Une lettre ouverte signée par des anciens salariés d’OpenAI et de Google DeepMind réclame la possibilité d’exprimer leurs préoccupations sur les dangers des IA les plus avancées. Certains signataires sont restés anonymes par peur de possibles représailles. Le texte est aussi soutenu par Yoshua Bengio, Geoffrey Hinton et Stuart Russell.

Mardi, un petit groupe d’anciens salariés d’OpenAI a publié un texte sur le site Right to warn. Leurs signatures sont accompagnées de celles de Ramana Kumar, un ancien de Google DeepMind et de Neel Nanda, ancien d’Anthropic actuellement en poste chez Google DeepMind.

Cette lettre arrive alors qu’il y a quinze jours, l’équipe chargée de contrôler les IA chez OpenAI a quitté l’entreprise. Elle a déclaré ne pas avoir reçu les moyens qui lui avaient été promis pour travailler sur le sujet. L’entreprise a, depuis, créé un nouveau comité de sécurité, mais celui-ci parait verrouillé par la présence de Sam Altman et Bret Taylor en son sein.

Dans ce contexte, OpenAI a été accusé d’éviter toute critique de ses anciens employés en leur imposant la signature d’un accord de confidentialité (NDA) qui leur interdit de la critiquer.

• Comment OpenAI évite toute critique de ses anciens employés
• [Màj] OpenAI : l’équipe chargée de contrôler les IA n’avait pas accès aux capacités de calculs promises

Seuls à pouvoir sonner l’alarme

Dans leur texte, ces ingénieurs expliquent être en position de comprendre les risques posés par ces technologies : « ces risques vont du renforcement des inégalités existantes à la manipulation et à la désinformation, en passant par la perte de contrôle des systèmes d’IA autonomes pouvant entraîner l’extinction de l’humanité ».

Ils disent « espérer que ces risques pourront être atténués de manière adéquate si la communauté scientifique, les décideurs politiques et le public fournissent des orientations suffisantes ». Mais ils ajoutent que « les entreprises d’IA ont de fortes incitations financières à éviter une surveillance efficace, et nous ne pensons pas que les structures de gouvernance d’entreprise habituelles soient suffisantes pour changer cette situation ».

Pour eux, « tant qu’il n’y aura pas de contrôle gouvernemental efficace de ces entreprises, les employés actuels et anciens sont parmi les rares personnes qui peuvent les mettre devant leurs responsabilités publiquement ».

Mais ils dénoncent les accords de confidentialité qui les « empêchent d’exprimer [leur] préoccupations ». Ils pointent une faille dans la protection des lanceurs d’alerte qui se concentre « sur les activités illégales, alors que bon nombre des risques qui nous préoccupent ne sont pas encore réglementés ».

Dénonciation des accords de confidentialité

Ils demandent donc aux entreprises d’IA de s’engager à : ne plus signer d’accords de confidentialité qui empêchent toute critique des risques liés à l’intelligence artificielle, créer un processus anonymisé de remontée des préoccupations, soutenir une culture de la critique ouverte, et s’engager à ne pas aller à l’encontre d’employés partageant publiquement des informations confidentielles liées à des risques si d’autres processus ont échoué avant.

Ce texte est soutenu par Yoshua Bengio, Geoffrey Hinton et Stuart Russell, des personnalités qui comptent dans cette communauté.

• Geoffrey Hinton quitte Google, des observateurs lassés par la tournure du débat sur les risques de l’IA forte

Publication tardive

Cette lettre arrive pourtant tard alors que Timnit Gebru et Margaret Mitchell ont été licenciées par Google fin 2020 et début 2021. Elles travaillaient alors sur la publication de leur article scientifique prévenant déjà des dangers des grands modèles de langage, outils sur lesquels se base l’IA générative.

• Google, IA et éthique : « départ » de Timnit Gebru, Sundar Pichai s’exprime
• Google, IA et éthique : Margaret Mitchell annonce avoir été licenciée

Interrogée par Ars Technica, Margaret Mitchell (qui travaille maintenant chez Hugging Face) témoigne de la difficulté de lancer l’alerte dans l’industrie de l’IA : « vous devez quasiment renoncer à votre carrière et à votre santé psychologique pour poursuivre en justice une organisation qui, du fait qu’elle est une entreprise, n’a pas de sentiments et dispose des ressources nécessaires pour vous détruire ».

Même si ses préoccupations concernant les dangers des IA ne sont pas les mêmes que celles des auteurs de la lettre, Margaret Mitchell « estime que les préoccupations soulevées par la lettre soulignent le besoin urgent d’une plus grande transparence, d’un meilleur contrôle et d’une meilleure protection pour les employés qui dénoncent les risques potentiels » note Ars Technica.

Mais la chercheuse ajoute que les lois « qui soutiennent de manière disproportionnée les pratiques injustes des grandes entreprises au détriment des travailleurs » doivent être modifiées significativement.

Une lettre ouverte signée par des anciens salariés d’OpenAI et de Google DeepMind réclame la possibilité d’exprimer leurs préoccupations sur les dangers des IA les plus avancées. Certains signataires sont restés anonymes par peur de possibles représailles. Le texte est aussi soutenu par Yoshua Bengio, Geoffrey Hinton et Stuart Russell.

Mardi, un petit groupe d’anciens salariés d’OpenAI a publié un texte sur le site Right to warn. Leurs signatures sont accompagnées de celles de Ramana Kumar, un ancien de Google DeepMind et de Neel Nanda, ancien d’Anthropic actuellement en poste chez Google DeepMind.

Cette lettre arrive alors qu’il y a quinze jours, l’équipe chargée de contrôler les IA chez OpenAI a quitté l’entreprise. Elle a déclaré ne pas avoir reçu les moyens qui lui avaient été promis pour travailler sur le sujet. L’entreprise a, depuis, créé un nouveau comité de sécurité, mais celui-ci parait verrouillé par la présence de Sam Altman et Bret Taylor en son sein.

Dans ce contexte, OpenAI a été accusé d’éviter toute critique de ses anciens employés en leur imposant la signature d’un accord de confidentialité (NDA) qui leur interdit de la critiquer.

• Comment OpenAI évite toute critique de ses anciens employés
• [Màj] OpenAI : l’équipe chargée de contrôler les IA n’avait pas accès aux capacités de calculs promises

Seuls à pouvoir sonner l’alarme

Dans leur texte, ces ingénieurs expliquent être en position de comprendre les risques posés par ces technologies : « ces risques vont du renforcement des inégalités existantes à la manipulation et à la désinformation, en passant par la perte de contrôle des systèmes d’IA autonomes pouvant entraîner l’extinction de l’humanité ».

Ils disent « espérer que ces risques pourront être atténués de manière adéquate si la communauté scientifique, les décideurs politiques et le public fournissent des orientations suffisantes ». Mais ils ajoutent que « les entreprises d’IA ont de fortes incitations financières à éviter une surveillance efficace, et nous ne pensons pas que les structures de gouvernance d’entreprise habituelles soient suffisantes pour changer cette situation ».

Pour eux, « tant qu’il n’y aura pas de contrôle gouvernemental efficace de ces entreprises, les employés actuels et anciens sont parmi les rares personnes qui peuvent les mettre devant leurs responsabilités publiquement ».

Mais ils dénoncent les accords de confidentialité qui les « empêchent d’exprimer [leur] préoccupations ». Ils pointent une faille dans la protection des lanceurs d’alerte qui se concentre « sur les activités illégales, alors que bon nombre des risques qui nous préoccupent ne sont pas encore réglementés ».

Dénonciation des accords de confidentialité

Ils demandent donc aux entreprises d’IA de s’engager à : ne plus signer d’accords de confidentialité qui empêchent toute critique des risques liés à l’intelligence artificielle, créer un processus anonymisé de remontée des préoccupations, soutenir une culture de la critique ouverte, et s’engager à ne pas aller à l’encontre d’employés partageant publiquement des informations confidentielles liées à des risques si d’autres processus ont échoué avant.

Ce texte est soutenu par Yoshua Bengio, Geoffrey Hinton et Stuart Russell, des personnalités qui comptent dans cette communauté.

• Geoffrey Hinton quitte Google, des observateurs lassés par la tournure du débat sur les risques de l’IA forte

Publication tardive

Cette lettre arrive pourtant tard alors que Timnit Gebru et Margaret Mitchell ont été licenciées par Google fin 2020 et début 2021. Elles travaillaient alors sur la publication de leur article scientifique prévenant déjà des dangers des grands modèles de langage, outils sur lesquels se base l’IA générative.

• Google, IA et éthique : « départ » de Timnit Gebru, Sundar Pichai s’exprime
• Google, IA et éthique : Margaret Mitchell annonce avoir été licenciée

Interrogée par Ars Technica, Margaret Mitchell (qui travaille maintenant chez Hugging Face) témoigne de la difficulté de lancer l’alerte dans l’industrie de l’IA : « vous devez quasiment renoncer à votre carrière et à votre santé psychologique pour poursuivre en justice une organisation qui, du fait qu’elle est une entreprise, n’a pas de sentiments et dispose des ressources nécessaires pour vous détruire ».

Même si ses préoccupations concernant les dangers des IA ne sont pas les mêmes que celles des auteurs de la lettre, Margaret Mitchell « estime que les préoccupations soulevées par la lettre soulignent le besoin urgent d’une plus grande transparence, d’un meilleur contrôle et d’une meilleure protection pour les employés qui dénoncent les risques potentiels » note Ars Technica.

Mais la chercheuse ajoute que les lois « qui soutiennent de manière disproportionnée les pratiques injustes des grandes entreprises au détriment des travailleurs » doivent être modifiées significativement.

La Federal Aviation Administration (FAA) américaine a validé le projet d’un nouveau lancement de la fusée Starship de SpaceX. Il devrait avoir lieu jeudi à 14h, heure française (12:00 UTC). La fenêtre de lancement est de deux heures.

Ce décollage sera le quatrième essai de Starship en mode « Super Heavy ». Pour le dernier en date, SpaceX avait réussi à mettre en orbite sa fusée, mais avait perdu ensuite tout contact au moment de rallumer le moteur Raptor et contrôler le retour de leur fusée.

Dans son communiqué, SpaceX présente ce quatrième vol comme lui permettant « de passer de la mise en orbite à la démonstration de la capacité de retour et de réutilisation de Starship et de Super Heavy ».

La Federal Aviation Administration (FAA) américaine a validé le projet d’un nouveau lancement de la fusée Starship de SpaceX. Il devrait avoir lieu jeudi à 14h, heure française (12:00 UTC). La fenêtre de lancement est de deux heures.

Ce décollage sera le quatrième essai de Starship en mode « Super Heavy ». Pour le dernier en date, SpaceX avait réussi à mettre en orbite sa fusée, mais avait perdu ensuite tout contact au moment de rallumer le moteur Raptor et contrôler le retour de leur fusée.

Dans son communiqué, SpaceX présente ce quatrième vol comme lui permettant « de passer de la mise en orbite à la démonstration de la capacité de retour et de réutilisation de Starship et de Super Heavy ».

Pas responsable, pas coupable ?

L’association de Max Schrems a déposé deux plaintes contre Microsoft US auprès de la CNIL autrichienne à propos de la suite 365 Education utilisée dans certaines écoles autrichiennes. noyb accuse l’entreprise d’enfreindre le RGPD en manquant de transparence, en utilisant des cookies de tracking et en traitant des données des élèves sans leur consentement, tout en rejetant la responsabilité des traitements des données sur les écoles.

noyb se penche sur l’utilisation de Microsoft 365 dans le système éducatif. Depuis le début de la pandémie de Covid-19, l’utilisation des services numériques dans l’éducation a explosé et un certain nombre d’écoles européennes ont choisi de prendre des solutions de services dans le cloud comme Microsoft 365 Education.

Mais l’association pointe plusieurs problèmes dans l’utilisation de cet outil. Elle considère que Microsoft viole le RGPD qui protège particulièrement les données des enfants. noyb a porté plainte devant l’autorité de protection des données autrichienne, la Datenschutzbehörde, contre l’entité américaine et non sa filiale européenne située en Irlande. Elle insiste même dans l’une des plaintes en précisant que « la plainte n’est pas dirigée contre Microsoft Ireland Operations Limited ».

Les deux cas se situent en Autriche où le ministère de l’Éducation, de la science et de la recherche a signé avec Microsoft un accord-cadre pour l’utilisation de Microsoft 365 Education dans les écoles. Le département de l’Éducation de la ville Vienne a offert, lui, des licences à toutes ses écoles.

Qui est responsable du traitement des données ?

Dans sa première plainte (pdf en allemand, pdf en anglais en traduction automatique), l’association représente une élève d’une école autrichienne. noyb explique que son père demande depuis fin août 2023 à Microsoft et à l’école plus d’information sur le traitement des données collectées, mais n’a obtenu aucune réponse satisfaisante.

Il a d’abord posé des questions à l’entreprise américaine qui lui a répondu (après plusieurs échanges), « nous vous suggérons de contacter l’organisation ou l’école concernée, qui est le responsable du traitement des données dans ce cas ».

De l’autre côté, le directeur de l’école, qui est aussi le responsable du traitement des données, affirme que l’établissement n’utilise dans Microsoft 365 Education que l’email comme donnée personnelle.

Pourtant, les streams de l’élève (vidéos enregistrées via le service « Microsoft Stream » inclus dans Microsoft 365 Education) ont bien été enregistrés lorsqu’elle a utilisé la suite de Microsoft. Des données autres que l’adresse email sont donc bien enregistrées pendant l’utilisation de Microsoft 365 Education.

L’association constate que les informations sur la gestion des données ne sont pas accessibles facilement. « Même l’information sur quelles déclarations et documents exacts sont pertinents concernant l’utilisation de Microsoft 365 Education par la plaignante n’est pas clair », explique-t-elle dans sa plainte.

« Dans le cadre du système actuel que Microsoft impose aux écoles, votre école devrait auditer Microsoft ou lui donner des instructions sur la manière de traiter les données des élèves. Tout le monde sait que de tels arrangements contractuels sont déconnectés de la réalité. Ce n’est rien d’autre qu’une tentative de déplacer la responsabilité des données des enfants aussi loin que possible de Microsoft », a déclaré l’avocate de noyb, Maartje de Graaf.

Des cookies de tracking sans consentement de l’élève

Dans la deuxième plainte (pdf en allemand, pdf en anglais), dans laquelle noyb représente aussi une élève autrichienne (sans pour autant qu’on sache si c’est la même, anonymisation oblige), l’association reproche à Microsoft l’utilisation de cookies de tracking dans Microsoft 365 Education.

noyb explique avoir trouvé des cookies suite à l’utilisation de la suite par la plaignante alors qu’elle n’y a pas consenti. Dans sa plainte, l’association affirme que la documentation envoyée par Microsoft elle-même à ce propos explique que ces cookies sont utilisés pour du « tracking », analysent le comportement des utilisateurs, collectent des données de navigation et sont utilisées à des fins publicitaires.

Selon Felix Mikolasch, un autre avocat de noyb, « notre analyse des flux de données est très inquiétante. Microsoft 365 Education semble traquer les utilisateurs quel que soit leur âge. Cette pratique est susceptible d’affecter des centaines de milliers d’élèves et d’étudiants dans l’UE et l’EEE. Les autorités devraient enfin agir et faire respecter les droits des mineurs ».

Contactée par Next, Microsoft n’a pas encore répondu à nos questions. À nos confrères de TechCrunch, l’entreprise a répondu que « M365 Education respecte le RGPD et les autres lois applicables en matière de protection de la vie privée et nous protégeons scrupuleusement la vie privée de nos jeunes utilisateurs. Nous sommes heureux de répondre à toutes les questions que les agences de protection des données pourraient avoir à propos de l’annonce d’aujourd’hui ».

Pas responsable, pas coupable ?

L’association de Max Schrems a déposé deux plaintes contre Microsoft US auprès de la CNIL autrichienne à propos de la suite 365 Education utilisée dans certaines écoles autrichiennes. noyb accuse l’entreprise d’enfreindre le RGPD en manquant de transparence, en utilisant des cookies de tracking et en traitant des données des élèves sans leur consentement, tout en rejetant la responsabilité des traitements des données sur les écoles.

noyb se penche sur l’utilisation de Microsoft 365 dans le système éducatif. Depuis le début de la pandémie de Covid-19, l’utilisation des services numériques dans l’éducation a explosé et un certain nombre d’écoles européennes ont choisi de prendre des solutions de services dans le cloud comme Microsoft 365 Education.

Mais l’association pointe plusieurs problèmes dans l’utilisation de cet outil. Elle considère que Microsoft viole le RGPD qui protège particulièrement les données des enfants. noyb a porté plainte devant l’autorité de protection des données autrichienne, la Datenschutzbehörde, contre l’entité américaine et non sa filiale européenne située en Irlande. Elle insiste même dans l’une des plaintes en précisant que « la plainte n’est pas dirigée contre Microsoft Ireland Operations Limited ».

Les deux cas se situent en Autriche où le ministère de l’Éducation, de la science et de la recherche a signé avec Microsoft un accord-cadre pour l’utilisation de Microsoft 365 Education dans les écoles. Le département de l’Éducation de la ville Vienne a offert, lui, des licences à toutes ses écoles.

Qui est responsable du traitement des données ?

Dans sa première plainte (pdf en allemand, pdf en anglais en traduction automatique), l’association représente une élève d’une école autrichienne. noyb explique que son père demande depuis fin août 2023 à Microsoft et à l’école plus d’information sur le traitement des données collectées, mais n’a obtenu aucune réponse satisfaisante.

Il a d’abord posé des questions à l’entreprise américaine qui lui a répondu (après plusieurs échanges), « nous vous suggérons de contacter l’organisation ou l’école concernée, qui est le responsable du traitement des données dans ce cas ».

De l’autre côté, le directeur de l’école, qui est aussi le responsable du traitement des données, affirme que l’établissement n’utilise dans Microsoft 365 Education que l’email comme donnée personnelle.

Pourtant, les streams de l’élève (vidéos enregistrées via le service « Microsoft Stream » inclus dans Microsoft 365 Education) ont bien été enregistrés lorsqu’elle a utilisé la suite de Microsoft. Des données autres que l’adresse email sont donc bien enregistrées pendant l’utilisation de Microsoft 365 Education.

L’association constate que les informations sur la gestion des données ne sont pas accessibles facilement. « Même l’information sur quelles déclarations et documents exacts sont pertinents concernant l’utilisation de Microsoft 365 Education par la plaignante n’est pas clair », explique-t-elle dans sa plainte.

« Dans le cadre du système actuel que Microsoft impose aux écoles, votre école devrait auditer Microsoft ou lui donner des instructions sur la manière de traiter les données des élèves. Tout le monde sait que de tels arrangements contractuels sont déconnectés de la réalité. Ce n’est rien d’autre qu’une tentative de déplacer la responsabilité des données des enfants aussi loin que possible de Microsoft », a déclaré l’avocate de noyb, Maartje de Graaf.

Des cookies de tracking sans consentement de l’élève

Dans la deuxième plainte (pdf en allemand, pdf en anglais), dans laquelle noyb représente aussi une élève autrichienne (sans pour autant qu’on sache si c’est la même, anonymisation oblige), l’association reproche à Microsoft l’utilisation de cookies de tracking dans Microsoft 365 Education.

noyb explique avoir trouvé des cookies suite à l’utilisation de la suite par la plaignante alors qu’elle n’y a pas consenti. Dans sa plainte, l’association affirme que la documentation envoyée par Microsoft elle-même à ce propos explique que ces cookies sont utilisés pour du « tracking », analysent le comportement des utilisateurs, collectent des données de navigation et sont utilisées à des fins publicitaires.

Selon Felix Mikolasch, un autre avocat de noyb, « notre analyse des flux de données est très inquiétante. Microsoft 365 Education semble traquer les utilisateurs quel que soit leur âge. Cette pratique est susceptible d’affecter des centaines de milliers d’élèves et d’étudiants dans l’UE et l’EEE. Les autorités devraient enfin agir et faire respecter les droits des mineurs ».

Contactée par Next, Microsoft n’a pas encore répondu à nos questions. À nos confrères de TechCrunch, l’entreprise a répondu que « M365 Education respecte le RGPD et les autres lois applicables en matière de protection de la vie privée et nous protégeons scrupuleusement la vie privée de nos jeunes utilisateurs. Nous sommes heureux de répondre à toutes les questions que les agences de protection des données pourraient avoir à propos de l’annonce d’aujourd’hui ».

404 Media a eu accès à une base de données interne à Google répertoriant des problèmes sur des données personnelles entre 2013 et 2018.

Cette base de données fait la liste de tous les incidents que Google a rencontrés sur le traitement de données personnelles.

Le média explique lui-même qu’ « individuellement, les incidents, dont la plupart n’ont pas été rendus publics auparavant, peuvent n’avoir affecté qu’un nombre relativement restreint de personnes, ou ont été résolus rapidement ». Mais il ajoute que, « prise dans son ensemble, la base de données interne montre comment l’une des entreprises les plus puissantes et les plus importantes au monde gère, et souvent mal, une quantité stupéfiante de données personnelles et sensibles sur la vie des gens ».

Et, en effet, 404 Media relève que cette base de données contient des milliers de problèmes reportés en interne par des employés de Google.

La liste va de l’enregistrement de plaques d’immatriculation de voitures par Street View à celui d’un millier de voix d’enfants par un service vocal de Google, en passant par l’accès rendu public pendant un an à un million d’emails d’utilisateurs de Socratic, startup achetée par Google, dans le code source du site lui-même.

404 Media explique que certains incidents sont marqués comme réparés dans la base de données. Dans une sous-liste de 30 éléments envoyée par le média à Google, tous étaient résolus selon l’entreprise.

L’entreprise a aussi répondu au média que « chez Google, les employés peuvent rapidement signaler des problèmes potentiels liés aux produits pour qu’ils soient examinés par les équipes concernées. Lorsqu’un employé soumet un signalement, il suggère le niveau de priorité à l’examinateur. Les rapports obtenus par 404 datent d’il y a plus de six ans et sont des exemples de ces signalements – chacun d’entre eux a été examiné et résolu à l’époque. Dans certains cas, les signalements d’employés se sont avérés ne pas être des problèmes du tout ou étaient des problèmes venant de services tiers ».

404 Media a eu accès à une base de données interne à Google répertoriant des problèmes sur des données personnelles entre 2013 et 2018.

Cette base de données fait la liste de tous les incidents que Google a rencontrés sur le traitement de données personnelles.

Le média explique lui-même qu’ « individuellement, les incidents, dont la plupart n’ont pas été rendus publics auparavant, peuvent n’avoir affecté qu’un nombre relativement restreint de personnes, ou ont été résolus rapidement ». Mais il ajoute que, « prise dans son ensemble, la base de données interne montre comment l’une des entreprises les plus puissantes et les plus importantes au monde gère, et souvent mal, une quantité stupéfiante de données personnelles et sensibles sur la vie des gens ».

Et, en effet, 404 Media relève que cette base de données contient des milliers de problèmes reportés en interne par des employés de Google.

La liste va de l’enregistrement de plaques d’immatriculation de voitures par Street View à celui d’un millier de voix d’enfants par un service vocal de Google, en passant par l’accès rendu public pendant un an à un million d’emails d’utilisateurs de Socratic, startup achetée par Google, dans le code source du site lui-même.

404 Media explique que certains incidents sont marqués comme réparés dans la base de données. Dans une sous-liste de 30 éléments envoyée par le média à Google, tous étaient résolus selon l’entreprise.

L’entreprise a aussi répondu au média que « chez Google, les employés peuvent rapidement signaler des problèmes potentiels liés aux produits pour qu’ils soient examinés par les équipes concernées. Lorsqu’un employé soumet un signalement, il suggère le niveau de priorité à l’examinateur. Les rapports obtenus par 404 datent d’il y a plus de six ans et sont des exemples de ces signalements – chacun d’entre eux a été examiné et résolu à l’époque. Dans certains cas, les signalements d’employés se sont avérés ne pas être des problèmes du tout ou étaient des problèmes venant de services tiers ».

Hacked out

La semaine dernière, le groupe de pirates ShinyHunters a revendiqué la récupération de données de 560 millions d’utilisateurs de Ticketmaster. Vendredi, le leader mondial de la vente de billets a confirmé auprès des autorités américaines avoir été victime d’une « activité non autorisée ».

Mardi 28 mai, le média Hackread a repéré l’annonce du piratage des données de Ticketmaster par le groupe ShinyHunters. Celui-ci revendiquait avoir récupéré les données de 560 millions d’utilisateurs de la plateforme de vente de billets (1, 3 Téraoctet de données) et proposait de les revendre pour 500 000 dollars.

Dans cette base de données volée se trouveraient, selon ShinyHunters, des données privées comme les noms, prénoms, adresses, emails, numéro de téléphone, les billets et le détail des concerts et autres événements des utilisateurs de Ticketmaster. Mais elle contiendrait aussi des informations partielles sur la carte de paiement utilisée dont les quatre derniers chiffres du numéro de la carte et la date d’expiration.

Confirmation à la SEC

Vendredi 31 mai, Live Nation, l’entreprise propriétaire de Ticketmaster, a signalé une fuite de données à la Securities and Exchange Commission (SEC), confirmant ainsi au moins partiellement la revendication de ShinyHunters, explique le Time.

L’entreprise y explique avoir identifié une « activité non autorisée dans un environnement de base de données tiers dans le cloud contenant des données de l’entreprise ». Elle affirme avoir lancé à ce moment-là une enquête avec des spécialistes de la sécurité.

Mais Live Nation ne va pas jusqu’à confirmer l’authenticité des données mises en ventes par ShinyHunters : « le 27 mai 2024, un acteur criminel a mis en vente sur le dark web ce qu’il prétendait être des données d’utilisateurs de l’entreprise. Nous nous efforçons de réduire les risques pour nos utilisateurs et pour l’entreprise, et nous avons informé les forces de l’ordre et coopérons avec elles », déclare-t-elle aux autorités américaines.

Live Nation ose même expliquer à la SEC qu’ « à la date du présent document, l’incident n’a pas eu, et nous ne pensons pas qu’il soit raisonnablement susceptible d’avoir, un impact significatif sur l’ensemble de nos activités, notre situation financière ou nos résultats d’exploitation. Nous continuons à évaluer les risques et nos efforts de remédiation sont en cours ».

Si la fuite est d’ampleur aussi importante que ce que revendique ShinyHunters, elle pourrait tout de même avoir des conséquences significatives pour Ticketmaster et Live Nation.

Ticketmaster en position de monopole

D’autant qu’elle arrive alors que le ministère de la Justice américain vient de les attaquer en justice mardi 23 mai dernier, les accusant d’avoir créé un monopole sur la vente de tickets en ligne.

« Du fait de leur comportement, les fans de musique aux États-Unis sont privés de l’innovation en matière de billetterie et contraints d’utiliser une technologie dépassée tout en payant leurs billets plus cher que les fans d’autres pays », explique le communiqué du ministère :

« Dans le même temps, Live Nation-Ticketmaster exerce son pouvoir sur les artistes, les salles et les promoteurs indépendants d’une manière qui nuit à la concurrence. Live Nation-Ticketmaster impose également des barrières à la concurrence qui limitent l’entrée et l’expansion de ses rivaux. »

La plainte du ministère affirme qu’aux États-Unis, « en 2022, Ticketmaster représentait au moins 70 % de la valeur faciale totale associée à tous les billets vendus dans les grandes arènes et amphithéâtres. Aucun autre concurrent n’a vendu plus de 14 % des billets ».

Enquête en cours en Australie

Concernant le piratage de Ticketmaster, une enquête a déjà été lancée en Australie dès le mercredi 29 mai, expliquait le site Cyberdaily. Elle rejoint les nombreuses enquêtes internationales sur le groupe ShinyHunters.

En août 2022, trois français avaient été accusés par le FBI de faire partie de ce groupe. L’un d’eux, Sébastien Raoult, extradé aux États-Unis depuis le Maroc, a été condamné en janvier dernier à trois ans de prison et à rembourser cinq millions de dollars (4,5 millions d’euros) aux sociétés victimes.

Hacked out

La semaine dernière, le groupe de pirates ShinyHunters a revendiqué la récupération de données de 560 millions d’utilisateurs de Ticketmaster. Vendredi, le leader mondial de la vente de billets a confirmé auprès des autorités américaines avoir été victime d’une « activité non autorisée ».

Mardi 28 mai, le média Hackread a repéré l’annonce du piratage des données de Ticketmaster par le groupe ShinyHunters. Celui-ci revendiquait avoir récupéré les données de 560 millions d’utilisateurs de la plateforme de vente de billets (1, 3 Téraoctet de données) et proposait de les revendre pour 500 000 dollars.

Dans cette base de données volée se trouveraient, selon ShinyHunters, des données privées comme les noms, prénoms, adresses, emails, numéro de téléphone, les billets et le détail des concerts et autres événements des utilisateurs de Ticketmaster. Mais elle contiendrait aussi des informations partielles sur la carte de paiement utilisée dont les quatre derniers chiffres du numéro de la carte et la date d’expiration.

Confirmation à la SEC

Vendredi 31 mai, Live Nation, l’entreprise propriétaire de Ticketmaster, a signalé une fuite de données à la Securities and Exchange Commission (SEC), confirmant ainsi au moins partiellement la revendication de ShinyHunters, explique le Time.

L’entreprise y explique avoir identifié une « activité non autorisée dans un environnement de base de données tiers dans le cloud contenant des données de l’entreprise ». Elle affirme avoir lancé à ce moment-là une enquête avec des spécialistes de la sécurité.

Mais Live Nation ne va pas jusqu’à confirmer l’authenticité des données mises en ventes par ShinyHunters : « le 27 mai 2024, un acteur criminel a mis en vente sur le dark web ce qu’il prétendait être des données d’utilisateurs de l’entreprise. Nous nous efforçons de réduire les risques pour nos utilisateurs et pour l’entreprise, et nous avons informé les forces de l’ordre et coopérons avec elles », déclare-t-elle aux autorités américaines.

Live Nation ose même expliquer à la SEC qu’ « à la date du présent document, l’incident n’a pas eu, et nous ne pensons pas qu’il soit raisonnablement susceptible d’avoir, un impact significatif sur l’ensemble de nos activités, notre situation financière ou nos résultats d’exploitation. Nous continuons à évaluer les risques et nos efforts de remédiation sont en cours ».

Si la fuite est d’ampleur aussi importante que ce que revendique ShinyHunters, elle pourrait tout de même avoir des conséquences significatives pour Ticketmaster et Live Nation.

Ticketmaster en position de monopole

D’autant qu’elle arrive alors que le ministère de la Justice américain vient de les attaquer en justice mardi 23 mai dernier, les accusant d’avoir créé un monopole sur la vente de tickets en ligne.

« Du fait de leur comportement, les fans de musique aux États-Unis sont privés de l’innovation en matière de billetterie et contraints d’utiliser une technologie dépassée tout en payant leurs billets plus cher que les fans d’autres pays », explique le communiqué du ministère :

« Dans le même temps, Live Nation-Ticketmaster exerce son pouvoir sur les artistes, les salles et les promoteurs indépendants d’une manière qui nuit à la concurrence. Live Nation-Ticketmaster impose également des barrières à la concurrence qui limitent l’entrée et l’expansion de ses rivaux. »

La plainte du ministère affirme qu’aux États-Unis, « en 2022, Ticketmaster représentait au moins 70 % de la valeur faciale totale associée à tous les billets vendus dans les grandes arènes et amphithéâtres. Aucun autre concurrent n’a vendu plus de 14 % des billets ».

Enquête en cours en Australie

Concernant le piratage de Ticketmaster, une enquête a déjà été lancée en Australie dès le mercredi 29 mai, expliquait le site Cyberdaily. Elle rejoint les nombreuses enquêtes internationales sur le groupe ShinyHunters.

En août 2022, trois français avaient été accusés par le FBI de faire partie de ce groupe. L’un d’eux, Sébastien Raoult, extradé aux États-Unis depuis le Maroc, a été condamné en janvier dernier à trois ans de prison et à rembourser cinq millions de dollars (4,5 millions d’euros) aux sociétés victimes.

La semaine dernière, la plateforme d’hébergement spécialisée dans le machine learning a détecté des « accès non autorisés » à des « Spaces », nom donné aux espaces utilisateurs sur Hugging Face.

Dans un billet publié vendredi soir, la startup franco-américaine soupçonne que ces intrusions auraient été possibles grâce à la récupération d’un sous-ensemble de secrets. Hugging Face ne donne pas le nombre de secrets touchés. Elle explique avoir révoqué les jetons présents dans ces secrets et informé les utilisateurs concernés.

Hugging Face recommande d’actualiser toute clé ou jeton. Elle pousse aussi ses utilisateurs à envisager de remplacer les jetons Hugging Face par des jetons d’accès à granularité fine (« fine-grained tokens ») mis en place sur la plateforme depuis un mois. L’entreprise a mis en ligne un petit tuto vidéo pour montrer comment créer un « fine-grained tokens » :

Interrogée par TechCrunch, Hugging Face a répondu : « nous avons vu le nombre de cyberattaques augmenter considérablement au cours des derniers mois, probablement parce que l’utilisation de nos services a augmenté de manière significative et que l’IA devient de plus en plus courante. Il est techniquement difficile de savoir combien de secrets d’espaces ont été compromis ».

La semaine dernière, la plateforme d’hébergement spécialisée dans le machine learning a détecté des « accès non autorisés » à des « Spaces », nom donné aux espaces utilisateurs sur Hugging Face.

Dans un billet publié vendredi soir, la startup franco-américaine soupçonne que ces intrusions auraient été possibles grâce à la récupération d’un sous-ensemble de secrets. Hugging Face ne donne pas le nombre de secrets touchés. Elle explique avoir révoqué les jetons présents dans ces secrets et informé les utilisateurs concernés.

Hugging Face recommande d’actualiser toute clé ou jeton. Elle pousse aussi ses utilisateurs à envisager de remplacer les jetons Hugging Face par des jetons d’accès à granularité fine (« fine-grained tokens ») mis en place sur la plateforme depuis un mois. L’entreprise a mis en ligne un petit tuto vidéo pour montrer comment créer un « fine-grained tokens » :

Interrogée par TechCrunch, Hugging Face a répondu : « nous avons vu le nombre de cyberattaques augmenter considérablement au cours des derniers mois, probablement parce que l’utilisation de nos services a augmenté de manière significative et que l’IA devient de plus en plus courante. Il est techniquement difficile de savoir combien de secrets d’espaces ont été compromis ».

Cambridge analitiquoi ?

La CNIL espagnole vient de décider la suspension de l’implémentation sur son territoire des fonctionnalités prévues par Meta. L’entreprise voulait les ajouter à Instagram et Facebook à l’occasion des élections européennes pour « empêcher la collecte de données, le profilage des utilisateurs et le transfert d’informations à des tiers ».

L’Agencia Española de Protección de Datos (AEPD) annonce avoir décidé le blocage préventif de l’implémentation des fonctionnalités que Meta voulait intégrer à Facebook et Instagram pour les élections européennes.

L’entreprise de Mark Zuckerberg a prévu de lancer deux outils appelés « Election Day Information » (EDI) et Voter Information Unit (VIU). Et, selon l’autorité, Meta récupérerait et traiterait des données concernant l’utilisation de ces outils.

L’AEPD veut, par cette mesure, empêcher « la collecte de données, le profilage des utilisateurs et le transfert d’informations à des tiers, afin d’éviter que les données personnelles ne soient utilisées par des tiers inconnus et à des fins non explicites ». Cette interdiction aura une durée maximale de trois mois. Meta ne devrait donc pas pouvoir les mettre en place en Espagne lors du scrutin européen.

La CNIL espagnole considère que le traitement des données prévu par Meta implique une action contraire au RGPD. Au minimum, elle « violerait les principes de protection des données que sont la licéité, la minimisation, et la limitation du stockage ».

Selon l’agence, ces deux fonctionnalités traiteraient des données personnelles « telles que, entre autres, le nom de l’utilisateur, l’adresse IP, l’âge et le sexe ou des informations sur la manière dont l’utilisateur interagit avec ces fonctionnalités ».

Éviter un nouveau Cambridge Analytica

Pour l’autorité, cette récupération et ce stockage des données « mettraient gravement en péril les droits et libertés des utilisateurs d’Instagram et de Facebook, qui verraient augmenter le volume d’informations que Meta collecte à leur sujet, permettant un profilage plus complexe, détaillé et exhaustif, et générant un traitement plus intrusif ».

Elle ajoute que donner accès à ces informations à des acteurs tiers « entraînerait une ingérence disproportionnée dans les droits et libertés des personnes concernées ».

Si l’autorité ne le mentionne pas, cette peur qu’elle évoque rappelle l’utilisation des données de millions d’utilisateurs de Facebook lors du scandale de Cambridge Analytica.

• Retour sur le scandale Cambridge Analytica et la (molle) réponse de Facebook
• Affaire Cambridge Analytica : les pressions européennes s’accentuent sur Facebook

Prévues dans toute l’Europe à l’exception de l’Italie

L’AEPD explique que Meta lui a indiqué vouloir lancer ces fonctionnalités pour tous les utilisateurs de ses services qui pourront voter aux élections européennes, « à l’exception de l’Italie, dont l’autorité de protection des données a déjà entamé une procédure à ce sujet ».

En effet, en septembre 2022, l’autorité italienne (GPDP) avait déjà mis en place une procédure contre Meta à propos des élections nationales. Elle y évoquait d’ailleurs plus explicitement le scandale Cambridge Analytica.

Interrogée par TechCrunch, Meta a répondu : « nos outils électoraux ont été expressément conçus pour respecter la vie privée des utilisateurs et se conformer au RGPD. Bien que nous ne soyons pas d’accord avec l’évaluation de l’AEPD, nous avons coopéré ».

Cambridge analitiquoi ?

La CNIL espagnole vient de décider la suspension de l’implémentation sur son territoire des fonctionnalités prévues par Meta. L’entreprise voulait les ajouter à Instagram et Facebook à l’occasion des élections européennes pour « empêcher la collecte de données, le profilage des utilisateurs et le transfert d’informations à des tiers ».

L’Agencia Española de Protección de Datos (AEPD) annonce avoir décidé le blocage préventif de l’implémentation des fonctionnalités que Meta voulait intégrer à Facebook et Instagram pour les élections européennes.

L’entreprise de Mark Zuckerberg a prévu de lancer deux outils appelés « Election Day Information » (EDI) et Voter Information Unit (VIU). Et, selon l’autorité, Meta récupérerait et traiterait des données concernant l’utilisation de ces outils.

L’AEPD veut, par cette mesure, empêcher « la collecte de données, le profilage des utilisateurs et le transfert d’informations à des tiers, afin d’éviter que les données personnelles ne soient utilisées par des tiers inconnus et à des fins non explicites ». Cette interdiction aura une durée maximale de trois mois. Meta ne devrait donc pas pouvoir les mettre en place en Espagne lors du scrutin européen.

La CNIL espagnole considère que le traitement des données prévu par Meta implique une action contraire au RGPD. Au minimum, elle « violerait les principes de protection des données que sont la licéité, la minimisation, et la limitation du stockage ».

Selon l’agence, ces deux fonctionnalités traiteraient des données personnelles « telles que, entre autres, le nom de l’utilisateur, l’adresse IP, l’âge et le sexe ou des informations sur la manière dont l’utilisateur interagit avec ces fonctionnalités ».

Éviter un nouveau Cambridge Analytica

Pour l’autorité, cette récupération et ce stockage des données « mettraient gravement en péril les droits et libertés des utilisateurs d’Instagram et de Facebook, qui verraient augmenter le volume d’informations que Meta collecte à leur sujet, permettant un profilage plus complexe, détaillé et exhaustif, et générant un traitement plus intrusif ».

Elle ajoute que donner accès à ces informations à des acteurs tiers « entraînerait une ingérence disproportionnée dans les droits et libertés des personnes concernées ».

Si l’autorité ne le mentionne pas, cette peur qu’elle évoque rappelle l’utilisation des données de millions d’utilisateurs de Facebook lors du scandale de Cambridge Analytica.

• Retour sur le scandale Cambridge Analytica et la (molle) réponse de Facebook
• Affaire Cambridge Analytica : les pressions européennes s’accentuent sur Facebook

Prévues dans toute l’Europe à l’exception de l’Italie

L’AEPD explique que Meta lui a indiqué vouloir lancer ces fonctionnalités pour tous les utilisateurs de ses services qui pourront voter aux élections européennes, « à l’exception de l’Italie, dont l’autorité de protection des données a déjà entamé une procédure à ce sujet ».

En effet, en septembre 2022, l’autorité italienne (GPDP) avait déjà mis en place une procédure contre Meta à propos des élections nationales. Elle y évoquait d’ailleurs plus explicitement le scandale Cambridge Analytica.

Interrogée par TechCrunch, Meta a répondu : « nos outils électoraux ont été expressément conçus pour respecter la vie privée des utilisateurs et se conformer au RGPD. Bien que nous ne soyons pas d’accord avec l’évaluation de l’AEPD, nous avons coopéré ».

Dans un billet de blog, OpenAI annonce une offre de ChatGPT spéciale pour les universités, « ChatGPT Edu ».

Elle intègrera le modèle GPT-4o et son utilisation sera adaptée à ce que l’entreprise considère être les besoins des universitaires. OpenAI explique que ChatGPT Edu intègrera des « fonctionnalités avancées telles que l’analyse de données, la navigation sur le web et la synthèse de documents » et la possibilité de créer des versions adaptées du chatbot en les partageant au sein de l’université.

• OpenAI présente GPT-4o, Claude devient disponible en Europe

L’entreprise précise que les conversations et les données utilisées dans ChatGPT Edu ne seront pas utilisées pour entrainer les modèles d’OpenAI.

Dans un billet de blog, OpenAI annonce une offre de ChatGPT spéciale pour les universités, « ChatGPT Edu ».

Elle intègrera le modèle GPT-4o et son utilisation sera adaptée à ce que l’entreprise considère être les besoins des universitaires. OpenAI explique que ChatGPT Edu intègrera des « fonctionnalités avancées telles que l’analyse de données, la navigation sur le web et la synthèse de documents » et la possibilité de créer des versions adaptées du chatbot en les partageant au sein de l’université.

• OpenAI présente GPT-4o, Claude devient disponible en Europe

L’entreprise précise que les conversations et les données utilisées dans ChatGPT Edu ne seront pas utilisées pour entrainer les modèles d’OpenAI.

AI overflow

Les entreprises d’IA ciblent notamment le développement logiciel avec la génération de réponses techniques aux problèmes des développeurs et concurrencent des sites comme Stack Overflow. Mais ces outils sont-ils pertinents ?

« Stack Overflow est-il obsolète ? ». C’est la question que s’est posée la chercheuse de l’université de Purdue aux États-Unis, Samia Kabir avec ses collègues.

Depuis l’arrivée des outils d’IA générative, les fréquentations du site diminuent et les développeurs posent de plus en plus leurs questions techniques à ChatGPT ou à un autre outil similaire. Au point que le site, dans ces conditions inconfortables, signe avec OpenAI un accord laissant l’entreprise de Sam Altman entrainer ses modèles sur les questions/réponses postées depuis des années par ses utilisateurs.

ChatGPT : erroné et bavard

Lundi 29 mai, MistralAI a présenté son premier grand modèle de langage, nommé Codestral et consacré à la génération de code informatique.

L’entreprise affirme avoir entrainé son modèle sur plus de 80 langages de programmation, dont les plus utilisés Python, Java, C, C++, JavaScript et Bash, mais aussi Swift et Fortran.

Mistral AI ne renvoie dans son billet de présentation vers aucune documentation technique et encore moins vers un article scientifique qui décrirait les détails de la confection du modèle, contrairement à d’autres comme IBM, par exemple, lors de la présentation de la famille Granite. Elle diffuse par contre dans son billet des extraits de « benchmarks » à son avantage.

La startup, qui jusqu’à l’annonce de son modèle Large vantait le modèle « open source », publie Codestral sur Hugging Face sous une nouvelle licence. Celle-ci ne permet pas d’utiliser le modèle en production, mais seulement à des fins de recherche ou de test.

Pour utiliser Codestral, il faudra donc forcément passer par les outils de Mistral. La startup propose quatre façons d’y accéder :

• une API dédiée qui a notamment vocation à être utilisée dans un IDE en « Fill-In-the-Middle » ou en mode « instruction » (en bêta pendant 8 semaines et sur liste d’attente)
• l’API « classique » de Mistral
• le chatbot « Le Chat » de la startup
• des plugins VSCode/JetBrains sur lesquels Mistral garde la main tout en coopérant avec les développeurs de Continue.dev et Tabnine

Lundi 29 mai, MistralAI a présenté son premier grand modèle de langage, nommé Codestral et consacré à la génération de code informatique.

L’entreprise affirme avoir entrainé son modèle sur plus de 80 langages de programmation, dont les plus utilisés Python, Java, C, C++, JavaScript et Bash, mais aussi Swift et Fortran.

Mistral AI ne renvoie dans son billet de présentation vers aucune documentation technique et encore moins vers un article scientifique qui décrirait les détails de la confection du modèle, contrairement à d’autres comme IBM, par exemple, lors de la présentation de la famille Granite. Elle diffuse par contre dans son billet des extraits de « benchmarks » à son avantage.

La startup, qui jusqu’à l’annonce de son modèle Large vantait le modèle « open source », publie Codestral sur Hugging Face sous une nouvelle licence. Celle-ci ne permet pas d’utiliser le modèle en production, mais seulement à des fins de recherche ou de test.

Pour utiliser Codestral, il faudra donc forcément passer par les outils de Mistral. La startup propose quatre façons d’y accéder :

• une API dédiée qui a notamment vocation à être utilisée dans un IDE en « Fill-In-the-Middle » ou en mode « instruction » (en bêta pendant 8 semaines et sur liste d’attente)
• l’API « classique » de Mistral
• le chatbot « Le Chat » de la startup
• des plugins VSCode/JetBrains sur lesquels Mistral garde la main tout en coopérant avec les développeurs de Continue.dev et Tabnine