option sympathique : quand on fait glisser-déposer un fichier au sein du même disque dans le gestionnaire, une case permet d’indiquer que l’on souhaite déplacer par défaut les données, plutôt que de choisir à chaque fois ce que l’on veut faire.
Ne pas déranger !
Dans les Paramètres de Plasma, tout ce qui touche aux animations et effets visuels a été réuni dans une même section. Les fenêtres de transferts de fichiers présentent désormais un graphique de l’évolution de la vitesse de transfert.
On note d’autres ajouts pratiques, comme une notification quand on essaye de parler dans un micro coupé, la possibilité de lancer l’installation des mises à jour depuis la notification qui les signale, le passage automatique en mode « Ne pas déranger » quand on utilise une application en plein écran (jeu, vidéo…), ou encore l’affichage d’une balise verte « Nouveau » à côté des applications nouvellement installées dans le lanceur d’applications.
Le lanceur KRunner sait en outre gérer les couleurs. Entrer une valeur hexadécimale affichera un aperçu de la teinte, avec la possibilité d’afficher son code dans d’autres formats. Spectacles, l’outil de capture d’écran, fait un grand bond. Appuyer sur la touche Imprim écran lance maintenant le mode sélection, qui permet de délimiter la zone à capturer ou de basculer en plein écran. Les enregistrements d’écran, au format WebM, sont annoncés comme était de bien meilleure qualité.
Du Bluetooth, du HDR, des stylets…
Vous pensez que c’est fini ? Loin de là, avec par exemple un widget Bluetooth plus efficace, qui doit mieux reconnaitre les appareils et faciliter l’appairage. Le HDR, qui fait actuellement l’objet d’améliorations multiples dans les distributions, dispose d’un nouvel outil de calibrage dans les paramètres d’affichage. Toujours pour le HDR, Plasma 6.4 apporte le support d’Extended Dynamic Range et du format vidéo P010, ce qui devrait améliorer l’efficacité énergétique avec les contenus HDR.
Ce n’est toujours pas terminé, puisque les artistes peuvent paramétrer plus facilement leur stylet dans les réglages de Plasma. La nouvelle interface permet de modifier le comportement des boutons de manière « beaucoup plus intuitive », selon l’équipe de Plasma. L’intégration du navigateur permet de son côté de choisir les versions Flatpak de variantes de Firefox et Chromium comme LibreWolf et Ungoogled Chromium.
Enfin, sur un plan plus technique, on note plusieurs évolutions. Par exemple, pour les processeurs AMD et Intel intégrant une partie graphique (IGP), le Moniteur Système peut afficher désormais le taux d’occupation GPU par processus. Une nouvelle section Capteurs peut aussi afficher les données brutes issues des capteurs matériels. Le moniteur d’espace, lui, vérifie maintenant l’espace libre sur toutes les partitions sans cache de tous les disques, et plus uniquement celui de Root et Home. Quant au support de Wayland, il s’étend à de nouveaux protocoles, dont FIFO et single pixel buffer.
Comme d’habitude, pour profiter de ces nouveautés, il faudra attendre que Plasma 6.4 soit répercuté sur la distribution que vous utilisez. Selon les cas, cela peut aller d’une disponibilité immédiate à l’attente de la prochaine version majeure du système.
Le 10 juin, Microsoft déployait ses correctifs mensuels de sécurité, le fameux Patch Tuesday. Celui-ci corrigeait des dizaines de failles de sécurité, comme à peu près tous les mois. À ce moment, un seul problème était connu, un souci d’affichage pour la famille de polices Noto, qui apparaissaient comme floues dans certaines conditions.
L’éditeur a cependant mis à jour sa fiche pour ajouter un problème nettement plus sérieux. Les versions 2016, 2019, 2022 et même 2025 de Windows Server peuvent provoquer un défaut avec le serveur DHCP du système, qui fonctionne alors « par intermittence ». Le problème peut engendrer une belle pagaille dans les entreprises, car ce composant est responsable de la distribution dynamique d’adresses IP aux appareils connectés au réseau.
Sur Reddit, le sujet tourne depuis des jours, provoquant la colère d’un grand nombre d’utilisateurs. Il n’y a pour l’instant aucune solution et, facteur aggravant, Microsoft n’a pas communiqué tout de suite. Une mise à jour de la page indique désormais : « Nous travaillons à la publication d’une résolution dans les prochains jours et fournirons plus d’informations dès qu’elle sera disponible ».
Comme souvent avec les problèmes liés aux mises à jour de Windows, le cas relance les discussions sur l’assurance qualité de Microsoft et le temps que l’éditeur consacre aux tests de ses correctifs. Le problème avait empoisonné une partie du cycle de vie de Windows 10, et la situation ne s’est guère améliorée sous Windows 11. Sur ce dernier, la mise à jour majeure 24H2 a eu son lot de problèmes, avec un déploiement complexe, qui s’achève tout juste, et un nombre important de soucis techniques.
La société vient d’annoncer la disponibilité, en avant-première, d’un nouveau programme en Europe. Conçu a priori pour répondre aux inquiétudes de souveraineté, le programme fait la promesse de données restant au sein des frontières de l’Union et donne des assurances sur le personnel. Problème, Microsoft ne peut pas garantir de protection contre la portée extraterritoriale des lois américaines sur son cloud public.
Microsoft joue la carte de l’entente et du bon élève avec l’Europe. Contrairement à Apple, par exemple, qui fustige largement le DMA et compte lutter jusqu’au bout, Microsoft a dévoilé tout un plan visant à répondre à diverses inquiétudes. « Une drôle de déclaration d’amour », titrions-nous, avec de nombreuses annonces sur la cybersécurité et la souveraineté notamment.
La semaine dernière, l’éditeur est revenu communiquer sur l’Europe, cette fois pour détailler ses renforcements dans la cybersécurité. La société a ainsi mis en place un réseau de collaboration dans lequel elle s’engage à fournir un plus grand nombre d’informations aux pays membres de l’Union, un état des menaces en quasi-temps réel. Elle a également renforcé sa coopération avec Europol, via sa propre Digital Crime Unit. Un investissement dont on imagine que la firme attend beaucoup, avec des retombées positives, au moins en matière d’image.
Mais Microsoft était surtout attendue sur le terrain de la souveraineté. La société vient d’annoncer une série de mesures, sans toutefois aborder certains sujets qui fâchent.
Tir groupé
Les annonces visent à la fois le cloud public et le cloud privé. Pour rappel, le premier est le cloud classique tel qu’on le connait : les données et services des clients sont placés dans des structures mutualisées et réparties potentiellement dans de nombreux centres. Dans le cloud privé, ces informations et développements sont stockés sur des ressources dédiées, auxquelles ne peut accéder que le client (et l’hébergeur). Pour des données et applications exclusivement sur les sites des utilisateurs, on parle de « on-premise », ou « installation sur site ».
La principale annonce de Microsoft est le Sovereign Private Cloud (appellation commerciale de Microsoft, regroupant des engagements et des produits), qui sera finalisé et pleinement disponible avant la fin de l’année, dans toutes les régions de l’Union où Microsoft possède des centres de données. L’ensemble des clients européens pourront en profiter s’ils en font la demande, l’annonce se répercutant sur tous les services liés dont Azure, 365, Security et Power Platform.
« Sovereign PrivateCloud garantit que les données des clients restent en Europe, sous la loi européenne, avec des opérations et un accès contrôlés par le personnel européen, et que le chiffrement est sous le contrôle total des clients. Cela est possible pour toutes les charges de travail des clients fonctionnant dans nos régions de centres de données européens et ne nécessitant aucune migration », revendique Microsoft.
Quelles mesures ?
L’entreprise présente une série de mesures concrètes. L’une des plus importantes est mentionnée dans la déclaration précédente : la garantie de pouvoir utiliser ses propres clés de chiffrement. Cela signifie, dans ce cas, que les données ainsi chiffrées ne sont pas lisibles par Microsoft.
C’est une généralisation d’Azure Managed HSM (Hardware Security Module). Microsoft dit travailler avec tous les principaux constructeurs HSM pour s’assurer leur support, dont Futurex, Thales et Ultimaco. En théorie, cela signifie que l’implémentation de stocker ces clés où le client le souhaite. C’est aujourd’hui un élément essentiel de la sécurité et de la confidentialité des données, mais il n’est pas suffisant à lui seul, comme on le verra.
On trouve ensuite Data Guardian, qui doit garantir que seul le personnel de Microsoft résidant en Europe « contrôle l’accès à distance à ces systèmes ». En clair, cela signifie que si des ingénieurs situés hors d’Europe ont besoin d’un accès pour des raisons techniques, le personnel européen surveillera l’opération. Cette dernière sera consignée dans un registre que Microsoft décrit comme « inviolable ».
Microsoft limite donc l’accès au personnel européen, mais sans distinction de leur (éventuellement double) nationalité. Thales a la volonté d’aller plus loin, pour rappel, pour le personnel critique de S3ns : « je pense que la nationalité américaine ne sera pas possible pour rester immunisé », expliquait le RSSI de Thales Ivan Maximoff.
Microsoft met aussi en avant Azure Local et Microsoft 365 Local. Il s’agit de versions spécifiques de ses offres pour les clouds privés. Elles ne contiennent pas l’intégralité des fonctions et services, mais sont présentées comme taillées pour des besoins spécifiques. « Certains scénarios exigent que certaines charges de travail soient exécutées dans un environnement physique sous le contrôle total du client afin de soutenir l’atténuation des risques liés à la continuité de l’activité », indique ainsi l’entreprise.
Ces services sont placés dans les locaux des clients, sur leurs infrastructures matérielles ou celle d’un hébergeur de leur choix. Microsoft fournit en somme la solution logicielle et les mises à jour, mais ne gère pas les services, ce qui va plus loin que la classique définition du cloud privé. Et si ce fonctionnement vous rappelle quelque chose, c’est qu’il correspond à celui de Bleu.
50 nuances de bleu
Microsoft met en avant le partenariat ayant donné naissance à Bleu : « En France, nous avons conclu un accord avec Bleu, une coentreprise entre Orange et Capgemini, pour que Bleu exploite un « cloud de confiance » pour le secteur public français, les fournisseurs d’infrastructures critiques et les fournisseurs de services essentiels, conçu pour répondre aux exigences de SecNumCloud ».
En somme, l’annonce d’aujourd’hui revient à généraliser ce fonctionnement aux clients qui en font la demande. Et qui en ont les moyens, puisque qu’il faut fournir soi-même l’infrastructure.
La référence à SecNumCloud n’est pas non plus anodine. Ce qui permet notamment à Microsoft de déclarer : « Private Sovereign Cloud est conçu pour les gouvernements, les industries critiques et les secteurs réglementés qui doivent respecter les normes les plus strictes en matière de résidence des données, d’autonomie opérationnelle et d’accès déconnecté ».
Cloud très public
Si on suit les déclarations et annonces de Microsoft, l’écart entre cloud public et privé se creuse. On se rappelle en effet que Microsoft a reconnu au Royaume-Uni qu’il était impossible de garantir la souveraineté des données stockées par la police écossaise chez Microsoft.
La portée extraterritoriale de certaines lois américaines, tout particulièrement les Cloud Act et FISAA, l’en empêche. Aux États-Unis, Microsoft est tenue juridiquement de fournir les données demandées dans le cadre des enquêtes criminelles, en théorie après validation d’un mandat par un juge. Y compris quand lesdites données sont sur des serveurs physiquement hors des frontières états-uniennes.
Or, cette déclaration a également été faite la semaine dernière en France. Anton Carniaux, directeur des affaires publiques et juridiques de Microsoft France, était entendu par une commission d’enquête sénatoriale sur les coûts et modalités effectifs de la commande publique. Face à une question claire, et sous serment, sur la garantie que les données françaises ne quitteraient pas le territoire « sans l’accord explicite des autorités françaises », le responsable a répondu : « Non, je ne peux pas le garantir, mais aujourd’hui ce n’est pas arrivé ».
Sur la question du « cloud privé » en revanche, la situation est a priori plus simple. Si l’on en croit Vincent Strubel, directeur de l’ANSSI et lui-même auditionné au Sénat début juin, Bleu ne sera justement pas concernée par la portée extraterritoriale des lois américaines. La structure est équipée en solutions logicielles de Microsoft, mais s’occupe d’opérer elle-même ses traitements. L’ANSSI a affirmé que rien ne s’opposait à sa qualification SecNumCloud, pas plus qu’à celle de S3ns. Cette dernière s’est lancée dans la procédure en juillet dernier et attend le dénouement cet été. Bleu est entré dans le processus plus tard, en avril 2025 et s’attend à une qualification au premier semestre 2026.
Vincent Strubel a également rappelé qu’il n’y avait pas d’autre solution pour se protéger du droit à portée extraterritoriale que d’utiliser des produits qui n’y sont pas soumis. « Le chiffrement, la localisation des données et l’anonymisation, ça complique peut-être les choses, mais ça ne rend pas impossible la captation des données », avait ainsi déclaré le directeur de l’ANSSI. L’annonce de Microsoft sur les clés de chiffrement est donc importante, mais ne bloque pas en elle-même l’accès aux données.
Après la carte nationale d’identité (au format carte bancaire) et le permis de conduire, c’est au tour de la carte grise de faire son entrée sur France Identité. Pour l’instant, cette nouveauté est réservée aux versions bêta de l’application pour iOS (via TestFlight, mais les places sont prises depuis longtemps) et Android.
Comme le rappellent nos confrères d’iGen, l’arrivée de cette fonction était prévue pour 2026. On ignore combien de temps va durer la phase de test, mais la carte grise sera peut-être en avance sur le programme.
Si l’on en croit les retours sur X, l’ajout de la carte grise semble bien se passer, des utilisateurs appréciant cet ajout. Il y a cependant une condition à respecter : que le véhicule soit muni d’une plaque au format AA-123-AA, donc immatriculé après 2009.
Comme on peut le voir chez nos confrères, la nouvelle version de l’application modifie l’écran d’accueil pour mieux refléter les cartes ajoutées. L’identité numérique apparait sur la moitié supérieure, tandis que le permis de conduire et la carte grise sont sur la seconde. La génération de justificatif, elle, est déportée dans le menu de la carte d’identité.
La prochaine version de la suite bureautique libre et gratuite sera la première à se débarrasser de Windows 7, 8 et 8.1. Les deux systèmes ne seront plus pris en charge, ce qui signifie que la mise à jour ne sera pas proposée sur ces systèmes. Il ne sera plus possible également d’installer la suite sur les machines concernées à partir de cette version.
Cette multiplication des communications n’est pas étonnante : l’arrêt du support de Windows 10, le 14 octobre prochain, obligera des centaines de millions de personnes à choisir entre racheter un appareil sous Windows 11 ou changer de crèmerie.
Linux est présenté comme la solution idéale, puisqu’il permet de garder le matériel existant. Un choix affiché comme vertueux, aussi bien financièrement qu’écologiquement. Comme nous le relevions cependant, il pose un sérieux problème : comment expliquer aux personnes concernées le problème, procéder au remplacement et leur apprendre de nouveaux usages ?
Au-delà de ces thématiques, la première bêta de LibreOffice 25.8 apporte son lot d’améliorations. Par exemple, l’outil Auto-Redact de Writer se dote d’une fonction de confidentialité permettant de supprimer toutes les images d’un document. Toujours dans Writer, une nouvelle règle de césure empêche les mots de se couper à la fin d’une page, décalant alors la ligne entière sur la page suivante, pour des questions de lisibilité.
Parmi les autres apports, signalons une infobulle indiquant le nombre de mots et de caractères pour les titres et sous-titres, une sélection de texte plus précise, l’ajout d’une commande pour convertir les champs en texte brut, de nouvelles fonctions pour Calc (TEXTSPLIT, VSTACK et WRAPROWS), une meilleure prise en charge des polices intégrées dans les documents PPTX, ou encore un support amélioré du mode plein écran dans macOS.
Les clés d’accès, ou passkeys, sont souvent présentées comme la solution idéale pour remplacer les mots de passe. Elles ont notamment pour avantage de ne pas pouvoir être volées. Elles ont cependant un gros inconvénient : la complexité pour les transférer d’un compte à un autre. Apple a confirmé que toutes les versions 26 de ses plateformes prendront en charge cette opération.
Les clés d’accès ont de nombreux avantages par rapport aux mots de passe traditionnels. Il n’y a pas d’information à retenir, elles sont uniques et reposent sur une architecture de clés publiques/privées. Ainsi, la première est publique et est stockée par le service sur lequel on souhaite s’identifier. L’autre est privée, n’appartient qu’à l’utilisateur et est stockée dans une zone sécurisée. Toute utilisation de la clé privée demande une authentification, biométrique par défaut.
Le gros avantage de cette infrastructure est que la clé privée ne sort jamais de son antre. Lorsque l’on veut se connecter, une autorisation d’accès est demandée. Après authentification, un jeton est émis, basé sur la clé privée. Ce jeton est alors mis en contact avec la clé publique. Si la négociation se passe bien, la connexion est autorisée. L’intégralité du mécanisme repose sur le protocole WebAuthn (Web Authentication de l’alliance FIDO, un consortium réunissant tous les principaux acteurs dans ce domaine, dont Apple, Google et Microsoft.
Le danger des silos
Comme nous l’avions indiqué en novembre 2024, les clés d’accès souffrent actuellement d’un défaut majeur. Si vous restez constamment connecté dans le même univers centré sur un fournisseur, ce n’est pas un problème. Mais si vous comptez changer, ou si vous avez un lot hétérogène d’appareils, comme c’est le cas chez beaucoup de personnes, la situation est un peu compliquée.
Les principaux éditeurs proposent tous depuis plusieurs années la compatibilité avec les clés d’accès. Ils tentent de motiver les internautes en proposant régulièrement de passer à ce mode de connexion. Cependant, pour des questions pratiques, ces clés sont synchronisées avec le compte maison. Comme nous l’avions montré, Google synchronise ainsi les clés via Chrome, qui a l’avantage d’être disponible partout. Le navigateur peut même être paramétré comme gestionnaire de mots de passes (et de clés d’accès) sur d’autres plateformes, y compris iOS.
Le problème se voit de loin : si l’on passe plusieurs années dans un environnement synchronisé par un certain compte, comment changer de crèmerie ? La question est valable autant pour les trois principaux éditeurs de systèmes d’exploitation que pour les gestionnaires tiers. Avec les mots de passe, il y a possibilité d’exportation, le plus souvent sous forme de fichier CSV ou JSON. Mais une solution équivalente pour les clés d’accès romprait leur promesse principale en sortant les clés privées de leur enclave et en les rendant vulnérables.
Cette limitation, inhérente à la première version du mécanisme, a engendré bon nombre de critiques. Certaines personnes ont ainsi estimé que les clés d’accès n’étaient qu’un moyen supplémentaire de verrouiller un peu plus les utilisateurs dans certains écosystèmes. Pourtant, rester maitre de ses clés et pouvoir les déplacer sont des conditions sine qua non de leur succès. L’alliance FIDO avait donc commencé à travailler sur une extension du standard, avec notamment un protocole et un format de données pour sécuriser les échanges.
Généralisation des échanges dans les versions 26 chez Apple
Avantage de l’alliance FIDO, elle réunit sous un même toit tous les principaux acteurs considérés comme fournisseurs d’authentification. On y trouve ainsi 1Password, BitWarden, Dashlane, Devolution ou encore Okta. Autant de noms que l’on retrouvait en mars dans le brouillon du Credential Exchange Format, la nouvelle structure de données pour les échanges de clés.
Apple, en marge de sa WWDC, a publié une vidéo pour faire le point sur les nouveautés des clés d’accès. L’entreprise rappelle que le mécanisme est en lui-même « un voyage », qui change progressivement les habitudes. « Les gens sont propriétaires de leurs informations d’identification et devraient avoir la possibilité de les gérer comme ils l’entendent. Cela permet aux gens de mieux contrôler leurs données et de choisir le gestionnaire d’informations d’identification qu’ils utilisent », explique l’entreprise.
Apple présente le nouveau mécanisme comme « fondamentalement différent et plus sûr que les méthodes traditionnelles d’exportation ». Celles-ci passent le plus souvent par l’enregistrement des informations dans un fichier non chiffré, puis son importation manuelle dans une autre application. Dans la nouvelle solution, le partage des clés est initié depuis l’application qui les gère habituellement (l’app Mots de passe, chez Apple). On sélectionne alors l’application de destination, qui aura exposé cette capacité. L’opération doit être validée par une authentification et le transfert se base sur le format de données défini par l’alliance FIDO.
« Le système fournit un mécanisme sécurisé pour déplacer les données entre les applications. Aucun fichier non sécurisé n’est créé sur le disque, ce qui élimine le risque de fuite de données d’identification à partir de fichiers exportés. Il s’agit d’un moyen moderne et sûr de transférer des informations d’identification », explique Apple dans sa vidéo.
Côté applications et sites web, aucune modification n’est nécessaire. Elles continueront à s’adresser au gestionnaire de mots de passe et clés d’accès déclaré par défaut. Du côté des développeurs qui veulent pouvoir intégrer ces capacités dans leurs gestionnaires, il faut regarder du côté de deux nouvelles classes créées pour les versions 26 des plateformes d’Apple, ASCredentialImportManager et ASCredentialExportManager.
Précisons enfin que ces annonces sont basées sur un standard en brouillon. L’extension de la norme devrait être finalisée dans les prochains mois. Au vu des participants, ces fonctions vont se retrouver prochainement dans l’ensemble des plateformes et gestionnaires.
Si vous jouez sur Mac, vous avez peut-être Steam. Et si vous l’avez, vous savez que certains jeux peuvent fonctionner nativement sur les Mac munis de puces Apple Silicon (M1 à M4), mais que le client Steam lui-même est épouvantable.
Déjà à l’époque de la puce M1, quand nous avions publié un retour d’expérience d’un an sur un MacBook Pro M1, nous avions souligné l’évolution notable du parc logiciel. La suite Office de Microsoft, par exemple, avait été prête dès le départ, alors que Teams avait dû attendre plus de deux ans. D’autres applications, comme Discord, avaient également pris un peu leur temps. Et dans ces applications non compatibles, Steam remportait la palme de l’utilisation la plus éprouvante.
Il existe en effet une différence conséquente de performances entre une application native, compilée pour l’architecture arm64, et une application d’ancienne génération, compilée pour x86_64, à la grande époque des Mac Intel. Quand une telle application est exécutée sur une machine Apple Silicon, Rosetta 2 est appelé à la rescousse. Cette couche d’émulation donne de bons résultats, mais le lancement des applications reste lent, voire très lent.
Or, Apple a annoncé en marge de sa WWDC que Rosetta 2 serait présent dans le futur macOS 27, qui sera présenté l’année prochaine, mais plus dans macOS 28. Nous nous posions alors la question de ce qu’il adviendrait pour les applications non natives. Hasard ou non du calendrier, Valve vient de publier une nouvelle version bêta de son client Steam, compilée nativement pour l’architecture Apple Silicon.
La version bêta actuelle de Steam sur macOS
Si vous basculez Steam en bêta (Paramètres > Interface) et que vous redémarrez l’application, une mise à jour va s’installer (environ 230 Mo). Au redémarrage de Steam, vous devriez constater que le client se charge beaucoup plus rapidement. L’application est en outre bien plus réactive, surtout dans des opérations simples comme le redimensionnement. Il n’y a en revanche aucune différence visuelle.
Valve ne s’est jamais vraiment expliquée sur le retard de cette version, quand la quasi-totalité du parc logiciel s’était déjà adapté. On peut supposer que l’entreprise n’accorde pas une très grande importance au parc Mac. Rappelons quand même que si Valve n’avait pas touché au client lui-même, l’entreprise avait assez rapidement proposé une mise à jour des composants afin que les jeux compilés nativement pour Apple Silicon soient pris en charge.
Nouvelle mouture pour l’utilitaire, qui sert pour rappel à créer des médias d’installation pour différents systèmes, Windows tout particulièrement.
Cette version 4.8 apporte un changement important en basculant sur wimlib. Cette bibliothèque, open source et multiplateforme, est spécialisée dans la manipulation des images WIM. Microsoft s’en sert par exemple pour sa propre image d’installation de Windows, elle-même au format ISO. Si la clé USB utilisée est décemment récente, les utilisateurs devraient constater une nette amélioration dans l’ouverture des images Windows, surtout dans la création de lecteurs Windows To Go.
Dans les notes de version, on peut lire aussi que Rufus est passé à des binaires Visual Studio partout à cause de certaines limitations avec MinGW, l’ajout d’exceptions pour certaines distributions Linux se limitant au mode de formatage DD (comme openSuse et Nobara), l’amélioration des rapports sur les bootloaders UEFI ainsi que quelques corrections de bugs.
L’éditeur est surtout connu pour avoir tenté de réinventer le navigateur avec Arc. Le produit avait ses aficionados, mais Josh Miller, CEO de The Browser Company, a fini par annoncer fin mai qu’Arc allait être abandonné, car il n’avait pas rencontré de public assez large. Dans un billet, l’éditeur expliquait que bon nombre de leçons avaient été apprises – dont une courbe d’apprentissage trop exigeante – et qu’il allait en tirer parti dans son autre projet.
Cet autre projet, c’est Dia, désormais disponible en bêta privée. La priorité est donnée aux utilisateurs d’Arc, qui pourront inviter d’autres personnes s’ils le souhaitent. On peut également s’inscrire sur une liste d’attente pour recevoir une clé.
Il faut donc se contenter pour l’instant de la présentation de Dia sur son site dédié. On peut voir que le navigateur fait effectivement la part belle à l’IA, avec une page d’accueil centrée sur les requêtes. On peut s’en servir pour effectuer des tâches que l’on peut presque considérer comme courantes désormais : lancer une requête sur un sujet, interroger le navigateur sur les onglets ouverts, poser des questions générales, résumer les fichiers téléchargés, rédiger un brouillon à partir d’un onglet, etc.
Dia est également équipé de fonctions plus spécifiques. Par exemple, History autorise le navigateur à puiser dans l’historique des sept derniers jours pour y trouver du contexte. Les SKills permettent de créer des raccourcis vers des paramètres ou pour effectuer des actions, par exemple pour créer une mise en page spécifique sur un site. On peut également relier des conditions et des actions, à la manière des Raccourcis sur les plateformes Apple.
Mais, comme le rappelle TechCrunch, Dia n’est pas le seul navigateur à s’être lancé à cœur perdu dans l’IA générative. Opera a lancé son propre Neon (là aussi en bêta privée) et avait dégainé le premier des fonctions liées, notamment via des agents pour effectuer diverses tâches, jusqu’à créer de petites applications. Les grands navigateurs historiques n’ont pas encore basculé, mais ils ajoutent par petites touches des fonctions dopées à l’IA, parfois via d’autres composants. Les acteurs de l’IA aimeraient également leur propre navigateur, comme on l’a vu en avril avec OpenAI et Perplexity, qui se disaient prêts à racheter Chrome.
Connexion
