Par rapport à ses concurrents, Free était largement à la traine sur l’activation d’IPv6 pour ses clients mobiles. Au dernier décompte, l’opérateur était à 99 % sur le fixe, mais à seulement 1 % sur le mobile. L’activation par défaut est en route.
C’est via un message sur X que l’opérateur annonce la bonne nouvelle : « l’IPv6 est désormais activée par défaut pour nos nouveaux abonnés ! Pour nos abonnés actuels, l’activation de l’IPv6 a commencé début mars et sera étalée sur plusieurs semaines ». L’opérateur affirme vouloir généraliser l’IPv6, comme c’est le cas sur les Freebox.
Free Mobile : de 1 % des clients activés en IPv6 à… ?
Dans son observatoire annuel sur l’état de l’Internet en France, l’Arcep tient les comptes des taux de clients activés en IPv6 (on parle bien de clients activés, pas de savoir si l’option est disponible ou non). Selon le dernier rapport, mise en ligne pendant l’été 2024, Free était à seulement 1 % des offres grand public en IPv6 et 0 % sur les offres Pro.
Free Mobile était loin derrière ses concurrents. Bouygues Telecom était largement en tête avec 91 % sur le grand public, suivi par Orange à 79 % et SFR à 62 %. On parle bien ici de lignes activées en IPv6, et donc avec le protocole utilisable.
« Si les principaux opérateurs proposent tous de l’IPv6, la différence se fait sur l’activation » et sur le système d’exploitation, rappelait à juste titre l’Arcep. C’était un des points noirs de Free Mobile : IPv6 n’était pas activé par défaut et donc peu de client changeaient cette option, qui est disponible depuis des années.
Pour celles et ceux qui seraient passés à côté de la bonne nouvelle, l'IPv6 est disponible et activable depuis votre espace abonné.
L’année dernière, le régulateur rappelait que la situation était chaotique. Sur Android, « Bouygues Telecom, Orange et SFR activent par défaut l’IPv6 sur les mobiles Android dont la date de commercialisation est postérieure à 2018 (Bouygues), 2020 (Orange) et 2021 (SFR). Free n’active pas l’IPv6 par défaut ». C’est désormais le cas, mais la liste de compatibilité n’est pas précisée.
Passons aux iPhone : « Bouygues Telecom, Orange et SFR activent par défaut IPv6 sur les iPhone dont la version iOS est au minimum iOS 12.2 (Bouygues), iOS 13.0 (Orange pour iPhone 7 et plus récent), iOS 14.3 (SFR), iOS 15.4 (Orange pour iPhone 6S et SE) ».
Chez Free encore une fois pas de liste de compatibilité. Il y a trois ans, l’Arcep publiait le tableau récapitulatif suivant, accompagné de la procédure à suivre pour activer IPv6. Désormais, chez Free, c’est du « par défaut ».
Free à 99 % d’activés sur le fixe depuis des années
Sur le fixe par contre, Free est le bon élève depuis plusieurs années avec un taux d’activation de 99 % (depuis au moins 2020). Chez ses concurrents, c’est assez variable : 92 % chez Orange pour le grand public, 85 % chez Bouygues Telecom et 35 % seulement chez SFR. La marque au carré rouge prévoit d’atteindre 87 % mi-2026 et devrait être à 72 % au milieu de cette année.
La France deuxième sur le taux d’utilisation d’IPv6
L’Arcep rappelle que, « depuis le 25 novembre 2019, le RIPE NCC (le registre régional d’adresses IP, qui alloue les IPv4 pour l’Europe et le Moyen-Orient) est en pénurie d’IPv4 ». La transition vers IPv6 est donc une nécessité, connue depuis de très longues années.
Quoi qu’il en soit, la France n’est pas la plus mal lotie sur IPv6, loin de là. Sur la carte interactive du top 100 des pays avec le plus d’internautes, la France se classe en deuxième position (données de février 2025) avec un taux d’utilisation de 68,6 %, assez loin derrière le numéro 1 : l’Inde à 73,3 %. La Malaisie (66,6 %), l’Allemagne (65,6 %), la Belgique (65,1 %) et l’Arabie saoudite (60,7 %) complètent le classement.
Quatre agences chinoises ont annoncé vendredi une nouvelle série de règles qui obligeront les fournisseurs de services, à partir du 1ᵉʳ septembre 2025, à désigner comme tels les contenus générés par IA.
« Afin de répondre activement aux préoccupations sociales et aux préoccupations du public, l’Administration chinoise du cyberespace, en collaboration avec le ministère de l’Industrie et des Technologies de l’information, le ministère de la Sécurité publique et l’Administration d’État de la radio et de la télévision, a formulé une méthode d’étiquetage », explique la Cyberspace Administration of China (CAC).
« La loi sur l’étiquetage aidera les utilisateurs à identifier la désinformation et tiendra les fournisseurs de services responsables de l’étiquetage de leur contenu », précise la CAC dans un communiqué : « Il s’agit de réduire l’utilisation abusive des contenus générés par l’IA ».
Cette « méthode d’identification » vise à « promouvoir le développement sain de l’intelligence artificielle, à normaliser la génération d’identification de contenu synthétique par l’intelligence artificielle, à protéger les droits et intérêts légitimes des citoyens, des personnes morales, et d’autres organisations, et sauvegarder les intérêts publics sociaux ».
Des contenus GenAI dotés d’identifiants explicites et implicites
Le texte de la loi précise que « les identifiants de contenu synthétique générés par l’IA comprennent des identifiants explicites et des identifiants implicites ».
Les fournisseurs de services devront en effet « ajouter des identifiants explicites au contenu synthétique généré tel que du texte, de l’audio, des images, des vidéos, des scènes virtuelles, etc. », ainsi que des « identifiants implicites sous la forme de filigranes numériques » dans leurs métadonnées.
Ces dernières devront contenir des « informations sur les éléments de production telles que la génération d’informations sur les attributs de contenu synthétique, le nom ou le code du fournisseur de services et le numéro de contenu et d’autres informations sur les éléments de production ».
La loi précise d’autre part qu’ « aucune organisation ou individu ne peut supprimer, altérer, falsifier ou dissimuler de manière malveillante le logo de contenu synthétique généré spécifié dans les présentes mesures », ni fournir d’outils ou de services permettant à d’autres de commettre de tels « actes malveillants ».
Des initiatives similaires en Europe et aux États-Unis
La Chine rejoint ainsi l’Union européenne et les États-Unis qui ont, eux aussi, adopté des règlementations afin de contrôler les risques de désinformation en exigeant l’étiquetage des contenus synthétiques en ligne, souligne Bloomberg.
L’article 50 de l’AI Act européen prévoit en effet que « les fournisseurs de systèmes d’IA, y compris les systèmes d’IA à usage général, qui génèrent des contenus synthétiques audio, image, vidéo ou texte, veillent à ce que les résultats du système d’IA soient marqués dans un format lisible par machine et détectables comme étant générés ou manipulés artificiellement ».
« Les déployeurs d’un système d’IA qui génère ou manipule un texte publié dans le but d’informer le public sur des questions d’intérêt public doivent indiquer que le texte a été généré ou manipulé artificiellement », précise-t-il en outre.
Une obligation qui ne s’appliquera pas, cela dit, « lorsque le contenu généré par l’IA a fait l’objet d’un processus d’examen humain ou de contrôle éditorial et qu’une personne physique ou morale assume la responsabilité éditoriale de la publication du contenu ».
L’ancien président Joe Biden avait de son côté signé un décret, en octobre 2023, ordonnant l’élaboration de mécanismes efficaces pour authentifier les contenus et le suivi de leurs provenances, et étiqueter les contenus synthétiques, « par exemple à l’aide d’un filigrane ». Reste encore à savoir ce qu’en fera le gouvernement de Donald Trump.
La semaine passée, le conseil des ministres espagnol avait de son côté approuvé un projet visant à sanctionner les contenus n’indiquant pas qu’ils sont générés par IA. Si la Chine ne précise pas les pénalités qui pourraient être infligées, l’Espagne prévoit quant à elle des sanctions qui s’échelonneront de 500 000 à 7,5 millions d’euros, ou de 1 % à 2 % du chiffre d’affaires mondial des entités prises en défaut.
Hello mes chers amis, pourquoi pareille titraille me direz-vous ? Eh bien, j’ai fini à la bourre, et ai eu bien du mal à trancher dans mes idées cette semaine, tout simplement. Si je vous dis que j’ai de l’avance et que c’est à cause de ça que je suis en retard, vous ne me croirez pas. Je vous en garde donc peut-être sous le coude pour la semaine prochaine, si vous êtes sages !
Il reste 63% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Medefer, une société travaillant régulièrement avec le système de santé anglais, aurait eu pendant plusieurs années une API mal configurée qui aurait pu permettre l’exfiltration de données médicales sensibles. Aucun vol d’informations ne serait à déplorer, mais le cas rappelle le danger entourant les API mal configurées ou « perdues », comme le signalaient plusieurs rapports de sécurité l’année dernière.
Le NHS (National Health System) travaille en partenariats réguliers avec plusieurs entreprises du secteur privé. Parmi elles, Medefer, un géant anglais de la consultation externe, dont le produit doit permettre une accélération de la prise en charge. Dans le cadre de sa mission, il y a donc des échanges réguliers de données entre le NHS et les systèmes de Medefer.
Une porte grande ouverte
Hier, dans un article de la BBC, on apprenait que le NHS se penchait sur de sérieuses accusations : les données des patients auraient été vulnérables à des attaques à cause d’un bug chez Medefer. Plus précisément, une API (Application Programming Interface) était mal configurée, ce qui permettait en théorie de l’interroger pour obtenir des données médicales sensibles, sans vérifications particulières.
Ce qui est qualifié de « faille » a été découvert par un ingénieur, selon qui le problème existerait depuis au moins six ans. L’homme avait été embauché en octobre pour tester la sécurité des solutions logicielles de Medefer. La découverte a eu lieu en novembre et corrigée dans les jours qui ont suivi.
Un audit externe de sécurité a également commencé depuis fin février. Selon Medefer, rien ne prouve que le problème de configuration existe depuis aussi longtemps.
Une enquête est en cours pour définir plus précisément le périmètre du problème et de ses conséquences. Selon l’ingénieur (qui a tenu à rester anonyme), il est peu probable que des données aient été extraites, ce qui serait un immense coup de chance. Toutefois, il a invité à attendre le terme de l’enquête. Selon Medefer, les résultats préliminaires vont dans le même sens : aucune preuve de violation de données.
La société ajoute que le processus d’enquête est « extrêmement ouvert », que l’ICO (Information Commissioner’s Office) a été averti, tout comme la CQC (Care Quality Commission). C’est d’ailleurs cette dernière qui délivre les approbations permettant aux entreprises privées de nouer des échanges avec le NHS.
De novembre à février
Comme l’indique la BBC, la communauté des experts en cybersécurité n’est pas tendre avec Medefer. Beaucoup signalent ainsi que l’entreprise aurait beaucoup de chance si l’enquête et l’audit finissaient par ne révéler aucune fuite d’informations. Alan Woodward par exemple, de l’université de Surrey, rappelle ainsi que « la base de données peut être chiffrée et toutes les autres précautions prises, mais s’il existe un moyen de fausser l’autorisation de l’API, n’importe qui sachant comment faire peut y accéder ».
Pour le chercheur Scott Helme, il y a surtout un gros problème dans l’enchainement des évènements. Qu’aucune donnée n’ait été volée n’excuse pas le temps écoulé entre la découverte du problème en novembre et le déclenchement d’une enquête et d’un audit fin février. L’ingénieur qui avait trouvé le défaut de configuration avait pourtant recommandé de lancer immédiatement un audit.
Le NHS, de son côté, a rappelé que les organisations qui le composent ont la responsabilité de s’assurer que les prestataires privés « respectent leurs responsabilités légales et les normes nationales de sécurité des données ».
Plein feu sur les API
L’accident est d’autant plus visible que l’année 2024 a été marquée par un nombre croissant de rapports sur la recrudescence des attaques via les API. C’était le cas en janvier avec un épais document de Cloudflare, puis en août avec celui d’Akamai.
Les API sont de petits modules logiciels permettant d’interroger un produit pour obtenir des informations ou déclencher une action. Elles sont omniprésentes et notamment à la base du développement des applications sur les systèmes d’exploitation. Ces derniers exposent leurs capacités via des API, auxquelles le code des applications se réfèrent, pour des actions aussi variées que maximiser la taille d’une fenêtre ou faire appel à une solution de chiffrement gérée nativement.
Or, les rapports et chercheurs étaient formels : les entreprises ne font globalement pas assez attention à leurs API. Elles sont de plus en plus nombreuses et constituent autant de portes d’entrée, dont les accès doivent être sécurisés pour contrôler qui peut accéder aux ressources, selon le contexte.
Les rapports de Cloudflare et d’Akamai enjoignaient notamment les entreprises à dresser un inventaire complet et régulièrement mis à jour de toutes les API entourant leurs produits. Il fallait surtout référencer celles tournées vers l’extérieur, et donc accessibles par le réseau, internet ou autre. Ils alertaient également sur le danger des API fantômes : des interfaces créées il y a un certain temps et oubliées depuis.
L’entreprise de cybersécurité CrowdStrike explique dans son rapport annuel qu’en 2024, la plupart des cyberattaques n’utilisaient pas de logiciel malveillant, mais s’appuyaient plutôt sur ce qui se situe entre la chaise et le clavier : l’utilisateur. Cette utilisation massive de l’ingénierie sociale, qui s’appuie de plus en plus sur l’IA générative, pose des difficultés importantes de détection.
Les pirates utilisent de moins en moins de logiciels malveillants pour accéder à une machine ou aux données d’un utilisateur, selon le rapport annuel 2025 de CrowdStrike [PDF]. En 2024, 79 % des cyberintrusions n’auraient pas utilisé ce genre d’outils, contre 40 % en 2019.
L’entreprise de cybersécurité explique qu’« au lieu des logiciels malveillants traditionnels », les pirates « privilégient des méthodes plus rapides et plus furtives telles que le vishing, l’ingénierie sociale, les services de courtiers d’accès [access brokers, en anglais] et l’abus de relations de confiance ». Et rappelons que se faire avoir par le vishing n’arrive pas qu’aux autres.
CrowdStrike a constaté que le vishing avait plus que quadruplé entre le premier et le second semestre 2024 (+ 442 %). Elle explique que dans la plupart des campagnes de vishing de 2024, les pirates se sont fait passer pour un assistant informatique appelant les utilisateurs ciblés sous prétexte de résoudre des problèmes de connectivité ou de sécurité.
L’entreprise a suivi pendant l’année dernière six campagnes de la sorte « similaires, mais probablement distinctes ». Au cours de celles-ci, les attaquants se faisant passer pour du personnel informatique « ont appelé leurs cibles et tenté de les persuader d’établir des sessions d’assistance à distance, souvent à l’aide de Microsoft Quick Assist. Dans de nombreux cas, les appels ont été effectués via Microsoft Teams » à partir de locataires externes.
L’IA générative, outil de base du pirate
De plus, CrowdStrike pointe le fait que l’IA générative est « devenue un outil attrayant pour les pirates, avec une faible barrière à l’entrée qui la rend largement accessible ». Les progrès de cette technologie ont, selon l’entreprise, permis d’améliorer significativement certaines cyberattaques et « en particulier celles qui font appel à l’ingénierie sociale ».
Dans son rapport, l’entreprise de cybersécurité donne l’exemple du groupe de pirates nord-coréen Famous Chollima. Celui-ci arriverait à obtenir « des postes dans des entreprises du monde entier sous de fausses identités, en utilisant parfois des outils de genAI pour manipuler socialement les recruteurs pendant le processus de candidature ». Ils créeraient des profils LinkedIn fictifs avec de fausses images de profils et passent les entretiens en utilisant des réponses générées par IA.
CrowdStrike renvoie aussi à plusieurs études scientifiques mises en ligne sur arXiv sur l’utilisation des grands modèles de langage pour l’ingénierie sociale. L’une d’elles indique par exemple que les messages de phishing générés par des LLM ont un taux de clics nettement plus élevé (54 %) que les messages d’hameçonnage vraisemblablement rédigés par des humains (12 %). Une autre étude montre que les taux de détection des pages de phishing générées par le LLM étaient comparables à ceux des pages de phishing créées par l’homme.
Les courtiers d’accès font de plus en plus de pub
L’entreprise affirme aussi que les attaques liées à l’accès initial d’un système informatique ont explosé, « représentant 52 % des vulnérabilités observées par CrowdStrike en 2024 ». Elle constate aussi que « la fourniture d’accès en tant que service est devenue une activité florissante, les publicités pour les courtiers en accès ayant augmenté de 50 % d’une année sur l’autre ».
Enfin, la Chine a encore augmenté son activité cyber de 150 %, selon CrowdStrike et constitue la principale menace émanant d’un État-nation. L’entreprise affirme même que « certaines industries ciblées ont subi une augmentation de 200 à 300 % des attaques par rapport à l’année précédente ».
L’ANSSI a publié pour la première fois un rapport faisant le point sur les menaces ciblant le cloud. L’agence française dit avoir observé « une augmentation des attaques », qu’elles soient orchestrées contre des environnements intégralement dans le nuage ou hybrides.
Dans un communiqué paru jeudi, l’Agence nationale de la sécurité des systèmes d’information note que le cloud est devenu omniprésent, mais qu’il est « nécessaire de connaître les menaces et de mesurer les risques qui accompagnent son utilisation ». Elle propose donc un rapport (PDF) servant deux objectifs : réaliser un état de la menace et fournir une liste de recommandations élémentaires.
Si le cloud est devenu si utilisé, ce n’est pas un hasard pour l’agence : il apporte des opportunités et un effet levier. Mais ces mêmes apports sont autant de vecteurs pour de nouvelles attaques et problématiques de sécurité, avertit l’ANSSI. Toutes les entités faisant appel au cloud sont concernées, qu’elles aient déplacé l’intégralité de leur environnement dans le nuage ou qu’elles en contrôlent encore une partie sur site (on premise).
Réussir une attaque contre une infrastructure cloud peut permettre aux acteurs malveillants de faire coup double. Les données hébergées représentent bien sûr un intérêt, mais ils peuvent également tenter une latéralisation. De là, selon les opportunités disponibles, les pirates peuvent aussi atteindre des accès vers les clients de l’entreprise attaquée. Finalités lucratives, espionnage et déstabilisation sont autant de moteurs.
Montée en compétences et failles humaines
Selon l’ANSSI, le cloud fait aussi bien partie de la vie des entreprises que de celles des pirates. Certains groupes s’en sont faits une spécialité. Mango Sandstorm, Scattered Spider, Nobelium, Storm-0558 et Storm-0501 sont cités en exemples.
Il y a plusieurs conséquences. Tout d’abord, une grande expertise technique, qui permet de savoir précisément à quoi on s’attaque pour y chercher des brèches. Cette expertise peut inclure la connaissance de failles de sécurités, les vulnérabilités de type 0-day étant toujours très recherchées. Cependant, ces mêmes connaissances peuvent servir à mettre sur pied des infrastructures cloud conçues pour l’attaque.
Pour l’ANSSI, il s’agit « d’une des tendances grandissantes ». Il n’y a pas toujours besoin de posséder soi-même le matériel, car les pirates peuvent louer l’infrastructure chez un opérateur de cloud classique. Dans tous les cas, ces méthodes « complexifient la détection en dissimulant les activités malveillantes au sein du trafic légitime des utilisateurs de ces plateformes ».
Contrairement à ce que l’on pourrait penser cependant, les failles de sécurité – même 0-day – ne représentent pas la majorité des accès initiaux. L’agence cite ainsi une étude de Thales selon laquelle elles ne concernent « que » 28 % des compromissions. 31 % d’entre elles viennent d’erreurs humaines et de problèmes de configuration. Chez Google, plus de 51 % des compromissions seraient dues « à l’exploitation d’interface cloud sans mots de passe ou dotées d’un mot de passe faible ».
Des responsabilités partagées
L’ANSSI souligne également qu’en fonction de la configuration de la solution cloud adoptée, les responsabilités sont partagées entre clients et fournisseurs de solutions cloud (CSP). Dans le cas des données, par exemple, il en va toujours de celle des clients. Même constat pour tout ce qui touche aux installations sur site.
En revanche, dès que l’on s’avance vers des niveaux plus avancés de passage dans le cloud, tout dépend des besoins du client. Dans une offre IaaS (Infrastructure as a Service), le CSP est responsable de l’infrastructure, donc des serveurs, réseaux et unités de stockage. Avec les offres PaaS (Platform as a Service), le CSP ajoute à ses responsabilités le système d’exploitation. Enfin, les offres les plus complètes, dites SaaS (Software as a Service), reprennent les éléments précédents et y ajoutent tout l’applicatif. Plus on « grimpe » dans les offres, plus le fournisseur a de responsabilités.
C’est du moins la théorie, comme le précise d’ailleurs l’ANSSI. En pratique, ces découpages sont loin d’être aussi simples. « En effet, il est possible depuis plusieurs années de bâtir un système d’information ou une application en « kit », reposant sur l’empilement et l’assemblage de briques disponibles sur étagère, où chacune d’entre elles fournit un service spécialisé « clé en main » en fonction du niveau de délégation recherché (par ex. base de données, front-end, back-end, pipeline de traitements, stockage, lacs de données, tableaux de bords, gestion des identités, etc) », indique l’ANSSI.
Conséquence de cette souplesse, un même client peut se servir « à la carte » chez plusieurs CSP. L’infrastructure créée est une combinaison de services en provenance de fournisseurs multiples. L’Agence de sécurité met d’ailleurs en garde : ce type d’assemblage peut rendre les erreurs de configuration plus fréquentes, à cause de la multiplicité des interfaces.
Une grande surface d’attaque
Même quand cette multiplicité est réduite, la surface d’attaque reste vaste, note l’ANSSI, qui donne une liste d’exemples. En premier lieu, « les interfaces de gestion, telles que les portails Web et les API ».
Ces dernières sont régulièrement pointées du doigt pour des défauts de sécurité. On se souvient que l’année dernière, des rapports de Cloudflare et Akamai allaient justement dans ce sens. Les deux prestataires avaient noté une explosion des attaques basées sur des faiblesses dans des interfaces de programmation insuffisamment protégées. Les deux entreprises avertissaient également du problème des « API fantômes », des composants clés de communication dont personne ne se souvient, avec tous les dangers associés. Il était recommandé aux entreprises de tenir un inventaire à jour.
L’ANSSI liste les autres vecteurs principaux : les failles de sécurité bien sûr, les mauvaises pratiques de gestion des accès et des identités (mots de passe faibles, absence de MFA…), les erreurs de configuration dans les services cloud (notamment les permissions excessives), ainsi que les dépendances à des tiers.
Les recommandations de l’ANSSI
L’agence termine son rapport par une liste de recommandations, tant pour les fournisseurs de solutions cloud que pour leurs clients.
Elle enjoint ainsi les premiers à se pencher d’abord sur la mise en œuvre de son guide d’hygiène numérique, en tant que socle élémentaire. Vient ensuite l’application des bonnes pratiques de développement : analyses de risques sur les applications, identification et gestion rigoureuse des dépendances, tests de sécurité dans des « configurations réalistes », et enfin protection et analyse du cycle de vie des secrets.
L’ANSSI recommande également de cartographier et limiter la surface exposée des services, de cloisonner le système de gestion de l’infrastructure utilisée par les clients, de sécuriser les postes des développeurs associés, de s’approcher autant que possible du référentiel SecNumCloud, de réaliser régulièrement des sauvegardes ou encore de proposer différents mécanismes de protection, que ce soit contre les attaques par déni de service ou les destructions de ressources.
Côté clients, l’agence a aussi une liste de conseils, dont l’assurance que des contacts techniques sont toujours joignables. Les recommandations, générales, restent proches de celles formulées pour les CSP, avec par exemple la mise en œuvre d’une politique de cloisonnement entre les systèmes et un audit de l’exposition des services cloud. L’ANSSI recommande chaudement la mise en place d’un plan de continuité et de reprise d’activité (PCA/PRA).
Sans surprise, l’agence pousse une nouvelle fois son référentiel SecNumCloud dans le choix d’offres cloisonnées pour les activités sensibles. Chiffrement des données clients, cloisonnement des clients entre eux, protection des moyens d’accès et contre les lois extraterritoriales sont ainsi au rendez-vous. « Pour le traitement et l’hébergement de données sensibles, il est recommandé de privilégier les services conformes au référentiel SecNumCloud », ajoute l’agence.
À l’occasion du Sommet pour l’action sur l’IA, le fabricant américain de semi-conducteurs a annoncé la création à Grenoble de « l’une des installations de calcul d’IA les plus puissantes de France » en collaboration avec l’entreprise émiratie G42. Celle-ci a pourtant été accusée, fin 2019, d’avoir publié un outil d’espionnage via une application qui a ensuite été retirée des magasins d’application d’Apple et de Google.
Dans un communiqué publié ce lundi 10 février, pendant le Sommet pour l’action sur l’IA, le géant américain des semi-conducteurs AMD a annoncé un investissement « stratégique » destiné à l’ouverture, à Grenoble, d’un data center « à la pointe de la technologie » et dédié à l’IA.
DataOne, le français de l’équipe
Pour mettre en place cette infrastructure informatique, AMD explique avoir noué un partenariat avec l’entreprise française DataOne, une filiale de BSO (société irlandaise qui dispose de 240 points de présence) lancée en novembre 2024. Dans le Dauphiné Libéré, elle explique avoir racheté en novembre dernier les data centers de DXC Technology (anciennement Hewlett Packard Enterprise, HPE) et leurs locaux à Grenoble et Villefontaine, elle aussi dans l’Isère. L’entreprise revendique 50 000 m² sur ses deux sites.
« Nous n’allons garder que les murs » et construire des data centers « totalement différents », explique DataOne à nos confrères. Sans communiquer aucun chiffre d’investissements, l’entreprise explique que ses deux sites disposeront au départ d’une puissance de 15 MW et que son objectif est de passer à 1 GW dans les 5 à 7 ans.
Le troisième partenaire : l’émirati G42
Mais le partenariat entre AMD et DataOne sur le data center de Grenoble voit aussi un troisième acteur intervenir : Core42, une filiale de G42. Le PDG de cette filiale qui est aussi le directeur technique de G42, Kiril Evtimov, affirme d’ailleurs dans le communiqué d’AMD que « la France fait des progrès audacieux en matière d’innovation et d’IA. G42 est fier de contribuer à cet effort. En déployant les GPU AMD, nous renforçons non seulement l’infrastructure d’IA de l’Europe, mais nous permettons également aux entreprises et aux chercheurs d’accélérer l’innovation à grande échelle ».
« Notre collaboration stratégique avec G42 contribuera à dynamiser l’écosystème français de l’IA, en fournissant la capacité de calcul nécessaire pour permettre aux start-ups locales et aux pionniers de l’IA qui conduisent l’innovation de pointe et renforcent l’économie française », affirme dans ce même communiqué la PDG d’AMD, Lisa Su.
L’accord entre la France et les Émirats arabes unis vantait la création d’un « campus de 1 GW dédié à l’intelligence artificielle en France ». La ville et les partenaires n’étaient pas précisés, tandis que le communiqué d’AMD ne parle pas du montant des investissements. Faute de précisions, impossible de savoir si les deux annonces sont liées ou non.
Mais G42 n’est pas n’importe quelle entreprise du numérique. En 2019, un an seulement après la création de cette entreprise émiratie, une enquête du New York Times révélait qu’une application d’appels audio et vidéo nommée ToTok et téléchargée sur des millions de smartphones était en réalité un outil d’espionnage émirati.
Wired conseillait, à l’époque, à ses lecteurs de désinstaller l’application le plus rapidement possible. Elle était distribuée sur les magasins d’applications d’Apple par une entreprise nommée Breej Holding. Celle-ci était présentée par le journal américain comme « très probablement une société écran affiliée à DarkMatter, une société de cyberespionnage et de piratage informatique basée à Abou Dhabi, où travaillent des agents de renseignement émiratis, d’anciens employés de la National Security Agency et d’anciens agents du renseignement militaire israélien ». Selon le journal, DarkMatter était sous le coup d’une enquête du FBI pour de potentiels cybercrimes.
L’Associated Press a prolongé cette enquête et a remarqué que l’application était distribuée sur le magasin de Google par une autre entreprise nommée ToTok Pte. L’agence de presse a aussi découvert que le seul actionnaire déclaré de la seconde entreprise était G42. AP faisait remarquer que « le PDG de la société est Peng Xiao, qui a dirigé pendant des années Pegasus, une filiale de DarkMatter ». Celui-ci est toujours à la tête de G42.
Le Seattle Times expliquait en 2023, que « selon une évaluation des services de renseignement américains datant de 2019, les données recueillies à partir de l’application ont été stockées par une entreprise des Émirats arabes unis appelée Pax AI, dirigée par M. Xiao ». Le média explique d’ailleurs qu’après l’enquête du New York Times, les responsables de l’entreprise ont nié que ToTok ait été conçu pour servir d’outil d’espionnage.
« Comme ToTok fonctionnait si bien, sa popularité a décollé parmi les Émiratis et leurs contacts à l’étranger », expliquait au Seattle Times Bill Marczak, chercheur du Citizen Lab :
« Et comme le chiffrement de l’application n’empêchait pas Group 42 d’accéder aux conversations des utilisateurs de ToTok, l’application a pu fournir un énorme volume de données juteuses aux services de renseignement des Émirats arabes unis. »
G42 redevient fréquentable
Comme l’expliquent nos confrères d’Intelligence Online, dès sa création, G42 a « suscité la méfiance des chancelleries occidentales du fait de ses projets avec Huawei et d’autres groupes chinois. Sous la pression de Washington, G42 a toutefois indiqué cesser toute collaboration avec Pékin et a signé un méga-contrat avec Microsoft en avril 2024, redevenant de fait fréquentable en France ».
40 médias français demandent à la Justice d’ordonner aux FAI le blocage du site news.dayfr.com. Ce dernier, le plus bourrin du millier de sites d’informations générés par IA que nous avons identifiés, plagie de 5 à 15 articles… par minute, et jusqu’à plus de 6 000 par jour.
Au printemps dernier, l’auteur de ces lignes animait une formation consacrée au fact-checking auprès de journalistes professionnels. L’un d’entre eux s’était excusé de devoir, en urgence, finaliser et mettre en ligne un article. Ce qu’il fit, tout en tentant de garder une oreille (plus ou moins) attentive pour suivre la formation, jetant un œil de temps à autre aux sites et pages web présentés.
Afin d’illustrer pourquoi et comment il convenait d’apprendre à identifier les articles et sites d’information générés par des IA (GenAI), je prenais comme exemple la page d’accueil de News.dayFR. Je l’avais déjà identifié comme le principal plagieur GenAI en français. Mais je ne m’attendais pas à ce que le journaliste découvre, stupéfait, que ce site venait de publier un copier-coller de son article, mis en ligne une demi-heure plus tôt seulement.
Le site, qui existe depuis (au moins) décembre 2021, et qui a utilisé également le nom de domaine france.dayfr.com entre 2022 et 2023, est probablement le plus productif de la centaine de sites reposant sur du plagiat et faisant partie du millier de sites d’info GenAI que nous avons identifiés. Jusqu’à mentionner, dans le corps voire le titre des articles qu’il plagie, le nom du média qu’il copie-colle, comme le montrent ces captures d’écran.
Il republie depuis, en très léger différé, des dizaines de milliers d’articles émanant tout autant de la presse quotidienne régionale (PQR) que de la presse nationale française. Il s’agit généralement de simples copier-coller d’articles qui viennent d’être indexés sur Google Actualités, parfois (très) légèrement modifiés, notamment dans le titre.
Libération a ainsi constaté que le site passait les articles plagiés dans un traducteur automatisé, au point, par exemple, de renommer le nom de son service de fact-checking « CheckNews » en « VérifierActualités ».
Ironie de l’histoire, l’article de Libération titré « Quarante médias saisissent la justice pour bloquer “News Dayfr”, un des multiples “sites parasites” générés par IA » a lui-même été copié-collé sur News.dayFR, qui va jusqu’à rajouter « – Libération » dans le titre de l’article plagié.
L’AFP, qui précise que « la procédure entamée contre News.DayFr.com est la conséquence d’une enquête journalistique réalisée par Libération et le média spécialisé Next », a en outre remarqué que le plagiat de l’article du Monde consacré à cette plainte est quant à lui émaillé d’erreurs provenant de mauvaises traductions : « le média Next y était ainsi renommé « Suivant » (la traduction française de son nom) » :
« La plainte fait suite à une enquête Libération et les médias en ligne spécialisés Suivant. […] Nom des nouvelles. Jour. EN apparaît dans une enquête en plusieurs composants publiée depuis jeudi Libération et à Suivant qui note l’existence d’au moins un millier de ces sites d’information automatisés ou dopés par l’IA générative. »
Une demande de blocage, d’ici 15 jours
D’après Libé, qui fait partie des plaignants, les groupes de presse La Dépêche du Midi, Sud Ouest, PubliHebdos, La Montagne, le Télégramme et la Nouvelle République du Centre, représentant une quarantaine de titres de presse, viennent en effet de saisir la Justice pour qu’elle oblige les FAI à bloquer l’accès à News.dayFR.
Il reste 84% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Il y a un an tout juste, HPE bouclait un accord définitif portant sur l’acquisition de Juniper pour la modique somme de 14 milliards de dollars. La finalisation était attendue pour fin 2024 ou début 2025. Des bruits de couloir se sont fait entendre il y a quelques semaines sur la volonté des autorités américaines de bloquer le rachat.
C’est maintenant officiel : « le ministère américain de la Justice a intenté une action en justice pour empêcher le géant de la technologie d’entreprise HPE d’acquérir Juniper Networks », comme le rapporte TechCrunch. La plainte se trouve par là.
Le ministère de la Justice explique que ce rachat « consoliderait le marché des équipements sans fil pour les entreprises de trois grands fournisseurs – HPE, Cisco et Juniper – à deux ».
Antonio Neri, patron de HPE affirme qu’il va défendre « vigoureusement » ce projet d’acquisition, rapporte Bloomberg : « Nous allons plaider cela devant les tribunaux parce que nous pensons qu’il n’y a pas d’affaire ici ».
La Commission européenne avait, pour rappel, donné son feu vert sans condition en août. Ce rachat, selon l’institution, « ne poserait aucun problème de concurrence sur aucun des marchés examinés […] L’entité issue de la concentration resterait confrontée à la concurrence d’un large éventail de concurrents, dont des acteurs puissants et bien établis sur chacun des marchés ».
D’après des documents obtenus par + 972 Magazine et plusieurs autres médias, l’armée israélienne s’est largement appuyée sur les services de Microsoft pour gérer l’infrastructure technique qui lui a servi dans ses attaques contre Gaza.
Le 7 octobre, le Hamas fauchait la vie de 1 200 Israéliens, principalement des civils, et en prenait 240 autres en otage. Depuis, plus de 47 161 personnes ont été tuées à Gaza, dont 14 500 enfants, et plus de 111 000 ont été blessés. Ce bilan vaut à Israël d’être accusée de risque plausible de génocide par la Cour Internationale de Justice, puis de génocide par les experts de l’ONU, et de nombreuses organisations non gouvernementales.
Pour commettre ces actes, Israël s’est notamment appuyé sur une large infrastructure numérique. Parmi ses principaux fournisseurs, que ce soit en termes de services de cloud ou d’intelligence artificielle : Microsoft, d’après des documents commerciaux du ministère Israélien de la Défense et des documents de filiales israélienne du géant états-unien obtenus par le média israélo-palestinien + 972 Magazine.
Plusieurs dizaines d’unités aériennes, terriennes et navales de l’armée israélienne ont acheté des services de la plateforme cloud Azure au fil des derniers mois, unité 8200, l’unité de renseignement israélienne, comprise. En collaboration avec the Guardian, Drop Site News et le média en langue hébreu Local Call,+ 972 Magazine détaille comment Microsoft a déployé une « empreinte dans toutes les grandes infrastructures militaires » d’Israël au gré du conflit en cours. Ceci, alors que certains de ses employés protestaient : deux d’entre eux ont été licenciés fin octobre 2024 après avoir organisé une veillée pour les Palestiniens tués à Gaza.
En octobre 2024, selon ces documents, l’usage que l’armée faisait des outils d’IA fournis par Azure était sept fois plus élevé que celui réalisé le mois précédant l’attaque du Hamas. En mars 2024, il avait été multiplié par 64. D’après Drop Site News, le conflit a fait grimper Israël parmi les 500 plus gros clients de Microsoft.
Azure partout
Parmi les unités dont les documents révèlent l’usage d’Azure,+ 972 cite l’unité Ofek de l’aviation israélienne, en charge de la gestion des vastes bases de données qui permettent d’automatiser la recherche de potentielles cibles aériennes. Dans une précédente enquête, le magazine israélo-palestinien avait détaillé comment l’armée automatisait ses frappes, grâce à plusieurs systèmes nommés « Alchimiste », « Évangile » (Habsora en hébreu), « Profondeur de la sagesse » ou encore « Usine à feu ».
L’unité Matspen, en charge du développement de systèmes opérationnels et de combat, et l’Unité Sapir, qui gère l’infrastructure numérique de la Direction du renseignement militaire, font aussi partie des clients identifiés. Si les usages précis de chacun des outils utilisés ne sont pas précisés dans les documents obtenus par les quatre médias, ces derniers permettent de calculer qu’un tiers de services achetés à Microsoft étaient destinées aux systèmes isolés d’Internet et des réseaux publics. Cela « renforce la probabilité que ces outils aient servi des objectifs opérationnels – tel que le combat et le renseignement » écrit + 972 Magazine.
Auprès du média, sept sources ont affirmé que l’armée israélienne était devenue toujours plus dépendante de la société états-unienne au gré du conflit, principalement parce que ses offres de stockage et la puissance de calcul permettait d’utiliser beaucoup plus de données beaucoup plus longtemps que ce que l’armée aurait été capable de faire autrement.
Les auteurs de l’enquête relèvent par ailleurs une « augmentation spectaculaire » du stockage cloud utilisée par l’armée israélienne en avril 2024, juste avant l’offensive menée contre la ville de Rafah. « L’utilisation du stockage est un indicateur important de l’ampleur de l’utilisation de l’IA, car le stockage augmente généralement avec l’utilisation d’autres produits en nuage », précise Drop Site News.
Plusieurs des centres de données qui ont servi à enregistrer les informations de l’armée israélienne sont situés en Europe, indique encore le média.
Microsoft Azure permet par ailleurs d’administrer des systèmes comme celui appelé « Rolling Stone », que l’armée utilise pour gérer les registres de population et les mouvements des Palestiniens de Cisjordanie et de Gaza.
L’armée est par ailleurs consommatrice de systèmes d’IA du géant états-unien. Parmi ces derniers : des outils de traduction, le GPT-4 d’OpenAI, un outil de speech-to-text et un autre d’analyse automatique de documents.
Si l’armée a commencé à souscrire à GPT-4, le système d’OpenAI, dès août 2023,+ 972 Magazine constate que son usage a été multiplié par 20 depuis octobre 2023, comparé à la période pré-conflit. Auprès du média, un porte-parole d’OpenAI indique la société « n’a pas de partenariat avec l’armée israélienne ».
Cela dit, Microsoft a investi 13 milliards de dollars dans la société. Les clauses d’Open AI interdisant l’usage de ses systèmes pour des activités « militaires ou guerrières » ont par ailleurs été supprimées discrètement en janvier 2024.
19 000 heures de support technique
Les équipes de Microsoft ont par ailleurs été largement sollicitées pour accompagner l’armée israélienne dans leurs travaux. Plusieurs unités ont ainsi acheté des « services étendus d’ingénierie », ce qui, selon la propre documentation de Microsoft, fait partie intégrante de son service client.
Entre octobre 2023 et juin 2024, relève encore + 972, le ministère de la Défense Israélienne a dépensé 10 millions de dollars pour financer 19 000 heures de support technique du géant états-unien. Auprès de + 972, un agent de l’unité 8200 décrit des développeurs si impliqués dans le travail des forces armées qu’il en parlait comme de « personnes qui travaillaient déjà avec l’unité », comme s’ils étaient des soldats à part entière.
Drop Site News relève de son côté que 30 millions de dollars de dépense supplémentaires étaient envisagées en 2024 pour d’autres projets de support. Il précise que le montant total du contrat du ministère israélien avec la société états-unienne « est beaucoup plus élevé », mais que « le chiffre exact n’a pas pu être déterminé » à partir des documents obtenus.
En 2021, Microsoft a échoué à signer le « Project Nimbus », un contrat de 1,2 milliard de dollars pour la refonte de l’infrastructure cloud de l’armée israélienne, finalement remporté par une alliance entre Google et Amazon. En août,+ 972 Magazine soulignait que Microsoft Azure et Amazon AWS continuaient de concourir pour obtenir les meilleurs contrats auprès de l’armée israélienne.
En moins d’une semaine, l’association noyb a enchainé sur deux sujets : les dangers que fait courir le nouveau gouvernement Trump sur les échanges de données avec les États-Unis et le trop faible nombre d’amendes pour les entreprises contrevenant au RGPD.
Le 23 janvier, l’association noyb (none of your business, « ce ne sont pas vos affaires ») alertait sur les risques posés par certains ordres exécutifs signés par Donald Trump, fraichement arrivée à la Maison-Blanche. L’un d’eux engendre le réexamen de toutes les décisions prises en matière de cybersécurité nationale prise durant le mandat de Joe Biden au cours des 45 jours suivants.
Un maillon important du Data Privacy Framework
Parallèlement, les membres démocrates du PCLOB (Privacy and Civil Liberties Oversight Board) ont été démis de leurs fonctions et leurs comptes de messagerie bloqués. En conséquence, souligne l’association, le Board ne peut plus fonctionner correctement, car le nombre minimal de membres nécessaire n’est plus atteint.
Or, le PCLOB est un maillon essentiel du Data Privacy Framework. Ce cadre établit une adéquation entre les législations européenne et américaine sur la protection de la vie privée. Il permet l’envoi des données personnelles européennes vers les serveurs des sociétés américaines, en partant du principe que les protections y sont équivalentes. Le DPF, qui avait pris la suite des Safe Harbor et Privacy Shield après leur invalidation (arrêts Schrems I et II), est depuis sous le feu de critiques nourries, notamment de noyb et du député Philippe Latombe (MoDem).
« Cet accord a toujours été construit sur du sable, mais le lobby des entreprises de l’UE et la Commission européenne le voulaient quand même. Au lieu d’une limitation juridique stable, l’UE a accepté des promesses exécutives qui peuvent être annulées en quelques secondes. Lorsque les premières vagues de Trump frappent cet accord, elles plongent rapidement de nombreuses entreprises de l’UE dans un vide juridique. Le PCLOB lui-même n’est qu’une pièce du puzzle et tant qu’il ne fonctionne que temporairement, on peut dire que l’accord n’est pas pire qu’avant. Toutefois, la direction prise dès la première semaine de la présidence Trump n’est vraiment pas bonne. Nous surveillons de près s’il s’agit d’un problème temporaire ou si le PCLOB est tué pour de bon », a déclaré Maximilien Schrems.
L’Europe s’est appuyée sur « des vœux pieux »
Pour le fondateur de noyb, ces décisions viennent prouver le manque d’indépendance de la plupart des organes de contrôle américain : « Des domaines juridiques entiers sont simplement réglementés par des décrets présidentiels ». « Il y avait beaucoup de questions sur l’indépendance de ces mécanismes de contrôle. Malheureusement, il semble qu’ils ne résisteront peut-être même pas à l’épreuve des seuls premiers jours d’une présidence Trump. C’est la différence entre des protections juridiques solides en droit et des vœux pieux – la Commission européenne s’est uniquement appuyée sur des vœux pieux », a-t-il ajouté.
Pour Maximilien Schrems, le DPF pourrait ne pas survivre aux décisions prises dans les prochaines semaines. Si le DPF devait à son tour tomber, les entreprises et particuliers européens replongeraient dans l’incertitude juridique. L’Europe devrait alors replonger dans la négociation d’un cadre, face à des États-Unis désormais pilotés par une doctrine America First.
Bilan du RGPD ? Bof bof, selon noyb
Dans une communication ce matin, l’association profite aussi de la journée mondiale de la protection des données pour dresser un bilan du RGPD. Si le règlement « a inauguré une nouvelle ère », la réalité « est beaucoup plus sombre » sept ans plus tard.
noyb fonde son avis sur l’analyse des statistiques de l’EDPB (European Data Protection Board), dont la mission est de coordonner l’application du RGPD dans l’Union européenne. Acide, l’association pointe ainsi « l'(in)activité des autorités nationales de protection des données », avec un chiffre coup de poing : 1,3 % seulement des affaires dont les autorités sont saisies en lien avec le RGPD aboutit à une amende.
L’application du RGPD ne se ferait ainsi que sur le papier, loin des promesses de son entrée en vigueur, en mai 2018. Comme pour le DPF, noyb reparle de « vœux pieux », tant les résultats sur la période 2018 - 2023 (pdf) sont loin des attentes. « Cela correspond à notre propre expérience pratique : la plupart des affaires trainent pendant plusieurs années, avant d’être closes par un règlement ou entièrement rejetées », ajoute l’association.
Au sein de l’Union, la France fait partie des mauvais élèves, avec un taux parmi les plus faibles (0,1 %). Des scores que l’association ne semble pas comprendre, car ces plaintes incluent des « infractions évidentes telles que des demandes d’accès sans réponse ou des bannières de cookies illégales, qui pourraient – en théorie – être traitées rapidement et d’une manière standardisée ».
noyb soulève également deux autres points. D’une part, non seulement le nombre d’amendes est excessivement bas, mais leur montant « sont une plaisanterie ». En prenant en compte la présence des multinationales américaines en Irlande (dont Apple, Google, Meta et Microsoft), l’autorité du pays affiche une moyenne de 476 millions d’euros par an, toutes amendes cumulées. Une somme jugée loin d’être dissuasive.
D’autre part, 40 % des amendes obtenues depuis l’entrée en vigueur du RGPD l’ont été grâce à noyb. « Cela signifie qu’en réalité, il semble plutôt y avoir un manque de volonté politique pour s’opposer aux géants de la technologie qu’un manque de possibilités d’agir », fustige l’association.
Connexion
