La fonction existe dans WhatsApp depuis deux ans. Elle permet de fédérer de grands groupes de personnes autour de thématiques communes, comme les résidents d’un quartier, les parents d’élèves d’une école, etc.

Cette fois, Meta déploie la fonction sur Messenger, signale TechCrunch. Mais là où WhatsApp réclamait le numéro de téléphone, Messenger fonctionne sur la base des amis (et amis d’amis) sur Facebook. En outre, les invitations sont émises sous forme de liens partageables.

Jusqu’à 5 000 personnes peuvent rejoindre une communauté sur Messenger. Chacune est munie d’un accueil présentant l’espace de conversation. Les administrateurs du groupe peuvent également y placer des publications, mises à jour et autres informations.

Une communauté permet le rassemblement de plusieurs groupes de conversations. Les administrateurs doivent garder en mémoire que toute personne acceptée peut voir l’intégralité des échanges qu’elle rejoint. Une fois une communauté créée, il est possible de créer d’autres groupes, en fonction des thématiques spécifiques à aborder.

Y’a-t-il un Copilot dans l’avion ?

Les PC Copilot+ vont arriver dès le 18 juin avec un SoC Qualcomm. Des machines avec des processeurs AMD Strix et Intel Lunar Lake sont également au programme. Microsoft garde toutefois le silence sur la période de lancement. AMD espère fin 2024, Intel ne se prononce pas.

Il y a trois semaines, Microsoft officialisait une nouvelle gamme de produits : les PC Copilot+. Il s’agit de machines orientées intelligence artificielle (comme c’est original) et des fonctions intégrées dans Windows 11.

L’une d’entre elles – Recall – fait couler beaucoup d’encre, et on découvre de nouveaux dangers régulièrement. Microsoft vient d’ailleurs de faire machine arrière.

• Machine arrière : Windows Recall devient opt-in et renforce sa sécurité

Mais que faut-il pour appartenir à la gamme Copilot+ et quand pourrons-nous en profiter ? Le sujet n’est pas simple puisque Microsoft n’y répond pas directement.

Microsoft Qualcomm et vice-versa

L’entreprise s’est entichée de Qualcomm pour ce lancement : « Microsoft associe la série Snapdragon X à la puissance de Copilot+ ». Il en est de même pour les trois variantes de la puce X Elite de chez Qualcomm toujours.

Alex Katouzian, (responsable mobile, compute & XR chez Qualcomm) nous promet au passage monts et merveilles : « capacités d’IA révolutionnaires qui redéfinissent l’expérience informatique personnelle, le tout avec des performances de pointe et une autonomie de plusieurs jours ». À confirmer lors de tests, d’autant que Qualcomm a déjà fait part le passé des promesses dans le monde du portable, sans grand succès jusqu’à présent.

NVIDIA veut sa part du gâteau

Dès l’annonce de Copilot+, on se demandait si des machines avec un autre CPU pourraient être « certifiées » et profiter des nouvelles fonctionnalités. La réponse est arrivée par NVIDIA lors de sa keynote du Computex. On pourrait la résumer par « oui, mais… ».

En parlant des nouveaux ordinateurs portables RTX AI, le fabricant de carte graphique l’affirme sans détours : « Ces PC Windows 11 AI recevront une mise à jour gratuite des expériences Copilot+ PC lorsqu’elle sera disponible ».

• NVIDIA : IA, IA, GPU Rubin, IA, IA, SFF-Ready, IA, IA…

Microsoft veut du NPU, mais est-il obligatoire ?

Dans son communiqué, Microsoft explique que les « nouveaux Copilot+ PC reposent sur une architecture repensée qui tire pleinement parti de la puissance conjuguée du CPU, du GPU et désormais du NPU (Neural Processing Unit ou unité de traitement neuronal) ». Cela tombe bien, les machines dont parle NVIDIA seront équipées d’un processeur AMD Strix, avec NPU.

Rappelons que les cartes graphiques font largement mieux que les NPU, et depuis longtemps. Microsoft semble néanmoins bien plus attachée à la présence d’un NPU pour le traitement des données liées à l’intelligence artificielle, qu’à celle d’une carte graphique.

Des PC Copilot+ avec AMD « d’ici fin 2024 » ?

AMD emboite le pas à NVIDIA avec l’annonce de ses Ryzen AI 300 avec NPU intégré. Le Texan affirme que ces nouveaux processeurs « sont prêts pour Copilot+ », et même qu’ils « dépassent les exigences de Copilot+ AI PC ». À The Verge, AMD apporte une précision temporelle, du bout des lèvres : « Nous prévoyons d’avoir des expériences Copilot+ d’ici fin 2024 ».

Au détour d’un graphique, on apprend que, selon AMD, le minimum requis pour les « expériences Copilot+ » est de 40 TOPS. En mai, lors de son annonce, Microsoft expliquait que les machines Copilot+ seraient « capables d’effectuer plus de 40 TOPS », sans préciser que c’était un minimum requis.

• AMD : Zen 5 à tous les étages (Ryzen AI, 9000, Epyc), roadmap des GPU Instinct jusqu’en 2026

Copilot+ PC avec Lunar Lake d’Intel : oui, mais quand ?

Toujours au Computex, c’était ensuite au tour d’Intel de présenter ses processeurs Lunar Lake, avec eux aussi un NPU pour l’IA : « Lunar Lake bénéficiera des expériences Copilot+, comme Recall, via une mise à jour lorsqu’elle sera disponible ». Aucune date n’a été précisée.

Bref, AMD, Intel et NVIDIA se positionnent sur la « marque » Copilot+, mais sans donner aucune indication précise, si ce n’est qu’il faut patienter et que « cela va arriver… ». Il ne faut pas attendre d’éclaircissement de la part de Microsoft, qui n’a pas souhaité répondre à nos questions, pas plus qu’à celles de plusieurs de nos confrères américains.

• Intel présente Lunar Lake (CPU, GPU, NPU), lance ses Xeon 6 E-core et Gaudi 3 pour l’IA

Microsoft l’affirme : des mises à jour gratuites arrivent

« Les ordinateurs Intel Lunar Lake et AMD Strix sont des PC Windows 11 AI qui répondent à nos exigences matérielles Copilot+ PC. Nous travaillons en étroite collaboration avec Intel et AMD pour offrir des expériences PC Copilot+ via des mises à jour gratuites, lorsqu’elles sont disponibles », se contente d’expliquer James Howell, directeur marketing de Microsoft.

Pourquoi un tel décalage temporel entre les Copilot+ PC avec un SoC Qualcomm et ceux avec un CPU AMD ou Intel ? À défaut d’information fiable, on peut seulement faire des suppositions : contrat d’exclusivité avec Qualcomm, adaptations nécessaires pour l’architecture x86, etc.

Il pourrait s’agir simplement de la mise à jour 24H2 pour Windows 11, qui doit arriver l’automne. Elle est présente sur les PC Copilot+, mais demande plus de préparation pour le parc x86. Elle était d’ailleurs disponible dans le canal de test Release Preview (le plus stable), mais en a été retirée. Microsoft n’a pas expliqué pourquoi, précisant uniquement qu’elle serait de retour dans quelques semaines.

Quoi qu’il en soit, les premiers Copilot+ PC sont attendus pour le 18 juin, avec un SoC Qualcomm. Il y aura évidemment les nouvelles Surface de Microsoft, mais aussi des machines chez Acer, Asus, Dell, HP, Lenovo et Samsung. D’autres suivront très certainement durant l’été, puis à la rentrée, etc.

Une étude du Pew Research Center, repérée par Meta-Media, le service de veille numérique de France Télévisions, relève que 38 % des pages web existantes en 2013 ne sont plus accessibles dix ans plus tard, contre 8 % des pages qui existaient en 2023 :

« Un quart des pages web qui ont existé à un moment donné entre 2013 et 2023 ne sont plus accessibles depuis octobre 2023. Dans la plupart des cas, cela est dû au fait qu’une page individuelle a été supprimée ou retirée d’un site web par ailleurs fonctionnel. »

Cette analyse des « liens morts » (« link rot », en anglais), reposant sur un examen des liens apparaissant sur les sites gouvernementaux et les sites d’information, ainsi que dans la section Références des pages Wikipédia au printemps 2023, révèle en outre que :

• 5 % des liens sur les sites d’actualités n’étaient plus accessibles, et 23 % des pages examinées contenaient au moins un lien brisé ;
• 11 % de toutes les références liées à Wikipédia ne sont plus accessibles, et 54 % des pages de Wikipedia contenant au moins un lien dans leur section Références pointent vers une page qui n’existe plus ;
• au moins 14 % des pages gouvernementales, et 21 % des pages web des administrations publiques, contenaient au moins un lien brisé ;
• 23 % des pages web d’actualités contiennent au moins un lien brisé, de même que 21 % des pages web de sites gouvernementaux ;
• 25 % de toutes les pages collectées de 2013 à 2023 n’étaient plus accessibles en octobre 2023 : 16 % des pages sont inaccessibles individuellement mais proviennent d’un domaine de niveau racine par ailleurs fonctionnel ; les 9 % restants sont inaccessibles parce que l’ensemble de leur domaine racine n’est plus fonctionnel.

L’examen d’un échantillon d’utilisateurs de Twitter indique par ailleurs que près d’un tweet sur cinq (18 %) n’est plus visible publiquement sur le site quelques mois seulement après avoir été publié. Dans 60 % de ces cas, le compte qui a publié le tweet à l’origine a été rendu privé, suspendu ou entièrement supprimé.

Dans les 40 % restants, le titulaire du compte a supprimé le tweet, mais le compte lui-même existe toujours :

• 1 % des tweets sont supprimés en moins d’une heure
• 3 % en l’espace d’un jour
• 10 % en l’espace d’une semaine
• 15 % en l’espace d’un mois

« Considère ça comme un divorce »

Alors que la polémique enflait sur Recall, jugée intrusive et dangereuse, Microsoft fait machine arrière. Le choix sera clairement donné pendant la configuration de l’ordinateur. La société ajoute en outre des mécanismes de sécurité qui auraient dû être présents dès le départ.

C’est peu dire que la présentation de la fonction Recall (Retrouver) aura fait réagir. Spécifique aux PC Copilot+ et à ses « bonus » IA, elle consiste à prendre régulièrement des captures d’écran. Les images sont analysées, afin qu’une recherche permette de retrouver quand et comment une information a été utilisée. Flock y a même consacré une bande dessinée dont il a le secret.

• #Flock : Total RECALL me maybe

L’idée partait d’un bon sentiment, avec l’objectif de pouvoir toujours remettre la main sur un site, un document, une discussion ou autre. Cependant, comme nous l’avions signalé, elle permettait un véritable pillage des données personnelles. Dès lors qu’une autre personne pouvait s’installer devant l’ordinateur, elle pouvait récupérer tout l’historique de l’utilisateur sur plusieurs mois.

Le problème est d’autant plus important que le mécanisme agit aussi bien sur les actions personnelles que celles reçues d’autres personnes. Vous discutez sur Signal, WhatsApp, Messenger, Telegram, par email ou sur un site de rencontre ? Recall en garde des traces. Les correspondants ne sont pas prévenus. D’autres ont signalé les ravages que peut entrainer la fonction avec des proches abusifs.

L’activation de Recall se fera par un choix

On s’en doutait devant l’ampleur des critiques : Microsoft a annoncé la bascule sur un modèle « opt in » pour Recall. L’assistant de configuration de Windows 11 pouvant être mis à jour dès la connexion internet établie, une nouvelle version sera disponible pour le lancement des PC Copilot+. On y trouvera un choix clair sur la fonction :

La capture, publiée par Microsoft, montre l’obligation de faire un choix. Nous nous étions justement interrogés sur ce point, car une bonne partie de l’assistant est consacrée à l’activation de fonctions, aucun choix n’étant sélectionné par défaut. Pourquoi Recall n’avait-il pas eu le même traitement ? L’éditeur a fini par aligner Recall sur le reste.

Le nouveau panneau a l’avantage de mieux présenter la fonction. Il explique son intérêt, mentionne que Microsoft n’accède pas aux captures et que l’on peut contrôler ce que Recall analyse.

Plusieurs mesures de sécurité supplémentaire

Outre le contrôle, Microsoft ajoute plusieurs mécanismes pour verrouiller davantage les informations enregistrées par Recall. La fonction ne brillait pas par la protection des informations très sensibles. Elle les stockait dans une simple base SQLite, enregistrée dans un sous-dossier d’AppData. L’expert en cybersécurité Kevin Beaumont avait même montré qu’on pouvait les récupérer assez facilement depuis un autre compte sur le même PC.

On trouve trois ajouts principaux. D’une part, l’activation de Windows Hello devient obligatoire pour utiliser Recall. Hello est pour rappel la fonction chapeautant tout ce qui touche à l’ouverture sécurisée de session, notamment avec la biométrie.

D’autre part, Windows Hello se manifestera lors de tout accès aux informations recueillies par Recall. Une preuve de présence donc, là où il suffisait à quelqu’un de s’assoir face à un PC Copilot+ pour plonger dans l’historique complet des activités de son utilisateur.

Enfin, plusieurs « couches supplémentaires de protection des données » ont été ajoutées. Un chiffrement à la volée d’abord, via Windows Hello ESS (Enhanced Sign-in Security). Les captures créées par Recall ne seront donc accessibles que si l’utilisateur est dument authentifié. En outre, la base de données de l’index de recherche sera, elle aussi, chiffrée.

De sérieux problèmes à la conception

Pourquoi ne pas avoir mis en place ces mécanismes dès le départ ? La question est évidente au vu des multiples scénarios problématiques apparus dans les quelques jours qui ont suivi la présentation. Elle est d’autant plus prégnante que Satya Nadella, PDG de l’entreprise, avait fait circuler un mémo auprès des employés pour réitérer l’importance de la sécurité, même si elle se faisait au détriment des fonctionnalités.

Recall ne sera techniquement proposé au départ que sous forme de préversion. Cela ne devrait cependant pas compter : obliger l’utilisateur à choisir aurait dû être un réflexe. Tout comme le chiffrement des données. Tout comme l’authentification obligatoire.

Microsoft joue gros avec ce type de mécanisme. La société veut prouver que l’IA peut rendre mille services. Avec Recall, elle a surtout prouvé que le pouvoir de l’IA peut entrainer des catastrophes quand elle n’est pas pensée avec soin. Comme le cloud, ces fonctions ne peuvent être couronnées de succès que si le public a confiance. Mieux vaut éviter qu’une telle bourde se reproduise, d’autant qu’une deuxième vague de PC Copilot+ serait en préparation pour la fin de l’été.

L’affaire servira en tout cas de leçon à Google, qui réfléchit également à intégrer ce type de fonction dans ses Chromebook.

« Grâce à notre perturbation continue de LockBit, nous disposons désormais de plus de 7 000 clés de déchiffrement et nous pouvons aider les victimes à récupérer leurs données », a déclaré Bryan Vorndran, directeur adjoint de la division Cyber du FBI, rapporte BleepingComputer.

Lors du démantèlement de l’infrastructure de LockBit, en février, les autorités avaient saisi 34 serveurs contenant alors plus de 2 500 clés de déchiffrement du rançongiciel russophone. Elles estimaient que le gang et ses affiliés avaient récolté jusqu’à 1 milliard de dollars en rançons suite à 7 000 attaques visant des organisations du monde entier entre juin 2022 et février 2024.

• Le créateur du rançongiciel LockBit serait un Russe de 31 ans
• Quelles traces relient Dmitry Khoroshev au rançongiciel LockBit ?

En dépit des efforts des forces de l’ordre pour mettre fin à ses activités, LockBit est toujours actif. L’Hôpital de Cannes Simone Veil a ainsi révélé mi-avril avoir fait l’objet d’une cyberattaque, et annoncé qu’il refusait de payer la rançon exigée par LockBit3.0, relève BleepingComputer :

« Dans le cas d’une fuite de données appartenant potentiellement à l’hôpital, nous communiquerons à nos patients et aux parties prenantes, après un examen détaillé des fichiers susceptibles d’avoir été exfiltrés, la nature des informations volées. »

Non contentes d’avoir révélé l’identité de son chef de gang, un ressortissant russe de 31 ans nommé Dmitry Yuryevich Khoroshev, les autorités ont également arrêté et inculpé plusieurs de ses membres, dont Mikhail Vasiliev en novembre 2022, Mikhail Pavlovich Matveev en mai 2023, Ruslan Magomedovich Astamirov en juin, Artur Sungatov et Ivan Gennadievich Kondratiev en février 2024.

Le département d’État américain offre désormais 10 millions de dollars pour toute information qui conduirait à l’arrestation ou à la condamnation des dirigeants de LockBit, ainsi qu’une récompense supplémentaire de 5 millions de dollars pour toute information conduisant à l’arrestation des affiliés du ransomware LockBit.

Microsoft organisait ce week-end son Xbox Games Showcase 2024, avec une ribambelle de nouveaux jeux annoncés. On y retrouve des licences phares comme Call of Duty, Diablo, Doom, Indiana Jones, etc. Nous n’allons pas nous attarder sur la partie logicielle, détaillée dans ce billet de blog.

La société a du nouveau aussi sur la partie matérielle, avec trois consoles. La nouveauté la plus marquante est sans aucun doute une première Xbox Series X en version all-digital, c’est-à-dire sans lecteur optique, avec 1 To de SSD. Elle sera vendue « dans certains marchés » pour 499,99 euros.

Microsoft propose également une autre Xbox Series X, avec 2 To de stockage cette fois et un lecteur Blu-ray, pour 649,99 euros. Terminons avec une Xbox Series S de 1 To et un châssis blanc. Elle est vendue 349,99 euros, le même tarif que sa grande sœur (Series S, 1 To) en noir lancée l’année dernière.

ou pas

J’espère que vous avez vu le film.

Sinon pour faire un résumé sans spoil de l’actualité lunaire : il y a Microsoft qui fait des étincelles et ça brille assez fort.

Si vous avez raté ce film de Paul Verhoeven qui sent bon le turfu des années 90, matez-le, au moins pour voir Schwarzenegger se sortir un mouchard (et non un mouchoir) des narines, gesticuler en animatronic les yeux exorbités sous l’atmosphère de mars. Allez, sinon vous allez me faire pleurer.

Merci et bon weekend à tous!

Cette chronique est financée grâce au soutien de nos abonnés. Vous pouvez retrouver comme toutes les précédentes publications de Flock dans nos colonnes.

Passe pas partout

Les clés d’accès – ou « passkeys » – sont un moyen de se débarrasser des mots de passe. Elles ont été créées par un regroupement de grosses entreprises de la tech. Avant de plonger dans plusieurs scénarios pratiques dans un prochain article, nous allons d’abord nous pencher sur leur fonctionnement.

Les mots de passe ont fait leur temps. De multiples entreprises, de sécurité ou non, le disent depuis des années. Les recommandations de l’ANSSI ont évolué elles aussi, pour suivre les problèmes de sécurité liés aux mots de passe. Et ils sont nombreux.

Actuellement, on considère qu’un mot de passe est fort s’il contient au moins douze caractères mélangeant des majuscules, minuscules, chiffres et caractères spéciaux. Il ne doit incorporer aucune information évidente, comme un prénom, une date de naissance, le nom d’un animal domestique, etc. Il ne doit plus contenir aucun mot présent dans le dictionnaire.

L’alternative est la phrase de passe : une séquence de quatre ou cinq mots, liés par des caractères spéciaux (souvent des tirets). Ces mots peuvent être issus du dictionnaire et constituer une courte phrase, d’où leur nom. Il s’agit actuellement de la recommandation principale de l’ANSSI et de la CNIL. En effet, en dépit de l’usage de mots existants, c’est la taille de la phrase qui fait sa force.

Il manque une recommandation cruciale : ne jamais réutiliser les mots de passe. Idéalement, il faut que les mots ou phrases de passe soient aléatoires. Il faut également que chaque site ou service ait son propre mot de passe. Le danger, sinon, est connu : puisque l’adresse email sert souvent d’identifiant, la récupération des deux – par exemple, lors d’une fuite de données chez un prestataire – permet leur réutilisation sur d’autres services.

Les gestionnaires de mots de passe, une avancée…

Les gestionnaires de mots de passe permettent de simplifier largement la gestion des mots et phrases de passe. Ils peuvent créer des séquences aléatoires de caractères ou de mots. Des options autorisent une grande finesse dans cette génération, comme le nombre et le type de caractères. Plus la taille est importante, meilleur est le mot de passe.

• Mais au fait, pourquoi un gestionnaire de mots de passe ?

Il y a trois écoles parmi les gestionnaires. Premièrement, les solutions synchronisées comme LastPass, Dashlane, BitWarden et autres. Avantage : les identifiants vous suivent partout, sur tous les appareils. Intégrant des extensions pour les navigateurs et proposant des applications mobiles, on peut les utiliser dès que l’on en a besoin. Il y a deux inconvénients principaux. D’abord, il faudra créer un mot de passe protégeant le compte. Il doit être assez fort pour protéger efficacement l’accès à ce compte, particulièrement précieux. Ensuite, le service peut être victime d’une fuite. Auquel cas, si l’entreprise concernée n’a pas bien fait son travail, vos données peuvent se retrouver dans la nature. Les mésaventures de LastPass ont rappelé brutalement la réalité.

Deuxièmement, les gestionnaires intégrés aux navigateurs. Qu’il s’agisse d’Apple, Google ou encore de Microsoft, tous proposent un gestionnaire intégré. Dans le cas d’Apple, il s’agit du Trousseau, présent dans macOS depuis bien longtemps. Gros avantage de ces solutions : elles sont totalement intégrées. Si vous n’utilisez que le même navigateur partout, vos données vous suivent. Inconvénient, tout est beaucoup moins pratique dès que vous utilisez un ensemble hétérogène d’appareils. En outre, leur interface de consultation est souvent moins pratique qu’un gestionnaire dédié.

Enfin, les gestionnaires « simples ». On parle cette fois d’une petite application locale et non synchronisée. Le plus connu est KeePass (et sa variante KeePassXC). Il y a plusieurs avantages, dont l’hébergement local des données. Pas besoin de faire confiance à une entreprise quelconque. En outre, ces logiciels proposent souvent des fonctions très poussées pour la génération des mots de passe, afin d’augmenter l’entropie. Inconvénient majeur : leur récupération depuis d’autres appareils est moins aisée, car il faut alors s’occuper soi-même de la récupération des informations.

… mais une mesure minimale désormais

Un gestionnaire de mots de passe est aujourd’hui une mesure minimale. À moins d’une mémoire eidétique, il est impossible de retenir de nombreux mots de passe forts et uniques. Le gestionnaire résout ainsi les deux problèmes que sont les mots de passe unique et leur mémorisation.

Cependant, il ne peut rien faire contre les accidents survenant chez les prestataires de services. Une fuite de données et tout peut arriver. C’est pour cela que l’ANSSI et bien d’autres acteurs poussent vers l’authentification à facteurs multiples.

• Authentification multifacteur : la CNIL ouvre une consultation publique en vue d’une recommandation

Nous avons abordé le sujet en avril, quand la CNIL a évoqué une future recommandation. Le principe est simple : toujours associer deux facteurs parmi trois : connaissance, possession et inhérence.

Le plus souvent, il s’agit d’un code à six chiffres envoyé par SMS, email ou généré par une application. On doit donner ce code, en plus du mot de passe, pour pouvoir se connecter. Le code arrivant sur le smartphone, il permet de bloquer en théorie toutes les tentatives d’accès si le mot de passe est trouvé ou dérobé par un tiers. Comme nous l’avons vu cependant, cette protection est certes efficace, mais pas absolue.

Les clés d’accès, nées d’un besoin

La protection des accès aux données fait depuis longtemps l’objet de travaux. La biométrie a notamment renforcé cette protection, tout en simplifiant l’usage. Elle ne se substitue jamais cependant au mot de passe. Il reste disponible dans le cas où, par exemple, le capteur d’empreinte digitale ne fonctionnerait plus.

Pour franchir un pas significatif, plusieurs grosses sociétés américaines veulent se débarrasser des mots de passe. Apple, Google et Microsoft notamment, dont les travaux communs ont été chapeautés par la FIDO Alliance, qui émet des standards ouverts sur les mécanismes de vérification d’identité. Ce consortium cherchait une solution aux problèmes récurrents des mots de passe et a accouché des fameuses clés d’accès.

Qu’est-ce qu’une clé d’accès ?

Google signe la fin de la récréation sur sa boutique, dans l’optique de mettre fin à la vague d’applications de type IA permettant de générer des contenus normalement interdits. Les conditions d’utilisation de la boutique sont maintenant plus sévères, avec expulsion en cas d’enfreinte.

Les contenus sexuels et violents, notamment, ne doivent pas pouvoir être générés depuis une application faisant appel à l’IA. Une publicité pour l’application ne doit pas non plus aborder ces capacités, qu’elles soient ou non présentes dans le produit.

TechCrunch relève par exemple qu’aux États-Unis, des élèves se servent de ce genre d’application pour générer de faux nus, utilisés à des fins d’intimidation et de harcèlement. 404 Media avait de son côté observé des publicités sur Instagram pour des applications qui se prétendaient capables, elles aussi, de générer des faux nus.

À cette interdiction, que Google veut stricte, l’entreprise en ajoute une autre : ces applications doivent intégrer un mécanisme pour signaler les abus. Même chose s’il existe une section pour les commentaires. Enfin, Google recommande aux développeurs de documenter les tests réalisés, car elle peut les réclamer lors de la validation.

IA ouvre toi !

Dans l’IA générative comme dans d’autres domaines du numérique, le mot « open » peut attirer avec ses promesses de transparence, de traçabilité, de sécurité ou de réutilisation possible. S’il est beaucoup utilisé de façon marketing, le nouvel AI Act européen prévoit des exemptions pour les modèles « ouverts ». Des chercheurs néerlandais ont classé 40 modèles de génération de textes et six modèles de génération d’images se prétendant « open » par degré d’ouverture réelle.

Dans un article (.pdf) présenté à la conférence scientifique FAccT 2024 cette semaine, deux chercheurs de l’université néerlandaise de Radboud se sont penchés sur les degrés d’ouverture des modèles d’IA génératives présentés comme « open » par leurs créateurs. Le moins que l’on puisse dire est que la notion d’ouverture n’est pas la même pour tout le monde.

Comme nous l’évoquions en septembre dernier, le mot « open » dans le milieu de l’IA générative est souvent utilisé de manière marketing et il est difficile de s’y retrouver. On voit, de fait, une tendance à ce que certains appellent de l’ « open washing » : utiliser le terme un peu partout pour qualifier des modèles qui sont parfois très peu ouverts.

À l’époque, le sociologue David Gray Widder et les deux chercheuses Sarah Myers West et Meredith Whittaker expliquaient que « certains systèmes décrits comme « ouverts » ne fournissent guère plus qu’une API et une licence autorisant la réutilisation, comprenant la commercialisation de la technologie ».

• Le marketing de l’IA « ouverte »

L’ « open » prend du poids avec l’AI Act

Selon le New York Times, le gouvernement américain et la Federal Trade Commission (FTC) se sont coordonnés pour lancer plusieurs enquêtes sur d’éventuelles pratiques anticoncurrentielles dans le milieu de l’IA.

Le ministère de la Justice Américain va se concentrer sur les comportements du concepteur de GPU NVIDIA et vérifier qu’il n’a pas violé les lois antitrust américaines.

De son côté, la FTC va analyser la conduite d’OpenAI et de Microsoft et notamment l’investissement de 13 milliards de dollars du second dans le premier.

« Pendant des mois, Nvidia, Microsoft et OpenAI ont largement échappé à la surveillance réglementaire du gouvernement de Biden », commente le journal américain.

L’agence indépendante avait déjà lancé des enquêtes en juillet 2023 et en janvier 2024 sur OpenAI et plus globalement sur les liens entre les grandes entreprises du numérique et les nouvelles startups de l’IA.

Le New York Times cite une interview de Lina Khan, présidente de la FTC, réalisée en février dernier. Elle y déclarait à propos de la régulation de l’IA que l’agence essayait de repérer « les problèmes potentiels dès le début plutôt que des années et des années plus tard, lorsque les problèmes sont profondément ancrés et beaucoup plus difficiles à rectifier ».

Le journal remarque cependant que « les États-Unis sont en retard sur l’Europe en matière de réglementation de l’intelligence artificielle ».

The Verge a découvert qu’un certain nombre de produits récents d’Apple ont une puce radio compatible Thread.

Ce protocole réseau sert à constituer des réseaux maillés basse consommation (IPv6 et 6LoWPAN). Il fonctionne en se basant sur des routeurs de périphérie, qui peuvent alors servir de ponts. Il est souvent confondu avec Matter, avec lequel il peut fonctionner. Dans les grandes lignes, Thread établit un réseau matériel, Matter est une couche logicielle.

La découverte de The Verge est valable pour les nouveaux iPad lancés récemment ainsi que tous les Mac équipés de puces M3 (et leurs déclinaisons). En clair, tout produit sorti depuis septembre dernier. Les iPhone 15 Pro sont officiellement compatibles.

Cette capacité n’est pas indiquée dans les fiches techniques des appareils. Nos confrères ont trouvé mention de cette compatibilité dans des rapports de la FCC (Federal Communications Commission).

Apple compte peut-être profiter de sa WWDC la semaine prochaine pour évoquer le sujet, par exemple via des fonctions spécifiques à iOS 18 et macOS 15.

Lumos Maxima !

Dans le cadre du plan d’investissement France 2030, le gouvernement, le CEA et le CNRS viennent de donner le coup d’envoi officiel d’un « ambitieux programme de recherche pour explorer la lumière de manière inédite ». Un des axes concerne les carburants solaires.

Il s’agit d’un nouveau PEPR (Programmes et équipements prioritaires de recherche) baptisé LUMA (Lumière-Matière) dont le but est d’« exploiter les propriétés de la lumière pour explorer et contrôler de nombreux systèmes physicochimiques et biologiques ».

Le projet vient d’être officiellement lancé (même s’il existe depuis longtemps) avec un financement de 40,38 millions d’euros sur sept ans, dans le cadre de France 2030. Il est co-piloté par le CEA et le CNRS. 1 000 chercheurs sont mobilisés et 28 universités impliquées.

De vastes débouchés

Les débouchés potentiels sont nombreux, comme l’explique le CNRS : traitement et stockage de l’information, matériaux durables (chimie verte, recyclage, écoconception), exploitation énergétique (solaire) et photomédicaments (méthodes non-invasives, thérapie photodynamique, traitement du cancer).

Attention à ne pas mettre la charrue avant les bœufs : on parle de recherche fondamentale, pas de remède miracle à court terme. Catalin Miron (directeur de recherche CEA et co-dirigeant de ce projet), précise d’ailleurs qu’il s’agit d’un « PEPR exploratoire, qui anime donc de la recherche amont », on n’est pas dans une phase d’industrialisation, mais de recherche pure.

Le centre de recherche en profite pour affirmer que la France est le leader international dans la valorisation des interactions lumière-matière avec pas moins de cinq prix Nobel depuis 2016 : Jean-Pierre Sauvage (2016), Gérard Mourou (2018), Alain Aspect (2022), Pierre Agostini et Anne L’Huillier (2023 tous les deux). Pour le ministère de la Recherche, la France doit « maintenir et consolider son positionnement, à la fois académique et industriel ».

Photoscience intelligente, technologies vertes et protection

Trois axes de développement sont mis en avant avec LUMA :

• Photons for Green, « qui vise à l’émergence de nouvelles technologies « vertes » haute performance pour l’énergie et l’industrie de demain ». Il est notamment question de « la conversion efficiente de l’énergie solaire en énergie chimique, en produisant des carburants solaires ».
• Light for Protection vise de son côté à « utiliser la lumière pour une meilleure préservation de la santé, de l’environnement ou des objets de notre patrimoine ». L’enjeu n’est rien de moins que de diagnostiquer et soigner grâce à la lumière.
• Enfin, Smart Photoscience ambitionne de « décrypter des systèmes et des dynamiques complexes en chimie, physique, biologie, pour les faire fonctionner par des processus de photo-activation sophistiqués ».

Le programme propose aussi des actions ciblées de recherche, sélectionnées via un appel à manifestations d’intérêt. Quatre axes de développement sont mis en avant : la chiralité, la photochimie et les matériaux, l’énergie et l’environnement, la santé. Des appels à projets collaboratifs sont également dans les cartons.

Deux révolutions scientifiques et techniques

L’année dernière, Rémi Métivier justifiait ce projet par deux « révolutions scientifiques et techniques majeures, survenues ces dernières années », offrant de « nouvelles perspectives quant à l’utilisation de la lumière ».

La première vient du contrôle de la lumière : « Nous avons accès à des sources lumineuses très performantes, notamment avec des lasers à impulsions ultra-courtes (femtoseconde ou attoseconde) ». LUMA s’intéressera à la structuration de la matière « aux échelles ultimes de temps et d’espace (attoseconde et nanomètre) ».

On parlait récemment de l’attoseconde : c’est un milliardième de milliardième de seconde (10⁻¹⁸ seconde). À titre d’exemple : « il y a autant d’attosecondes dans une seconde que de secondes depuis le Big Bang ».

• Attoseconde : au CNRS, « la physique à la conquête de l’infiniment bref »

La seconde « révolution » concerne la maitrise par les scientifiques de la conception et de l’assemblage « complexe de molécules aux propriétés complémentaires ». Cela ouvre la voie à « des matériaux organiques et hybrides de nouvelle génération, capables de capturer et d’utiliser la lumière de façon intelligente et performante ».

Concernant le solaire, Rémi Métivier (directeur de recherche CNRS et co-dirigeant du PEPR), explique que nous « avons besoin de résoudre des questions fondamentales telles que l’augmentation de l’efficacité, de la conversion lumineuse ou encore la durabilité des dispositifs que nous concevons ».

Minute papillon, c’est quoi des « carburants solaires » ?

Revenons quelques instants sur les carburants solaires. Engie rappelle qu’il s’agit de « combustibles fabriqués à partir de substances courantes comme l’eau et le dioxyde de carbone grâce à l’énergie de la lumière solaire, utilisée soit par récupération de chaleur soit par génération de charge électrique ».

On peut ainsi produire de l’hydrogène à partir de l’eau (H₂O), mais aussi du gaz de synthèse, du méthane/méthanol et d’autres « carburants » à partir de CO₂ ou de CO₂ + H₂O.

Dans une interview à Newstank, Catalin Miron détaille les attentes sur ce point : « L’idée est de capturer le CO₂ de l’atmosphère pour produire des carburants chimiques pouvant être stockés. Nous pensons avec LUMA pouvoir passer de l’échelle du centimètre au mètre carré pour les cellules de ces dispositifs. Ces recherches pourront aussi apporter des réponses concrètes aux besoins de la société ».

Le gestionnaire de mots de passe maison a désormais une application autonome pour toutes les plateformes majeures. Des versions Mac et Linux viennent en effet d’apparaître, aux côtés de celles pour Windows, Android, iOS et Chrome OS (celle-ci via Android).

Proton en profite pour fournir une extension pour Safari, en plus de celles existant pour les navigateurs sur base Chromium et Firefox.

La version Linux est compatible avec toutes les distributions de type Debian ou RedHat, dont Ubuntu, Fedora ou encore CentOS.

Des améliorations seront bientôt proposées aux versions Mac et Linux dans les semaines à venir. Par exemple, la prise en charge de TouchID pour les Mac compatibles. Sous Linux, une prochaine mouture deviendra compatible avec les mécanismes d’authentification et les API correspondantes.

L’objectif est le même à chaque fois : permettre le déverrouillage du coffre-fort avec la biométrie, le compte utilisateur et « toute autre méthode prise en charge par Linux Pluggable Authentication Modules (Linux PAM) ».

Bon an, mal an, la capsule habitable de Boeing est arrivée à la Station spatiale internationale et s’est arrimée. Après des années de retard, des reports de dernières minutes, des fuites d’hélium dans l’espace et des pannes de propulseurs, les deux astronautes sont arrivés sains et saufs dans l’ISS.

Comme le rapporte Spacenews, le rendez-vous s’est fait avec plus d’une heure de retard car « jusqu’à cinq propulseurs du système de pilotage par jets de gaz (RCS) se sont mis hors service pendant les différentes phases de l’approche du vaisseau spatial ».

Hugs all around! The Expedition 71 crew greets Butch Wilmore and @Astro_Suni aboard @Space_Station after #Starliner docked at 1:34 p.m. ET on June 6. pic.twitter.com/wQZAYy2LGH

— Boeing Space (@BoeingSpace) June 6, 2024

Le temps de procéder aux vérifications et de remettre une partie des propulseurs en service, la capsule est restée en dehors de la zone d’exclusion de la Station, à plus de 200 mètres. « Les responsables de la NASA et de Boeing ont déclaré qu’ils avaient pu remettre quatre des cinq propulseurs en marche », et ainsi reprendre la phase d’approche, expliquent nos confrères.

Plus surprenant, ce problème, avait déjà été rencontré lors du vol d’essai sans équipage Orbital Flight Test 2 (OFT-2) en mai 2022. Cela concernait les propulseurs au même endroit du module de service. « Nous ne comprenons pas vraiment pourquoi cela se produit », reconnait Steve Stich, responsable du programme d’équipage commercial de la NASA.

Il ajoute que le problème vient moins des propulseurs eux-mêmes que du logiciel qui les contrôle et des données reçues. Mark Nappi, vice-président de Boeing et responsable du programme d’équipage commercial, confirme que les propulseurs fonctionnent bien – la preuve, ils ont pu être rallumés, explique-t-il. « Ce sont les conditions que nous avons mises dans le logiciel qui indiquent d’une manière ou d’une autre que le propulseur doit être désactivé ».

Steve Stich ajoute enfin qu’une quatrième fuite d’hélium a été trouvée après que la capsule est arrivée à l’ISS. Elle est plus petite que les trois autres. Mark Nappi n’exclut pas que les fuites aient une cause profonde commune, qui reste donc à déterminer.

Quoi qu’il en soit, pour le responsable de Boeing, les deux problèmes sur le véhicule « sont des problèmes assez mineurs à régler, vraiment ». L’entreprise met en avant la liste des tests validés par cette mission.

Malgré les fuites, la capsule aurait largement assez d’hélium pour revenir sur Terre dans une semaine.

C’est le vase qui va faire déborder la goutte d’eau

Biomemory compte proposer, d’ici 2030, des baies de stockage 42U d’une capacité d’un Eo (1 000 Po ou 1 000 000 To). La société mise sur l’ADN, peu onéreux, avec une densité et une longévité record. On n’en est pas encore là : il va falloir passer de 1 ko d’écriture par jour à 1 Po d’ici à quelques années.

Utiliser de l’ADN pour stocker des informations, l’idée n’est pas nouvelle. Le physicien américain Richard Feynman (prix Nobel en 1965) l’avait déjà suggérée dès 1959, rappelle le CNRS. Il a par contre fallu attendre 2012 pour que la première démonstration significative soit réalisée, à Harvard.

En France, l’Office parlementaire d’évaluation des choix scientifiques et technologiques (OPECST) a publié une « note » détaillée sur cette forme de stockage. On y retrouve les attentes, les embuches et le principe de fonctionnement.

• Promesses, espoirs et embuches du stockage sous forme d’ADN

Biomemory à la « croisée de la biotech et de l’informatique »

Des entreprises se sont depuis lancées dans l’aventure, dont Biomemory. Elle était présente à Vivatech et nous avons pu discuter avec deux représentants de la société : Olivier Lauvray (membre du conseil consultatif et directeur technique à temps partiel) et Hela Ammar (chef d’équipe).

La société a été fondée par deux chercheurs et un informaticien : Erfane Arwani, Stéphane Lemaire et Pierre Crozet. Elle se présente comme étant à la « croisée de la biotech et de l’informatique ». C’est une spin-off du CNRS et la Sorbonne université, qui se trouve dans le 14ᵉ arrondissement de Paris. Elle s’est lancée en 2021 et emploie 18 personnes actuellement.

Stéphane Lemaire et Pierre Crozet se sont déjà illustrés il y a quelques années avec DNA Drive, deux capsules contenants des textes symboliques sur de l’ADN : la Déclaration des droits de l’homme et du citoyen de 1789 et la Déclaration des droits de la femme et de la citoyenne de 1791.

Stocker toujours plus de données, une quête sans fin

Le stockage ADN répond à un besoin : stocker toujours plus d’informations dans un volume restreint. En termes de densité, les possibilités de l’ADN sont sans commune mesure avec les autres solutions actuelles. Il y a quelques années, le CNRS expliquait qu’un « seul gramme peut théoriquement contenir jusqu’à 455 exabits d’informations, soit 455 milliards de milliards de bits. Toutes les données du monde tiendraient alors dans une boîte à chaussures ».

« Aujourd’hui, on arrive à stocker 30 % des données de l’humanité et d’ici 2030 on ne pourra stocker que 3 % », nous affirme Biomemory. Avec l’ADN, il sera possible d’enregistrer toujours plus de données, et à l’heure des IA (génératives) qui en sont extrêmement consommatrices, cette solution a le vent en poupe.

1 Go par jour dès l’année prochaine

C’est d’ailleurs un cas d’usage mis en avant : permettre aux entreprises de garder leurs données brutes, alors « qu’aujourd’hui, elles sont obligées de les agréger, et ça perd de la valeur ». Le stockage ADN pourrait aussi permettre à des sociétés de garder leurs données sans les mettre entre les mains d’hébergeurs (étrangers ou non).

Il reste néanmoins du travail. « Aujourd’hui, on arrive à stocker un kilo octet par jour », reconnait Biomemory. Mais les perspectives d’évolution sont là : « L’idée, c’est d’arriver en 2025 à stocker un Go par jour. De continuer à progresser pour arriver à l’ordre d’un Po par jour en 2030 ». Cela donnerait 11,6 Go/s.

Réutiliser tout ce qui est standard

Le premier vol de Starship a déjà plus d’un an et s’était soldé par une explosion après trois minutes de vol. Lors du second vol en novembre dernier, la séparation a bien eu lieu, mais le test a ensuite été brutalement interrompu par une explosion. Lors du troisième essai, Starship a réussi à se mettre en orbite, mais ce n’était pas encore ça sur le retour de la fusée.

• Starship a décollé puis explosé
• SpaceX : le monstre Starship décolle et effectue sa séparation, mais le premier étage explose
• SpaceX a réussi à mettre StarShip en orbite

Avec son quatrième vol, SpaceX réalise un carton plein, ou presque. En tout cas, les deux principaux objectifs sont remplis : le retour du premier étage après un peu plus de sept minutes, puis du second étage au bout d’une heure, sans exploser et avec la bonne position dans les deux cas.

On peut voir sur la vidéo de lancement qu’un des 33 moteurs Raptor n’a pas fonctionné, ce qui n’a pas empêché la fusée de décoller.

La séparation entre les deux étages s’est correctement faite. Super Heavy (premier étage) est ensuite venu se « poser » à la surface de l’eau, avec l’aide de trois moteurs pour ralentir la chute. Pas de barge cette fois-ci, mais c’était prévu ainsi.

SpaceX explique avoir profité de ce lancement pour réaliser quelques tests de résistance sur l’étage supérieur Starship. Deux tuiles du bouclier ont par exemple été enlevées pour mesurer la température à ces endroits.

« Malgré la perte de nombreuses tuiles et un volet endommagé, Starship a réussi à atterrir en douceur dans l’océan ! », se réjouit Elon Musk. Il ajoute qu’une tentative de récupération du booster aura lieu lors du prochain lancement. Bill Nelson, administrateur de la NASA, félicite aussi SpaceX pour cet essai.

Watch Starship's fourth flight test https://t.co/SjpjscHoUB

— SpaceX (@SpaceX) June 4, 2024

Des cochonneries devant la porte

Apple n’est « officiellement » plus en tête sur le support logiciel de ses smartphones. Forcée de concrétiser une information sur laquelle elle ne s’était jamais exprimée, l’entreprise table sur un minimum de cinq ans. Google, forte de l’annonce de ses Pixel 8, caracole désormais. Mais la réalité du marché est nettement plus trouble.

Voilà bien des années que Next revient sur l’un des thèmes qui lui tient à cœur : le support logiciel des appareils, et plus particulièrement celui des smartphones.

Dans ce domaine, Apple a été pendant longtemps en tête, voire un « modèle ». Aucun iPhone n’a jamais été supporté moins de cinq ans, aidé par le fait que l’entreprise maitrise à la fois le matériel et le logiciel, contrairement à Android et sa ribambelle de constructeurs. Une période valable d’ailleurs pour les mises à jour majeures d’iOS. La période de support pour les seules mises à jour de sécurité est d’un ou deux ans plus longue. Mais les temps changent.

Apple, Google et Samsung dans un bateau

Mais qu’est-ce qui a changé au juste ? À l’automne dernier, Google a d’abord présenté son Pixel 8 et sa déclinaison Pro. Outre les caractéristiques techniques et les exclusivités logicielles des téléphones maison, Google a surpris tout le monde en annonçant un support de sept ans. Pas seulement des correctifs de sécurité, mais bien sept ans de mises à jour majeures d’Android.

Nous avons été enthousiasmés par cette annonce. Et pour cause : dans le monde Android, de nombreux appareils d’entrée ou même de moyenne gamme ne dépassent pas les trois ou quatre ans. Bien trop peu. Google a donc voulu montrer l’exemple. La sortie du Pixel 8a n’y a rien changé, car lui aussi a ses sept ans de mises à jour d’Android. Parallèlement, Google a affirmé que les pièces détachées pour les réparations seraient disponibles pendant la même durée.

En janvier, la présentation de la gamme S24 s’est accompagnée, elle aussi, par une annonce identique : sept ans de mises à jour majeures pour Android. Jusqu’aux S23, cette période était de cinq ans. Il s’agissait là encore d’un bond important. Tous les ordinateurs ne peuvent pas en dire autant, y compris certains Mac.

Apple confirme un support de « cinq ans minimum »

L’annonce du Pixel 8 n’était pas passée inaperçue. À la faveur cependant d’un changement réglementaire au Royaume-Uni, la comparaison s’installe. Le Product Security and Telecommunications Infrastructure Bill, ou PSTI, impose en effet plusieurs mesures, dont l’interdiction des mots de passe par défaut et des obligations de transparence. Parmi ces dernières, celle d’indiquer précisément la durée de support logiciel pour les produits connectés à internet, smartphones en tête.

C’est dans ce contexte qu’Apple a révélé, au sein d’une déclaration de conformité au gouvernement britannique, que cette durée était de « cinq ans minimum à compter de la première date de commercialisation » pour ses iPhone.

Dave Kleidermacher, vice-président de l’ingénierie chez Google, a immédiatement réagi :

« Pendant des années, l’iPhone a eu la réputation d’avoir une durée de vie de support plus longue que celle d’Android. Pourtant, Apple ne s’est jamais engagée à offrir une durée de vie minimale à l’achat. Grâce à la réglementation PSTI du gouvernement britannique […], Apple a finalement publié un engagement de durée d’achat – cinq ans – deux ans DE MOINS que les produits phares de Google (Pixel) et de Samsung »

Temps mort

Techniquement, la déclaration de Dave Kleidermacher est juste. Il ajoute cependant :

« Les consommateurs méritent de connaître les durées de vie minimales du support de sécurité pour leurs appareils électroniques grand public au moment de l’achat, et bravo au gouvernement britannique pour avoir imposé cette transparence. Apple a le mérite de fournir des mises à jour de sécurité pendant plus de 5 ans, et ce depuis longtemps. Mais il est temps de reconnaître qu’iOS n’offre plus les meilleures durées de vie en matière de sécurité dans l’industrie des smartphones. C’est Android qui le fait ».

Rappelons quand même quelques éléments de contexte. D’une part, c’est la première fois que des appareils Android sont supportés aussi longtemps, à l’exception (très) notable et logique du Fairphone 5. Et les seuls appareils supportés sont les Pixel 8 (tous les modèles) et la gamme Galaxy S24 de Samsung. Il s’agit donc de haut de gamme, voire de très haut de gamme, pour des appareils comme le Pixel 8 Pro ou le Galaxy S24 Ultra.

D’autre part, Apple parle d’un support minimal de cinq ans. En pratique, de nombreux appareils ont été mis à jour pendant six ou sept ans, comme le rappellent nos confrères d’iGeneration. Il est arrivé également à Apple de diffuser des mises à jour de sécurité pour des appareils qui n’étaient plus censés en recevoir. En janvier par exemple, pour les iPhone 6s, 7, SE, 8 et X, des appareils ayant entre 7 et 9 ans. L’iPhone XR, sorti en 2018, tourne actuellement sous iOS 17.5, soit la dernière révision du système. Le Pixel 4a, sorti il y a quatre ans, n’aura pas droit à Android 15.

Enfin, cette période de cinq ans minimum est valable pour l’ensemble des modèles, pas uniquement les derniers ou le haut de gamme. Mais Apple ne fait pas non plus d’entrée de gamme, du moins pas de smartphone à moins de 200 euros, alors qu’ils sont légion sur Android. Un marché que Google a largement contribué à créer.

Les smartphones, ces produits jetables

Que des entreprises prennent enfin au sérieux un critère aussi important est une très bonne raison de se réjouir. Un support logiciel limité expose non seulement la clientèle aux dangers d’un système d’exploitation laissé sans correctifs de sécurité, mais engendre une consommation accrue de ressources.

Les smartphones sont encore trop souvent considérés comme des produits presque jetables. Les constructeurs en font leur beurre, la plupart des gammes étant renouvelées chaque année. Et chaque année, il faut trouver des raisons de motiver cette même clientèle à changer d’appareil. Limiter les mises à jour d’Android – et donc l’arrivée de fonctions majeures – était un moyen parmi d’autres. C’est néanmoins moins vrai depuis plusieurs années, car les versions se succèdent sans gros changements pour les utilisateurs.

Google et Samsung sont les premiers gros fabricants à proposer sept ans pour leurs appareils. Mais il faut encore que la pratique s’étende et fasse tache d’huile. Consciente que ses « partenaires » ne jouent pas le jeu, Google passe certaines mises à jour importantes par le Play Store. Mais même ainsi, cela ne règle pas tous les soucis et tous les fabricants doivent jouer le jeu.

Le grand cirque va devoir prendre fin

D’autre part, l’Europe s’apprête à sonner la fin de la récréation. Le 20 juin entrera en vigueur une extension du règlement sur l’économie circulaire. Elle introduira notamment la note de réparation et l’obligation de transparence sur certains aspects. Surtout, elle obligera les constructeurs à proposer des mises à jour logicielles pendant au moins cinq ans après mise sur le marché. Ce qui signifie en pratique six ou sept ans de mises à jour dans la plupart des cas.

Attention, on parle bien de mises à jour de sécurité. Dans l’absolu, rien ne forcera les constructeurs à proposer de nouvelles versions majeures de leur système. Mais l’important concerne bien la sécurité, afin qu’un appareil gardé durant plusieurs années continue d’être protégé. D’autant que le règlement concernera l’intégralité des appareils mis sur le marché après cette date (le changement n’est pas rétroactif).

Il est probable que cette bascule aura un impact important sur la manière dont les constructeurs mettent des appareils sur le marché. L’entretien s’avérant mathématiquement plus couteux, l’une des voies serait le resserrement des gammes et donc la réduction du nombre de modèles proposés. Mais il n’est pas certain que cette perspective enchante particulièrement les entreprises : la durabilité n’est pas toujours retenue comme argument fort dans les stratégies commerciales.

Schrems vs Meta, a neverending story

L’association autrichienne noyb a déposé 11 plaintes contre Meta auprès d’autant d’autorités chargées de la protection des données en Europe, dont la CNIL. Elle demande à la multinationale d’arrêter immédiatement l’utilisation abusive des données personnelles des utilisateurs de Facebook et Instagram pour l’entrainement de ses IA tel que le prévoit sa nouvelle « Politique de confidentialité ».

L’association de Max Schrems a annoncé avoir déposé 11 plaintes en Europe (en Autriche, Belgique, France, Allemagne, Grèce, Italie, Irlande, Pays-Bas, Norvège, Pologne et Espagne) contre la nouvelle politique de confidentialité de Facebook et Instagram mise en place par Meta, concernant l’utilisation de toutes les données des utilisateurs pour entrainer les IA de la multinationale.

Depuis fin mai, les utilisateurs européens de ces réseaux sociaux ont reçu un email dont le sujet est « nous mettons à jour notre Politique de confidentialité à mesure que nous développons l’IA de Meta ». Ce message indique qu’à partir du 26 juin 2024, l’entreprise s’appuiera désormais sur la base légale des « intérêts légitimes » de Meta pour utiliser les informations de ses utilisateurs « pour développer et améliorer l’IA de Meta ».

Cette décision de Meta a fait réagir certains utilisateurs de ses réseaux sociaux où on a pu voir des chaînes de protestation se mettre en place :

Un formulaire dissuasif

Plus clairement, l’entreprise s’autorise à partir de cette date à utiliser les données (contenus publiés mais aussi données personnelles) de ses utilisateurs collectées depuis la création de leurs comptes pour entrainer ses intelligences artificielles. Un seul moyen d’y échapper : cliquer sur le lien situé au milieu du message expliquant que « cela signifie que vous avez le droit de vous opposer à l’utilisation de vos informations à ces fins » et remplir le formulaire auquel il renvoie.

Et encore, Meta y demande d’ « expliquer l’incidence de ce traitement sur vous » et suggère donc qu’elle pourrait refuser d’accéder à la demande. « Alors qu’en théorie, l’opt-out pourrait être mis en œuvre de telle sorte qu’il ne nécessite qu’un seul clic (comme le bouton « se désinscrire » dans les newsletters), Meta rend extrêmement compliqué le fait de s’y opposer, même pour des raisons personnelles », s’indigne noyb dans son communiqué.

L’association estime aussi que « bien que le choix logique soit celui d’un consentement explicite (opt-in), Meta prétend à nouveau qu’elle a un « intérêt légitime » qui l’emporte sur les droits fondamentaux des utilisateurs ».

noyb rappelle que l’entreprise a déjà voulu s’appuyer sur son « intérêt légitime » pour utiliser les données personnelles de ses utilisateurs pour mettre en place son système de publicités ciblées, mais que la Cour de justice de l’Union européenne a rejeté l’utilisation de cette base légale.

Meta utilise aussi une phrase très vague et très générale pour signaler ce qu’elle s’autorise à faire : « l’IA chez Meta est notre collection de fonctionnalités et d’expériences d’IA générative, comme les outils de création IA et Meta AI, ainsi que les modèles qui les alimentent ». Telle que nous la comprenons, l’entreprise s’autorise à utiliser ces données pour entrainer toutes ses IA.

Dans ses plaintes, noyb accuse Meta d’avoir « pris toutes les mesures nécessaires pour dissuader les personnes concernées d’exercer leur droit de choisir », et de ne pas avoir donné les informations nécessaires à ses utilisateurs.

Aucun intérêt légitime

Elle y estime tout bonnement que Meta « n’a aucun « intérêt légitime » qui prévaut sur les intérêts » des plaignants qu’elle accompagne et « aucune autre base légale pour traiter des quantités aussi importantes de données à caractère personnel pour des finalités totalement indéterminées ».

Elle pointe le fait que l’entreprise « tente en réalité d’obtenir l’autorisation de traiter des données à caractère personnel pour des moyens techniques larges et non définis (« technologie d’intelligence artificielle ») sans jamais préciser la finalité du traitement en vertu de l’Article 5(1)(b) du RGPD ».

Données mises à la disposition de n’importe quel « tiers »

Elle ajoute que l’entreprise n’est même pas « en mesure de différencier correctement entre les personnes concernées pour lesquelles elle peut s’appuyer sur une base légale pour traiter les données à caractère personnel et les autres personnes concernées pour lesquelles une telle base légale n’existe pas ». De même, elle lui reproche de ne pas être capable de faire la différence « entre les données à caractère personnel qui relèvent de l’Article 9 du RGPD [qui pose une interdiction de principe des traitements relatifs à l’origine raciale ou ethnique, aux opinions politiques, convictions religieuses ou philosophiques ou à l’appartenance syndicale, ndlr] et les autres données qui n’en relèvent pas ».

Enfin, l’association pointe le fait que « Meta déclare elle-même que le traitement des données à caractère personnel est irréversible et qu’elle n’est pas en mesure de respecter le « droit à l’oubli » ».

Pour Max Schrems, « Meta dit en substance qu’elle peut utiliser « n’importe quelle donnée provenant de n’importe quelle source pour n’importe quel usage et la mettre à la disposition de n’importe qui dans le monde », à condition que ce soit par le biais d’une « technologie d’intelligence artificielle ». Cela est clairement non conforme au RGPD. L’expression « technologie d’IA » est extrêmement large. Tout comme « l’utilisation de vos données dans des bases de données », il n’y a pas de limite légale réelle ».

Il ajoute que « Meta précise également que les données des utilisateurs peuvent être mises à la disposition de n’importe quel « tiers », c’est-à-dire n’importe qui dans le monde ».

Accord avec l’autorité irlandaise

Interrogée par le média irlandais The Journal, l’autorité de protection irlandaise DPC dont dépend Meta (son siège européen étant à Dublin) a expliqué que l’entreprise a retardé le lancement de cette nouvelle politique de confidentialité « à la suite d’un certain nombre de demandes de la DPC qui ont été traitées ».

L’autorité irlandaise indique que « Meta affiche maintenant une notification dans sa barre de navigation, a ajouté des mesures de transparence supplémentaires (des articles dans le « AI privacy center ») et un mécanisme dédié d’opposition ». Enfin, l’autorité insiste sur le fait d’avoir obtenu que Meta attende quatre semaines entre la notification aux utilisateurs et la date du premier entrainement avec ces données.

Elle ajoute que Meta l’a assurée « que seules les données personnelles des utilisateurs basés dans l’UE (posts et non commentaires) partagées publiquement sur Instagram et Facebook au moment de l’entrainement seront utilisées et que cela n’inclura pas les données personnelles provenant de comptes appartenant à des utilisateurs de moins de 18 ans ».

Pour noyb, cela signifie que « cette violation flagrante du RGPD est (de nouveau) basée sur un « accord » avec la DPC. Celle-ci a déjà conclu un accord avec Meta qui a permis à l’entreprise de contourner le RGPD – et qui s’est soldé par une amende de 395 millions d’euros contre Meta après que le Conseil européen de la protection des données (EDPB) a annulé la décision de la DPC irlandaise ».

Interrogée par email par Next, Meta n’a pas encore répondu à nos questions.