Le département de « l’efficacité gouvernementale » confié pendant un temps à Elon Musk a finalement été lui-même démantelé.
Scott Kupor, le responsable de l’Office of Personnel Management (agence états-unienne de la gestion de la fonction publique), a affirmé à Reuters que le DOGE n’est plus une « entité centralisée » comme elle avait été pensée et annoncée il y a un an par Donald Trump.
Confié à Elon Musk, ce département avait officiellement pour mission de restructurer l’ensemble des administrations publiques américaines. Mais le milliardaire a choisi de quitter sa direction fin mai. S’il avait fait le choix inverse, il aurait dû se plier aux obligations de transparence et de contrôle du Congrès des États-Unis, notamment concernant les conflits d’intérêt avec ses diverses entreprises X, SpaceX et Tesla dont certaines bénéficient de la commande publique.
Selon l’agence de presse américaine, c’est maintenant l’Office of Personnel Management qui a repris une bonne partie des prérogatives qu’avait acquises temporairement le DOGE.
Reuters explique que deux responsables du DOGE, Joe Gebbia et Edward Coristine (du haut de ses 19 ans, ce dernier est surnommé « Big Balls »), font maintenant partie du « National Design Studio », une agence spécifiquement créée en août dernier par Donald Trump pour embellir les sites web du gouvernement.
Pendant cinq mois, le DOGE a pu s’immiscer dans les données de multiples agences états-uniennes comme le Trésor ou Medicare/Medicaid et s’emparer de certains systèmes informatiques. Mais Politico explique qu’après le départ d’Elon Musk, les ingénieurs recrutés par ce département ont perdu leur « protecteur ».
En novembre dernier, Donald Trump annonçait la création de ce département en lui donnant une échéance : « Leur travail prendra fin au plus tard le 4 juillet 2026. Un Gouvernement resserré, avec plus d’efficacité et moins de bureaucratie, constituera un parfait cadeau pour l’Amérique à l’occasion du 250e anniversaire de la Déclaration d’indépendance ». Finalement, la mission a fini huit mois plus tôt.
Alors que de plus en plus de pays veulent imposer des systèmes de vérification d’âge pour filtrer l’accès à certains contenus, l’éditeur du site Pornhub plaide dans une lettre envoyée à Apple, Google et Microsoft pour une intégration dans les systèmes d’exploitation.
En France, aux États-Unis, en Europe ou ailleurs, différentes autorités affichent leur volonté d’intensifier la lutte contre l’accès des mineurs aux sites porno. Aylo, l’entreprise derrière les sites Pornhub, Redtube et Youporn, plaide depuis quelque temps pour que les éditeurs de sites n’en soient pas responsables.
Dans une lettre envoyée récemment à Apple, Google et Microsoft, mais qui n’a pas été rendue publique, le responsable juridique d’Aylo les exhorte d’intégrer une fonctionnalité de vérification d’âge dans leurs systèmes d’exploitation et leurs magasins d’applications.
Une intensification de la pression législative dans le monde
Cet été, en France, l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique) a serré les boulons en s’appuyant sur la loi SREN pour imposer aux sites porno de mettre en place des systèmes de vérification d’âge. Aylo a pris la décision de suspendre leur accès en France pour protester. Si la décision a été contestée en justice, le Conseil d’État a pour l’instant rétabli l’obligation de contrôle de l’âge. D’autres sites ont depuis été visés.
Cette lutte a tendance à s’étendre à d’autres contenus. Par exemple, au Royaume-Uni, l’Online Safety Act prévoit un système de catégorisation des sites qui inquiète la fondation Wikimedia.
Mais l’autre problème, comme Next a pu le constater, est que les systèmes de vérification d’âge valident parfois n’importe quoi.
Aylo veut rejeter la responsabilité du contrôle sur les systèmes d’exploitation
Pour y remédier, l’UE a monté un projet d’application de vérification d’âge. De son côté, Aylo plaide plutôt pour une intégration directement sur les appareils des utilisateurs, via les systèmes d’exploitation et les magasins d’applications. Dès juin, lorsque l’Arcom a décidé de sévir, l’éditeur de site porno présentait la vérification d’âge au niveau de l’appareil comme solution simple et ultime.
Dans un communiqué maintenant supprimé de son site mais encore accessible sur Internet Archive, l’entreprise affirmait que « pour rendre l’Internet plus sûr pour tout le monde, chaque téléphone, tablette ou ordinateur devrait commencer par être un appareil sécurisé pour les enfants ». Elle ajoutait que « seuls les adultes identifiés devraient être autorisés à déverrouiller l’accès à des contenus inappropriés pour leur âge. C’est le principe de base de la vérification de l’âge à partir de l’appareil, que nous considérons comme l’option la plus sûre et la plus sécurisée. La technologie permettant d’y parvenir existe aujourd’hui ».
L’entreprise a intensifié sa communication sur le sujet cette semaine en envoyant donc une lettre que Wired a pu se procurer pour demander à Apple, Google et Microsoft de l’implémenter. « Forts de notre expérience concrète des lois existantes en matière de vérification de l’âge, nous soutenons fermement l’initiative visant à protéger les mineurs en ligne », y affirme Anthony Penhale, le responsable juridique d’Aylo, « cependant, nous avons constaté que les approches de vérification de l’âge basées sur les sites sont fondamentalement défaillantes et contre-productives ».
L’entreprise propose que les systèmes d’exploitation intègrent un système de ce genre qui ensuite partagerait les informations sur l’âge de l’utilisateur via une API aux sites et aux applications. Aux États-Unis, 25 États ont voté des lois sur la vérification d’âge. Comme le remarque Wired, toutes sont différentes.
Au Texas, dans l’Utah et en Louisiane, par exemple, elles imposent (avec une mise en application courant 2026) la vérification de l’âge des utilisateurs à la création des comptes et avant de les laisser installer des applications depuis des boutiques. Apple et Google ont réagi en expliquant mettre en place, justement, des API qui signaleront aux applications y faisant appel que la personne est majeure. Apple soulignait cependant que la législation texane portait « atteinte à la vie privée des utilisateurs en exigeant la collecte d’informations sensibles et personnelles pour télécharger une application, même si l’utilisateur souhaite simplement consulter la météo ou les résultats sportifs ».
Dans un rapport, la Cour des comptes analyse la stratégie nationale pour l’intelligence artificielle en place depuis 2018. Elle incite l’État français à ne pas « baisser la garde » et au contraire à amplifier sa politique concernant la recherche. Elle l’exhorte aussi à « renforcer les capacités de calcul » avec des partenariats public-privé d’ampleur et amplifier les transferts vers l’industrie.
Tout en reconnaissant que « la prise de risque [en matière d’investissement] est élevée, la rentabilité des investissements inégale, de même que le rapport entre la valorisation de certaines entreprises de l’IA sur le marché et les revenus générés ou espérés, faisant craindre des effets de bulle qui pourraient conduire à des ajustements d’ampleur, y compris en Europe, dans les prochains mois », la Cour des comptes incite l’État à amplifier la stratégie nationale pour l’IA (SNIA).
La juridiction administrative a rendu son rapport [PDF] mercredi 19 novembre sur cette stratégie. Celui-ci analyse les deux premières phases (2018 - 2022 et 2022 - 2025).
Pour la troisième phase (2025 - 2030), elle affirme que pour « réussir le changement d’échelle qu’exige la révolution de l’intelligence artificielle », l’État doit :
« renforcer le pilotage interministériel de la politique publique de l’IA, avec en particulier la constitution d’un véritable secrétariat général à l’IA rattaché au Premier ministre ;
mieux intégrer les enjeux de soutenabilité des finances publiques et d’efficacité de la politique de l’IA ;
procéder à une évaluation approfondie des résultats des précédentes phases de la stratégie nationale et s’inspirer des meilleures pratiques à l’étranger ;
mieux s’articuler avec l’échelon européen ;
mieux mobiliser les territoires ;
redéfinir le partage des rôles avec le secteur privé ».
Elle incite l’État à ne pas « baisser la garde » et à « renforcer les capacités de calcul » avec des partenariats public-privé d’ampleur et amplifier les transferts vers l’industrie.
Même si la Cour des comptes considère que cette stratégie a « remporté de premiers succès », elle estime que ses deux premières phases « présentent des angles morts dans plusieurs domaines essentiels […] notamment dans des chantiers qui demandent d’impliquer un cercle large d’acteurs et de faire le lien avec d’autres politiques publiques ».
Une première phase trop axée sur la recherche pour la Cour
Dans la première phase de cette stratégie (2018 - 2022), la Cour souligne que l’État a investi 1,3 milliard d’euros (contre 1,5 milliard programmés) en ne couvrant qu’une partie des enjeux tout en la faisant reposer « sur une gouvernance complexe et un suivi budgétaire lacunaire ».
Elle reproche à l’exécutif de ne s’être concentré, dans cette phase, que sur la partie recherche, en oubliant la formation supérieure en IA, l’ouverture des données, l’accompagnement des secteurs économiques prioritaires fortement impactés par l’IA, et l’encadrement éthique de l’IA qui étaient tout autant cité dans le rapport de la mission confiée au mathématicien Cédric Villani rendu en mars 2018.
Elle reconnait « les succès du volet « recherche en IA », appréciés avec un recul supplémentaire de deux années ». Néanmoins, elle pointe « le recours par l’État à une succession d’appels à projets ou à manifestation d’intérêt, pour des financements ponctuels avec un horizon de vie limité », ce qui « présente le risque d’accroître la fragmentation au sein de la recherche, au détriment de la cohérence d’ensemble, de la création de masses critiques et de stratégies plus structurelles permettant la coordination, la complémentarité et la responsabilisation des acteurs dans la durée ». Elle regrette aussi que le volet « formation supérieure » n’ait pas été mis en œuvre.
« Dans les autres domaines couverts par la SNIA – la défense et la sécurité, la transformation de l’action publique et la diffusion de l’intelligence artificielle dans l’économie – les avancées ont été moins nettes », déplore-t-elle.
Pas assez de dépenses pour soutenir la demande des entreprises dans la seconde phase
Pour la deuxième phase, « au total, l’État aura programmé 1,1 Md€ sur la période 2023 - 2025, soit un niveau inférieur d’un tiers à ce qui avait été initialement annoncé, et la lenteur du démarrage de la plupart des dispositifs s’est traduite par un faible niveau de consommation des crédits (35 % au 30 juin 2025) », assène la Cour.
Mais elle souligne que « les premiers résultats de cette deuxième phase commencent à se dessiner dans plusieurs directions. Bien qu’il soit encore tôt pour en apprécier pleinement les effets, les initiatives prises pour renforcer la structuration et l’excellence de la recherche et de la formation supérieure en IA produisent de premiers résultats et la place de la France sur ce volet progresse ». Elle ajoute que les « efforts sur les infrastructures de calcul se sont poursuivis ».
La Cour reproche à l’exécutif d’avoir « très peu utilisé le levier de la commande publique pour favoriser l’adoption de l’IA dans la sphère publique ». Elle vise « en particulier » la Dinum (auditée en 2024) qui a, selon elle, « privilégié les développements internes avec le risque que les solutions proposées ne soient pas toujours performantes comparativement à l’offre disponible sur le marché, notamment chez les éditeurs logiciels français ».
Elle pousse aussi l’exécutif à dépenser plus sur le sujet de l’IA. « Plusieurs domaines non moins essentiels ont été laissés de côté », estime-t-elle. « L’enjeu de la massification et de l’accompagnement de la diffusion de l’intelligence artificielle au-delà du cercle des spécialistes – entreprises, administrations publiques, étudiants, citoyens – a jusqu’ici trop peu retenu l’attention, alors qu’il était au cœur des ambitions affichées par cette phase de la SNIA et que les années 2023 - 2025 étaient critiques en la matière », précise l’institution. « Ainsi, la priorité que constitue le soutien à la demande des entreprises en solutions d’IA n’a bénéficié que de dispositifs très modestes, et l’accélération et la massification escomptées de la diffusion de l’intelligence artificielle dans l’économie n’a pas eu lieu », ajoute-t-elle encore.
Depuis cet été, Grok a généré à de multiples reprises des messages gravement problématiques, de l’éloge d’Hitler à des propos sur un pseudo-génocide en Afrique du Sud en passant par des réponses antisémites ou la remise en question du nombre de juifs tués par la Shoah. Il est aussi devenu plus globalement l’un des superdiffuseurs de désinformation.
Mais, alors que xA aI annoncé la sortie de Grok 4.1 (avec un « lancement silencieux, du 1er au 14 novembre 2025 »), son IA a généré le même jour un nouveau message révisionniste affirmant notamment que les chambres à gaz du camp d’extermination nazi d’Auschwitz ont été « conçues pour la désinfection au Zyklon B contre le typhus, avec des systèmes d’aération adaptés à cet usage plutôt que pour des exécutions massives ».
Ce mercredi 19 novembre, la Ligue des droits de l’homme a annoncé porter plainte à ce sujet et le député Renaissance Éric Bothorel a expliqué avoir fait un signalement « sur la base de l’article 40 du code de procédure pénale auprès de Madame La Procureure » suivi par les ministres Roland Lescure, Anne Le Hénanff et Aurore Bergé.
La #LDH porte plainte contre la publication de #Grok, l’intelligence artificielle du réseau social X, pour contestation de crimes contre l’humanité.
Le même jour, le parquet de Paris a réagi, expliquant à l’AFP avoir versé ces « propos négationnistes (…) à l’enquête en cours diligentée par la section de lutte contre la cybercriminalité ». Le fonctionnement de l’IA Grok « sera analysé dans ce cadre ». X est visée depuis juillet par une enquête du parquet pour ingérence étrangère.
Le message généré par Grok a depuis été supprimé et l’IA d’Elon Musk publie aussi des messages en sens inverse.
La Commission a annoncé avoir ouvert plusieurs enquêtes sur le marché du cloud en Europe pour déterminer si Amazon et Microsoft doivent être désignées comme contrôleurs d’accès sur le cloud et ainsi être soumises à des règles plus strictes du DMA.
Alors qu’Emmanuel Macron et le chancelier allemand Friedrich Merz organisaient un sommet sur la souveraineté numérique européenne à Berlin, la Commission européenne a annoncé l’ouverture d’enquêtes sur le marché du cloud computing en Europe. Elle veut notamment vérifier que le DMA est bien appliqué sur ce marché et envisage de modifier le statut d’AWS et d’Azure en leur attribuant l’étiquette de « contrôleurs d’accès » (ou gatekeepers), ce qui leur ajouterait des obligations légales permettant de simplifier la concurrence pour les autres acteurs.
« Soyons clairs, l’Europe ne veut pas être le client des grands entrepreneurs ou des grandes solutions proposées, que ce soit par les États-Unis ou par la Chine. Nous voulons clairement concevoir nos propres solutions », a déclaré Emmanuel Macron à Berlin, ajoutant qu’il s’agit « simplement d’un refus d’être un vassal ». Le message envoyé en parallèle par la Commission concernant le cloud se veut dans le même sens.
Lobbying des deux côtés de l’atlantique
Il correspond à ce qu’avaient demandé plusieurs lobbys européens du milieu vendredi dernier. Dans une « déclaration commune », le Cigref et ses homologues néerlandais, belges et allemands appelaient « la Commission européenne et les autorités nationales à faire preuve d’une vigilance accrue et à mettre en œuvre rigoureusement la loi sur les marchés numériques (DMA) », en ajoutant que « les grands fournisseurs mondiaux de technologies doivent être désignés comme gardiens lorsque leur position sur le marché leur permet d’imposer des conditions commerciales déloyales, de limiter les choix industriels de leurs clients et de restreindre la libre concurrence ».
De son côté, le lobby états-unien Business Software Alliance, dont font partie AWS et Microsoft, implorait lundi l’Europe de « laisser la porte ouverte ». « À l’heure où la souveraineté est devenue l’un des thèmes politiques les plus controversés de l’UE », affirmait BSA, le lobby proposait des alternatives « aux mesures de localisation restrictives et aux stratégies « exclusivement européennes » ».
La Commission semble donc pencher dans le sens des lobbys européens en ouvrant, comme elle l’indique dans un communiqué, deux enquêtes de marché pour évaluer si « Amazon et Microsoft devraient être désignés comme contrôleurs d’accès pour leurs services de cloud computing, Amazon Web Services et Microsoft Azure, au titre du DMA, c’est-à-dire qu’ils agissent comme des passerelles importantes entre les entreprises et les consommateurs, même s’ils ne remplissent pas les critères du DMA en matière de taille, de nombre d’utilisateurs et de position sur le marché ». Elle y ajoute une troisième enquête pour estimer « si le DMA peut lutter efficacement contre les pratiques susceptibles de limiter la compétitivité et l’équité dans le secteur du cloud computing dans l’UE ».
Des obligations nouvelles comme une interopérabilité plus importante
La Commission explique que « les analyses des marchés du cloud menées ces dernières années semblent indiquer que les services de cloud computing Microsoft Azure et Amazon Web Services occupent des positions très fortes par rapport aux entreprises et aux consommateurs ». Elle ajoute qu’elle évaluera « si certaines caractéristiques du secteur du cloud computing sont susceptibles de renforcer encore la position de Microsoft Azure et d’Amazon Web Services ».
Comme nous l’indiquions dans notre article détaillé lors de l’entrée en application du DMA, les obligations que devront respecter AWS et Azure en cas de désignation seront multiples. Notamment, le texte prévoit une obligation d’interopérabilité, « avec les mêmes caractéristiques matérielles et logicielles », ainsi que la portabilité des données. Ils ne pourraient non plus inscrire d’office l’utilisateur d’un service à un autre fourni par le même contrôleur d’accès, ni utiliser les données fournies par les entreprises qui utilisent le service de plateforme pour favoriser les propres services du contrôleur d’accès.
La Commission ajoute d’ailleurs comme exemple de sujets que les enquêtes devront aborder « les obstacles à l’interopérabilité entre le cloud computing, l’accès limité ou conditionné des entreprises utilisatrices aux données, les services de vente liée et de groupage et les clauses contractuelles potentiellement déséquilibrées ».
« Les services d’informatique en nuage sont essentiels pour la compétitivité et la résilience de l’Europe. Nous voulons que ce secteur stratégique se développe à des conditions équitables, ouvertes et concurrentielles », affirme Teresa Ribera, vice-présidente exécutive chargée d’une transition propre, juste et compétitive. « C’est pourquoi nous ouvrons aujourd’hui des enquêtes pour déterminer si les principaux services de cloud computing d’Amazon et de Microsoft, Amazon Web Services et Microsoft Azure, devraient être soumis aux obligations du règlement sur les marchés numériques (DMA) ». Elle ajoute que la Commission pourrait aussi faire évoluer ce texte pour « que l’Europe puisse suivre le rythme de l’évolution rapide des pratiques » dans ce secteur.
Alors que Microsoft a déclaré à Reuters être prête à contribuer au travail d’enquête de la Commission, AWS affirmait que « désigner les fournisseurs de services cloud comme gatekeepers ne vaut pas la peine de prendre le risque d’étouffer l’innovation ou d’augmenter les coûts pour les entreprises européennes ».
Plus de 70 chercheurs et chercheuses européens ont signé une lettre ouverte adressée à la présidente de la Commission européenne pour lui demander de revenir sur ses propos prédisant que l’IA serait capable d’égaler le raisonnement humain l’an prochain. Ils lui reprochent de ne s’appuyer que sur des déclarations de marketing prononcées par des CEO d’entreprises d’IA.
« Nous, experts en intelligence artificielle et ses conséquences sociales, sommes profondément préoccupés par votre déclaration non scientifique et inexacte selon laquelle l’IA se rapproche du raisonnement humain », expliquent plusieurs dizaines de chercheuses et chercheurs à la présidente de la Commission européenne, Ursula von der Leyen, dans une lettre ouverte [PDF].
Ils réagissent aux propos que la dirigeante a tenus en mai dernier lors de la Conférence annuelle sur le budget de l’UE 2025. En effet, Ursula von der Leyen affirmait, entre autres que, « quand le budget actuel a été négocié, nous pensions que l’IA ne se rapprocherait du raisonnement humain que vers 2050. Aujourd’hui, nous nous attendons à ce que cela se produise déjà l’année prochaine ».
Pas de sources précises de la Commission
Le chercheur Kris Shrishak, qui travaille au sein de l’ONG irlandaise Irish Council for Civil Liberties, avait questionné début juillet la Commission à propos de documents sources sur lesquelles se basait sa présidente pour affirmer une telle chose.
Les services d’Ursula von der Leyen lui ont répondu [PDF] en octobre « que la Commission ne détient aucun document qui correspondrait à la description donnée dans votre demande », tout en affirmant que cette déclaration s’appuyait « sur les connaissances professionnelles des services de la Commission et sur l’analyse documentaire de la littérature scientifique ».
Mais en référence, ils citaient trois responsables d’entreprises d’IA : Dario Amodei (CEO d’Anthropic), Jensen Huang (CEO de NVIDIA), Sam Altman (CEO d’OpenAI). Les services de la Commission ajoutaient aussi le billet de blog du chercheur franco-marocain Yoshua Bengio publié en octobre 2024.
« Affirmations marketing motivées par l’appât du gain »
Pour les chercheurs, « il s’agit là d’affirmations marketing motivées par l’appât du gain et l’idéologie plutôt que par des preuves empiriques et formelles. En bref, les déclarations de ces CEO du secteur technologique concernant la « superintelligence » et l’ « AGI » sont manifestement liées à leurs impératifs financiers et non à une science rigoureuse ».
Selon eux, une telle reprise par la présidente de la Commission saperait « la crédibilité de l’Europe en tant que source fiable et digne de confiance de connaissances scientifiques. Cela est particulièrement vrai dans le contexte actuel d’une importante bulle spéculative alimentée par un engouement injustifié pour l’IA ».
Kris Shrishak a enfoncé le clou dans un article publié sur Tech avec la chercheuse Abeba Birhane, en affirmant que « ces spéculations ne sont pas que des mots ». Ainsi, ils expliquent que « le plan « Continent IA » de la Commission intègre ces spéculations idéologiques dans ses politiques. Dans ce plan, la Commission affirme que « la prochaine génération de modèles d’IA de pointe devrait permettre une avancée considérable en matière de capacités, vers l’intelligence artificielle générale » ». Et ils assènent que « la Commission européenne a accepté sans réserve l’utilité de l’IA, en particulier de l’IA générative ».
Mise à jour 18 novembre, 15h53 : « Une correction a été mise en œuvre et nous pensons que l’incident est désormais résolu », explique Cloudflare dans un message publié à 15h42 heure de Paris. « Nous continuons à surveiller les erreurs afin de nous assurer que tous les services fonctionnent à nouveaunormalement », ajoute l’entreprise. L’incident aura duré environ 3 h.
Brief originel publié le 18 novembre à 14h19 :
Cloudflare est en carafe et, par cascade, de nombreux sites qui reposent sur ses services sont difficilement, voire pas du tout, accessibles. Ainsi les utilisateurs de X, Spotify, Canva, Downdetector.fr ou encore OpenAI peuvent rencontrer des difficultés à accéder à ces sites internet.
Downdetector, qui sert habituellement à vérifier si un site est hors ligne chez les autres, illustre ironiquement le phénomène – capture d’écran Next
« Le réseau mondial Cloudflare rencontre des problèmes » a annoncé Cloudflare sur son site d’information des pannes à 12h48, heure de Paris. Depuis l’entreprise a ajouté régulièrement des messages lapidaires affirmant qu’elle continue de creuser pour connaître la cause du problème.
Sur les sites concernés, le message d’erreur affiché évoque « challenges », l’appellation qui regroupe les services dédiés au contrôle de la légitimité de la requête de l’internaute, dont la case à cocher qui fait office de Captcha chez Cloudflare.
À 14h09 heure de Paris, l’entreprise a expliqué avoir identifié une modalité de résolution. « Nous avons apporté des modifications qui ont permis à Cloudflare Access et WARP de fonctionner à nouveau normalement. Les niveaux d’erreur pour les utilisateurs d’Access et de WARP sont revenus aux taux enregistrés avant l’incident », a-t-elle indiqué ensuite.
Les deux plateformes d’échange de cryptomonnaies Binance et OKX sont massivement utilisées pour le blanchiment d’argent. Une enquête du Consortium international des journalistes ICIJ montre que le conglomérat cambodgienHuione, accusé d’être au centre du blanchiment d’argent via les cryptomonnaies, aurait transféré au moins 545 millions d’euros en utilisant ces plateformes.
« La lessiveuse de cryptos » (en anglais, « The Coin Laundry »), c’est ainsi que le Consortium international des journalistes ICIJ a appelé son enquête montrant l’ampleur du blanchiment d’argent sale sur certaines plateformes de cryptomonnaies comme Binance et OKX.
545 millions d’euros de blanchiment d’un conglomérat cambodgien en un an
Ce consortium, qui rassemble 38 médias dont Le Monde et Radio France, a pu tracer des flux financiers provenant du conglomérat cambodgien Huione sur ces deux plateformes. Ils en concluent que cette entreprise, qui est « utilisée par des gangs criminels chinois pour blanchir les profits issus de la traite d’êtres humains et d’opérations frauduleuses à l’échelle industrielle », a transféré à Binance 408 millions de dollars (351 millions d’euros) entre juillet 2024 et juillet 2025, et 226 millions de dollars (195 millions d’euros) à OKX entre fin février 2025 et la fin juillet 2025.
Le mois dernier, le Réseau de lutte contre les crimes financiers (FinCEN) du département du Trésor américain ciblait ce même conglomérat cambodgien, l’accusant d’avoir blanchi « au moins 4 milliards de dollars de produits illicites entre août 2021 et janvier 2025 ». Le FinCEN annonçait avoir exclu Huione du système financier états-unien en parallèle de la saisie de 127 271 bitcoins (d’une valeur actuelle d’environ 15 milliards de dollars), dans le cadre de l’accusation de fraudes électroniques et de blanchiment d’argent de Chen Zhi, le fondateur et président de Prince Holding Group, un autre conglomérat cambodgien.
D’autres réseaux illégaux continuent d’utiliser ces plateformes
ICIJ a aussi découvert des transactions d’autres organisations illégales à travers le monde. Ainsi, le cartel de drogue mexicain Sinaloa a reçu plus de 700 000 dollars via des comptes de la plateforme Coinbase. Le consortium liste aussi un réseau de trafiquants chinois de fentanyl ou encore un intermédiaire russe chargé de blanchir de l’argent pour le programme d’armement nord-coréen en utilisant un compte sur la plateforme HTX.
Dans son enquête, l’ICIJ se demande si « les plateformes d’échange en font assez pour mettre fin aux flux illicites, que ce soit en gelant les fonds, en fermant les comptes ou en surveillant attentivement les transactions suspectes ». En novembre 2023, Binance et son ancien CEO, Changpeng Zhao « CZ », avaient plaidé coupable de violation des lois états-uniennes contre le blanchiment.
Binance en porte-à-faux avec ses engagements de 2023, CZ amnistié
L’entreprise s’était engagée à se plier aux législations en vigueur. Elle avait pu continuer ses activités même si le département de Justice américain relevait que l’entreprise avait volontairement favorisé ces transactions. Celui-ci notait par exemple, comme le révélait le Wall Street Journal, qu’un des employés chargé de la conformité de l’entreprise avait écrit dans le chat interne : « Nous avons besoin d’une bannière disant : « Le blanchiment d’argent sale est trop difficile ces jours-ci ? Venez chez Binance, nous avons des gâteaux pour vous » ».
Donald Trump a récemment amnistié CZ. À cette occasion, la porte-parole de la Maison-Blanche, Karoline Leavitt, a déclaré que les poursuites menées par le prédécesseur de Donald Trump « ont gravement terni la réputation des États-Unis comme leader en matière de technologie et d’innovation. La guerre du gouvernement Biden contre les cryptos est finie ».
« S’ils excluent les acteurs criminels de leur plateforme, ils perdent alors une importante source de revenus, ce qui les incite à laisser cette activité se poursuivre », explique à l’ICIJ John Griffin, enseignant-chercheur à l’université du Texas à Austin.
Cette enquête montre que, contrairement aux engagements pris en 2023 par Binance, l’entreprise et le milieu des cryptomonnaies n’ont pas fait le ménage. Si on pouvait le suspecter, comme l’exprime le CTO de l’ICIJ, Pierre Romera Zhang, « sans données, sans fact-checking, sans transparence, il n’y a ni débat public éclairé ni pression sur les plateformes, les législateurs et les autorités ».
Ce lundi 17 novembre, l’Urssaf indique que son service Pajemploi « a été victime d’un vol de données à caractère personnel de salariés des particuliers employeurs utilisant le service Pajemploi ».
Celui-ci a été mis en place pour permettre aux parents employeurs de déclarer et rémunérer les assistants maternels et gardes d’enfants à domicile.
L’Urssaf affirme avoir constaté l’ « acte de cybermalveillance » ce vendredi 14 novembre qui « a pu concerner jusqu’à 1,2 million de salariés de particuliers employeurs ».
Selon l’organisme, les données potentiellement concernées sont « les nom, prénom, date et lieu de naissance, adresse postale, numéro de Sécurité sociale, nom de l’établissement bancaire, numéro Pajemploi et numéro d’agrément ».
Il souligne qu’ « aucun numéro de compte bancaire (IBAN), aucune adresse mail, aucun numéro de téléphone ou mot de passe de connexion ne sont concernés ».
L’Urssaf assure avoir « immédiatement pris les mesures nécessaires et mobilisé toutes les équipes pour en identifier les causes, y mettre fin et renforcer la protection de nos systèmes d’information », avoir notifié la CNIL et l’ANSSI et qu’elle portera plainte auprès du procureur de la République.
L’organisme « présente toutes ses excuses pour cette atteinte à la confidentialité des données et assure ses usagers de son engagement et de sa vigilance permanente en matière de sécurité et de protection des données personnelles ».
Il « s’engage à envoyer une information individuelle à tous les usagers potentiellement concernés » et recommande à tous de faire preuve de vigilance renforcée face au potentiel phishing.
L’éditeur du logiciel médical Weda et filiale du groupe de santé Vidal a subi une cyberattaque la semaine dernière. Les 23 000 médecins et structures médicales clients n’ont pas pu accéder aux données de leurs patients pendant plusieurs jours. De nombreuses questions restent en suspens, relatives à la responsabilité d’informer les patients ou à la nature des informations potentiellement dérobées.
Depuis lundi 10 novembre, des milliers de praticiens de santé ont été touchés par les conséquences d’une cyberattaque contre l’éditeur du logiciel médical Weda, une filiale du groupe de santé Vidal depuis 2019.
Weda affiche plus de 23 000 utilisateurs, professionnels de santé sur son site internet. Mais l’accès au service a été coupé par l’entreprise le lundi 10 novembre à 23 h avant l’envoi mercredi 12 novembre d’un message à ses clients indiquant que ses « équipes ont détecté une activité inhabituelle sur certains comptes utilisateurs, laissant penser à des tentatives d’accès non autorisés », a appris le Mag IT.
Weda expliquait dans ce message que « depuis cette décision, [ses] équipes techniques et de cybersécurité travaillent sans relâche, en collaboration avec des experts externes, pour renforcer les mesures de protection ».
Toujours dans ce message daté de lundi dernier, elle annonçait à ses clients que « les premières analyses indiquent que les accès malveillants auraient pu permettre une extraction partielle de données, mais ni l’ampleur ni la confirmation formelle d’une fuite de données ne sont encore établies ». Elle ajoutait que « la faille d’accès est fermée et aucune nouvelle activité suspecte n’a été détectée ».
Plusieurs jours sans accès aux dossiers patients
Si Weda leur a envoyé plusieurs emails pour les tenir au courant de la situation, ses clients ont quand même dû attendre plusieurs jours pour avoir de nouveau accès au service. Jusqu’à vendredi 14 novembre, les médecins qui utilisent quotidiennement le service de l’entreprise pour gérer notamment les dossiers de leurs patients ne pouvaient plus s’y connecter.
Mercredi, l’entreprise a communiqué sur l’éventualité du retour de la plateforme sous un mode dégradé avec un accès à certaines fonctionnalités comme la consultation des dossiers de patients ou la gestion de leur agenda mais sans la création d’un nouveau dossier patient, ni la télétransmission des feuilles de soin à la sécurité sociale, ni le service d’ordonnance numérique ou encore la gestion des connectiques (ex: scanner, matériel ECG, etc.).
Finalement, cet accès en mode dégradé a été mis en place vendredi matin, selon Le Figaro, mais de nombreux témoignages sur les réseaux sociaux montraient que les médecins avaient toujours des difficultés à se connecter à Weda ce week-end.
Ainsi, le médecin Jean-Jacques Fraslin jugeait que « le logiciel WEDA reste convalescent » en joignant samedi une capture d’écran d’un message de Weda informant ses utilisateurs d’une fermeture nocturne de la plateforme « chaque nuit de 22 h à 7 h, du vendredi soir au lundi matin ».
Concrètement, la semaine dernière a été compliquée pour certains médecins, comme l’explique la Fédération des médecins de France : « les médecins utilisateurs de WEDA sont revenus au crayon et au papier, sans possibilité de consulter le moindre dossier médical partagé, ni le moindre dossier individuel ».
« On ne peut plus rien faire en ligne, on doit tout faire par papier. Nous n’avons plus accès aux antécédents des patients ni à leur dossier médical », confiait un médecin eurois à Paris-Normandie, ajoutant : « C’est plus qu’un handicap, ça fout en l’air nos journées ». Son confrère Philippe Boutin détaille au Figaro : « Ce n’est pas confortable de soigner les patients à l’aveugle, sans visibilité sur les prises de sang, les antécédents médicaux, les examens complémentaires » et explique avoir utilisé des « moyens un peu détournés, comme aller sur le site d’Ameli [le site de l’Assurance maladie en ligne, NDLR] pour consulter l’historique des remboursements et avoir une idée des dosages et traitements particuliers ».
Alors que le Sénat se prépare à examiner le projet de loi de financement de la Sécurité sociale (PLFSS 2026), dont l’article 31 prévoit de rendre obligatoire la consultation et l’alimentation du dossier médical partagé (DMP), le syndicat des médecins généralistes veut quant à lui tirer la sonnette d’alarme. « Au-delà du désagrément majeur impactant la pratique, cet incident illustre la dépendance et la fragilité de systèmes d’information en santé « tout en ligne ». Pendant que les médecins sont empêchés de travailler, les parlementaires choisissent ce moment pour rendre obligatoire l’usage du DMP et prévoir des sanctions pour ceux qui ne l’utiliseraient pas ! », s’insurge ce dernier.
Une information aux patients à faire par les médecins ?
Mais un nouveau message de Weda envoyé vendredi 14 novembre vers 11 h a fait bondir plusieurs médecins. En effet, en cette fin de semaine mouvementée, l’entreprise a expliqué à ses clients qu’ils devraient eux-mêmes compléter une « déclaration de violation de données auprès de la CNIL ».
L’entreprise ajoutait que « la première communication faisant état d’une violation de données est datée du mercredi 12 novembre à 01h00. En conséquence, le délai réglementaire de notification de 72 heures court jusqu’au samedi 15 novembre à 01h00. WEDA est déjà en contact avec les autorités, qui sont bien conscientes de la difficulté de recueillir toutes les informations dans ce délai ».
Le message envoyé par Weda le 14 novembre invite les professionnels de santé à compléter une déclaration de violation de données auprès de la CNIL – capture d’écran Next
Weda semble considérer que ce sont ses clients, les médecins utilisateurs de son service, qui sont responsables du traitement des données des patients et que c’est donc à eux de notifier aux personnes concernées. Comme le rappelle la CNIL, cette notification doit « a minima contenir » les éléments suivants :
« la nature de la violation ;
les conséquences probables de la violation ;
les coordonnées de la personne à contacter (DPO ou autre) ;
les mesures prises pour remédier à la violation et, le cas échéant, pour limiter les conséquences négatives de la violation. »
« Mais on ne sait même pas quelles données ont été violées ! » explique Pierre Bidaut, médecin généraliste en maison de santé à Gien au Figaro.
Se pose aussi la question de l’outil par lequel informer les patients, comme le notait vendredi soir Jean-Jacques Fraslin sur X : « À supposer que l’adresse mail soit renseignée dans la partie administrative du dossier médical, il faudrait que WEDA fournisse une routine permettant de les compiler afin de permettre à ses utilisateurs d’envoyer un mail groupé à tous ». L’entreprise aurait suggéré à une secrétaire médicale, dans un premier temps, un affichage en salle d’attente.
Contactée par Next, Weda n’a pas encore répondu à notre sollicitation. Nous ne manquerons pas de mettre à jour cet article si l’entreprise nous fournit plus d’explications.
Anthropic explique avoir détecté l’utilisation de son service de vibe coding Claude Code pour mettre au point des cyberattaques en passant outre les garde-fous mis en place. La startup d’IA a analysé l’attaque, banni les comptes utilisés pour la mettre en place, prévenu les entreprises ciblées et travaillé avec les autorités concernées.
Certains clients des entreprises d’IA générative veulent profiter de leurs outils pour monter plus facilement des cyberattaques. Il y a un mois, OpenAI expliquait avoir banni des comptes chinois cherchant à surveiller les réseaux sociaux.
C’est maintenant au tour d’Anthropic de publier un rapport sur le sujet. Ici, l’entreprise explique avoir détecté à la mi-septembre ce qu’elle qualifie d’ « opération de cyberespionnage sophistiquée » conduite par un groupe de hackers (qu’elle nomme GTG-1002) soutenu par l’État chinois.
Claude utilisé comme Agent pour concevoir une grande partie des attaques
« Les pirates ont utilisé les capacités « agentiques » de l’IA à un degré sans précédent, utilisant l’IA non seulement comme conseiller, mais aussi pour exécuter eux-mêmes les cyberattaques », affirme Anthropic.
Sans indiquer si c’est une mesure au doigt mouillé ou un calcul plus précis, Anthropic affirme qu’ils ont « pu utiliser l’IA pour mener à bien 80 à 90 % de la campagne, l’intervention humaine n’étant nécessaire que de manière sporadique (peut-être 4 à 6 points de décision critiques par campagne de piratage) ». Elle indique quand même que « la quantité de travail effectuée par l’IA aurait pris énormément de temps à une équipe humaine. Au plus fort de son attaque, l’IA a effectué des milliers de requêtes, souvent plusieurs par seconde, une vitesse d’attaque qui aurait été tout simplement impossible à égaler pour des pirates informatiques humains ». Si Anthropic « vend » les capacités de son IA à faire des milliers de requêtes, rappelons que l’automatisation des cyberattaques ne date pas d’aujourd’hui : on connait déjà depuis des années des attaques DdoS submergeant des systèmes informatiques de requêtes ou de données.
L’entreprise explique avoir lancé une enquête dès qu’elle a détecté l’activité suspicieuse. Anthropic indique que cette enquête a duré 10 jours pendant lesquels elle a petit à petit banni les comptes utilisés, informé les cibles concernées et travaillé avec les autorités.
Selon Anthropic, Claude Code a été utilisé pendant les cinq phases de l’attaque, de la mise en place et la sélection des cibles à l’extraction des données intéressantes, en passant par les phases de recherche de vulnérabilités des infrastructures ciblées et celle de collecte d’identifiants utiles pour s’infiltrer.
Dans son rapport, l’entreprise fournit des exemples de séquences de mise en place du système avec les tâches effectuées par Claude et celles de l’utilisateur humain :
Un découpage des tâches pour passer les sécurités de Claude
Pour mettre en place leur projet, les pirates ont dû passer les sécurités mises en place dans Claude par Anthropic pour bloquer les attaques. L’entreprise avoue qu’ils ont pu cacher leur projet simplement en découpant les attaques en petites tâches paraissant anodines, ce qui coupait Claude du contexte complet des attaques. « Ils ont également dit à Claude qu’il s’agissait d’un employé d’une entreprise de cybersécurité légitime et qu’il était utilisé dans le cadre de tests défensifs », affirme l’entreprise.
Dans son billet, Anthropic constate qu’avec des outils comme Claude, « les barrières pour réaliser des cyberattaques sophistiquées se sont abaissées énormément » et elle prévoit que cette baisse va continuer. « Des groupes moins expérimentés et disposant de moins de ressources peuvent désormais potentiellement mener des attaques à grande échelle de cette nature », assure-t-elle.
De quoi abandonner le développement de Claude ? L’entreprise se pose elle-même la question : « si les modèles d’IA peuvent être détournés à des fins de cyberattaques à cette échelle, pourquoi continuer à les développer et à les commercialiser ? ». Mais elle se reprend très vite : « La réponse est que les capacités mêmes qui permettent à Claude d’être utilisé dans ces attaques le rendent également indispensable pour la cyberdéfense ». Claude aurait alors une place de choix dans la course aux armements.
Publireportages, publicités natives ou spam, c'est pas la même chose ?
Dans son moteur de recherche, Google a décidé de rétrograder des publications sponsorisées publiées sur les sites de certains médias, les considérant comme du spam. La Commission européenne vient d’ouvrir une enquête sur le sujet pour vérifier que cette démarche respecte le DMA et que Google n’utilise pas ce filtre pour protéger ses parts de marché dans la publicité en ligne.
La Commission européenne ouvre une nouvelle enquête sur les pratiques de Google. Alors qu’elle a récemment infligé une amende de 3 milliards d’euros à l’entreprise pour avoir enfreint les règles de la concurrence dans le domaine de la publicité, l’organe exécutif de l’Union européenne s’intéresse à la rétrogradation de contenus de certains médias dans le moteur de recherche.
Elle cherche à vérifier que Google applique bien « des conditions d’accès équitables, raisonnables et non discriminatoires aux sites web des éditeurs sur Google Search », explique-t-elle dans un communiqué, en précisant que c’est une obligation imposée par la législation sur les marchés numériques (le DMA).
Google considère depuis un an et demi certains publireportages ou publicités natives comme du spam
Tout part d’une mise à jour par Google, en mars 2024, de ses règles concernant le spam pour son moteur de recherche.
On peut y lire notamment que, depuis, l’entreprise considère comme des « liens toxiques » les « publireportages ou publicités natives pour lesquels une rémunération est perçue contre des articles contenant des liens qui améliorent le classement, ou des liens avec du texte d’ancrage optimisé dans des articles, des articles d’invités, ou des communiqués de presse diffusés sur d’autres sites ».
Dans son argumentaire pour justifier cette mise à jour, Google explique sa position : « Nos Règles concernant le spam visent à contrarier les pratiques pouvant avoir un impact négatif sur la qualité des résultats de recherche Google ».
Un changement qui n’a pas plu aux lobbys de la presse européenne
Mais, comme l’expliquaient en avril dernier nos confrères de Contexte, plusieurs lobbys de la presse européenne pointaient les « pratiques de Google relatives à sa politique dite « Site Reputation Abuse » (SRA) – une mesure qui pénalise les sites web dans le classement de Google Search pour avoir coopéré avec des fournisseurs de contenu tiers, indépendamment du contrôle éditorial exercé par le site web sur ce contenu ou de sa qualité respective ».
Le même jour, l’entreprise allemande ActMeraki portait plainte auprès de la Commission sur le même sujet. « Google continue de fixer unilatéralement les règles du commerce en ligne à son avantage, en privilégiant ses propres offres commerciales et en privant les prestataires de services concurrents de toute visibilité. Il est temps d’y mettre un terme définitif », affirmait à Reuters l’avocat de l’entreprise.
Et tout le problème est là. Si les arguments de Google contre l’utilisation des publireportages ou publicités natives pour promouvoir du spam sont légitimes, l’entreprise met en place des règles concernant le marché de la publicité alors qu’elle est elle-même en position dominante sur celui-ci.
La Commission explique examiner « si les rétrogradations par Alphabet de sites web et de contenus d’éditeurs dans Google Search peuvent avoir une incidence sur la liberté des éditeurs d’exercer des activités commerciales légitimes, d’innover et de coopérer avec des fournisseurs de contenus tiers ». Elle précise que l’ouverture de son enquête « ne préjuge pas d’une constatation de non-conformité ». Elle ajoute que si elle trouve des preuves d’infractions au DMA, elle expliquera à Alphabet les mesures adéquates à prendre et qu’elle peut lui infliger une amende allant jusqu’à 10 % de son chiffre d’affaires mondial.
Dans sa déclaration sur le sujet, la vice-présidente exécutive de la Commission européenne pour une transition propre, juste et compétitive, Teresa Ribera, est plus vindicative : « Nous sommes préoccupés par le fait que les politiques de Google ne permettent pas aux éditeurs de presse d’être traités de manière équitable, raisonnable et non discriminatoire dans ses résultats de recherche. Nous mènerons une enquête afin de nous assurer que les éditeurs de presse ne perdent pas d’importantes sources de revenus dans une période difficile pour le secteur, et que Google respecte la loi sur les marchés numériques ».
Google confirme sa position sur sa lutte anti-spam
De son côté, Google a jugé bon de publier un billet de blog pour défendre la politique anti-spam de son moteur de recherche. « L’enquête annoncée aujourd’hui sur nos efforts de lutte contre le spam est malavisée et risque de nuire à des millions d’utilisateurs européens », affirme l’entreprise. « La politique anti-spam de Google est essentielle dans notre lutte contre les tactiques trompeuses de paiement à la performance qui nuisent à la qualité de nos résultats », ajoute-t-elle.
Elle donne deux exemples d’articles sponsorisés qu’elle considère comme problématiques :
Si l’entreprise semble se soucier des spams qui polluent son moteur de recherche, rappelons qu’elle montre beaucoup moins de scrupule dans la gestion des contenus recommandés par son autre outil Discover qui met en avant, par exemple, des infox GenAI diffamantes sur du soi-disant pain cancérigène ou un faux scandale de poissons recongelés.
Dans une lettre ouverte publiée ce jeudi 13 novembre [PDF], 127 organisations européennes dont noyb, EDRi, le Chaos Computer Club ou encore Ekō s’opposent à la loi « omnibus numérique » proposée par la Commission européenne. Pour rappel, celle-ci veut notamment alléger le RGPD au profit des entreprises d’IA.
« Ce qui est présenté comme une « rationalisation technique » des lois numériques de l’UE est en réalité une tentative de démanteler subrepticement les protections les plus solides de l’Europe contre les menaces numériques », écrivent-elles. Sans modifications significatives du texte, il deviendrait « le plus grand recul des droits fondamentaux numériques dans l’histoire de l’UE ».
« En qualifiant de « bureaucratie » des lois essentielles telles que le RGPD, la directive ePrivacy, la loi sur l’IA, le DSA, le DMA, la réglementation sur l’internet ouvert (DNA), la directive sur le devoir de vigilance des entreprises en matière de durabilité et d’autres lois cruciales, l’UE cède aux puissants acteurs privés et publics qui s’opposent aux principes d’un paysage numérique équitable, sûr et démocratique et qui souhaitent abaisser le niveau des lois européennes à leur propre avantage », affirment-elles.
Enfin, elles ajoutent que « les règles récemment adoptées par l’Europe en matière d’IA risquent également d’être compromises, l’Omnibus étant sur le point de supprimer certaines des mesures de protection destinées à garantir que l’IA soit développée de manière sûre et sans discrimination ».
Ces 127 organisations demandent donc à la Commission de « mettre immédiatement fin » à la relecture de textes comme le RGPD, l’ePrivacy ou l’AI Act et de « réaffirmer l’engagement de l’UE en faveur d’une gouvernance numérique fondée sur les droits, y compris une application stricte des protections existantes ».
Un groupe d’une douzaine de pays présents à la COP 30 au Brésil, dont la France, annonce vouloir s’emparer activement de la lutte contre la désinformation sur le climat. En amont du sommet, des ONG avaient sonné l’alarme à propos de la forte propagation de la désinformation climatique sur internet, avec l’IA générative comme nouvel outil de superpropagation.
En marge de la COP 30 qui se déroule actuellement à Belém, au Brésil, 12 pays ont publié une déclaration sur l’intégrité de l’information en matière de changement climatique.
Déclaration de principe de 12 pays
La Belgique, le Brésil, le Canada, le Chili, le Danemark, la Finlande, la France, l’Allemagne, les Pays-Bas, l’Espagne, la Suède et l’Uruguay appellent [PDF] à lutter contre les contenus mensongers diffusés en ligne et à mettre fin aux attaques.
Ils s’y disent « préoccupés par l’impact croissant de la désinformation, de la mésinformation, du déni, des attaques délibérées contre les journalistes, les défenseurs, les scientifiques, les chercheurs et autres voix publiques spécialisées dans les questions environnementales, ainsi que par d’autres tactiques utilisées pour nuire à l’intégrité des informations sur le changement climatique, qui réduisent la compréhension du public, retardent les mesures urgentes et menacent la réponse mondiale au changement climatique et la stabilité sociale ».
Ces pays s’engagent notamment à soutenir l’initiative mondiale pour l’intégrité de l’information sur le changement climatique lancée par l’Unesco.
Des ONG alertent sur la propagation de la désinformation, notamment à propos de la COP 30 elle-même
Début novembre, juste avant l’ouverture de la COP30, une coalition d’ONG (dont QuotaClimat et Équiterre en France) nommée Climate Action Against Disinformation publiait un rapport titré « Nier, tromper, retarder : démystifié. Comment les grandes entreprises polluantes utilisent la désinformation pour saboter les mesures climatiques, et comment nous pouvons les en empêcher ». Le rapport se faisait notamment l’écho d’une énorme campagne de désinformation sur des inondations à Belém, la ville de la COP 30, documentée par la newsletter Oii.
Celle-ci dénombrait plus de 14 000 exemples de contenus de désinformation publiés entre juillet et septembre sur la COP 30 elle-même. Notamment, des vidéos en partie générées par IA qui faisaient croire à des inondations dans la ville.
« « Voici le Belém de la COP30 qu’ils veulent cacher au monde », déclare un journaliste debout dans les eaux qui inondent la capitale de l’État du Pará », décrit Oii. « Mais… rien de tout cela n’est réel ! Le journaliste n’existe pas, les gens n’existent pas, l’inondation n’existe pas et la ville n’existe pas. La seule chose qui existe, ce sont les nombreux commentaires indignés contre le politicien mentionné dans la vidéo et contre la conférence sur le climat à Belém, sur X (anciennement Twitter) et TikTok », déplore la newsletter.
« Des mesures telles que la loi européenne sur les services numériques (DSA), qui s’appliquent au niveau supranational, rendent les grandes entreprises technologiques plus transparentes et responsables des préjudices causés », affirme la Climate Action Against Disinformation. Et elle ajoute que « si certaines entreprises donnent une mauvaise image de tous les réseaux sociaux, des sites web tels que Wikipédia et Pinterest prouvent que les politiques de lutte contre la désinformation climatique et l’intégrité de l’information sont non seulement possibles, mais nécessaires ».
Les benchmarks de LLM pullulent mais aucun, ou presque, ne semble s’appuyer sur un travail réellement scientifique, analysent des chercheurs. Ils appellent à une plus grande rigueur.
À chaque publication d’un nouveau modèle pour l’IA générative, l’entreprise qui l’a conçu nous montre par des graphiques qu’il égale ou surpasse ses congénères, en s’appuyant sur des « benchmarks » qu’elle a soigneusement choisis.
Plusieurs études montraient déjà qu’en pratique, ces « bancs de comparaison » n’étaient pas très efficaces pour mesurer les différences entre les modèles, ce qui est pourtant leur raison d’être.
Un nouveau travail scientifique, mené par 23 experts, a évalué 445 benchmarks de LLM. Il a été mis en ligne sur la plateforme de preprints arXiv et sera présenté à la conférence scientifique NeurIPS 2025 début décembre.
Une faible majorité s’appuie sur une méthode théorique robuste
Déjà, une faible majorité (53,4 %) des articles présentant ces 445 benchmarks proposent des preuves de leur validité conceptuelle, expliquent les chercheurs. 35 % comparent le benchmark proposé à d’autres déjà existants, 32 % à une référence humaine et 31 % à un cadre plus réaliste, permettant de comprendre les similitudes et les différences.
Avant de mesurer un phénomène avec un benchmark, il faut le définir. Selon cette étude, 41 % des phénomènes étudiés par ces benchmarks sont bien définis, mais 37 % d’entre eux le sont de manière vague. Ainsi, quand un benchmark affirme mesurer l’ « innocuité » d’un modèle, il est difficile de savoir de quoi on parle exactement. Et même 22 % des phénomènes étudiés par ces benchmarks ne sont pas définis du tout.
16 % seulement utilisent des tests statistiques pour comparer les résultats
De plus, les chercheurs montrent que la plupart de ces benchmarks ne produisent pas des mesures valides statistiquement. Ainsi, 41 % testent exclusivement en vérifiant que les réponses d’un LLM correspondent exactement à ce qui est attendu sans regarder si elles s’en approchent plus ou moins. 81 % d’entre eux utilisent au moins partiellement ce genre de correspondance exacte de réponses. Mais surtout, seulement 16 % des benchmarks étudiés utilisent des estimations d’incertitude ou des tests statistiques pour comparer les résultats. « Cela signifie que les différences signalées entre les systèmes ou les affirmations de supériorité pourraient être dues au hasard plutôt qu’à une réelle amélioration », explique le communiqué d’Oxford présentant l’étude.
Enfin, les chercheurs expliquent qu’une bonne partie des benchmarks ne séparent pas bien les tâches qu’ils analysent. Ainsi, comme ils le spécifient dans le même communiqué, « un test peut demander à un modèle de résoudre un casse-tête logique simple, mais aussi lui demander de présenter la réponse dans un format très spécifique et compliqué. Si le modèle résout correctement le casse-tête, mais échoue au niveau du formatage, il semble moins performant qu’il ne l’est en réalité ».
« « Mesurer ce qui a de l’importance » exige un effort conscient et soutenu »
Dans leur étude, les chercheurs ne font pas seulement des constats. Ils ajoutent des recommandations. Ils demandent notamment à ceux qui établissent des benchmarks de définir clairement les phénomènes qu’ils étudient et de justifier la validité conceptuelle de leur travail.
Pour eux, les créateurs de benchmarks doivent s’assurer de « mesurer le phénomène et uniquement le phénomène » qu’ils étudient, de construire un jeu de données représentatif de la tâche testée et d’utiliser des méthodes statistiques pour comparer les modèles entre eux. Enfin, ils leur conseillent de mener, après avoir conçu leur benchmark, une analyse des erreurs « qui permet de révéler les types d’erreurs commises par les modèles », ce qui permet de comprendre en quoi le benchmark en question est réellement utile.
« En fin de compte, « mesurer ce qui a de l’importance » exige un effort conscient et soutenu de la part de la communauté scientifique pour donner la priorité à la validité conceptuelle, en favorisant un changement culturel vers une validation plus explicite et plus rigoureuse des méthodologies d’évaluation », concluent-ils.
« Les benchmarks sous-tendent presque toutes des affirmations concernant les progrès de l’IA », explique Andrew Bean, dans le communiqué, « mais sans définitions communes et sans mesures fiables, il devient difficile de savoir si les modèles s’améliorent réellement ou s’ils en donnent simplement l’impression ».
Connexion
![[MàJ] La panne Cloudflare touchant de nombreux services comme X ou ChatGPT semble résolue](https://next.ink/wp-content/uploads/2023/11/cloud3.jpg)
