Qui n’a pas son arsenal IA pour la cybersécurité ? Après Anthropic et Mythos, après OpenAI et Daybreak, Microsoft a dévoilé sa solution. Et Mistral, le petit Poucet français, planche également sur un modèle capable de détecter les failles à grande échelle.

Mistral AI travaille au déploiement d’un modèle IA auprès de banques européennes pour détecter les failles de sécurité dans le code de leurs infrastructures informatiques, selon une indiscrétion de Bloomberg. Impossible de dire quand ce modèle sera lancé à l’assaut des vulnérabilités, ni depuis quand ces discussions ont débuté avec les établissements.

« Imagine-t-on les bases de données de l’armée française scannées par Mythos ? »

Mais ce qui est certain, c’est que Mistral n’a pas attendu la présentation de Mythos début avril pour s’atteler à cette problématique de la cybersécurité. La startup travaillait déjà avec ses clients du secteur bancaire pour découvrir des vulnérabilités dans le code de leurs logiciels avant les premiers pas du modèle d’Anthropic, selon nos confrères. Désormais, il s’agit de développer une version « clé en main » pour un déploiement plus large.

« On a un de nos concurrents qui sait très bien faire du marketing de la peur », a témoigné (sans citer le nom d’Anthropic) Arthur Mensch, le directeur général de Mistral, devant la commission d’enquête sur les vulnérabilités numériques à l’Assemblée nationale cette semaine. « On travaille avec nos clients pour les aider sur ces sujets cyber », ajoute-t-il. Pour lui, il s’agit d’un sujet régalien « et un argument supplémentaire pour dire qu’il faut avoir un contrôle sur cette technologie » :

« Vous ne pouvez pas avoir les bases de données et le code de l’armée française scannés par Mythos. Ça crée une dépendance tellement irrémédiable qu’il faut absolument trouver des solutions. »

Il aurait pu ajouter : des solutions souveraines, car c’est bien sûr ce que l’on comprend en creux. Mythos n’est actuellement disponible que dans un format d’aperçu et distribué au compte-gouttes auprès d’organisations et d’entreprises majoritairement américaines. Et l’Europe n’a toujours pas reçu sa carte du club.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

Une armée d’agents de cybersécurité chez Microsoft

Après Mythos et l’initiative Daybreak d’OpenAI, et avant celle de Mistral, Microsoft a levé le voile sur son nouveau système de sécurité agentique multi-modèles. L’éditeur ne se contente pas d’un seul modèle : plusieurs sont à l’œuvre et ils sont secondés par une armée de plus de cent agents spécialisés à l’assaut du code.

MDASH, pour « Microsoft Security multi-model agentic scanning harness », a déjà mis la main sur 16 vulnérabilités dans la pile d’authentification et l’infra réseau de Windows, dont 4 failles critiques permettant d’exécuter du code à distance. « L’implication stratégique est claire : la découverte de vulnérabilités par IA est passée du stade de curiosité de laboratoire à celui d’outil de défense déployable à grande échelle en entreprise », explique l’éditeur, qui vante « l’avantage durable » de son système agentique.

Le système repose sur trois éléments : un ensemble de modèles IA complémentaires pilotés par MDASH, dont plusieurs modèles spécialisés qui se confrontent pour repérer les vulnérabilités ; la centaine d’agents dédiés à des tâches spécifiques (détection, vérification, exploitation potentielle d’un bug) ; et enfin une chaîne d’analyse qu’il est possible d’étendre avec des plugins.

Sur le benchmark CyberGym, qui regroupe plus de 1 500 tâches reproduisant des vulnérabilités réelles issues de projets open source, MDASH atteint un taux de réussite de 88,45 %. C’est le meilleur score publié à ce jour, et environ 5 points de plus que Claude Mythos Preview, et 6 de plus que GPT-5.5, ses concurrents les plus proches.

Microsoft souligne que ce résultat a été obtenu avec des modèles IA déjà disponibles publiquement, ce qui laisse entendre que les performances viennent surtout de l’orchestration « agentique » autour des modèles plutôt que des modèles eux-mêmes.

Les agents MDASH sont utilisés par les équipes d’ingénierie sécurité de Microsoft, et testés par un groupe de clients dans le cadre d’un aperçu privé. Il est possible de demander un accès à l’aperçu.

Qui n’a pas son arsenal IA pour la cybersécurité ? Après Anthropic et Mythos, après OpenAI et Daybreak, Microsoft a dévoilé sa solution. Et Mistral, le petit Poucet français, planche également sur un modèle capable de détecter les failles à grande échelle.

Mistral AI travaille au déploiement d’un modèle IA auprès de banques européennes pour détecter les failles de sécurité dans le code de leurs infrastructures informatiques, selon une indiscrétion de Bloomberg. Impossible de dire quand ce modèle sera lancé à l’assaut des vulnérabilités, ni depuis quand ces discussions ont débuté avec les établissements.

« Imagine-t-on les bases de données de l’armée française scannées par Mythos ? »

Mais ce qui est certain, c’est que Mistral n’a pas attendu la présentation de Mythos début avril pour s’atteler à cette problématique de la cybersécurité. La startup travaillait déjà avec ses clients du secteur bancaire pour découvrir des vulnérabilités dans le code de leurs logiciels avant les premiers pas du modèle d’Anthropic, selon nos confrères. Désormais, il s’agit de développer une version « clé en main » pour un déploiement plus large.

« On a un de nos concurrents qui sait très bien faire du marketing de la peur », a témoigné (sans citer le nom d’Anthropic) Arthur Mensch, le directeur général de Mistral, devant la commission d’enquête sur les vulnérabilités numériques à l’Assemblée nationale cette semaine. « On travaille avec nos clients pour les aider sur ces sujets cyber », ajoute-t-il. Pour lui, il s’agit d’un sujet régalien « et un argument supplémentaire pour dire qu’il faut avoir un contrôle sur cette technologie » :

« Vous ne pouvez pas avoir les bases de données et le code de l’armée française scannés par Mythos. Ça crée une dépendance tellement irrémédiable qu’il faut absolument trouver des solutions. »

Il aurait pu ajouter : des solutions souveraines, car c’est bien sûr ce que l’on comprend en creux. Mythos n’est actuellement disponible que dans un format d’aperçu et distribué au compte-gouttes auprès d’organisations et d’entreprises majoritairement américaines. Et l’Europe n’a toujours pas reçu sa carte du club.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

Une armée d’agents de cybersécurité chez Microsoft

Après Mythos et l’initiative Daybreak d’OpenAI, et avant celle de Mistral, Microsoft a levé le voile sur son nouveau système de sécurité agentique multi-modèles. L’éditeur ne se contente pas d’un seul modèle : plusieurs sont à l’œuvre et ils sont secondés par une armée de plus de cent agents spécialisés à l’assaut du code.

MDASH, pour « Microsoft Security multi-model agentic scanning harness », a déjà mis la main sur 16 vulnérabilités dans la pile d’authentification et l’infra réseau de Windows, dont 4 failles critiques permettant d’exécuter du code à distance. « L’implication stratégique est claire : la découverte de vulnérabilités par IA est passée du stade de curiosité de laboratoire à celui d’outil de défense déployable à grande échelle en entreprise », explique l’éditeur, qui vante « l’avantage durable » de son système agentique.

Le système repose sur trois éléments : un ensemble de modèles IA complémentaires pilotés par MDASH, dont plusieurs modèles spécialisés qui se confrontent pour repérer les vulnérabilités ; la centaine d’agents dédiés à des tâches spécifiques (détection, vérification, exploitation potentielle d’un bug) ; et enfin une chaîne d’analyse qu’il est possible d’étendre avec des plugins.

Sur le benchmark CyberGym, qui regroupe plus de 1 500 tâches reproduisant des vulnérabilités réelles issues de projets open source, MDASH atteint un taux de réussite de 88,45 %. C’est le meilleur score publié à ce jour, et environ 5 points de plus que Claude Mythos Preview, et 6 de plus que GPT-5.5, ses concurrents les plus proches.

Microsoft souligne que ce résultat a été obtenu avec des modèles IA déjà disponibles publiquement, ce qui laisse entendre que les performances viennent surtout de l’orchestration « agentique » autour des modèles plutôt que des modèles eux-mêmes.

Les agents MDASH sont utilisés par les équipes d’ingénierie sécurité de Microsoft, et testés par un groupe de clients dans le cadre d’un aperçu privé. Il est possible de demander un accès à l’aperçu.

Après avoir longtemps juré que la publicité n’aurait jamais sa place sur son service, Netflix vend toujours plus de temps de cerveau disponibles aux annonceurs. La pub va s’incruster encore davantage sur la plateforme.

Qu’il parait loin, le temps où Reed Hastings, l’ancien directeur général de Netflix, déclarait que jamais sa plateforme ne diffuserait de publicité. C’était en 2015, et s’il a réaffirmé cette position très ferme pendant des années, la réclame a fini par apparaitre sur le service de streaming en 2022. À l’époque, Reed Hastings (qui a quitté son poste de co-CEO début 2023) admettait que sa résistance à la pub avait été une erreur.

Aujourd’hui, Netflix regarde la publicité avec les yeux de Chimène. Le lancement de l’offre avec publicité, proposée à 7,99 euros par mois en France (c’était 5,99 euros au début), a permis à la plateforme de relever fortement les prix des autres formules sans pub, jusqu’à 21,99 euros pour l’abonnement Premium. Une stratégie couronnée de succès : durant une présentation aux annonceurs, l’entreprise a révélé que les publicités diffusées sur ses antennes atteignaient plus de 250 millions de spectateurs actifs mensuels, soit 30 % de plus qu’en novembre 2025 (190 millions).

Auparavant, Netflix basait ses mesures sur les profils de compte plutôt que sur le nombre de personnes vivant dans un foyer abonné à son service. Une partie de la hausse provient d’un changement dans la stratégie de décompte. L’entreprise a choisi de se focaliser l’année dernière sur les spectateurs actifs mensuels, autrement dit « les membres ayant regardé au moins une minute de publicité sur Netflix chaque mois, multiplié par le nombre moyen estimé de personnes au sein d’un foyer ».

La pub à plein régime

Plus de 80 % de ces paires d’yeux regardent activement Netflix chaque semaine. Ces abonnés ont permis à Netflix d’empocher 1,5 milliard de dollars en revenus publicitaires en 2025. « Si les deux dernières années ont consisté à prouver que nous étions un acteur durable, cette année doit montrer que nous sommes devenus un acteur redoutable », se réjouit la présidente en charge de la publicité, Amy Reinhard, dans une déclaration reprise par Variety.

Visiblement, la soupe est bonne. De nouveaux espaces vont s’ouvrir dans l’application du streameur : d’abord dans les vidéos verticales, un nouveau format récemment lancé qui permet de consulter des extraits des contenus Netflix. Entre deux petits bouts de Bridgerton ou Stranger Things, les abonnés auront donc droit à des spots de pub. Les podcasts, que la plateforme diffuse depuis la fin de l’année dernière, vont aussi être caviardés par de la publicité.

• https://next.ink/233926/netflix-trace-sa-route-apres-le-rachat-manque-de-warner-reed-hastings-sur-le-depart/

Malgré tout, Netflix doit toujours convaincre les annonceurs et rencontrerait toujours des difficultés à faire valoir son offre. Les marques préfèrent en effet acheter des espaces pendant des événements en direct, alors que la vaste majorité des programmes diffusés par Netflix peuvent être regardés n’importe quand. La plateforme multiplie donc les contenus en direct, mais l’offre n’est pas suffisante pour rivaliser avec les grands groupes audiovisuels comme Disney ou NBCUniversal qui captent une grande partie des budgets pub.

Netflix a également annoncé une expansion à partir de 2027 de son abonnement avec publicité à 15 nouveaux pays, dont la Belgique, la Suisse, l’Autriche, les Pays-Bas, l’Irlande, le Danemark, la Norvège ou encore la Suède.

• Netflix devrait diffuser des publicités générées par IA en 2026

Après avoir longtemps juré que la publicité n’aurait jamais sa place sur son service, Netflix vend toujours plus de temps de cerveau disponibles aux annonceurs. La pub va s’incruster encore davantage sur la plateforme.

Qu’il parait loin, le temps où Reed Hastings, l’ancien directeur général de Netflix, déclarait que jamais sa plateforme ne diffuserait de publicité. C’était en 2015, et s’il a réaffirmé cette position très ferme pendant des années, la réclame a fini par apparaitre sur le service de streaming en 2022. À l’époque, Reed Hastings (qui a quitté son poste de co-CEO début 2023) admettait que sa résistance à la pub avait été une erreur.

Aujourd’hui, Netflix regarde la publicité avec les yeux de Chimène. Le lancement de l’offre avec publicité, proposée à 7,99 euros par mois en France (c’était 5,99 euros au début), a permis à la plateforme de relever fortement les prix des autres formules sans pub, jusqu’à 21,99 euros pour l’abonnement Premium. Une stratégie couronnée de succès : durant une présentation aux annonceurs, l’entreprise a révélé que les publicités diffusées sur ses antennes atteignaient plus de 250 millions de spectateurs actifs mensuels, soit 30 % de plus qu’en novembre 2025 (190 millions).

Auparavant, Netflix basait ses mesures sur les profils de compte plutôt que sur le nombre de personnes vivant dans un foyer abonné à son service. Une partie de la hausse provient d’un changement dans la stratégie de décompte. L’entreprise a choisi de se focaliser l’année dernière sur les spectateurs actifs mensuels, autrement dit « les membres ayant regardé au moins une minute de publicité sur Netflix chaque mois, multiplié par le nombre moyen estimé de personnes au sein d’un foyer ».

La pub à plein régime

Plus de 80 % de ces paires d’yeux regardent activement Netflix chaque semaine. Ces abonnés ont permis à Netflix d’empocher 1,5 milliard de dollars en revenus publicitaires en 2025. « Si les deux dernières années ont consisté à prouver que nous étions un acteur durable, cette année doit montrer que nous sommes devenus un acteur redoutable », se réjouit la présidente en charge de la publicité, Amy Reinhard, dans une déclaration reprise par Variety.

Visiblement, la soupe est bonne. De nouveaux espaces vont s’ouvrir dans l’application du streameur : d’abord dans les vidéos verticales, un nouveau format récemment lancé qui permet de consulter des extraits des contenus Netflix. Entre deux petits bouts de Bridgerton ou Stranger Things, les abonnés auront donc droit à des spots de pub. Les podcasts, que la plateforme diffuse depuis la fin de l’année dernière, vont aussi être caviardés par de la publicité.

• https://next.ink/233926/netflix-trace-sa-route-apres-le-rachat-manque-de-warner-reed-hastings-sur-le-depart/

Malgré tout, Netflix doit toujours convaincre les annonceurs et rencontrerait toujours des difficultés à faire valoir son offre. Les marques préfèrent en effet acheter des espaces pendant des événements en direct, alors que la vaste majorité des programmes diffusés par Netflix peuvent être regardés n’importe quand. La plateforme multiplie donc les contenus en direct, mais l’offre n’est pas suffisante pour rivaliser avec les grands groupes audiovisuels comme Disney ou NBCUniversal qui captent une grande partie des budgets pub.

Netflix a également annoncé une expansion à partir de 2027 de son abonnement avec publicité à 15 nouveaux pays, dont la Belgique, la Suisse, l’Autriche, les Pays-Bas, l’Irlande, le Danemark, la Norvège ou encore la Suède.

• Netflix devrait diffuser des publicités générées par IA en 2026

Meta inaugure les discussions incognito avec son assistant IA. Les conversations resteront privées entre Meta AI et l’interlocuteur humain, et elles seront supprimées sans tarder.

Pour Instagram, discuter avec des humains ne mérite pas de protection renforcée : le chiffrement de bout en bout qui empêchait jusqu’à présent quiconque d’accéder à une conversation dans la messagerie de l’app a en effet été supprimé le 8 mai. La fonction était très peu utilisée, a affirmé l’entreprise (elle était aussi compliquée à utiliser).

En revanche, discuter avec une IA nécessite (probablement) un luxe de précautions diverses et variées. La nouvelle fonction Discussion Incognito de l’assistant Meta AI permet de discuter en toute confidentialité avec l’assistant dans WhatsApp, ainsi que dans son application dédiée. La conversation est traitée dans un « environnement sécurisé » basé sur la technologie maison de traitement privé des requêtes envoyées au bot, lancée l’an dernier.

• Comment WhatsApp propose des résumés IA sans pouvoir lire les conversations

À l’instar du chiffrement de bout en bout, cette technologie empêche quiconque d’espionner en douce une conversation avec l’assistant, pas même Meta qui publie un livre blanc sur le sujet. À cela s’ajoute la disparition des discussions quand la session est terminée. Par ailleurs, elles ne sont pas enregistrées sur les serveurs.

Meta précise perfidement que si d’autres apps intègrent des fonctions proches de ce mode incognito, « les questions posées et les réponses envoyées leur restent visibles ». Le chat temporaire de ChatGPT conserve les conversations jusqu’à 30 jours, contre 72 heures chez Gemini. « Il s’agit du premier grand produit d’IA pour lequel aucune trace de vos conversations n’est stockée sur des serveurs », s’enorgueillit Mark Zuckerberg.

Les discussions avec les bots peuvent aller au-delà du trivial ou des requêtes pour le travail. Beaucoup d’utilisateurs posent des questions très personnelles sur la gestion de leurs finances ou la santé (à consommer avec modération, tout de même). Durant la présentation de ChatGPT Health, OpenAI avait ainsi expliqué que la santé était un des usages les plus courants de son bot. On comprend dès lors que personne ne veuille partager ces informations avec un tiers, à plus forte raison s’il s’agit d’une entreprise dont le modèle économique repose quasi exclusivement sur l’attention et le ciblage publicitaire.

Meta inaugure les discussions incognito avec son assistant IA. Les conversations resteront privées entre Meta AI et l’interlocuteur humain, et elles seront supprimées sans tarder.

Pour Instagram, discuter avec des humains ne mérite pas de protection renforcée : le chiffrement de bout en bout qui empêchait jusqu’à présent quiconque d’accéder à une conversation dans la messagerie de l’app a en effet été supprimé le 8 mai. La fonction était très peu utilisée, a affirmé l’entreprise (elle était aussi compliquée à utiliser).

En revanche, discuter avec une IA nécessite (probablement) un luxe de précautions diverses et variées. La nouvelle fonction Discussion Incognito de l’assistant Meta AI permet de discuter en toute confidentialité avec l’assistant dans WhatsApp, ainsi que dans son application dédiée. La conversation est traitée dans un « environnement sécurisé » basé sur la technologie maison de traitement privé des requêtes envoyées au bot, lancée l’an dernier.

• Comment WhatsApp propose des résumés IA sans pouvoir lire les conversations

À l’instar du chiffrement de bout en bout, cette technologie empêche quiconque d’espionner en douce une conversation avec l’assistant, pas même Meta qui publie un livre blanc sur le sujet. À cela s’ajoute la disparition des discussions quand la session est terminée. Par ailleurs, elles ne sont pas enregistrées sur les serveurs.

Meta précise perfidement que si d’autres apps intègrent des fonctions proches de ce mode incognito, « les questions posées et les réponses envoyées leur restent visibles ». Le chat temporaire de ChatGPT conserve les conversations jusqu’à 30 jours, contre 72 heures chez Gemini. « Il s’agit du premier grand produit d’IA pour lequel aucune trace de vos conversations n’est stockée sur des serveurs », s’enorgueillit Mark Zuckerberg.

Les discussions avec les bots peuvent aller au-delà du trivial ou des requêtes pour le travail. Beaucoup d’utilisateurs posent des questions très personnelles sur la gestion de leurs finances ou la santé (à consommer avec modération, tout de même). Durant la présentation de ChatGPT Health, OpenAI avait ainsi expliqué que la santé était un des usages les plus courants de son bot. On comprend dès lors que personne ne veuille partager ces informations avec un tiers, à plus forte raison s’il s’agit d’une entreprise dont le modèle économique repose quasi exclusivement sur l’attention et le ciblage publicitaire.

Google reçoit un coup de main d’Apple, pour éviter d’avoir à donner aux IA concurrentes un accès à Android. Fin avril, dans le cadre du règlement sur les marchés numériques (DMA), la Commission européenne envoyait au moteur de recherche ses « conclusions préliminaires » concernant le contrôle de certains fonctions du système d’exploitation par les assistants IA. Seul Gemini est aujourd’hui en mesure d’accéder aux profondeurs d’Android — une pratique qui s’est encore renforcée avec l’annonce de Gemini Intelligence.

• L’Europe veut forcer Google à ouvrir Android tout entier aux assistants IA rivaux

Bruxelles a ouvert une consultation publique, qui s’est achevée aujourd’hui, mercredi 13 mai. Et Apple est venue au secours de Google, comme le rapporte Reuters. Les mesures proposées par l’exécutif européen « soulèvent des préoccupations urgentes et sérieuses ». La Commission veut en effet que les IA rivales bénéficient du même niveau d’accès que Gemini, ce qui leur permettrait d’envoyer des courriels, partager des photos ou lancer une action dans une app tierce.

C’est une mauvaise idée selon Apple, car cette ouverture créerait « des risques profonds pour la confidentialité, la sécurité et la sûreté des utilisateurs, ainsi que pour l’intégrité et les performances des appareils ». Ce coup de main n’a rien d’innocent : le constructeur de Cupertino pourrait en effet être obligé de faire de même sur iOS. 

Les risques posés par un accès total aux couches basses d’Android sont « particulièrement aigus dans le contexte de systèmes d’IA en évolution rapide » : leurs capacités, leurs comportements et les vecteurs de menace restent en effet « imprévisibles ». 

Cette intervention d’Apple ne manque pas de sel : une rumeur de Bloomberg indiquait que l’entreprise pourrait autoriser l’utilisation d’un autre modèle que ceux d’Apple Intelligence pour propulser les fonctions IA d’iOS 27… soit ce que demande la Commission. Mais bien sûr, si cela devait arriver, ce serait Apple qui dicterait ses conditions à la concurrence, pas un régulateur.

Le groupe s’interroge plus largement sur l’expertise technique de la Commission, qui voudrait « redesigner » un système d’exploitation. L’autorité européenne « substitue son propre jugement à celui des ingénieurs de Google sur la base de moins de trois mois de travail. C’est d’autant plus dangereux que la seule valeur qui semble guider ces projets de mesures est un accès ouvert et sans restriction. »

En octobre dernier, Apple portait plainte contre l’UE devant la Cour de justice (CJUE) au Luxembourg, sur le dossier du DMA.

• DMA : Apple intensifie son offensive en déposant plainte contre l’Union européenne

Google reçoit un coup de main d’Apple, pour éviter d’avoir à donner aux IA concurrentes un accès à Android. Fin avril, dans le cadre du règlement sur les marchés numériques (DMA), la Commission européenne envoyait au moteur de recherche ses « conclusions préliminaires » concernant le contrôle de certains fonctions du système d’exploitation par les assistants IA. Seul Gemini est aujourd’hui en mesure d’accéder aux profondeurs d’Android — une pratique qui s’est encore renforcée avec l’annonce de Gemini Intelligence.

• L’Europe veut forcer Google à ouvrir Android tout entier aux assistants IA rivaux

Bruxelles a ouvert une consultation publique, qui s’est achevée aujourd’hui, mercredi 13 mai. Et Apple est venue au secours de Google, comme le rapporte Reuters. Les mesures proposées par l’exécutif européen « soulèvent des préoccupations urgentes et sérieuses ». La Commission veut en effet que les IA rivales bénéficient du même niveau d’accès que Gemini, ce qui leur permettrait d’envoyer des courriels, partager des photos ou lancer une action dans une app tierce.

C’est une mauvaise idée selon Apple, car cette ouverture créerait « des risques profonds pour la confidentialité, la sécurité et la sûreté des utilisateurs, ainsi que pour l’intégrité et les performances des appareils ». Ce coup de main n’a rien d’innocent : le constructeur de Cupertino pourrait en effet être obligé de faire de même sur iOS. 

Les risques posés par un accès total aux couches basses d’Android sont « particulièrement aigus dans le contexte de systèmes d’IA en évolution rapide » : leurs capacités, leurs comportements et les vecteurs de menace restent en effet « imprévisibles ». 

Cette intervention d’Apple ne manque pas de sel : une rumeur de Bloomberg indiquait que l’entreprise pourrait autoriser l’utilisation d’un autre modèle que ceux d’Apple Intelligence pour propulser les fonctions IA d’iOS 27… soit ce que demande la Commission. Mais bien sûr, si cela devait arriver, ce serait Apple qui dicterait ses conditions à la concurrence, pas un régulateur.

Le groupe s’interroge plus largement sur l’expertise technique de la Commission, qui voudrait « redesigner » un système d’exploitation. L’autorité européenne « substitue son propre jugement à celui des ingénieurs de Google sur la base de moins de trois mois de travail. C’est d’autant plus dangereux que la seule valeur qui semble guider ces projets de mesures est un accès ouvert et sans restriction. »

En octobre dernier, Apple portait plainte contre l’UE devant la Cour de justice (CJUE) au Luxembourg, sur le dossier du DMA.

• DMA : Apple intensifie son offensive en déposant plainte contre l’Union européenne

La course au token

Des salariés d’Amazon utilisent un outil maison équivalent à OpenClaw pour brûler des tokens et générer artificiellement de l’activité IA pour éviter de mauvaises évaluations. Ce phénomène du « tokenmaxxing » n’est pas propre à Amazon.

Les entreprises qui investissent lourdement dans l’IA générative poussent leurs employés à utiliser cette technologie au quotidien, ne serait-ce que pour justifier les sommes ahurissantes mises sur la table pour développer des modèles et faire pousser les centres de données. Amazon en fait partie : le géant du commerce en ligne a ainsi annoncé 200 milliards de dépenses d’investissement (capex) pour 2026 : il faut prouver que tout cet argent sert à quelque chose et les salariés sont mis à contribution.

• Dopés par l’IA, les géants du cloud projettent 700 milliards $ d’investissements en 2026

Amazon a lancé il y a quelques semaines un nouvel outil interne, MeshClaw, qui fonctionne sur le même principe qu’OpenClaw. Il permet de déployer des agents IA pour accomplir des tâches au nom de l’utilisateur : MeshClaw peut ainsi trier des courriels, interagir dans la messagerie Slack, déployer du code, surveiller des apps ou encore exécuter des tâches répétitives.

Le Financial Times rapporte que certains salariés d’Amazon font tourner MeshClaw non pas parce qu’ils en ont besoin, mais pour générer artificiellement de l’activité IA et améliorer leurs statistiques.

Si les stats d’utilisation de tokens IA ne sont pas censées servir à l’évaluation des performances des salariés d’Amazon, plusieurs d’entre eux ressentent une pression très forte pour les intégrer dans leur travail. L’entreprise a fixé des objectifs ambitieux : dépasser le seuil des 80 % de développeurs utilisant l’IA chaque semaine. La direction aurait aussi commencé à suivre la consommation de tokens dans des classements internes.

« Les managers regardent ces chiffres », affirme un employé sous le sceau de l’anonymat. « À partir du moment où l’usage est surveillé, ça crée des effets pervers et certaines personnes deviennent très compétitives là-dessus. » À cela s’ajoutent des craintes concernant l’autonomie assez large donnée aux agents MeshClaw, qui a accès à des outils internes sensibles. Ce qui ouvre la porte à des erreurs pouvant provoquer de sérieux incidents.

• Pannes chez AWS dues à son agent IA : Amazon se défausse sur ses employés

Le nouveau Graal de la Silicon Valley

Ce phénomène du « tokenmaxing » n’est pas circonscrit à Amazon. De nombreuses entreprises ont des objectifs d’usage de l’IA, ce qui peut déboucher sur des abus. Un tableau de bord interne chez Meta attribuait des statuts (« Token Legend ») aux employés qui consommaient le plus de tokens. Ce classement, développé par un employé sans l’aval du groupe, a été retiré depuis… même s’il existe un tableau de bord officiel qui suit l’usage de l’IA au global (pas uniquement la consommation de tokens).

Une étude réalisée par Jellyfish publiée le mois dernier remettait en cause cette idée très répandue dans la Silicon Valley (et ailleurs) que les gains de productivité sont liés à la consommation de tokens IA. Les auteurs ont analysé les usages de 12 000 développeurs répartis dans 200 entreprises au premier trimestre 2026.

Le premier enseignement, c’est qu’il existe une grande disparité dans la consommation de tokens : un développeur « médian » utilise environ 51 millions de tokens par mois, quand les 10 % des plus gros consommateurs dépassent les 380 millions de tokens mensuels. Une consommation massive qui coûte très cher, environ 52 dollars par mois pour un utilisateur moyen selon les tarifs de l’API Claude, mais près de 700 dollars par mois pour les plus gros utilisateurs.

C’est le rapport coût/productivité qui est le plus intéressant ici. Les développeurs qui consomment énormément de tokens produisent effectivement davantage de code, et même s’il est correct, il nécessite davantage de travail : plus d’allers-retours, plus de supervision humaine, plus de corrections, et au bout du compte plus d’abandon de code. Tout cela fait grimper la facture bien plus vite que la productivité gagnée.

Les auteurs de l’étude estiment que les 20 % des développeurs les plus économes en tokens génèrent en moyenne 11 modifications de code validées et intégrées aux projets (pull request fusionnées) pour 3 dollars de tokens sur un trimestre. Les 20 % des plus gros consommateurs en comptabilisent en moyenne 23, mais la facture est de 1 822 dollars.

Consommer plus de tokens permet effectivement de produire davantage, mais le coût unitaire se révèle bien plus élevé. L’étude dresse une comparaison intéressante : les tokens ressemblent à du carburant de fusée. On peut aller plus vite mais chaque gain supplémentaire nécessite énormément plus de ressources. Dans ces conditions, un usage modéré et raisonnable de l’IA semble bien plus indiqué que de forcer une consommation poussée à l’extrême.

• #Nextquick : Pourquoi et comment Opus 4.7 crame ses tokens beaucoup plus vite qu’Opus 4.6

La course au token

Des salariés d’Amazon utilisent un outil maison équivalent à OpenClaw pour brûler des tokens et générer artificiellement de l’activité IA pour éviter de mauvaises évaluations. Ce phénomène du « tokenmaxxing » n’est pas propre à Amazon.

Les entreprises qui investissent lourdement dans l’IA générative poussent leurs employés à utiliser cette technologie au quotidien, ne serait-ce que pour justifier les sommes ahurissantes mises sur la table pour développer des modèles et faire pousser les centres de données. Amazon en fait partie : le géant du commerce en ligne a ainsi annoncé 200 milliards de dépenses d’investissement (capex) pour 2026 : il faut prouver que tout cet argent sert à quelque chose et les salariés sont mis à contribution.

• Dopés par l’IA, les géants du cloud projettent 700 milliards $ d’investissements en 2026

Amazon a lancé il y a quelques semaines un nouvel outil interne, MeshClaw, qui fonctionne sur le même principe qu’OpenClaw. Il permet de déployer des agents IA pour accomplir des tâches au nom de l’utilisateur : MeshClaw peut ainsi trier des courriels, interagir dans la messagerie Slack, déployer du code, surveiller des apps ou encore exécuter des tâches répétitives.

Le Financial Times rapporte que certains salariés d’Amazon font tourner MeshClaw non pas parce qu’ils en ont besoin, mais pour générer artificiellement de l’activité IA et améliorer leurs statistiques.

Si les stats d’utilisation de tokens IA ne sont pas censées servir à l’évaluation des performances des salariés d’Amazon, plusieurs d’entre eux ressentent une pression très forte pour les intégrer dans leur travail. L’entreprise a fixé des objectifs ambitieux : dépasser le seuil des 80 % de développeurs utilisant l’IA chaque semaine. La direction aurait aussi commencé à suivre la consommation de tokens dans des classements internes.

« Les managers regardent ces chiffres », affirme un employé sous le sceau de l’anonymat. « À partir du moment où l’usage est surveillé, ça crée des effets pervers et certaines personnes deviennent très compétitives là-dessus. » À cela s’ajoutent des craintes concernant l’autonomie assez large donnée aux agents MeshClaw, qui a accès à des outils internes sensibles. Ce qui ouvre la porte à des erreurs pouvant provoquer de sérieux incidents.

• Pannes chez AWS dues à son agent IA : Amazon se défausse sur ses employés

Le nouveau Graal de la Silicon Valley

Ce phénomène du « tokenmaxing » n’est pas circonscrit à Amazon. De nombreuses entreprises ont des objectifs d’usage de l’IA, ce qui peut déboucher sur des abus. Un tableau de bord interne chez Meta attribuait des statuts (« Token Legend ») aux employés qui consommaient le plus de tokens. Ce classement, développé par un employé sans l’aval du groupe, a été retiré depuis… même s’il existe un tableau de bord officiel qui suit l’usage de l’IA au global (pas uniquement la consommation de tokens).

Une étude réalisée par Jellyfish publiée le mois dernier remettait en cause cette idée très répandue dans la Silicon Valley (et ailleurs) que les gains de productivité sont liés à la consommation de tokens IA. Les auteurs ont analysé les usages de 12 000 développeurs répartis dans 200 entreprises au premier trimestre 2026.

Le premier enseignement, c’est qu’il existe une grande disparité dans la consommation de tokens : un développeur « médian » utilise environ 51 millions de tokens par mois, quand les 10 % des plus gros consommateurs dépassent les 380 millions de tokens mensuels. Une consommation massive qui coûte très cher, environ 52 dollars par mois pour un utilisateur moyen selon les tarifs de l’API Claude, mais près de 700 dollars par mois pour les plus gros utilisateurs.

C’est le rapport coût/productivité qui est le plus intéressant ici. Les développeurs qui consomment énormément de tokens produisent effectivement davantage de code, et même s’il est correct, il nécessite davantage de travail : plus d’allers-retours, plus de supervision humaine, plus de corrections, et au bout du compte plus d’abandon de code. Tout cela fait grimper la facture bien plus vite que la productivité gagnée.

Les auteurs de l’étude estiment que les 20 % des développeurs les plus économes en tokens génèrent en moyenne 11 modifications de code validées et intégrées aux projets (pull request fusionnées) pour 3 dollars de tokens sur un trimestre. Les 20 % des plus gros consommateurs en comptabilisent en moyenne 23, mais la facture est de 1 822 dollars.

Consommer plus de tokens permet effectivement de produire davantage, mais le coût unitaire se révèle bien plus élevé. L’étude dresse une comparaison intéressante : les tokens ressemblent à du carburant de fusée. On peut aller plus vite mais chaque gain supplémentaire nécessite énormément plus de ressources. Dans ces conditions, un usage modéré et raisonnable de l’IA semble bien plus indiqué que de forcer une consommation poussée à l’extrême.

• #Nextquick : Pourquoi et comment Opus 4.7 crame ses tokens beaucoup plus vite qu’Opus 4.6

Google n’attend pas l’ouverture de son événement I/O la semaine prochaine pour lever le voile sur un gros paquet de nouveautés qui, sans trop de surprise, tournent beaucoup autour de l’intelligence artificielle. Mais il y a tout de même quelque chose de nouveau (et d’inattendu) du côté du matériel.

Pour fêter les 15 ans du Chromebook, Google a décidé de… tuer le Chromebook. À l’occasion de l’Android Show, le moteur de recherche a en effet dévoilé le Googlebook, un nouvel ordinateur portable qui consacre la fusion entre Android et ChromeOS — c’est le fameux système d’exploitation unifié Aluminium OS, sur lequel Google planche depuis des années.

L’entreprise donne très peu de détail sur le matériel en lui-même, si ce n’est que les ordinateurs seront conçus « avec des matériaux haut de gamme et un soin particulier ». Ils porteront tous une barre lumineuse « glowbar » sur le capot, histoire de faire joli. En revanche, Google en dit un peu plus sur le logiciel et l’IA intégrée.

Le Googlebook est un ordinateur taillé pour Gemini, et même pour « Gemini Intelligence ». C’est le nom donné par le moteur de recherche aux fonctions d’IA basées principalement sur les agents. Les smartphones Android y auront droit (on s’en reparle très vite), mais le Googlebook est le premier appareil à avoir été imaginé spécifiquement pour ces fonctionnalités IA.

L’équipe de Google Deepmind a ainsi été mise à contribution pour développer le Magic Pointer : en secouant le curseur à l’écran, on activera un menu contextuel contenant des suggestions IA. En visant une date présente dans un courriel, le curseur magique va proposer de l’ajouter dans l’agenda. Ce même curseur proposera aussi de combiner deux images après leur sélection.

On verra à l’usage s’il s’agit d’un outil vraiment utile ou d’un Clippy dopé à l’IA encore plus pénible que l’original. Le système d’exploitation du Googlebook — qui ne porte pas de nom pour l’instant — proposera de créer des widgets personnalisées en le demandant dans une fenêtre texte.

L’OS du Googlebook reposant en partie sur des technologies Android, il communique de manière transparente avec un smartphone Android. Les apps du téléphone s’ouvrent sur le portable quand on n’a pas le temps de le dégainer ; voilà qui n’a rien de franchement original. Microsoft, Samsung et Apple n’ont pas attendu Google pour développer des solutions similaires.

Plusieurs constructeurs sont sur les rangs pour fabriquer des Googlebook : Acer, Asus, Dell, HP et Lenovo. Les premiers modèles devraient être commercialisés cet automne. Aucun prix n’a été avancé, ce qui est probablement plus prudent vu la situation des composants mémoire actuellement.

Gemini Intelligence met de l’IA partout

La grande affaire du jour, c’est surtout Gemini Intelligence, qui fera son apparition sur les smartphones Samsung et les modèles Pixel les plus récents cet été, probablement dans les bagages d’Android 17. Il s’agit d’imposer les agents au quotidien. Google vante ainsi la capacité de Gemini d’effectuer des tâches complexes dans les apps, avec ou sans données contextuelles comme une photo ou une capture d’écran.

 

L’entreprise donne l’exemple d’une liste de courses dans l’app Notes. Un appui prolongé sur la bouton d’allumage du smartphone sur cette liste lancera Gemini qui remplira un panier dans une app de livraison d’épicerie. Autre exemple : en prenant la photo d’une brochure de voyage, l’utilisateur pourra demander à Gemini de créer une excursion similaire dans Expedia. L’assistant fera connaitre où il en est de ses élucubrations via des notifications. Et bien sûr, il vous reviendra de valider une commande (ouf).

Après avoir fourré Gemini dans tous les coins de la version de bureau de Chrome, le tour de Chrome mobile est arrivé. À partir de la fin juin, l’assistant niché en haut à droite de la barre de menu pourra rechercher, résumer et comparer du contenu en ligne. Le navigateur pourra également puiser des informations dans d’autres applications. Ces nouveautés seront proposées sur tous les smartphones sous Android 12 et au-delà, aux États-Unis pour commencer.

Le remplissage automatique des formulaires est une fonction discrète mais qui a certainement contribué à faire progresser l’humanité d’un pas de géant (j’exagère à peine). Gemini pourra piocher dans les informations personnelles de l’utilisateur pour remplir encore plus de ces petits formulaires mal adaptés aux écrans mobiles.

Une nouvelle interface verra le jour spécialement pour Gemini Intelligence, basée sur le langage de design Material 3 Expressive. Elle est pensée pour réduire les distractions et mettre en avant les informations qui comptent.

Quelques nouveautés pour Android aussi

Gemini Intelligence est une chose, et il est très clair que Google est très loin d’en avoir terminé avec ce bouquet de fonctions IA. Mais il y a aussi Android tout court. Plusieurs nouveautés ont été présentées hier, à commencer par Pause Point qui limite l’usage compulsif des apps addictives — il faudra au préalable l’activer dans les réglages.

Au lancement d’une application, Android pourra imposer une pause de 10 secondes pour inciter l’utilisateur à se demander s’il veut vraiment doomscroller pendant des heures. Durant ce laps de temps, la fonction propose de faire un exercice de respiration, définir une limite de temps ou se tourner vers une activité moins chronophage comme lire un livre (ce qui peut être tout aussi addictif). Désactiver Pause Point nécessitera de redémarrer le smartphone, une contrainte qui poussera certains à la laisser active.

La fonction Quick Share de partage instantané de document s’est récemment enrichie du support d’AirDrop, une technologie jusqu’à présent réservée aux appareils Apple. Disponible sur les appareils Pixel depuis novembre dernier, elle s’est ouvert aux modèles de Samsung. Dans le courant de l’année, elle sera aussi disponible sur des modèles de Vivo, Xiaomi, Oppo, OnePlus et Honor. Et sur les téléphones qui ne sont pas compatibles, Quick Share proposera un code QR pour partager du contenu avec les appareils iOS depuis le nuage.

Google et Apple continuent leur travail commun pour faciliter la migration entre Android et iPhone, et inversement. Le processus de transfert de données entre smartphones ajoute celui de l’eSIM, ce qui sera bien pratique, et pourra fonctionner sans fil. Ce changement sera disponible sur les Pixel et les Galaxy de Samsung.

Google n’attend pas l’ouverture de son événement I/O la semaine prochaine pour lever le voile sur un gros paquet de nouveautés qui, sans trop de surprise, tournent beaucoup autour de l’intelligence artificielle. Mais il y a tout de même quelque chose de nouveau (et d’inattendu) du côté du matériel.

Pour fêter les 15 ans du Chromebook, Google a décidé de… tuer le Chromebook. À l’occasion de l’Android Show, le moteur de recherche a en effet dévoilé le Googlebook, un nouvel ordinateur portable qui consacre la fusion entre Android et ChromeOS — c’est le fameux système d’exploitation unifié Aluminium OS, sur lequel Google planche depuis des années.

L’entreprise donne très peu de détail sur le matériel en lui-même, si ce n’est que les ordinateurs seront conçus « avec des matériaux haut de gamme et un soin particulier ». Ils porteront tous une barre lumineuse « glowbar » sur le capot, histoire de faire joli. En revanche, Google en dit un peu plus sur le logiciel et l’IA intégrée.

Le Googlebook est un ordinateur taillé pour Gemini, et même pour « Gemini Intelligence ». C’est le nom donné par le moteur de recherche aux fonctions d’IA basées principalement sur les agents. Les smartphones Android y auront droit (on s’en reparle très vite), mais le Googlebook est le premier appareil à avoir été imaginé spécifiquement pour ces fonctionnalités IA.

L’équipe de Google Deepmind a ainsi été mise à contribution pour développer le Magic Pointer : en secouant le curseur à l’écran, on activera un menu contextuel contenant des suggestions IA. En visant une date présente dans un courriel, le curseur magique va proposer de l’ajouter dans l’agenda. Ce même curseur proposera aussi de combiner deux images après leur sélection.

On verra à l’usage s’il s’agit d’un outil vraiment utile ou d’un Clippy dopé à l’IA encore plus pénible que l’original. Le système d’exploitation du Googlebook — qui ne porte pas de nom pour l’instant — proposera de créer des widgets personnalisées en le demandant dans une fenêtre texte.

L’OS du Googlebook reposant en partie sur des technologies Android, il communique de manière transparente avec un smartphone Android. Les apps du téléphone s’ouvrent sur le portable quand on n’a pas le temps de le dégainer ; voilà qui n’a rien de franchement original. Microsoft, Samsung et Apple n’ont pas attendu Google pour développer des solutions similaires.

Plusieurs constructeurs sont sur les rangs pour fabriquer des Googlebook : Acer, Asus, Dell, HP et Lenovo. Les premiers modèles devraient être commercialisés cet automne. Aucun prix n’a été avancé, ce qui est probablement plus prudent vu la situation des composants mémoire actuellement.

Gemini Intelligence met de l’IA partout

La grande affaire du jour, c’est surtout Gemini Intelligence, qui fera son apparition sur les smartphones Samsung et les modèles Pixel les plus récents cet été, probablement dans les bagages d’Android 17. Il s’agit d’imposer les agents au quotidien. Google vante ainsi la capacité de Gemini d’effectuer des tâches complexes dans les apps, avec ou sans données contextuelles comme une photo ou une capture d’écran.

 

L’entreprise donne l’exemple d’une liste de courses dans l’app Notes. Un appui prolongé sur la bouton d’allumage du smartphone sur cette liste lancera Gemini qui remplira un panier dans une app de livraison d’épicerie. Autre exemple : en prenant la photo d’une brochure de voyage, l’utilisateur pourra demander à Gemini de créer une excursion similaire dans Expedia. L’assistant fera connaitre où il en est de ses élucubrations via des notifications. Et bien sûr, il vous reviendra de valider une commande (ouf).

Après avoir fourré Gemini dans tous les coins de la version de bureau de Chrome, le tour de Chrome mobile est arrivé. À partir de la fin juin, l’assistant niché en haut à droite de la barre de menu pourra rechercher, résumer et comparer du contenu en ligne. Le navigateur pourra également puiser des informations dans d’autres applications. Ces nouveautés seront proposées sur tous les smartphones sous Android 12 et au-delà, aux États-Unis pour commencer.

Le remplissage automatique des formulaires est une fonction discrète mais qui a certainement contribué à faire progresser l’humanité d’un pas de géant (j’exagère à peine). Gemini pourra piocher dans les informations personnelles de l’utilisateur pour remplir encore plus de ces petits formulaires mal adaptés aux écrans mobiles.

Une nouvelle interface verra le jour spécialement pour Gemini Intelligence, basée sur le langage de design Material 3 Expressive. Elle est pensée pour réduire les distractions et mettre en avant les informations qui comptent.

Quelques nouveautés pour Android aussi

Gemini Intelligence est une chose, et il est très clair que Google est très loin d’en avoir terminé avec ce bouquet de fonctions IA. Mais il y a aussi Android tout court. Plusieurs nouveautés ont été présentées hier, à commencer par Pause Point qui limite l’usage compulsif des apps addictives — il faudra au préalable l’activer dans les réglages.

Au lancement d’une application, Android pourra imposer une pause de 10 secondes pour inciter l’utilisateur à se demander s’il veut vraiment doomscroller pendant des heures. Durant ce laps de temps, la fonction propose de faire un exercice de respiration, définir une limite de temps ou se tourner vers une activité moins chronophage comme lire un livre (ce qui peut être tout aussi addictif). Désactiver Pause Point nécessitera de redémarrer le smartphone, une contrainte qui poussera certains à la laisser active.

La fonction Quick Share de partage instantané de document s’est récemment enrichie du support d’AirDrop, une technologie jusqu’à présent réservée aux appareils Apple. Disponible sur les appareils Pixel depuis novembre dernier, elle s’est ouvert aux modèles de Samsung. Dans le courant de l’année, elle sera aussi disponible sur des modèles de Vivo, Xiaomi, Oppo, OnePlus et Honor. Et sur les téléphones qui ne sont pas compatibles, Quick Share proposera un code QR pour partager du contenu avec les appareils iOS depuis le nuage.

Google et Apple continuent leur travail commun pour faciliter la migration entre Android et iPhone, et inversement. Le processus de transfert de données entre smartphones ajoute celui de l’eSIM, ce qui sera bien pratique, et pourra fonctionner sans fil. Ce changement sera disponible sur les Pixel et les Galaxy de Samsung.

OpenAI ne veut pas se laisser distancer par Anthropic sur le terrain de la cybersécurité. Avec Daybreak, le créateur de ChatGPT a lancé sa réponse à Mythos : l’idée est la même dans les deux cas (équiper les défenseurs d’un outil IA de chasse aux bugs), mais la pratique diffère.

Daybreak est la réplique d’OpenAI au Mythos d’Anthropic. Ce dernier a fait grand bruit le mois dernier : il serait si puissant que son créateur a décidé d’en limiter la diffusion à une quarantaine d’organisations et d’entreprises au travers du projet Glasswing. Un déploiement à la discrétion d’Anthropic : l’Union européenne est toujours exclue du club.

OpenAI prend un autre chemin avec Daybreak. Cette nouvelle initiative a pour objectif d’« accélérer le travail des défenseurs et sécuriser les logiciels en continu ». Là où Mythos est un modèle de langage, Daybreak est davantage une plateforme regroupant plusieurs services. Il combine Codex Security avec différents modèles : GPT-5.5, GPT-5.5 avec Trusted Access for Cyber (TAC) et GPT-5.5-Cyber.

Codex Security (anciennement Aardvark⁠) a été lancé début mars. Cet « agent de sécurité » est chargé d’identifier, de valider et de corriger des vulnérabilités dans le code. Il s’appuie par défaut sur GPT-5.5, mais on peut utiliser le modèle TAC dédié à la cybersécurité, accessible via un programme d’accès de confiance. Le dernier palier, GPT-5.5-Cyber, dévoilé le 7 mai, se présente comme le plus puissant du lot.

Les organisations intéressées peuvent demander un « scan de vulnérabilité » afin d’identifier les problèmes de sécurité présents dans le code de leurs infrastructures informatiques. Il s’agit certes d’un simple formulaire, mais il existe au moins une procédure standardisée pour faire partie du programme, alors que l’extension du projet Glasswing est laissée aux bons soins d’Anthropic.

Sam Altman explique vouloir travailler « avec le plus d’entreprises possible » pour sécuriser leurs logiciels. OpenAI semble se montrer proactif : l’entreprise est allée frapper à la porte de la Commission européenne pour proposer un accès à ses LLM cyber.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

OpenAI ne veut pas se laisser distancer par Anthropic sur le terrain de la cybersécurité. Avec Daybreak, le créateur de ChatGPT a lancé sa réponse à Mythos : l’idée est la même dans les deux cas (équiper les défenseurs d’un outil IA de chasse aux bugs), mais la pratique diffère.

Daybreak est la réplique d’OpenAI au Mythos d’Anthropic. Ce dernier a fait grand bruit le mois dernier : il serait si puissant que son créateur a décidé d’en limiter la diffusion à une quarantaine d’organisations et d’entreprises au travers du projet Glasswing. Un déploiement à la discrétion d’Anthropic : l’Union européenne est toujours exclue du club.

OpenAI prend un autre chemin avec Daybreak. Cette nouvelle initiative a pour objectif d’« accélérer le travail des défenseurs et sécuriser les logiciels en continu ». Là où Mythos est un modèle de langage, Daybreak est davantage une plateforme regroupant plusieurs services. Il combine Codex Security avec différents modèles : GPT-5.5, GPT-5.5 avec Trusted Access for Cyber (TAC) et GPT-5.5-Cyber.

Codex Security (anciennement Aardvark⁠) a été lancé début mars. Cet « agent de sécurité » est chargé d’identifier, de valider et de corriger des vulnérabilités dans le code. Il s’appuie par défaut sur GPT-5.5, mais on peut utiliser le modèle TAC dédié à la cybersécurité, accessible via un programme d’accès de confiance. Le dernier palier, GPT-5.5-Cyber, dévoilé le 7 mai, se présente comme le plus puissant du lot.

Les organisations intéressées peuvent demander un « scan de vulnérabilité » afin d’identifier les problèmes de sécurité présents dans le code de leurs infrastructures informatiques. Il s’agit certes d’un simple formulaire, mais il existe au moins une procédure standardisée pour faire partie du programme, alors que l’extension du projet Glasswing est laissée aux bons soins d’Anthropic.

Sam Altman explique vouloir travailler « avec le plus d’entreprises possible » pour sécuriser leurs logiciels. OpenAI semble se montrer proactif : l’entreprise est allée frapper à la porte de la Commission européenne pour proposer un accès à ses LLM cyber.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

Un assistant IA pour les pirates

Un « avant-goût de ce qui nous attend » : c’est ainsi que John Hultquist, chef analyste du Google Threat Intelligence Group (GTIG), a qualifié la découverte du labo. Les chercheurs en sécurité de l’entreprise ont identifié un acteur malveillant utilisant un exploit « zero-day » vraisemblablement développé avec l’aide de l’IA.

Le ou les cybercriminels prévoyaient d’exploiter cette vulnérabilité « dans le cadre d’une campagne d’exploitation massive ». Cette « découverte proactive » a permis d’éviter le pire, même si Google ne peut pas exclure que la vulnérabilité — implémenté sous la forme d’un script Python — a pu être exploitée à plus petite échelle (le labo n’a cependant pas vu de campagne active). Le GTIG se veut discret : il ne révèle pas le nom des criminels, mais précise que des acteurs en Corée du Nord et en Chine s’intéressent à l’utilisation de l’IA pour débusquer des failles de sécurité.

La faille a été corrigée

Google n’indique pas non plus le logiciel affecté par cette faille, si ce n’est qu’il s’agit d’un outil d’administration open-source très utilisé. La vulnérabilité permettait de contourner la double authentification (2FA), mais les pirates devaient au préalable connaître les identifiants et mots de passe de leurs victimes. Le GTIG a prévenu de manière responsable l’éditeur concerné, dont le nom n’a pas été révélé, pour corriger la faille.

Le groupe de chercheurs constate que les acteurs malveillants utilisent de plus en plus les outils d’IA des assistants « niveau expert » pour la recherche de vulnérabilités et le développement d’exploits, y compris pour des failles zero-day. Le verre à moitié plein, c’est que ces mêmes outils sont aussi aux mains des défenseurs. Ce serait la raison pour laquelle OpenAI et Anthropic réservent leurs modèles de cybersécurité à des organisations et des entreprises triées sur le volet.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

De la même manière, le GTIG ne dévoile pas le modèle IA utilisé pour cette faille. « Nous ne pensons pas que Gemini a été utilisé », avance-t-il prudemment. Mais la structure et le contenu de l’exploit donne au labo de fortes raisons de croire que l’acteur a eu recours à un modèle AI « pour faciliter la découverte et l’exploitation de cette vulnérabilité ».

Les LLM de plus en plus finauds

Les grands modèles de langage actuels ont encore du mal à appréhender les logiques complexes d’autorisation en entreprise, détaillent les chercheurs. Par contre, « ils sont de plus en plus capables d’effectuer un raisonnement contextuel en interprétant l’intention du développeur ». Dans le cas qui nous intéresse, la faille ne provient pas d’un bug technique classique, mais d’un passe-droit intégré directement dans le code qui permettait dans certains cas de contourner la 2FA.

Les chercheurs estiment que les LLM sont particulièrement efficaces pour identifier ces erreurs logiques de haut niveau, qui sont souvent invisibles pour les outils de détection traditionnels. Cette découverte est qualifiée de première par Google et par des spécialistes en cybersécurité indépendants. 

« Nous pensons que ce n’est que la partie émergée de l’iceberg », s’alarme John Hultquist auprès du New York Times. « Le problème est probablement bien plus vaste ; c’est simplement la première preuve tangible que nous pouvons observer. » Il est évidemment difficile d’assurer à 100 % que du code a été écrit par un humain ou une IA. Mais dans ce cas précis, les indices relevés par le GTIG (trop de texte explicatif, un style de code très propre et scolaire, une mise en forme jugée caractéristique des données d’entraînement des LLM) font pencher nettement la balance vers l’hypothèse IA.

Ce premier cas possible de faille zero-day développée avec l’IA devrait en tout cas renforcer les appels à un encadrement plus strict des modèles IA les plus avancés. L’administration Trump voudrait ainsi avoir un droit de regard sur les LLM avant leur diffusion, pour s’assurer de leur innocuité.

• La cybersécurité est une « priorité géopolitique », pas un « problème technique » (1/3)

• Anthropic et la stratégie marketing de la peur autour de sa nouvelle IA Mythos (2/3)

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

Un assistant IA pour les pirates

Un « avant-goût de ce qui nous attend » : c’est ainsi que John Hultquist, chef analyste du Google Threat Intelligence Group (GTIG), a qualifié la découverte du labo. Les chercheurs en sécurité de l’entreprise ont identifié un acteur malveillant utilisant un exploit « zero-day » vraisemblablement développé avec l’aide de l’IA.

Le ou les cybercriminels prévoyaient d’exploiter cette vulnérabilité « dans le cadre d’une campagne d’exploitation massive ». Cette « découverte proactive » a permis d’éviter le pire, même si Google ne peut pas exclure que la vulnérabilité — implémenté sous la forme d’un script Python — a pu être exploitée à plus petite échelle (le labo n’a cependant pas vu de campagne active). Le GTIG se veut discret : il ne révèle pas le nom des criminels, mais précise que des acteurs en Corée du Nord et en Chine s’intéressent à l’utilisation de l’IA pour débusquer des failles de sécurité.

La faille a été corrigée

Google n’indique pas non plus le logiciel affecté par cette faille, si ce n’est qu’il s’agit d’un outil d’administration open-source très utilisé. La vulnérabilité permettait de contourner la double authentification (2FA), mais les pirates devaient au préalable connaître les identifiants et mots de passe de leurs victimes. Le GTIG a prévenu de manière responsable l’éditeur concerné, dont le nom n’a pas été révélé, pour corriger la faille.

Le groupe de chercheurs constate que les acteurs malveillants utilisent de plus en plus les outils d’IA des assistants « niveau expert » pour la recherche de vulnérabilités et le développement d’exploits, y compris pour des failles zero-day. Le verre à moitié plein, c’est que ces mêmes outils sont aussi aux mains des défenseurs. Ce serait la raison pour laquelle OpenAI et Anthropic réservent leurs modèles de cybersécurité à des organisations et des entreprises triées sur le volet.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

De la même manière, le GTIG ne dévoile pas le modèle IA utilisé pour cette faille. « Nous ne pensons pas que Gemini a été utilisé », avance-t-il prudemment. Mais la structure et le contenu de l’exploit donne au labo de fortes raisons de croire que l’acteur a eu recours à un modèle AI « pour faciliter la découverte et l’exploitation de cette vulnérabilité ».

Les LLM de plus en plus finauds

Les grands modèles de langage actuels ont encore du mal à appréhender les logiques complexes d’autorisation en entreprise, détaillent les chercheurs. Par contre, « ils sont de plus en plus capables d’effectuer un raisonnement contextuel en interprétant l’intention du développeur ». Dans le cas qui nous intéresse, la faille ne provient pas d’un bug technique classique, mais d’un passe-droit intégré directement dans le code qui permettait dans certains cas de contourner la 2FA.

Les chercheurs estiment que les LLM sont particulièrement efficaces pour identifier ces erreurs logiques de haut niveau, qui sont souvent invisibles pour les outils de détection traditionnels. Cette découverte est qualifiée de première par Google et par des spécialistes en cybersécurité indépendants. 

« Nous pensons que ce n’est que la partie émergée de l’iceberg », s’alarme John Hultquist auprès du New York Times. « Le problème est probablement bien plus vaste ; c’est simplement la première preuve tangible que nous pouvons observer. » Il est évidemment difficile d’assurer à 100 % que du code a été écrit par un humain ou une IA. Mais dans ce cas précis, les indices relevés par le GTIG (trop de texte explicatif, un style de code très propre et scolaire, une mise en forme jugée caractéristique des données d’entraînement des LLM) font pencher nettement la balance vers l’hypothèse IA.

Ce premier cas possible de faille zero-day développée avec l’IA devrait en tout cas renforcer les appels à un encadrement plus strict des modèles IA les plus avancés. L’administration Trump voudrait ainsi avoir un droit de regard sur les LLM avant leur diffusion, pour s’assurer de leur innocuité.

• La cybersécurité est une « priorité géopolitique », pas un « problème technique » (1/3)

• Anthropic et la stratégie marketing de la peur autour de sa nouvelle IA Mythos (2/3)

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

L'innovation dictée par les régulateurs

Apple innove contre son gré. iOS 26.5, dont la version finale est disponible depuis lundi, est plein de fonctions qui ont été dictées au constructeur par des régulateurs. Outre le support du RCS chiffré de bout en bout, plusieurs nouveautés destinées aux utilisateurs européens et brésiliens sont au rendez-vous.

Soyons justes : la prise en charge du chiffrement de bout en bout dans les RCS, une des grosses nouveautés d’iOS 26.5, n’est pas le fait d’un coup de pression d’un gouvernement. C’est le résultat d’un travail commun entre Apple et Google pour sécuriser les échanges entre iOS et Android. Néanmoins, le constructeur de Cupertino s’est fait tirer l’oreille pendant des années pour intégrer le RCS tout court dans son application Messages. Et il n’a cédé qu’après que la Chine en a exigé le support.

• iOS 26.5 apporte le chiffrement de bout en bout aux messages RCS iPhone/Android

Ce qui est en revanche le résultat direct d’une demande d’un régulateur — en l’occurrence l’Union européenne —, c’est le jumelage de proximité entre un iPhone et une paire d’écouteurs tierce. Avec iOS 26.5, la procédure doit maintenant être aussi simple et rapide que pour des AirPods. Il suffit d’approcher des écouteurs (compatibles avec la fonction) pour initier et compléter le processus d’appairage en une « tape ». Ce qui évite des manipulations parfois compliquées ou l’installation d’une app tierce.

Apple cède, contrainte et forcée

Toujours dans l’UE, les utilisateurs de montres connectées (et d’autres accessoires tiers) qui reçoivent des notifications provenant de l’iPhone peuvent désormais interagir avec ces alertes. C’était auparavant un privilège de l’Apple Watch ; les autres appareils devaient se contenter de notifications en lecture seule. Il faut néanmoins avoir en tête que les notifications ne peuvent être connectées qu’à un seul appareil à la fois : les activer sur un accessoire tiers désactivera les alertes sur une Apple Watch.

Enfin, les activités en direct peuvent également s’afficher sur des accessoires tiers. Ce sont des notifications rafraîchies régulièrement, pour indiquer l’heure d’arrivée d’une course Uber par exemple. Jusqu’à présent, seuls l’iPhone, l’iPad, le Mac et les Apple Watch pouvaient afficher ces activités.

Ces fonctions sont apparues dans les versions bêta d’iOS 26.3, mais comme le note MacRumors, elles sont effectives et disponibles partout dans l’UE avec iOS 26.5. 

Les fabricants doivent encore intégrer ces changements dans les firmwares de leurs produits, ce qui explique pourquoi bien peu d’entre eux sont compatibles avec ces nouveautés. iGeneration avait relevé début février la compatibilité de certaines montres Garmin avec le nouveau système de jumelage simplifié.

La section 3.3.7(J) de l’accord de licence du programme Apple Developer a par ailleurs été mis à jour le 30 mars pour refléter ces évolutions. Il y est notamment écrit que les notifications ne peuvent pas être utilisées pour de la publicité, pour entraîner des modèles, pour collecter des données de localisation, ou pour nourrir un profil de suivi publicitaire.

Ce n’est pas la première fois qu’Apple doit repousser les murs de son jardin fermé dans l’Union européenne. En vertu du règlement sur les marchés numériques (DMA), l’entreprise a ainsi dû travailler avec Google sur une fonction de transfert simplifié des données pour faciliter la migration entre un iPhone et un smartphone Android, et vice-versa. iOS 26.5 apporte d’ailleurs une nouveauté ici : l’utilisateur peut choisir les pièces jointes attachées aux messages qu’il veut transférer sur son nouveau téléphone.

• Apple publie iOS 26.3, qui facilite la migration vers Android

Ce qu’Apple donne d’une main, elle le reprend de l’autre : en novembre dernier, le constructeur prévenait que les futures versions (à l’époque) d’iOS 26.4 et de watchOS 26.4 allaient supprimer une fonction dans l’UE. En l’occurrence, il s’agissait de la connexion automatique aux réseaux Wi-Fi connus sur l’Apple Watch. L’entreprise ne voulait pas ouvrir cette fonction à la concurrence, car elle aurait pu poser des problèmes de protection de la vie privée.

Pour terminer, iOS 26.5 ouvre aux utilisateurs brésiliens la possibilité d’installer des boutiques alternatives à l’App Store, comme au Japon et dans l’UE. Là aussi, Apple ne l’a pas fait de gaieté de cœur, il s’agit d’une exigence du régulateur.

L'innovation dictée par les régulateurs

Apple innove contre son gré. iOS 26.5, dont la version finale est disponible depuis lundi, est plein de fonctions qui ont été dictées au constructeur par des régulateurs. Outre le support du RCS chiffré de bout en bout, plusieurs nouveautés destinées aux utilisateurs européens et brésiliens sont au rendez-vous.

Soyons justes : la prise en charge du chiffrement de bout en bout dans les RCS, une des grosses nouveautés d’iOS 26.5, n’est pas le fait d’un coup de pression d’un gouvernement. C’est le résultat d’un travail commun entre Apple et Google pour sécuriser les échanges entre iOS et Android. Néanmoins, le constructeur de Cupertino s’est fait tirer l’oreille pendant des années pour intégrer le RCS tout court dans son application Messages. Et il n’a cédé qu’après que la Chine en a exigé le support.

• iOS 26.5 apporte le chiffrement de bout en bout aux messages RCS iPhone/Android

Ce qui est en revanche le résultat direct d’une demande d’un régulateur — en l’occurrence l’Union européenne —, c’est le jumelage de proximité entre un iPhone et une paire d’écouteurs tierce. Avec iOS 26.5, la procédure doit maintenant être aussi simple et rapide que pour des AirPods. Il suffit d’approcher des écouteurs (compatibles avec la fonction) pour initier et compléter le processus d’appairage en une « tape ». Ce qui évite des manipulations parfois compliquées ou l’installation d’une app tierce.

Apple cède, contrainte et forcée

Toujours dans l’UE, les utilisateurs de montres connectées (et d’autres accessoires tiers) qui reçoivent des notifications provenant de l’iPhone peuvent désormais interagir avec ces alertes. C’était auparavant un privilège de l’Apple Watch ; les autres appareils devaient se contenter de notifications en lecture seule. Il faut néanmoins avoir en tête que les notifications ne peuvent être connectées qu’à un seul appareil à la fois : les activer sur un accessoire tiers désactivera les alertes sur une Apple Watch.

Enfin, les activités en direct peuvent également s’afficher sur des accessoires tiers. Ce sont des notifications rafraîchies régulièrement, pour indiquer l’heure d’arrivée d’une course Uber par exemple. Jusqu’à présent, seuls l’iPhone, l’iPad, le Mac et les Apple Watch pouvaient afficher ces activités.

Ces fonctions sont apparues dans les versions bêta d’iOS 26.3, mais comme le note MacRumors, elles sont effectives et disponibles partout dans l’UE avec iOS 26.5. 

Les fabricants doivent encore intégrer ces changements dans les firmwares de leurs produits, ce qui explique pourquoi bien peu d’entre eux sont compatibles avec ces nouveautés. iGeneration avait relevé début février la compatibilité de certaines montres Garmin avec le nouveau système de jumelage simplifié.

La section 3.3.7(J) de l’accord de licence du programme Apple Developer a par ailleurs été mis à jour le 30 mars pour refléter ces évolutions. Il y est notamment écrit que les notifications ne peuvent pas être utilisées pour de la publicité, pour entraîner des modèles, pour collecter des données de localisation, ou pour nourrir un profil de suivi publicitaire.

Ce n’est pas la première fois qu’Apple doit repousser les murs de son jardin fermé dans l’Union européenne. En vertu du règlement sur les marchés numériques (DMA), l’entreprise a ainsi dû travailler avec Google sur une fonction de transfert simplifié des données pour faciliter la migration entre un iPhone et un smartphone Android, et vice-versa. iOS 26.5 apporte d’ailleurs une nouveauté ici : l’utilisateur peut choisir les pièces jointes attachées aux messages qu’il veut transférer sur son nouveau téléphone.

• Apple publie iOS 26.3, qui facilite la migration vers Android

Ce qu’Apple donne d’une main, elle le reprend de l’autre : en novembre dernier, le constructeur prévenait que les futures versions (à l’époque) d’iOS 26.4 et de watchOS 26.4 allaient supprimer une fonction dans l’UE. En l’occurrence, il s’agissait de la connexion automatique aux réseaux Wi-Fi connus sur l’Apple Watch. L’entreprise ne voulait pas ouvrir cette fonction à la concurrence, car elle aurait pu poser des problèmes de protection de la vie privée.

Pour terminer, iOS 26.5 ouvre aux utilisateurs brésiliens la possibilité d’installer des boutiques alternatives à l’App Store, comme au Japon et dans l’UE. Là aussi, Apple ne l’a pas fait de gaieté de cœur, il s’agit d’une exigence du régulateur.

Caméra cachée (sur le nez)

Les lunettes connectées présentent des risques majeurs pour la vie privée, alerte la CNIL qui lance un plan d’action pour répondre à ce « nouveau défi ».

La CNIL s’inquiète des risques que font peser les lunettes connectées pour la vie privée. Leur utilisation est bien sûr soumise au règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés, mais ces appareils dépassent le cadre juridique actuel. La commission relève ainsi que les lunettes peuvent capter des sons, des images et des vidéos de personnes sans que celles-ci en aient nécessairement conscience.

Le risque de la surveillance généralisée

Les modèles Ray-Ban de Meta intègrent une loupiote qui s’allume dès que le propriétaire prend une photo ou enregistre une vidéo. Mais cet indicateur a une « portée limitée » et il est absent pour certains usages. Contrairement aux smartphones qu’il est impossible de ne pas voir quand quelqu’un filme avec, les lunettes sont un objet du quotidien qui n’a habituellement pas cette finalité ; il existe donc un risque « important » que les lunettes ne soient pas identifiées comme un appareil connecté par les personnes se trouvant dans le champ de captation. Ces montures présentent donc « un caractère particulièrement intrusif ».

La CNIL s’inquiète du risque important de surveillance généralisée et une forme de banalité induite : n’importe qui est en mesure de filmer n’importe quoi n’importe où, aussi bien en privé qu’en public. Voilà qui pourrait avoir des conséquences importantes dans les interactions sociales entre citoyens, et même conduire à des dérives.

« Toute personne pourrait ainsi douter de manière constante d’un enregistrement potentiel de ses moindres faits et gestes et de ses échanges, créant un sentiment d’être constamment observée, voire surveillée, et engendrant peu à peu une forme d’autocensure. L’exercice des libertés individuelles (libertés d’expression, de réunion, de manifestation) s’en trouverait directement menacé. »

La CNIL cite l’article 9 du Code civil, qui garantit le droit au respect de la vie privée de chacun dans tous les lieux privés comme publics, et n’oublie pas de rappeler les sanctions en cas de violation de l’article 226 - 1 du Code pénal : jusqu’à un an d’emprisonnement et 45 000 euros d’amende pour le fait de porter atteinte à l’intimité de la vie privée d’autrui en fixant, enregistrant ou transmettant l’image d’une personne se trouvant dans un lieu privé sans son consentement.

Les enjeux liés aux lunettes connectées dépassant le cadre d’intervention de la CNIL, le régulateur lance donc des travaux sur la conformité de ces appareils en matière de protection des données personnelles. D’abord en engageant une discussion avec ses homologues européens au sein du CEPD (Comité européen de la protection des données), puisque cette problématique ne concerne pas que la France. Les autres autorités publiques compétentes sur ces questions vont aussi être approchées car les enjeux vont plus loin que la seule question de la protection des données.

En attendant, la commission liste les bonnes pratiques à destination des porteurs de lunettes connectées, avec des conseils de bon sens comme prévenir les personnes à proximité quand on utilise ces montures, désactiver les fonctions de captation quand elles ne sont plus utiles, éteindre les fonctions connectées des lunettes quand il est demandé d’éteindre le téléphone et, moins évident, éviter d’utiliser ces lunettes dans les lieux où les personnes ne s’y attendent pas.

Dans tous les cas, la CNIL demande d’obtenir le consentement des personnes pour utiliser des photos ou des vidéos où elles apparaissent (le droit à l’image s’applique), et pour finir de réfléchir avant de partager quoi que ce soit : « une publication, même anodine, peut avoir des effets durables pour les personnes ».

Peu d’enthousiasme pour les lunettes connectées

Un sondage réalisé fin janvier par le laboratoire d’innovation numérique de la CNIL, avec Harris Interactive – Toluna indique que 57 % des personnes interrogées s’inquiètent du droit à l’image et du consentement des personnes. L’utilisation de l’IA à des fin de détournement ou de deepfakes vient ensuite (37 %), puis le vol ou la fuite de données collectées par les lunettes (34 %).

L’enquête révèle également que 87 % des sondés ont entendu parler des lunettes connectées, mais 9 % seulement ont eu l’occasion d’en tester, en particulier dans la catégorie 18 - 25 ans (25 %), et plus généralement chez les férus de technologies (29 %). 22 % des personnes interrogées ont de ce produit une vision plutôt négative, contre 20 % qui en ont une perception positive.

En termes d’utilisation, près de 8 personnes sur 10 (78 %) perçoivent les lunettes connectées comme une aide potentielle pour les personnes en situation de handicap visuel ou auditif. En revanche, 67 % trouvent qu’elles posent un problème d’atteinte à la vie privée, et 55 % un danger tout simplement (distraction, visibilité réduite). Enfin, et cela montre que les constructeurs ont encore du chemin à faire pour convaincre, 62 % des sondés ne veulent pas acquérir ce type d’appareil, contre 36 % d’enthousiastes. 1 % ont déclaré en posséder une paire.

Des dizaines d’associations de défense des libertés numériques ont publié une lettre ouverte mi-avril à destination de Mark Zuckerberg. Le texte souligne les risques que feraient peser les lunettes connectées sur « les victimes de violences conjugales, les cibles de harceleurs et d’agresseurs sexuels, les minorités religieuses, les personnes de couleur, les personnes LGBTQ+, ainsi que les femmes et les enfants, entre autres ». Les signataires demandent à Meta de renoncer au déploiement de la reconnaissance faciale dans ces appareils.

• Vie privée : 75 associations alertent Meta sur les risques que créent ses smart glass

Caméra cachée (sur le nez)

Les lunettes connectées présentent des risques majeurs pour la vie privée, alerte la CNIL qui lance un plan d’action pour répondre à ce « nouveau défi ».

La CNIL s’inquiète des risques que font peser les lunettes connectées pour la vie privée. Leur utilisation est bien sûr soumise au règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés, mais ces appareils dépassent le cadre juridique actuel. La commission relève ainsi que les lunettes peuvent capter des sons, des images et des vidéos de personnes sans que celles-ci en aient nécessairement conscience.

Le risque de la surveillance généralisée

Les modèles Ray-Ban de Meta intègrent une loupiote qui s’allume dès que le propriétaire prend une photo ou enregistre une vidéo. Mais cet indicateur a une « portée limitée » et il est absent pour certains usages. Contrairement aux smartphones qu’il est impossible de ne pas voir quand quelqu’un filme avec, les lunettes sont un objet du quotidien qui n’a habituellement pas cette finalité ; il existe donc un risque « important » que les lunettes ne soient pas identifiées comme un appareil connecté par les personnes se trouvant dans le champ de captation. Ces montures présentent donc « un caractère particulièrement intrusif ».

La CNIL s’inquiète du risque important de surveillance généralisée et une forme de banalité induite : n’importe qui est en mesure de filmer n’importe quoi n’importe où, aussi bien en privé qu’en public. Voilà qui pourrait avoir des conséquences importantes dans les interactions sociales entre citoyens, et même conduire à des dérives.

« Toute personne pourrait ainsi douter de manière constante d’un enregistrement potentiel de ses moindres faits et gestes et de ses échanges, créant un sentiment d’être constamment observée, voire surveillée, et engendrant peu à peu une forme d’autocensure. L’exercice des libertés individuelles (libertés d’expression, de réunion, de manifestation) s’en trouverait directement menacé. »

La CNIL cite l’article 9 du Code civil, qui garantit le droit au respect de la vie privée de chacun dans tous les lieux privés comme publics, et n’oublie pas de rappeler les sanctions en cas de violation de l’article 226 - 1 du Code pénal : jusqu’à un an d’emprisonnement et 45 000 euros d’amende pour le fait de porter atteinte à l’intimité de la vie privée d’autrui en fixant, enregistrant ou transmettant l’image d’une personne se trouvant dans un lieu privé sans son consentement.

Les enjeux liés aux lunettes connectées dépassant le cadre d’intervention de la CNIL, le régulateur lance donc des travaux sur la conformité de ces appareils en matière de protection des données personnelles. D’abord en engageant une discussion avec ses homologues européens au sein du CEPD (Comité européen de la protection des données), puisque cette problématique ne concerne pas que la France. Les autres autorités publiques compétentes sur ces questions vont aussi être approchées car les enjeux vont plus loin que la seule question de la protection des données.

En attendant, la commission liste les bonnes pratiques à destination des porteurs de lunettes connectées, avec des conseils de bon sens comme prévenir les personnes à proximité quand on utilise ces montures, désactiver les fonctions de captation quand elles ne sont plus utiles, éteindre les fonctions connectées des lunettes quand il est demandé d’éteindre le téléphone et, moins évident, éviter d’utiliser ces lunettes dans les lieux où les personnes ne s’y attendent pas.

Dans tous les cas, la CNIL demande d’obtenir le consentement des personnes pour utiliser des photos ou des vidéos où elles apparaissent (le droit à l’image s’applique), et pour finir de réfléchir avant de partager quoi que ce soit : « une publication, même anodine, peut avoir des effets durables pour les personnes ».

Peu d’enthousiasme pour les lunettes connectées

Un sondage réalisé fin janvier par le laboratoire d’innovation numérique de la CNIL, avec Harris Interactive – Toluna indique que 57 % des personnes interrogées s’inquiètent du droit à l’image et du consentement des personnes. L’utilisation de l’IA à des fin de détournement ou de deepfakes vient ensuite (37 %), puis le vol ou la fuite de données collectées par les lunettes (34 %).

L’enquête révèle également que 87 % des sondés ont entendu parler des lunettes connectées, mais 9 % seulement ont eu l’occasion d’en tester, en particulier dans la catégorie 18 - 25 ans (25 %), et plus généralement chez les férus de technologies (29 %). 22 % des personnes interrogées ont de ce produit une vision plutôt négative, contre 20 % qui en ont une perception positive.

En termes d’utilisation, près de 8 personnes sur 10 (78 %) perçoivent les lunettes connectées comme une aide potentielle pour les personnes en situation de handicap visuel ou auditif. En revanche, 67 % trouvent qu’elles posent un problème d’atteinte à la vie privée, et 55 % un danger tout simplement (distraction, visibilité réduite). Enfin, et cela montre que les constructeurs ont encore du chemin à faire pour convaincre, 62 % des sondés ne veulent pas acquérir ce type d’appareil, contre 36 % d’enthousiastes. 1 % ont déclaré en posséder une paire.

Des dizaines d’associations de défense des libertés numériques ont publié une lettre ouverte mi-avril à destination de Mark Zuckerberg. Le texte souligne les risques que feraient peser les lunettes connectées sur « les victimes de violences conjugales, les cibles de harceleurs et d’agresseurs sexuels, les minorités religieuses, les personnes de couleur, les personnes LGBTQ+, ainsi que les femmes et les enfants, entre autres ». Les signataires demandent à Meta de renoncer au déploiement de la reconnaissance faciale dans ces appareils.

• Vie privée : 75 associations alertent Meta sur les risques que créent ses smart glass