X n'est pas une marque de transparence

Après 2 ans d’enquête, la Commission inflige une amende conséquente à X, lui reprochant un manque de transparence et des pratiques trompeuses, notamment sur le changement de signification de la coche bleue.

Près de deux ans après l’ouverture de sa procédure formelle contre X, la Commission européenne annonce avoir infligé une amende de 120 millions d’euros au réseau social d’Elon Musk pour des manquements à ses obligations de transparence imposées par le Règlement sur les services numériques (DSA). En juillet 2024, Bruxelles avait confirmé ses craintes et attaqué X pour violation du DSA.

Coche bleue trompeuse et manque de transparence

En cause, notamment, le changement d’utilisation de la coche bleue, qui servait initialement à certifier l’identité des utilisateurs « vérifiés » par Twitter. Suite à son rachat, Elon Musk l’a ouvert à n’importe quel utilisateur payant pour accéder aux services premium de X. « Cela enfreint l’obligation imposée par le DSA aux plateformes en ligne d’interdire les pratiques trompeuses en matière de conception sur leurs services » explique la Commission dans son communiqué.

« Sur X, n’importe qui peut payer pour obtenir le statut « vérifié » sans que l’entreprise ne vérifie de manière significative qui se cache derrière le compte, ce qui rend difficile pour les utilisateurs de juger de l’authenticité des comptes et des contenus avec lesquels ils interagissent », constate (comme tout le monde) l’administration européenne.

Elle considère que « cette tromperie expose les utilisateurs à des escroqueries, notamment à des fraudes par usurpation d’identité, ainsi qu’à d’autres formes de manipulation par des acteurs malveillants ».

Mais la Commission ne s’est pas arrêtée à la coche bleue. Elle reproche à X (anciennement Twitter) le manque de transparence dans le référentiel des publicités de X qui est censé éclairer les utilisateurs au sujet du ciblage publicitaire comme l’y oblige le DSA. Mais la Commission explique que « X a élaboré un design et des barrières d’accès, tels que des délais de traitement excessifs, qui compromettent l’objectif des référentiels publicitaires ».

Bruxelles reproche aussi au réseau social d’Elon Musk de ne pas fournir aux chercheurs d’accès aux données publiques de sa plateforme.

La Commission souligne que c’est sa première décision de non-conformité avec le DSA. L’entreprise a 60 jours pour prendre des mesures concernant la coche bleue et 90 jours pour proposer un plan d’action qui la mette en conformité avec le DSA. Si tel n’est pas le cas, elle pourrait subir des jour-amendes de pénalité en plus.

Les autorités états-uniennes réagissent vivement

« Tromper les utilisateurs avec des coches bleues, dissimuler des informations sur les publicités et exclure les chercheurs n’ont pas leur place en ligne dans l’UE », commente Henna Virkkunen, vice-présidente exécutive de la Commission européenne à la Souveraineté technologique, à la Sécurité et à la Démocratie :

« La DSA protège les utilisateurs. Le DSA donne aux chercheurs les moyens de mettre au jour les menaces potentielles. Le DSA rétablit la confiance dans l’environnement en ligne. Avec la première décision de non-conformité de la DSA, nous tenons X responsable d’avoir porté atteinte aux droits des utilisateurs et d’avoir éludé ses responsabilités. »

X n’a pas encore réagi et n’a pas répondu à Reuters. Mais du côté états-unien, cette décision européenne n’est pas passée inaperçue et devrait tendre un peu plus les relations entre les deux côtés de l’Atlantique. « Des rumeurs circulent selon lesquelles la Commission européenne infligerait une amende de plusieurs centaines de millions de dollars pour non-respect de la censure », réagissait sur X JD Vance hier soir avant l’annonce officielle, ajoutant que « l’UE devrait soutenir la liberté d’expression au lieu d’attaquer les entreprises américaines pour des futilités ».

Dans le même sens, cette fois après l’officialisation, Brendan Carr, nommé en 2017 par Donald Trump à la Commission fédérale des communications (FCC) qu’il dirige depuis 2024, a affirmé sur X qu’ « une fois de plus, l’Europe inflige une amende à une entreprise technologique américaine prospère pour le simple fait d’être une entreprise technologique américaine prospère » :

« L’Europe impose des taxes aux Américains afin de subventionner un continent freiné par ses propres réglementations étouffantes ».

We are Reworld, we are the children

Premier éditeur de presse magazine en France, et 3ᵉ groupe média sur le web et les réseaux sociaux, Reworld Media estime que les sites d’infos générées par IA auraient fait perdre des dizaines de millions d’euros aux médias depuis que l’algorithme de Google a commencé à recommander leurs articles. Il vient de commencer à… faire pareil, ou presque. Étrangement, nombre de ses articles « augmentés » par l’IA publient comme images d’illustration des… bras cassés coupés.

Nous n’avons matériellement pas pu, faute de temps, vérifier l’ensemble des sites web des 81 « marques médias propriétaires » de Reworld Media, premier éditeur de presse magazine français en nombre de journaux détenus, et 3ᵉ groupe média sur le web et les réseaux sociaux.

Nous avions précédemment découvert que parolesdemamans.com avait publié une rafale d’articles avançant qu’en France des crèches acceptaient des poupées « reborn » (hyperréalistes) au détriment de bébés humains. Mais celui-ci n’est pas le seul site du groupe à avoir récemment mis en ligne des articles problématiques, et potentiellement générés par IA (GenAI).

• Reworld Media hallucine et publie n’importe quoi, mais ce n’est pas à cause de l’IA (1/2)

Aurélia Baranes est co-fondatrice directrice de publication de Serieously, qu’elle présente comme le « premier média d’infotainment indépendant en France », et l’un des « leaders sur le segment de la pop culture ». Lancé en 2017, il représenterait aujourd’hui 6 millions de visiteurs uniques par mois, et emploie une vingtaine de personnes à ce jour.

Elle était auparavant journaliste culture à Be.com, l’un des sites du groupe Reworld Media, de 2014 à 2017. Or, et alors que sa page de profil indiquait qu’elle n’y avait plus rien publié depuis septembre 2016, des articles signés de son nom ont commencé à y réapparaître à partir de la mi-septembre 2025.

Mais si ses précédents articles portaient sur ses spécialités, à savoir le cinéma et les séries TV, ses nouveaux articles, dont la plupart étaient illustrés par des photos de stock ou des images GenAI créditées Canva, concernaient le « pic de chaleur attendu ce week-end », la revalorisation à venir de la retraite complémentaire Agirc-Arrco, paraphrasant des communiqués de Météo France ou de la Banque de France.

Le 19, elle signait par exemple un article consacré aux augmentations de salaires à venir en 2026. Il s’agissait en fait d’une reprise d’un décryptage signé par deux journalistes des Echos, publié quatre jours plus tôt. Or, l’article signé Aurélia Baranes sur Be.com comporte deux citations, qui ne figurent pas dans l’article des Echos, mais qui en paraphrasent des extraits.

Et si Les Echos mentionnaient bien trois citations de Khalil Ait Mouloud, directeur des enquêtes de rémunération chez WTW, les propos qui lui sont prêtés semblent eux aussi avoir été « hallucinés », en paraphrasant un passage écrit par les journalistes :

Or, ce type d’ « hallucinations » est un marqueur typique des contenus générés par IA (GenAI) que nous documentons depuis des mois, les chatbots ne faisant pas la distinction entre un « texte » (qu’il est possible de paraphraser, ne serait-ce que pour éviter les accusations de plagiat ou de contenu dupliqué, que pénalisent les moteurs de recherche, en matière de référencement) et les « citations ». Dans un article, celles-ci ne sauraient bien évidemment être modifiées, paraphrasées, encore moins inventées.

• [Récap] Nous avons découvert des milliers de sites d’info générés par IA : tous nos articles

Contactée, Aurélia Baranes nous répond qu’elle n’était « absolument pas au courant », avant de rajouter, 30 minutes plus tard : « Je découvre l’ampleur des articles à mon nom, c’est affolant ! On dirait des articles faits par IA en plus ».

Son avocat a depuis adressé un courrier à Reworld Media « parce que je trouvais ça assez violent », nous a-t-elle depuis expliqué, et les nouveaux articles GenAI qui lui étaient attribués ont été effacés dans la foulée.

Contacté, Jérémy Parola, directeur des activités numériques de Reworld Media, nous répond que « c’est un pigiste qui a merdé avec le CMS [système de gestion de contenus, ndlr], on a supprimé l’intégralité des articles ». Il se dit d’autant plus peiné qu’ « on s’entend bien avec elle ».

25 articles par jour, à raison d’un par heure, 24 h/24, 7j/7

Évoquant le cas de « pigistes qui passent de 2 contenus/jour à plusieurs dizaines », Jérémy Parola précise par ailleurs qu’à Reworld, le fait de générer des articles par IA, sans relecture ni supervision, est proscrit par contrat :

X n'est pas une marque de transparence

Après 2 ans d’enquête, la Commission inflige une amende conséquente à X, lui reprochant un manque de transparence et des pratiques trompeuses, notamment sur le changement de signification de la coche bleue.

Près de deux ans après l’ouverture de sa procédure formelle contre X, la Commission européenne annonce avoir infligé une amende de 120 millions d’euros au réseau social d’Elon Musk pour des manquements à ses obligations de transparence imposées par le Règlement sur les services numériques (DSA). En juillet 2024, Bruxelles avait confirmé ses craintes et attaqué X pour violation du DSA.

Coche bleue trompeuse et manque de transparence

En cause, notamment, le changement d’utilisation de la coche bleue, qui servait initialement à certifier l’identité des utilisateurs « vérifiés » par Twitter. Suite à son rachat, Elon Musk l’a ouvert à n’importe quel utilisateur payant pour accéder aux services premium de X. « Cela enfreint l’obligation imposée par le DSA aux plateformes en ligne d’interdire les pratiques trompeuses en matière de conception sur leurs services » explique la Commission dans son communiqué.

« Sur X, n’importe qui peut payer pour obtenir le statut « vérifié » sans que l’entreprise ne vérifie de manière significative qui se cache derrière le compte, ce qui rend difficile pour les utilisateurs de juger de l’authenticité des comptes et des contenus avec lesquels ils interagissent », constate (comme tout le monde) l’administration européenne.

Elle considère que « cette tromperie expose les utilisateurs à des escroqueries, notamment à des fraudes par usurpation d’identité, ainsi qu’à d’autres formes de manipulation par des acteurs malveillants ».

Mais la Commission ne s’est pas arrêtée à la coche bleue. Elle reproche à X (anciennement Twitter) le manque de transparence dans le référentiel des publicités de X qui est censé éclairer les utilisateurs au sujet du ciblage publicitaire comme l’y oblige le DSA. Mais la Commission explique que « X a élaboré un design et des barrières d’accès, tels que des délais de traitement excessifs, qui compromettent l’objectif des référentiels publicitaires ».

Bruxelles reproche aussi au réseau social d’Elon Musk de ne pas fournir aux chercheurs d’accès aux données publiques de sa plateforme.

La Commission souligne que c’est sa première décision de non-conformité avec le DSA. L’entreprise a 60 jours pour prendre des mesures concernant la coche bleue et 90 jours pour proposer un plan d’action qui la mette en conformité avec le DSA. Si tel n’est pas le cas, elle pourrait subir des jour-amendes de pénalité en plus.

Les autorités états-uniennes réagissent vivement

« Tromper les utilisateurs avec des coches bleues, dissimuler des informations sur les publicités et exclure les chercheurs n’ont pas leur place en ligne dans l’UE », commente Henna Virkkunen, vice-présidente exécutive de la Commission européenne à la Souveraineté technologique, à la Sécurité et à la Démocratie :

« La DSA protège les utilisateurs. Le DSA donne aux chercheurs les moyens de mettre au jour les menaces potentielles. Le DSA rétablit la confiance dans l’environnement en ligne. Avec la première décision de non-conformité de la DSA, nous tenons X responsable d’avoir porté atteinte aux droits des utilisateurs et d’avoir éludé ses responsabilités. »

X n’a pas encore réagi et n’a pas répondu à Reuters. Mais du côté états-unien, cette décision européenne n’est pas passée inaperçue et devrait tendre un peu plus les relations entre les deux côtés de l’Atlantique. « Des rumeurs circulent selon lesquelles la Commission européenne infligerait une amende de plusieurs centaines de millions de dollars pour non-respect de la censure », réagissait sur X JD Vance hier soir avant l’annonce officielle, ajoutant que « l’UE devrait soutenir la liberté d’expression au lieu d’attaquer les entreprises américaines pour des futilités ».

Dans le même sens, cette fois après l’officialisation, Brendan Carr, nommé en 2017 par Donald Trump à la Commission fédérale des communications (FCC) qu’il dirige depuis 2024, a affirmé sur X qu’ « une fois de plus, l’Europe inflige une amende à une entreprise technologique américaine prospère pour le simple fait d’être une entreprise technologique américaine prospère » :

« L’Europe impose des taxes aux Américains afin de subventionner un continent freiné par ses propres réglementations étouffantes ».

Read more of this story at Slashdot.

Nous vous relayons ce post plus pour la blague que pour autre chose, même si franchement, celui qui a fait l'échange a été très bon. Bon après, on ne sait pas combien le kit a couté au départ. Il n'empêche que sur un thread de vente de Facebook, un utilisateur cherchait à échanger 4 x 48 Go de DDR5 Corsair en 5200 contre une GeForce RTX 5070 Ti ou un gros écran 27 pouces QD OLED 240 Hz de chez ASUS. Assez logiquement, à la vue de prix de la RAM actuellement, ce dernier a vite trouvé quelqu'un pour faire l'échange. Et autant dire que la bonne affaire était plutôt pour celui qui a échangé sa carte graphique contre la mémoire. […]

Hier, NVIDIA publiait ses pilotes GeForce Game Ready 591.44, premiers de la branche R590. Quand il y a ces gros sauts de branche, cela signifie que ces pilotes introduisent des nouveautés plus larges que le simple support de jeu classique. Ces drivers avaient la bonne idée d'une part d'optimiser un...

Read more of this story at Slashdot.

Cinéma ! Cinémaaaaa !

Netflix et Warner Bros ont annoncé vendredi la signature d’un accord selon les termes duquel le géant du streaming va racheter l’intégralité des studios de cinéma et de télévision, ainsi que le service HBO Max, pour une enveloppe globale de près de 83 milliards de dollars.

Netflix, qui développe depuis quinze ans son portefeuille de droits d’exploitation, s’apprête à franchir un cap : le géant du streaming a en effet confirmé vendredi la signature d’un accord avec Warner Bros Discovery. Il prévoit l’acquisition de la totalité du studio hollywoodien et de ses licences emblématiques, ainsi que de son service de streaming HBO Max, pour une valorisation totale de 82,7 milliards de dollars.

Un immense catalogue

Au terme de l’opération, qui devrait être bouclée au troisième trimestre 2026, Netflix détiendra les droits d’une longue liste de licences de premier plan, déclinées aussi bien en télévision qu’au cinéma, en parcs à thèmes ou en jeux vidéo. Dans le lot figurent notamment The Big Bang Theory, The Sopranos, Game of Thrones, l’univers DC, la franchise Harry Potter, Friends ou Citizen Kane… une longue liste de créations dont les droits viendront enrichir le catalogue développé en propre par Netflix.

L’acquisition se fait sur la base d’un montant de 27,75 dollars par action Warner Bros Discovery, dont 23,25 dollars en cash et le reste en actions Netflix.

Netflix indique que les studios Warner ont vocation à poursuivre leurs activités, et donc à développer des œuvres pour la télévision ou le cinéma. HBO et HBO Max sont également maintenus (au moins pour l’instant), dans la mesure où ils proposent une offre « complémentaire et attrayante pour les consommateurs ».

Pour Netflix, ce rapprochement se traduira par une amélioration de la qualité perçue par ses abonnés, notamment grâce à l’enrichissement de son offre avec les différents catalogues Warner. D’un point de vue plus opérationnel, l’entreprise dit également s’attendre à l’équivalent de 2 à 3 milliards de dollars par an en synergies, sans préciser l’éventuel impact en matière d’effectifs salariés.

Une opération complexe

Le plan se déroulera-t-il sans accroc ? Si les deux parties prenantes sont tombées d’accord, le succès de l’opération est conditionné à la réussite de quelques étapes clés. Warner Bros Discovery, issue de la fusion entre WarnerMedia et Discovery en 2022, doit d’abord boucler son processus de scission, annoncé en juin dernier. Ce dernier prévoit pour mémoire de scinder le groupe en deux, avec d’un côté les chaînes de télévision, et de l’autre les activités de studio désormais en passe de basculer chez Netflix.

La transaction devra également recueillir l’assentiment des autorités de la concurrence aux États-Unis, ce qui reviendra vraisemblablement à obtenir l’aval de la Maison-Blanche. Or sur ce point, la concurrence fourbit déjà ses armes, à l’image de Paramount, qui souhaitait de son côté racheter l’intégralité des activités de Warner. Le groupe dirigé par David Ellison (fils de Larry, patron d’Oracle) a laissé fuiter au Wall Street Journal la teneur de certains courriers adressés aux conseils de Warner et arguant que le rachat par Netflix créerait une situation problématique d’un point de vue antitrust.

Rappelons qu’en France, Netflix a récemment passé un accord de diffusion avec le groupe TF1.

Waf ! Waf !

Un chercheur a découvert dans le composant React Server Components une faille dont le score de gravité CVSS atteint la note maximale de 10. Des correctifs ont été rapidement publiés et il est recommandé de mettre à jour les applications et autres composants concernés le plus rapidement possible.

Dans une note publiée le 3 décembre, la fondation React a averti d’une faille extrêmement critique dans le framework (cadriciel) React Server Components. Estampillée CVE-2025-55182, elle a reçu la plus grande note possible au score CVSS, soit 10.

Dans son billet de blog, la fondation indique que le signalement de la faille a été fait le 29 novembre par le chercheur Lachlan Davidson. Elle réside dans les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 des composants suivants : react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack.

Exploitée, la faille peut permettre l’exécution de commandes arbitraires à distance. Elle a même reçu un nom : React2Shell. Initialement, deux failles avaient été signalées. La seconde, dans Node.js et numérotée CVE-2025-66478, a cependant été rejetée par le NIST américain, car il s’agissait finalement du même mécanisme.

Une grande facilité d’exploitation

Selon la société Wiz qui s’est penchée sur la question, une grosse partie du problème tient à l’exploitation particulièrement simple de cette faille, faisant exploser son score CVSS. Deux composantes sont mises en avant : la faille est exploitable dans toutes les configurations, et il ne suffit que d’une requête HTTP spécialement conçue pour déclencher la suite.

La société explique qu’il s’agit d’un cas de désérialisation logique. Il découle de la manière dont les React Server Components (RSC) gèrent les requêtes. Une personne non authentifiée pourrait ainsi créer une requête HTTP malveillante à n’importe quel point de terminaison Server Function qui, au moment où React s’occupe de la désérialisation, entraine l’exécution d’un code JavaScript arbitraire sur le serveur.

Dans son billet, la fondation React n’en dit pas plus, car elle explique attendre une diffusion plus importante des correctifs avant de donner plus de détails.

Toute bibliothèque utilisant RSC (comme Vite RSC, Parcel RSC, React Router RSC preview, RedwoodJS, ou encore Waku) est concernée par la faille et il faut donc surveiller l’arrivée de mises à jour, déjà publiées dans de nombreux cas. « La vulnérabilité affecte les configurations par défaut du framework, ce qui signifie que les déploiements standards sont immédiatement exploitables sans conditions particulières », indique la société de sécurité Endor Labs.

Que faire ?

L’urgence est d’appliquer les nouvelles versions 19.0.1, 19.1.2 et 19.2.1 des trois composants react-server-dom. Jusqu’à ce qu’ils puissent être déployés, il est conseillé d’appliquer des règles WAF (Web Application Firewall).

Plusieurs entreprises de premier plan ont d’ailleurs réagi à ce sujet. Cloudflare a annoncé dès le 3 décembre avoir mis à jour son WAF pour protéger ses clients. L’éditeur ajoute que même si les nouvelles règles bloquent les éventuelles attaques, il reste recommandé de mettre à jour aussi vite que possible les composants logiciels concernés.

Même son de cloche chez Google pour sa Cloud Armor, qui décrit les nouvelles règles du pare-feu applicatif comme une mesure temporaire d’atténuation. On retrouve les mêmes éléments de langage chez Akamai et AWS.

Cinéma ! Cinémaaaaa !

Netflix et Warner Bros ont annoncé vendredi la signature d’un accord selon les termes duquel le géant du streaming va racheter l’intégralité des studios de cinéma et de télévision, ainsi que le service HBO Max, pour une enveloppe globale de près de 83 milliards de dollars.

Netflix, qui développe depuis quinze ans son portefeuille de droits d’exploitation, s’apprête à franchir un cap : le géant du streaming a en effet confirmé vendredi la signature d’un accord avec Warner Bros Discovery. Il prévoit l’acquisition de la totalité du studio hollywoodien et de ses licences emblématiques, ainsi que de son service de streaming HBO Max, pour une valorisation totale de 82,7 milliards de dollars.

Un immense catalogue

Au terme de l’opération, qui devrait être bouclée au troisième trimestre 2026, Netflix détiendra les droits d’une longue liste de licences de premier plan, déclinées aussi bien en télévision qu’au cinéma, en parcs à thèmes ou en jeux vidéo. Dans le lot figurent notamment The Big Bang Theory, The Sopranos, Game of Thrones, l’univers DC, la franchise Harry Potter, Friends ou Citizen Kane… une longue liste de créations dont les droits viendront enrichir le catalogue développé en propre par Netflix.

L’acquisition se fait sur la base d’un montant de 27,75 dollars par action Warner Bros Discovery, dont 23,25 dollars en cash et le reste en actions Netflix.

Netflix indique que les studios Warner ont vocation à poursuivre leurs activités, et donc à développer des œuvres pour la télévision ou le cinéma. HBO et HBO Max sont également maintenus (au moins pour l’instant), dans la mesure où ils proposent une offre « complémentaire et attrayante pour les consommateurs ».

Pour Netflix, ce rapprochement se traduira par une amélioration de la qualité perçue par ses abonnés, notamment grâce à l’enrichissement de son offre avec les différents catalogues Warner. D’un point de vue plus opérationnel, l’entreprise dit également s’attendre à l’équivalent de 2 à 3 milliards de dollars par an en synergies, sans préciser l’éventuel impact en matière d’effectifs salariés.

Une opération complexe

Le plan se déroulera-t-il sans accroc ? Si les deux parties prenantes sont tombées d’accord, le succès de l’opération est conditionné à la réussite de quelques étapes clés. Warner Bros Discovery, issue de la fusion entre WarnerMedia et Discovery en 2022, doit d’abord boucler son processus de scission, annoncé en juin dernier. Ce dernier prévoit pour mémoire de scinder le groupe en deux, avec d’un côté les chaînes de télévision, et de l’autre les activités de studio désormais en passe de basculer chez Netflix.

La transaction devra également recueillir l’assentiment des autorités de la concurrence aux États-Unis, ce qui reviendra vraisemblablement à obtenir l’aval de la Maison-Blanche. Or sur ce point, la concurrence fourbit déjà ses armes, à l’image de Paramount, qui souhaitait de son côté racheter l’intégralité des activités de Warner. Le groupe dirigé par David Ellison (fils de Larry, patron d’Oracle) a laissé fuiter au Wall Street Journal la teneur de certains courriers adressés aux conseils de Warner et arguant que le rachat par Netflix créerait une situation problématique d’un point de vue antitrust.

Rappelons qu’en France, Netflix a récemment passé un accord de diffusion avec le groupe TF1.

Waf ! Waf !

Un chercheur a découvert dans le composant React Server Components une faille dont le score de gravité CVSS atteint la note maximale de 10. Des correctifs ont été rapidement publiés et il est recommandé de mettre à jour les applications et autres composants concernés le plus rapidement possible.

Dans une note publiée le 3 décembre, la fondation React a averti d’une faille extrêmement critique dans le framework (cadriciel) React Server Components. Estampillée CVE-2025-55182, elle a reçu la plus grande note possible au score CVSS, soit 10.

Dans son billet de blog, la fondation indique que le signalement de la faille a été fait le 29 novembre par le chercheur Lachlan Davidson. Elle réside dans les versions 19.0, 19.1.0, 19.1.1 et 19.2.0 des composants suivants : react-server-dom-webpack, react-server-dom-parcel et react-server-dom-turbopack.

Exploitée, la faille peut permettre l’exécution de commandes arbitraires à distance. Elle a même reçu un nom : React2Shell. Initialement, deux failles avaient été signalées. La seconde, dans Node.js et numérotée CVE-2025-66478, a cependant été rejetée par le NIST américain, car il s’agissait finalement du même mécanisme.

Une grande facilité d’exploitation

Selon la société Wiz qui s’est penchée sur la question, une grosse partie du problème tient à l’exploitation particulièrement simple de cette faille, faisant exploser son score CVSS. Deux composantes sont mises en avant : la faille est exploitable dans toutes les configurations, et il ne suffit que d’une requête HTTP spécialement conçue pour déclencher la suite.

La société explique qu’il s’agit d’un cas de désérialisation logique. Il découle de la manière dont les React Server Components (RSC) gèrent les requêtes. Une personne non authentifiée pourrait ainsi créer une requête HTTP malveillante à n’importe quel point de terminaison Server Function qui, au moment où React s’occupe de la désérialisation, entraine l’exécution d’un code JavaScript arbitraire sur le serveur.

Dans son billet, la fondation React n’en dit pas plus, car elle explique attendre une diffusion plus importante des correctifs avant de donner plus de détails.

Toute bibliothèque utilisant RSC (comme Vite RSC, Parcel RSC, React Router RSC preview, RedwoodJS, ou encore Waku) est concernée par la faille et il faut donc surveiller l’arrivée de mises à jour, déjà publiées dans de nombreux cas. « La vulnérabilité affecte les configurations par défaut du framework, ce qui signifie que les déploiements standards sont immédiatement exploitables sans conditions particulières », indique la société de sécurité Endor Labs.

Que faire ?

L’urgence est d’appliquer les nouvelles versions 19.0.1, 19.1.2 et 19.2.1 des trois composants react-server-dom. Jusqu’à ce qu’ils puissent être déployés, il est conseillé d’appliquer des règles WAF (Web Application Firewall).

Plusieurs entreprises de premier plan ont d’ailleurs réagi à ce sujet. Cloudflare a annoncé dès le 3 décembre avoir mis à jour son WAF pour protéger ses clients. L’éditeur ajoute que même si les nouvelles règles bloquent les éventuelles attaques, il reste recommandé de mettre à jour aussi vite que possible les composants logiciels concernés.

Même son de cloche chez Google pour sa Cloud Armor, qui décrit les nouvelles règles du pare-feu applicatif comme une mesure temporaire d’atténuation. On retrouve les mêmes éléments de langage chez Akamai et AWS.

Nous vous parlions d'elle il y a seulement deux petits jours, sans savoir qu'elle serait si vite officialisée. En ce 5 décembre 2025, la GIGABYTE X870E AERO X3D WOOD est officiellement lancée. Cela implique notamment l'apparition de sa fiche produit sur le site de GIGABYTE, qui nous permet donc de t...

Read more of this story at Slashdot.

Ce vendredi aprem, avant de vous proposer un dernier test qui portera sur une toute petite CG, nous vous proposons de découvrir un casque. Un casque que nous connaissons dans sa première mouture et qui arrive ce jour dans une Gen 2. Ce casque, c'est le SteelSeries Arctis Nova 7 Gen 2, un modèle sans fil, qui exploite des transducteurs de 40 mm et qui a le droit à 3 modes de connexion différents. Il est à découvrir ici même : Test casque SteelSeries Arctis Nova 7 Gen 2 ou en cliquant sur la source. […]

À bord de cette carte mère MetaComputing ARM AI PC, un SoC que l’on a déjà croisé. Du moins sur le papier. Le CIX P1 a en effet été retenu par Radxa, Orange Pi et Minisforum. 

Il s’agit toujours d’un CXI CP8180 au TDP de 28 W, une solution 12 cœurs comprenant deux cœurs Cortex-A720 à 2.6 GHz, deux cœurs Cortex-A720 à 2.4 GHz, quatre cœurs cortex-A-720 à 2.3 GHz et enfin quatre cœurs Cortex-A520 à 1.8 GHz. Un circuit graphique Immortalis-G720 MC10 et un NPU 30 TOPS complètent l’ensemble. Cette puce prendra ici en charge de la mémoire vive LPDDR5-5500 en 16 et 32 Go avec un stockage associé de 1 To. 

La carte mère sera proposée à partir de 480.95€ HT en version standard. Mais elle pourra également être achetée avec un ordinateur Framework, totalement préinstallée, pour une base tarifaire de 962.95€ HT. Il semble qu’il sera également possible d’obtenir le boitier dédié mis au point par Cooler Master.

CNX Software pointe vers deux éléments intéressants pour cette carte. Le premier est technique et remonte que si la puce CIX P1 présente bien un TDP de 28 watts compatible avec les portables, sa consommation électrique est en revanche bien plus élevée que les puces classiques de ce marché. Là où des processeurs AMD, Qualcomm ou Intel proposent des fonctionnements en veille sous les 3 watts, la CXI grimpe à 16 watts. Ce qui affectera énormément l’autonomie du portable sur batterie.

La carte mère MetaComputing sous CIX P1

L’autre point notable est dans la société MetaComputing elle même. Il semble qu’elle soit pilotée par le créateur de DeepComputing qui développe des solutions RISC-V dont une en particulier. La carte mère spécialisée qui propose une de ces puces RISC-V Starfive aux… Framework.

La carte mère DeepComputing sous StarFive JH7110

MetaComputing semble donc avoir repris purement et simplement l’image de la carte mère de DeepComputing sur son site. De là à dire que la carte n’est pour le moment pas encore fabriquée mais uniquement en précommande ? Difficile d’être totalement affirmatif mais le site de vente de la marque ne donne aucune indication de délai, de stock ou de situation géographique.

MetaComputing développe une carte mère ARM CIX P1 pour Framework © MiniMachines.net. 2025

Quand les étendards nationaux dans le domaine font dans la science sans conscience avec de l’industrie, ça ruine un peu l’âme, mais en plus, ça pique le cœur ainsi que les yeux. Retrouvez les autres dessins de la semaine samedi à 13h37 et donc rendez-vous demain !