Aussi différent que tout le monde

Mozilla a désormais un nouveau CEO : Anthony Enzor-DeMeo. Il remplace Laura Chambers, qui a dirigé l’entreprise comme CEO par intérim. La fondation, elle, reste présidée par Mitchell Baker, qui est également directrice générale de la partie entreprise.

Anthony Enzor-DeMeo était arrivé chez Mozilla il y a tout juste un an, pour prendre la tête de Firefox. Dans l’annonce faite ce 16 décembre, il a remercié Laura Chambers pour son « leadership exceptionnel » dans une période charnière pour Mozilla, à qui elle a « apporté clarté, stabilité et concentration ».

Il enchaine rapidement sur ce qu’il présente comme le crédo de l’entreprise : la confiance. « Quand j’ai rejoint Mozilla, il était clair que la confiance allait devenir le problème majeur de la technologie et que le navigateur serait l’endroit où cette bataille allait se dérouler. L’IA remodelait déjà la façon dont les gens recherchent, achètent et prennent des décisions de manière difficile à voir et encore plus à comprendre », indique Anthony Enzor-DeMeo.

Trois grands axes, dont l’IA

« Les gens veulent un logiciel rapide, moderne, mais aussi honnête sur ce qu’il fait », ajoute le nouveau CEO. La confiance doit surpasser tout le reste et Mozilla doit devenir une référence dans le domaine. « Ce n’est pas un slogan », martèle Anthony Enzor-DeMeo.

Il définit les trois grands axes de son règne : chaque produit développé par Mozilla doit donner de l’autonomie (confidentialité, utilisation des données, simplicité des contrôles…), une monétisation transparente et le passage à un écosystème plus large de logiciels de confiance, dont Firefox restera « l’ancre ».

Et que tout le monde soit averti : Firefox va bien évoluer vers un navigateur IA. Des investissements vont être faits en ce sens sur trois ans. Mais le nouveau CEO précise rapidement que ce travail devra « refléter le Manifeste Mozilla » et que tout ce qui touche à l’IA devra pouvoir être désactivé facilement. La différenciation avec le reste de l’industrie se ferait sur les « principes ».

Pas de LLM made in Mozilla à l’horizon

« Nous agirons avec urgence. L’IA change les logiciels. Les navigateurs deviennent le point de contrôle de la vie numérique. La réglementation modifie les défauts. Ces changements jouent en faveur des forces de Mozilla », affirme Anthony Enzor-DeMeo. À The Verge, le CEO indique cependant être conscient de « l’érosion de la confiance » sur l’IA, insistant sur la nécessité pour Mozilla de devenir une référence.

Mais de quelle IA parle-t-on ? Comme le confirme le CEO à nos confrères, Mozilla ne va pas développer son propre LLM. Firefox va surtout s’équiper d’un mode IA qui donnera accès à divers modèles. Certains seront open source, d’autres non, et les principaux acteurs devraient être présents. Aucun modèle en particulier ne sera mis en avant, tout dépendant du choix fait par l’internaute. Reste à voir comment Mozilla arrivera à faire passer son message à faire la différence dans un marché du navigateur en pleine effervescence, l’IA ayant relancé la guerre, avec de nouveaux acteurs comme OpenAI et Perplexity.

• Chrome officialise sa grande bascule dans l’IA, les agents avant la fin de l’année

Joli Jolla

Jolla est de retour avec un nouveau smartphone, le Do It Together. Présenté comme une alternative européenne, le smartphone fait l’objet d’une campagne participative, dont les deux premiers jalons sont déjà atteints.

Sailfish OS est née des cendres du projet MeeGo, un système d’exploitation développé conjointement par Nokia et Intel. En 2011, Stephen Elop, responsable chez Microsoft, devient président de Nokia, il est décidé que l’avenir de l’entreprise passera entièrement par la plateforme Windows Phone. On connaît la suite : malgré des modèles globalement réussis et disposant de qualités certaines, les modèles Windows Phone ne rencontreront qu’un succès limité. La faute principalement au manque d’applications sur la boutique.

De fait, l’entreprise finlandaise Jolla, qui développe le système, a été fondée par un groupe d’anciens employés de Nokia, partis quand Stephen Elop est arrivé. Quelques modèles sont sortis directement avec la marque Jolla, mais Sailfish OS s’est surtout fait connaître comme alternative à Android, bien qu’avec une liste réduite d’appareils compatibles, comme le Xperia 10 II de Sony.

Avec le temps, Jolla s’est tourné vers d’autres domaines pour son système (basé sur Linux), notamment l’industrie automobile. L’entreprise est devenue rentable en 2021, presque dix ans après sa fondation, comme l’indiquait alors TechCrunch.

L’entreprise est de retour avec un tout nouveau modèle. Baptisé Do It Together (en opposition au Do It Yourself), le nouveau smartphone est présenté comme une alternative européenne aux grands noms de la tech, pratiquement tous américains. Fourni avec Sailfish OS 5, dernière révision stable du système, il se veut entièrement tourné vers la confidentialité et le respect de la vie privée.

Un bouton configurable pour la vie privée

La base technique du nouveau téléphone est centrée sur une puce Mediatek « hautes performances » dont la référence est inconnue. Le téléphone est compatible 5G, embarque 12 Go de mémoire et 256 Go de stockage (extensibles jusqu’à 2 To via microSDXC) et présente un écran AMOLED 1080p de 6,36 pouces (environ 390 ppi, ratio de 20:9), recouvert d’une couche Gorilla Glass. La partie photo comprend deux capteurs, un grand angle de 50 MP et un ultra grand angle de 13 MP. Une caméra frontale grand angle est également présente, mais on n’en sait pas plus.

Le smartphone présente des dimensions de 158 × 74 × 9 mm, mais son poids n’est pas précisé. Il est disponible en trois couleurs : Snow White, Kaamos Black et The Orange. C’est cette dernière que la communication met surtout en valeur. On trouve aussi un lecteur d’empreintes latéral, du Wi-Fi 6 et du Bluetooth 5.4.

L’annonce ne donne pas tous les détails techniques. Dans la FAQ, on peut d’ailleurs lire que le reste des informations sera donné durant le premier trimestre 2026. En revanche, on sait déjà que le Jolla DIT se distinguera par deux caractéristiques. D’une part, la batterie (de 5 500 mAh) sera remplaçable rapidement par retrait de la coque arrière (d’ailleurs personnalisable). D’autre part, l’appareil présente sur la tranche un Privacy Switch. Ce bouton permet de couper physiquement le Bluetooth, le micro ou encore les applications Android. Son comportement peut être modifié afin d’ajouter ou retirer des éléments.

Jolla indique dans la page du projet que le DIT est une émanation de la communauté : les principales décisions prises sur les caractéristiques ont fait l’objet d’un vote. Précisons également que Sailfish OS intègre MicroG pour permettre le fonctionnement des applications Android, qui peuvent être installées notamment via la boutique F-Droid.

Succès quasi immédiat du financement participatif

Jolla n’a pas mis directement en vente son modèle. L’entreprise voulait s’assurer en effet que la demande serait au rendez-vous. Elle a donc proposé un financement participatif le 5 décembre, avec un objectif initial de 2 000 précommandes au prix de 499 euros. Ce jalon a été atteint en moins de 48 heures. Jolla a donc décidé d’ajouter un deuxième lot de 2 000 précommandes, cette fois à 549 euros. L’objectif a également été atteint.

Actuellement, le nombre de précommandes dépasse les 5 200, le nouveau palier étant de 10 000 unités. Jolla précise d’ailleurs que ce nouveau plafond ne sera pas repoussé, même si l’objectif est rempli. Les personnes intéressées ont encore 20 jours pour précommander le DIT, via un paiement de 99 euros. Dans la FAQ, il est précisé que cette précommande peut être annulée et que la somme sera rendue.

Ce n’est pas la première fois que Jolla recourt au financement participatif. L’entreprise s’en était par exemple servi dès 2014 pour sa tablette.

L’équipe de Linux Mint a publié la version 6.6 finale de l’environnement Cinnamon, qui équipe par défaut la distribution populaire.

Le plus gros changement, qui avait été « teasé » par l’équipe au début du printemps, est un menu principal repensé. Il permet la configuration des emplacements et favoris, la bascule entre des icônes symboliques ou complètes (colorées) et embarque de nombreux changements visuels. Par exemple, le panneau latéral est plus large, les dossiers les plus courants y sont épinglés, les boutons d’alimentation (arrêt, déconnexion, verrouillage) sont placés en bas à gauche, etc.

Cinnamon 6.6 présente d’autres nouveautés. Par exemple, une simplification de la gestion des claviers physiques et virtuels avec un bouton pour changer rapidement de disposition, une meilleure visibilité des suggestions ou encore un effet de fondu quand le clavier virtuel apparait ou disparait.

Signalons aussi du neuf dans les Paramètres, avec notamment le nouveau panneau pour les informations système, l’arrivée du Thunderbolt ou encore la possibilité de définir manuellement les plages horaires pour les thèmes clairs et sombres. L’applet NetworkManager peut afficher plusieurs connexions VPN actives, Workspace Switcher peut ajouter des icônes aux fenêtres, Imprimante n’apparait que lors d’une impression, une jauge apparait quand on change le volume sonore, Alt+Tab n’affiche que les fenêtres présentes sur l’écran utilisé, les animations sont plus fluides, etc.

Cinnamon 6.6 sera l’environnement par défaut de la future version 22.3 de Linux Mint, nommée Zena. Elle doit arriver à la fin du mois ou début janvier. Pour les autres systèmes avec Cinnamon, la mise à jour de l’environnement dépendra de la philosophie de la distribution utilisée. Beaucoup ne changent pas de version majeure ou même intermédiaire avant la révision suivante. À noter que la version 6.6 est prête aussi bien pour l’édition standard de Linux Mint que pour LMDE, l’édition basée sur Debian.

« Pas le top, mais pas cher »

Mistral part plus frontalement à l’assaut de Claude Code et autre ChatGPT Codex. La startup française a lancé ce 9 décembre deux modèles dédiés au développement, dont une version légère fonctionnant sur du matériel grand public.

Mistral a lancé en juin dernier son outil Code, dédié au vibe coding. La semaine dernière, elle présentait ses modèles Mistral 3, déclinés en de nombreuses variantes.

• Mistral lance sa nouvelle famille Mistral 3 et vante ses petits modèles

La licorne veut doubler la mise avec sa nouvelle génération Devstral 2 dédiée aux développeurs, plus particulièrement au fonctionnement autonome agentique. Elle lance également un outil en ligne de commande, Vibe CLI, pour faciliter l’automatisation du code par le langage naturel.

Mistral joue la rentabilité

La nouvelle famille Devstral 2 se compose de deux modèles, un grand et un petit, ouverts et sous licence libre (une version modifiée de la licence MIT pour le grand, Apache 2.0 pour le petit). Le grand, avec ses 123 milliards de paramètres, est mis en avant. Mistral annonce un score de 72,2 % sur le test SWE-bench Verified, ce qui le classe parmi les meilleurs modèles, devant Claude 4.5 Sonnet (70,60 %) et derrière Claude 4.5 Opus (74,40 %) et Gemini 3 Pro (74,20 %). Sur le site du test, les scores des modèles Devstral 2 ne sont pas encore présents.

Mistral braque surtout les projecteurs sur la rentabilité de son modèle. Elle le présente comme « jusqu’à 7 fois plus rentable que Claude Sonnet pour des tâches réelles ». En outre, le modèle est actuellement gratuit via l’API Mistral. Après cette période de grâce, la tarification sera de 0,40 dollar par million de jetons en entrée et de 2 dollars en sortie. C’est d’ailleurs de là que vient la comparaison avec Sonnet, puisque la tarification de ce dernier est respectivement de 3 et 15 dollars.

Devstral 2 peut fonctionner localement, mais Mistral recommande quand même la présence d’au moins quatre puces H100 pour son déploiement. Sa fenêtre de contexte est de 256 000 jetons. « Devstral 2 permet d’explorer les bases de code et d’orchestrer les modifications sur plusieurs fichiers tout en maintenant un contexte au niveau de l’architecture. Il suit les dépendances du framework, détecte les défaillances et réessaie avec des corrections – résolvant des défis comme la correction de bugs et la modernisation des systèmes hérités. Le modèle peut être affiné pour prioriser des langages spécifiques ou optimiser pour de grandes bases de code d’entreprise », indique Mistral dans son communiqué.

Petit pimousse

Cependant, c’est bien Devstral 2 Small qui a attiré le plus l’attention. Il dispose de 24 milliards de paramètres et affiche, selon Mistral, un score de 68 % sur SWE-bench Verified. Lui aussi est pour l’instant disponible gratuitement via l’API. Après quoi, la tarification sera de 0,10 dollar par million de jetons en entrée et 0,30 dollar en sortie. Là aussi, la fenêtre de contexte est de 256 000 jetons. La communication de Mistral sur ce petit modèle est claire : il n’égale pas les gros modèles, mais il est 28 fois plus petit que DeepSeek 3.2.

Devstral 2 Small a attiré rapidement les commentaires, et pour cause : son installation locale peut se faire sur du matériel accessible au grand public. Une recherche « devstral » sur X montre rapidement un grand nombre de publications louant les résultats obtenus pour un modèle local. Dogac, par exemple, a testé les modèles dans un benchmark personnalisé et retrouve globalement les résultats donnés par Mistral. D’autres, comme N8Programs et Thadée Tyl, louent ses performances. Ce dernier affirme que Devstral 2 devient le meilleur modèle pour le développement sous la barre des 150 milliards de paramètres, et que Devstral 2 Small fait presque jeu égal avec Magistral 1.2 sans posséder de capacités de raisonnement.

Dans l’ensemble, les résultats obtenus par les deux modèles vont dans le sens de ce que nous déclarait récemment Horacio Gonzalez (Clever Cloud). Pour le responsable, on pouvait être optimiste sur les modèles locaux et open source, car leur progression est tout aussi rapide – même avec un décalage – que les modèles fermés en ligne. Une progression suffisante pour ne pas avoir à craindre une trop grande dépendance limitée à quelques gros acteurs du domaine.

• IA : « Les développeurs sont toujours condamnés, jusqu’à ce qu’ils ne le soient plus »

Mistral Vibe CLI

Mistral a profité de son annonce pour lancer un nouvel outil, nommé Vibe CLI, également sous licence Apache. Il s’utilise en ligne de commande, similaire à des produits concurrents comme Claude Code et OpenAI Codex. Vibe CLI sert à interagir avec les modèles Mistral dans un terminal, avec des capacités d’analyse de structure de fichiers, de modifications sur plusieurs fichiers, de commandes shell, de recherche de code ou encore de contrôle de version.

Mistral insiste en particulier sur la prise en charge d’un « contexte conscient » du projet. La structure des fichiers et le statut Git sont ainsi analysés automatiquement. L’entreprise assure que le raisonnement se fait sur l’ensemble des fichiers et pas uniquement celui en cours d’édition. L’historique est décrit comme persistant, avec autocomplétion et thèmes personnalisables.

« Vous pouvez exécuter Vibe CLI de manière programmatique pour le scripting, désactiver l’auto-approbation pour l’exécution de l’outil, configurer des modèles locaux et des fournisseurs via un simple config.toml, et contrôler les permissions des outils pour correspondre à votre flux de travail », indique Mistral, confirmant que son outil fonctionne avec des installations locales de ses modèles.

Sur le fonctionnement en ligne, certains notent des latences, conséquence probablement du lancement frais. D’autres ont testé Mistral Vibe en local avec le modèle Devstral 2 Small, comme N8Programs sur un Mac équipé d’une puce M3 Max. Le nombre de cœurs n’est pas précisé, mais la puce en contient au moins 14 sur la partie CPU et 30 sur la partie GPU. On trouve également des avis plus nuancés, notamment sur les performances de Devstral 2, avec des bons et mauvais points.

La fondation Linux a cessé depuis longtemps d’être centrée sur Linux. Elle est aujourd’hui un vaste parapluie regroupant un nombre croissant de fondations « filles ». La Linux Foundation gère aujourd’hui plus de 900 projets, dont des briques très utilisées comme PyTorch, le noyau Linux, Xen ou encore l’architecture RISC-V.

Une nouvelle fondation fille a rejoint le clan : l’Agentic AI Foundation (AAIF). Objectif : façonner la manière dont les agents interagissent en s’assurant que tout le monde respecte un ensemble commun de règles.

La fondation accueille des « contributions fondatrices de projets techniques de premier plan », dont bien sûr le protocole MCP, créé par Anthropic et qui s’est rapidement imposé comme un standard. Il permet pour rappel aux agents d’exposer leurs capacités afin qu’ils puissent se reconnaitre et communiquer entre eux. Sont également présents le framework Goose de Block (Square, Cash App, Afterpay, TIDAL…) et la norme de facto AGENTS.md créée par OpenAI (l’équivalent d’un README pour les agents).

Sans trop de surprise, les membres Platinum (ceux apportant la plus grosse contribution financière) sont surtout les ténors du domaine : Amazon Web Services, Anthropic, Google, Microsoft et OpenAI. Mais on note aussi la présence de Bloomberg et de Cloudflare. Ce dernier y voit peut-être une manière de « réguler » ce domaine de l’intérieur, après avoir pesté plusieurs fois contre le comportement de certains acteurs, en particulier Perplexity. Parmi les membres Gold, on trouve nombre d’acteurs majeurs de la tech comme IBM, Oracle, Ericsson, Cisco, JetBrains ou encore SAP.

« L’avènement de l’IA agentique représente une nouvelle ère de prise de décision autonome et de coordination entre les systèmes d’IA qui transformera et révolutionnera des industries entières. L’AAIF offre une base neutre et ouverte pour garantir que cette capacité critique évolue de manière transparente, collaborative et de manière à favoriser l’adoption des principaux projets d’IA open source. Ses projets inauguraux, AGENTS.md, Goose et MCP, posent les bases d’un écosystème partagé d’outils, de standards et d’innovations communautaires », déclare la fondation dans son communiqué.

L’AAIF ajoute que dans le cadre de cette annonce, Obot.ai (membre Silver) a transmis à la fondation le patronage de ses évènements MCP Dev Summit et son podcast. Le prochain sommet aura lieu les 2 et 3 avril 2026 à New York. La fondation en profite pour ouvrir l’appel à interventions, l’inscription et les parrainages pour l’évènement.

Google diffuse depuis hier soir aux testeurs intéressés une nouvelle version Canary d’Android. Cette mouture, estampillée 2512 et potentiellement (très) instable, intègre plusieurs améliorations d’interface et nouvelles fonctions. Par exemple, des modifications liées à la cohérence graphique de l’interface, quelques nouvelles icônes, des animations plus rapides, etc.

La mise à jour inclut cependant une nouveauté faisant le tour des médias : une nouvelle fonction permettant de passer plus facilement d’un iPhone vers Android, dès l’assistant de configuration initial. Et il ne s’agit pas d’un « hack » comme la récente compatibilité avec AirDrop diffusée par Google, mais du résultat d’un travail commun des deux entreprises.

On manque encore de détails sur la fonction, mais elle comprend a priori les données et réglages d’applications, les réglages des notifications ainsi que les paramètres clés dans les réglages du système. Cette passation d’informations se fait au niveau du système et n’a pas besoin d’une application dédiée.

Cette fonction n’est disponible pour l’instant que pour les smartphones Pixel de Google et devrait être diffusée en version stable au cours d’une prochaine mise à jour trimestrielle. 9to5Google, à l’origine de l’information, indique cependant que l’accord se fait dans les deux sens : Apple va également proposer un processus équivalent dans iOS, pour reprendre les mêmes informations depuis un Pixel. La fonction serait ajoutée lors d’une prochaine bêta du cycle d’iOS 26, dans la version 26.3 ou 26.4 probablement.

L’ajout signale une détente progressive chez Apple, contrainte et forcée de s’ouvrir, que ce soit par la régulation (notamment en Europe) ou par pression populaire. Après avoir remporté la bataille sur le support du RCS dans iOS, Google a habilement lancé son support d’AirDrop, Apple se retrouvant « coincée » par une annonce en grande pompe, sous l’œil des régulateurs, dont une Commission européenne assumant le bras de fer.

La nouvelle mouture de Firefox apporte plusieurs évolutions notables. L’une des plus importantes est l’arrivée de la mise à l’échelle fractionnée pour Wayland. Dans les grandes lignes, c’est l’ensemble de l’affichage qui devrait être plus efficace et réactif sur les sessions Wayland. Un changement important, qui réjouit particulièrement Michael Larabel, de Phoronix.

Firefox 146 présente d’autres améliorations sous le capot. La version Mac contient ainsi désormais un processus GPU dédié, qui servira pour WebGPU, WebGL ainsi que le propre moteur WebRender du navigateur. Mozilla indique dans les notes de version que cet ajout permettra de redémarrer silencieusement le processus GPU en cas d’erreur fatale, plutôt que d’entrainer un plantage du navigateur. Sous Windows, le support de l’ancienne API Direct2D est supprimé (il reste disponible dans la version ESR).

Mozilla a également ajouté un système de sauvegarde sous Windows, à destination en particulier des personnes sous Windows 10. En plus du service de synchronisation habituel, Firefox peut maintenant lancer une sauvegarde une fois par jour. Le fichier comprend notamment les favoris et mots de passe, avec possibilité d’y glisser d’autres catégories de données. Il peut aussi être protégé par un mot de passe et est alors chiffré. Ce fichier peut ensuite servir pour une installation neuve du navigateur, y compris sur un autre appareil.

Parmi les autres nouveautés, signalons la disponibilité des Firefox Labs pour l’ensemble des utilisateurs, l’arrivée dans l’Union européenne d’un widget météo pour la page Nouvel onglet, une nouvelle version de la bibliothèque graphique Skia pour améliorer les performances et la compatibilité, ou encore le masquage automatique des propriétés CSS inutilisées dans l’Inspecteur pour réduire l’encombrement.

Enfin, Firefox 146 corrige treize failles de sécurité, dont cinq de gravité élevée.

« L’Europe doit investir »

Infomaniak vient de lancer son IA maison. L’entreprise suisse insiste particulièrement sur la dimension souveraine, sécurisée et autonome de son infrastructure, ainsi que sur la récupération de la chaleur générée pour chauffer des logements à Genève.

Infomaniak se présente comme un nouvel acteur dans la cour rapidement grandissante des fournisseurs de solutions IA. Le produit se nomme Euria, un chabot qui entre en concurrence directe avec ChatGPT, Claude et autre Mistral. Le nom est d’ailleurs l’acronyme de « Éthique, Universelle, Responsable, Indépendante et Autonome ». Après un lancement discret en juin dans kDrive, le chatbot prend ses aises.

Un modèle freemium et une tarification agressive

Le nouveau service est disponible via une page web, ou par l’application mobile sur Android et iOS. Comme souvent avec les chatbots, on trouve une version gratuite pour répondre aux questions, bloquée une fois un palier atteint (ce point n’est pas clairement précisé). Après quoi, il faudra l’une des formules payantes de la kSuite (à partir de 19 euros par an).

On note d’ailleurs qu’Infomaniak n’a pas créé de formule payante spécifique pour son nouveau service. On peut en outre utiliser Euria sans créer de compte, mais le chatbot en réclamera rapidement un après quelques requêtes (trois dans notre cas). On note dans l’ensemble des réponses assez rapides.

Euria est multimodal. Les demandes peuvent être faites textuellement ou par la voix, on peut lui envoyer des documents et autres fichiers, lui demander des transcriptions audio, d’interpréter des tableaux et autres graphiques, de lancer des recherches sur le web ou encore des raisonnements plus complexes. Infomaniak explique que le raisonnement et la recherche web sont utilisés automatiquement en fonction du contexte, mais on peut forcer la recherche en la demandant explicitement au chatbot. Des évolutions sont déjà prévues, dont la génération d’images, des agents et de la mémoire pour le contexte.

Infomaniak promet le respect des données

Côté sécurité et confidentialité, Infomaniak assure que des chiffrements sont appliqués « à toutes les étapes ». Il faut comprendre pendant le transport et au repos, mais Infomaniak peut accéder aux données sur ses serveurs. Point important, l’entreprise ajoute que les données traitées ne sont jamais utilisées « pour entraîner des modèles d’intelligence artificielle, établir des profils ou alimenter des systèmes tiers ».

• E2EE ou chiffrement de bout en bout… mais de quel « bout » parle-t-on ?

Un mode éphémère est proposé pour aller plus loin, l’entreprise assurant alors qu’aucune trace n’est laissée et que rien ne peut être récupéré, y compris par Infomaniak. Tous les traitements ont lieu dans le datacenter D4 situé en Suisse, inauguré en début d’année.

Des modèles open source

Infomaniak n’a cependant pas développé de modèle maison. À la place, l’entreprise se sert de plusieurs modèles open source. Si l’annonce n’en parle pas, l’entreprise nous a répondu, par la voix de Thomas Jacobsen, son responsable communication et marketing : elle se sert de Mistral (Small 3.2) pour les images, Qwen3 (Alibaba) pour la partie texte, et de Whisper d’OpenAI pour l’audio.

« Notre stack évolue en permanence afin d’intégrer les meilleurs modèles open source disponibles au moment où ils deviennent pertinents. Nous contribuons et suivons de près l’évolution d’Apertus, et nous étudions déjà la possibilité d’adopter le prochain modèle de Mistral. Dans nos choix technologiques, l’impact écologique joue également un rôle essentiel : nous cherchons systématiquement le meilleur compromis entre performance et consommation de ressources »

Infomaniak en profite pour lancer un cri d’alarme à ce sujet : « À ce jour, aucun des modèles les plus performants n’est européen. Ce constat doit nous interpeller : l’Europe doit investir pour rattraper son retard et bâtir ses propres modèles d’IA souverains, éthiques et neutres en carbone. Plus les utilisateurs choisiront des acteurs locaux, plus nous aurons les moyens de construire cette indépendance technologique », a déclaré Marc Oehler, CEO d’Infomaniak.

Enfin, Infomaniak met en avant l’aspect écologique de son datacenter, utilisé par Euria, dont la chaleur est récupérée et réinjectée dans le réseau de chauffage urbain. L’objectif est d’atteindre la pleine puissance en 2028 et alors de chauffer jusqu’à 6 000 logements à Genève en hiver, de fournir jusqu’à 20 000 douches chaudes par jour et ainsi d’éviter la combustion de 3 600 tonnes de CO₂ en gaz naturel.

Le contentieux entre Meta et la Commission européenne va déboucher sur un important changement. À partir du mois prochain (la date exacte reste à définir), Meta laissera le choix aux utilisateurs de l’Union européenne entre partager ses données personnelles pour obtenir des publicités ciblées et en partager moins pour des publicités plus génériques.

Le changement a été annoncé par la Commission européenne ce 8 décembre. Elle « reconnaît l’engagement de Meta à proposer aux utilisateurs de l’UE un choix alternatif de services Facebook et Instagram qui leur proposeraient des publicités moins personnalisées, afin de se conformer à la loi sur les marchés numériques (DMA). C’est la première fois qu’un tel choix est proposé sur les réseaux sociaux de Meta ».

Comme le rappelle la Commission, cette décision fait suite à la condamnation de Meta à une amende de 200 millions d’euros en avril dernier pour avoir enfreint le DMA.

En cause, la formule « Consentez ou payer », qui réclamait de payer pour supprimer les publicités personnalisées. C’était la réponse de Meta à l’obligation de laisser le choix sur le traitement des données personnelles pour personnaliser les publicités. Or, ces formules payantes (et rapidement onéreuses) ne répondaient pas aux exigences européennes, car elles ne garantissaient pas que les données personnelles n’étaient pas traitées, uniquement que les publicités n’apparaissaient plus.

Ces abonnements ne semblent pas avoir été populaires en Europe. En mai, The Verge rapportait ainsi le témoignage de l’un des responsables de Meta, John Hegeman. Selon lui, les internautes européennes n’avaient montré qu’un « très faible intérêt » pour ces formules, seuls 0,07 % des utilisateurs ayant choisi de payer.

La Commission rappelle cependant que l’enquête n’est pas close pour autant. Une fois ce changement en place, « la Commission sollicitera des retours et des preuves de Meta et d’autres parties prenantes concernées sur l’impact et l’adoption de ce nouveau modèle publicitaire ». Et de rappeler que les utilisateurs « doivent avoir un choix complet et efficace, ce qui est leur droit au titre de la DMA ».

Deux semaines après une grande panne de plusieurs heures, Cloudflare a de nouveau rencontré un problème de configuration, aboutissant à une coupure de 25 min de ses services. La faute serait relative à un changement intervenu pour combattre l’exploitation de la faille dans React.

Cloudflare a connu une panne majeure le 5 décembre 2025 qui a duré environ 25 minutes, entre 09h47 et 10h12, heure française. L’incident a affecté environ 28 % du trafic HTTP total transitant par son réseau, provoquant des erreurs HTTP 500 pour les clients concernés.

Protection lourde

La faute à un bug logiciel déclenché lors du déploiement d’une protection contre la vulnérabilité CVE-2025-55182 affectant React Server Components. Pour contrer cette faille critique (score CVSS de 10/10), Cloudflare a en effet créé de nouvelles règles dans son WAF (Web Application Firewall) et augmenté la taille du buffer d’analyse des requêtes HTTP de 128 ko à 1 Mo pour protéger ses clients utilisant Next.js.

• Faille de gravité maximale découverte dans React, des correctifs à installer en urgence

Durant le déploiement de cette augmentation, un outil interne de test a généré des erreurs. L’équipe a alors décidé de le désactiver via son système de configuration globale, qui propage rapidement (« en quelques secondes ») les changements sur l’ensemble du réseau.

Cette modification a exposé un bug latent dans le proxy FL1 (une ancienne version). Le code Lua contenait une erreur de type « nil pointer » lors du traitement des règles du WAF avec action « execute » lorsque celles-ci étaient désactivées via le killswitch. Seuls les clients utilisant le proxy FL1 avec le Cloudflare Managed Ruleset déployé ont été touchés. Ce type d’erreur n’aurait pas pu se produire avec FL2, le nouveau proxy écrit en Rust, affirme Cloudflare.

Cloudflare se concentre sur les correctifs

Cet incident survient seulement deux semaines après une autre panne majeure le 18 novembre 2025. Cloudflare reconnaît que les modifications de sécurité promises après cette première panne n’ont pas encore été complètement déployées.

L’entreprise s’engage à publier cette semaine un plan détaillé des projets de résilience en cours, incluant des diffusions progressives améliorées avec validation automatique de la santé des services, des capacités de rollback rapide et une logique « fail-open » pour éviter que les erreurs de configuration ne bloquent le trafic. En attendant, tous les changements sur leur réseau sont mis en pause.

• La grande panne de Cloudflare est partie d’un petit changement de permissions

GLF OS, dont nous avions suivi le lancement début septembre, est une distribution Linux française spécialisée dans le jeu vidéo. Alors que les lignes commencent à bouger dans cet univers sous l’impulsion d’un Windows 10 privé de support et d’une couche d’émulation Proton ayant prouvé son efficacité, l’équipe derrière GLF OS vient de lancer une mise à jour importante.

• GLF OS, Linux spécialisé dans le jeu vidéo, est disponible en version finale

La nouvelle mouture, nommée Phoenix, intègre le noyau Linux 6.17 et met à jour bon nombre de composants internes, dont GNOME 49.1 et KDE Plasma 6.5. Mesa passe en version 25.2.3, amenant le support de FSR4 pour les cartes AMD et Intel, ainsi qu’une meilleure stabilité pour les jeux AAA avec Proton. La distribution intègre également les pilotes NVIDIA 580.105, avec à la clé une meilleure prise en charge des GPU récents et des correctifs pour Wayland.

Plusieurs changements internes importants sont en outre à signaler. Le gestionnaire de démarrage Grub a été remplacé par systemd-boot, « garantissant l’installation de GLF OS sur un maximum de machines ». Un correctif pour l’hibernation de la machine a été implémenté, de même que la compatibilité avec le Stream Deck d’Elgato. Plusieurs extensions GNOME ont été ajoutées, comme Dash to panel, Openbar et Rounded Window Corner. Les miniatures pour les vidéos font également leur apparition dans Nautilus.

Pour les personnes souhaitant installer la version Studio, on note un temps d’installation fortement réduit. Cette variante intègre en effet plusieurs applications spécifiques, dont DaVinci Resolve, qui était compilée au dernier moment. Cette étape a été déplacée côté serveurs, aboutissant à une durée d’installation qui peut être réduite d’un facteur allant jusqu’à 6. Ce fonctionnement concerne d’ailleurs d’autres composants, comme les pilotes NVIDIA, réduisant le temps d’installation de toutes les versions, même si DaVinci était de loin le plus « gros caillou », comme nous le confirme Vinceff, fondateur du projet.

GLF OS est pour rappel développé sur la base de NixOS et est donc un système immuable. Une notification signale aux utilisateurs que des mises à jour sont en attente d’un redémarrage pour être appliquées.

Là ! Une porte !

La société autrichienne Proxmox vient de lancer la première version finale de son Datacenter Manager. Le composant était attendu, car il permet de centraliser de nombreuses opérations de gestion et de garder une vue d’ensemble sur les infrastructures Proxmox VE. Dans un contexte tendu par le rachat de VMware par Broadcom, le nouveau produit pourrait offrir une porte de sortie aux entreprises.

Dans son communiqué publié hier soir, Proxmox reconnait volontiers qu’il manquait une brique essentielle dans son offre : « Gérer des centres de données en pleine croissance, répartis sur plusieurs sites ou clusters, présente constamment des défis majeurs pour les entreprises et les équipes. L’absence de supervision globale, des indicateurs fragmentés et la nécessité d’effectuer manuellement des opérations complexes dans divers environnements peuvent rapidement entraîner des inefficacités et une plus grande susceptibilité aux erreurs ».

Le nouveau Datacenter Manager est donc une réponse à cette problématique. Il joue le rôle d’agent de liaison entre les nœuds et clusters individuels et propose une vue unifiée.

Cap sur la centralisation et le pilotage

PDM, pour Proxmox Datacenter Manager, propose ainsi un tableau de bord pour avoir un œil sur les principales informations. Le tableau affiche ainsi l’état de santé des clusters Proxmox VE et instances Backup Server, agrège l’utilisation critique des ressources (CPU, mémoire et entrées/sorties pour le stockage), fournit une vue des KPI (key performance indicators) et indicateurs de performances, avec une promesse de vision immédiate des goulots et autres problèmes. Les données sont mises en cache, pour que le dernier état connu reste accessible.

Ce dashboard général peut être accompagné d’autres tableaux personnalisés, pour cibler une partie spécifique de la structure, ou des indicateurs particuliers. Le contrôle d’accès basé sur les rôles (RBAC) permet d’accorder des accès à ces vues personnalisées sans fournir pour autant un accès aux machines virtuelles ou aux hôtes.

Migration à chaud des machines virtuelles

Autre capacité attendue, la possibilité de migrer à chaud des machines virtuelles d’un cluster à un autre, facilitant notamment les opérations de maintenance. La même interface centrale permet de réaliser d’autres opérations comme le démarrage, l’arrêt ou la configuration des machines virtuelles, conteneurs et autres ressources de stockage. Là encore, le RBAC permet d’octroyer des permissions spécifiques à des utilisateurs et de centraliser les historiques et journaux, par exemple à des fins d’audits.

Et tant qu’à y être, PDM propose d’autres fonctions, notamment un moteur de recherche décrit comme « très puissant » et inspiré de ce que l’on trouve déjà dans Elastic Search et GitHub, surtout pour filtrer et trouver des ressources. Datacenter Manager prend également en charge le réseau défini par logiciel (SDN) et centralise les mises à jour dans un panneau dédié.

Proxmox Datacenter Manager est basé sur la distribution Debian 13.2, avec un noyau Linux 6.17 et le support de ZFS 2.3. L’éditeur ajoute que sa pile logicielle centrale est écrite en Rust et que l’interface (en responsive) fournit « une expérience utilisateur optimale ». Les images ISO sont disponibles depuis le site officiel. Pour rappel, les produits sont gratuits, mais l’entreprise vend des abonnements incluant notamment le support technique.

Une porte de sortie ?

Depuis le rachat de VMware par Broadcom, la situation s’est crispée pour de nombreux clients autour de la virtualisation. Des plaintes ont été déposées et une partie des entreprises cherche à briser sa dépendance aux produits VMware en regardant vers la concurrence. Proxmox fait partie des solutions envisagées, mais l’absence d’une solution pour centraliser la gestion de nombreux nœuds était un frein.

Chez moji (la société ayant racheté Next il y a un peu plus de deux ans), le SRE (Site Reliability Engineer) Alexandre Gliganic nous indique que le produit est testé depuis les premières versions alpha et que les nouvelles fonctions font la différence, notamment le tableau de bord unifié. L’entreprise se sert largement de Proxmox depuis plusieurs années.

« Pour moi, une des fonctionnalités les plus fortes, c’est la migration live inter-clusters. Avant, pour migrer une VM du cluster A vers le cluster B, il fallait passer par une migration à froid via le système de backup Proxmox (PBS), ou utiliser des commandes QEMU (pas très user-friendly pour la plupart des gens). Avec PDM, on ajoute simplement les deux clusters au système, on sélectionne la VM et on clique sur “migrer” vers le cluster cible. Et ça fonctionne directement », s’enthousiasme l’ingénieur.

Il met également en avant les tableaux de bord personnalisés : « On peut créer des dashboards personnalisés en fonction des rôles assignés aux utilisateurs PDM. C’est très pratique. Par exemple, pour que l’équipe support voie les métriques des clusters clients, mais pas celles des clusters internes ».

« Ce qui est intéressant avec PDM, c’est qu’on retrouve enfin une logique de gestion globale qui manquait à l’écosystème Proxmox, un peu comme ce que beaucoup d’équipes infra ont toujours eu avec des plateformes comme vCenter dans le monde VMware/ESXi », ajoute Alexandre Gliganic.

Waf ! Waf !

Un chercheur a découvert dans le composant React Server Components une faille dont le score de gravité CVSS atteint la note maximale de 10. Des correctifs ont été rapidement publiés et il est recommandé de mettre à jour les applications et autres composants concernés le plus rapidement possible.

Dans une note publiée le 3 décembre, la fondation React a averti d’une faille extrêmement critique dans le framework (cadriciel) React Server Components. Estampillée CVE-2025-55182, elle a reçu la plus grande note possible au score CVSS, soit 10.

Dans son billet de blog, la fondation indique que le signalement de la faille a été fait le 29 novembre par le chercheur Lachlan Davidson. Elle réside dans les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 des composants suivants : react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack.

Exploitée, la faille peut permettre l’exécution de commandes arbitraires à distance. Elle a même reçu un nom : React2Shell. Initialement, deux failles avaient été signalées. La seconde, dans Node.js et numérotée CVE-2025-66478, a cependant été rejetée par le NIST américain, car il s’agissait finalement du même mécanisme.

Une grande facilité d’exploitation

Selon la société Wiz qui s’est penchée sur la question, une grosse partie du problème tient à l’exploitation particulièrement simple de cette faille, faisant exploser son score CVSS. Deux composantes sont mises en avant : la faille est exploitable dans toutes les configurations, et il ne suffit que d’une requête HTTP spécialement conçue pour déclencher la suite.

La société explique qu’il s’agit d’un cas de désérialisation logique. Il découle de la manière dont les React Server Components (RSC) gèrent les requêtes. Une personne non authentifiée pourrait ainsi créer une requête HTTP malveillante à n’importe quel point de terminaison Server Function qui, au moment où React s’occupe de la désérialisation, entraine l’exécution d’un code JavaScript arbitraire sur le serveur.

Dans son billet, la fondation React n’en dit pas plus, car elle explique attendre une diffusion plus importante des correctifs avant de donner plus de détails.

Toute bibliothèque utilisant RSC (comme Vite RSC, Parcel RSC, React Router RSC preview, RedwoodJS, ou encore Waku) est concernée par la faille et il faut donc surveiller l’arrivée de mises à jour, déjà publiées dans de nombreux cas. « La vulnérabilité affecte les configurations par défaut du framework, ce qui signifie que les déploiements standards sont immédiatement exploitables sans conditions particulières », indique la société de sécurité Endor Labs.

Que faire ?

L’urgence est d’appliquer les nouvelles versions 19.0.1, 19.1.2 et 19.2.1 des trois composants react-server-dom. Jusqu’à ce qu’ils puissent être déployés, il est conseillé d’appliquer des règles WAF (Web Application Firewall).

Plusieurs entreprises de premier plan ont d’ailleurs réagi à ce sujet. Cloudflare a annoncé dès le 3 décembre avoir mis à jour son WAF pour protéger ses clients. L’éditeur ajoute que même si les nouvelles règles bloquent les éventuelles attaques, il reste recommandé de mettre à jour aussi vite que possible les composants logiciels concernés.

Même son de cloche chez Google pour sa Cloud Armor, qui décrit les nouvelles règles du pare-feu applicatif comme une mesure temporaire d’atténuation. On retrouve les mêmes éléments de langage chez Akamai et AWS.

Et ça continue, encore et encore

Coup sur coup, deux entreprises françaises ont reconnu des fuites de données. La quantité d’informations a priori dans la nature n’est cependant pas la même dans les deux cas, la fuite chez Médecin Direct étant la plus grave.

Alors que France Travail annonçait une nouvelle fuite de données il y a quelques jours, deux nouveaux piratages ont été confirmés en France. Pour le magasin de bricolage, SaxX a averti d’une fuite le 2 décembre. À ce moment, l’enseigne commençait à envoyer des e-mails pour prévenir les clients concernés que leurs données avaient été piratées. Dans la capture du courrier, on pouvait lire que celles-ci comprenaient le nom, le prénom, le numéro de téléphone, l’adresse e-mail, l’adresse postale et la date de naissance. Leroy Merlin précisant également que les coordonnées bancaires et les mots de passe n’étaient pas touchés.

Ce 4 décembre, Leroy Merlin a confirmé l’information au Monde, via l’AFP. « Les clients concernés ont été informés dès que nous avons pris connaissance de l’attaque », a ainsi indiqué l’enseigne, qui a ajouté que des vérifications étaient « en cours » pour mesurer l’étendue du problème. Comme toujours dans ce genre de cas, la CNIL a été prévenue (les entreprises y sont tenues par la loi) et une plainte va être déposée. Il est demandé aux clients, encore une fois, d’être vigilants sur l’usage frauduleux qui pourrait être fait de leurs données.

Médecin Direct : des données médicales dans la nature

Dans le cas de Médecin Direct, une plateforme de téléconsultation, le problème est plus grave. SaxX a publié hier la capture du courrier envoyé aux clients concernés. On peut y lire que des informations ont pu être dérobées. D’abord à caractère personnel, avec globalement les mêmes données que pour Leroy Merlin, auxquelles s’ajoute le numéro de sécurité sociale, s’il a été donné.

Surtout, des données de santé ont pu être exfiltrées : « l’objet de la téléconsultation, les données renseignées dans le questionnaire de pré-consultation, les données échangées par écrit avec le professionnel de santé », précise le courrier. « En revanche, les documents que vous avez pu transmettre ou recevoir à l’occasion de la téléconsultation ne sont pas concernés ». Le pire semble évité, mais les informations décrites peuvent quand même s’avérer très sensibles, selon les cas. On apprend également dans l’e-mail que l’intrusion aurait été détectée le 28 novembre.

À 01net, l’entreprise française a confirmé la fuite, sans développer : « Nos services fonctionnent normalement et nous avons renforcé nos mécanismes de surveillance et de protection. Notre plateforme dispose des niveaux de sécurité conformes au cadre réglementaire strict applicable à la télémédecine. Une enquête sur l’origine de cet incident a été diligentée et nous ne pouvons pas partager davantage de détails à ce stade ».

Dans les deux cas, SaxX affirme que c’est le groupe de pirates Dumpsec qui aurait revendiqué l’attaque. Ils seraient à l’origine d’une grande vague de piratages ces derniers mois, dont les 1 300 mairies que nous évoquions il y a peu.

• Des fuites de données « non sensibles » dans 1 300 mairies, les intermédiaires ciblés

Les risques sont toujours les mêmes. Ces informations, même quand elles ne sont pas sensibles comme peuvent l’être les données médicales, peuvent être utilisées dans le cadre de campagnes de phishing. Plus les pirates ont d’informations, plus ils peuvent personnaliser leurs tentatives. Avec suffisamment d’informations, le risque peut grimper jusqu’à l’usurpation d’identité.

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?

Linus Torvalds est connu pour ses positions franches. On se souvient du doigt d’honneur fait à NVIDIA en 2012, en témoignage de sa colère face au comportement d’une entreprise très peu intéressée par l’open source. Nous avions résumé une partie de ces problèmes dans notre article sur la transition X11/Wayland.

• X11, Wayland : pourquoi la transition est-elle aussi longue ?

En octobre 2024, Linus Torvalds s’en était pris à Intel et AMD, critiquant leur « matériel bogué » et l’avalanche de modifications logicielles rendues nécessaires par les multiples failles découvertes, bal ouvert début 2018 par Spectre et Meltdown. La même année, il avait d’ailleurs fait une pause pour s’occuper de son caractère, souvent jugé brutal. Mais il lui est arrivé aussi de siffler la fin de la récréation en intervenant dans des débats houleux pour calmer le jeu, notamment dans les discussions vives autour de l’intégration de Rust dans le noyau.

Cette fois, le père du noyau Linux s’en est pris à Elon Musk. Il y a quelques jours, Linus Torvalds apparaissait dans une vidéo du youtubeur Linus Sebastian (chaine Linus Tech Tips), centrée sur le montage d’un nouveau PC pour les besoins du développeur. Les deux Linus discutaient de divers sujets, dont la productivité au travail face à l’IA.

Le youtubeur a ainsi évoqué le cas d’une « grande entreprise » où les développeurs devaient indiquer leur nombre de lignes de code écrites, avec possibilité de licenciement si ce n’était pas assez. Torvalds avait bien sûr un avis très tranché sur la question : « Oh oui, non, tu ne devrais même pas être contrarié là-dessus. C’est juste de l’incompétence. Quiconque pense que c’est un indicateur valable est trop stupide pour travailler dans une entreprise tech ».

Linus Sebastian lui a alors demandé s’il savait de qui il était en train de parler. Devant le « non » de Torvalds, le youtubeur lui a répondu : « Oh. Euh… il a été une figure importante de l’amélioration de l’efficacité du gouvernement américain récemment ». Et Torvalds d’enchainer : « Oh, apparemment j’avais vu juste ».

La Russie bloque désormais les communications FaceTime sur les appareils Apple, principalement l’iPhone. FaceTime permet pour rappel des communications (réellement) chiffrées de bout en bout entre appareils frappés d’une pomme.

• E2EE ou chiffrement de bout en bout… mais de quel « bout » parle-t-on ?

La nouvelle a été retransmise il y a quelques heures par Reuters, qui en a obtenu confirmation par l’agence Roskomnadzor, régulateur des télécommunications en Russie. Contactée par nos confrères, l’agence a répondu : « Selon les agences de maintien de l’ordre, FaceTime est utilisé pour organiser et mener des attaques terroristes dans le pays, recruter des auteurs et commettre des fraudes et d’autres crimes contre des citoyens russes ». Roskomnadzor n’a pas élaboré.

Toujours selon Reuters, les symptômes ont commencé aujourd’hui même. Bien qu’Apple ne vende plus ses produits depuis l’attaque contre l’Ukraine (la page officielle russe renvoie directement au support technique), de nombreux iPhone restent en circulation. Mais depuis peu, les appels FaceTime échouent, l’application indiquant « Utilisateur indisponible ». Selon un témoignage, la demande d’appel est bien émise, mais le contact ne s’établit pas une fois la communication acceptée.

Le blocage de FaceTime n’est que la dernière décision en date de la Russie contre les technologies occidentales. Au cours des trois dernières années, de nombreux services ont été concernés, avec par exemple Instagram dès mars 2022. En aout, on apprenait que l’agence Roskomnadzor avait annoncé le blocage partiel des appels sur WhatsApp et Telegram, et que le magasin d’applications RuStore devenait obligatoire sur les nouveaux smartphones.

RuStore a été développé par VK, l’entreprise russe possédant le réseau social du même nom, ce dernier ayant été créé par Pavel Durov, également fondateur de Telegram. La même entreprise a développé la messagerie Max, que le gouvernement russe met largement en avant désormais. Selon Reuters, de nombreuses critiques se sont élevées pour dénoncer un outil de surveillance des citoyens russes, accusations réfutées par la presse d’État.