Read more of this story at Slashdot.
Read more of this story at Slashdot.
Read more of this story at Slashdot.
Read more of this story at Slashdot.
Read more of this story at Slashdot.
Voilà qui ne nous avait pas manqué et semble malheureusement de retour chez AMD. Nous garderons le conditionnel dans cette actualité car le processeur n'est pas encore officiel sur le site d'AMD, mais à en croire le célèbre comparateur de prix en ligne coréen Danawa, AMD serait en train d'ajouter (e...
Le mois dernier, AMD a accidentellement publié le code source de la version 4 de son FidelityFX Super Resolution (FSR4). Il laissait apparaître une version préliminaire INT8 exploitable sur des GPU non RDNA 4... [Tout lire]Trendforce, cabinet spécialisé dans la surveillance du marché informatique, tire la sonnette d’alarme. Le stockage, après les circuits graphiques, est la nouvelle victime des serveurs montés pour piloter les besoins des diverses Intelligence Artificielles actuelles.
L’onde de choc est déjà visible, les prix du stockage ont augmenté depuis cet été. Qu’il s’agisse de solutions mécaniques ou de SSD, plusieurs sociétés ont pris les devants en ajoutant une belle poignée d’euros à leurs tarifs. Et cela ne devrait pas s’arrêter.
C’est le résultat d’une combinaison totalement anormale par rapport au marché classique. On a d’abord un élément délirant qui est la force d’achat des sociétés qui conçoivent ces IA. Alimentées par des dizaines de milliards de dollars de capital risque, ces sociétés ne sont absolument pas rentables et ne cherchent pas à l’être pour le moment. L’argent coule à flot et ils l’investissent au maximum pour devenir l’IA la plus performante possible. Cela passe par des achats de circuits graphiques au de gamme destinés aux calculs mais également par des capacités de stockage très importantes composées de SSD et de HDD. Avec un portefeuille qui déborde littéralement de dollars, ces compagnies sont prêtes à acheter à tous les prix pour sécuriser leur développement. Laissant derrière elles très loin des sociétés plus classiques qui doivent produire quant à elles un bilan comptable positif en début d’année.
Pour se donner une idée de l’impact de la construction de Data Center aux US. Voici un schéma de Bloomberg qui montre que très bientôt la construction de nouveaux centres de données dépassera à elle seule la totalité des constructions de bureaux dans le pays.
Quand une société qui développe une IA annonce un prix d’achat au Gigaoctet plus élevé qu’un acteur classique du marché, ce dernier passe au second plan. Ce dernier ne peut pas se permettre de surenchérir d’un point de vue financier comme d’un point de vue marketing. À la différence d’une société qui développe une IA, l’acheteur traditionnel a des produits à vendre ou à rentabiliser.
La seconde raison est liée aux faibles investissements du marché sur le secteur du disque mécanique ces dernières années. En large perte de vitesse face aux SSD pour les particuliers comme pour les professionnels, l’industrie du stockage a surtout travaillé des produits spécialisés. Laissant de côté la production de masse des disques durs. À tel point que la production est clairement à la traine.
Ce délai est assimilable d’un point de vue économique à de la rareté. Et qui dit rareté dit augmentation des tarifs. En creux, on comprend que si un client fait un effort sur le prix, peut-être que son délai de réception pourrait se raccourcir. Mettez cela en face de sociétés qui ont littéralement des milliards de dollars de disponible pour investir et qui doivent impérativement le faire pour suivre leur logique économique et vous avez un problème. Si vous avez d’un côté un client prêt à payer un stockage particulier et adapté à son besoin spécifique à un tarif délirant. Et de l’autre une chaine de production plus généraliste qui vise un secteur plus large mais capable d’être réorientée vers un marché plus rentable. Le calcul est rapide.
Western Digital annonce une augmentation de ses tarifs qui fait suite à une demande sans précédent des produits de toutes les capacités de sa production. Il rejoint ici SanDisk qui a déjà augmenté son stockage de 10% en moyenne. Micron, de son côté, a totalement gelé des prix qui étaient jusqu’alors mécaniquement à la baisse en continu à cause du gain en densité régulier de ses productions. Et a même augmenté certains de ses composants NAND de 20 à 30%.
Les fabricants vont sans doute se servir de cette nouvelle manne d’argent frais pour développer des produits de stockage sur mesures pour leurs clients IA. Mais en attendant, la folie de ces développements pousse ce marché à acheter tout ce qui est compatible. Et si la solution doit passer par des mélanges de SSD et de disques mécaniques pour fonctionner, pas de soucis pour investir là-dedans. Les entreprises de services dans les nuages et autres gros consommateurs de stockage classiques vont devoir se rabattre sur des composants plus onéreux et continuer à alimenter la crise de ce marché. Et cela sans compter le risque que la bulle de l’investissement IA n’éclate enfin, que les robinets du financement magique ne soient coupés. Les investissements des fabricants de stockage dans des lignes de production spécifiques pouvant alors ne plus être rentabilisées.
Mauvaise nouvelle, ce constat fait pour le marché du stockage va probablement se répéter de la même manière pour la mémoire vive…
En fin de course, cela pourrait poser également de véritables problèmes aux fabricants d’ordinateur personnels. Il est très difficile de vendre un ordinateur sans stockage. Si la production délaisse ce secteur devenu moins rentable, c’est pourtant ce qui risque d’arriver. Avec tous les effets de spéculation qui en découleront. Il sera difficile pour les marques d’augmenter leurs tarifs pour un stockage équivalent. Les constructeurs se retrouveraient donc avec des choix compliqués. Le premier étant de recourir à des stockages de plus faibles capacités ou moins performants et donc un peu plus délaissés par les appétits d’ogre du reste du marché. L’autre est d’attendre de nouvelles générations de produits annexes, comme des processeurs, des affichages ou des circuits graphiques, pour construire des machines dont le mélange de composants produira un nouveau prix. Une technique qui permet en général de « noyer le poisson » du surcoût lié à un composant.
Les besoins de l’IA continuent de tendre le marché du stockage © MiniMachines.net. 2025
Plus de 200 personnes qui évaluaient et modéraient les résultats des modèles d’IA générative de Google ont été licenciées alors qu’elles se battaient pour obtenir de meilleures conditions de travail et des augmentations de salaires. Le conflit se passe chez les sous-traitants de Google (notamment chez GlobalLogic, filiale d’Hitachi) qui ont pour tâche de filtrer les résultats erronés.
Depuis l’avènement des modèles de langage et de leur utilisation dans tous les produits d’IA générative, les entreprises comme Google ont redoublé le recours à la sous-traitance du travail de la donnée, que ça soit dans des pays comme le Venezuela, le Kenya, le Brésil, Madagascar où la France, avec des situations bien différentes. Ce système maintient « les dépendances économiques historiques et génère des inégalités qui s’ajoutent à celles héritées du passé », exposent les sociologues Antonio Casilli, Paola Tubaro, Maxime Cornet, Clément Le Ludec, Juana Torres-Cierpe et Matheus Viana Braz.
Après avoir utilisé des « travailleurs du clic », les entreprises d’IA génératives ont cherché à faire appel à des « experts » susceptibles, théoriquement, de mieux évaluer les réponses de leurs modèles qui hallucinent et génèrent toujours des réponses problématiques et ainsi améliorer les réponses des produits boostés à l’IA générative comme AI Overviews.
Ainsi, des entreprises comme TuringAI ou Toloka se sont lancées dans ce marché. Du côté de chez Google, c’est essentiellement GlobalLogic qui fournit cette main d’œuvre depuis 2023. Filiale d’Hitachi, cette entreprise a embauché des évaluateurs qui doivent noter et modérer des contenus créés par les modèles de Google. Mais, comme l’explique le Guardian, ces travailleurs se plaignent de pressions énormes, d’exposition à des contenus violents et de salaires peu élevés.
Contactés sur LinkedIn et recrutés pour leurs connaissances spécialisés et leurs diplômes de master ou même de thèse sur des postes aux intitulés vagues comme « analyste en rédaction », des enseignants et des rédacteurs techniques se retrouvent, aux États-Unis, à être payé entre 16 dollars et 21 dollars de l’heure pour ces évaluations de contenus parfois extrêmement violents ou sexuels.
« J’ai été choqué que mon travail implique de traiter des contenus aussi pénibles », explique au Guardian Rachael Sawyer, qui travaille en tant qu’ « évaluatrice généraliste » depuis mars 2024. « Non seulement parce que je n’ai reçu aucun avertissement et qu’on ne m’a jamais demandé de signer de formulaire de consentement lors de mon intégration, mais aussi parce que ni le titre ni la description du poste ne mentionnaient la modération de contenu ».
En décembre dernier, TechCrunch expliquait que les évaluateurs experts de GlobalLogic avaient reçu la consigne (venue de Google) de répondre même sur des questions se trouvant en dehors de leur champ de compétence.
Wired raconte que l’entreprise employait depuis une dizaine d’années des évaluateurs généralistes. Et en 2023, Google a demandé à GlobalLogic d’embaucher des « super » évaluateurs pour ses IA génératives et notamment pour AI Overviews. De 25 « super » évaluateurs en 2023, l’entreprise serait montée à près de 2 000 récemment.
Mais GlobalLogic et les autres sous-traitants seraient en train de brusquement licencier leurs évaluateurs, explique Wired. 200 personnes auraient été licenciées sans préavis lors d’au moins deux vagues au mois d’août dernier.
Interrogé par Wired, Ricardo Levario, l’un des évaluateurs licenciés et ancien enseignant dans le Texas, explique que les problèmes ont commencé quand GlobalLogic a elle-même fait appel à des sous-traitants. Les super évaluateurs de GlobalLogic étaient payés entre 28 et 32 dollars de l’heure, mais ses sous-traitants payent maintenant entre 18 et 22 dollars de l’heure pour le même travail.
Ricardo Levario raconte à Wired la construction d’un mouvement social interne à GlobalLogic notamment à travers un groupe WhatsApp après que certains aient forgé des liens sur les espaces sociaux numériques laissés à disposition par Google. Ce mouvement a notamment abouti à la création de la branche des évaluateurs d’IA au sein du syndicat de Google. En réaction, l’entreprise a interdit l’utilisation des espaces sociaux pendant les heures de travail.
Ricardo Levario a envoyé une plainte à la maison-mère Hitachi, en tant que lanceur d’alerte. Suite à cet envoi, il a été convoqué à un entretien à distance quatre jours après durant lequel il a été licencié au bout de cinq minutes.
Alors que les outils basés sur l’IA générative comme Overview montrent régulièrement leurs limites, le travail de ces évaluateurs permet néanmoins aux entreprises du secteur d’éviter les enjeux les plus problématiques et de faire croire que leurs produits sont des outils doués d’une intelligence artificielle qui ne déclament pas des horreurs à leurs utilisateurs. « En tant qu’évaluateurs, nous jouons un rôle extrêmement important, car les ingénieurs, entre le code et tout le reste, n’ont pas le temps de peaufiner le bot et d’obtenir les commentaires dont ils ont besoin », explique Alex, une évaluatrice généraliste interrogée par Wired. « Nous sommes comme les sauveteurs en mer sur la plage : nous sommes là pour veiller à ce qu’il n’arrive rien de grave ».
Plus de 200 personnes qui évaluaient et modéraient les résultats des modèles d’IA générative de Google ont été licenciées alors qu’elles se battaient pour obtenir de meilleures conditions de travail et des augmentations de salaires. Le conflit se passe chez les sous-traitants de Google (notamment chez GlobalLogic, filiale d’Hitachi) qui ont pour tâche de filtrer les résultats erronés.
Depuis l’avènement des modèles de langage et de leur utilisation dans tous les produits d’IA générative, les entreprises comme Google ont redoublé le recours à la sous-traitance du travail de la donnée, que ça soit dans des pays comme le Venezuela, le Kenya, le Brésil, Madagascar où la France, avec des situations bien différentes. Ce système maintient « les dépendances économiques historiques et génère des inégalités qui s’ajoutent à celles héritées du passé », exposent les sociologues Antonio Casilli, Paola Tubaro, Maxime Cornet, Clément Le Ludec, Juana Torres-Cierpe et Matheus Viana Braz.
Après avoir utilisé des « travailleurs du clic », les entreprises d’IA génératives ont cherché à faire appel à des « experts » susceptibles, théoriquement, de mieux évaluer les réponses de leurs modèles qui hallucinent et génèrent toujours des réponses problématiques et ainsi améliorer les réponses des produits boostés à l’IA générative comme AI Overviews.
Ainsi, des entreprises comme TuringAI ou Toloka se sont lancées dans ce marché. Du côté de chez Google, c’est essentiellement GlobalLogic qui fournit cette main d’œuvre depuis 2023. Filiale d’Hitachi, cette entreprise a embauché des évaluateurs qui doivent noter et modérer des contenus créés par les modèles de Google. Mais, comme l’explique le Guardian, ces travailleurs se plaignent de pressions énormes, d’exposition à des contenus violents et de salaires peu élevés.
Contactés sur LinkedIn et recrutés pour leurs connaissances spécialisés et leurs diplômes de master ou même de thèse sur des postes aux intitulés vagues comme « analyste en rédaction », des enseignants et des rédacteurs techniques se retrouvent, aux États-Unis, à être payé entre 16 dollars et 21 dollars de l’heure pour ces évaluations de contenus parfois extrêmement violents ou sexuels.
« J’ai été choqué que mon travail implique de traiter des contenus aussi pénibles », explique au Guardian Rachael Sawyer, qui travaille en tant qu’ « évaluatrice généraliste » depuis mars 2024. « Non seulement parce que je n’ai reçu aucun avertissement et qu’on ne m’a jamais demandé de signer de formulaire de consentement lors de mon intégration, mais aussi parce que ni le titre ni la description du poste ne mentionnaient la modération de contenu ».
En décembre dernier, TechCrunch expliquait que les évaluateurs experts de GlobalLogic avaient reçu la consigne (venue de Google) de répondre même sur des questions se trouvant en dehors de leur champ de compétence.
Wired raconte que l’entreprise employait depuis une dizaine d’années des évaluateurs généralistes. Et en 2023, Google a demandé à GlobalLogic d’embaucher des « super » évaluateurs pour ses IA génératives et notamment pour AI Overviews. De 25 « super » évaluateurs en 2023, l’entreprise serait montée à près de 2 000 récemment.
Mais GlobalLogic et les autres sous-traitants seraient en train de brusquement licencier leurs évaluateurs, explique Wired. 200 personnes auraient été licenciées sans préavis lors d’au moins deux vagues au mois d’août dernier.
Interrogé par Wired, Ricardo Levario, l’un des évaluateurs licenciés et ancien enseignant dans le Texas, explique que les problèmes ont commencé quand GlobalLogic a elle-même fait appel à des sous-traitants. Les super évaluateurs de GlobalLogic étaient payés entre 28 et 32 dollars de l’heure, mais ses sous-traitants payent maintenant entre 18 et 22 dollars de l’heure pour le même travail.
Ricardo Levario raconte à Wired la construction d’un mouvement social interne à GlobalLogic notamment à travers un groupe WhatsApp après que certains aient forgé des liens sur les espaces sociaux numériques laissés à disposition par Google. Ce mouvement a notamment abouti à la création de la branche des évaluateurs d’IA au sein du syndicat de Google. En réaction, l’entreprise a interdit l’utilisation des espaces sociaux pendant les heures de travail.
Ricardo Levario a envoyé une plainte à la maison-mère Hitachi, en tant que lanceur d’alerte. Suite à cet envoi, il a été convoqué à un entretien à distance quatre jours après durant lequel il a été licencié au bout de cinq minutes.
Alors que les outils basés sur l’IA générative comme Overview montrent régulièrement leurs limites, le travail de ces évaluateurs permet néanmoins aux entreprises du secteur d’éviter les enjeux les plus problématiques et de faire croire que leurs produits sont des outils doués d’une intelligence artificielle qui ne déclament pas des horreurs à leurs utilisateurs. « En tant qu’évaluateurs, nous jouons un rôle extrêmement important, car les ingénieurs, entre le code et tout le reste, n’ont pas le temps de peaufiner le bot et d’obtenir les commentaires dont ils ont besoin », explique Alex, une évaluatrice généraliste interrogée par Wired. « Nous sommes comme les sauveteurs en mer sur la plage : nous sommes là pour veiller à ce qu’il n’arrive rien de grave ».
Lancée comme une carte graphique milieu de gamme, l'Intel Arc A750 n'avait rien de révolutionnaire à sa sortie : 8 Go de GDDR6 sur un bus 256-bit, des perfs correctes pour le prix, mais pas réellement de succès, en raison de pilotes pas des plus efficaces. Toutefois, nous étions sur une vraie carte graphique, comme la Intel Arc A770 d'ailleurs. Mais les bleus avaient peut-être d'autres plans pour ce modèle, en atteste ce prototype qui refait surface. […]
Lire la suiteCe n'est pas un secret, le cloud et l'IA ont des besoins assez insatiables en matière de stockage et engloutissent SSD ou de disque dur à tour de bras, et toujours plus. Forcément, c'est une aubaine pour les fabricants. Cependant, comme TrendForce l'a fait remarquer récemment, les fournisseurs de di...
Le Trigkey Key-N150 ne promet pas de miracles mais propose une minimachine sobre et efficace pour tous les usages du quotidien avec les bons choix en termes d’intégration pour un prix tout à fait raisonnable.
A 179€, ce MiniPC très classique s’impose comme une solution parfaite pour la majorité des rôles qu’on attribue à ce type de plateforme. Compact, évolutif et abordable, il bénéficie d’un soin particulier à son intégration, à commencer par son système de refroidissement.
Le Trigkey Key-N150 c’est donc avant tout une solution équipée d’un processeur Intel N150, la puce Twin-Lake du fondeur qui a remplacé le N100 dans la même gamme de rôles technique. Simple optimisation de la puce précédente, il ne change pas la destination des machines équipées mais apporte juste un peu de performances supplémentaires à la gamme.
Autour de cette puce à basse consommation, on retrouve un slot de mémoire vive DDR4-3200 qui embarquera une barrette de 16 Go en monocanal. Les 16 Go au format DDR4 seront largement suffisant pour la très très grande majorité des usages de cette minimachine. Tout comme le seront les 512 Go de stockage SATA 3.0 proposés.
Le Trigkey Key-N150 propose deux ports M.2 2280 différents. Le premier est au format PCIe Gen4 x4 et c’est lui qui embarque les 500 Go de la machine. Mais attention, le SSD employé par Trigkey est au format SATA3. Ce premier port M.2 2280 est en effet compatible avec les deux formats. Un second port M.2 2280 NVMe PCIe x1 est également disponible même si ce port ne sera pas capable d’embarquer le SSD livré d’origine. Il vous restera donc deux choix pour faire évoluer cet engin. Soit acheter un SSD NVMe entrée de gamme qui suffira à ce second port M.2 PCIe x1. Soit acheter un SSD NVMe PCIe x4 et remplacer le SSD SATA3 d’origine.
N’oubliez pas que dans la pratique, le processeur ne permet pas de profiter des SSD les plus rapides du marché. Il pourra donc charger des données hyper rapidement mais n’aura pas forcément les ressources disponibles en calcul pour les traiter. À quoi bon apporter 6000 Mo/s de textures de jeu à un processeur qui n’aura pas les performances pour les assumer. Ce qu’il faut retenir ici, c’est surtout la possibilité d’ajouter un second SSD facilement parmi les moins chers du marché pour étendre les capacités de stockage locales.
Point important à noter pour ce Trigkey, il propose une solution intéressante de refroidissement avec un dispositif qui ne va pas recracher l’air chaud vers l’arrière de la machine. L’engin fait circuler l’air de la partie haute vers les côtés en aspirant un flux frais par le ventilateur pour le recracher sur les bords au travers d’ailettes de refroidissement.
Cela évite un problème récurrent sur de nombreux MiniPC. Celui d’une évacuation arrière gênée par la connectique. Le boitier est ajouré sur la partie haute pour laisser les composants diffuser par ailleurs la chaleur naturellement par convection. La partie mémoire et stockage est reliée à un élément en aluminium avec des pads thermique pour assurer un bon échange de chaleur. Trigkey annonce que sa ventilation est silencieuse avec 32 dB en tout, alimentation passive comprise.
La connectique est assez large au demeurant avec en façade un jack audio combo 3.5 mm, un USB 2.0 Type-A et un USB 3.2 Type-A en plus du bouton de démarrage très classique. Une petite LED séparée signalera la mise en route de l’engin et un bouton de remise à zéro des réglages du BIOS sera accessible avec un trombone sur le côté du châssis.
Sur la tranche arrière, on note plusieurs éléments intéressants. D’abord la présence d’une prise d’alimentation électrique bipolaire. L’alimentation 45w nécessaire est intégrée à l’intérieur de la machine et il suffira donc d’un câble de ce type pour alimenter le Key-N150. C’est une excellente manière de continuer à dire que c’est Beelink à la manœuvre derrière la construction de cet engin sans le dire vraiment. Les marques sont en effet historiquement liées et les dernières productions de Beelink ont clairement fait ce choix d’une alimentation intégrée. On comprend que si Beelink s’oriente de plus en plus vers des machines plus haut de gamme avec des boitiers en aluminium et des options supplémentaires. Trigkey reste fidèle à son approche d’un excellent rapport qualité prix. Cet agencement particulier de son alimentation rendra l’intégration du boitier plus facile dans certains cas. Notamment si l’on cherche un serveur domotique à cacher dans un endroit exigu comme près d’un compteur électrique ou un MiniPC pour du streaming vidéo et jeu à poser sous une télé.
Pour le reste, c’est standard avec deux USB 3.2 Type-A, deux ports Ethernet Gigabit pouvant chacun piloter un réseau distinct pour, par exemple, étanchéifier un accès à internet d’un réseau local. Et deux sorties HDMI 2.0 pour afficher sur une paire d’écrans. Pas de port USB Type-C, pas de lecteur de cartes, c’est maigre de ce côté-là même si cela correspond bien à l’usage de ce type de minimachine. Le module sans fil intégré est un Wi-Fi5 et Bluetooth 5.0, suffisant pour assurer de bons débits et une bonne portée des données. Le boitier mesure 12 cm de large comme de profondeur et 3.8 cm d’épaisseur. Attention, ce modèle n’est pas compatible avec un adaptateur VESA.
Au final, c’est un engin complet, efficace, parfait pour des usages de MiniPC familial, pour gérer des éléments graphiques simples et même jouer à des jeux pas trop gourmands. Le N150 comme le N100 avant lui se révèlent confortables aussi bien pour la programmation que pour la bureautique ou le surf et ce sont également des puces admirables en termes de décompression audio et vidéo pour du multimédia. Le prix léger de cette minimachine en fait par ailleurs un engin parfait pour des usages de serveur domestique, de gestionnaire domotique ou de pilote de machines externes comme une imprimante 3D, une CNC ou une graveuse laser. Cela peut aussi être tout cela à la fois et se révéler un très bon associé pour afficher des contenus vidéos en UltraHD. Le BIOS permettra un réveil automatique à heure fixe, une reprise après une panne de courant et même un réveil via son réseau filaire.
A 179€ en promo sur Amazon, le Trigkey Key-N150 se révèlera une bonne base aussi bien pour un usage familial classique que pour piloter un serveur plus complet pour divers usages. Il est livré sous Windows 11 mais se comporte très bien sous Linux sans aucun problème particulier d’installation.
| Trigkey Key-N150 16/500Go Windows 11 | ||
|
Mini-Score : A |
+ Conception OEM connue + Distribution certifiée + Garantie 2 ans + Support et SAV Européen + Évolutions techniques possibles + Accès simple aux composants + Fonctionnement silencieux + Compatibilité logicielle poussée + Livré prêt à l’emploi + Excellents retours clients + Faible consommation |
– Manque de ports dernière génération (USB Type-C, Ethernet 2.5 Gigabit, DisplayPort) – Wi-Fi daté |
Trigkey Key-N150 : le meilleur MiniPC Intel N150 du moment ? © MiniMachines.net. 2025
Au cours des derniers mois, la gestion des mises à jour de sécurité a évolué chez Google. Désormais, elle est basée sur une évaluation des risques, avec une priorité donnée aux failles présentant un risque accru. Pour le reste, la diffusion des correctifs adopte un rythme davantage trimestriel. Il semble que le changement ait été mis en place pour soulager les constructeurs.
Le changement a été révélé par Android Authority le 13 septembre et confirmé à demi-mot par Google. Nos confrères relèvent ainsi que le bulletin de juillet ne contenait aucune vulnérabilité corrigée, une rupture face aux 120 failles corrigées depuis le début de l’année. À l’inverse, le bulletin de septembre comportait des correctifs pour 119 failles à lui seul. Comment expliquer une telle différence ?
Google donne à présent la priorité aux failles comportant un risque élevé, qui ne tient pas uniquement compte de la criticité d’une vulnérabilité. L’entreprise ne détaille pas les critères d’évaluation, mais on peut supposer que le nombre de cibles potentielles et la facilité de mise en œuvre font partie des principaux, de même que l’existence d’une exploitation connue. Selon Android Authority, le mécanisme est nommé Risk-Based Update System, ou RBUS.
La règle est simple : si la faille présente un risque élevé, elle est publiée comme telle dans le bulletin mensuel, et si elle peut attendre, elle partira dans le bulletin trimestriel. Pour nos confrères, ce changement a été mis en place pour soulager les constructeurs intégrant Android dans leurs smartphones (OEM). Les failles à haut risque ont ainsi des chances accrues d’avoir un correctif rapidement diffusé, la diffusion des solutions étant parfois complexe à maintenir en fonction du nombre d’appareils concernés.
Toujours selon Android Authority, ce changement explique pourquoi le bulletin de juillet était vide : aucune faille à haut risque n’était répertoriée. Il explique aussi celui de septembre comptait autant de failles corrigées : elles avaient toutes été mises de côté pour le grand bulletin trimestriel.
Bien que Google n’ait pas documenté ce changement, la société l’a confirmé à demi-mots à Android Authority :
« Les bulletins de sécurité Android et Pixel sont publiés tous les mois. Pour assurer la sécurité des utilisateurs, nous intégrons une sécurité puissante profondément ancrée dans les fondations d’Android. Android arrête la plupart des exploitations de vulnérabilité à la source grâce à un renforcement complet de la plate-forme, comme notre utilisation du langage Rust et des protections anti-exploitation avancées. Android et Pixel corrigent en permanence les failles de sécurité connues et donnent la priorité à la correction des vulnérabilités les plus risquées en premier »
Côté utilisateurs, rien ne change vraiment dans la plupart des cas. Les constructeurs décidant d’appliquer quand même les correctifs de sécurité tous les mois pourront continuer à le faire. Ceux souhaitant un rythme plus souple ne diffuseront alors des correctifs mensuels que si des failles à haut risque y sont présentes, et se contenteront d’une grosse mise à jour tous les trois mois dans le cas contraire.
Les avantages ne concernent a priori que les OEM, qui ont parfois du mal à tenir le rythme, selon les gammes commercialisées et le nombre de modifications faites sur la base d’Android. En leur offrant un nouveau cycle trimestriel, ils peuvent en théorie mieux préparer le terrain.
L’approche a également ses inconvénients. Retarder la publication des mises à jour peut laisser le temps à certaines failles d’être exploitées. Car les informations circulent : si des failles sont trouvées, les entreprises sont averties, de même que les équipes d’ingénieurs. Plus il y a de personnes au courant, plus le risque de fuite augmente, et avec lui la probabilité d’une exploitation.
Le problème des mises à jour de sécurité sur Android est débattu depuis longtemps, avec toujours le même constat : les constructeurs doivent jouer le jeu. La pluralité des gammes et le nombre de modifications apportées à la base d’Android peuvent ralentir l’application des correctifs, car il faut mener suffisamment de tests pour s’assurer du bon fonctionnement. Plus il y a d’appareils dans les gammes, plus ce travail est conséquent.
Comme le rappelle d’ailleurs Android Authority, les entreprises ne jouent pas toutes le jeu de la même manière. Si l’on voit depuis deux ans des annonces très importantes sur la durée du support, notamment sur les Pixel et les Galaxy S de Samsung, un bon support est trop souvent dépendant de la gamme. De nombreux appareils d’entrée ou milieu de gamme ont un support limité de quelques années, les correctifs de sécurité n’arrivant pas tous les mois. C’est d’ailleurs ce qui a poussé l’Union européenne à imposer un nouveau minimum de cinq ans pour les mises à jour logiciels sur tous les nouveaux appareils.
Google connait bien le problème. Le projet Mainline (initié avec Android 10, mais arrivé concrètement dans les versions suivantes) a notamment été instauré pour augmenter le nombre de composants pouvant être mis à jour directement par Google Play. Mais de nombreux composants bas niveau ne peuvent être modifiés que par les constructeurs. Aussi, lorsque Google signale une faille et prépare une modification de code, celle-ci n’est pas publiée immédiatement dans AOSP (Android Open Source Project), pour que les modifications de code ne révèlent pas les détails de la brèche.
Le nouveau mécanisme ne remet pas en cause l’Android Security Bulletin mensuel. L’ASB dispose pour rappel de deux versions : une publique pour lister les failles corrigées, et une privée pour avertir les OEM un mois avant et leur laisser d’intégrer les correctifs. En revanche, certains bulletins seront parfois vides, qu’ils soient publics ou privés. Les bulletins complets seront désormais alignés sur le rythme trimestriel d’Android depuis sa dernière version 16.
Au cours des derniers mois, la gestion des mises à jour de sécurité a évolué chez Google. Désormais, elle est basée sur une évaluation des risques, avec une priorité donnée aux failles présentant un risque accru. Pour le reste, la diffusion des correctifs adopte un rythme davantage trimestriel. Il semble que le changement ait été mis en place pour soulager les constructeurs.
Le changement a été révélé par Android Authority le 13 septembre et confirmé à demi-mot par Google. Nos confrères relèvent ainsi que le bulletin de juillet ne contenait aucune vulnérabilité corrigée, une rupture face aux 120 failles corrigées depuis le début de l’année. À l’inverse, le bulletin de septembre comportait des correctifs pour 119 failles à lui seul. Comment expliquer une telle différence ?
Google donne à présent la priorité aux failles comportant un risque élevé, qui ne tient pas uniquement compte de la criticité d’une vulnérabilité. L’entreprise ne détaille pas les critères d’évaluation, mais on peut supposer que le nombre de cibles potentielles et la facilité de mise en œuvre font partie des principaux, de même que l’existence d’une exploitation connue. Selon Android Authority, le mécanisme est nommé Risk-Based Update System, ou RBUS.
La règle est simple : si la faille présente un risque élevé, elle est publiée comme telle dans le bulletin mensuel, et si elle peut attendre, elle partira dans le bulletin trimestriel. Pour nos confrères, ce changement a été mis en place pour soulager les constructeurs intégrant Android dans leurs smartphones (OEM). Les failles à haut risque ont ainsi des chances accrues d’avoir un correctif rapidement diffusé, la diffusion des solutions étant parfois complexe à maintenir en fonction du nombre d’appareils concernés.
Toujours selon Android Authority, ce changement explique pourquoi le bulletin de juillet était vide : aucune faille à haut risque n’était répertoriée. Il explique aussi celui de septembre comptait autant de failles corrigées : elles avaient toutes été mises de côté pour le grand bulletin trimestriel.
Bien que Google n’ait pas documenté ce changement, la société l’a confirmé à demi-mots à Android Authority :
« Les bulletins de sécurité Android et Pixel sont publiés tous les mois. Pour assurer la sécurité des utilisateurs, nous intégrons une sécurité puissante profondément ancrée dans les fondations d’Android. Android arrête la plupart des exploitations de vulnérabilité à la source grâce à un renforcement complet de la plate-forme, comme notre utilisation du langage Rust et des protections anti-exploitation avancées. Android et Pixel corrigent en permanence les failles de sécurité connues et donnent la priorité à la correction des vulnérabilités les plus risquées en premier »
Côté utilisateurs, rien ne change vraiment dans la plupart des cas. Les constructeurs décidant d’appliquer quand même les correctifs de sécurité tous les mois pourront continuer à le faire. Ceux souhaitant un rythme plus souple ne diffuseront alors des correctifs mensuels que si des failles à haut risque y sont présentes, et se contenteront d’une grosse mise à jour tous les trois mois dans le cas contraire.
Les avantages ne concernent a priori que les OEM, qui ont parfois du mal à tenir le rythme, selon les gammes commercialisées et le nombre de modifications faites sur la base d’Android. En leur offrant un nouveau cycle trimestriel, ils peuvent en théorie mieux préparer le terrain.
L’approche a également ses inconvénients. Retarder la publication des mises à jour peut laisser le temps à certaines failles d’être exploitées. Car les informations circulent : si des failles sont trouvées, les entreprises sont averties, de même que les équipes d’ingénieurs. Plus il y a de personnes au courant, plus le risque de fuite augmente, et avec lui la probabilité d’une exploitation.
Le problème des mises à jour de sécurité sur Android est débattu depuis longtemps, avec toujours le même constat : les constructeurs doivent jouer le jeu. La pluralité des gammes et le nombre de modifications apportées à la base d’Android peuvent ralentir l’application des correctifs, car il faut mener suffisamment de tests pour s’assurer du bon fonctionnement. Plus il y a d’appareils dans les gammes, plus ce travail est conséquent.
Comme le rappelle d’ailleurs Android Authority, les entreprises ne jouent pas toutes le jeu de la même manière. Si l’on voit depuis deux ans des annonces très importantes sur la durée du support, notamment sur les Pixel et les Galaxy S de Samsung, un bon support est trop souvent dépendant de la gamme. De nombreux appareils d’entrée ou milieu de gamme ont un support limité de quelques années, les correctifs de sécurité n’arrivant pas tous les mois. C’est d’ailleurs ce qui a poussé l’Union européenne à imposer un nouveau minimum de cinq ans pour les mises à jour logiciels sur tous les nouveaux appareils.
Google connait bien le problème. Le projet Mainline (initié avec Android 10, mais arrivé concrètement dans les versions suivantes) a notamment été instauré pour augmenter le nombre de composants pouvant être mis à jour directement par Google Play. Mais de nombreux composants bas niveau ne peuvent être modifiés que par les constructeurs. Aussi, lorsque Google signale une faille et prépare une modification de code, celle-ci n’est pas publiée immédiatement dans AOSP (Android Open Source Project), pour que les modifications de code ne révèlent pas les détails de la brèche.
Le nouveau mécanisme ne remet pas en cause l’Android Security Bulletin mensuel. L’ASB dispose pour rappel de deux versions : une publique pour lister les failles corrigées, et une privée pour avertir les OEM un mois avant et leur laisser d’intégrer les correctifs. En revanche, certains bulletins seront parfois vides, qu’ils soient publics ou privés. Les bulletins complets seront désormais alignés sur le rythme trimestriel d’Android depuis sa dernière version 16.
Il semblerait que les rouges aient laissé filer le code source complet du FSR4, son tout nouvel upscaler censé rester une exclusivité des Radeon RX 9000. Résultat, la communauté s'est empressée de bricoler ce code pour le faire tourner sur du matériel bien plus ancien. Officiellement, AMD martèle que le FSR4 n'est compatible que RDNA 4 et qu'il faut impérativement la dernière version d'Adrenalin pour en profiter dans les jeux déjà compatibles FSR3.1. Bref : pas de RX 9000, pas de FSR 4. […]
Lire la suite
Connexion