Une lettre ouverte signée par des anciens salariés d’OpenAI et de Google DeepMind réclame la possibilité d’exprimer leurs préoccupations sur les dangers des IA les plus avancées. Certains signataires sont restés anonymes par peur de possibles représailles. Le texte est aussi soutenu par Yoshua Bengio, Geoffrey Hinton et Stuart Russell.

Mardi, un petit groupe d’anciens salariés d’OpenAI a publié un texte sur le site Right to warn. Leurs signatures sont accompagnées de celles de Ramana Kumar, un ancien de Google DeepMind et de Neel Nanda, ancien d’Anthropic actuellement en poste chez Google DeepMind.

Cette lettre arrive alors qu’il y a quinze jours, l’équipe chargée de contrôler les IA chez OpenAI a quitté l’entreprise. Elle a déclaré ne pas avoir reçu les moyens qui lui avaient été promis pour travailler sur le sujet. L’entreprise a, depuis, créé un nouveau comité de sécurité, mais celui-ci parait verrouillé par la présence de Sam Altman et Bret Taylor en son sein.

Dans ce contexte, OpenAI a été accusé d’éviter toute critique de ses anciens employés en leur imposant la signature d’un accord de confidentialité (NDA) qui leur interdit de la critiquer.

• Comment OpenAI évite toute critique de ses anciens employés
• [Màj] OpenAI : l’équipe chargée de contrôler les IA n’avait pas accès aux capacités de calculs promises

Seuls à pouvoir sonner l’alarme

Dans leur texte, ces ingénieurs expliquent être en position de comprendre les risques posés par ces technologies : « ces risques vont du renforcement des inégalités existantes à la manipulation et à la désinformation, en passant par la perte de contrôle des systèmes d’IA autonomes pouvant entraîner l’extinction de l’humanité ».

Ils disent « espérer que ces risques pourront être atténués de manière adéquate si la communauté scientifique, les décideurs politiques et le public fournissent des orientations suffisantes ». Mais ils ajoutent que « les entreprises d’IA ont de fortes incitations financières à éviter une surveillance efficace, et nous ne pensons pas que les structures de gouvernance d’entreprise habituelles soient suffisantes pour changer cette situation ».

Pour eux, « tant qu’il n’y aura pas de contrôle gouvernemental efficace de ces entreprises, les employés actuels et anciens sont parmi les rares personnes qui peuvent les mettre devant leurs responsabilités publiquement ».

Mais ils dénoncent les accords de confidentialité qui les « empêchent d’exprimer [leur] préoccupations ». Ils pointent une faille dans la protection des lanceurs d’alerte qui se concentre « sur les activités illégales, alors que bon nombre des risques qui nous préoccupent ne sont pas encore réglementés ».

Dénonciation des accords de confidentialité

Ils demandent donc aux entreprises d’IA de s’engager à : ne plus signer d’accords de confidentialité qui empêchent toute critique des risques liés à l’intelligence artificielle, créer un processus anonymisé de remontée des préoccupations, soutenir une culture de la critique ouverte, et s’engager à ne pas aller à l’encontre d’employés partageant publiquement des informations confidentielles liées à des risques si d’autres processus ont échoué avant.

Ce texte est soutenu par Yoshua Bengio, Geoffrey Hinton et Stuart Russell, des personnalités qui comptent dans cette communauté.

• Geoffrey Hinton quitte Google, des observateurs lassés par la tournure du débat sur les risques de l’IA forte

Publication tardive

Cette lettre arrive pourtant tard alors que Timnit Gebru et Margaret Mitchell ont été licenciées par Google fin 2020 et début 2021. Elles travaillaient alors sur la publication de leur article scientifique prévenant déjà des dangers des grands modèles de langage, outils sur lesquels se base l’IA générative.

• Google, IA et éthique : « départ » de Timnit Gebru, Sundar Pichai s’exprime
• Google, IA et éthique : Margaret Mitchell annonce avoir été licenciée

Interrogée par Ars Technica, Margaret Mitchell (qui travaille maintenant chez Hugging Face) témoigne de la difficulté de lancer l’alerte dans l’industrie de l’IA : « vous devez quasiment renoncer à votre carrière et à votre santé psychologique pour poursuivre en justice une organisation qui, du fait qu’elle est une entreprise, n’a pas de sentiments et dispose des ressources nécessaires pour vous détruire ».

Même si ses préoccupations concernant les dangers des IA ne sont pas les mêmes que celles des auteurs de la lettre, Margaret Mitchell « estime que les préoccupations soulevées par la lettre soulignent le besoin urgent d’une plus grande transparence, d’un meilleur contrôle et d’une meilleure protection pour les employés qui dénoncent les risques potentiels » note Ars Technica.

Mais la chercheuse ajoute que les lois « qui soutiennent de manière disproportionnée les pratiques injustes des grandes entreprises au détriment des travailleurs » doivent être modifiées significativement.

Don't let me be misunderstood

La loi « Simplification de la vie économique » pourrait réduire l’obligation de la CNIL de rendre publics les documents relatifs à ses accompagnements d’entreprises. Créateur d’eWatchers, Morgan Schmiedt bataille pour maintenir cet accès à l’information… et mieux comprendre comment la CNIL aide la régie publicitaire Valiuz.

Depuis le 3 juin, le Sénat débat du projet de loi de « Simplification de la vie économique » en séance publique. Parmi les sujets abordés, un amendement vient modifier les obligations de la CNIL en matière de communication des documents administratifs avec le public.

Parmi ses attributions, la CNIL peut en effet aider les entreprises qui en font la demande à se mettre en conformité avec le RGPD. En tant qu’institution publique, elle est néanmoins soumise au droit d’accès aux documents administratifs. En janvier, l’Alliance Digitale critiquait cette « absence de confidentialité ». Selon la filiale française de l’organisation professionnelle de la publicité IAB, cela « dissuade beaucoup d’entreprises » de demander de l’aide.

Bataille d’amendements

Or, dans un amendement déposé le 24 mai par la corapporteure du projet de loi Catherine Di Folco (LR) et adopté en commission, le texte ajoute une dérogation au droit d’accès aux documents administratifs du code des relations entre le public et l’administration. En pratique, il vient mettre fin à l’obligation, pour la CNIL, de communiquer sur ses travaux d’accompagnement d’entités privées « lorsque ces documents ne sont pas relatifs à une mission de service public confiée au responsable de traitement concerné ».

Depuis sa présentation, Windows Recall n’en finit plus de faire parler de lui et, au fil des jours, de nouveaux cas d’usage problématiques remontent à la surface. À tel point qu’on se demande maintenant quand et comment Microsoft va revoir ses plans.

Cette fonction, alimentée par une IA locale, prend régulièrement des captures d’écran de tout ce qui est fait. Via une analyse OCR, Recall extrait les informations. On peut ainsi retrouver toute activité faite sur la machine au cours des trois derniers mois au moins.

• La surveillance Windows Recall permet en l’état un pillage des données sensibles

Cette fonction, active par défaut (opt-out), s’attire les foudres de nombreuses personnes, y compris chez les experts en cybersécurité, comme Kevin Beaumont. Mais les dangers ne concernent pas seulement la personne utilisant son PC Copilot+.

Si l’on utilise n’importe quel autre appareil sans Recall (Mac, Linux, smartphone…), on aura tôt fait de se dire « je ne suis pas concerné ». Mais vous l’êtes : si vous communiquez avec une personne utilisant un PC Copilot+ avec Recall activé, les informations que vous lui transmettrez pourront se retrouver dans sa base de données.

Les scénarios sont multiples : photos diverses et variées (y compris intimes), informations confidentielles, codes, discussions personnelles, données protégées par des accords de non-divulgation, partage d’écran… Certains se demandent – avec plus ou moins d’humour – s’il faudra demander systématiquement à un correspondant sur Copilot+ si Recall est activé avant tout échange.

Le chef de brigade Eric Freyssinet, conseiller en cybersécurité au ministère de l’Intérieur, a ainsi publié un billet de blog présentant divers cas problématiques, dont l’espionnage par un proche abusif. Dans le cadre de violences conjugales, un mari pourrait vérifier tout ce qu’a fait son épouse sur l’ordinateur familial.

Il est probable que la polémique ait pris assez d’ampleur désormais pour que Microsoft révise ses plans. D’autant que la CNIL anglaise (Information Commissioner’s Office) a ouvert une enquête à ce sujet.

J'ai demandé à la lune si tu voulais encore de moi

Au fil des années, l’humanité a envoyé plusieurs bouteilles dans l’océan cosmique, sans réponse pour le moment (bonne ou mauvaise chose, la question est ouverte). Une nouvelle sera lancée sur la Lune en 2027 : Sanctuary. Une partie du message est prête, l’autre reste à écrire.

Il s’agit à la fois d’envoyer un message vers d’autres potentielles civilisations, de faire une rétrospective sur l’humanité et, de manière plus terre à terre, d’empocher l’empathie du public sur la conquête spatiale.

24 disques de saphir à poser sur la Lune… pourquoi faire ?

Ce projet Sanctuary n’est pas nouveau, loin de là. Il a en effet déjà une dizaine d’années. Il n’est pas non plus prévu pour tout de suite, car il ne devrait décoller qu’en 2027 à bord d’une mission lunaire de la NASA. Dans les colonnes du CNRS, Benoît Faiveley (coordinateur du projet) revient sur cette mission, dont le « lancement officiel » a été acté le 21 mars 2024.

Son but est de déposer sur la surface de la Lune « 24 disques de saphir entreposés dans un conteneur en aluminium à la fois léger et résistant ». À l’intérieur, « un corpus de connaissances et de témoignages matériels de notre civilisation ». Les enjeux sont multiples : identifier les points à mettre en avant, comment les enregistrer et surtout leur donner une espérance de vie de plusieurs millions d’années.

C’est une suite du « Golden Record » sur les sondes Voyager 1 et 2 qui sont actuellement aux confins de notre Système solaire. Avant elle, il y a eu la plaque posée sur les sondes Pioneer 10 et 11. Mais il ne s’agit pas seulement de jeter une bouteille à la mer, mais de l’accrocher à notre rivage pour les millions d’années à venir.

Survivre « à un éventuel délitement de nos sociétés modernes »

Dès son introduction, l’article du Journal du CNRS adopte un ton pessimiste sur notre avenir : « Face à l’accélération du réchauffement climatique et aux autres menaces que ne cesse de se créer l’humanité, l’effondrement de notre civilisation constitue une hypothèse de plus en plus crédible ». Le projet Sanctuary est donc là pour « faire en sorte qu’une partie du patrimoine culturel et scientifique de l’humanité survive à un éventuel délitement de nos sociétés modernes ».

Une enquête conjointe du Citizen Lab et de l’ONG Access Now révèle que cinq journalistes indépendants et deux activistes des oppositions russes et biélorusses ont été ciblés par le logiciel espion Pegasus de la société NSO entre 2020 et 2023, et que les terminaux de cinq d’entre eux avaient bien été infectés.

Access Now précise que plusieurs avaient reçu un email d’alerte d’Apple les informant qu’ils avaient potentiellement été visés par un logiciel espion, ce pourquoi ils avaient contacté l’ONG, qui a mis en place un service d’analyse technique dédié.

Les cyberattaques se seraient intensifiées après l’invasion de l’Ukraine par la Russie qui, pas plus que la Biélorussie, n’est cela dit un client de NSO. Du fait des sanctions imposées par les USA, NSO ne vend plus son logiciel espion qu’aux seuls pays alliés avec Israël et les États-Unis. Les ONG doutent que la Lettonie, la Pologne et la Lituanie, où les journalistes et opposants ciblés vivent en exil, puissent être derrière l’opération.

• Israël interdit la vente d’outils de piratage et de surveillance dans 65 pays

Access Now s’interroge sur la possibilité que l’Estonie, qui coopère étroitement avec la Lettonie et la Lituanie, puisse être impliquée, relève The Record.

La Federal Aviation Administration (FAA) américaine a validé le projet d’un nouveau lancement de la fusée Starship de SpaceX. Il devrait avoir lieu jeudi à 14h, heure française (12:00 UTC). La fenêtre de lancement est de deux heures.

Ce décollage sera le quatrième essai de Starship en mode « Super Heavy ». Pour le dernier en date, SpaceX avait réussi à mettre en orbite sa fusée, mais avait perdu ensuite tout contact au moment de rallumer le moteur Raptor et contrôler le retour de leur fusée.

Dans son communiqué, Space X présente ce quatrième vol comme lui permettant « de passer de la mise en orbite à la démonstration de la capacité de retour et de réutilisation de Starship et de Super Heavy ».

Pareil, en moins bien

Google évoque l’abandon du Manifest V2, utilisé par les extensions, au profit d’une V3. La bascule, plusieurs fois reportée, est désormais à nos portes. Elle est enclenchée dans les préversions de Chrome. Bien que l’entreprise affirme que de nombreux problèmes ont été réglés, les bloqueurs de publicité restent moins efficaces avec la nouvelle version.

Le Manifest est la structure servant de base aux extensions dans Chrome. Il définit leurs capacités et droits, ainsi que le périmètre de leurs actions. Cette plateforme, quand elle évolue, impacte profondément le fonctionnement des extensions.

Jusqu’à présent, les extensions étaient basées sur la V2. C’est la version la plus connue, celle qui a fait les beaux jours des bloqueurs de publicité tels qu’Adblock Plus. Google la considérait cependant comme percluse de problèmes de sécurité, avec l’évolution des standards dans ce domaine. Une V3 avait été mise en chantier.

Cependant, beaucoup accusent Google de profiter de cette nouvelle version pour s’attaquer aux bloqueurs de publicité. Et le temps est pratiquement écoulé, comme le confirme la société.

Une simple question de sécurité ?

Le plus gros changement entrainé par l’arrivée de Manifest V3 est la suppression de l’API Web Request. Celle-ci permettait jusqu’ici d’examiner ce qui transitait entre un site web et un navigateur, et surtout d’y réagir. Elle était très utilisée par les bloqueurs de publicité. Et pour cause : Web Request autorise la modification à la volée des requêtes vers un domaine.

Pour Google, le problème relève de la sécurité : une telle interface de programmation donne trop de pouvoir aux extensions. Et si certaines – dont les bloqueurs – le font pour des raisons « légitimes », l’API peut être utilisée pour espionner les communications et autres comportements malveillants. En 2018, Trend Micro avait montré comment l’API avait été utilisée pour créer des botnets destinés au vol de cryptomonnaies.

Pour compenser la disparition de Web Request, Google a proposé une autre API, Declarative Net Request. Le nom de l’API résume d’ailleurs la situation, puisque les extensions doivent déclarer précisément ce qu’elles vont faire.

Avec Declarative Net Request, les extensions ne peuvent plus analyser en temps réel ce qui circule, ni accéder à du code distant. Ces deux importantes modifications améliorent nettement la sécurité des extensions, dont les droits s’en retrouvent d’autant limités. L’internaute y gagne également en contrôle, car il devient possible de moduler plus finement le comportement des extensions.

De multiples reports et ajouts

Le travail sur le Manifest V3 a commencé il y a des années. Google souhaitait l’imposer plus tôt, mais les levées de boucliers ont poussé l’entreprise à enchainer les reports. En juin 2022, nous indiquions par exemple que Google ne laissait plus qu’un an aux développeurs d’extensions pour transiter vers la nouvelle plateforme. Mais ce délai a été étendu.

Dans sa communication datée du 30 mai, Google revient sur ce point. Pour la société, ce fut surtout l’occasion de récolter un nombre croissant de retours. Elle dit avoir suivi de nombreuses demandes et recommandations des développeurs d’extensions. « Nous apprécions la collaboration et les commentaires de la communauté qui nous ont permis – et continuent de nous permettre – d’améliorer constamment la plateforme d’extensions », indique Google.

Google donne plusieurs exemples d’ajouts, comme le support des scripts utilisateurs, la possibilité d’utiliser les API DOM en arrière-plan, ou encore la capacité à prendre en charge jusqu’à 330 000 règles statiques et 30 000 dynamiques. Résultat, Google indique que 85 % des extensions présentes sur le Chrome Web Store sont déjà en MV3.

Des bloqueurs de publicité moins efficaces

Parmi les autres changements, les auteurs d’extensions n’auront plus à faire valider chaque liste statique. Pour les bloqueurs de publicité, c’est un bon point. En revanche, les listes dynamiques restent sujettes à approbation. Or, ce sont les plus intéressantes.

Ce changement est accompagné d’un autre : une liste ne pourra plus être mise à jour directement. Pour récupérer le nouveau jeu de données, il faudra que l’extension elle-même soit mise à jour. Un processus lourd, dénoncé l’année dernière par Krzysztof Modras, l’un des auteurs de l’extension Ghostery. Avec cette modification, envoyer une nouvelle liste chez les utilisateurs revient à refaire passer l’extension par le processus de validation du Chrome Web Store.

Le 3 mai, les développeurs d’Adblock Plus (eyeo) avertissaient des changements à venir dans la version Manifest V3 de l’extension, disponible depuis quelques semaines. Le fonctionnement est modifié, avec des limitations imposées. Par exemple, la nouvelle mouture contient 100 listes préinstallées, l’internaute pouvant en activer jusqu’à 50. Cependant, impossible pour l’instant de s’abonner à des listes tierces.

Sur la gestion des listes cependant, eyeo assure avoir trouvé un moyen de contourner la limitation de Manifest V3. L’extension force son Service Worker à redémarrer, la mise en pause intervenant 30 secondes sans activité dans le navigateur.

Récemment, le développeur Raymond Hill a montré comment l’extension uBlock Origin Lite – version Manifest V3 d’uBlock Origin – était clairement moins efficace dans le blocage publicitaire.

Une disparition rapide, mais par phases

Chrome 127, dont la bêta est imminente, doit marquer le début de la fin pour Manifest V2. Si vous avez de « vieilles » extensions, un bandeau d’information apparaitra dans le panneau de gestion dédié (pour les personnes qui pensent à y aller). Les extensions MV2 actuellement mises en avant ne le seront plus.

« Cette mesure sera suivie progressivement, dans les mois à venir, par la désactivation de ces extensions. Les utilisateurs seront dirigés vers le Chrome Web Store, où il leur sera recommandé des alternatives à Manifest V3 pour leur extension désactivée. Pendant une courte période après la désactivation des extensions, les utilisateurs pourront encore réactiver leurs extensions Manifest V2, mais au fil du temps, cette option disparaîtra également », explique Google sur son blog.

Notez que les extensions MV2 ne seront pas toujours remplacées par leur nouvelle mouture MV3. Dans le cas d’Ublock Origin par exemple, il faudra soit passer par une alternative, soit récupérer la version Lite, qui ne contient pas de filtrage dynamique. Les développeurs ont indiqué cette information dans une FAQ.

C’est donc dans un tout petit peu plus d’un mois que la nouvelle fusée européenne prendra son envol : le 9 juillet, sauf report de dernière minute.

C’est peu dire que ce lancement est attendu et que le lanceur n’a pas réellement le droit à l’erreur, au risque de priver pendant encore un bon moment le vieux continent de souveraineté sur l’accès à l’espace.

• L’Europe privée de lanceurs jusqu’en 2024

L’Agence spatiale européenne rappelle qu’Ariane 6 « est le nouveau lanceur lourd européen, qui prend la relève de son prédécesseur, Ariane 5. Modulaire et polyvalent, Ariane 6 dispose d’un étage supérieur réallumable lui permettant de lancer plusieurs missions sur différentes orbites en un seul vol ».

Stéphane Israël, président exécutif d’Arianespace, rappelle qu’Ariane 6 à déjà un carnet de commande bien rempli avec pas moins de 30 missions.

C’est donc presque un an après le dernier vol d’Ariane 5 que la 6e version de la fusée prendra son envol du port spatial de l’Europe, en Guyane française.

Instagram a confirmé auprès de TechCrunch réaliser des tests de publicités que l’on ne peut pas passer. À la manière d’un nombre croissant de plateformes diverses, il faut donc attendre que le chronomètre soit écoulé pour passer au prochain contenu.

« Nous testons toujours des formats qui peuvent apporter de la valeur aux annonceurs. Au fur et à mesure que nous testons et apprenons, nous fournirons des mises à jour si ce test aboutit à des changements formels du produit », a déclaré un porte-parole à nos confrères. L’entreprise n’a précisé ni le nombre de personnes ni les zones géographiques concernées.

Le changement avait été repéré par plusieurs personnes il y a quelques jours. La seule action possible est d’appuyer sur le petit « i » d’informations. Un panneau s’ouvre alors, expliquant que les « coupures publicitaires sont une nouvelle façon de voir les publicités sur Instagram » et qu’il faut parfois attendre avant de continuer à naviguer.

TechCrunch rapporte, sans surprise, que les réactions sont en grande majorité négatives, avec menaces de fermetures de comptes. Le modèle commercial étant basé sur l’engloutissement des contenus, l’introduction de telles cassures pourrait effectivement remettre en question l’utilisation chez une partie du public.

Dans un billet technique publié lundi soir, Google a annoncé un nouveau mécanisme baptisé Shared Memory Versioning. Il s’agit de traiter différemment les cookies pour mettre fin à des situations de blocage intervenant sur des sites « mal développés ».

Dans une étude menée par l’équipe de Chromium, les développeurs ont constaté en effet que 87 % des accès aux cookies étaient redondants. Il peut même arriver que des cookies soient demandés plusieurs centaines de fois par seconde.

Le nouveau mécanisme fonctionne comme une nouvelle boite à cookies pour réguler les lectures et écritures des cookies. Elle permet de contourner, en quelque sorte, une exigence des spécifications du web voulant que JavaScript récupère toujours les cookies de manière synchrone. Pas un problème en temps normal, mais quand le nombre de requêtes explose, le chainage des demandes augmente le délai de traitement.

Avec le Shared Memory Versioning, chaque valeur de document.cookie est associée à une version. De plus, chaque moteur de rendu met en cache sa dernière lecture de cette valeur, toutes les versions étant hébergées dans une mémoire partagée. Selon Google, les sites peuvent toujours accéder à la dernière version, réduisant de 80 % les messages inter-processus et de 60 % les accès à document.cookie.

Faut-il s’attendre à une hausse révolutionnaire des performances ? Non, car sur les sites les plus lents (et utilisant très mal les cookies), le gain de rapidité est d’environ 5 %. Une petite différence donc, que l’on retrouvera bientôt dans tous les autres navigateurs basés sur Chromium.

Pas responsable, pas coupable ?

L’association de Max Schrems a déposé deux plaintes contre Microsoft US auprès de la CNIL autrichienne à propos de la suite 365 Education utilisée dans certaines écoles autrichiennes. noyb accuse l’entreprise d’enfreindre le RGPD en manquant de transparence, en utilisant des cookies de tracking et en traitant des données des élèves sans leur consentement, tout en rejetant la responsabilité des traitements des données sur les écoles.

noyb se penche sur l’utilisation de Microsoft 365 dans le système éducatif. Depuis le début de la pandémie de Covid-19, l’utilisation des services numériques dans l’éducation a explosé et un certain nombre d’écoles européennes ont choisi de prendre des solutions de services dans le cloud comme Microsoft 365 Education.

Mais l’association pointe plusieurs problèmes dans l’utilisation de cet outil. Elle considère que Microsoft viole le RGPD qui protège particulièrement les données des enfants. noyb a porté plainte devant l’autorité de protection des données autrichienne, la Datenschutzbehörde, contre l’entité américaine et non sa filiale européenne située en Irlande. Elle insiste même dans l’une des plaintes en précisant que « la plainte n’est pas dirigée contre Microsoft Ireland Operations Limited ».

Les deux cas se situent en Autriche où le ministère de l’Éducation, de la science et de la recherche a signé avec Microsoft un accord-cadre pour l’utilisation de Microsoft 365 Education dans les écoles. Le département de l’Éducation de la ville Vienne a offert, lui, des licences à toutes ses écoles.

Qui est responsable du traitement des données ?

Dans sa première plainte (pdf en allemand, pdf en anglais en traduction automatique), l’association représente une élève d’une école autrichienne. noyb explique que son père demande depuis fin août 2023 à Microsoft et à l’école plus d’information sur le traitement des données collectées, mais n’a obtenu aucune réponse satisfaisante.

Il a d’abord posé des questions à l’entreprise américaine qui lui a répondu (après plusieurs échanges), « nous vous suggérons de contacter l’organisation ou l’école concernée, qui est le responsable du traitement des données dans ce cas ».

De l’autre côté, le directeur de l’école, qui est aussi le responsable du traitement des données, affirme que l’établissement n’utilise dans Microsoft 365 Education que l’email comme donnée personnelle.

Pourtant, les streams de l’élève (vidéos enregistrées via le service « Microsoft Stream » inclus dans Microsoft 365 Education) ont bien été enregistrés lorsqu’elle a utilisé la suite de Microsoft. Des données autres que l’adresse email sont donc bien enregistrées pendant l’utilisation de Microsoft 365 Education.

L’association constate que les informations sur la gestion des données ne sont pas accessibles facilement. « Même l’information sur quelles déclarations et documents exacts sont pertinents concernant l’utilisation de Microsoft 365 Education par la plaignante n’est pas clair », explique-t-elle dans sa plainte.

« Dans le cadre du système actuel que Microsoft impose aux écoles, votre école devrait auditer Microsoft ou lui donner des instructions sur la manière de traiter les données des élèves. Tout le monde sait que de tels arrangements contractuels sont déconnectés de la réalité. Ce n’est rien d’autre qu’une tentative de déplacer la responsabilité des données des enfants aussi loin que possible de Microsoft », a déclaré l’avocate de noyb, Maartje de Graaf.

Des cookies de tracking sans consentement de l’élève

Dans la deuxième plainte (pdf en allemand, pdf en anglais), dans laquelle noyb représente aussi une élève autrichienne (sans pour autant qu’on sache si c’est la même, anonymisation oblige), l’association reproche à Microsoft l’utilisation de cookies de tracking dans Microsoft 365 Education.

noyb explique avoir trouvé des cookies suite à l’utilisation de la suite par la plaignante alors qu’elle n’y a pas consenti. Dans sa plainte, l’association affirme que la documentation envoyée par Microsoft elle-même à ce propos explique que ces cookies sont utilisés pour du « tracking », analysent le comportement des utilisateurs, collectent des données de navigation et sont utilisées à des fins publicitaires.

Selon Felix Mikolasch, un autre avocat de noyb, « notre analyse des flux de données est très inquiétante. Microsoft 365 Education semble traquer les utilisateurs quel que soit leur âge. Cette pratique est susceptible d’affecter des centaines de milliers d’élèves et d’étudiants dans l’UE et l’EEE. Les autorités devraient enfin agir et faire respecter les droits des mineurs ».

Contactée par Next, Microsoft n’a pas encore répondu à nos questions. À nos confrères de TechCrunch, l’entreprise a répondu que « M365 Education respecte le RGPD et les autres lois applicables en matière de protection de la vie privée et nous protégeons scrupuleusement la vie privée de nos jeunes utilisateurs. Nous sommes heureux de répondre à toutes les questions que les agences de protection des données pourraient avoir à propos de l’annonce d’aujourd’hui ».

Hier, l’ANFR et l’ACMOSS (Agence des communications mobiles opérationnelles de sécurité et de secours) ont signé « une convention de partenariat relative à l’exploitation de données techniques collectées par l’application mobile OpenBarres ».

Via cette dernière, l’ACMOSS va pouvoir accéder aux données anonymisées des smartphones connectés au Réseau Radio du Futur (RRF). Cela comprend les coordonnées géographiques des points de mesures, les niveaux de réception des champs mesurés, l’opérateur du réseau, etc.

But de l’opération : « optimiser sa connaissance des réseaux de téléphonie mobile déployés dans les départements français pour le bénéfice des différents services de sécurité et de secours […] L’analyse de ces informations participera à un renforcement du service haut débit du RFF avec la carte SIM ACMOSS qui va couvrir les quatre réseaux mobiles ouverts au public ».

Le Réseau Radio du Futur (RRF) est un « réseau très haut-débit [4G puis 5G, ndlr] souverain des services de sécurité et de secours », rappelait le ministère de l’Intérieur en 2022. Il permet en effet à l’ensemble des acteurs de la sécurité et du secours « de communiquer instantanément les uns avec les autres en bénéficiant de nouvelles fonctionnalités : appels vidéo, partage de position en direct, envoi d’électrocardiogrammes, etc ».

Il s’agit de moderniser les équipements « radio conçus au début des années 1990, propres à chaque force, et qui ne permettent pas la transmission d’importantes quantités de données ou d’images en temps réel depuis le terrain ».

Cette année, le RRF devient « l’épine dorsale des communications opérationnelles des services de sécurité, de secours et des acteurs de la gestion de crise », selon le ministère.

Pedo barred

Le texte de « compromis » proposé par la Belgique pour lutter contre les « abus sexuels concernant les enfants » propose de scanner l’ensemble des photos, vidéos et URL avant qu’elles soient envoyées dans les messageries, y compris chiffrées de bout en bout.

La Belgique, qui préside le Conseil de l’Union européenne jusqu’au 30 juin, a proposé un « compromis » pour la proposition de règlement « établissant des règles pour prévenir et combattre les abus sexuels concernant les enfants ».

Surnommé #ChatControl par ses opposants, le projet vise à créer un système de détection et de signalement des contenus pédosexuels (ou CSAM, pour « child sexual abuse material »), y compris dans les messageries chiffrées. Ce qui pourrait contrevenir au respect de la correspondance et de la vie privée, mais également relever d’une forme de « surveillance de masse ».

Le nouveau texte propose d’exclure les communications audio des injonctions de détection. Dans ses versions précédentes, « seules les communications audio en temps réel étaient exclues des nouvelles règles », rappelle Euractiv.

Ne seraient désormais concernés que les contenus visuels (images, photos et vidéos) et URL partagés via un service de communication interpersonnelle, « y compris ceux dotés d’un système de chiffrement de bout en bout (E2EE) », souligne le média européen.

Un consentement imposé, en mode chantage…

X (ex-Twitter) a changé ses conditions pour accepter officiellement le contenu pornographique « produit et diffusé de façon consensuelle ». Seules restrictions : « qu’il soit correctement étiqueté et pas mis en évidence », sur les photos de profil ou les bannières.

Sont désormais clairement acceptés les contenus présentant de la « nudité partielle ou complète », et des « actes sexuels explicites ou implicites », y compris sous la forme de contenu généré par IA, de dessinés ou d’animés (type hentai).

La plateforme indique que les utilisateurs de moins de 18 ans ou qui n’indiquent pas de date de naissance dans leur profil ne pourront pas voir les contenus en question. 


De fait, l’évolution de politique a lieu dans un contexte de pression grandissante des régulateurs en matière d’obligation de protection des mineurs.

Mise à jour du 5 juin : ajout de la réaction de TikTok (article initialement publié le 4 juin).

En amont des élections législatives européennes, l’ONG Global Witness a soumis plusieurs réseaux sociaux à un test : soumettre 16 publicités contenant de la désinformation politique pour observer la réaction de YouTube, TikTok et X.

Toutes les publications étaient pensées pour le public irlandais, et contenaient des éléments évoquant une fermeture des bureaux de vote provoquée par une épidémie de maladie infectieuse, de fausses informations sur la manière de voter ou des incitations à la violence.

Résultat des courses, X a bloqué toutes les publicités et suspendu le compte qui les publiait pour « violation de ses conditions d’utilisation », YouTube a bloqué 14 publications, et TikTok les a toutes acceptées.

L’ONG a bloqué la publication de ces éléments avant qu’ils n’atteignent réellement le grand public.

En parallèle, la BBC a réalisé ses propres expérimentations et constaté que la plateforme de vidéos présentait une nette propension à la diffusion de contenus politiques faux, générés par intelligence artificielle et/ou incitant à la violence.

Auprès de Next, TikTok plaide l’ « erreur humaine ». « TikTok n’autorise pas la publicité politique, et nos systèmes ont correctement identifié et soumis ce contenu politique à un examen humain. »

Selon l’entreprise, les publicités ont été approuvées par erreur, et de « nouveaux processus » ont été mis en place pour « éviter que cela ne se reproduise à l’avenir ».

• Élections européennes : TikTok dévoile ses mesures pour lutter contre la désinformation
• La Commission européenne soupçonne TikTok d’infractions au DSA

Magie, le PCIe 2.0 devient du PCIe 3.0

Le Computex est le théâtre d’une multitude d’annonces autour de l’IA, aussi bien chez AMD, Intel, Microsoft que NVIDIA. Mais ce ne sont pas les seuls et la Fondation Raspberry Pi ne compte pas rester sur le bord de la route. Elle présente un NPU externe à ajouter à son Raspberry Pi 5 pour 70 dollars.

13 TOPS pour le Raspberry Pi 5

C’est via un communiqué sur son site que la fondation annonce l’arrivée d’un module AI pour le Raspberry Pi 5. Ce « NPU externe » propose, selon le fabricant, des performances jusqu’à 13 TOPS pour de l’intelligence artificielle. Il est construit à partir de la puce Hailo-8L, dont la fiche technique se trouve par ici.

On est loin des 48 et 50 TOPS des derniers processeurs Intel et AMD. Mais la puce est au niveau des 11,5 TOPS du NPU de Meteor Lake d’Intel, des 16 TOPS des Ryzen 8040 et des 11 TOPS de la puce M1 d’Apple (15,8 TOPS pour M2).

• AMD : Zen 5 à tous les étages (Ryzen AI, 9000, Epyc), roadmap des GPU Instinct jusqu’en 2026
• Intel présente Lunar Lake (CPU, GPU, NPU), lance ses Xeon 6 E-core et Gaudi 3 pour l’IA
• SoC M4 : évolutions (face aux M1 à M3) et promesses floues d’Apple

78,60 euros pour le M.2 HAT+ avec la puce Hailo-8L

Le kit comprend donc une carte M.2 HAT+ (avec un connecteur M.2 key M) à installer sur le Raspberry Pi 5, ainsi que la carte M.2 (format 2242) équipée de la puce Hailo-8L.

Le prix annoncé est de 70 dollars et on trouve le kit à 78,60 euros chez Kubii. Chez le même revendeur, le M.2 HAT+ seul est vendu 13,5 euros. Cela donne environ 65 euros pour la carte M.2 avec le NPU si l’on tente de séparer les deux.

• Tout savoir sur le M.2 : un connecteur, trois sockets, des dizaines de possibilités

Passer son Raspberry Pi 5 en PCIe 3.0… à vos risques et périls ?

Le Raspberry Pi 5 propose pour rappel une ligne PCIe 2.0, tandis que la puce de Hailo utilise jusqu’à deux lignes PCIe 3.0. Soit un rapport de 1 à 4 ? En théorie, oui. En pratique, c’est plus compliqué…

Dans son communiqué, Raspberry Pi indique que son kit AI fonctionne avec une « connexion PCIe 3.0 x1 à 8 Gb/s ». Mais comment donc, alors que les caractéristiques techniques du mini-PC indiquent une seule ligne PCIe 2.0 ?

Comme l’explique Jeff Geerling sur son blog, on peut passer du PCIe 2.0 au 3.0 sur le Raspberry Pi 5 avec une petite modification dans un fichier de configuration. D’ailleurs, cette étape est décrite dans le guide de démarrage du kit AI : « Suivez les instructions pour activer le PCIe Gen 3.0. Cette étape est facultative, mais fortement recommandée pour obtenir les meilleures performances ».

Mais alors pourquoi ne pas livrer directement le Raspberry Pi 5 en PCIe 3.0 ? Sur cette autre page, il est indiqué que « le Raspberry Pi 5 n’est pas certifié » pour les débits du PCIe 3.0 et que les connexions « peuvent être instables ».

Dans tous les cas, le puce Hailo exploitant deux lignes, elle peut se retrouver bridée par l’interface avec le Raspberry Pi, limitée à une seule ligne. De plus, le kit AI utilisant la seule ligne PCIe externe disponible, il ne sera plus possible d’utiliser un SSD M.2 par exemple.

Une intégration logicielle déjà prête

Quoi qu’il en soit, ce kit « vous permet de créer rapidement des applications complexes de vision par IA, fonctionnant en temps réel, avec de faibles latences et besoins en énergie », explique le fabricant. Un atout de taille est d’ailleurs « l’intégration complète avec le sous-système de gestion des images du Raspberry Pi ».

« Les étapes d’installation du logiciel sont très simples : installez quelques paquets via apt, redémarrez », et c’est tout. Vous pouvez alors « essayer certaines démos d’IA en quelques minutes ». Hailo propose aussi de la documentation et des exemples d’applications sur GitHub.

La fondation ajoute que ce kit est compatible avec les caméras officielles, mais aussi avec celles de ces partenaires. Il est également possible d’utiliser le NPU sur des vidéos déjà enregistrées.

Plusieurs vidéos de présentation ont été mises en ligne :

J’ai demandé à la Lune…

Après NVIDIA et AMD, c’était au tour d’Intel de présenter ses nouveautés lors du Computex. Il y était question de la nouvelle génération de CPU Lunar Lake, des processeurs Xeon 6 (E et P) pour les serveurs et de l’accélérateur Gaudi 3.

Attaquons avec Lunar Lake, la prochaine gamme de processeurs pour les ordinateurs portables. Intel annonce de nouveaux cœurs P-core (pour les performances) et E-core (pour l’efficacité énergétique) : les Lion Cove et Skymont respectivement, gravés par… TSMC.

Avant d’entrer dans le détail, quelques grandes lignes. Le fabricant affirme que la consommation peut baisser « jusqu’à 40 % » par rapport à la génération précédente. D’autres fonctionnalités sont de la partie, notamment la décompression H.266 (VVC), un NPU pour l’IA à 48 TOPS et un iGPU plus performant. Adieu toutefois la possibilité d’augmenter la mémoire vive de sa machine.

• AMD : Zen 5 à tous les étages (Ryzen AI, 9000, Epyc), roadmap des GPU Instinct jusqu’en 2026
• NVIDIA : IA, IA, GPU Rubin, IA, IA, SFF-Ready, IA, IA…

Lion Cove (P-core) et Skymont en (E-core)

404 Media a eu accès à une base de données interne à Google répertoriant des problèmes sur des données personnelles entre 2013 et 2018.

Cette base de données fait la liste de tous les incidents que Google a rencontrés sur le traitement de données personnelles.

Le média explique lui-même qu’ « individuellement, les incidents, dont la plupart n’ont pas été rendus publics auparavant, peuvent n’avoir affecté qu’un nombre relativement restreint de personnes, ou ont été résolus rapidement ». Mais il ajoute que, « prise dans son ensemble, la base de données interne montre comment l’une des entreprises les plus puissantes et les plus importantes au monde gère, et souvent mal, une quantité stupéfiante de données personnelles et sensibles sur la vie des gens ».

Et, en effet, 404 Media relève que cette base de données contient des milliers de problèmes reportés en interne par des employés de Google.

La liste va de l’enregistrement de plaques d’immatriculation de voitures par Street View à celui d’un millier de voix d’enfants par un service vocal de Google, en passant par l’accès rendu public pendant un an à un million d’emails d’utilisateurs de Socratic, startup achetée par Google, dans le code source du site lui-même.

404 Media explique que certains incidents sont marqués comme réparés dans la base de données. Dans une sous-liste de 30 éléments envoyée par le média à Google, tous étaient résolus selon l’entreprise.

L’entreprise a aussi répondu au média que « chez Google, les employés peuvent rapidement signaler des problèmes potentiels liés aux produits pour qu’ils soient examinés par les équipes concernées. Lorsqu’un employé soumet un signalement, il suggère le niveau de priorité à l’examinateur. Les rapports obtenus par 404 datent d’il y a plus de six ans et sont des exemples de ces signalements – chacun d’entre eux a été examiné et résolu à l’époque. Dans certains cas, les signalements d’employés se sont avérés ne pas être des problèmes du tout ou étaient des problèmes venant de services tiers ».

Buffet à volonté

Depuis sa présentation lors de l’annonce des PC Copilot+, la fonction Recall fait beaucoup parler d’elle. Désormais, on sait non seulement qu’elle ne nécessite pas obligatoirement une puce Snapdragon X pour fonctionner, mais que le potentiel de nuisance est élevé.

Windows Recall est une fonction dont l’objectif est de permettre la récupération d’une information vue au cours des trois derniers mois écoulés au moins. Ponctionnant une partie du stockage, elle prend des captures d’écran à intervalles réguliers. Le mécanisme analyse le contenu de ces images (OCR) pour en extraire des informations.

• Windows Recall : une surveillance locale et isolée, mais…

En utilisant Recall, via une requête en langage naturel, on peut ainsi retrouver des éléments de conversation, une page visitée, un document sur lequel on travaillait et ainsi de suite. La réponse est fournie avec le contexte et la capture correspondante.

Quelques jours après l’annonce, Microsoft a publié une page résumant les attributs de Recall. On y trouvait notamment des éléments de réponse à plusieurs questions évidentes. C’était le cas de la vie privée, l’entreprise précisant que tout était calculé localement et qu’aucune capture n’était transférée à ses serveurs.

Cela ne changeait rien au danger inhérent d’un réservoir aussi important de données sensibles, comme nous l’indiquions alors. Et la situation est loin d’être aussi idyllique que Microsoft la présente, surtout pour une fonction activée par défaut (opt-out). Mais ce point pourrait changer.

Recall n’est pas forcément une spécificité des PC Copilot+