Chang’ez de face

C’est fait. Après des années de préparation, la sonde chinoise Chang’e 6 fait route vers la Lune. Elle se posera sur la face cachée avec deux missions importantes. Analyser le radon et récupérer 2 kg de matériaux pour les rapporter sur Terre.

La Chine multiplie les missions en direction de la Lune depuis plusieurs années. On pense notamment à Chang’e 4 qui s’est posé sur la face cachée de la Lune en 2019. Puis à Chang’e 5 qui a permis à la Chine de récupérer des échantillons lunaires.

• Il y a 5 ans, la sonde Chang’e 4 se posait sur la face cachée de la Lune
• Chang’e 5 : la Chine récupère les échantillons lunaires, la mission est un succès sur toute la ligne

Vendredi, c’est la mission Chang’ 6 qui a décollé de la base de Wenchang (île de Hainan) à bord d’une fusée Longue Marche-5. Le voyage « va durer 4 ou 5 jours jusqu’à l’orbite lunaire, avant de se poser près du pôle Sud de la Lune début juin » (2 juin pour être précis, vers 10 heures du matin heure locale lunaire), explique le CNES. C’est plus exactement le bassin Aitken, mesurant 2500 km de diamètre, qui est visé.

Un replay du lancement est disponible par ici.

DORN aura 48h pour étudier le radon

La France est partenaire de la Chine dans cette mission. Elle a fourni l’instrument DORN (Detection of Outgassing RadoN). Ce nom est également en hommage au physicien, Friedrich Dorn, ayant découvert le radon.

Il a été conçu et réalisé (pendant quatre ans) à l’Institut de recherche en astrophysique et planétologie, sous la maîtrise d’ouvrage du CNES et en collaboration notamment avec le CNRS. « Après un demi-siècle, DORN marque le retour de la France à la surface de la Lune », explique Francis Rocard (planétologue, responsable des programmes d’exploration du système solaire au CNES) dans The Conversation.

Sa mission est « d’étudier le radon, un gaz produit de façon continue dans le sol lunaire ». Les mesures vont se faire en orbite, mais aussi sur place. L’instrument aura peu de temps pour le faire. « DORN s’activera alors pour 48h : la quantité d’énergie disponible est limitée et l’atterrisseur doit réaliser plusieurs missions », explique le CNES. Le bassin Aitken a un avantage certain : « Avec ses 10 km de profondeur, il représente la région lunaire où l’altitude est la plus basse et l’épaisseur de la croûte parmi les plus fines ».

Du radon à « la présence de glace d’eau aux pôles »

« En résumé DORN va étudier le dégazage lunaire et le transport des gaz dans le régolithe (et donc contraindre les propriétés thermophysiques du régolithe qui les contrôlent), leur transport dans l’exosphère, le transport de la poussière du régolithe et remonter à la teneur en uranium dans le sol », ajoute Francis Rocard. Il rappelle que le Radon a déjà été détecté autour de la Lune par les missions Apollo 15 et 16 (1971-1972), Lunar Prospector (1998-1999) et la sonde japonaise Kaguya (2007-2009).

Pour le CNES, « comprendre le transport du radon sur la Lune, c’est aussi toucher du doigt le transport des molécules d’eau et appréhender la présence de glace d’eau aux pôles de la Lune ».

L’IRAP (Institut de Recherche en Astrophysique et Planétologie) rappelle que, sur Terre, le radon et ses descendants radioactifs sont utilisés « comme traceurs et géo-chronomètres des échanges entre lithosphère, hydrosphère et atmosphère, et comme traceurs du mouvement des fluides (eau et masses d’air) qui les transportent ».

Ramener 2 kg sur Terre

La mission doit aussi permettre de rapporter près de deux kg d’échantillons lunaires sur Terre. Si la mission est un succès, ce sera une première depuis la face cachée de la Lune : « Une capsule redécollera ensuite de notre satellite naturel avec 2kg d’échantillons lunaires à son bord – les premiers échantillons prélevés sur la face cachée. Ils seront transférés à un orbiteur, jusque-là en attente en orbite autour de la Lune, qui les rapportera dans le nord de la Chine une vingtaine de jours plus tard ».

Francis Rocard explique que les échantillons « pourront aussi être analysés en laboratoire et ces analyses pourront être comparées à ce que DORN aura mesuré directement dans l’environnement lunaire ».

La suite se prépare, avec une station lunaire

La suite du programme est déjà connue, comme le rappelle Le Monde : « Chang’e-7 devra explorer le pôle Sud lunaire à la recherche d’eau [en 2026, ndlr], tandis que Chang’e-8 tentera d’établir la faisabilité technique de la construction d’une base lunaire, Pékin affirmant qu’un “modèle de base” sera achevé d’ici à 2030 ».

Francis Rocard y va aussi de son analyse : « Au-delà, la Chine annonce vouloir développer une station de recherche automatisée au pôle Sud (ILRS) ouverte à la coopération internationale et qui serait à terme visitable par des taïkonautes ».

Lors de notre prise en mains en juin dernier, le gestionnaire de mots de passe de Proton manquait franchement de certaines fonctionnalités pourtant basiques. En plus d’une application Windows il y a quelques semaines, Proton vient enfin d’en ajouter, après de longs mois d’attente.

• Notre prise en main de Proton Pass, un produit bien fini mais encore jeune

Citons pour commencer le Password Health qui permet de savoir si « vous avez des mots de passe faibles ou réutilisés qui doivent être mis à jour », une fonctionnalité des plus basiques. Autre nouveauté : l’application vous indiquera les applications où vous pourrez activer l’authentification à deux facteurs, si ce n’est pas encore fait.

Les clients de la formule gratuite bénéficient de ces deux nouvelles fonctionnalités. Pour ceux qui payent un abonnement (1,99 dollar par mois), deux autres services sont ajoutés.

Tout d’abord, le Dark Web Monitoring qui va vérifier sur le Net si des données de « vos adresses Proton, vos alias de messagerie et jusqu’à 10 adresses e-mail personnalisées ont été divulguées ». Le cas échéant, une alerte vous sera envoyée. Cette fonctionnalité est déployée progressivement jusqu’au 10 mai.

Enfin, Proton Sentinel, une fonctionnalité lancée l’année dernière, qui « utilise l’IA et des analystes humains pour détecter et bloquer les attaques de piratage de compte » est intégré dans Pass Monitor.

Dirty dancing

Dirty Stream agite le Net depuis quelques jours. Il faut dire que cette « faille » fait les gros titres à coups de milliards de smartphones Android touchés. Suivant comment les applications sont programmées, elles peuvent se laisser berner par un pirate qui peut écraser des fichiers pour en prendre le contrôle. Inutile de paniquer pour autant, des correctifs sont déployés.

La semaine dernière, Microsoft a publié un billet de blog pour présenter Dirty Stream, présenté comme un « modèle de vulnérabilité courant dans les applications Android ». Les risques sont réels puisque cela peut aller jusqu’à l’exécution de code arbitraire et au vol de jetons d’identification, deux situations très dangereuses.

Avant de paniquer, un point important : Microsoft a prévenu les développeurs bien en avance afin de pouvoir corriger le tir. C’est notamment le cas des applications de gestionnaire de fichier de Xiaomi et WPS Office. Elles ont été mises à jour dès le mois de février, bien avant la publication de ce bulletin d’alerte. Microsoft s’est également rapproché de Google, qui a mis en ligne une page sur son site dédié aux développeurs Android (et une autre ici) afin de prévenir les développeurs et leur proposer des protections à mettre en place.

Content Provider : gare à l’implémentation

Mais de quoi s’agit-il exactement ? Microsoft commence par un rappel sur le fonctionnement du système d’exploitation : « Android impose l’isolation en attribuant à chaque application son propre espace dédié pour le stockage des données et la mémoire. Pour faciliter le partage des données et des fichiers, Android propose un composant appelé Content Provider, qui agit comme une interface pour gérer et exposer les données aux autres applications, de manière sécurisée ».

Utilisé correctement, le Content Provider est décrit par Microsoft comme « une solution fiable ». Mais, comme souvent, une implémentation « inappropriée peut introduire des vulnérabilités qui pourraient permettre de contourner les restrictions de lecture/écriture dans le répertoire personnel d’une application ».

On est donc face à un cas malheureusement assez classique où il faut distinguer le protocole ou la fonctionnalité de son implémentation (c’est-à-dire sa mise en œuvre de manière pratique) dans les applications. Comme on a pu le voir par le passé (ici, là et encore ici ou là… et ce n’est que la partie visible de l’iceberg), il peut y avoir une grande différence entre les deux.

On vous épargne le fonctionnement précis du Content Provider (détaillé ici par Google), mais il arrive que des applications « ne valident pas le contenu du fichier qu’elle reçoive et, ce qui est le plus inquiétant, utilisent le nom de fichier fourni » par l’application qui envoie les données. Ce fichier est alors stocké dans le répertoire de données interne de l’application ciblée. Voyez-vous venir le risque ?

Remplacer des fichiers par ceux des pirates

Avec des noms de fichier taillés sur mesure, l’application d’un pirate peut donc remplacer les fichiers clés de l’application cible et ainsi en prendre le contrôle. Dans tous les cas, l’impact varie en fonction des applications et de leur mise en œuvre.

« Par exemple, il est très courant que les applications Android lisent les paramètres de leur serveur à partir du répertoire shared_prefs. Dans de tels cas, l’application malveillante peut écraser ces paramètres, ce qui l’oblige à communiquer avec un serveur contrôlé par l’attaquant et à envoyer les jetons d’identification de l’utilisateur ou d’autres informations sensibles », explique Microsoft. Ce serait un peu comme si une application pouvait venir remplacer n’importe quel fichier sur votre ordinateur…

Microsoft en ajoute une couche : « Dans le pire des cas (et ce n’est pas si rare), l’application vulnérable peut charger des bibliothèques natives à partir de son répertoire de données dédié (par opposition au répertoire /data/app-lib, plus sécurisé, où les bibliothèques sont protégées contre toute modification). Dans ce cas, l’application malveillante peut écraser une bibliothèque avec du code malveillant, qui est alors exécuté lors du chargement ».

Dans le cas du gestionnaire de fichier de Xiaomi, cette technique a permis d’exécuter du code « arbitraire avec l’ID utilisateur et les autorisations du gestionnaire de fichiers ». On vous laisse imaginer le boulevard que cela ouvre au pirate, qui peut ainsi contrôler l’application et accéder à l’ensemble des fichiers ou presque.

Google confirme et donne des « astuces »

Google confirme les risques sur cette page : « Si un pirate informatique parvient à écraser les fichiers d’une application, cela peut entraîner l’exécution de code malveillant (en écrasant le code de l’application) ou sinon, permettre la modification du comportement de l’application (par exemple, en écrasant les préférences partagées de l’application ou d’autres fichiers de configuration) ».

Au-delà des applications mises à jour, d’autres peuvent encore être vulnérables. Microsoft et Google proposent donc des méthodes pour éviter de tomber dans ce piège.

« La solution la plus sûre consiste à ignorer complètement le nom renvoyé par l’application lors de la mise en cache du contenu. Certaines des approches les plus robustes que nous avons rencontrées utilisent des noms générés aléatoirement, de sorte que, même dans le cas où le contenu d’un flux entrant est mal formé, il n’altère pas l’application ». Une autre solution serait d’enregistrer les fichiers dans un répertoire dédié.

Mille milliards de mille sabords

Terminons avec un mot sur l’emballement autour de cette affaire. On entend souvent parler de milliards de terminaux affectés, ce n’est pas aussi simple. Microsoft explique avoir « identifié plusieurs applications vulnérables dans le Google Play Store qui représentaient plus de quatre milliards d’installations ». Quatre milliards d’installations (dont plus d’un milliard pour la seule application de Xiaomi) ne signifie pas que quatre milliards de smartphones sont touchés, loin de là.

La question est aussi de savoir si on doit parler d‘une mauvaise gestion des données du côté des développeurs qui laissent des données de leur application se faire écraser par des fichiers externes, ou bien d’une faille d’Android qui laisse ce genre d’action passer, peu importe ce qu’en disent les applications.

Cela fait maintenant près de quatre ans que la fondation éponyme propose son Raspberry Pi 4 en version Compute Module. Il reprend le gros des caractéristiques de la v4 du Single Board Computer (SBC), dont son SoC Broadcom BCM2711.

Mais ce Compute module 4 introduisait un nouveau format, avec une connectique différente. Par la suite, un Compute Module 4S a été proposé, en reprenant le format SO-DIMM du Compute Module 3(+), afin de permettre une évolution à ceux qui le souhaitent.

• Raspberry Pi : le Compute Module 3+ disponible avec ou sans eMMC, dès 25 dollars – Next

Le Compute Module 4S était uniquement proposé avec 1 Go de mémoire, mais de nouvelles variantes sont désormais disponibles, avec 2, 4 ou 8 Go de mémoire. La fondation annonce au passage que la production de son Compute Module 4S sera assurée « au moins jusqu’en janvier 2034 ».

Le tarif varie de 25 dollars (1 Go de mémoire, pas d’eMMC) à 75 dollars pour 8 Go et 32 Go respectivement. Raspberry Pi propose le product brief et une fiche technique.

Maintenant qu’Ubuntu 24.04 LTS est disponible, Canonical se penche sur la suite, comme l’indique Neowin. La prochaine version majeure portera donc le numéro 24.10. Elle est baptisée Oracular Oriole et, comme son numéro l’indique, sortira en octobre.

• Ubuntu 24.04 LTS se profile comme une version majeure, le tour des nouveautés

La première grande étape arrivera le 15 août avec le gel des fonctionnalités et des importations depuis Debian. Ce sera au tour de l’interface utilisateur le 5 septembre. Quelques jours plus tard, la bêta sera finalisée et mise en ligne le 19 septembre, si tout va bien.

Il faudra attendre le 10 octobre pour la version finale. Contrairement à la 24.04, il ne s’agit pas d’une version LTS supportée pendant cinq ans, mais pendant neuf mois seulement, jusqu’en juillet 2025. Mais une nouvelle version sort tous les six mois (en avril et octobre), il suffit d’y passer pour continuer à recevoir les mises à jour. Les LTS sont mises en ligne tous les deux ans.

Phoronix explique que « les développeurs d’Ubuntu sont plus libres d’innover dans ces cycles. Ubuntu 24.10 sera vraisemblablement sur le noyau Linux ~6.11, le bureau GNOME 47, le compilateur GCC 14.1 ».

Faire plus avec moins ?

La répression des fraudes vient de publier son bilan pour 2023 : les signalements sur SignalConso sont en hausse, tandis que le nombre d’injonctions explose littéralement. Pour 2024, la DGCCRF prévoit de se pencher sur la sécurité des produits vendus sur internet, les influenceurs, le drop-shipping, les véhicules électriques, l’éco-conception, la vente d’occasion…

Comme tout bon bilan qui se respecte, la DGCCRF commence par quelques chiffres. Sur ses effectifs pour commencer : elle comptait 2 907 agents en 2023, contre 2 885 en 2022, soit une petite hausse de 22 agents sur un an. C’est toutefois moins que les 2 912 agents de 2021.

« Nous avons exercé une surveillance assez large du marché, avec une pression de contrôle des acteurs économiques, mais surtout que nous avons renforcé nos actions de ciblages et d’enquêtes sur les fraudes les plus graves, et donc de sanctions sur les fraudes les plus graves », explique Sarah Lacoche (directrice générale de la DGCCRF) dans son discours introductif.

273 120 signalements, 140 230 sur les boutiques en ligne

En 2023, 273 120 signalements ont été enregistrés sur la plateforme SignalConso, dont « 70 % ont été lus par les professionnels concernés qui y ont répondu à 88 % ». C’est plus qu’en 2022 où 267 300 signalements étaient enregistrés, contre 148 590 en 2021 et 47 456 en 2020.

Cela fait maintenant près de cinq ans que la première mission Starliner décollait direction la Station spatiale internationale. Aucun astronaute n’était alors à bord, il s’agissait de tester la capsule habitable qui devait concurrencer Crew Dragon de SpaceX.

• Retour sur le succès (ou l’échec) partiel de la capsule spatiale habitable Starliner de Boeing

Boeing a ensuite enchainé les déboires, jusqu’au mois de mai 2022 lorsque la capsule Starliner s’était enfin arrimée à l’ISS. Le voyage ne s’est pas exactement passé comme prévu, même s’il s’est bien terminé et a été considéré comme un succès.

Il y a eu des pannes sur deux des douze moteurs de la capsule, causées par une chute de pression. La capsule a aussi été confrontée à un souci de contrôle de la température et le mécanisme d’amarrage qui a dû être déployé deux fois.

• La capsule habitable Starliner s’est (enfin) arrimée à l’ISS… malgré quelques couacs

On ne compte plus les retards, pour des raisons diverses et variées. En juin dernier, Boeing découvrait des attaches des parachutes moins résistantes que prévu et du ruban adhésif inflammable. « Boeing a décidé à l’unanimité qu’il fallait apporter des correctifs. Nous avons décidé de suspendre les préparatifs de la mission CFT », expliquait le constructeur.

Quoi qu’il en soit, on arrive donc à la mission du jour, la première avec des astronautes à bord. Ils sont deux anciens de la NASA : Butch Wilmore et Suni Williams. La capsule est installée sur une fusée Atlas V d’United Launch Alliance (ULA). Le décollage est prévu cette nuit, à 4:34 heure française.

Starliner doit permettre à l’Agence spatiale américaine de disposer de deux capsules permettant d’envoyer des humains dans la Station spatiale internationale. Pour le moment, SpaceX est la seule à pouvoir le faire, si on laisse de côté la capsule Soyouz russe.

En plus d’être cofondateur de Twitter (désormais X, entre les mains d’Elon Musk), Jack Dorsey est aussi cofondateur de Bluesky, un réseau social décentralisé concurrent de X. Sur X justement, il annonce ne plus être au Conseil d’administration de Bluesky (réponse succincte, avec un simple « non »).

Annonce ensuite confirmé sur Bluesky par le compte officiel du réseau social : « Nous remercions sincèrement Jack pour son aide au financement et au lancement du projet Bluesky […] Avec le départ de Jack, nous recherchons un nouveau membre du Conseil d’administration ». Aucun détail supplémentaire n’est donné.

On ne sait pas depuis quand exactement il n’est plus au conseil d’administration. L’année dernière, Jack Dorsey avait supprimé son compte Bluesky (ainsi qu’Instagram).

Sur X, il publie un autre message : « ne dépendez pas des entreprises pour garantir vos droits. Défendez-les vous-même en utilisant des technologies libres. (Vous en êtes une) ». Il s’est désabonné de la totalité des comptes sur X, sauf trois : Stella Assange, Edward Snowden et Elon Musk.

Pendant ce temps-là, chez AMD…

Alors qu’il règne toujours un certain flou autour de la cause première des plantages des Core i9 de 13e et 14e génération, Intel est officiellement sortie du bois. Le fondeur nous fait suivre ses recommandations officielles et ne cherche pas à « imputer la faute aux partenaires d’Intel ». Dans tous les cas, l’enquête continue.

Il y a quelques semaines, nous revenions sur le cas des plantages à répétitions avec certains Core i9 de 13e et 14e génération. Plusieurs éditeurs de jeux vidéo étaient sortis du bois, notamment Epic Games qui expliquait que « Fortnite plante fréquemment sur les processeurs i9-13900K/KF/KS et i9-14900K/KF/KS ».

• Plantages à répétition des Core i9 de 13e et 14e générations : Intel annonce (enfin) enquêter

La semaine dernière, l’affaire est revenue sur le devant de la scène avec, notamment, ce qui serait un communiqué officiel d’Intel mis en ligne par Igor’s Lab, le site d’Igor Wallossek qui s’occupait auparavant de Tom’s Hardware Germany. Si on utilise le conditionnel, c’est que – comme plusieurs de nos confrères (notamment AnandTech) – nous n’avons pas pu obtenir la confirmation qu’il s’agissait (ou non) d’une déclaration officielle.

Un communiqué peut en cacher un autre

Quoi qu’il en soit, la tendance de fond est de rejeter la faute sur les fabricants de cartes mères et sur les paramètres des BIOS/UEFI qui joueraient avec les limites et/ou désactiveraient certaines protections. Un des points mis en avant serait l’augmentation des PL1 (Power Limit1, en mode normal) et PL2 (Power Limit2, en mode turbo) au-delà des recommandations d’Intel. Les mises à jour déployées par certains fabricants de cartes mères ainsi que les changements proposés dans les BIOS vont dans le sens de paramètres un peu trop généreux sur l’overclocking. La question reste de savoir si Intel encourage et autorise ces pratiques (en permettant à ses partenaires de jouer avec les limites) ou bien s’il s’agit de mesures mises en place par les fabricants pour aller toujours plus vite (et être les premiers dans les benchmarks au passage). Seule certitude, la définition du mot « par défaut » n’est pas la même pour tout le monde.

Les conseils d’Intel pour améliorer la stabilité

Si nous en parlons aujourd’hui, c’est qu’Intel France nous a transmis le communiqué suivant (sans préciser ce qu’il en était de celui mis en ligne par Igor’s Lab) : « Les communications récemment publiées entre Intel et ses partenaires concernant les paramètres des cartes mères pour les processeurs Intel Core de 13e et 14e génération de la série K visent à fournir des conseils sur les paramètres par défaut recommandés par Intel ». « Nous continuons d'enquêter avec nos partenaires sur les récents rapports d'utilisateurs faisant état d'instabilité de certaines charges de travail sur ces processeurs », ajoute l’entreprise. Intel joue donc la carte de l’apaisement avec ses partenaires : « Ces conseils sur les paramètres par défaut du BIOS visent à améliorer la stabilité des processeurs, pendant qu'Intel continue d'enquêter sur la cause première, et non à imputer la faute aux partenaires d'Intel ». Intel nous fait suivre une liste de paramètres recommandés dans les BIOS/UEFI pour les processeurs de 13e et 14e génération de la série K :

La petite « * » renvoie vers la datasheet des processeurs concernés. On remarque qu’Intel ne cite aucun fabricant de cartes mères dans son communiqué. Le fondeur précise enfin qu’il « continue de travailler avec ses partenaires pour développer des mesures d'atténuation appropriées à l'avenir ».

Les fabricants de cartes mères réagissent

Quoi qu’il en soit, les fabricants de cartes mères n’ont pas attendu et certains ont déjà déployé des mises à jour de leur BIOS/UEFI depuis plusieurs jours. Asus était visiblement le premier à réagir. Sur les notes de version du BIOS 2202 du 19 avril de la ROG MAXIMUS Z790 APEX (un modèle parmi bien d’autres), il est indiqué : « La mise à jour introduit l'option Intel Baseline Profile, permettant aux utilisateurs de revenir aux paramètres d'usine Intel par défaut pour les fonctionnalités de base, des limites de puissance inférieures et une amélioration de la stabilité dans certains jeux ». Pas de nouveaux BIOS pour le moment chez MSI, mais une liste de recommandations à suivre pour paramétrer sa carte mère. Il est notamment question de revenir à une limite PL1 de 253 watts, alors qu’elle peut être de 288 watts et même de… 4096 watts. Gigabyte aussi a réagi. La version F2d du BIOS de la Z790 Aorus Xtreme X ICE est disponible depuis le 23 avril. Il est question de l’ajout dans le menu Turbo Power Limites d’un profil « Intel BaseLine », pour les processeurs de 13e et 14e génération de la série K. Cela pourrait être un retour aux spécifications de base d’Intel, mais aucun détail n’est donné.

Bien évidemment, ces changements ont des conséquences sur les performances, qui sont variables selon les « optimisations » qui étaient en place. La différence est néanmoins notable, comme l’indiquent HardwareLuxx et Phoronix pour ne citer que ces deux-là.

Pour quelques milliards t’as plus rien

L’actualité est plus que chargée pour la société de Cupertino. Alors qu’elle vient de revoir le fonctionnement de ses commissions sur l’App Store, notamment pour alléger la note des « petits » développeurs, la société vient de publier son bilan financier de son deuxième trimestre fiscal (clôturé au 30 mars 2024).

• App Store et sideloading : Apple revoit sa copie sur les commissions

La vente de produits perd 10 % (7 milliards de dollars)

Les revenus sont en baisse : 90,8 milliards de dollars, contre 94,8 milliards un an auparavant. La cause n’est pas à chercher loin : la vente de produits est passée de 73,9 à 66,9 milliards de dollars. Les services augmentent de trois milliards (23,9 milliards de dollars) et permettent de limiter la casse. On comprend un peu mieux pourquoi Apple s’accroche à ses commissions…

Dans le détail, les ventes de Mac sont en très légère hausse, les iPad et les accessoires en petite baisse. Les iPhone, qui représentent la moitié du chiffre d’affaires global de l’entreprise, perdent cinq milliards de dollars et entrainent donc les revenus.

Apple à la peine en Chine et en Asie

Au niveau mondial, les États-Unis et l’Europe sont à peu près stables, mais Apple perd du terrain en Chine (mais reste tout de même un peu au-dessus des attentes du marché), au Japon et dans le reste de l’Asie-Pacifique. Le bénéfice net est de 23,6 milliards de dollars, contre 24,2 milliards un an auparavant.

Mais on ne retient souvent que l’addition finale, et elle est en baisse. « Si la performance est légèrement meilleure qu’attendu par Wall Street (90,5 milliards de dollars), elle n’en constitue pas moins un cinquième trimestre de baisse des ventes sur les six dernières séquences », note Les Échos. La sanction dans ce genre de cas ne se fait généralement pas attendre : une baisse de la cotation en bourse.

Hausse des dividendes, 110 milliards de dollars de rachat d’actions

Mais, Apple sort deux atouts de sa manche. Tout d’abord, « le conseil d’administration d’Apple valide un dividende en espèces de 0,25 dollar par action ordinaire de la société, soit une augmentation de 4 % ». Ensuite, il a « également autorisé un programme supplémentaire visant à racheter jusqu’à 110 milliards de dollars d’actions ordinaires de la société ». Selon nos confrères, c’est « le plus important de toute l’histoire des États-Unis ».

Luca Maestri, directeur financier d’Apple, rappelle que c’est « la douzième année consécutive » qu’Apple augmente son dividende et que les 110 milliards de dollars sont la preuve de la « confiance dans l’avenir d’Apple et de la valeur de ses actions ».

Et ça marche. Alors que l’action a terminé à 173 dollars hier, elle est actuellement à 183 dollars avant l’ouverture du NASDAQ (à 15h30), soit 7 % de mieux.

IA et rendez-vous à venir

En retard sur l’intelligence artificielle, Tim Cook ne pouvait passer à côté du sujet : « Nous continuons d’être très optimistes quant à notre opportunité dans l’IA générative. Nous faisons des investissements importants et nous sommes impatients de partager bientôt des choses très excitantes avec nos clients ».

L’actualité des prochains jours sera chargée : de nouveaux iPad le 7 mai (de quoi peut-être doper un peu les ventes de produits) et la WWDC 2024 du 10 au 14 juin. De nombreuses annonces autour de l’IA sont attendues. « Nous pensons que nous avons des avantages qui nous différencieront dans cette nouvelle ère, notamment la combinaison unique d’Apple d’une intégration transparente du matériel, des logiciels et des services », a indiqué Tim Cook, comme le rapporte Les Échos.

Terminons enfin avec un mot sur le Vision Pro, mais juste un mot, car on manque d’élément : « Au cours du trimestre, nous avons été ravis de lancer Apple Vision Pro et de montrer au monde le potentiel que l’informatique spatiale libère », a simplement indiqué Tim Cook. Pas un mot sur les ventes.

Under pressure

Apple revoit sa copie sur les commissions récupérées suite à la mise en place des nouvelles conditions commerciales suite au lancement, forcé par le DMA, du sideloading. Ceux qui ne gagnent rien avec leur application sont exonérés, tandis que les « petits » développeurs peuvent bénéficier d’une période de clémence pendant trois ans.

Au début de l’année, Apple détaillait le fonctionnement et surtout les conditions tarifaires des boutiques tierces sur iOS. Il était question du sideloading, c’est-à-dire de l’installation d’applications en dehors de la boutique officielle, l’Apple Store.

• App Store : Apple détaille ses adaptations au DMA, des réactions déjà virulentes

Apple ouvre son Store, les frais font jaser

Comme nous l’avions alors expliqué, les commissions pour certains développeurs pouvaient s’envoler littéralement. Un exemple : avec un million d’installations et six millions de revenus pour une application (un abonnement de 5,99 dollars par exemple), la redevance serait de 100 000 dollars par mois (1,2 million par an).

Certains développeurs avaient à ce moment-là fait part de leur intention de ne pas publier leur application en Europe. Andy Yen, fondateur et CEO de Proton, fustigeait la position d’Apple : « La prétendue conformité d’Apple au DMA est de mauvaise foi. Le DMA est censé favoriser la concurrence, mais les déclarations […] montrent qu’Apple se bat bec et ongles pour maintenir ses bénéfices et son monopole par toutes les méthodes de manipulation possibles ». Apple en profitait de son côté pour fustiger le DMA.

Un risque pour les petits développeurs

En mars, le développeur Riley Testut était monté au créneau durant un atelier sur le Digital Markets Act, comme le rappelle Macrumors. Il demandait à des responsables d’Apple ce qui se passerait si l’application d’un jeune développeur devenait virale du jour au lendemain. Il parlait en connaissance de cause, son application GBA4iOS avait été téléchargée plus de 10 millions de fois en dehors de l’Apple Store.

Cela pourrait engendrer des centaines de milliers de dollars (voire plus…) de frais. Kyle Andeers, vice-président d’Apple, expliquait alors que l’entreprise travaillait sur une solution. Elle est désormais en ligne.

En mars toujours, la Commission européenne tapait du poing sur table et lançait des procédures d’infraction du DMA contre Google, Apple, Meta et Amazon. Les griefs contre le père de l’iPhone concernent notamment la « nouvelle structure tarifaire d’Apple et les autres conditions générales applicables aux magasins d’applications alternatifs et à la distribution d’applications à partir du web ». Cela pourrait être incompatible avec l’article 6 paragraphe 4 du DMA.

• La Commission européenne lance des procédures d’infraction du DMA contre Google, Apple, Meta et Amazon

Sideloading : iPadOs suivra le chemin d’iOS cet automne

Hier, Apple a mis à jour sa page expliquant le fonctionnement de sa « Core Technology Fee ». Première nouvelle, on apprend qu’iPadOS aura droit au même traitement qu’iOS « plus tard cet automne ». N‘y voyez pas une bonne action « gratuite » d’Apple, le système d’exploitation vient d’être désigné comme contrôleur d’accès.

Ainsi, il est donc soumis au DMA, comme iOS. Le fabricant a six mois pour se conformer au règlement, ce qui nous emmène à cet automne.

• DMA : la Commission européenne désigne iPadOS comme contrôleur d’accès – Next

Étudiants, amateurs et développeurs non commerciaux

Par la suite, le discours change rapidement et la société affirme maintenant proposer « des conditions dans lesquelles de nombreux développeurs ne paient pas de CTF ». En effet, le principe de base – 0,50 euro pour chaque première installation annuelle au-delà d’un seuil de 1 million – reste exactement le même, mais plusieurs exceptions sont ajoutées.

Comme c’était déjà le cas, les applications à moins d’un million de téléchargements annuels sont exemptées, de même que les organisations à but non lucratif, les établissements d’enseignement accrédités et entités gouvernementales bénéficiant de l’exonération des frais de l’Apple Developer Program.

Nouveauté importante : les développeurs qui ne gagnent aucun revenu sont également exonérés du CTF. « Cela inclut l’offre d’une application gratuite sans monétisation d’aucune sorte (physique, numérique, publicitaire ou autre). L’objectif est de donner aux étudiants, aux amateurs et à d’autres développeurs non commerciaux la possibilité de créer une application populaire sans payer la CTF », explique Apple.

« Petits » développeurs : des conditions particulières

Ensuite, concernant les « petits » développeurs, Apple propose un programme de « démarrage » sur trois ans.

Ceux qui généreront moins de 10 millions d’euros de chiffre d’affaires (au niveau mondial, toutes activités confondues) et qui n’auront pas encore dépassé le million de premières installations annuelles bénéficieront d’une période de grâce des frais pendant trois ans : « Ils ne paieront pas de CTF pour les premières installations annuelles qui dépassent le seuil tant qu’ils continuent de générer moins de 10 millions d’euros de chiffre d’affaires mondial au cours des trois ans ».

Si pendant cette période de trois ans un « petit développeur » voit son chiffre d’affaires passer les 10 millions d’euros, mais rester en dessous de 50 millions (toujours en annuel et au niveau mondial), il paiera des commissions, mais dans une certaine limite : « ils commenceront à payer le CTF après un million de premières installations annuelles, dans la limite d’un million d’euros par an ».

Dans tous les cas, « après trois ans, ils paieront pour chaque première installation annuelle après le million initial d’installations annuelles ». La calculatrice maison d’Apple a été mise à jour pour prendre en compte les changements.

Apple sera très certainement très attentive à ce que les bénéficiaires soient dans les clous. Les développeurs devront ainsi « déclarer chaque année que leurs revenus commerciaux mondiaux se situent dans un niveau éligible ». Il faudra obligatoirement faire la première déclaration avant que l’application dépasse le million.

Sans aucune surprise, Tim Sweeney (patron d’Epic) est toujours autant remonté contre Apple. Ces changements sont, selon lui, « encore un geste pourri et de mauvaise foi ».

La « bonté » d’Apple se limite aux développeurs d’applications. « Les développeurs de place de marché alternative paient les CTF pour chaque première installation annuelle de leur application, y compris les installations effectuées avant un million ».

Comment Apple va compter les installations iOS et iPadOS

Lorsque le sideloading sera disponible sur les tablettes Apple, « les installations sur iPadOS compteront également » pour établir si l’application dépasse ou non le seuil d’un million d’installations annuelles. Néanmoins, « les utilisateurs qui installent la même app sur iOS et iPadOS au cours d’une période de 12 mois ne généreront qu’une seule première installation annuelle pour cette application ».

L’entreprise française (basée dans la région de Nantes) vient de renouveler son kit Play pour l’autoconsommation. Nous avions pour rappel décortiqué la première version, avec un panneau DMEGC de 405 watts et un micro-onduleur Hoymiles HM-400.

• Panneaux solaires en autoconsommation : on décortique le kit Play de Sunology

Avec Play2, le fabricant passe sur un panneau de 450 watts (cellule Topcon RT, rendement de 22,5 %), toujours avec la technologie bi-face. Les cellules peuvent aussi capter des rayons du soleil par l’arrière et ainsi ajouter jusqu’à 135 watts de plus, soit un total théorique de 585 watts.

On est donc toujours à 30 % de plus (maximum théorique) grâce au bi-face, exactement comme sur le Play premier du nom qui pouvait ainsi grimper jusqu’à 527 watts. Nous reviendrons prochainement sur le fonctionnement et les performances du bi-face avec le test d’un panneau solaire.

Sunology ajoute un micro-onduleur « exclusif » de 450 watts, correspondant. Ce dernier est directement « connecté à l’application STREAM », alors qu’il fallait auparavant passer par une prise connectée pour suivre sa production.

Le fabricant met en avant un « design renforcé » et une rentabilité « améliorée » par rapport à Play, « à partir de trois ans », mais cela dépend évidemment de votre emplacement, du taux d’ensoleillement, etc. Il faut prendre les trois ans comme une durée minimum, la réalité est souvent bien différente.

Toutes les caractéristiques techniques sont disponibles par ici. Le kit (panneau, micro-onduleur et support prémonté) est vendu 699 euros.

• Kit solaire d’autoconsommation : que faut-il savoir avant d’en installer un soi-même ?
• Courant électrique, puissance, déphasage, Wh, Ah, kVA… Perdus ? Pas de panique, on vous explique

Zen restons Zen

AMD vient de fêter ses 55 ans et, comme souvent sur Next, ce genre d’anniversaire est l’occasion de vous proposer une petite rétrospective de la marque. Elle a commencé par cloner des CPU Intel avant de se lancer toute seule, avec une belle réussite depuis quelques années.

On parlera ici principalement des CPU, car nous avons déjà consacré tout un dossier aux évolutions des GPU. Pour rappel, AMD a racheté ATI en 2006, pour 5,4 milliards de dollars. La marque ATI n’a pas été conservée, mais la dénomination des Radeon oui, et elle perdure encore aujourd’hui.

Dans les autres rachats marquants, rappelons qu’AMD s’est payé Xilinx (une société spécialisée dans les FPGA) pour 35 milliards de dollars en 2020.

• Cartes graphiques : 30 ans d’évolution des GPU
• AMD et Xilinx officialisent leur « deal » à 35 milliards de dollars (en actions)

Retour dans le passé des années 70

« L’”expérimentation” de la vidéosurveillance algorithmique (VSA) dans le cadre fixé par la loi “Jeux Olympiques” adoptée l’an dernier n’en est pas une : elle n’est qu’une manœuvre hypocrite destinée à légaliser par petites touches une infrastructure policière déjà massivement déployée en France », explique l’association en guise d’introduction.

Au cours des dernières semaines, de nouvelles expérimentations ont été autorisées. Il y a eu le Festival de Cannes, un concert du groupe Black Eyed Peas à la Défense Arena et le match de football PSG-OL au parc des Princes.

• JOP : la préfecture de Paris autorise deux nouvelles expérimentations de vidéosurveillance algorithmique (VSA)
• JOP : le festival de Cannes expérimentera lui aussi la vidéosurveillance algorithmique (VSA)

La Quadrature du Net dénonce « l’hypocrisie ambiante » de ces expérimentations et « vient de déposer une plainte devant la CNIL contre un déploiement de la VSA totalement illégal et resté largement sous les radars : le projet Prevent PCP ».

La Quadrature en profite pour mettre en ligne de nombreuses ressources pour « nourrir une opposition populaire à la VSA ». Il y a une brochure et une page de campagne dédiée. Pour l’association, le pire est à venir : « les projets de loi visant à pérenniser la VSA en recourant aux applications les plus sensibles […] sont pour certains déjà dans les cartons ».

Ars Technica explique qu’une « nouvelle version de la loi de 2022 sur la sécurité des produits et l’infrastructure des télécommunications (PTSI) est maintenant en vigueur ». Désormais, tous les produits connectés doivent disposer d’un « mot de passe aléatoire ou générer un mot de passe lors de l’initialisation (via une application pour smartphone ou d’autres moyens) ».

Les Britanniques ont pris soin de préciser que le mot de passe ne peut pas être incrémentiel de type password1, password2… et ne doit pas être « lié de manière évidente à des informations publiques ». On pense notamment à l’adresse MAC ou un SSID de réseau Wi-Fi.

Un mécanisme « simple » doit permettre de changer le mot de passe. On se souvient, par exemple, que certaines caméras chinoises avaient un mot de passe écrit en dur, directement dans le code… Dans la même idée, les composants logiciels doivent pouvoir être mis à jour.

Des sanctions sont prévues en cas de non-respect : « jusqu’à 10 millions de livres [environ 11,7 millions d’euros, ndlr] ou 4 % du chiffre d’affaires mondial connexe, selon le montant le plus élevé », expliquent nos confrères.

La loi Cyber résilience en Europe… pour 2027 ?

En Europe, la sécurité des produits numériques est aussi en train d’être revue avec la loi Cyber résilience. Elle prévoit notamment que les produits tels que des logiciels de gestion d’identité, les gestionnaires de mots de passe, les lecteurs biométriques, les assistants domestiques intelligents et les caméras de sécurité privées « soient couverts par les nouvelles règles. Les produits devraient également recevoir des mises à jour de sécurité installées automatiquement et séparément des mises à jour de fonctionnalités ».

Le Conseil doit encore voter la directive, puis l’Union européenne doit la publier à son journal officiel. Il entrera en vigueur 20 jours plus tard et « les nouvelles règles s’appliqueront trois ans après l’entrée en vigueur du règlement », précise Mathias Avocat. Tout cela nous emmène vers la seconde moitié de 2027.

La mémoire HBM (High Bandwidth Memory) propose une bande passante élevée, elle est donc très prisée dans les systèmes pensés pour l’intelligence artificielle. NVIDIA en use massivement sur ses GPU Blackwell et Hopper.

• NVIDIA annonce son GPU Blackwell (B200) pour l’IA, jusqu’à 20 000 TFLOPS (FP4)

SK Hynix avait déjà annoncé il y a quelques semaines avoir vendu l’intégralité des puces prévues pour 2024 : « Notre volume de production de HBM prévu pour cette année est déjà épuisé. Même si 2024 ne fait que commencer, nous avons déjà commencé à préparer 2025 pour garder une longueur d’avance sur le marché ».

• GPU et IA (générative) : des annonces tous azimuts sur la HBM3E

Reuters explique que, lors d’une conférence, le CEO de l’entreprise, Kwak Noh-Jung, a indiqué que la production de 2025 « était presque épuisée pour 2025 ». Il y a peu, Sanjay Mehrotra, directeur général de Micron, faisait une déclaration du même genre : « notre HBM est épuisée pour l’année civile 2024, et l’écrasante majorité de notre approvisionnement pour 2025 a déjà été allouée », comme le rapportait AnandTech.

Samsung n’a, semble-t-il, pas encore fait part de ses prévisions pour cette année et la suivante. Le fabricant indique simplement que « les expéditions de puces HBM de cette année devraient plus que tripler et qu’il a finalisé les discussions sur l’approvisionnement avec les clients », sans plus de détails.

Avec SK Hynix et Micron, ce sont les trois plus gros fabricants de mémoire HBM, dont raffolent les GPU dédiés à l’intelligence artificielle.

La vente aux enchères est organisée par le GSA (General Services Administration) Auctions, un site officiel américain. Elle a débuté le 26 avril et se terminera dans la nuit du 3 au 4 mai, à 1h du matin (heure française). Le montant dépasse pour le moment de peu les 100 000 dollars, avec une vingtaine d’enchères.

Le GSA Auctions précise que « le système est fourni dans son état actuel », une manière de dire ni repris ni échangé. De plus, un point important est à prendre en considération (on vous livre la phrase en anglais pour éviter de dire n’importe quoi avec une traduction) : « the system is currently experiencing maintenance limitations due to faulty quick disconnects causing water spray ».

Pour en revenir à Cheyenne, la machine appartient au National Center for Atmospheric Research (NCAR) et se trouve dans la ville de Cheyenne, dans le centre des États-Unis. Elle a été installée en 2016 et comporte pas moins de 144 900 cœurs CPU (Xeon E5-2697v4 18C/36T à 2,3GHz) pour une puissance maximum théorique de 5,33 Pflops.

Cheyenne était rentrée à la 21e place du Top 500 des supercalculateurs sur le classement de novembre 2016, avant de glisser doucement à la 160e place sur celui de novembre 2023 (le dernier en date). Au-delà du prix et du transport (au moins sept tonnes selon ce document), il faudra prendre en compte les besoins en refroidissement et la consommation électrique avec une puissance de 1 727 kW.

Au classement Green 500, basé sur l’efficacité énergétique (GFlops/watts), Cheyenne est 158e avec un rapport de 2,77. On est très loin des deux premiers à plus de 60 et du Top 20 qui est à plus de 30.

La séparation entre LogMeIn (devenue depuis GoTo) et le gestionnaire de mot de passe avait été annoncée en décembre 2021. Mais tout ce n’est pas passé comme prévu… loin de là.

Tout d’abord, en août 2022, la société indique s’être fait dérober du code source et des informations techniques. En décembre, on apprenait que des données personnelles et des mots de passe étaient dans la nature. Il a fallu attendre mars 2023 pour que LastPass confirme que les pirates sont entrés par l’ordinateur d’un développeur.

Cette communication pour le moins chaotique a provoqué la colère de plusieurs chercheurs, qui ont pointé du doigt le manque de précision, quand ce n’est pas une communication volontairement trompeuse de la société. Depuis, l’image de l’application est bien abimée.

• Les insuffisances de LastPass fustigées par des chercheurs en sécurité
• La fuite de LastPass pourrait avoir causé plus de 35 millions de dollars de vols en cryptoactifs

Bref, ce n’était certainement pas une période idéale pour annoncer que le gestionnaire de mot de passe volait officiellement de ses propres ailes. Plus de deux ans après l’annonce de la séparation, LastPass est désormais une entreprise indépendante. Bien évidemment, le communiqué se réjouit de ce nouveau départ et ne traite pas des problèmes passés.

Elle est détenue par les investisseurs Francisco Partners et Elliott Management. Karim Toubba, qui est CEO de LastPass depuis avril 2022 (et donc durant la période de la communication chaotique suite au piratage) reste à la tête de l’entreprise.

Dans un communiqué de presse, Blizzard annonce : « au terme d’une longue réflexion pendant l’année écoulée, nous avons pris la décision de ne pas organiser de BlizzCon en 2024 ». Une décision qui « n’a pas été prise à la légère ».

L’éditeur ménage la chèvre et le chou : « nous sommes toujours aussi enthousiastes à l’idée de voir revenir la BlizzCon dans les années à venir ». Les dernières éditions étaient chaotiques. Pas de BlizzCon en 2020 et 2021 pour cause de pandémie.

En 2022, le rendez-vous n’a pas eu lieu non plus, sur fond de polémique cette fois-ci : des témoignages sur l’ambiance toxique ont provoqué des remaniements dans l’entreprise, qui était alors en pleine procédure de rachat par Microsoft. La BlizzCon s’était déroulée en 2023.

• Microsoft annonce le rachat d’Activision Blizzard pour 68,7 milliards de dollars en cash !

Blizzard ne ferme pas sa communication et promet de donner davantage d’informations « sur les lancements de l’année, dont World of Warcraft: The War Within et la première extension de Diablo IV, Vessel of Hatred ». « Nous aurons le plaisir d’organiser plusieurs évènements sur site à travers le monde pour fêter le 30e anniversaire de Warcraft. Ceux-ci viendront compléter les festivités qui auront lieu dans les différents jeux inspirés de Warcraft en 2024 », ajoute la société.

L’éditeur sera présent à « d’autres salons et conventions telles que la Gamescom ». L’E3 a pour rappel définitivement fermé ses portes.

Jeux vidéo : l’E3 ferme définitivement ses portes