Alors que revoilà le canal auxiliaire

Apple a un nouveau problème sur les bras : ses puces Apple Silicon, qui équipent ses Mac, ont une faille. Elle peut être exploitée pour récupérer des clés cryptographiques. Pourtant, il s’agit du même type de vulnérabilité que l’on observe dans les processeurs depuis des années.

Des chercheurs ont annoncé avoir trouvé une faille de sécurité dans les processeurs M1, M2 et M3 d’Apple (les puces Ax des iPhone ne sont pas concernées). Baptisée GoFetch, elle est liée aux mécanismes de prédiction, que l’on retrouve dans les processeurs depuis longtemps, bien qu’ici à un degré plus poussé.

Les puces Apple Silicon vont cependant plus loin et intègrent – comme chez Intel depuis la 13ᵉ génération Core – un mécanisme élargissant le concept de prédiction. C’est malheureusement là que réside la brèche, le Data Memory-dependent Prefetcher (DMP) devenant un canal auxiliaire.

Le fonctionnement du DMP

Morsure du fouet

Le Conseil d’État a rejeté ce matin la demande faite par un groupement d’entreprises et associations. Ce dernier souhaitait l’intervention urgente du Conseil pour invalider la décision de la CNIL publiée le 31 janvier dernier. Le rejet a été motivé par un « défaut d’urgence ».

La situation actuelle n’a pas fini de faire parler. La Plateforme de données de santé (Health Data Hub ou HDH) a été autorisée en décembre à stocker dans Microsoft Azure les données françaises pour le projet EMC2. Ce dernier, européen, vise à concentrer un lot de données provenant de plusieurs pays dans lesquels un équivalent du HDH est déjà établi. Objectif : permettre enfin le décollage des utilisations secondaires des données, avec en tête la recherche via des modèles d’IA.

On se rappelle que le communiqué de la CNIL était rédigé d’une façon très particulière : la contrainte y était exprimée entre les lignes. Et pour cause : la décision de la Commission se faisait sur la loi, et cette dernière est claire, puisque le Data Privacy Framework établit une adéquation entre les États-Unis et l’Europe pour tout ce qui touche à la sécurité et au respect de la vie privée dans les données.

Cette décision avait largement fait réagir, notamment le député Philippe Latombe. « Ils n’ont pas eu le choix, encore une fois. Mais la décision laisse suffisamment de prise pour que tout le monde puisse la contester. Et je vous le promets : vous allez avoir, dans les jours qui viennent, des contestations de cette décision auprès du Conseil d’État. Vous n’imaginez même pas combien sont prêts », prophétisait-il alors.

Cela a pris un peu plus de temps que prévu, mais une demande a été formulée devant le Conseil d’État la semaine dernière. Portée notamment par Clever Cloud, Nexedi et Rapid.space, elle demandait un référé, c’est-à-dire une intervention urgente du Conseil pour faire suspendre la décision de la CNIL. Cette demande a été rejetée.

La décision du Conseil d’État

L’information a été confirmée par le parquet de Paris à RTL : « La FFF a appris le 22 mars dernier que potentiellement 1,5 million de données de ses licenciés avaient été collectées ». Le Parisien et Zataz avaient fait état de cette fuite auparavant.

On y retrouve des informations telles que le nom, prénom, date et lieu de naissance, nationalité, représentant légal pour les mineurs, adresse, mail, numéro de téléphone, numéro de licence et club. Selon nos confrères qui s’appuient sur les déclarations des autorités, « les données relatives aux licences des saisons 2022-2023 et 2023-2024 sont compromises ».

• [Édito] Internet, un annuaire des Français à ciel ouvert

Mot de passe, données bancaires et médicales ne sont pas concernées. Le parquet précise que les données des joueurs professionnels ne sont pas concernées. Une enquête est évidemment ouverte et la FFF a notifié la CNIL.

Comme c’était le cas lors des précédentes fuites massives, la préfecture de police a mis en ligne un formulaire de lettre-plainte en ligne. « La FFF informera individuellement l’ensemble des personnes concernées ».

« Cybermalveillance.gouv.fr recommande d’être particulièrement vigilant face à tout appel téléphonique ou message (mail, SMS) qui pourrait utiliser vos données personnelles compromises dans le but de vous rendre crédible une tentative d’escroquerie ou d’hameçonnage ciblée ».

La nouvelle mouture vient d’être mise en ligne, en bêta pour le moment. La version finale est attendue pour la fin du mois d’avril. Toutes les déclinaisons – Workstation, Server, IoT, Cloud et CoreOS ”next” stream – sont proposées.

Nous aurons prochainement l’occasion de revenir sur les changements dans une actualité dédiée. En attendant, les notes de version se trouvent par ici.

Pour télécharger Fedora 40 bêta c’est par là. Cliquez sur la déclinaison souhaitée (Workstation, Server…) puis pensez à activer le « Show Beta downloads » sur la droite.

Dynamite pour machine virtuelle

La bêta de Fedora 40 est en ligne depuis hier, et avec elle la traditionnelle ronde des nouveautés et mises à jour générales. Elle est la première distribution classique à proposer aussi bien GNOME 46 que KDE Plasma 6. En dépit cependant de multiples changements et malgré un numéro de version tout rond, cette version se contente d’avancer tranquillement sur son chemin.

Avec Ubuntu, Fedora est l’une de ces distributions dont on suit l’évolution avec attention. Le système de Canonical a tendance à donner le « la », tant elle est reprise par d’autres distributions qui l’utilisent comme socle. L’approche de l’entreprise est le plus souvent médiane : sans être aussi conservatrice que Debian (sur laquelle elle est basée), elle ne se précipite pas sur les nouveautés.

Il en va tout autrement de Fedora, qui est le laboratoire à ciel ouvert de Red Hat. C’était la première distribution à passer par défaut à Wayland, dès la version 25 et bien des années avant Ubuntu. C’était aussi la première distribution grand public à passer à Btrfs en tant que système de fichier par défaut. Fedora se retrouve régulièrement en tête de l’adoption des nouvelles technologies, permettant d’observer leur comportement à travers une utilisation de masse.

Pour autant, chaque version de Fedora n’est pas une révolution. La nouvelle mouture, même si elle apporte des évolutions importantes, reste assez tranquille.

• Annonce de Fedora 40
• Télécharger Fedora 40 (Cliquer sur « Show beta downloads » à droite pour afficher les liens)

GNOME 46

C'est dans la boite

Pour la troisième année consécutive, l’Arcep publie les résultats de son enquête annuelle « Pour un numérique soutenable ». Cette année – qui présente les résultats de 2022 – ouvre notamment ses portes aux box et décodeurs TV, que nous traitons dans cette première partie. Dans la seconde, nous parlerons des téléphones mobiles et des centres de données.

Le rapport est vite devenu un rendez-vous incontournable pour faire le point sur la consommation du numérique. C’est d’autant plus vrai que chaque nouvelle édition intègre de nouvelles mesures et permet d’avoir une vue de synthèse plus précise de ce qui est consommé par le secteur des télécommunications.

• Numérique soutenable : les premiers résultats de l’Arcep montrent l’ampleur du chantier
• Numérique soutenable : l’Arcep fait un bilan des actions récentes, avant l’afflux de nouvelles données

La troisième édition était attendu de pied ferme, car le rapport inclut pour la première fois des informations sur la consommation d’équipements grand public comme les fameuses box internet, ainsi que les répéteurs Wi-Fi et les décodeurs TV.

Avant de plonger dans le détail de l’enquête, rappelons que son périmètre s’étend pour l’instant aux émissions directes (scope 1) et indirectes (scope 2). Dans le premier cas, on parle d’émissions générées directement par les entreprises pour leur activité : carburant pour les véhicules, gaz pour le chauffage, fioul, etc. Dans le second, il s’agit des émissions entrainées par leur consommation d’électricité.

Un scope 3 doit arriver plus tard. Complexe, il comptabilisera un autre type d’émissions indirectes : celles issues de sources n’appartenant pas ou non contrôlées par les entreprises. Par exemple, les émissions en lien avec les biens et services nécessaires à son activité, ou encore avec l’utilisation faite des produits et services qu’elle commercialise.

Pour ces deux scopes, les mesures ont été faites chez les quatre principaux opérateurs de communications, les opérateurs de centres de données dont le chiffre d’affaires est supérieur à 10 millions d’euros hors taxes. Ainsi que les fabricants de téléphones mobiles, téléviseurs, écrans d’ordinateurs, tablettes et ordinateurs portables, ayant en France un chiffre d’affaires annuel supérieur à 10 millions d’euros hors taxes.

Une consommation légèrement en hausse chez les opérateurs

Comme des champignons

Dans le long rapport de l’Arcep sur le numérique soutenable, il n’y a pas que les box, répéteurs et décodeurs TV. Le régulateur des télécoms fait aussi le point sur l’empreinte environnementale des opérateurs de centres de données, des fabricants de téléphones mobiles, de téléviseurs, d’écrans, de tablettes et d’ordinateurs portables.

Sans surprise, beaucoup de GES chez les fabricants de terminaux

Pour passer sous le radar, il faut réaliser, en France, un chiffre d’affaires annuel inférieur à 10 millions d’euros hors taxes. Pour l’ensemble des acteurs étudiés, la production de gaz à effet de serre s’est élevée à 1 063 000 tonnes équivalent CO₂ en 2022, soit une baisse de 5,4 % par rapport à 2021. Plus de la moitié – 585 000 tonnes – a été générée par les fabricants de terminaux.

Qu’il s’agisse d’opérateurs de centres de données, d’opérateurs télécoms ou de fabricants de terminaux, la part d’émissions directes est minoritaire. Elles ne représentent plus que 271 000 tonnes sur l’ensemble. La majorité provient des émissions indirectes, dont de la consommation électrique.

• Numérique soutenable : l’Arcep détaille la consommation des box, décodeurs et répéteurs

Téléphones mobiles : un marché mature

Microsoft avait annoncé en septembre dernier son intention de supprimer la vénérable application de son système. On sait désormais que ce retrait aura lieu avec la mise à jour 24H2 à l’automne prochain.

Pour l’éditeur, il suffira de remplacer l’application par Word ou le Bloc-Notes. Seulement voilà, la première est payante et la seconde ne sait travailler qu’en texte brut. WordPad, lui, permettait au moins de manipuler du texte riche, avec notamment le support du RTF.

Un Afro-Américain de 39 ans vient d’être incarcéré pour un meurtre commis en 2012, rapporte le Daily Mail. Il a été confondu grâce à un logiciel de reconnaissance faciale à partir d’une photo prise par un téléphone portable cette année-là.

En 2012, un Afro-Américain de 34 ans, Julio Torres, était abattu en Pennsylvanie après une altercation avec deux autres Afro-Américains. Des images de vidéosurveillance indiquaient qu’ils avaient bu dans des gobelets en polystyrène.

Leur analyse génétique permettait l’identification de l’un des deux suspects, dont l’ADN figurait dans une base de données policière. Il a été condamné à cinq ans de prison en 2013 après que les policiers ont déterminé que ce n’était pas lui qui avait tiré.

L’identité du meurtrier, dont l’ADN n’avait pas été préalablement fiché, n’avait pu être confondue, jusqu’à ce qu’une unité « cold case » ne rouvre l’affaire l’an passé.

Les enquêteurs ont en effet récupéré une photo du tireur présumé prise à l’époque avec un téléphone portable lors d’une fête quelque temps avant l’homicide. Un logiciel de reconnaissance faciale leur a indiqué l’identité d’un suspect potentiel.

Ce dernier, Vallis L. Slaughter, 39 ans, placé sous surveillance, avait l’habitude de fumer sur le trottoir devant le logement de sa mère, chez qui il vivait, et de jeter les mégots par terre. L’analyse génétique de l’un de ses mégots a confirmé que l’ADN prélevé sur le gobelet en 2012 était bien le sien.

Jusqu’alors, l’utilisation policière de la reconnaissance faciale biométrique s’était surtout illustrée, aux États-Unis, pour avoir identifié, à tort, des Afro-Américains innocents de ce dont ils furent pourtant accusés.

• Accusée à tort par un algorithme de reconnaissance faciale
• Aux États-Unis, six jours de prison pour cause de reconnaissance faciale erronée

Il est en effet notoire, depuis la publication de l’étude Gender Shades par la chercheuse Joy Buolamwini en 2018, que plus la peau d’un sujet est foncée, moins les algorithmes de reconnaissance faciale fonctionnent correctement.

L’identification de Vallis L.Slaughter semble montrer, a contrario, qu’elle peut aussi s’avérer efficace, même à partir d’une photo de mauvaise qualité.

HWiNFO est une petite application Windows permettant de tout connaitre (ou presque) des composants de son ordinateur. La première fonctionnalité mise en avant est l’OSD (ou On-Screen Display) permettant d’afficher des informations en surimpression sur l’écran. Elle était déjà disponible sur les versions bêta.

Parmi les autres changements, signalons que la prise en charge de Windows XP/Vista a été abandonnée dans HWiNFO64. D’ailleurs HWiNFO32 n’est plus intégré par défaut dans l’installeur, il faut prendre la version portable pour l’avoir.

Plusieurs améliorations sont de la partie sur la gestion du matériel et des capteurs, notamment avec l’ajout des cartes graphiques NVIDIA GeForce RTX 4070 (AD103) et GeForce RTX 4060 (AD106). Les notes de version se trouvent par ici.

• Télécharger HWiNFO 8.00

À chaque Go consommé, un chaton meurt

Elle fait parler cette tribune de Najat Vallaud-Belkacem. Elle commençait pourtant bien, avant de basculer dans une radicalité qui, si elle a le mérite de faire réagir, masque nombre de nuances et d’interrogations qui ont toute leur place dans le débat. Mais de quoi parle-t-on ? Du temps passé devant nos écrans bien sûr, et avec lui la cohorte de sujets liés.

La tribune en question, c’est celle de Najat Vallaud-Belkacem dans le Figaro. L’ancienne ministre de l’Éducation nationale y indique qu’elle a un problème, que vous avez un problème, que nous avons tous un problème.

« Celui-ci est à la fois évident […] et en même temps nous avons tendance à ne pas le voir. Il est envahissant, et en même temps nous le chérissons. Nous le subissons, mais refusons qu’on le résolve. Ce problème, c’est celui de nos rapports aux écrans, et, plus concrètement, à Internet », écrit-elle.

Elle explique ressentir ce problème, succombant par exemple au dernier coup d’œil aux réseaux sociaux le soir avant de dormir, « et à me retrouver, deux heures plus tard, à commenter, à m’indigner, à sourire et à m’amuser aussi ».

Mais plus que ça, l’ancienne ministre ressent Internet comme un facteur aggravant, quel que soit le sujet : « écologie, discrimination, inégalités, harcèlement, éducation, savoirs et cultures ». Le net n’est, selon elle, jamais une solution. « Ravages causés par la surexposition », toxicité des réseaux sociaux (phénomène amplifié « pour les jeunes filles »), travaux du Sénat sur les méfaits de la pornographie en ligne, IA, démocratisation des deep fakes, tout y passe.

Najat Vallaud-Belkacem s’interroge : « avons-nous besoin de tant d’Internet que ça ? ».

En passer par la loi

Il y avait un boulevard pour lancer une réflexion plus vaste. Ce texte était une opportunité pour faire à nouveau réfléchir à nos usages. Mais cette partie légèrement introspective s’arrête vite pour laisser place à un constat sec : puisque nous sommes incapables de nous contrôler, la contrainte doit venir de l’extérieur, « donc de la loi, donc de l’État ».

Elle souhaite qu’une réflexion débute sur la manière dont on pourrait rationner Internet. L’exemple est tout trouvé : « en accordant un nombre limité de gigas à utiliser quotidiennement ». Les bénéfices seraient légion : « en termes de développement cognitif, pour la santé, mais aussi pour lutter contre les discriminations, le harcèlement, le réchauffement climatique et bien d’autres enjeux absolument fondamentaux pour aujourd’hui ».

Najat Vallaud-Belkacem reconnait que ce n’est pas une solution miracle. Elle inviterait néanmoins « à une certaine sagesse ». Jusqu’à cette phrase, par laquelle la tribune a été résumée depuis son apparition il y a quelques jours : « Si nous savons que nous n’avons que trois gigas à utiliser sur une semaine, nous n’allons sans doute pas les passer à mettre des commentaires haineux ou fabriquer des fakes ».

L’ancienne ministre s’attendait bien sûr à de nombreuses accusations : « irréaliste ! réactionnaire ! DICTATORIAL – après tout la Chine le fait ! Vous imaginez ? La Chine ! ». Pour autant, les prévoir ne revient pas à les désarmer, ni à s’en dédouaner.

L’occasion manquée

Disons-le, cette tribune est une occasion manquée. Un gâchis. Qu’une ancienne ministre prenne la plume pour évoquer le temps d’écran, la consommation d’Internet ou encore la toxicité des réseaux sociaux aurait pu être un formidable rendez-vous.

Le moteur de recherche conversationnel Perplexity AI – « qui prétend être un concurrent de Google » – avait levé 73,6 millions de dollars lors de son dernier tour de table, en janvier dernier, auprès d’un groupe d’investisseurs comprenant le concepteur de puces américain NVIDIA et le fondateur d’Amazon Jeff Bezos.

• Le moteur de recherche conversationnel Perplexity valorisé 520 millions de dollars

Le Wall Street Journal rappelait que, créé il y a moins de deux ans, Perplexity a moins de 40 employés et est toujours basé dans un espace de coworking de San Francisco. Cette levée de fonds serait la plus importante de ces dernières années pour ce qui est des entreprises spécialisées dans la recherche sur le web.

Perplexity, qui n’était pas rentable et réalisait un chiffre d’affaires annuel de 5 à 10 millions de dollars grâce aux abonnements et à la vente de son logiciel d’intelligence artificielle à d’autres entreprises, n’excluait pas d’introduire des publicités à l’avenir, précisions-nous à l’époque.

Le moteur, qui utilise l’IA pour répondre aux questions des utilisateurs, en se basant sur des sources web, intègre aussi des vidéos et des images « et même des données provenant de partenaires tels que Yelp », vient de préciser AdWeek. Perplexity « relie également les sources dans la réponse tout en suggérant des questions connexes que les utilisateurs pourraient vouloir poser », souligne AdWeek.

Or, ces questions connexes, « qui représentent 40 % des requêtes de Perplexity », constituent donc l’occasion pour l’entreprise de « commencer à introduire des publicités natives, en permettant aux marques d’influencer ces questions », explique à AdWeek le directeur général de l’entreprise, Dmitry Shevelenko.

Lorsqu’un utilisateur creuse un sujet, le moteur de recherche peut en effet « proposer des questions organiques et des questions sponsorisées par des marques », relève AdWeek.

Et ce, alors que Perplexity affirmait pourtant sur son site que la recherche devrait être « libérée de l’influence des modèles axés sur la publicité », mention qui a depuis disparu de son site web.

« La publicité a toujours fait partie de la façon dont nous allions construire une grande entreprise », explique M. Shevelenko à AdWeek.

Take-Two explique dans un communiqué que cette « transaction évaluée à 460 millions de dollars devrait être clôturé lors du premier trimestre de l’exercice 2025 » de l’entreprise, qui se termine le 30 juin 2024. La vente se fera exclusivement via l’émission de nouvelles actions ordinaires.

« Take-Two fera l’acquisition du vaste portefeuille de propriété intellectuelle de Gearbox, y compris la pleine propriété des franchises Borderlands et Tiny Tina’s Wonderlands, acclamées par la critique et le commerce, ainsi que Homeworld, Risk of Rain, Brothers in Arms, Duke Nukem et les futures annonces de Gearbox ».

Cette dernière « a actuellement six projets de divertissement interactif à différents stades de développement, dont cinq suites (deux issues des franchises Borderlands et Homeworld), et au moins une nouvelle propriété intellectuelle passionnante », ajoute l’entreprise. 

Take-Two précise enfin que Gearbox « fonctionnera comme un studio au sein de 2K et sera dirigé par le fondateur et CEO [de Gearbox, ndlr], Randy Pitchford, et son équipe de direction ».

panicattack.gif

Une faille de sécurité critique dans la suite d’outils XZ a déclenché une vague de peur et de recherche pendant le week-end. Elle témoigne d’une activité malveillante intense et d’une planification exemplaire. Sa découverte, presque par hasard, entraine une vaste réflexion sur les processus de validation.

Un coup de chance. C’est ainsi que la découverte de la faille est qualifiée depuis vendredi. La vulnérabilité réside dans XZ Utils, une suite d’outils largement utilisée pour effectuer de la compression sans perte et incluant notamment les programmes lzma et xz, ainsi que quelques bibliothèques.

Le composant est présent dans toutes les distributions Linux qui, elles-mêmes, sont à la base d’un très grand nombre de serveurs. Les conséquences potentielles étaient gigantesques, d’autant que cette brèche n’était pas le résultat d’une erreur de programmation. Ce n’était pas un classique dépassement de mémoire tampon ou un bug de corruption mémoire. C’était le résultat d’une activité malveillante ayant pris place sur plus de deux ans.

Une découverte accidentelle

Google était sous le coup d’un recours collectif lancé en juin 2020 contre le mode Incognito de Chrome : les plaignants estimaient que l’entreprise trompait les internautes en faisant croire que ce mode permettait de ne pas être pisté par Google.

La multinationale a finalement accepté de détruire les données de plus de 136 millions d’Américains ayant utilisé ce mode, explique l’AFP. Dans un accord avec la partie adverse, Google s’est aussi engagé à reformuler « immédiatement » la notice qui s’affiche pour cette option, afin d’« informer les utilisateurs qu’il collecte des données de navigation privée » explique l’agence de presse. L’entreprise a déjà engagé la modification de son descriptif en ce sens en janvier dernier.

Alors que les plaignants demandaient un dédommagement de 5 milliards de dollars, Google a réussi à ce qu’aucune somme ne lui soit exigée dans l’accord. Celui-ci laisse la possibilité à chacun des plaignants de poursuivre individuellement l’entreprise pour obtenir un dédommagement financier.

Pour les avocats des plaignants, « le résultat est que Google collectera moins de données sur les sessions de navigation privée des utilisateurs et que Google gagnera moins d’argent avec ces données », cite Reuters.

De son côté, Google affirme : « nous sommes heureux de supprimer d’anciennes données techniques qui n’ont jamais été associées à une personne et n’ont jamais été utilisées pour une quelconque forme de personnalisation ».

L’accord doit encore être approuvé par la juge californienne Yvonne Gonzalez-Rogers en juillet prochain .

L’entreprise n’en finit plus de décliner son Copilot pour tous ses produits et services. Le nouveau venu est à destination des clients Azure uniquement et veut simplifier la gestion de la sécurité en permettant d’orienter des recherches par des prompts adaptés.

Le service concentre les informations de plusieurs sources, notamment de Microsoft Defender Threat Intelligence, dont les contenus sont consultables sans frais supplémentaires. Il permet de générer rapidement des vues pour observer des situations ou évènements précis, de créer des résumés pour les incidents, aide à répondre à ces derniers, peut procéder à de la rétro-ingénierie inverse sur les scripts malveillants, etc.

La tarification du Copilot for Security se fait à l’usage. L’activité se mesure en SCU (Security Compute Unit), que Microsoft décrit comme « une unité de mesure de la puissance de calcul nécessaire pour exécuter les charges de travail de Copilot for Security dans des environnements autonomes et intégrés ».

Bon d'accord, mais pas trop d'accord

La première bêta d’iOS 17.5 a été distribuée hier soir aux développeurs. En plus de diverses améliorations, elle introduit une possibilité attendue : pouvoir télécharger et installer une application depuis un simple site web. Les développeurs devront cependant montrer patte blanche.

Apple a introduit avec iOS 17.4 de nombreux changements destinés aux développeurs en Europe. Sous l’impulsion du DMA, mais de mauvaise grâce, la société a consenti une longue liste de capacités, dont la possibilité pour les éditeurs de fournir des navigateurs intégrant leur propre moteur de rendu, le déblocage de la NFC ou encore l’autorisation de déployer des boutiques tierces d’applications. Les conditions financières, en revanche, incitent bien peu au changement.

• App Store : Apple détaille ses adaptations au DMA, des réactions déjà virulentes

Mais alors que l’on s’attendait à un vrai sideloading – la possibilité d’installer une application depuis n’importe quelle source – Apple n’a évoqué que les boutiques tierces. Le 12 mars, nouvelle communication avec deux changements : les éditeurs de boutiques alternatives pourront choisir de ne proposer que leurs propres applications, et l’arrivée d’un vrai sideloading, par téléchargement d’une application depuis une simple page web.

Ces deux possibilités sont introduites par iOS 17.5.

Tout est (presque) en place…

Le support technique de Windows 10 se finira en octobre 2025. Il n’y aura alors plus de corrections de bugs ou de failles de sécurité. Comme toujours dans pareil cas, il vaudra alors mieux se trouver sur un autre système à ce moment-là : le danger sera trop important.

Les entreprises qui n’auront pas transité vers Windows 11 (ou une autre plateforme) pourront cependant souscrire à un programme Extended Security Update (ESU), dont Microsoft vient de dévoiler le tarif : 61 dollars par ordinateur la première année, puis le double la deuxième, et encore le double la troisième.

Ce programme est disponible pour trois ans. Rien n’empêchera de le rejoindre plus tard, mais il faudra alors payer le cumul, chaque mise à jour mensuelle de sécurité étant cumulative.

Les entreprises utilisant des solutions de gestion de mises à jour pourront prétendre à une réduction. Le prix sera alors de 45 dollars par utilisateur, chacun pouvant avoir jusqu’à cinq appareils. Le programme ESU sera en outre gratuit pour les entreprises utilisant Windows 365 pour accéder à des postes Windows 11 dans le cloud.

Une version pour les particuliers devrait être annoncée sous peu.

De l'idée à la mise en œuvre

La CNIL travaille sur un projet de recommandation sur l’authentification multifacteur (MFA). À cette fin, elle lance une consultation sur de nombreux points. À terme, la recommandation se fera sur les usages, ainsi que sur l’implémentation des traitements qui devront eux-mêmes respecter le cadre juridique, dont le RGPD.

Avant de plonger dans le projet de la CNIL, rappelons d’abord ce qu’est l’authentification multifacteur. Comme son nom l’indique, il s’agit de réunir au moins deux facteurs pour autoriser l’authentification d’une personne. Ces facteurs peuvent prendre trois formes : connaissance, possession ou inhérence.

La première a trait à ce que sait la personne. Il s’agit dans l’immense majorité des cas d’un mot ou d’une phrase de passe. La seconde repose sur un élément que possède la personne, matériel ou logiciel, et ne pouvant pas être mémorisé. Les clés USB, cartes à puces, une application de type Authenticator (OTP) ou encore les passkeys (clés d’accès logicielles) sont les exemples les plus courants. Quant à la troisième, elle table sur ce qu’est ou fait la personne, son caractère indissociable. Tout ce qui touche à la biométrie ou au comportement appartient à cette forme.

Lorsque l’on parle d’authentification multifacteur, on évoque l’association de deux facteurs parmi ces trois catégories. Associer deux mots de passe consécutifs n’est pas considéré comme de la MFA.

Une méthode efficace, mais à surveiller