Sans attendre

Le dernier lâcher de correctifs de Microsoft est imposant. Il vient colmater pas moins de 159 failles réparties dans plusieurs produits de l’entreprise, dans Windows essentiellement. Trois de ces vulnérabilités sont déjà exploitées, rendant l’installation des correctifs urgente.

Le deuxième mardi de chaque mois, Microsoft publie ses correctifs de sécurité. Ils arrosent aussi bien Windows que d’autres produits comme Office, Visual Studio et les environnements .NET. C’est toutefois le système d’exploitation qui concentre l’immense majorité des corrections.

Le premier « Patch Tuesday » de l’année est particulièrement copieux. Pour la Zero Day Initiative de Trend Micro, c’est même le plus important depuis 2017, avec des correctifs pour pas moins de 159 failles, et même 161 si on compte les failles tierces. 11 de ces failles sont critiques, 5 sont connues publiquement et 3 exploitées activement.

D’importantes failles connues ou exploitées

Le principal danger corrigé par ce Patch Tuesday vient d’un lot de huit failles classées comme importantes.

Trois (CVE-2025-21186, CVE-2025-21366 et CVE-2025-21395) résident dans Access et permettent toutes, si exploitées, une exécution de code arbitraire à distance. Elles présentent toutes les trois un score CVSS3.1 de 7,8. CVE-2025-21275 concerne pour sa part App Package Installer, également avec un score de 7,8. Elle peut entrainer une élévation de privilèges. Quant à CVE-2025-21308, avec un score de 6,5, elle touche la gestion des thèmes dans Windows.

Le problème vient surtout d’un groupe de trois failles concernant l’hyperviseur Hyper-V. Estampillées CVE-2025-21333, CVE-2025-21334 et CVE-2025-21335, elles permettent à une personne authentifiée d’exécuter du code avec les privilèges SYSTEM. Ces trois vulnérabilités sont activement exploitées. Il est donc conseillé d’installer les mises à jour au plus vite.

Une dizaine de failles critiques

Si ces failles sont publiques ou exploitées, elles sont « seulement » importantes. Les correctifs publiés hier soir colmatent également 11 brèches critiques :

• CVE-2025-21380 (CVSS 8,8) : Azure Marketplace SaaS Resources, peut révéler des informations
• CVE-2025-21296 (CVSS 7,5) : BranchCache, exécution de code à distance
• CVE-2025-21294 (CVSS 8,1) : Digest Authentication, exécution de code à distance
• CVE-2025-21385 (CVSS 8,8) : Purview, peut révéler des informations
• CVE-2025-21295 (CVSS 8,1) : SPNEGO Extended Negotiation (NEGOEX), exécution de code à distance
• CVE-2025-21178 (CVSS 8,8) : Visual Studio, exécution de code à distance
• CVE-2025-21311 (CVSS 9,8) : NTLM V1, élévation de privilèges
• CVE-2025-21298 (CVSS 9,8) : OLE (Object Linking and Embedding), exécution de code à distance
• CVE-2025-21307 (CVSS 9,8) : Reliable Multicast Transport Driver (RMCAST), exécution de code à distance
• CVE-2025-21297 (CVSS 8,1) : Remote Desktop Services, exécution de code à distance
• CVE-2025-21309 (CVSS 8,1) : Remote Desktop Services, exécution de code à distance

On peut voir que trois de ces failles ont un score CVSS de 9,8, soit pratiquement le maximum.

En tout, ce Patch Tuesday colmate une soixantaine de failles pouvant permettre des exécutions de code. Autre point notable, le service Téléphonie de Windows reçoit à lui seul 28 correctifs, mais qui nécessitent tous une interaction avec l’utilisateur. Les 11 failles critiques, les 5 failles importantes publiques et les trois failles importantes déjà exploitées sont en revanche dangereuses. Il est conseillé de mettre à jour rapidement sa ou ses machines.

RAA Lovely

Deux datajournalistes du Monde ont eu recours à un scraper en Python ainsi qu’à une IA pour parvenir à identifier combien d’autorisations de survol par drones avaient été accordées par les 104 préfectures françaises à la police, la gendarmerie et la douane.

Si les drones sont employés par la police et la gendarmerie « depuis une quinzaine d’années », rappelle Le Monde, il a fallu attendre le 19 avril 2023 pour qu’un décret (voir notre article) encadre leur utilisation dans le cadre de missions de police administrative, « c’est-à-dire pour empêcher les troubles ou la commission d’infractions ».

Il précisait aussi les six finalités autorisées, allant de la « prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés » jusqu’au secours aux personnes en passant par la surveillance des frontières, « en vue de lutter contre leur franchissement irrégulier ».

Dans sa délibération, la CNIL remarquait alors que « la diversité des situations opérationnelles auxquelles les forces de sécurité sont confrontées ne permet pas de définir dans le projet de décret des critères objectifs encadrant la captation, l’enregistrement et la transmission d’images », et considérait que « de telles précisions devront figurer dans la doctrine d’emploi qui devra lui être transmise ». 

Moins d’un mois plus tard, Le Monde avait déjà dénombré 55 autorisations préfectorales, dont 23 utilisations pour surveiller des manifestations (10 rien que pour le 1er mai), 10 autres pour suivre des rodéos urbains, 4 pour des rave-parties et 3 pour des événements sportifs.

346 manifestations, des vols d’huitres et une inauguration de restaurant

Les arrêtés collectés par Le Monde montrent que les drones ont depuis été utilisés pour sécuriser les Jeux olympiques et paralympiques (248 arrêtés) ou d’autres événements sportifs (152 arrêtés, souvent pour des matchs de football), des visites officielles (une cinquantaine d’arrêtés), des commémorations (environ 30 arrêtés), du secours aux personnes (environ 50 arrêtés) ou encore des opérations de surveillance des frontières (59 arrêtés).

Le Monde a aussi identifié 346 autorisations accordées pour surveiller des manifestations, dont 93 à Paris, et 24 en Ille-et-Vilaine et en Gironde, près de 300 autres pour des opérations « place nette » anti-stupéfiants, et découvert des usages plus surprenants :

« les drones ont servi à « connaître le nombre exact » de caravanes sur un rassemblement de gens du voyage à Lunéville (Meurthe-et-Moselle), empêcher des vols d’huîtres dans le bassin d’Arcachon, ou encore, dans les Yvelines, sécuriser l’inauguration d’un restaurant du rappeur Ninho. »

30 % des autorisations accordées la veille, 18 % le jour même

Le Monde rappelle que « les préfectures doivent s’assurer que les drones ne soient utilisés qu’en l’absence de solution alternative moins intrusive en matière de vie privée », et rapporte (au moins) trois cas où le tribunal administratif a suspendu des arrêtés.

Dont une autorisation de surveillance d’un centre de rétention administrative, au motif qu’il existait d’autres moyens « moins intrusifs » pour « prévenir les évasions et les projections » tels que, résume Le Monde, « un meilleur éclairage, la couverture de la cour, la sécurisation du chemin de ronde, une modernisation de la vidéosurveillance, etc. ».

L’article souligne cela dit que « saisir la justice est parfois complexe, avec des délais serrés : 30 % des arrêtés sont signés la veille, et 18 %, le jour même du survol autorisé, y compris pour des manifestations déclarées par avance ».

Or, et à l’instar du recours à des caméras de vidéosurveillance ou de vidéoprotection, la présence de tels drones doit être notifiée aux personnes potentiellement surveillées, « par tout moyen approprié ».

Si la préfecture de police de Paris rétorque ainsi que chaque autorisation « fait l’objet d’une diffusion sur les réseaux sociaux », Le Monde a constaté que, dans la plupart des départements, les autorisations ne sont publiées que dans le seul « recueil des actes administratifs » (RAA), et donc « au milieu de dizaines, voire de centaines de pages d’autres arrêtés préfectoraux ».

Les coulisses techniques de l’enquête

Sur LinkedIn, la datajournaliste et développeuse Léa Sanchez, coautrice de l’enquête, explique avoir codé un programme en Python pour collecter tous les arrêtés préfectoraux datant de 2024 sur les sites des 104 préfectures françaises, avant d’OCRiser ceux qui étaient au format image.

Ayant ainsi recueilli plus de 5 000 arrêtés mentionnant le mot « drone », elle a ensuite utilisé un modèle d’IA pour écarter les autorisations non pertinentes (comme les autorisations de spectacle aérien), extraire les informations principales des arrêtés et les classifier en diverses catégories (manifestation, surveillance des frontières, etc).

Théo Simier, « Tech Lead Data » au Monde, qualifie cette enquête, à laquelle il a lui aussi contribué, de « parfait exemple d’un usage pertinent de l’Intelligence Artificielle (IA) pour le journalisme avec » :

• « une utilisation pour une enquête difficilement faisable sans une certaine forme d’automatisation (analyse fine de plus de 5000 actes administratifs des préfectures)
• une vérification manuelle minutieuse afin d’éviter toute erreur factuelle
• une transparence auprès des lecteurs sur l’usage de l’IA et ses limites
• une mise en valeur journalistique des données extraites, aboutissant à une enquête éclairante. »

Il explique avoir aidé la datajournaliste « sur le prompt engineering afin d’orienter au mieux l’IA », la mise en place de « la technique du few-shot learning » (une méthode d’apprentissage automatique où un modèle est entraîné à classer des items en fonction de leur similarité à partir de très peu de données, précise la CNIL) en donnant quelques actes administratifs déjà analysés, « afin d’améliorer la pertinence du modèle ».

Il l’a enfin aidé de sorte que la sortie du LLM « respecte un format précis plus facilement analysable », ainsi que « sur l’estimation en amont des coûts afin de s’assurer qu’ils restent sous contrôle ».

Bien commun social

Portée par des personnalités du numérique comme du divertissement, FreeOurFeeds veut financer de nouveaux projets fonctionnant sur le protocole qu’utilise Bluesky, et décentraliser la gouvernance de cette infrastructure technique.

X fait fuir une partie de ses utilisateurs, Meta pourrait s’y mettre, vu les récentes décisions de son patron… et Bluesky fait partie des premiers bénéficiaires de cette tendance. Avec sa réputation de réseau social « décentralisé », la plateforme vient de dépasser les 27 millions d’utilisateurs. 

Pour autant, même si son architecture permettra à Bluesky de devenir, à terme, un nœud dans un réseau plus vaste et réellement décentralisé, la plateforme ne l’est pas encore vraiment, comme nous l’expliquions en novembre :

• Bluesky est-il décentralisé ?

Cela inquiète suffisamment pour qu’une étrange coalition lance l’initiative Free Our Feeds (« libérez nos fils d’actualité »). Le groupe comprend notamment l’acteur Mark Ruffalo, l’écrivain technocritique Cory Doctorow, le fondateur de Wikipédia Jimmy Wales, le musicien Brian Eno ou la directrice exécutive de la Fondation Mozilla Nabiha Syed et une variété d’autres personnalités plus ou moins proches de l’industrie technologique.

Le but du projet : réunir des financements pour faire émerger l’écosystème varié au sein duquel Bluesky est initialement censé se fondre. Ce faisant, l’idée des fondateurs de FreeOurFeeds est d’éviter que les internautes, dont une partie voient actuellement Bluesky comme un refuge, ne retrouvent à nouveau leur expérience prisonnière des variations de politiques de l’entreprise qui maintient la plateforme.

Bluesky, principal représentant d’une future fédération

Bluesky fonctionne sur le protocole AT (Authenticated Transfer), une architecture qui a le potentiel de soutenir un écosystème décentralisé de plateformes et d’application, mais dont le fonctionnement est pour le moment essentiellement dans les mains du nouveau réseau social.

En visant la levée de 30 millions de dollars sur les trois prochaines années, et 4 millions de dollars à court terme, FreeOurFeeds veut pousser cette émergence d’un écosystème plus large. En pratique, l’initiative compte faire évoluer la gouvernance du protocole AT, en créant une organisation d’intérêt public, et financer le développement d’infrastructures indépendantes, puis de nouveaux projets recourant au protocole.

« Imaginez notre réseau routier si toutes les routes appartenaient à un ou deux milliardaires et qu’ils pouvaient taxer n’importe quoi, décider qui est autorisé à aller où, etc, illustre l’un des « gardiens » du projet, Robin Berjon, auprès de TechCrunch. L’infrastructure numérique n’est pas aussi grande ni aussi visible, mais elle fonctionne exactement de la même manière (…) Ce que nous faisons donc, c’est veiller à ce que cette infrastructure numérique, qui est par nature un bien public, soit gérée dans l’intérêt du public. »

Bluesky n’a pas participé au projet, mais sa PDG Jay Garber a déclaré à Fortune : « Nous avons hâte de travailler avec des organisations comme le Projet Free Our Feeds pour faire croître l’adoption du protocole AT et de réseaux ouverts. »

Trouver les fonds

L’enjeu, désormais, est d’attirer des financements. Une complexité en soi, tant la technicité du projet peut compliquer sa compréhension. Robin Berjon indique que si les fonds espérés pour créer la fondation ne sont pas suffisants, ils seront rendus à ceux qui les proposent.

Il insiste auprès de Fortune : le protocole AT n’est pas encore normalisé, c’est donc le moment idéal pour trouver « comment plusieurs opérateurs d’infrastructure peuvent travailler ensemble pour s’assurer que l’ensemble du réseau fonctionne sans heurts, et pour veiller à ce qu’il n’y ait pas de concentration excessive du pouvoir ».

Le défi suivant sera de convaincre le plus grand nombre de faire la transition depuis les réseaux historiques, alors que ces derniers recueillent des années, voire des décennies, de nos interactions sociales.

L’initiative résonne en tout cas avec celle prise par le fondateur de Mastodon, qui travaille actuellement à faire évoluer sa gouvernance. Le but : la placer dans les mains d’une organisation à but non lucratif européenne, pour protéger son indépendance.

La branche capital-risque d’Intel s’émancipe. Le géant des semi-conducteurs a annoncé lundi soir sa décision de rendre indépendant son fonds d’investissement Intel Capital, lequel revendique actuellement plus de 5 milliards de dollars de participations d’actifs sous gestion.

« La séparation d’Intel Capital est un scénario gagnant-gagnant car elle donne au fonds accès à de nouvelles sources de capitaux pour étendre son rayon d’action, tout en permettant aux deux sociétés de continuer à bénéficier d’un partenariat stratégique productif à long terme », fait valoir David Zinsner, co-CEO par intérim d’Intel, dans un communiqué.

• Pat Gelsinger quitte Intel, qui traverse une sombre période

Fondé en 1991, Intel Capital représente pour mémoire le bras armé d’Intel en matière d’investissement dans des activités satellite de son cœur de métier. Il fonctionne comme une structure de capital-risque, qui cherche donc un retour sur investissement au moment de la revente de ses parts – notamment à l’occasion d’introductions en bourse. Il a également vocation à faire émerger des synergies entre les différentes divisions commerciales d’Intel et des startups prometteuses.

« Intel restera un investisseur de référence dans la nouvelle société et nous continuerons à bénéficier de notre partenariat stratégique productif à long terme. Intel Capital opérera sous un nouveau nom après la séparation », indique quant à lui Anthony Lin, CEO d’Intel Capital, dans une lettre adressée aux participations de la structure. La scission devrait être réalisée dans le courant du second semestre 2025.

Sur ses 33 ans d’activité, Intel Capital revendique plus de 20 milliards de dollars investis au travers de 1 800 sociétés, principalement autour de l’informatique et du cloud. Sur l’année 2023, Intel Capital indiquait avoir pris des participations à hauteur de 350 millions de dollars dans 30 entreprises, positionnées notamment sur le marché de l’intelligence artificielle.

Lundi, Intel Capital a formalisé sa participation au tour de table de 36 millions de dollars réalisé par Orchid Security, une startup à mi-chemin entre les États-Unis et Israël qui développe une solution d’orchestration des identités en entreprise.

Dans un message interne envoyé aux salariés de Meta qu’a pu consulter Bloomberg, Mark Zuckerberg a affirmé : « J’ai décidé de placer la barre plus haut en matière de gestion des performances et d’éliminer plus rapidement les personnes peu performantes ».

Le CEO de l’entreprise a décidé de licencier 5 % du personnel. Alors que Meta employait environ 72 000 personnes en septembre 2024, ce sont donc environ 3 600 postes qui devraient être supprimés.

Mark Zuckerberg a ajouté : « Nous gérons généralement les départs des personnes qui ne répondent pas aux attentes au cours d’une année, mais nous allons maintenant procéder à des réductions plus importantes basées sur les performances au cours de ce cycle ». Selon une source de Bloomberg ce « cycle de performances » de Meta devrait se terminer le mois prochain.

Meta a déjà licencié en octobre dernier des employés de WhatsApp, Instagram et Reality Labs sans pour autant indiquer leur nombre.

L’entreprise avait aussi licencié 11 000 personnes en 2022 (13 % de ses effectifs à l’époque), après avoir embauché de manière agressive pendant la pandémie. Et en 2023, elle avait effectué une vague de 10 000 licenciements et avait supprimé 5 000 propositions de postes encore non pourvues. 


De l'eau dans le gaz

Le Royaume-Uni comme les États-Unis viennent de présenter de nouveaux plans pour soutenir la mise en place d’infrastructures pour l’IA dans leurs territoires. Mais actuellement, aux États-Unis, de nouvelles centrales au gaz sont ouvertes pour répondre aux demandes d’énergie de l’IA. Au Royaume-Uni, l’implantation par le gouvernement de sa « première zone de croissance de l’IA » près d’un nouveau réservoir pose la question des priorités d’accès à l’eau.

Ce mardi 14 janvier et six jours avant la passation de pouvoir à Donal Trump, Joe Biden a publié un décret pour l’investissement des États-Unis dans des infrastructures. « Je signe aujourd’hui un décret historique visant à accélérer la vitesse à laquelle nous construisons la prochaine génération d’infrastructures d’IA ici aux États-Unis, de manière à renforcer la compétitivité économique, la sécurité nationale, la sécurité de l’IA et l’énergie propre », affirme-t-il.

Selon certaines estimations, la consommation énergétique de l’IA devrait être multipliée par 4 à 9 d’ici 2050 et la consommation d’énergie des data centers aux États-Unis est déjà très carbonée.

Le gaz comme source d’énergie future aux États-Unis

Mais, malgré les différentes annonces d’investissements dans le nucléaire par les géants du numérique, les États-Unis seraient plutôt à l’aube d’un boom de la construction de centrales électriques au gaz naturel, selon le Financial Times. Le journal économique américain explique que « les grandes entreprises technologiques se tournent vers les combustibles fossiles pour répondre aux énormes besoins en électricité de la révolution de l’intelligence artificielle, ce qui met en péril les objectifs en matière de climat ».

Le journal cite le cabinet de conseil en énergie Enverus qui prévoit qu’au moins 80 centrales électriques au gaz seront construites aux États-Unis d’ici à 2030. Le Financial Times estime la capacité supplémentaire de ces centrales à 46 gigawatts, « soit la taille du réseau électrique norvégien et près de 20 % de plus que ce qui a été ajouté au cours des cinq dernières années ». Et selon Corianna Mah, analyste pour Enverus interrogée par le journal, « le gaz croît en fait plus rapidement aujourd’hui, et à moyen terme, que jamais auparavant ». Aucun des projets qu’Enverus a listés ne prévoit d’être équipé d’un système de capture de dioxyde de carbone.

Approvisionnement de l’eau dans un lac de barrage prévu pour la population britannique

De son côté, le gouvernement du Royaume-Uni vient d’annoncer une stratégie nationale pour faire de son pays un leader en matière d’intelligence artificielle. Dedans, il prévoit entre autres des « Zones de croissance de l’IA » (IA growth zones), « des zones bénéficiant d’un meilleur accès à l’électricité et d’un soutien pour les autorisations de planification, afin d’accélérer la mise en place d’une infrastructure d’IA sur le sol britannique », comme l’explique le communiqué du Secrétariat d’État à la science, à l’innovation et à la technologie.

Mais des questions se posent sur l’emplacement prévu de la première « zone de croissance ». Situé à Culham, au siège de l’Autorité britannique de l’énergie atomique (UKAEA), cet endroit est aussi celui du premier nouveau lac de barrage construit depuis 30 ans aux Royaume-Uni, « qui était censé fournir de l’eau aux habitants du sud-est de l’Angleterre, qui souffre d’un grave problème d’approvisionnement en eau », explique le Guardian.

Le journal britannique souligne que cette région est celle qui, selon l’agence environnementale nationale, est la plus sensible du pays aux manques d’eau. Entre les réserves d’eau disponibles et la demande attendue sans compter les data centers, le sud-est du pays sera confronté à un déficit potentiel de plus de 2,5 milliards de litres par jour d’ici 2050.

Du côté énergétique, le gouvernement britannique a mis en place un Conseil de l’énergie de l’IA qui doit travailler avec les entreprises du secteur pour « pour comprendre les demandes et les défis énergétiques » liés à l’intelligence artificielle. Il parie encore sur la possibilité de mettre en place des SMR (réacteurs nucléaires modulaires).

« L’expansion de l’IA a été un sujet de préoccupation pour National Grid [entreprise de distribution de l’électricité et du gaz notamment au Royaume-Uni], mais la vitesse à laquelle la demande de calcul de l’IA augmente a pris tout le monde par surprise et, à moins que nous n’équilibrions correctement les compromis ci-dessus, avec des politiques appropriées, toute l’énergie verte et bon marché dont nous disposons sera utilisée par les grandes entreprises technologiques, ce qui privera les familles qui souffrent déjà de la pauvreté énergétique », explique Gopal Ramchurn, chercheur de l’université de Southampton, interrogé par le Guardian.

La France s’appuie sur son nucléaire, mais des tensions sont présentes

Quant à la France, l’instabilité politique ne permet pas d’y voir très clair dans la politique du pays concernant l’IA. Lors de son discours de politique générale, le premier Ministre François Bayrou a évoqué l’IA lorsqu’il a annoncé la création d’un fonds spécial « entièrement [consacré] à la réforme de l’État ». Ce fonds sera financé par des actifs « en particulier immobiliers, qui appartiennent à la puissance publique, de façon à pouvoir investir, par exemple, dans le déploiement de l’intelligence artificielle dans nos services publics ».

Lors de ses vœux, le Président de la Région Normandie Hervé Morin a évoqué la volonté de sa région d’être référente en matière d’intelligence artificielle et d’accueillir des data centers sur trois ou quatre points du territoire. Il a mis en avant « son potentiel énergétique décarboné », faisant référence aux centrales nucléaires de Flamanville, Paluel et Penly et à l’EPR situé lui aussi à Flamanville.

Mais RTE tirait récemment un signal d’alarme sur le foisonnement de projets de data centers prévus pour l’IA. Si l’entreprise affirmait en novembre à l’Usine Nouvelle avoir « assez d’électricité pour répondre à la croissance des besoins », elle pointait aussi du doigt une « course à la capacité » et un manque de planification :« plusieurs projets ont été abandonnés en raison de tensions sur la distribution de l’énergie », ajoutait-il.

Rsync permet la synchronisation des fichiers et est souvent utilisé par les distributions Linux pour la sauvegarde distante ou la création de points de restauration, dans des outils comme Timeshift. Une nouvelle version 3.4 vient de paraître, avec à son bord des correctifs pour six failles de sécurité, dont une critique. Elles ont été découvertes par des chercheurs de l’équipe Google Cloud Vulnerability Research.

On trouve ainsi deux failles dans le serveur Rsync, CVE-2024-12084 et CVE-2024-12085, respectivement un débordement de mémoire tampon allouée dans le tas et une fuite d’informations à partir de données non initialisées de la pile. La première est critique, avec un score CVSS3 de 9,8.

La combinaison des deux permet à un client anonyme avec simple accès en lecture de contourner l’ASLR (address space layout randomization) et de déclencher l’exécution d’un code arbitraire sur le serveur. Ces failles ont été introduites dans Rsync 3.2.7.

On trouve également quatre failles dans le client Rsync :

• CVE-2024-12086 : permet à un serveur malveillant de lire des fichiers arbitraires
• CVE-2024-12087 : permet de créer des liens symboliques dangereux
• CVE-2024-12088 : permet d’écraser des fichiers arbitraires dans certaines circonstances
• CVE-2024-12747 : affecte la façon dont le serveur Rsync gère les liens symboliques

Toutes ces failles sont corrigées par la version 3.4 de Rsync, en déploiement dans les distributions Linux depuis hier soir. Il est recommandé de mettre à jour son système aussi rapidement que possible.

Being merged back in the Linux 6.9 kernel was AMD Preferred Core support within the amd_pstate driver for being able to communicate the "preferred" cores to the kernel for those that are able to reach a higher maximum frequency or otherwise be preferred over other CPU cores. For the upcoming Linux 6.14 merge window, an important set of patches are queued up for better positioning this Preferred Core handling...

Linux has supported KVM virtualization with RISC-V for several years while now patches are pending to introduce Xen hypervisor support for this CPU architecture for RISC-V guests...

Libvirt 11.0 was christened today as the newest version of this open-source Virtualization API for managing VMs on Linux and other platforms while supporting KVM, QEMU, Xen, VMware ESX, LXC, Bhyve, and other hypervisors...

Dans une mise à jour récente, NVIDIA révolutionne encore une fois le Deep Learning Super Sampling (DLSS) avec un tout nouveau modèle d'IA. Cette avancée est conçue pour maximiser les performances et minimiser les exigences en mémoire vidéo, en particulier sur les cartes graphiques RTX 5000, mais les RTX 4000 profiterons aussi d'améliorations. Si le multi-frame generation ne sera pas de la partie avec les RTX 4000, nous aurons le droit aux autres mises à jour. Performances accrues grâce à l'IA Grâce à ce nouveau modèle, la génération de trames via DLSS devient plus rapide. NVIDIA annonce une amélioration significative des temps de réponse, tout en maintenant une qualité d'image de haut vol. Cette évolution vise à offrir une expérience de jeu encore plus fluide et immersive. […]

Lire la suite

Sans attendre

Le dernier lâcher de correctifs de Microsoft est imposant. Il vient colmater pas moins de 159 failles réparties dans plusieurs produits de l’entreprise, dans Windows essentiellement. Trois de ces vulnérabilités sont déjà exploitées, rendant l’installation des correctifs urgente.

Le deuxième mardi de chaque mois, Microsoft publie ses correctifs de sécurité. Ils arrosent aussi bien Windows que d’autres produits comme Office, Visual Studio et les environnements .NET. C’est toutefois le système d’exploitation qui concentre l’immense majorité des corrections.

Le premier « Patch Tuesday » de l’année est particulièrement copieux. Pour la Zero Day Initiative de Trend Micro, c’est même le plus important depuis 2017, avec des correctifs pour pas moins de 159 failles, et même 161 si on compte les failles tierces. 11 de ces failles sont critiques, 5 sont connues publiquement et 3 exploitées activement.

D’importantes failles connues ou exploitées

Le principal danger corrigé par ce Patch Tuesday vient d’un lot de huit failles classées comme importantes.

Trois (CVE-2025-21186, CVE-2025-21366 et CVE-2025-21395) résident dans Access et permettent toutes, si exploitées, une exécution de code arbitraire à distance. Elles présentent toutes les trois un score CVSS3.1 de 7,8. CVE-2025-21275 concerne pour sa part App Package Installer, également avec un score de 7,8. Elle peut entrainer une élévation de privilèges. Quant à CVE-2025-21308, avec un score de 6,5, elle touche la gestion des thèmes dans Windows.

Le problème vient surtout d’un groupe de trois failles concernant l’hyperviseur Hyper-V. Estampillées CVE-2025-21333, CVE-2025-21334 et CVE-2025-21335, elles permettent à une personne authentifiée d’exécuter du code avec les privilèges SYSTEM. Ces trois vulnérabilités sont activement exploitées. Il est donc conseillé d’installer les mises à jour au plus vite.

Une dizaine de failles critiques

Si ces failles sont publiques ou exploitées, elles sont « seulement » importantes. Les correctifs publiés hier soir colmatent également 11 brèches critiques :

• CVE-2025-21380 (CVSS 8,8) : Azure Marketplace SaaS Resources, peut révéler des informations
• CVE-2025-21296 (CVSS 7,5) : BranchCache, exécution de code à distance
• CVE-2025-21294 (CVSS 8,1) : Digest Authentication, exécution de code à distance
• CVE-2025-21385 (CVSS 8,8) : Purview, peut révéler des informations
• CVE-2025-21295 (CVSS 8,1) : SPNEGO Extended Negotiation (NEGOEX), exécution de code à distance
• CVE-2025-21178 (CVSS 8,8) : Visual Studio, exécution de code à distance
• CVE-2025-21311 (CVSS 9,8) : NTLM V1, élévation de privilèges
• CVE-2025-21298 (CVSS 9,8) : OLE (Object Linking and Embedding), exécution de code à distance
• CVE-2025-21307 (CVSS 9,8) : Reliable Multicast Transport Driver (RMCAST), exécution de code à distance
• CVE-2025-21297 (CVSS 8,1) : Remote Desktop Services, exécution de code à distance
• CVE-2025-21309 (CVSS 8,1) : Remote Desktop Services, exécution de code à distance

On peut voir que trois de ces failles ont un score CVSS de 9,8, soit pratiquement le maximum.

En tout, ce Patch Tuesday colmate une soixantaine de failles pouvant permettre des exécutions de code. Autre point notable, le service Téléphonie de Windows reçoit à lui seul 28 correctifs, mais qui nécessitent tous une interaction avec l’utilisateur. Les 11 failles critiques, les 5 failles importantes publiques et les trois failles importantes déjà exploitées sont en revanche dangereuses. Il est conseillé de mettre à jour rapidement sa ou ses machines.

RAA Lovely

Deux datajournalistes du Monde ont eu recours à un scraper en Python ainsi qu’à une IA pour parvenir à identifier combien d’autorisations de survol par drones avaient été accordées par les 104 préfectures françaises à la police, la gendarmerie et la douane.

Si les drones sont employés par la police et la gendarmerie « depuis une quinzaine d’années », rappelle Le Monde, il a fallu attendre le 19 avril 2023 pour qu’un décret (voir notre article) encadre leur utilisation dans le cadre de missions de police administrative, « c’est-à-dire pour empêcher les troubles ou la commission d’infractions ».

Il précisait aussi les six finalités autorisées, allant de la « prévention des atteintes à la sécurité des personnes et des biens dans des lieux particulièrement exposés » jusqu’au secours aux personnes en passant par la surveillance des frontières, « en vue de lutter contre leur franchissement irrégulier ».

Dans sa délibération, la CNIL remarquait alors que « la diversité des situations opérationnelles auxquelles les forces de sécurité sont confrontées ne permet pas de définir dans le projet de décret des critères objectifs encadrant la captation, l’enregistrement et la transmission d’images », et considérait que « de telles précisions devront figurer dans la doctrine d’emploi qui devra lui être transmise ». 

Moins d’un mois plus tard, Le Monde avait déjà dénombré 55 autorisations préfectorales, dont 23 utilisations pour surveiller des manifestations (10 rien que pour le 1er mai), 10 autres pour suivre des rodéos urbains, 4 pour des rave-parties et 3 pour des événements sportifs.

346 manifestations, des vols d’huitres et une inauguration de restaurant

Les arrêtés collectés par Le Monde montrent que les drones ont depuis été utilisés pour sécuriser les Jeux olympiques et paralympiques (248 arrêtés) ou d’autres événements sportifs (152 arrêtés, souvent pour des matchs de football), des visites officielles (une cinquantaine d’arrêtés), des commémorations (environ 30 arrêtés), du secours aux personnes (environ 50 arrêtés) ou encore des opérations de surveillance des frontières (59 arrêtés).

Le Monde a aussi identifié 346 autorisations accordées pour surveiller des manifestations, dont 93 à Paris, et 24 en Ille-et-Vilaine et en Gironde, près de 300 autres pour des opérations « place nette » anti-stupéfiants, et découvert des usages plus surprenants :

« les drones ont servi à « connaître le nombre exact » de caravanes sur un rassemblement de gens du voyage à Lunéville (Meurthe-et-Moselle), empêcher des vols d’huîtres dans le bassin d’Arcachon, ou encore, dans les Yvelines, sécuriser l’inauguration d’un restaurant du rappeur Ninho. »

30 % des autorisations accordées la veille, 18 % le jour même

Le Monde rappelle que « les préfectures doivent s’assurer que les drones ne soient utilisés qu’en l’absence de solution alternative moins intrusive en matière de vie privée », et rapporte (au moins) trois cas où le tribunal administratif a suspendu des arrêtés.

Dont une autorisation de surveillance d’un centre de rétention administrative, au motif qu’il existait d’autres moyens « moins intrusifs » pour « prévenir les évasions et les projections » tels que, résume Le Monde, « un meilleur éclairage, la couverture de la cour, la sécurisation du chemin de ronde, une modernisation de la vidéosurveillance, etc. ».

L’article souligne cela dit que « saisir la justice est parfois complexe, avec des délais serrés : 30 % des arrêtés sont signés la veille, et 18 %, le jour même du survol autorisé, y compris pour des manifestations déclarées par avance ».

Or, et à l’instar du recours à des caméras de vidéosurveillance ou de vidéoprotection, la présence de tels drones doit être notifiée aux personnes potentiellement surveillées, « par tout moyen approprié ».

Si la préfecture de police de Paris rétorque ainsi que chaque autorisation « fait l’objet d’une diffusion sur les réseaux sociaux », Le Monde a constaté que, dans la plupart des départements, les autorisations ne sont publiées que dans le seul « recueil des actes administratifs » (RAA), et donc « au milieu de dizaines, voire de centaines de pages d’autres arrêtés préfectoraux ».

Les coulisses techniques de l’enquête

Sur LinkedIn, la datajournaliste et développeuse Léa Sanchez, coautrice de l’enquête, explique avoir codé un programme en Python pour collecter tous les arrêtés préfectoraux datant de 2024 sur les sites des 104 préfectures françaises, avant d’OCRiser ceux qui étaient au format image.

Ayant ainsi recueilli plus de 5 000 arrêtés mentionnant le mot « drone », elle a ensuite utilisé un modèle d’IA pour écarter les autorisations non pertinentes (comme les autorisations de spectacle aérien), extraire les informations principales des arrêtés et les classifier en diverses catégories (manifestation, surveillance des frontières, etc).

Théo Simier, « Tech Lead Data » au Monde, qualifie cette enquête, à laquelle il a lui aussi contribué, de « parfait exemple d’un usage pertinent de l’Intelligence Artificielle (IA) pour le journalisme avec » :

• « une utilisation pour une enquête difficilement faisable sans une certaine forme d’automatisation (analyse fine de plus de 5000 actes administratifs des préfectures)
• une vérification manuelle minutieuse afin d’éviter toute erreur factuelle
• une transparence auprès des lecteurs sur l’usage de l’IA et ses limites
• une mise en valeur journalistique des données extraites, aboutissant à une enquête éclairante. »

Il explique avoir aidé la datajournaliste « sur le prompt engineering afin d’orienter au mieux l’IA », la mise en place de « la technique du few-shot learning » (une méthode d’apprentissage automatique où un modèle est entraîné à classer des items en fonction de leur similarité à partir de très peu de données, précise la CNIL) en donnant quelques actes administratifs déjà analysés, « afin d’améliorer la pertinence du modèle ».

Il l’a enfin aidé de sorte que la sortie du LLM « respecte un format précis plus facilement analysable », ainsi que « sur l’estimation en amont des coûts afin de s’assurer qu’ils restent sous contrôle ».

hackingbear shares a report from the Associated Press: As the threat of a TikTok ban looms, U.S. TikTok users are flocking to the Chinese social media app Xiaohongshu -- making it the top downloaded app in the U.S. Xiaohongshu, which in English means "Little Red Book" is a Chinese social media app that combines e-commerce, short video and posting functions, enticing mostly Chinese young women from mainland China and regions with with a Chinese diaspora such as Malaysia and Taiwan who use it as a de-facto search engine for product, travel and restaurant recommendations, as well as makeup and skincare tutorials. After the justices seemed inclined to let the law stand, masses of TikTok users began creating accounts on Xiaohongshu, including hashtags such as #tiktokrefugee or #tiktok to their posts. " I like your makeup," a Xiaohongshu user from Beijing comments one of the posts by Alexis Garman, a 21-year-old TikTok user in Oklahoma with nearly 20,000 followers, and Garman thanks them in a reply. A user from the southwestern province of Sichuan commented "I am your Chinese spy please surrender your personal information or the photographs of your cat (or dog)." "TikTok possibly getting banned doesn't just take away an app, it takes away jobs, friends and community," Garman said. "Personally, the friends and bond I have with my followers will now be gone." Xiaohongshu doesn't even have an English user interface. Reuters reports: In only two days, more than 700,000 new users joined Xiaohongshu, a person close to the company told Reuters. Xiaohongshu [which was founded in 2013 and is backed by investors such as Alibaba, Tencent and Sequoia], did not immediately respond to a request for comment. U.S. downloads of RedNote were up more than 200% year-over-year this week, and 194% from the week prior, according to estimates from app data research firm Sensor Tower. The second most-popular free app on Apple's App Store list on Tuesday, Lemon8, another social media app owned by ByteDance, experienced a similar surge last month, with downloads jumping by 190% in December to about 3.4 million.

Read more of this story at Slashdot.

Des rumeurs à propos de la prochaine console Switch de Nintendo, il y a en a eu un sacré paquet. Une recherche sur le site remonte une bonne dizaine de brèves, alors même que nous ne sommes pas forcément à l'affût des informations. Mais surtout, on peut constater que leur nombre a augmenté significativement ces derniers jours. Des rumeurs avant le CES avec dbrand et sa coque qui en montrait en peu trop, d'autres avec des informations de The Verge sur les Joy-Con notamment, et enfin des fuites complètes du design définitif, y compris avec une vidéo ! Et tout cela sans parler des histoires pendant le salon de Las Vegas avec une supposée console factice, mais réelle, chez Genki ; ou encore du PCB supposé. […]

Lire la suite

Voilà donc une nouvelle vidéo complétement dingue sur Cowcot TV avec la réalisation d'un mod. Au programme, un Mini PC ITX dans une jante d'Alpine A110 GT4, si si. Au programme, la réalisation d'un châssis spécifique et l'intégration des composants suivant : processeur AMD Ryzen 7 3800x, carte mère Asrock B550 phantom Gaming ITX, mémoire 2 x 16 Go Corsair Dominator RGB PRO DDR4 3600mhz, SSD 1 To Crucial P3 NVME, carte graphique Asus TUF RTX 4070 Super, waterblock Corsair Hydro X Series XC7 RGB ELITE, pompe/reservoir Corsair Hydro X Series XD5 RGB ELITE, alimentation Corsair SF850L, radiateurs Corsair Hydro X Series XR5 120mm, ventilateurs Corsair LX120 RGB, Corsair Icue Link System HUB, bandes led Corsair LS350 Aurora KIT et liquide Mayhems Pastel Yellow. En partenariat avec GVGMALL: Windows 10 Pro (13U+20AC) : https://biitt.ly/c8V0M Windows 11 Pro (19U+20AC) : https://biitt.ly/7ctfn […]

Lire la suite

Grosse nouveauté chez RAIJINTEK avec le boitier ATREUS, un dual chamber imposant qui s'offre un panneau avant incurvé et une compatibilité back-connector en ATX et Micro-ATX pour le plateau de la carte mère. Proposé en blanc et en noir, il est livré par défaut avec quatre ventilateurs ARGB de 120 mm, dont trois en reverse installés le long de la carte mère. Un boitier qui se veut donc moderne et bien équipé de base, avec notamment la présence d'une platine qui peut pivoter à 90 ° pour les sept équerres PCI, même si le riser n'est pas fourni en bundle dans le cas d'une installation verticale de la carte graphique. […]

Lire la suite

Bonne nouvelle, les jeux Assassin's Creed Origins et Valhalla sont à nouveau jouables sous Windows 11 ! En effet, la récente mise à jour 24H2 du système d'exploitation Windows 11 avait entrainé un "léger" problème de compatibilité avec certains titres du catalogue d'Ubisoft, qui ne se lançaient tout simplement plus ou se crashaient à répétitions... Ubisoft vient d'annoncer le déploiement de deux patchs afin d'endiguer le probléme :"Hello everyone, we have just deployed a new title update Assassin's Creed Origins (Version 1.62). This patch fixes compatibility issues with Windows 11 update 24H2. Patch size: ~230MB" […]

Lire la suite

Voilà un produit que nous n'attendions pas, mais que nous sommes contents de voir : un Mugen 6 en blanc et avec un éclairage RGB sur les deux ventilateurs. Scythe nous surprend agréablement, et nous avons hâte de voir si d'autres produits suivront avec une robe blanche. Techniquement, ce nouveau venu reste un Mugen 6 en version Dual Fan, soit un radiateur avec six caloducs qui partent d'une base excentrée pour ne pas bloquer la mémoire, mais avec une hauteur limitée à 154 mm seulement pour une grande compatibilité avec les boitiers. Un excellent choix pour qui arrivera à mettre la main dessus ! […]

Lire la suite

Alors que les alimentations SFX et SFX-L ne cessent de gagner en puissance, le segment inférieur semble avoir été quelque peu mis de côté et il est désormais difficile de trouver un bloc récent avec une puissance modérée. SilverStone vient combler ce petit vide avec une nouvelle série Extreme Rz Gold qui avance des puissances de 550 W et 650 W, ce qui suffira pour de très nombreux systèmes... A condition d'avoir une carte graphique à connecteurs PCI-E 6+2 ! Point de 12V-2x6 ici, même si on retrouve quand même une norme SFX 12V 4.1 et une prise en charge PCIe Gen5. Drôle de jeu de la part de SilverStone, qui équipe donc ses deux blocs d'un connecteur 12V-2x6, mais sans fournir le câble associé. A la place, on retrouve un ou deux câbles de deux PCI-E 6+2, ce qui limite donc le choix pour la carte graphique, sauf à acheter un câble à côté. Pour le reste, on retrouve un ventilateur de 92 mm à roulement FDB et mode 0 rpm sous 20 % de charge, ainsi que six protections (OCP, OPP, OVP, SCP, UVP et OTP) ; plus une certification 80 PLUS Gold seulement, alors même que le rapprochement avec Cybenetics a été amorcé il y a très longtemps. […]

Lire la suite