Polestar and Volvo are ending Polestar 3 production in Chengdu, China, and consolidating all output of the electric SUV at Volvo's plant in South Carolina. "The move to consolidate global Polestar 3 production in Charleston help[s] generate efficiencies for both companies, whilst also underscoring our confidence in the plant and the role it plays in our manufacturing footprint," said Hakan Samuelsson, chief executive of Volvo Cars. "The U.S. is a very important market for Volvo Cars, both to support our growth ambitions as well as a strategic production site to meet regional and export demands." Ars Technica reports: Volvo had a challenging 2025, with sales falling by 7 percent. Meanwhile, Polestar, which was spun out from the Swedish OEM's performance arm into a standalone startup in 2017, had a rather good 2025, seeing a 34 percent increase in sales. So increasing the proportion of Polestar 3s to come out of South Carolina seems sensible. And as we learned last September, the midsize electric Volvo EX60 will also go into production at the South Carolina site later this year, and then we'll see a still-unnamed hybrid Volvo in 2030.
The two companies also announced today that Volvo agreed to extend part of a shareholder loan it made to Polestar and will convert the rest into Polestar shares. Polestar will still owe Volvo $661 million, due at the end of 2031, and another $274 million will become Polestar stock now, with a further $65 million in the second quarter of the year. Since December, Polestar has also raised $1 billion through three equity financing investments.
MidnightBSD 4.0.4 is out today as the newest update to this desktop-minded BSD operating system. Notable with this update is introducing the Aged daemon and Agectl program for handling age verification and age attestation given the increasing number of US states pursuing laws around age verification at the OS user level...
bobthesungeek76036 shares a report from the Register: Oracle laid off thousands of employees on Tuesday as it ramps spending on AI infrastructure projects internally and with major technology partners. The layoffs were carried out via email, according to copies of the message viewed by Business Insider. The email told affected workers they would be terminated immediately and to provide a personal email for follow-up.
The cuts echo a TD Cowen forecast earlier this year, when the investment bank questioned how Oracle would finance its expanding AI datacenter buildout and suggested headcount reductions could reach 20,000 to 30,000. It is not clear how many employees were notified on Tuesday, but one screenshot that purports to show the number of internal Slack users showed a drop of 10,000 overnight.
[...] Oracle employs about 162,000 people, with 58,000 of those in the US and approximately 104,000 internationally. If the rumored cuts of 30,000 are correct, it would amount to 18 percent of the company's workforce. According to posts from Oracle workers on LinkedIn, the cuts were spread through multiple departments around the country, with employees in Kansas, Tennessee, and Texas taking to social media to say they were among those chopped. "This news didn't seem to affect stock price," adds bobthesungeek76036. "ORCL is up 6% for the day."
A merge request for Wayland Protocols was opened today for introducing "xx-fractional-scale-v2" as an experimental protocol to address current shortcomings with current Wayland fractional scaling. There is also a KDE KWin compositor merge request already out for review that implements this xx-fractional-scale-v2 protocol...
A top EU official is urging Europeans to work from home, drive less, and cut air travel as the bloc braces for a prolonged energy crisis triggered by the Gulf conflict. The European Commission is also pushing member states to accelerate renewables and other energy-security measures as oil and gas disruptions continue. Politico reports: In a speech with echoes of the early days of the coronavirus pandemic, EU energy chief Dan Jorgensen said Europe was facing a "very serious situation" with no clear end in sight. "Even if ... peace is here tomorrow, still we will not go back to normal in the foreseeable future," he said, following an extraordinary meeting of the EU's 27 energy ministers on Tuesday to discuss the crisis. "The more you can do to save oil, especially diesel, especially jet fuel, the better we are off," Jorgensen said, confirming an earlier report by POLITICO that Brussels wanted Europeans to travel less.
He urged member countries to follow the advice of the International Energy Agency, which he said included "work from home where possible, reduce highway speed limits by ten kilometers [an hour], encourage public transport, alternate private car access ... increase car sharing and adopt efficient driving practices." Longer term, he urged EU countries to double down on building more renewables, saying "this must be the time we finally turn the tide and truly become energy independent."
Google is rolling out a feature in the U.S. that lets some users change their Gmail address without creating a new account or losing their data. TechCrunch reports: Users who have access to this feature can go to their Google Account settings, navigate to Personal info > Email > Google Account email option. Tap on the "Change Google Account email" button to start the process of changing your username.
Users will be able to change their username only once every 12 months. Plus, they won't be able to delete their new email address for that period of time.
The company said users' old emails will be preserved, and the old email address will serve as an alternate address for the account. Users will be able to sign in to Google services using both the old and the new addresses. You can learn more via Google's support page.
After KDBUS failed to make it into the mainline Linux kernel more than one decade ago as an in-kernel version of D-Bus, BUS1 was proposed as a clean sheet design for in-kernel, capability-based inter-process communication (IPC). BUS1 didn't gain enough traction to make it to the mainline kernel and then many of the same developers devised Dbus-Broker as a more performant D-Bus user-space implementation. Well, as a big surprise now, a new version of BUS1 is being worked on for the Linux kernel...
An anonymous reader quotes a report from the New York Times: A global ban on taxing digital streaming and downloads across national borders expired on Monday, after members of the World Trade Organization concluded an annual meeting without agreeing to extend it. U.S. representatives had pushed to extend the ban, which prevents the more than 160 members of the W.T.O. from issuing duties related to e-commerce. But Brazil and Turkey blocked a motion for a longer extension.
U.S. representatives excoriated the outcome as further proof of the organization's irrelevance. The W.T.O. provides a forum for trade negotiations and setting rules for global trade. But U.S. officials have long criticized the group for its failure to police unfair trade practices by countries like China. Over the past year, the Trump administration has further abandoned W.T.O. by issuing its own global framework of tariffs instead. [...] Brazil had pushed for a two-year extension of the moratorium on e-commerce duties, while the United States wanted a permanent one. The countries couldn't come to a compromise, but negotiations are set to continue in Geneva this spring. W.T.O. members also failed to reach an agreement on future reforms for the organization. Bernd Lange, the chair of the international trade committee for the European Parliament, wrote in a post on X that "supporters of the multilateral trading system are waking up with a hangover."
"We knew that a breakthrough might not materialize, but that doesn't make it any less painful," he wrote, adding that "without an agreement to extend moratorium on digital tariffs, a period of great uncertainty could soon begin for businesses and consumers."
Jonathan McHale, the vice president of digital trade at the Computer & Communications Industry Association, called the outcome "deeply disappointing." He said: "For more than two decades, W.T.O. members have recognized that imposing tariffs on electronic transmissions would be counterproductive, but allowed the issue to become a negotiating football."
Australia is preparing possible court action against major social media platforms that are failing to enforce the country's social media ban on under-16s. "Three months after the ban came into effect, the eSafety Commissioner said it was probing Meta's Instagram and Facebook, Google's YouTube, Snapchat and TikTok for possible breaches of the law," reports Reuters. From the report: Communications Minister Anika Wells said the government was gathering evidence "so that the eSafety Commissioner can go to the Federal Court and win." "We have spent the summer building that evidence base of all the stories that no doubt you have all heard ... about how kids are getting around that," Wells told reporters in Canberra. The legal threat is a striking change of tone from a government which had hailed tech giants' shows of cooperation when the ban went live in December.
Under the Australian law, platforms must show they are taking reasonable steps to keep out underage users or face fines of up to $34 million per breach, something eSafety would need to pursue in a civil court. The regulator previously said it would only take enforcement action in cases of systemic noncompliance. But in its first comprehensive compliance report since the ban took effect, eSafety said measures taken by the platforms were substandard and it would make a decision about next steps by mid-year. "We are now moving âinto an enforcement stance," said commissioner Julie Inman Grant in a statement.
The regulator reported major compliance gaps, including platforms prompting children who had previously declared ages under 16 to do fresh age checks, allowing repeated attempts at age-assurance tests until a child got a result over 16 and poor pathways for people to report underage accounts. Some platforms did not use age-inference, which estimates age based on someone's online activity, and some only used age-assurance measures like photo-based checks after a user tried to change their age, rather than at sign-up. That made it "likely many Australian children aged under 16 have been able to create accounts on age-restricted social media platforms by simply declaring they are 16 or older", the regulator said. Nearly one-third of parents reported their under-16 child had at least one social media account after the ban took effect, of which two-thirds said the platform had not asked the child's age, it added.
Le 17 janvier 2026, nous vous parlions des processeurs Intel Wildcat Lake à la suite d'un oubli de la firme dans un de ses documents officiels. En ce dernier jour du mois de mars, c'est au tour de l'incontournable leaker Jaykihn se s'exprimer à leur sujet, en donnant ce qui serait la gamme complète...
Grady Martin writes: A security researcher has leaked a complete repository of source code for Anthropic's flagship command-line tool. The file listing was exposed via a Node Package Manager (npm) mapping, with every target publicly accessible on a Cloudflare R2 storage bucket. There's been a number of discoveries as people continue to pore over the code. The DEV Community outlines some of the leak's most notable architectural elements and the key technical choices:
Architecture Highlights
The Tool System (~40 tools): Claude Code uses a plugin-like tool architecture. Each capability (file read, bash execution, web fetch, LSP integration) is a discrete, permission-gated tool. The base tool definition alone is 29,000 lines of TypeScript.
The Query Engine (46K lines): This is the brain of the operation. It handles all LLM API calls, streaming, caching, and orchestration. It's by far the largest single module in the codebase.
Multi-Agent Orchestration: Claude Code can spawn sub-agents (they call them "swarms") to handle complex, parallelizable tasks. Each agent runs in its own context with specific tool permissions.
IDE Bridge System: A bidirectional communication layer connects IDE extensions (VS Code, JetBrains) to the CLI via JWT-authenticated channels. This is how the "Claude in your editor" experience works.
Persistent Memory System: A file-based memory directory where Claude stores context about you, your project, and your preferences across sessions.
Key Technical Decisions Worth Noting
Bun over Node: They chose Bun as the JavaScript runtime, leveraging its dead code elimination for feature flags and its faster startup times.
React for CLI: Using Ink (React for terminals) is bold. It means their terminal UI is component-based with state management, just like a web app.
Zod v4 for validation: Schema validation is everywhere. Every tool input, every API response, every config file.
~50 slash commands: From /commit to /review-pr to memory management -- there's a command system as rich as any IDE.
Lazy-loaded modules: Heavy dependencies like OpenTelemetry and gRPC are lazy-loaded to keep startup fast.
Le Minisforum M1 Lite ressemble à une branche de réalité alternative qu’on n’aurait jamais aimé parcourir. On aurait préféré l’autre branche, celle où la mémoire vive et le stockage n’auraient pas explosé. Celle où les constructeurs auraient pu continuer à proposer des machines complètes à un prix raisonnable. Malheureusement, notre destin s’est trompé de chemin et nous voilà face à un Barebone.
Minisforum M1 Lite
Le Minisforum M1 Lite est annoncé en deux déclinaisons sur le site français de la marque. Le premier est à 329€, il s’agit d’un engin assez classique dans son format. Equipé d’un Core Ultra 5 125U, il est donc livré sans mémoire vive, sans stockage et donc, sans système d’exploitation. Une version complète avec 16 Go de DDR5 double canal, 512 Go de stockage et une licence de Windows 11 Pro, est proposée à… 659€. On double donc quasiment le prix de la machine. Pour vous donner une idée, une option de ce type il y a un an, pour passer d’une machine au format Barebone à un engin en 16/512 Go avec Windows, était souvent facturée moins de 120€ chez une marque comme Minisforum.
Le constructeur sait pertinemment que proposer le Minisforum M1 Lite uniquement en version classique, prêt à l’emploi, ne générerait pas suffisamment de ventes. Pour amortir son design, il a donc décidé de proposer un modèle nu afin que chacun puisse l’équiper au mieux de ses besoins. Ce n’est pas nouveau, de nombreux constructeurs font ça depuis des années. Mais la tendance va grandement s’accentuer dans les mois à venir.
Le Minisforum M1 Lite s’architecture donc autour d’un Core Ultra 5 125U. une puce Meteor Lake mobile lancée à la fin de l’année 2023 et gravée en Intel 4. C’est une puce intéressante dans sa construction avec 2 cœurs Performance, 8 cœurs Efficients et 2 cœurs LPE pour un total de 12 cœurs et de 14 Threads puisque seuls les cœurs P le proposent. Leur fréquence Turbo peut atteindre 4.3 GHz quand, à l’autre bout du spectre, les cœurs à basse consommation peuvent atteindre 700 MHz. La puce tourne entre 15 Watts de TDP avec un mode Turbo de 57 Watts, offre 12 Mo de Smart Cache et embarque un circuit graphique Intel proposant 4 cœurs Xe à 1.85 GHz.
Cela donne une puce solide, capable de la très grande majorité des usages avec un recul confortable de puissance. Il faudra évidemment l’accompagner de suffisamment de mémoire vive pour en tirer toute la puissance. Avec deux slots SODIMM pilotant jusqu’à 96 Go de mémoire vive en DDR5-5600, la minimachine proposera de quoi respirer à de nombreux programmes. Avec 16 à 32 Go de mémoire, cet engin pourra venir à bout de tout type de travaux bureautique, de programmation, de retouche d’image, de modélisation 3D, de montage vidéo et autres travaux musicaux. Le seul bémol sera comme toujours le jeu vidéo, même si les cœurs Xe de la puce Intel se débrouillent fort admirablement sur beaucoup de titres.
En FullHD avec des détails sur des configurations de graphismes allant de moyen à haut, la puce graphique se débrouille très bien pour peu que 16 Go de mémoire soient disponibles 4. Un Fortnite titrera 80 ips en moyenne. Toujours en FullHD, un jeu comme Rocket League tous détails activés, proposera de 70 à 90 ips. Le jeu de course GRID Legends dans les mêmes conditions tournera à 60 ips de manière stable. DOTA 2 en 1080P et détails haut restera au-dessus de 70 ips. Counter Strike 2 frôle les 100 ips. Forza Horizon 5 tournera entre 45 et 50 ips en 1080P et dépassera les 60-65 ips avec certains détails réglés sur bas. Fallout 4 en détails élevés et en FullHD tremble à atteindre les 30 images par seconde en extérieur. Il passe à 60 ips en intérieur. En dégradant certains postes, le jeu arrive à rester sur un 40 ips stable en extérieur. Rise of the Tomb Raider en 1080P et High dépasse toujours les 30 ips même dans les scènes complexes. Même chose pour un Witcher III qui se comporte de manière satisfaisante. GTA V, qui commence à prendre de l’âge, tourne très correctement en 1080P et détails haut avec un framerate au-dessus de 60 ips.
Des titres plus gourmands peuvent devenir jouables mais avec de grosses concessions graphiques. Trop pour que cela ait du sens. Cyberpunk 2077, par exemple, demande une telle dégradation de qualité pour atteindre péniblement 50 ips en 720P que le jeu n’en vaut pas la chandelle. Pour le jeu, il faut prendre le Minisforum M1 Lite pour ce qu’il est, un MiniPC débrouillard sur des titres assez anciens et qui apportera du confort en jeu moyennant quelques concessions. Ce n’est clairement pas sa destination mais il saura remplir ce rôle sans trop de problème à condition de ne pas trop lui en demander. Ce MiniPC pourra lancer des jeux mais n’est pas pensé pour être une machine de jeu, dans cette optique seule, ce serait un mauvais investissement.
Pour la partie stockage, on retrouve simplement deux ports M.2 2280 NVMe PCIe 4.0 assez classiques. De quoi monter facilement un stockage suffisant pour la majorité des usages. L’accès aux composants se fera sous le châssis avec une plaque amovible permettant de découvrir l’ensemble des composants. La carte réseau, également montée en M.2 au format 2230 pourra évoluer même si la solution Wi-Fi6E et Bluetooth 5.2 semble suffisante.
Le refroidissement est double avec un premier module pour dissiper la chaleur des composants secondaires que sont la mémoire et le stockage. Et une ventilation de base pour évacuer la chaleur du processeur. Celle-ci est classique avec un jeu d’ailettes qui vont être traversées par un flux d’air frais aspiré de l’extérieur. La chaleur sera collectée au niveau du processeur par un caloduc qui la transportera vers cette surface d’échange. Le positionnement de la carte mère permet une large prise d’air par les deux côtés de l’engin et un rejet vers l’arrière, au-dessus de sa connectique. Minisforum indique une ventilation 5000 tours que l’on adapte au niveau de puissance désiré. Le BIOS de la machine permettant de pousser le processeur de 15 à 35 W de TDP. Dans ces conditions, l’engin n’atteint pas 45 dB. En mode plus calme et moins performant, il devrait être plus silencieux.
La connectique est sobre mais complète avec sur la face avant un double port USB 3.2 Type-A, un jack audio combo 3.5 mm, un bouton de démarrage avec une LED témoin d’activité et l’accès à un bouton Reset en plus d’un petit micro basique.
Sur la partie arrière, on note deux ports USB 2.0 Type-A, un USB4, deux sorties vidéo en HDMI 2.1 et DisplayPort 1.4 et un Ethernet 2.5 Gigabit sous Intel i226-V. Le tout est alimenté par un boitier externe en 19V au format jack très classique. L’USB4 propose un signal DisplayPort mais également une alimentation en entrée (65W) et en sortie (15W). Au final, le MiniPC pourra piloter trois affichages en UltraHD simultanément.
Le tout entre dans un châssis de 13 cm de large pour 12.6 cm de profondeur et 5.04 cm d’épaisseur et de 600 grammes. La coque n’est pas détaillée et il est difficile de savoir s’il s’agit de plastique ou d’aluminium. Dans le premier cas, la partie extérieure serait montée sur un châssis en acier. Je penche pour une coque plastique avec une seconde peau métallique et le positionnement des antennes Wi-Fi entre les deux. Un support VESA livré avec la machine permettra de le fixer au dois d’un écran ou sur un meuble assez facilement.
Proposé à 329€ en Barebone, le Minisforum M1 Lite n’a de sens que si vous avez un peu de mémoire vive DDR5 et un SSD dans vos placards. L’achat d’un appareil complet apparaît délicat au double du prix. Si vous êtes à la recherche d’un PC classique, cela peut avoir du sens. Le stock des commandes sera expédié d’ici quelques jours de Hong-Kong et transitera d’abord via un entrepôt local de la marque avant d’être distribué dans toute l’Europe.
Euro-Office is a new open-source project supported by several European companies that aims to offer a "truly open, transparent and sovereign solution for collaborate document editing," using OnlyOffice as a starting point. The project is positioned around European digital independence and familiar Office-style editing, though it has already drawn pushback from OnlyOffice over alleged licensing violations. "The company behind OnlyOffice is also based in Russia, and Russia is still heavily sanctioned by most European nations due to the country's ongoing invasion of Ukraine," adds How-To Geek. From the report: Euro-Office is a new open-source project supported by Nextcloud, EuroStack, Wiki, Proton, Soverin, Abilian, and other companies based in Europe. The goal is to build an online office suite that can open and edit standard Microsoft Office documents (DOCX, PPTX, XLSX) and the OpenDocument format (ODS, ODT, ODP) used by LibreOffice and OpenOffice. The current design is remarkably close to Microsoft Office and its tabbed toolbars, so there shouldn't be much of a learning curve for anyone used to Word, Excel, or PowerPoint.
Importantly, Euro-Office is only the document editing component. It's designed to be added to cloud storage services, online wikis, project management tools, and other software. For example, you could have some Word documents in your Nextcloud file storage, and clicking them in a browser could open the Euro-Office editor. That way, Nextcloud (or Proton, or anyone else) doesn't have to build its own document editor from scratch.
Euro-Office is based on OnlyOffice, which is open-source under the AGPL license. The project explained that "Contributing is impossible or greatly discouraged" with OnlyOffice's developers, with outside code changes rarely accepted, so a hard fork was required. The company behind OnlyOffice is also based in Russia, and Russia is still heavily sanctioned by most European nations due to the country's ongoing invasion of Ukraine. The project's home page explains, "A lot of users and customers require software that is not potentially influenced or controlled by the Russian government." As for why OnlyOffice was chosen over LibreOffice, the project simply said: "We believe open source is about collaboration, and we look for opportunities to integrate and collaborate with the LibreOffice community and companies like Collabora."
UPDATE: Slashdot reader Elektroschock shares a statement from OnlyOffice CEO Lev Bannov, expressing his concerns about the Euro-Office inclusion of its software with trademarks removed: "We liked the AGPL v3 license because its 7th clause allows us to ensure that our code retains its original attributes, so that users are able to clearly identify the developers and the brand behind the program..."
Bannov continued: "The core issue here isn't just about what the AGPL license states, but about the additional provisions we, as the authors, have included. This is a critical distinction, even if some may argue otherwise. We firmly assert that the Euro-Office project is currently infringing on our copyright in a deliberate and unacceptable manner."
"As the creators of ONLYOFFICE, we want to make our position unequivocally clear: we do not grant anyone the right to remove our branding or alter our open-source code without proper attribution. This principle is non-negotiable and will never change. We demand that the Euro-Office project either restore our branding and attributions or roll back all forks of our project, refraining from using our code without proper acknowledgment of ONLYOFFICE."
Avoir un papier sur le Comptoir, c’est un privilège. En tout cas, c’est ce que nous avons déduit de l’insistance avec laquelle nous avons été sollicités pour publier l’enquête « Études et statistiques sur l’IA dans l’industrie créative en France [2026] » proposée par Adobe... [Tout lire]
L’interdiction des réseaux sociaux aux moins de 15 ans est débattue ce 31 mars au Sénat. La chambre haute envisage d’intégrer une logique à deux vitesses pour laisser aux mineurs la possibilité d’accéder à certaines plateformes, sous réserve d’obtenir l’autorisation de leurs parents.
Mise à jour du 31 mars à 21h15. Via un communiqué, le Sénat annonce qu’il « vient d’adopter la proposition de loi « Protéger les mineurs des risques des réseaux sociaux » […] dans une version largement conforme au texte proposé par la commission de la culture, de l’éducation, de la communication et du sport ». Le texte a été adopté en première lecture, en procédure accélérée.
Le Sénat considère par contre qu’une « interdiction générale mais imprécise présentait un risque d’inconstitutionnalité et serait largement inopérante ». Il prévoit donc « la publication d’une liste des réseaux sociaux interdits aux mineurs de moins de 15 ans ».
Cela concerne les plateformes susceptibles de nuire à l’« épanouissement physique, mental ou moral » de l’enfant. Par défaut, les réseaux sociaux qui ne figureront pas sur la liste « ne seront accessibles aux mineurs de moins de 15 ans que sous réserve de l’accord parental ».
« Le gouvernement, qui juge cette rédaction incompatible avec le droit européen, va saisir la Commission européenne d’ici la fin de la semaine », explique l’AFP en se basant sur une déclaration de la ministre du Numérique Anne Le Hénanff. Par la suite, le texte passera en commission mixte paritaire.
Article original le 31 mars à 17h58. Adoptée le 27 janvier par l’Assemblée nationale, l’interdiction des réseaux sociaux aux moins de 15 ans est débattue ce 31 mars au Sénat. Voulue par le président de la République, qui espère même une entrée en vigueur pour la rentrée de septembre, certaines modalités du texte suscitent néanmoins des débats.
Deux types de plateformes, deux niveaux d’interdiction
Comme ailleurs dans le monde, le besoin de protéger les mineurs des effets délétères des principales plateformes sociales que sont Instagram, TikTok ou Snapchat n’est pas tellement débattu. En France, cela dit, l’Assemblée nationale votait il y a quelques semaines pour une interdiction de l’accès « à un service de réseau social en ligne fourni par une plateforme en ligne » – définition susceptible de les concerner tous –, sans en faire porter la responsabilité précise sur les plateformes elles-mêmes.
Ces dispositions avaient été prises à la suite d’un avis du Conseil d’État alertant sur les risques d’outrepasser les cadres déjà posés à l’échelle européenne par le règlement européen sur les services numériques.
« Une interdiction générale et indifférenciée est trop large et attentatoire aux libertés publiques », expliquait néanmoins la rapporteure du texte Catherine Morin-Desailly à Public Sénat. Pour la chambre haute, il s’agirait donc d’introduire deux catégories de plateformes : celles trop dangereuses pour « l’épanouissement physique, mental ou moral » des moins de 15 ans, et celles qui restent acceptables, sous réserve de l’autorisation des parents.
Concrètement, les sénateurs doivent donc voter sur la possibilité de créer une liste des services interdits, dont le contenu serait fixé par arrêté ministériel, et un deuxième niveau de services dont l’accès sera directement administré dans les foyers.
Pour le gouvernement, en revanche, cette version « fragilise considérablement le texte », notamment envers le droit européen. Dans une tribune publiée dans Libération, la neurologue Servane Mouton et l’addictologue Amine Benyamina, membres de la commission écrans et enfants, appelaient quant à eux le Sénat à « ne pas vider la proposition de loi de sa substance ».
Multiplication de travaux à travers la planète
En dehors de la France, qui devra aussi, comme nous l’expliquions dans de précédents articles, s’attaquer à tous les enjeux techniques que pose la limitation d’âge (choix des solutions, enjeux de cybersécurité créés par ces surcouches techniques, etc), de nombreux pays s’attellent ces derniers mois à freiner l’accès des plus jeunes aux plateformes sociales.
Au Royaume-Uni, où le gouvernement travaille à un projet de loi susceptible d’interdire l’accès des moins de 16 ans aux réseaux sociaux, le régulateur des médias Ofcom et l’alter ego de la CNIL viennent de demander aux principales sociétés numériques de renforcer leurs protections pour éviter que leurs services ne soient utilisés par des mineurs de moins de 13 ans. Facebook, Instagram, Snapchat, TikTok, YouTube, Roblox et X sont concernés.
Ailleurs en Europe, l’Espagne, la Grèce, la Slovénie ou encore l’Autriche travaillent à des textes sur la question. Comme le relève La Tribune, ces différents chantiers réglementaires illustrent aussi certains de ses aspects arbitraires, à commencer par celui de l’âge choisi comme palier.
Aux États-Unis, par exemple, seule la collecte d’informations personnelles des mineurs de moins de 13 ans est interdite. Au Brésil, ce sont ceux de moins de 16 ans qui voient désormais leur accès limité à ces plateformes, mais la limitation passe par la liaison obligatoire de leur compte à celui d’un tuteur légal. En Indonésie, les comptes de personnes de moins de 16 ans doivent en revanche être désactivés sur les plateformes jugées « à haut risque », parmi lesquelles on trouve TikTok ou Roblox.
Comme en écho à ces velléités grandissantes de prémunir les plus jeunes face aux logiques les plus délétères des réseaux sociaux, Meta a été condamné pour la première fois en justice, ce 25 mars, pour des pratiques commises via sa plateforme. Dans cette affaire d’exploitation sexuelle de mineurs, un jury étatsunien a notamment déclaré la plateforme coupable d’avoir déployé des outils dangereux pour la santé mentale en toute connaissance de cause.
Début mars, 371 chercheuses et chercheurs de 30 pays cosignaient une lettre ouverte (.pdf) s’opposant à la généralisation de la vérification d’âge imposée aux différents services en ligne par de nombreuses législations dans le monde sans que les implications sur la sécurité, la vie privée, l’égalité et la liberté aient été prises en compte. Elle dénombre désormais 438 signataires de 32 pays.
L’interdiction des réseaux sociaux aux moins de 15 ans est débattue ce 31 mars au Sénat. La chambre haute envisage d’intégrer une logique à deux vitesses pour laisser aux mineurs la possibilité d’accéder à certaines plateformes, sous réserve d’obtenir l’autorisation de leurs parents.
Mise à jour du 31 mars à 21h15. Via un communiqué, le Sénat annonce qu’il « vient d’adopter la proposition de loi « Protéger les mineurs des risques des réseaux sociaux » […] dans une version largement conforme au texte proposé par la commission de la culture, de l’éducation, de la communication et du sport ». Le texte a été adopté en première lecture, en procédure accélérée.
Le Sénat considère par contre qu’une « interdiction générale mais imprécise présentait un risque d’inconstitutionnalité et serait largement inopérante ». Il prévoit donc « la publication d’une liste des réseaux sociaux interdits aux mineurs de moins de 15 ans ».
Cela concerne les plateformes susceptibles de nuire à l’« épanouissement physique, mental ou moral » de l’enfant. Par défaut, les réseaux sociaux qui ne figureront pas sur la liste « ne seront accessibles aux mineurs de moins de 15 ans que sous réserve de l’accord parental ».
« Le gouvernement, qui juge cette rédaction incompatible avec le droit européen, va saisir la Commission européenne d’ici la fin de la semaine », explique l’AFP en se basant sur une déclaration de la ministre du Numérique Anne Le Hénanff. Par la suite, le texte passera en commission mixte paritaire.
Article original le 31 mars à 17h58. Adoptée le 27 janvier par l’Assemblée nationale, l’interdiction des réseaux sociaux aux moins de 15 ans est débattue ce 31 mars au Sénat. Voulue par le président de la République, qui espère même une entrée en vigueur pour la rentrée de septembre, certaines modalités du texte suscitent néanmoins des débats.
Deux types de plateformes, deux niveaux d’interdiction
Comme ailleurs dans le monde, le besoin de protéger les mineurs des effets délétères des principales plateformes sociales que sont Instagram, TikTok ou Snapchat n’est pas tellement débattu. En France, cela dit, l’Assemblée nationale votait il y a quelques semaines pour une interdiction de l’accès « à un service de réseau social en ligne fourni par une plateforme en ligne » – définition susceptible de les concerner tous –, sans en faire porter la responsabilité précise sur les plateformes elles-mêmes.
Ces dispositions avaient été prises à la suite d’un avis du Conseil d’État alertant sur les risques d’outrepasser les cadres déjà posés à l’échelle européenne par le règlement européen sur les services numériques.
« Une interdiction générale et indifférenciée est trop large et attentatoire aux libertés publiques », expliquait néanmoins la rapporteure du texte Catherine Morin-Desailly à Public Sénat. Pour la chambre haute, il s’agirait donc d’introduire deux catégories de plateformes : celles trop dangereuses pour « l’épanouissement physique, mental ou moral » des moins de 15 ans, et celles qui restent acceptables, sous réserve de l’autorisation des parents.
Concrètement, les sénateurs doivent donc voter sur la possibilité de créer une liste des services interdits, dont le contenu serait fixé par arrêté ministériel, et un deuxième niveau de services dont l’accès sera directement administré dans les foyers.
Pour le gouvernement, en revanche, cette version « fragilise considérablement le texte », notamment envers le droit européen. Dans une tribune publiée dans Libération, la neurologue Servane Mouton et l’addictologue Amine Benyamina, membres de la commission écrans et enfants, appelaient quant à eux le Sénat à « ne pas vider la proposition de loi de sa substance ».
Multiplication de travaux à travers la planète
En dehors de la France, qui devra aussi, comme nous l’expliquions dans de précédents articles, s’attaquer à tous les enjeux techniques que pose la limitation d’âge (choix des solutions, enjeux de cybersécurité créés par ces surcouches techniques, etc), de nombreux pays s’attellent ces derniers mois à freiner l’accès des plus jeunes aux plateformes sociales.
Au Royaume-Uni, où le gouvernement travaille à un projet de loi susceptible d’interdire l’accès des moins de 16 ans aux réseaux sociaux, le régulateur des médias Ofcom et l’alter ego de la CNIL viennent de demander aux principales sociétés numériques de renforcer leurs protections pour éviter que leurs services ne soient utilisés par des mineurs de moins de 13 ans. Facebook, Instagram, Snapchat, TikTok, YouTube, Roblox et X sont concernés.
Ailleurs en Europe, l’Espagne, la Grèce, la Slovénie ou encore l’Autriche travaillent à des textes sur la question. Comme le relève La Tribune, ces différents chantiers réglementaires illustrent aussi certains de ses aspects arbitraires, à commencer par celui de l’âge choisi comme palier.
Aux États-Unis, par exemple, seule la collecte d’informations personnelles des mineurs de moins de 13 ans est interdite. Au Brésil, ce sont ceux de moins de 16 ans qui voient désormais leur accès limité à ces plateformes, mais la limitation passe par la liaison obligatoire de leur compte à celui d’un tuteur légal. En Indonésie, les comptes de personnes de moins de 16 ans doivent en revanche être désactivés sur les plateformes jugées « à haut risque », parmi lesquelles on trouve TikTok ou Roblox.
Comme en écho à ces velléités grandissantes de prémunir les plus jeunes face aux logiques les plus délétères des réseaux sociaux, Meta a été condamné pour la première fois en justice, ce 25 mars, pour des pratiques commises via sa plateforme. Dans cette affaire d’exploitation sexuelle de mineurs, un jury étatsunien a notamment déclaré la plateforme coupable d’avoir déployé des outils dangereux pour la santé mentale en toute connaissance de cause.
Début mars, 371 chercheuses et chercheurs de 30 pays cosignaient une lettre ouverte (.pdf) s’opposant à la généralisation de la vérification d’âge imposée aux différents services en ligne par de nombreuses législations dans le monde sans que les implications sur la sécurité, la vie privée, l’égalité et la liberté aient été prises en compte. Elle dénombre désormais 438 signataires de 32 pays.
Proton a annoncé coup sur coup mardi le lancement d’une solution de visioconférence, Proton Meet, et la réunion de ses différents services destinés aux professionnels sous une nouvelle marque ombrelle, Proton Workspace. Celle-ci est bien sûr présentée comme une alternative européenne aux ténors du secteur que sont Office 365 ou Google Workspace.
Le suisse Proton avance ses pions sur le terrain très médiatisé de la « souveraineté » avec l’annonce d’une nouvelle offre commerciale baptisée Proton Workspace. Celle-ci prend la forme d’un abonnement unique, pour accéder aux principales composantes de l’offre de service développée par l’entreprise.
Proton Workspace, à partir de 12,99 euros par mois
« Récemment, la demande pour les solutions professionnelles de Proton a explosé et les entreprises sont passées de l’utilisation de services individuels à l’adoption de notre écosystème complet et en constante expansion. C’est pourquoi nous lançons aujourd’hui Proton Workspace : une suite entièrement intégrée qui regroupe tous les services de Proton axés sur la protection de la vie privée au sein d’une offre unique », résume Andy Yen, CEO de l’entreprise.
Autrement dit, les différentes briques Proton restent disponibles à la carte, mais l’hébergeur les package pour simplifier la lecture de son offre. La formule Workspace Standard réunit ainsi Proton Mail, l’activité de messagerie historique, l’Agenda, le Drive, les outils Docs et Sheets, le VPN, le gestionnaire de mots de passe, et la nouvelle solution de visioconférence Meet (voir plus bas).
L’abonnement est affiché à 14,99 euros par mois sans engagement, et passe à 12,99 euros par mois en facturation annuelle. Il donne droit à 1 To d’espace de stockage et 15 domaines de messagerie personnalisés.
Proton affiche désormais trois abonnements principaux, Mail et les deux formules Workspace – capture d’écran Next
Proton ajoute une formule Workspace Premium à 24,99 euros par mois sans engagement, ou 19,99 euros par mois en facturation annuelle, avec cette fois 3 To de stockage, 20 domaines de messagerie personnalisés, mais aussi l’accès à l’IA générative Lumo lancée en juillet 2025, ainsi qu’à l’assistant d’écriture Proton Scribe.
Notons que ces tarifs s’entendent hors taxes, 20 % de TVA s’ajoutent donc sur la facture.
Outre le caractère européen de son offre, protégée de la portée extraterritoriale des lois états-uniennes (également valable pour des acteurs déjà installés comme Infomaniak), Proton revendique également une sécurité de haut niveau grâce à un code open source auditable et un chiffrement bout-en-bout par défaut. L’entreprise se dit enfin particulièrement compétitive.
« Bien que Proton Workspace inclue des outils de cybersécurité supplémentaires très utiles, il est moins cher que les offres comparables des grands acteurs du secteur et bien plus avantageux que l’achat de chaque service individuellement. Chez Proton, nous privilégions l’humain au profit, c’est pourquoi nous n’augmentons pas nos tarifs chaque année. Depuis plus de dix ans, nous n’avons jamais augmenté nos prix pour nos clients existants », vante l’entreprise.
La comparaison directe n’est toutefois pas aussi évidente que le prétend Proton, dans la mesure où les offres Microsoft 365 et Google Workspace recouvrent des périmètres et des capacités différents. L’argument final sonnera toutefois de façon positive aux oreilles des clients Microsoft 365 confrontés aux hausses de prix programmées par l’éditeur.
Proton Meet met le cap sur la visio
Proton lance également à cette occasion son service de visio, baptisé Proton Meet, et présenté, lui aussi, comme un rempart face aux risques en matière de non-respect de la vie privée.
« De nombreux services de visioconférence sont motivés par des modèles publicitaires ou par la course à l’IA visant à enregistrer, transcrire et stocker un maximum de données de réunion. Ces géants de la tech peuvent désormais déployer à moindre coût une IA générative pour analyser et tirer des enseignements de tout ce qui est dit et présenté lors de nos réunions », affirme Dingchao Lu, directeur de l’ingénierie chez Proton.
L’entreprise s’affranchirait de ces dérives, réelles ou supposées, grâce à un chiffrement de bout en bout basé sur le protocole Messaging Layer Security (également mis en œuvre dans RCS). Elle affirme également pouvoir garantir l’obfuscation de l’adresse IP des utilisateurs sans recourir à un réseau de type P2P ou oignon. Pour ce faire, Proton évoque une implémentation de WebRTC permettant d’exploiter un réseau de points de présence dans le monde entier, jouant donc le rôle de relais dans les échanges.
Proton Meet propose un chiffrement bout-en-bout via MLS – crédit Proton
D’un point de vue fonctionnel, Proton Meet permet aux particuliers de créer une visio gratuitement avec une limite d’utilisation fixée à une heure, sans qu’il soit nécessaire de disposer d’un compte Proton ou de renseigner un e-mail.
Pour des visios plus longues, ou des quotas rehaussés en matière de participants, il faudra en revanche se tourner soit vers les abonnements Workspace, soit souscrire un abonnement Meet Professional, affiché à 7,99 euros par utilisateur et par mois.
L’anonymat de Proton n’est pas au-dessus des lois suisses
Début mars, les promesses d’anonymat et de protection de la vie privée formulées par Proton ont été mises en balance d’une actualité récente. Le site 404 Media a en effet rapporté que Proton Mail avait donné suite aux demandes d’identification d’un utilisateur de Proton Mail formulées par les autorités suisses, sur demande préalable du FBI.
L’information avait été reprise dans la foulée par la fondation pour la liberté de la presse, dans un billet d’alerte affirmant qu’en dépit de son marketing et de ses qualités intrinsèques, dont le recours à PGP, Proton Mail ne devait pas être considéré comme une solution garantissant l’anonymat des utilisateurs. L’entreprise avait ensuite récusé toute soumission aux demandes des États-Unis, mais précisé devoir se conformer au droit suisse.
« Proton ne fournit que les informations limitées dont nous disposons lorsque nous recevons une ordonnance juridiquement contraignante des autorités suisses, ce qui ne peut se produire qu’après que toutes les vérifications juridiques suisses ont été effectuées. Il s’agit d’une distinction importante, car Proton œuvre exclusivement sous le droit suisse », a déclaré un porte-parole au quotidien Le Temps.
Proton a annoncé coup sur coup mardi le lancement d’une solution de visioconférence, Proton Meet, et la réunion de ses différents services destinés aux professionnels sous une nouvelle marque ombrelle, Proton Workspace. Celle-ci est bien sûr présentée comme une alternative européenne aux ténors du secteur que sont Office 365 ou Google Workspace.
Le suisse Proton avance ses pions sur le terrain très médiatisé de la « souveraineté » avec l’annonce d’une nouvelle offre commerciale baptisée Proton Workspace. Celle-ci prend la forme d’un abonnement unique, pour accéder aux principales composantes de l’offre de service développée par l’entreprise.
Proton Workspace, à partir de 12,99 euros par mois
« Récemment, la demande pour les solutions professionnelles de Proton a explosé et les entreprises sont passées de l’utilisation de services individuels à l’adoption de notre écosystème complet et en constante expansion. C’est pourquoi nous lançons aujourd’hui Proton Workspace : une suite entièrement intégrée qui regroupe tous les services de Proton axés sur la protection de la vie privée au sein d’une offre unique », résume Andy Yen, CEO de l’entreprise.
Autrement dit, les différentes briques Proton restent disponibles à la carte, mais l’hébergeur les package pour simplifier la lecture de son offre. La formule Workspace Standard réunit ainsi Proton Mail, l’activité de messagerie historique, l’Agenda, le Drive, les outils Docs et Sheets, le VPN, le gestionnaire de mots de passe, et la nouvelle solution de visioconférence Meet (voir plus bas).
L’abonnement est affiché à 14,99 euros par mois sans engagement, et passe à 12,99 euros par mois en facturation annuelle. Il donne droit à 1 To d’espace de stockage et 15 domaines de messagerie personnalisés.
Proton affiche désormais trois abonnements principaux, Mail et les deux formules Workspace – capture d’écran Next
Proton ajoute une formule Workspace Premium à 24,99 euros par mois sans engagement, ou 19,99 euros par mois en facturation annuelle, avec cette fois 3 To de stockage, 20 domaines de messagerie personnalisés, mais aussi l’accès à l’IA générative Lumo lancée en juillet 2025, ainsi qu’à l’assistant d’écriture Proton Scribe.
Notons que ces tarifs s’entendent hors taxes, 20 % de TVA s’ajoutent donc sur la facture.
Outre le caractère européen de son offre, protégée de la portée extraterritoriale des lois états-uniennes (également valable pour des acteurs déjà installés comme Infomaniak), Proton revendique également une sécurité de haut niveau grâce à un code open source auditable et un chiffrement bout-en-bout par défaut. L’entreprise se dit enfin particulièrement compétitive.
« Bien que Proton Workspace inclue des outils de cybersécurité supplémentaires très utiles, il est moins cher que les offres comparables des grands acteurs du secteur et bien plus avantageux que l’achat de chaque service individuellement. Chez Proton, nous privilégions l’humain au profit, c’est pourquoi nous n’augmentons pas nos tarifs chaque année. Depuis plus de dix ans, nous n’avons jamais augmenté nos prix pour nos clients existants », vante l’entreprise.
La comparaison directe n’est toutefois pas aussi évidente que le prétend Proton, dans la mesure où les offres Microsoft 365 et Google Workspace recouvrent des périmètres et des capacités différents. L’argument final sonnera toutefois de façon positive aux oreilles des clients Microsoft 365 confrontés aux hausses de prix programmées par l’éditeur.
Proton Meet met le cap sur la visio
Proton lance également à cette occasion son service de visio, baptisé Proton Meet, et présenté, lui aussi, comme un rempart face aux risques en matière de non-respect de la vie privée.
« De nombreux services de visioconférence sont motivés par des modèles publicitaires ou par la course à l’IA visant à enregistrer, transcrire et stocker un maximum de données de réunion. Ces géants de la tech peuvent désormais déployer à moindre coût une IA générative pour analyser et tirer des enseignements de tout ce qui est dit et présenté lors de nos réunions », affirme Dingchao Lu, directeur de l’ingénierie chez Proton.
L’entreprise s’affranchirait de ces dérives, réelles ou supposées, grâce à un chiffrement de bout en bout basé sur le protocole Messaging Layer Security (également mis en œuvre dans RCS). Elle affirme également pouvoir garantir l’obfuscation de l’adresse IP des utilisateurs sans recourir à un réseau de type P2P ou oignon. Pour ce faire, Proton évoque une implémentation de WebRTC permettant d’exploiter un réseau de points de présence dans le monde entier, jouant donc le rôle de relais dans les échanges.
Proton Meet propose un chiffrement bout-en-bout via MLS – crédit Proton
D’un point de vue fonctionnel, Proton Meet permet aux particuliers de créer une visio gratuitement avec une limite d’utilisation fixée à une heure, sans qu’il soit nécessaire de disposer d’un compte Proton ou de renseigner un e-mail.
Pour des visios plus longues, ou des quotas rehaussés en matière de participants, il faudra en revanche se tourner soit vers les abonnements Workspace, soit souscrire un abonnement Meet Professional, affiché à 7,99 euros par utilisateur et par mois.
L’anonymat de Proton n’est pas au-dessus des lois suisses
Début mars, les promesses d’anonymat et de protection de la vie privée formulées par Proton ont été mises en balance d’une actualité récente. Le site 404 Media a en effet rapporté que Proton Mail avait donné suite aux demandes d’identification d’un utilisateur de Proton Mail formulées par les autorités suisses, sur demande préalable du FBI.
L’information avait été reprise dans la foulée par la fondation pour la liberté de la presse, dans un billet d’alerte affirmant qu’en dépit de son marketing et de ses qualités intrinsèques, dont le recours à PGP, Proton Mail ne devait pas être considéré comme une solution garantissant l’anonymat des utilisateurs. L’entreprise avait ensuite récusé toute soumission aux demandes des États-Unis, mais précisé devoir se conformer au droit suisse.
« Proton ne fournit que les informations limitées dont nous disposons lorsque nous recevons une ordonnance juridiquement contraignante des autorités suisses, ce qui ne peut se produire qu’après que toutes les vérifications juridiques suisses ont été effectuées. Il s’agit d’une distinction importante, car Proton œuvre exclusivement sous le droit suisse », a déclaré un porte-parole au quotidien Le Temps.
Une nouvelle attaque sur la supply chain, avec un projet (Axios) téléchargé plus de 100 millions de fois par semaine. Le pirate avait bien préparé son coup avec un effacement automatique des traces et des attaques prêtes pour Windows, macOS et Linux afin de récupérer des secrets et autres données sensibles sur les machines infectées.
Axios est, selon sa propre définition, un client HTTP qui « propose une bibliothèquefacile à utiliser et à étendre, le tout dans un tout petit package ». L’installation est des plus simple, avec npm install axios par exemple.
« Aucune ligne de code malveillant à l’intérieur même » d’Axios
La bibliothèque JavaScript est extrêmement populaire, avec plus de 100 000 étoiles et 11 000 forks sur GitHub, et on la retrouve dans de nombreux projets. Axios est téléchargé plus de 100 millions de fois par semaine sur npm.
Problème, le compte d’un des développeurs a été piraté et des versions vérolées d’Axios ont été mises en ligne, les 1.14.1 et 0.30.4 pour être précis, comme l’explique sur X Feross Aboukhadijeh, CEO et fondateur de la plateforme de cybersécurité Socket.dev.
Un billet de blog a aussi été publié, expliquant que cette attaque permet au pirate « d’exécuter des commandes arbitraires, d’exfiltrer les données système et de persister sur les machines infectées ». Le danger est donc bien réel, avec des conséquences potentiellement graves.
StepSecurity, une autre société de cybersécurité, détaille le fonctionnement de l’attaque : « Il n’y a aucune ligne de code malveillant à l’intérieur même de la bibliothèque Axios, et c’est précisément ce qui rend cette attaque si dangereuse. Les deux versions empoisonnées injectent une fausse dépendance, plain-crypto-js version 4.2.1, un paquet qui n’est jamais importé dans le code source Axios, dont le seul but est d’exécuter un script post-installation qui déploie un cheval de Troie d’accès à distance [ou RAT, ndlr] multiplateforme ».
L’attaquant s’était bien préparé avec des charges utiles pour Windows, macOS et Linux, adaptées à chaque système pour être la plus discrète possible.
Plain-crypto-js 4.2.1 et c’est le drame
Pire encore, une fois installé, le logiciel malveillant fait tout pour supprimer ses traces. Il modifie sa version pour passer en plain-crypto-js 4.2.0 (publiée juste avant la 4.2.1 par le pirate, mais sans charge malveillante pour s’acheter une bonne conduite). Ainsi, un simple npm list après une infection indiquera plain-crypto-js 4.2.0 alors que la 4.2.1 vérolée a été en place et a déjà propagé sa charge malveillante dans le système.
Plain-crypto-js 4.2.0 est une copie de la bibliothèque crypto-js 4.2.0 (15 millions de téléchargements par semaine sur npm), un projet qui existe vraiment et tout ce qu’il y a de plus légitime. 18 heures après la mise en ligne de la version 4.2.0 de plain-crypto-js, la version 4.2.1 est mise à jour avec la charge malveillante. Avec cette « astuce », plain-crypto-js n’est plus un « nouveau » paquet sorti de nulle part, il a déjà un historique… certes fabriqué de toutes pièces pour paraitre légitime, mais un historique quand même.
La seule trace de son passage semble être la présence d’un répertoire node_modules/plain-crypto-js (une dépendance qui n’a jamais été ajoutée, officiellement, à Axios). Avec la commande find ~ -path "*/node_modules/plain-crypto-js" 2 >/dev/null vous pouvez faire une recherche automatique. Le serveur de commande et contrôle (C2) utilisé par les pirates est sfrclak[.]com:8000.
Un seul compte piraté et Axios embarque une charge malveillante
Pour arriver à leur fin, les attaquants ont piraté le compte du principal mainteneur du projet, Jason Saayman, et son adresse e-mail a été modifiée. Ils ont ajouté la dépendance vérolée à Axios, qui est passé en 1.14.1 pour l’occasion. 39 minutes plus tard, c’était au tour de la version 0.30.4 d’être mise en ligne avec la même modification, histoire de maximiser la surface d’attaque en ciblant deux branches.
Les deux versions sont publiées sur npm directement avec le compte « officiel » (mais piraté) de Jason Saayman. Elles sont donc validées via un token npm classique, sans avoir à passer par la vérification GitHub. Les deux ne sont d’ailleurs pas apparues sur la plateforme de code de Microsoft.
La charge est restée moins de 3 h en ligne
npm a rapidement retiré les deux versions pour revenir aux précédentes (1.14.0 et 0.30.3). La mouture 1.14.1 « était en ligne depuis environ 2 heures et 53 minutes, la 0.30.4 depuis environ 2 heures et 15 minutes », explique StepSecurity. Plain-crypto-js a également été supprimé. Sur npm, il est désormais indiqué que « ce paquet contenait un code malveillant et a été retiré du registre par l’équipe de sécurité de npm ». La page indique 108 téléchargements pour plain-crypto-js.
Socket.dev a trouvé la trace de plain-crypto-js dans les dépendances de deux autres projets : shadanai/openclaw et qqbrowser/openclaw-qbot. Socket.dev précise qu’il « est probable que ces deux paquets ont été ajoutés et publiés alors qu’Axios 1.14.1 était la version « latest », récupérant la dépendance malveillante de manière transitive plutôt que via une injection délibérée ».
« Une seule dépendance compromise peut se propager en cascade »
Autre conséquence, pour l’entreprise : « Cela rappelle que, à mesure que les outils d’IA et les pipelines de build automatisés accélèrent le rythme de publication des paquets, une seule dépendance compromise peut se propager en cascade à travers l’écosystème en quelques heures ».
Pensez à vérifier ce qu’il en est sur vos machines ! Avec l’IA générative et la génération automatique de code, vous pouvez très bien vous retrouver avec Axios installé sans même le soupçonner. Bien évidemment, il en est de même pour ceux qui utilisent Axios de manière consciente.
Pour Amit Geynis, responsable Malware Research chez JFrog (société spécialisée dans la gestion de la supply chain), « la compromission d’Axios rappelle que les attaques complexes et multi-plateformes de la chaîne d’approvisionnement se multiplient. La menace est à la fois réelle et systémique : l’installation d’un package s’accompagne de l’intégration de nombreuses dépendances associées, que vous ne contrôlez pas mais auxquelles vous devez pourtant accorder votre confiance ».
Cette histoire n’est pas sans rappeler la récente attaque contre Trivy puis LiteLLM, mais sans avoir de lien a priori selon plusieurs experts. Ces attaques rappellent une fois de plus (s’il en était besoin) le risque de la supply chain : les pirates n’attaquent pas directement des infrastructures mais vérolent des briques (open source) pour pénétrer des systèmes, récupérer des secrets et mots de passe, installer des logiciels, etc.
Une nouvelle attaque sur la supply chain, avec un projet (Axios) téléchargé plus de 100 millions de fois par semaine. Le pirate avait bien préparé son coup avec un effacement automatique des traces et des attaques prêtes pour Windows, macOS et Linux afin de récupérer des secrets et autres données sensibles sur les machines infectées.
Axios est, selon sa propre définition, un client HTTP qui « propose une bibliothèquefacile à utiliser et à étendre, le tout dans un tout petit package ». L’installation est des plus simple, avec npm install axios par exemple.
« Aucune ligne de code malveillant à l’intérieur même » d’Axios
La bibliothèque JavaScript est extrêmement populaire, avec plus de 100 000 étoiles et 11 000 forks sur GitHub, et on la retrouve dans de nombreux projets. Axios est téléchargé plus de 100 millions de fois par semaine sur npm.
Problème, le compte d’un des développeurs a été piraté et des versions vérolées d’Axios ont été mises en ligne, les 1.14.1 et 0.30.4 pour être précis, comme l’explique sur X Feross Aboukhadijeh, CEO et fondateur de la plateforme de cybersécurité Socket.dev.
Un billet de blog a aussi été publié, expliquant que cette attaque permet au pirate « d’exécuter des commandes arbitraires, d’exfiltrer les données système et de persister sur les machines infectées ». Le danger est donc bien réel, avec des conséquences potentiellement graves.
StepSecurity, une autre société de cybersécurité, détaille le fonctionnement de l’attaque : « Il n’y a aucune ligne de code malveillant à l’intérieur même de la bibliothèque Axios, et c’est précisément ce qui rend cette attaque si dangereuse. Les deux versions empoisonnées injectent une fausse dépendance, plain-crypto-js version 4.2.1, un paquet qui n’est jamais importé dans le code source Axios, dont le seul but est d’exécuter un script post-installation qui déploie un cheval de Troie d’accès à distance [ou RAT, ndlr] multiplateforme ».
L’attaquant s’était bien préparé avec des charges utiles pour Windows, macOS et Linux, adaptées à chaque système pour être la plus discrète possible.
Plain-crypto-js 4.2.1 et c’est le drame
Pire encore, une fois installé, le logiciel malveillant fait tout pour supprimer ses traces. Il modifie sa version pour passer en plain-crypto-js 4.2.0 (publiée juste avant la 4.2.1 par le pirate, mais sans charge malveillante pour s’acheter une bonne conduite). Ainsi, un simple npm list après une infection indiquera plain-crypto-js 4.2.0 alors que la 4.2.1 vérolée a été en place et a déjà propagé sa charge malveillante dans le système.
Plain-crypto-js 4.2.0 est une copie de la bibliothèque crypto-js 4.2.0 (15 millions de téléchargements par semaine sur npm), un projet qui existe vraiment et tout ce qu’il y a de plus légitime. 18 heures après la mise en ligne de la version 4.2.0 de plain-crypto-js, la version 4.2.1 est mise à jour avec la charge malveillante. Avec cette « astuce », plain-crypto-js n’est plus un « nouveau » paquet sorti de nulle part, il a déjà un historique… certes fabriqué de toutes pièces pour paraitre légitime, mais un historique quand même.
La seule trace de son passage semble être la présence d’un répertoire node_modules/plain-crypto-js (une dépendance qui n’a jamais été ajoutée, officiellement, à Axios). Avec la commande find ~ -path "*/node_modules/plain-crypto-js" 2 >/dev/null vous pouvez faire une recherche automatique. Le serveur de commande et contrôle (C2) utilisé par les pirates est sfrclak[.]com:8000.
Un seul compte piraté et Axios embarque une charge malveillante
Pour arriver à leur fin, les attaquants ont piraté le compte du principal mainteneur du projet, Jason Saayman, et son adresse e-mail a été modifiée. Ils ont ajouté la dépendance vérolée à Axios, qui est passé en 1.14.1 pour l’occasion. 39 minutes plus tard, c’était au tour de la version 0.30.4 d’être mise en ligne avec la même modification, histoire de maximiser la surface d’attaque en ciblant deux branches.
Les deux versions sont publiées sur npm directement avec le compte « officiel » (mais piraté) de Jason Saayman. Elles sont donc validées via un token npm classique, sans avoir à passer par la vérification GitHub. Les deux ne sont d’ailleurs pas apparues sur la plateforme de code de Microsoft.
La charge est restée moins de 3 h en ligne
npm a rapidement retiré les deux versions pour revenir aux précédentes (1.14.0 et 0.30.3). La mouture 1.14.1 « était en ligne depuis environ 2 heures et 53 minutes, la 0.30.4 depuis environ 2 heures et 15 minutes », explique StepSecurity. Plain-crypto-js a également été supprimé. Sur npm, il est désormais indiqué que « ce paquet contenait un code malveillant et a été retiré du registre par l’équipe de sécurité de npm ». La page indique 108 téléchargements pour plain-crypto-js.
Socket.dev a trouvé la trace de plain-crypto-js dans les dépendances de deux autres projets : shadanai/openclaw et qqbrowser/openclaw-qbot. Socket.dev précise qu’il « est probable que ces deux paquets ont été ajoutés et publiés alors qu’Axios 1.14.1 était la version « latest », récupérant la dépendance malveillante de manière transitive plutôt que via une injection délibérée ».
« Une seule dépendance compromise peut se propager en cascade »
Autre conséquence, pour l’entreprise : « Cela rappelle que, à mesure que les outils d’IA et les pipelines de build automatisés accélèrent le rythme de publication des paquets, une seule dépendance compromise peut se propager en cascade à travers l’écosystème en quelques heures ».
Pensez à vérifier ce qu’il en est sur vos machines ! Avec l’IA générative et la génération automatique de code, vous pouvez très bien vous retrouver avec Axios installé sans même le soupçonner. Bien évidemment, il en est de même pour ceux qui utilisent Axios de manière consciente.
Pour Amit Geynis, responsable Malware Research chez JFrog (société spécialisée dans la gestion de la supply chain), « la compromission d’Axios rappelle que les attaques complexes et multi-plateformes de la chaîne d’approvisionnement se multiplient. La menace est à la fois réelle et systémique : l’installation d’un package s’accompagne de l’intégration de nombreuses dépendances associées, que vous ne contrôlez pas mais auxquelles vous devez pourtant accorder votre confiance ».
Cette histoire n’est pas sans rappeler la récente attaque contre Trivy puis LiteLLM, mais sans avoir de lien a priori selon plusieurs experts. Ces attaques rappellent une fois de plus (s’il en était besoin) le risque de la supply chain : les pirates n’attaquent pas directement des infrastructures mais vérolent des briques (open source) pour pénétrer des systèmes, récupérer des secrets et mots de passe, installer des logiciels, etc.
Connexion
