Ia pas d'entrainement

L’éditeur de Photoshop et de Lightroom a changé ses conditions d’utilisation en février dernier. Mais des utilisateurs anglophones ont repéré dans ce texte qu’Adobe leur demandait d’accepter l’utilisation de « méthodes automatiques » pour « accéder, voir et écouter » leurs contenus. Après plusieurs messages massivement diffusés sur les réseaux sociaux, l’entreprise dément utiliser les données de ses utilisateurs pour entrainer ses modèles d’IA.

Adobe a changé ses conditions d’utilisation en février dernier en modifiant notamment la sous-section « Notre accès à votre Contenu » de la partie concernant la « Confidentialité ». Comme souvent maintenant, l’entreprise conditionne l’utilisation de ses services à l’acceptation des nouvelles conditions.

Si, jusque-là, celles-ci n’avaient pas fait réagir, la semaine dernière, des internautes anglophones et hispanophones ont tiqué sur plusieurs phrases. Ils interprétaient ces modifications comme le fait qu’Adobe se donner la possibilité d’entrainer ses IA sur leurs contenus, et notamment ceux stockés dans « Creative Cloud » et « Document Cloud ».

So am I reading this, right? @Adobe @Photoshop

I can't use Photoshop unless I'm okay with you having full access to anything I create with it, INCLUDING NDA work? pic.twitter.com/ZYbnFCMlkE

— Sam Santala (@SamSantala) June 5, 2024

I just got an update on @Adobe terms of service saying they'll have irestric acess to eveything I use, upload or download with their services for Machine Learning;

This means every copywrighted material I have in my possession is being used by Adobe AI Model pic.twitter.com/DHk4wk755Q

— thiagocrocha.bsky.social (@Thiagocrocha_) June 4, 2024

Il faut dire qu’Adobe a injecté beaucoup d’IA dans ces outils ces derniers temps en lançant officiellement Firefly.

Comme de nombreux outils actuellement, Firefly utilise l’IA générative. Elle permet, par exemple, d’ajouter des objets dans une image rien qu’avec un prompt ou d’étendre une image en générant une continuité hors cadre original.

Méfiance et tournure confuse

Mais pour tout ça, il faut bien entrainer les IA avec une base de données massives. Et quoi de plus simple et de plus efficace que d'utiliser les données directement disponibles sur le Cloud d'Adobe ? Des utilisateurs suspicieux ont donc eu peur que la modification des conditions d'utilisation intervenue en février dernier le permette à l'entreprise, et ils ont été relayés par plusieurs médias comme The Register ou Venture Beat. D'autant que le texte modifié en anglais n'est pas des plus clairs : « nous pouvons accéder, visualiser ou écouter votre contenu (défini dans la section 4.1 (Contenu) ci-dessous) par des méthodes automatisées et manuelles, mais uniquement de manière limitée et dans les limites autorisées par la loi » explique-t-il. Et dans la même sous-section, Adobe ajoute « nos systèmes automatisés peuvent analyser votre Contenu et les Polices Client Creative Cloud (définies dans la section 3.10 (Polices Client Creative Cloud) ci-dessous) à l'aide de techniques telles que le machine learning afin d'améliorer nos Services et nos Logiciels ainsi que l'expérience utilisateur. Des informations sur la manière dont Adobe utilise l'apprentissage automatique sont disponibles ici ». La mention du machine learning dans la section de l'accès aux contenus des utilisateurs peut effectivement faire penser qu'Adobe se donne la permission d'utiliser les images créées par ses utilisateurs pour entrainer ses IA. Mais la section 4.1 à laquelle fait référence le texte modifié plus haut évoque plutôt le fait de vérifier que les contenus respectent bien les conditions d'utilisation justement :

« Nous ne révisons pas l’ensemble du Contenu chargé sur les Services et dans les Logiciels, mais nous pouvons utiliser des technologies, des fournisseurs, ou des processus disponibles, y compris manuellement, pour filtrer certains types de contenus non autorisés (pédosexuels, par exemple) ou tout autre contenu ou comportement délictueux (des activités révélant un pourriel ou un hameçonnage, ou des mots-clés indiquant que du contenu réservé aux adultes a été publié en dehors du mur de protection contre le contenu pour adultes) ».

Clarifions

Adobe a dû publier un billet de blog pour « clarifier » sa « clarification » de ses conditions d'utilisation : « pour être clair, Adobe exige une licence limitée pour accéder au contenu uniquement dans le but d'exploiter ou d'améliorer les services et les logiciels et pour faire respecter nos conditions et se conformer à la loi, par exemple pour se protéger contre les contenus abusifs ». L'entreprise ajoute qu' « Adobe n'entraine pas les modèles d'IA Firefly Gen sur le contenu des clients » et qu'elle « ne s'appropriera jamais le travail d'un client ». Elle publie aussi la différence entre les anciennes et nouvelles conditions d'utilisation pour montrer sa bonne foi, que l'on peut aller vérifier via la fonction diff proposée par archive.org :

Il serait pertinent qu'au-delà de ce billet, Adobe change ses conditions d'utilisation pour ajouter ce genre de phrases et rassurer ses utilisateurs. Cela dit, dans la version française de ces conditions d'utilisation, Adobe utilise une tournure un peu plus claire : « nous ne pourrons accéder à votre Contenu (défini à l’article 4.1 (Contenu) ci-dessous), le regarder ou l’écouter par le biais de processus automatisés et manuels que de manière restreinte et uniquement dans les limites autorisées par la loi ».

Pas d’échappement, pas de pot

Une importante faille de sécurité a été découverte dans plusieurs versions de PHP sous Windows, où l’exploitation est jugée triviale. Les personnes ayant installé un serveur avec XAMPP sont encouragées à modifier leur configuration, aucune nouvelle version n’étant pour l’instant disponible.

La vulnérabilité, estampillée CVE-2024-4577, affecte toutes les versions de PHP fonctionnant sur Windows. Elle concerne les versions 8.3 avant 8.3.8, 8.2 avant 8.2.20 et 8.1 avant 8.1.29. Toutes les moutures du langage sont touchées, y compris les plus anciennes. Les branches 8.0, 7 et 5 sont ainsi impactées, mais ne sont plus entretenues.

La faille a été découverte par Orange Tsai, chercheur en sécurité chez DevCore. Elle réside dans la conjonction d’un problème de vérification dans PHP et du fonctionnement d’un mécanisme de Windows, nommé best-fit. Ce dernier est responsable de la conversion du codage des caractères.

Pour un simple trait d’union invisible

Pour comprendre le fonctionnement de la faille, expliquons d’abord le concept d’échappement. Ce processus permet de convertir une partie des entrées utilisateur pour en retirer tout ce qui pourrait être interprété de travers. Cas classique, les symboles < et >, convertis dans leur équivalent en hexadécimal, afin de ne pas créer par inadvertance des balises web, selon l’utilisation.

Dans le cas de Best Fit, certains caractères ne sont pas échappés. Le trait d’union conditionnel (ou virtuel) est ainsi cité. Il s’agit d’un caractère invisible servant à indiquer où un mot a le droit d’être coupé pour créer un trait d’union. C’est ce type de caractère que l’on trouve parfois dans des noms de domaines pour afficher un nom paraissant légitime, mais renvoyant vers un faux site. Best Fit modifie notamment la valeur du trait d’union conditionnel (0xAD) en trait d’union classique (0x2D).

Pour le mode CGI uniquement

PHP peut fonctionner dans plusieurs modes. Seul le mode CGI est concerné par la faille, alors même qu’il a été conçu pour la sécurité, l’interprétation du code se faisant dans un processus distinct.

« Il s’avère que, dans le cadre du traitement d’Unicode, PHP applique ce que l’on appelle une correspondance « best fit », et suppose que, lorsque l’utilisateur a saisi un trait d’union virtuel, il avait en fait l’intention de saisir un véritable trait d’union, et l’interprète en tant que tel. C’est là que réside notre vulnérabilité. Si nous fournissons à un gestionnaire CGI un trait d’union virtuel (0xAD), le gestionnaire CGI ne ressentira pas le besoin de l’échapper, et le transmettra à PHP », pointent les chercheurs de WatchTowr.

Vous devinez la suite : PHP va l’interpréter comme un vrai trait d’union. Un changement simple en apparence, mais déterminant, le trait d’union servant à introduire des arguments dans les commandes.

Les chercheurs soulignent que le mécanisme est « remarquablement similaire » à une vieille faille de PHP en 2012. L’équipe de développement ne semble pas avoir pensé à Best Fit sous Windows, permettant de reprendre les codes d’exploitation d’il y a 12 ans et d’y apporter quelques modifications pour les faire fonctionner. Il s’agit d’une attaque par injection d’arguments, comme en 2012.

Une faille critique, avec quelques conditions

La faille est critique, dans le sens où une installation vulnérable peut être utilisée pour déclencher une exécution de code arbitraire à distance, sans intervention de l’utilisateur. En pratique, il faut quand même que quelques conditions soient réunies.

Par défaut, PHP n’est pas installé sur Windows. Pour qu’il le soit, il faut avoir installé un serveur, comme XAMPP, cité par les chercheurs. Il faut en outre que PHP fonctionne en mode CGI, un usage devenu minoritaire (largement remplacé par FastCGI). Mais attention, exposer le binaire PHP (php.exe ou php-cgi.exe) dans un dossier accessible au serveur web permet aussi l’exploitation de la faille. C’est malheureusement la configuration par défaut de XAMPP, qui n’est plus mis à jour depuis plus d’un an.

Les chercheurs ont par ailleurs attesté l’exploitation de la faille – tout en donnant la méthode – sur les versions chinoises (traditionnel et simplifié) et japonaise de Windows. Ils disent ne pas savoir si l’exploitation peut se faire sur d’autres variantes linguistiques. Ils ajoutent avoir été confrontés à une trop grande variation des configurations, d’autant qu’il n’est pas simple, depuis l’extérieur, de savoir dans quelle langue un système est configuré.

Toutes les personnes ayant un serveur PHP sont invitées à vérifier sa configuration et à installer la version plus récente de PHP.

Les pirates sont vite partis à l’assaut

Révélée vendredi avec de nombreuses précisions par DevCore, la faille a rapidement fait l’objet d’une recherche active de victimes. C’est ce qu’a indiqué la Shadowserver Foundation dès vendredi après-midi.

L’exploitation est simple à réaliser et les pirates peuvent tabler sur l’installation par défaut de XAMPP (qui n’est pas censé être utilisé en production, s’agissant avant tout d’un environnement de test) pour exposer les binaires PHP. La situation pour les systèmes Windows dans d’autres langues que celles testées par DevCore n’est pas claire, mais rien ne s’oppose – en théorie – à une exploitation sur tout type de configuration.

C’est donc ce soir qu’Apple présentera ses nouveautés sur la partie logicielle. Il sera question des nouvelles versions des systèmes d’exploitation pour les smartphones (iOS), les tablettes (iPadOS) et les ordinateurs (macOS). Sauf surprise de dernière minute, ce seront respectivement les versions iOS et iPadOS 18, ainsi que MacOS 15.

Apple devrait aussi se lancer pleinement dans l’intelligence artificielle, avec du retard sur ses camarades et concurrents. L’entreprise livre généralement des produits finis et bien intégrés (parfois, c’est loupé, le lancement de Plans peut en témoigner), les annonces du jour seront donc à surveiller de près.

Des rumeurs insistantes font état d’un nouveau gestionnaire de mot de passe, d’une nouvelle version « 2.0 » de Siri, etc. Dernières suppositions en date, un mode sombre pour les icônes des applications et la possibilité de passer par Face ID pour valider le lancement d’une application.

Il arrive aussi parfois que des annonces sur le matériel soient faites, notamment avec la puce M2 et un nouveau MacBook Air en 2022, ainsi que le casque de réalité mixte Vision Pro en 2023. Réponses dans quelques heures à peine.

La conférence est à suivre sur Apple TV, sur le site d’Apple ou sur YouTube.

Poupées russes

En ligne, la campagne de désinformation Matriochka sévit depuis près d’un an, usurpant l’identité de médias et d’institutions et détournant l’attention des fact-checkeurs. En France, elle a notamment diffusé des contenus de décrédibilisation du soutien à l’Ukraine et l’idée que les Jeux Olympiques et paralympiques 2024 seront un échec.

Depuis fin 2023, une campagne malveillante touche l’espace public numérique francophone et mondial. Surnommée « Matriochka » (c’est-à-dire poupées gigognes) par le collectif « antibot4navalny », la campagne vise avant tout les médias, équipes de fact-checkeurs en tête, dans une logique de diversion.

Le principe : commencer par déverser des contenus de désinformation anti-ukrainienne, qui usurpent généralement l’identité de personnalités nord-américaines ou européennes ou se font passer pour des médias de ces mêmes régions. Ensuite, appeler les médias occidentaux à vérifier la véracité de certaines d’entre elles.

Auprès de l’Agence France-Presse, le mathématicien et directeur de recherche au CNRS David Chavalarias estimait début 2024 qu’il s’agissait d’une « entreprise de diversion » qui occupent les journalistes sur des sujets difficiles à vérifier. Il pouvait aussi s’agir, selon lui, d’une manière d’amplifier la portée de cette désinformation par l’intermédiaire de la diffusion de fact-checks.

Dans un rapport publié ce 10 juin, le service de vigilance et de protection contre les ingérences numériques étrangères de l’État Viginum estime que « l’objectif de cette campagne est probablement de décrédibiliser les médias, personnalités et cellules de fact-checking ciblés tout en promouvant des contenus servant les intérêts russes ».

Elle considère que « les critères d’une ingérence numérique étrangère apparaissent réunis » et alerte sur la probabilité que le mode opératoire de cette campagne évolue « durant les mois à venir pour améliorer la furtivité de ses procédés, piéger un plus grand nombre de cibles, ou atteindre une audience plus large ».

• Selon Jean-Noël Barrot, la France et l’Europe sont « pilonnés par la propagande de la Russie »
• Viginum a repéré 40 % d’ingérences numériques étrangères de plus qu’en 2022

« Seeders » anti-Ukraine et anti-JO

La fonction existe dans WhatsApp depuis deux ans. Elle permet de fédérer de grands groupes de personnes autour de thématiques communes, comme les résidents d’un quartier, les parents d’élèves d’une école, etc.

Cette fois, Meta déploie la fonction sur Messenger, signale TechCrunch. Mais là où WhatsApp réclamait le numéro de téléphone, Messenger fonctionne sur la base des amis (et amis d’amis) sur Facebook. En outre, les invitations sont émises sous forme de liens partageables.

Jusqu’à 5 000 personnes peuvent rejoindre une communauté sur Messenger. Chacune est munie d’un accueil présentant l’espace de conversation. Les administrateurs du groupe peuvent également y placer des publications, mises à jour et autres informations.

Une communauté permet le rassemblement de plusieurs groupes de conversations. Les administrateurs doivent garder en mémoire que toute personne acceptée peut voir l’intégralité des échanges qu’elle rejoint. Une fois une communauté créée, il est possible de créer d’autres groupes, en fonction des thématiques spécifiques à aborder.

Y’a-t-il un Copilot dans l’avion ?

Les PC Copilot+ vont arriver dès le 18 juin avec un SoC Qualcomm. Des machines avec des processeurs AMD Strix et Intel Lunar Lake sont également au programme. Microsoft garde toutefois le silence sur la période de lancement. AMD espère fin 2024, Intel ne se prononce pas.

Il y a trois semaines, Microsoft officialisait une nouvelle gamme de produits : les PC Copilot+. Il s’agit de machines orientées intelligence artificielle (comme c’est original) et des fonctions intégrées dans Windows 11.

L’une d’entre elles – Recall – fait couler beaucoup d’encre, et on découvre de nouveaux dangers régulièrement. Microsoft vient d’ailleurs de faire machine arrière.

• Machine arrière : Windows Recall devient opt-in et renforce sa sécurité

Mais que faut-il pour appartenir à la gamme Copilot+ et quand pourrons-nous en profiter ? Le sujet n’est pas simple puisque Microsoft n’y répond pas directement.

Microsoft Qualcomm et vice-versa

L’entreprise s’est entichée de Qualcomm pour ce lancement : « Microsoft associe la série Snapdragon X à la puissance de Copilot+ ». Il en est de même pour les trois variantes de la puce X Elite de chez Qualcomm toujours.

Alex Katouzian, (responsable mobile, compute & XR chez Qualcomm) nous promet au passage monts et merveilles : « capacités d’IA révolutionnaires qui redéfinissent l’expérience informatique personnelle, le tout avec des performances de pointe et une autonomie de plusieurs jours ». À confirmer lors de tests, d’autant que Qualcomm a déjà fait part le passé des promesses dans le monde du portable, sans grand succès jusqu’à présent.

NVIDIA veut sa part du gâteau

Dès l’annonce de Copilot+, on se demandait si des machines avec un autre CPU pourraient être « certifiées » et profiter des nouvelles fonctionnalités. La réponse est arrivée par NVIDIA lors de sa keynote du Computex. On pourrait la résumer par « oui, mais… ».

En parlant des nouveaux ordinateurs portables RTX AI, le fabricant de carte graphique l’affirme sans détours : « Ces PC Windows 11 AI recevront une mise à jour gratuite des expériences Copilot+ PC lorsqu’elle sera disponible ».

• NVIDIA : IA, IA, GPU Rubin, IA, IA, SFF-Ready, IA, IA…

Microsoft veut du NPU, mais est-il obligatoire ?

Dans son communiqué, Microsoft explique que les « nouveaux Copilot+ PC reposent sur une architecture repensée qui tire pleinement parti de la puissance conjuguée du CPU, du GPU et désormais du NPU (Neural Processing Unit ou unité de traitement neuronal) ». Cela tombe bien, les machines dont parle NVIDIA seront équipées d’un processeur AMD Strix, avec NPU.

Rappelons que les cartes graphiques font largement mieux que les NPU, et depuis longtemps. Microsoft semble néanmoins bien plus attachée à la présence d’un NPU pour le traitement des données liées à l’intelligence artificielle, qu’à celle d’une carte graphique.

Des PC Copilot+ avec AMD « d’ici fin 2024 » ?

AMD emboite le pas à NVIDIA avec l’annonce de ses Ryzen AI 300 avec NPU intégré. Le Texan affirme que ces nouveaux processeurs « sont prêts pour Copilot+ », et même qu’ils « dépassent les exigences de Copilot+ AI PC ». À The Verge, AMD apporte une précision temporelle, du bout des lèvres : « Nous prévoyons d’avoir des expériences Copilot+ d’ici fin 2024 ».

Au détour d’un graphique, on apprend que, selon AMD, le minimum requis pour les « expériences Copilot+ » est de 40 TOPS. En mai, lors de son annonce, Microsoft expliquait que les machines Copilot+ seraient « capables d’effectuer plus de 40 TOPS », sans préciser que c’était un minimum requis.

• AMD : Zen 5 à tous les étages (Ryzen AI, 9000, Epyc), roadmap des GPU Instinct jusqu’en 2026

Copilot+ PC avec Lunar Lake d’Intel : oui, mais quand ?

Toujours au Computex, c’était ensuite au tour d’Intel de présenter ses processeurs Lunar Lake, avec eux aussi un NPU pour l’IA : « Lunar Lake bénéficiera des expériences Copilot+, comme Recall, via une mise à jour lorsqu’elle sera disponible ». Aucune date n’a été précisée.

Bref, AMD, Intel et NVIDIA se positionnent sur la « marque » Copilot+, mais sans donner aucune indication précise, si ce n’est qu’il faut patienter et que « cela va arriver… ». Il ne faut pas attendre d’éclaircissement de la part de Microsoft, qui n’a pas souhaité répondre à nos questions, pas plus qu’à celles de plusieurs de nos confrères américains.

• Intel présente Lunar Lake (CPU, GPU, NPU), lance ses Xeon 6 E-core et Gaudi 3 pour l’IA

Microsoft l’affirme : des mises à jour gratuites arrivent

« Les ordinateurs Intel Lunar Lake et AMD Strix sont des PC Windows 11 AI qui répondent à nos exigences matérielles Copilot+ PC. Nous travaillons en étroite collaboration avec Intel et AMD pour offrir des expériences PC Copilot+ via des mises à jour gratuites, lorsqu’elles sont disponibles », se contente d’expliquer James Howell, directeur marketing de Microsoft.

Pourquoi un tel décalage temporel entre les Copilot+ PC avec un SoC Qualcomm et ceux avec un CPU AMD ou Intel ? À défaut d’information fiable, on peut seulement faire des suppositions : contrat d’exclusivité avec Qualcomm, adaptations nécessaires pour l’architecture x86, etc.

Il pourrait s’agir simplement de la mise à jour 24H2 pour Windows 11, qui doit arriver l’automne. Elle est présente sur les PC Copilot+, mais demande plus de préparation pour le parc x86. Elle était d’ailleurs disponible dans le canal de test Release Preview (le plus stable), mais en a été retirée. Microsoft n’a pas expliqué pourquoi, précisant uniquement qu’elle serait de retour dans quelques semaines.

Quoi qu’il en soit, les premiers Copilot+ PC sont attendus pour le 18 juin, avec un SoC Qualcomm. Il y aura évidemment les nouvelles Surface de Microsoft, mais aussi des machines chez Acer, Asus, Dell, HP, Lenovo et Samsung. D’autres suivront très certainement durant l’été, puis à la rentrée, etc.

Une étude du Pew Research Center, repérée par Meta-Media, le service de veille numérique de France Télévisions, relève que 38 % des pages web existantes en 2013 ne sont plus accessibles dix ans plus tard, contre 8 % des pages qui existaient en 2023 :

« Un quart des pages web qui ont existé à un moment donné entre 2013 et 2023 ne sont plus accessibles depuis octobre 2023. Dans la plupart des cas, cela est dû au fait qu’une page individuelle a été supprimée ou retirée d’un site web par ailleurs fonctionnel. »

Cette analyse des « liens morts » (« link rot », en anglais), reposant sur un examen des liens apparaissant sur les sites gouvernementaux et les sites d’information, ainsi que dans la section Références des pages Wikipédia au printemps 2023, révèle en outre que :

• 5 % des liens sur les sites d’actualités n’étaient plus accessibles, et 23 % des pages examinées contenaient au moins un lien brisé ;
• 11 % de toutes les références liées à Wikipédia ne sont plus accessibles, et 54 % des pages de Wikipedia contenant au moins un lien dans leur section Références pointent vers une page qui n’existe plus ;
• au moins 14 % des pages gouvernementales, et 21 % des pages web des administrations publiques, contenaient au moins un lien brisé ;
• 23 % des pages web d’actualités contiennent au moins un lien brisé, de même que 21 % des pages web de sites gouvernementaux ;
• 25 % de toutes les pages collectées de 2013 à 2023 n’étaient plus accessibles en octobre 2023 : 16 % des pages sont inaccessibles individuellement mais proviennent d’un domaine de niveau racine par ailleurs fonctionnel ; les 9 % restants sont inaccessibles parce que l’ensemble de leur domaine racine n’est plus fonctionnel.

L’examen d’un échantillon d’utilisateurs de Twitter indique par ailleurs que près d’un tweet sur cinq (18 %) n’est plus visible publiquement sur le site quelques mois seulement après avoir été publié. Dans 60 % de ces cas, le compte qui a publié le tweet à l’origine a été rendu privé, suspendu ou entièrement supprimé.

Dans les 40 % restants, le titulaire du compte a supprimé le tweet, mais le compte lui-même existe toujours :

• 1 % des tweets sont supprimés en moins d’une heure
• 3 % en l’espace d’un jour
• 10 % en l’espace d’une semaine
• 15 % en l’espace d’un mois

« Considère ça comme un divorce »

Alors que la polémique enflait sur Recall, jugée intrusive et dangereuse, Microsoft fait machine arrière. Le choix sera clairement donné pendant la configuration de l’ordinateur. La société ajoute en outre des mécanismes de sécurité qui auraient dû être présents dès le départ.

C’est peu dire que la présentation de la fonction Recall (Retrouver) aura fait réagir. Spécifique aux PC Copilot+ et à ses « bonus » IA, elle consiste à prendre régulièrement des captures d’écran. Les images sont analysées, afin qu’une recherche permette de retrouver quand et comment une information a été utilisée. Flock y a même consacré une bande dessinée dont il a le secret.

• #Flock : Total RECALL me maybe

L’idée partait d’un bon sentiment, avec l’objectif de pouvoir toujours remettre la main sur un site, un document, une discussion ou autre. Cependant, comme nous l’avions signalé, elle permettait un véritable pillage des données personnelles. Dès lors qu’une autre personne pouvait s’installer devant l’ordinateur, elle pouvait récupérer tout l’historique de l’utilisateur sur plusieurs mois.

Le problème est d’autant plus important que le mécanisme agit aussi bien sur les actions personnelles que celles reçues d’autres personnes. Vous discutez sur Signal, WhatsApp, Messenger, Telegram, par email ou sur un site de rencontre ? Recall en garde des traces. Les correspondants ne sont pas prévenus. D’autres ont signalé les ravages que peut entrainer la fonction avec des proches abusifs.

L’activation de Recall se fera par un choix

On s’en doutait devant l’ampleur des critiques : Microsoft a annoncé la bascule sur un modèle « opt in » pour Recall. L’assistant de configuration de Windows 11 pouvant être mis à jour dès la connexion internet établie, une nouvelle version sera disponible pour le lancement des PC Copilot+. On y trouvera un choix clair sur la fonction :

La capture, publiée par Microsoft, montre l’obligation de faire un choix. Nous nous étions justement interrogés sur ce point, car une bonne partie de l’assistant est consacrée à l’activation de fonctions, aucun choix n’étant sélectionné par défaut. Pourquoi Recall n’avait-il pas eu le même traitement ? L’éditeur a fini par aligner Recall sur le reste.

Le nouveau panneau a l’avantage de mieux présenter la fonction. Il explique son intérêt, mentionne que Microsoft n’accède pas aux captures et que l’on peut contrôler ce que Recall analyse.

Plusieurs mesures de sécurité supplémentaire

Outre le contrôle, Microsoft ajoute plusieurs mécanismes pour verrouiller davantage les informations enregistrées par Recall. La fonction ne brillait pas par la protection des informations très sensibles. Elle les stockait dans une simple base SQLite, enregistrée dans un sous-dossier d’AppData. L’expert en cybersécurité Kevin Beaumont avait même montré qu’on pouvait les récupérer assez facilement depuis un autre compte sur le même PC.

On trouve trois ajouts principaux. D’une part, l’activation de Windows Hello devient obligatoire pour utiliser Recall. Hello est pour rappel la fonction chapeautant tout ce qui touche à l’ouverture sécurisée de session, notamment avec la biométrie.

D’autre part, Windows Hello se manifestera lors de tout accès aux informations recueillies par Recall. Une preuve de présence donc, là où il suffisait à quelqu’un de s’assoir face à un PC Copilot+ pour plonger dans l’historique complet des activités de son utilisateur.

Enfin, plusieurs « couches supplémentaires de protection des données » ont été ajoutées. Un chiffrement à la volée d’abord, via Windows Hello ESS (Enhanced Sign-in Security). Les captures créées par Recall ne seront donc accessibles que si l’utilisateur est dument authentifié. En outre, la base de données de l’index de recherche sera, elle aussi, chiffrée.

De sérieux problèmes à la conception

Pourquoi ne pas avoir mis en place ces mécanismes dès le départ ? La question est évidente au vu des multiples scénarios problématiques apparus dans les quelques jours qui ont suivi la présentation. Elle est d’autant plus prégnante que Satya Nadella, PDG de l’entreprise, avait fait circuler un mémo auprès des employés pour réitérer l’importance de la sécurité, même si elle se faisait au détriment des fonctionnalités.

Recall ne sera techniquement proposé au départ que sous forme de préversion. Cela ne devrait cependant pas compter : obliger l’utilisateur à choisir aurait dû être un réflexe. Tout comme le chiffrement des données. Tout comme l’authentification obligatoire.

Microsoft joue gros avec ce type de mécanisme. La société veut prouver que l’IA peut rendre mille services. Avec Recall, elle a surtout prouvé que le pouvoir de l’IA peut entrainer des catastrophes quand elle n’est pas pensée avec soin. Comme le cloud, ces fonctions ne peuvent être couronnées de succès que si le public a confiance. Mieux vaut éviter qu’une telle bourde se reproduise, d’autant qu’une deuxième vague de PC Copilot+ serait en préparation pour la fin de l’été.

L’affaire servira en tout cas de leçon à Google, qui réfléchit également à intégrer ce type de fonction dans ses Chromebook.

« Grâce à notre perturbation continue de LockBit, nous disposons désormais de plus de 7 000 clés de déchiffrement et nous pouvons aider les victimes à récupérer leurs données », a déclaré Bryan Vorndran, directeur adjoint de la division Cyber du FBI, rapporte BleepingComputer.

Lors du démantèlement de l’infrastructure de LockBit, en février, les autorités avaient saisi 34 serveurs contenant alors plus de 2 500 clés de déchiffrement du rançongiciel russophone. Elles estimaient que le gang et ses affiliés avaient récolté jusqu’à 1 milliard de dollars en rançons suite à 7 000 attaques visant des organisations du monde entier entre juin 2022 et février 2024.

• Le créateur du rançongiciel LockBit serait un Russe de 31 ans
• Quelles traces relient Dmitry Khoroshev au rançongiciel LockBit ?

En dépit des efforts des forces de l’ordre pour mettre fin à ses activités, LockBit est toujours actif. L’Hôpital de Cannes Simone Veil a ainsi révélé mi-avril avoir fait l’objet d’une cyberattaque, et annoncé qu’il refusait de payer la rançon exigée par LockBit3.0, relève BleepingComputer :

« Dans le cas d’une fuite de données appartenant potentiellement à l’hôpital, nous communiquerons à nos patients et aux parties prenantes, après un examen détaillé des fichiers susceptibles d’avoir été exfiltrés, la nature des informations volées. »

Non contentes d’avoir révélé l’identité de son chef de gang, un ressortissant russe de 31 ans nommé Dmitry Yuryevich Khoroshev, les autorités ont également arrêté et inculpé plusieurs de ses membres, dont Mikhail Vasiliev en novembre 2022, Mikhail Pavlovich Matveev en mai 2023, Ruslan Magomedovich Astamirov en juin, Artur Sungatov et Ivan Gennadievich Kondratiev en février 2024.

Le département d’État américain offre désormais 10 millions de dollars pour toute information qui conduirait à l’arrestation ou à la condamnation des dirigeants de LockBit, ainsi qu’une récompense supplémentaire de 5 millions de dollars pour toute information conduisant à l’arrestation des affiliés du ransomware LockBit.

Microsoft organisait ce week-end son Xbox Games Showcase 2024, avec une ribambelle de nouveaux jeux annoncés. On y retrouve des licences phares comme Call of Duty, Diablo, Doom, Indiana Jones, etc. Nous n’allons pas nous attarder sur la partie logicielle, détaillée dans ce billet de blog.

La société a du nouveau aussi sur la partie matérielle, avec trois consoles. La nouveauté la plus marquante est sans aucun doute une première Xbox Series X en version all-digital, c’est-à-dire sans lecteur optique, avec 1 To de SSD. Elle sera vendue « dans certains marchés » pour 499,99 euros.

Microsoft propose également une autre Xbox Series X, avec 2 To de stockage cette fois et un lecteur Blu-ray, pour 649,99 euros. Terminons avec une Xbox Series S de 1 To et un châssis blanc. Elle est vendue 349,99 euros, le même tarif que sa grande sœur (Series S, 1 To) en noir lancée l’année dernière.

ou pas

J’espère que vous avez vu le film.

Sinon pour faire un résumé sans spoil de l’actualité lunaire : il y a Microsoft qui fait des étincelles et ça brille assez fort.

Si vous avez raté ce film de Paul Verhoeven qui sent bon le turfu des années 90, matez-le, au moins pour voir Schwarzenegger se sortir un mouchard (et non un mouchoir) des narines, gesticuler en animatronic les yeux exorbités sous l’atmosphère de mars. Allez, sinon vous allez me faire pleurer.

Merci et bon weekend à tous!

Cette chronique est financée grâce au soutien de nos abonnés. Vous pouvez retrouver comme toutes les précédentes publications de Flock dans nos colonnes.

Passe pas partout

Les clés d’accès – ou « passkeys » – sont un moyen de se débarrasser des mots de passe. Elles ont été créées par un regroupement de grosses entreprises de la tech. Avant de plonger dans plusieurs scénarios pratiques dans un prochain article, nous allons d’abord nous pencher sur leur fonctionnement.

Les mots de passe ont fait leur temps. De multiples entreprises, de sécurité ou non, le disent depuis des années. Les recommandations de l’ANSSI ont évolué elles aussi, pour suivre les problèmes de sécurité liés aux mots de passe. Et ils sont nombreux.

Actuellement, on considère qu’un mot de passe est fort s’il contient au moins douze caractères mélangeant des majuscules, minuscules, chiffres et caractères spéciaux. Il ne doit incorporer aucune information évidente, comme un prénom, une date de naissance, le nom d’un animal domestique, etc. Il ne doit plus contenir aucun mot présent dans le dictionnaire.

L’alternative est la phrase de passe : une séquence de quatre ou cinq mots, liés par des caractères spéciaux (souvent des tirets). Ces mots peuvent être issus du dictionnaire et constituer une courte phrase, d’où leur nom. Il s’agit actuellement de la recommandation principale de l’ANSSI et de la CNIL. En effet, en dépit de l’usage de mots existants, c’est la taille de la phrase qui fait sa force.

Il manque une recommandation cruciale : ne jamais réutiliser les mots de passe. Idéalement, il faut que les mots ou phrases de passe soient aléatoires. Il faut également que chaque site ou service ait son propre mot de passe. Le danger, sinon, est connu : puisque l’adresse email sert souvent d’identifiant, la récupération des deux – par exemple, lors d’une fuite de données chez un prestataire – permet leur réutilisation sur d’autres services.

Les gestionnaires de mots de passe, une avancée…

Les gestionnaires de mots de passe permettent de simplifier largement la gestion des mots et phrases de passe. Ils peuvent créer des séquences aléatoires de caractères ou de mots. Des options autorisent une grande finesse dans cette génération, comme le nombre et le type de caractères. Plus la taille est importante, meilleur est le mot de passe.

• Mais au fait, pourquoi un gestionnaire de mots de passe ?

Il y a trois écoles parmi les gestionnaires. Premièrement, les solutions synchronisées comme LastPass, Dashlane, BitWarden et autres. Avantage : les identifiants vous suivent partout, sur tous les appareils. Intégrant des extensions pour les navigateurs et proposant des applications mobiles, on peut les utiliser dès que l’on en a besoin. Il y a deux inconvénients principaux. D’abord, il faudra créer un mot de passe protégeant le compte. Il doit être assez fort pour protéger efficacement l’accès à ce compte, particulièrement précieux. Ensuite, le service peut être victime d’une fuite. Auquel cas, si l’entreprise concernée n’a pas bien fait son travail, vos données peuvent se retrouver dans la nature. Les mésaventures de LastPass ont rappelé brutalement la réalité.

Deuxièmement, les gestionnaires intégrés aux navigateurs. Qu’il s’agisse d’Apple, Google ou encore de Microsoft, tous proposent un gestionnaire intégré. Dans le cas d’Apple, il s’agit du Trousseau, présent dans macOS depuis bien longtemps. Gros avantage de ces solutions : elles sont totalement intégrées. Si vous n’utilisez que le même navigateur partout, vos données vous suivent. Inconvénient, tout est beaucoup moins pratique dès que vous utilisez un ensemble hétérogène d’appareils. En outre, leur interface de consultation est souvent moins pratique qu’un gestionnaire dédié.

Enfin, les gestionnaires « simples ». On parle cette fois d’une petite application locale et non synchronisée. Le plus connu est KeePass (et sa variante KeePassXC). Il y a plusieurs avantages, dont l’hébergement local des données. Pas besoin de faire confiance à une entreprise quelconque. En outre, ces logiciels proposent souvent des fonctions très poussées pour la génération des mots de passe, afin d’augmenter l’entropie. Inconvénient majeur : leur récupération depuis d’autres appareils est moins aisée, car il faut alors s’occuper soi-même de la récupération des informations.

… mais une mesure minimale désormais

Un gestionnaire de mots de passe est aujourd’hui une mesure minimale. À moins d’une mémoire eidétique, il est impossible de retenir de nombreux mots de passe forts et uniques. Le gestionnaire résout ainsi les deux problèmes que sont les mots de passe unique et leur mémorisation.

Cependant, il ne peut rien faire contre les accidents survenant chez les prestataires de services. Une fuite de données et tout peut arriver. C’est pour cela que l’ANSSI et bien d’autres acteurs poussent vers l’authentification à facteurs multiples.

• Authentification multifacteur : la CNIL ouvre une consultation publique en vue d’une recommandation

Nous avons abordé le sujet en avril, quand la CNIL a évoqué une future recommandation. Le principe est simple : toujours associer deux facteurs parmi trois : connaissance, possession et inhérence.

Le plus souvent, il s’agit d’un code à six chiffres envoyé par SMS, email ou généré par une application. On doit donner ce code, en plus du mot de passe, pour pouvoir se connecter. Le code arrivant sur le smartphone, il permet de bloquer en théorie toutes les tentatives d’accès si le mot de passe est trouvé ou dérobé par un tiers. Comme nous l’avons vu cependant, cette protection est certes efficace, mais pas absolue.

Les clés d’accès, nées d’un besoin

La protection des accès aux données fait depuis longtemps l’objet de travaux. La biométrie a notamment renforcé cette protection, tout en simplifiant l’usage. Elle ne se substitue jamais cependant au mot de passe. Il reste disponible dans le cas où, par exemple, le capteur d’empreinte digitale ne fonctionnerait plus.

Pour franchir un pas significatif, plusieurs grosses sociétés américaines veulent se débarrasser des mots de passe. Apple, Google et Microsoft notamment, dont les travaux communs ont été chapeautés par la FIDO Alliance, qui émet des standards ouverts sur les mécanismes de vérification d’identité. Ce consortium cherchait une solution aux problèmes récurrents des mots de passe et a accouché des fameuses clés d’accès.

Qu’est-ce qu’une clé d’accès ?

Google signe la fin de la récréation sur sa boutique, dans l’optique de mettre fin à la vague d’applications de type IA permettant de générer des contenus normalement interdits. Les conditions d’utilisation de la boutique sont maintenant plus sévères, avec expulsion en cas d’enfreinte.

Les contenus sexuels et violents, notamment, ne doivent pas pouvoir être générés depuis une application faisant appel à l’IA. Une publicité pour l’application ne doit pas non plus aborder ces capacités, qu’elles soient ou non présentes dans le produit.

TechCrunch relève par exemple qu’aux États-Unis, des élèves se servent de ce genre d’application pour générer de faux nus, utilisés à des fins d’intimidation et de harcèlement. 404 Media avait de son côté observé des publicités sur Instagram pour des applications qui se prétendaient capables, elles aussi, de générer des faux nus.

À cette interdiction, que Google veut stricte, l’entreprise en ajoute une autre : ces applications doivent intégrer un mécanisme pour signaler les abus. Même chose s’il existe une section pour les commentaires. Enfin, Google recommande aux développeurs de documenter les tests réalisés, car elle peut les réclamer lors de la validation.

IA ouvre toi !

Dans l’IA générative comme dans d’autres domaines du numérique, le mot « open » peut attirer avec ses promesses de transparence, de traçabilité, de sécurité ou de réutilisation possible. S’il est beaucoup utilisé de façon marketing, le nouvel AI Act européen prévoit des exemptions pour les modèles « ouverts ». Des chercheurs néerlandais ont classé 40 modèles de génération de textes et six modèles de génération d’images se prétendant « open » par degré d’ouverture réelle.

Dans un article (.pdf) présenté à la conférence scientifique FAccT 2024 cette semaine, deux chercheurs de l’université néerlandaise de Radboud se sont penchés sur les degrés d’ouverture des modèles d’IA génératives présentés comme « open » par leurs créateurs. Le moins que l’on puisse dire est que la notion d’ouverture n’est pas la même pour tout le monde.

Comme nous l’évoquions en septembre dernier, le mot « open » dans le milieu de l’IA générative est souvent utilisé de manière marketing et il est difficile de s’y retrouver. On voit, de fait, une tendance à ce que certains appellent de l’ « open washing » : utiliser le terme un peu partout pour qualifier des modèles qui sont parfois très peu ouverts.

À l’époque, le sociologue David Gray Widder et les deux chercheuses Sarah Myers West et Meredith Whittaker expliquaient que « certains systèmes décrits comme « ouverts » ne fournissent guère plus qu’une API et une licence autorisant la réutilisation, comprenant la commercialisation de la technologie ».

• Le marketing de l’IA « ouverte »

L’ « open » prend du poids avec l’AI Act

Selon le New York Times, le gouvernement américain et la Federal Trade Commission (FTC) se sont coordonnés pour lancer plusieurs enquêtes sur d’éventuelles pratiques anticoncurrentielles dans le milieu de l’IA.

Le ministère de la Justice Américain va se concentrer sur les comportements du concepteur de GPU NVIDIA et vérifier qu’il n’a pas violé les lois antitrust américaines.

De son côté, la FTC va analyser la conduite d’OpenAI et de Microsoft et notamment l’investissement de 13 milliards de dollars du second dans le premier.

« Pendant des mois, Nvidia, Microsoft et OpenAI ont largement échappé à la surveillance réglementaire du gouvernement de Biden », commente le journal américain.

L’agence indépendante avait déjà lancé des enquêtes en juillet 2023 et en janvier 2024 sur OpenAI et plus globalement sur les liens entre les grandes entreprises du numérique et les nouvelles startups de l’IA.

Le New York Times cite une interview de Lina Khan, présidente de la FTC, réalisée en février dernier. Elle y déclarait à propos de la régulation de l’IA que l’agence essayait de repérer « les problèmes potentiels dès le début plutôt que des années et des années plus tard, lorsque les problèmes sont profondément ancrés et beaucoup plus difficiles à rectifier ».

Le journal remarque cependant que « les États-Unis sont en retard sur l’Europe en matière de réglementation de l’intelligence artificielle ».

The Verge a découvert qu’un certain nombre de produits récents d’Apple ont une puce radio compatible Thread.

Ce protocole réseau sert à constituer des réseaux maillés basse consommation (IPv6 et 6LoWPAN). Il fonctionne en se basant sur des routeurs de périphérie, qui peuvent alors servir de ponts. Il est souvent confondu avec Matter, avec lequel il peut fonctionner. Dans les grandes lignes, Thread établit un réseau matériel, Matter est une couche logicielle.

La découverte de The Verge est valable pour les nouveaux iPad lancés récemment ainsi que tous les Mac équipés de puces M3 (et leurs déclinaisons). En clair, tout produit sorti depuis septembre dernier. Les iPhone 15 Pro sont officiellement compatibles.

Cette capacité n’est pas indiquée dans les fiches techniques des appareils. Nos confrères ont trouvé mention de cette compatibilité dans des rapports de la FCC (Federal Communications Commission).

Apple compte peut-être profiter de sa WWDC la semaine prochaine pour évoquer le sujet, par exemple via des fonctions spécifiques à iOS 18 et macOS 15.

Lumos Maxima !

Dans le cadre du plan d’investissement France 2030, le gouvernement, le CEA et le CNRS viennent de donner le coup d’envoi officiel d’un « ambitieux programme de recherche pour explorer la lumière de manière inédite ». Un des axes concerne les carburants solaires.

Il s’agit d’un nouveau PEPR (Programmes et équipements prioritaires de recherche) baptisé LUMA (Lumière-Matière) dont le but est d’« exploiter les propriétés de la lumière pour explorer et contrôler de nombreux systèmes physicochimiques et biologiques ».

Le projet vient d’être officiellement lancé (même s’il existe depuis longtemps) avec un financement de 40,38 millions d’euros sur sept ans, dans le cadre de France 2030. Il est co-piloté par le CEA et le CNRS. 1 000 chercheurs sont mobilisés et 28 universités impliquées.

De vastes débouchés

Les débouchés potentiels sont nombreux, comme l’explique le CNRS : traitement et stockage de l’information, matériaux durables (chimie verte, recyclage, écoconception), exploitation énergétique (solaire) et photomédicaments (méthodes non-invasives, thérapie photodynamique, traitement du cancer).

Attention à ne pas mettre la charrue avant les bœufs : on parle de recherche fondamentale, pas de remède miracle à court terme. Catalin Miron (directeur de recherche CEA et co-dirigeant de ce projet), précise d’ailleurs qu’il s’agit d’un « PEPR exploratoire, qui anime donc de la recherche amont », on n’est pas dans une phase d’industrialisation, mais de recherche pure.

Le centre de recherche en profite pour affirmer que la France est le leader international dans la valorisation des interactions lumière-matière avec pas moins de cinq prix Nobel depuis 2016 : Jean-Pierre Sauvage (2016), Gérard Mourou (2018), Alain Aspect (2022), Pierre Agostini et Anne L’Huillier (2023 tous les deux). Pour le ministère de la Recherche, la France doit « maintenir et consolider son positionnement, à la fois académique et industriel ».

Photoscience intelligente, technologies vertes et protection

Trois axes de développement sont mis en avant avec LUMA :

• Photons for Green, « qui vise à l’émergence de nouvelles technologies « vertes » haute performance pour l’énergie et l’industrie de demain ». Il est notamment question de « la conversion efficiente de l’énergie solaire en énergie chimique, en produisant des carburants solaires ».
• Light for Protection vise de son côté à « utiliser la lumière pour une meilleure préservation de la santé, de l’environnement ou des objets de notre patrimoine ». L’enjeu n’est rien de moins que de diagnostiquer et soigner grâce à la lumière.
• Enfin, Smart Photoscience ambitionne de « décrypter des systèmes et des dynamiques complexes en chimie, physique, biologie, pour les faire fonctionner par des processus de photo-activation sophistiqués ».

Le programme propose aussi des actions ciblées de recherche, sélectionnées via un appel à manifestations d’intérêt. Quatre axes de développement sont mis en avant : la chiralité, la photochimie et les matériaux, l’énergie et l’environnement, la santé. Des appels à projets collaboratifs sont également dans les cartons.

Deux révolutions scientifiques et techniques

L’année dernière, Rémi Métivier justifiait ce projet par deux « révolutions scientifiques et techniques majeures, survenues ces dernières années », offrant de « nouvelles perspectives quant à l’utilisation de la lumière ».

La première vient du contrôle de la lumière : « Nous avons accès à des sources lumineuses très performantes, notamment avec des lasers à impulsions ultra-courtes (femtoseconde ou attoseconde) ». LUMA s’intéressera à la structuration de la matière « aux échelles ultimes de temps et d’espace (attoseconde et nanomètre) ».

On parlait récemment de l’attoseconde : c’est un milliardième de milliardième de seconde (10⁻¹⁸ seconde). À titre d’exemple : « il y a autant d’attosecondes dans une seconde que de secondes depuis le Big Bang ».

• Attoseconde : au CNRS, « la physique à la conquête de l’infiniment bref »

La seconde « révolution » concerne la maitrise par les scientifiques de la conception et de l’assemblage « complexe de molécules aux propriétés complémentaires ». Cela ouvre la voie à « des matériaux organiques et hybrides de nouvelle génération, capables de capturer et d’utiliser la lumière de façon intelligente et performante ».

Concernant le solaire, Rémi Métivier (directeur de recherche CNRS et co-dirigeant du PEPR), explique que nous « avons besoin de résoudre des questions fondamentales telles que l’augmentation de l’efficacité, de la conversion lumineuse ou encore la durabilité des dispositifs que nous concevons ».

Minute papillon, c’est quoi des « carburants solaires » ?

Revenons quelques instants sur les carburants solaires. Engie rappelle qu’il s’agit de « combustibles fabriqués à partir de substances courantes comme l’eau et le dioxyde de carbone grâce à l’énergie de la lumière solaire, utilisée soit par récupération de chaleur soit par génération de charge électrique ».

On peut ainsi produire de l’hydrogène à partir de l’eau (H₂O), mais aussi du gaz de synthèse, du méthane/méthanol et d’autres « carburants » à partir de CO₂ ou de CO₂ + H₂O.

Dans une interview à Newstank, Catalin Miron détaille les attentes sur ce point : « L’idée est de capturer le CO₂ de l’atmosphère pour produire des carburants chimiques pouvant être stockés. Nous pensons avec LUMA pouvoir passer de l’échelle du centimètre au mètre carré pour les cellules de ces dispositifs. Ces recherches pourront aussi apporter des réponses concrètes aux besoins de la société ».

Le gestionnaire de mots de passe maison a désormais une application autonome pour toutes les plateformes majeures. Des versions Mac et Linux viennent en effet d’apparaître, aux côtés de celles pour Windows, Android, iOS et Chrome OS (celle-ci via Android).

Proton en profite pour fournir une extension pour Safari, en plus de celles existant pour les navigateurs sur base Chromium et Firefox.

La version Linux est compatible avec toutes les distributions de type Debian ou RedHat, dont Ubuntu, Fedora ou encore CentOS.

Des améliorations seront bientôt proposées aux versions Mac et Linux dans les semaines à venir. Par exemple, la prise en charge de TouchID pour les Mac compatibles. Sous Linux, une prochaine mouture deviendra compatible avec les mécanismes d’authentification et les API correspondantes.

L’objectif est le même à chaque fois : permettre le déverrouillage du coffre-fort avec la biométrie, le compte utilisateur et « toute autre méthode prise en charge par Linux Pluggable Authentication Modules (Linux PAM) ».

Bon an, mal an, la capsule habitable de Boeing est arrivée à la Station spatiale internationale et s’est arrimée. Après des années de retard, des reports de dernières minutes, des fuites d’hélium dans l’espace et des pannes de propulseurs, les deux astronautes sont arrivés sains et saufs dans l’ISS.

Comme le rapporte Spacenews, le rendez-vous s’est fait avec plus d’une heure de retard car « jusqu’à cinq propulseurs du système de pilotage par jets de gaz (RCS) se sont mis hors service pendant les différentes phases de l’approche du vaisseau spatial ».

Hugs all around! The Expedition 71 crew greets Butch Wilmore and @Astro_Suni aboard @Space_Station after #Starliner docked at 1:34 p.m. ET on June 6. pic.twitter.com/wQZAYy2LGH

— Boeing Space (@BoeingSpace) June 6, 2024

Le temps de procéder aux vérifications et de remettre une partie des propulseurs en service, la capsule est restée en dehors de la zone d’exclusion de la Station, à plus de 200 mètres. « Les responsables de la NASA et de Boeing ont déclaré qu’ils avaient pu remettre quatre des cinq propulseurs en marche », et ainsi reprendre la phase d’approche, expliquent nos confrères.

Plus surprenant, ce problème, avait déjà été rencontré lors du vol d’essai sans équipage Orbital Flight Test 2 (OFT-2) en mai 2022. Cela concernait les propulseurs au même endroit du module de service. « Nous ne comprenons pas vraiment pourquoi cela se produit », reconnait Steve Stich, responsable du programme d’équipage commercial de la NASA.

Il ajoute que le problème vient moins des propulseurs eux-mêmes que du logiciel qui les contrôle et des données reçues. Mark Nappi, vice-président de Boeing et responsable du programme d’équipage commercial, confirme que les propulseurs fonctionnent bien – la preuve, ils ont pu être rallumés, explique-t-il. « Ce sont les conditions que nous avons mises dans le logiciel qui indiquent d’une manière ou d’une autre que le propulseur doit être désactivé ».

Steve Stich ajoute enfin qu’une quatrième fuite d’hélium a été trouvée après que la capsule est arrivée à l’ISS. Elle est plus petite que les trois autres. Mark Nappi n’exclut pas que les fuites aient une cause profonde commune, qui reste donc à déterminer.

Quoi qu’il en soit, pour le responsable de Boeing, les deux problèmes sur le véhicule « sont des problèmes assez mineurs à régler, vraiment ». L’entreprise met en avant la liste des tests validés par cette mission.

Malgré les fuites, la capsule aurait largement assez d’hélium pour revenir sur Terre dans une semaine.