Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Aujourd’hui — 11 juin 2024Next.ink

☕️ Mistral lève (encore) 600 millions d’euros

11 juin 2024 à 13:15

Un an tout juste après sa création, la start-up française Mistral AI vient de lever 600 millions d’euros dans un tour de financement qui porte sa valorisation à 6 milliards d’euros.

Comme dans les tours précédents, les noms états-uniens – les fonds Lightspeed et Andreessen Horowitz, les entreprises Salesforces, Nvidia et IBM – côtoient les français – BNP Paribas, Bpifrance – et le coréen Samsung.

C’est le plus gros tour de financement à destination d’une entreprise d’intelligence artificielle générative en dehors de la Silicon Valley, indique le Financial Times.

Une opération qui suit de deux semaines la levée de 6 milliards de dollars pour xAI, le projet porté par Elon Musk.

Mistral déclare compter 60 salariés, dont 45 en France, 10 aux États-Unis et 5 au Royaume-Uni. Les trois quarts travaillent à de la recherche et développement.

Le cofondateur Arthur Mensch déclare que Mistral a utilisé « un peu plus de 1 000 » GPU pour entraîner ses systèmes d’IA, et dépensé « quelques dizaines de millions » d’euros pour construire ses modèles.

☕️ Raspberry Pi entre en bourse et augmente son action d’un tiers dès la première matinée

11 juin 2024 à 12:57

L’entreprise à la framboise a annoncé sur son blog son entrée officielle à la bourse de Londres en tant que « Raspberry Pi Holdings plc ».

Pour l’entreprise, « c’est un moment décisif pour Raspberry Pi et le début d’une nouvelle phase de notre évolution : l’accès au marché public nous permettra de construire plus de produits que vous aimez, plus rapidement ».

TechCrunch se demande « qui aurait cru que Raspberry Pi, le fabricant d’ordinateurs monocartes bon marché, deviendrait une société cotée en bourse ? ».

Et pourtant, avec une valeur de 2,8 livres sterling à l’ouverture de la bourse ce matin, le titre de Raspberry Pi a rapidement augmenté d’un tiers, faisant passer la valeur de l’entreprise au-dessus des 542 millions de livres (soit 643 millions d’euros) en milieu de journée.

Si on connait les Raspberry Pi comme les nano-ordinateurs qu’on peut bricoler chez soi facilement, l’entreprise rappelle que cette part représente 28 % des ventes en 2023 alors que celle côté « industriel et embarqué » est de 72 %.

Apple Intelligence : une cascade de fonctions, une disponibilité très limitée

11 juin 2024 à 12:44
L'intelligence, ce sera plus tard
Apple intelligence par Flock

Apple a fini par présenter ses fonctions alimentées par l’IA. La société rattrape la concurrence sur les capacités, avec une intégration poussée. Cependant, la disponibilité est limitée et lointaine, surtout hors Etats-Unis. Certains aspects du fonctionnement restent flous.

Apple Intelligence : c’est désormais le nom officiel pour toutes les fonctions liées à l’IA chez Apple. La firme se permet d’ailleurs de jouer sur les mots, l’appellation pouvant être abrégée « AI ».

La présentation a consisté en un vaste listing de capacités, pour la plupart toutes déjà vues chez un concurrent ou un autre. La vision d’Apple dans le domaine passe par une intégration forte dans ses plateformes, un Siri nettement plus intelligent et – forcément – une protection de la vie privée mise au premier plan. Tout du moins pour les personnes qui y auront droit. Comme on le verra, la disponibilité sera très limitée dans un premier temps.

Si Apple n’a pour l’instant rien de vraiment nouveau à proposer, elle affiche une ligne de départ cohérente. Mais les détails manquent, notamment ce qui est calculé localement et sur le cloud. L’ensemble a du potentiel, mais il lui manque l’essentiel : la disponibilité et des informations concrètes.

Réécriture, génération d’images, d’emojis : avalanche de fonctions

Si la présentation des nouveautés des plateformes (sur lesquelles nous reviendrons plus tard) a avancé à marche forcée, Apple a pris un peu plus son temps pour ses fonctions IA.

On trouve déjà tout ce qui touche au rédactionnel. Rewrite peut ainsi reformuler en fonction du contexte (ou au choix). La fonction sera disponible partout et proposera plusieurs variations d’un texte, selon l’objectif recherché. Proofread vérifiera de manière plus poussée de la grammaire et la structure syntaxique. Les suggestions seront expliquées.

Summarize sera chargée, comme son nom l’indique, de résumer les informations. La fonction sera intégrée à toutes les applications Apple, mais pourra être appelée depuis un clic droit sur une sélection de texte. Selon le contexte et les instructions de l’utilisateur, elle génèrera un condensé des informations considérées comme les plus importantes, une liste de points-clés ou encore un tableau.

La génération d’images a fait, elle aussi, l’objet d’une présentation approfondie. On la trouve dans une application dédiée, Image Playground, mais la fonction peut aussi être appelée depuis les applications Apple. La capacité sera offerte aux applications tierces via une API.

La génération peut se faire dans trois styles – Animation, Illustration et Sketch – selon des requêtes bien sûr réalisées en langage naturel. Image Playground propose une « myriade de concepts provenant de catégories telles que thèmes, costumes, accessoires et lieux ». Les créations peuvent ensuite être affinées. Selon le contexte, l’utilisateur se verra offrir des suggestions d’illustrations. Dans Notes, les ébauches réalisées au stylet pourront également être retravaillées via Image Playground.

La génération d’images s’étend aussi aux émojis, une fonction nommée Genmoji. On pourra créer ces émojis personnalisés depuis soi-même ou un contact et en demander des variations. Ils seront envoyés en tant qu’émojis dans des messages ou sous forme d’autocollants. Pas un mot en revanche sur la compatibilité avec d’autres appareils.

Organiser, ranger, prioriser


Vous devez être abonné•e pour lire la suite de cet article.
Déjà abonné•e ? Générez une clé RSS dans votre profil.

Intelligence artificielle : la CNIL veut (re)concilier « innovation et respect des droits »

11 juin 2024 à 09:08
À grands coups de dollars ?
Illustration de Flock représentant les 3 singes sous pression pour signer un NDA poussé par une IA

Dans son travail au long cours sur l’intelligence artificielle (générative), la CNIL vient de mettre en consultation sept nouvelles recommandations. Il y est question de base légale, d’information aux personnes, de sécurité… Un questionnaire sur l’application du RGPD aux modèles d’IA est aussi de la partie.

En mai de l’année dernière, la CNIL dévoilait son plan d’action « pour un déploiement de systèmes d’IA respectueux de la vie privée des individus ». Il s’agissait alors de répondre au lancement récent des IA génératives, ChatGPT en tête de liste.

Des fiches en avril, sept de plus en juin

En avril, la Commission nationale de l’informatique et des libertés publiait ses premières recommandations sur le développement des systèmes d’intelligence artificielle (SIA). Elles arrivaient après des rencontres avec des acteurs publics et privés, ainsi qu’une consultation publique de deux mois. Elles « permettent d’apporter des réponses concrètes, illustrées d’exemples, aux enjeux juridiques et techniques liés à l’application du RGPD à l’IA ».

Ainsi, il était notamment question de déterminer le régime juridique applicable, de définir une finalité et une base légale, d’effectuer des tests et des vérifications en cas de réutilisation des données, de tenir compte de la protection des données, etc. Sept fiches pratiques ont ainsi été mises en ligne il y a quelques semaines.

Comme prévu, une « nouvelle consultation publique sur le développement des systèmes d’IA » vient d’être lancée. Elle porte sur une seconde série de sept fiches pratiques. Elle est ouverte aux commentaires jusqu’au 1er septembre 2024. Le but : « aider les professionnels à concilier innovation et respect des droits des personnes »

On ne va pas détailler l’ensemble des documents, surtout qu’ils portent bien leur nom pour comprendre de quoi il en retourne. Nous allons simplement nous attarder sur certains points.

Légitimité, nécessité et open source

Dans la première fiche, la CNIL rappelle que le recours à l’intérêt légitime est soumis à plusieurs conditions. On y retrouve notamment le fait que le traitement envisagé est « justifié par la condition de nécessité ». De plus, il ne doit « pas porter une atteinte disproportionnée aux droits et intérêts des personnes ». Des précisions sont apportées sur les notions de légitimité et de nécessité.

Sur la question des modèles open source, la Commission rappelle qu’on manque « d’une définition communément admise pour la diffusion d’un modèle d’IA en source ouverte ». On en parlait très récemment avec une analyse d’une quarantaine de modèles d’IA générative se prétendant « open ».

Si la publication des paramètres semble être « une condition minimale » pour la CNIL, d’autres points sont à éclaircir. Elle revient particulièrement sur la transparence du développement (documentation, code, données), le résultat (fiche descriptive, poids) et l’accès au modèle (bibliothèque, API, licence…).

Information aux personnes, sécurité

Sur l’information aux personnes, la CNIL rappelle que « les organismes qui traitent des données personnelles pour développer des modèles ou des systèmes d’IA doivent informer les personnes concernées ». Quelle que soit la méthode de collecte – directe ou indirecte –, l’organisme doit préciser son identité, la finalité et la base légale du traitement, les éventuels destinataires, la durée de conservation et enfin les droits (notamment d’introduire une réclamation) des personnes concernées.

Dans la dernière fiche, il est rappelé que « la sécurité des systèmes d’IA est un enjeu trop souvent mis au second plan par leurs concepteurs », alors que c’est une obligation prévue par l’article 32 du RGPD. Des mesures de sécurité sont détaillées dans le document.

RGPD vs IA

La CNIL rappelle – à juste titre – que les modèles d’IA « peuvent mémoriser une partie des données utilisées pour leur apprentissage. Différentes manipulations peuvent ensuite permettre de les extraire ». Cela soulève des questions quand on pense aux données personnelles.

Les modèles d’IA pourraient en effet « entrer dans le champ d’application du RGPD, y compris lorsque les risques pour les personnes sont limités ». D’autant qu’il « n’est pas toujours possible d’anonymiser les données d’entraînement, notamment dans le cas de certaines données non structurées ».

Dans sa remise en contexte de la problématique, la CNIL explique qu’il « ne semble pas possible de considérer que tous les modèles d’IA entrainés à partir de données personnelles sont par nature des objets anonymes ». Trois grands types de menaces sont mis en avant : régurgitation des données d’entraînement, inversion du modèle (attaque par reconstruction) et inférence d’appartenance.

Le questionnaire porte sur différents aspects : les risques de réidentification, les techniques permettant d’analyser les risques de régurgitation et d’extraction de données personnelles, l’application du RGPD et la responsabilité des acteurs.

La CNIL indique enfin que « les contributions seront analysées à l’issue de la consultation publique pour permettre la publication des recommandations définitives, sur le site web de la CNIL, courant 2024 ». D’autres publications sur l’IA sont prévues cette année, sans plus de détails.

☕️ Tesla : d’importants actionnaires contre les 56 milliards de dollars pour Elon Musk

11 juin 2024 à 08:07

Le conseil d’administration de Tesla doit se prononcer sur un plan de rémunération pour son CEO jeudi 13 juin, mais d’importants actionnaires, comme le fonds souverain de la Norvège, se sont prononcés contre.

Elon Musk tient à sa rémunération de 56 milliards de dollars en tant que CEO de Tesla. Fin janvier, celui-ci a vu cette rémunération remise en question par la justice du Delaware qui a donné raison (pdf de la décision) à un actionnaire qui demandait l’annulation du plan décidé en 2018.

En conséquence, Elon Musk demande à son conseil de voter de nouveau une rémunération du même montant ainsi qu’un déménagement du siège de l’entreprise du Delaware vers le Texas. Selon The Verge, il aurait envoyé une lettre aux actionnaires « lourde de sous-entendus » sur le fait qu’il pourrait quitter Tesla si cette rémunération n’était pas acceptée.

Si Ron Baron, un des actionnaires importants de l’entreprise, s’est prononcé en sa faveur, d’autres, comme le fonds souverain de Norvège, mais aussi Christopher Ailman, responsable du fonds de pensions des enseignants de l’État de Californie, s’y opposent.

Le fonds souverain de Norvège, le plus important au monde avec près de 1 500 milliards d’euros de capitaux et 0,98 % des actions (et donc des voix) de Tesla, s’est aussi prononcé pour l’adoption d’une politique de liberté d’association et de négociation collective dans l’entreprise, « une victoire pour les syndicats qui cherchent à affirmer leur influence sur le constructeur automobile américain », juge CNBC.

Piratage Shadow et tentatives de phishing : les « red flags » du faux email

11 juin 2024 à 07:00
Y’a des indices, et des gros

Lors d’une fuite de données personnelles (noms, prénoms, adresses email), le risque est de voir débarquer des campagnes de phishing. But de l’opération : récupérer d’autres données et/ou informations bancaires. Nous avons un cas pratique avec Shadow. On en profite pour vous donner les clés afin de voir rapidement que c’était une arnaque. Pensez-y la prochaine fois.

En octobre, Shadow informait ses clients d’un piratage et d’une fuite de leurs données personnelles. Le pirate avait utilisé une attaque de type ingénierie sociale sur un des employés de l’entreprise. Il avait ainsi pu récupérer et exploiter un cookie pour se connecter à une interface de gestion. C’est de là qu’il a siphonné des données personnelles des utilisateurs.

Shadow avait communiqué ouvertement sur l’exploitation de cette faille, expliquant donc les tenants et les aboutissants. Un bon point, qui a permis de rappeler l’importance d’être prudent face aux messages de personnes que l’on ne connait pas. Comme nous l’expliquions alors, le principal risque était une attaque par phishing, avec des pirates se faisant passer pour Shadow.

Fuite en septembre, phishing en juin

Cela aura pris du temps, mais c’est finalement arrivé. Vendredi, vous avez été plusieurs à recevoir un email annonçant « Shadow se lance dans la Blockchain », et à le signaler sur les réseaux sociaux. Le mail est relativement « propre » et crédible au premier abord, reprenant dans l’ensemble la présentation des communications officielles de la société. Mais un coup d’œil rapide permet de repérer la supercherie.

Sans être parfait, loin de là, l’email peut être suffisant pour tromper certains. D’ailleurs, plusieurs clients se sont posés des questions sur cette « communication ». Shadow est rapidement sorti du bois pour expliquer que ce n’est pas une communication officielle. « Ne cliquez pas sur les liens et ne fournissez aucune information personnelle », ajoute l’entreprise.

C’est d’ailleurs un bon réflexe que d’aller voir si l’entreprise communique sur les réseaux sociaux ou sur son site (section actualité, blog, presse…). On en profite pour une rapide analyse des principaux « red flags » qui permettent d’identifier le faux. Comme c’est maintenant souvent le cas, il n’y a pas de grosses fautes évidentes de français dans le texte.

Red Flag #1 : Shadow et crypto (même si ça rime)

Le message est alléchant : « récupérer votre token gratuit grâce à notre airdrop exclusif ». Coinbase rappelle qu’un airdrop crypto est une vraie « stratégie utilisée par les startups blockchain pour distribuer des tokens ou des pièces à des adresses de portefeuille spécifiques ».

Bon, déjà, Shadow fait du cloud gaming, pas de la crypto. Premier « red flag » facile à identifier avant de cliquer sur n’importe quel lien. Rien n’interdit à l’entreprise de se lancer dans le « web3 », mais rien ne le laissait non plus présager. Cela demande au minimum des vérifications.

Red Flag #2 l’URL

Ensuite, toujours sans cliquer évidemment, on regarde l’URL de destination du lien pour « récupérer » le prétendu airdrop : shadow-redirect.tech. La méthode dépend du navigateur et de la messagerie, mais passer au-dessus du lien sans cliquer permet généralement de voir l’URL.

Deuxième « red flag » donc, relativement facile à identifier. D’autant plus que l’adresse est en clair, et ne passe même pas par un raccourcisseur d’URL ou des redirections. Ce n’est pas toujours le cas et des redirections peuvent cacher la destination finale. Dans le doute, un passage par WhereGoes permet de voir l’adresse finale.

Les pirates l’ont joué fin, avec un nom de domaine assez proche de celui officiel de l’entreprise : shadow.tech. Ils ont simplement ajouté un « -redirect » dans l’URL, ce qui en fait un nouveau nom de domaine. On a tenté l’expérience pour vous : le site des pirates ne répond plus.

Red Flag #3 : l’expéditeur

Il y avait un troisième red flag simple à identifier : l’expéditeur avec « Shadow@myhpal.fr ». Un nom de domaine qui n’a aucun rapport avec Shadow, qui utilise normalement no-reply@shadow.tech pour ses communications. Logique puisque c’est le nom de domaine correspondant à son site.

Signalons enfin, de nouveau sur X, un message de Hyg_0x : « j’ai tenté de vous alerter que la BDD qui vous a était volé en septembre 2023 a été mise en vente il y a quelques semaines ce qui aurait pu être anticipé mais visiblement ça n’a pas été pris au sérieux ». Le message en question date de mi-mai.

Des indicateurs, mais pas une science exacte

Attention, ces red flags ne sont ni suffisants ni nécessaires. De vrais emails peuvent renvoyer vers un autre nom de domaine ou provenir d’une agence de presse, et donc ne pas correspondre au service. À contrario, il est possible de modifier les en-têtes et l’expéditeur pour faire croire à une vraie communication alors que ce n’est pas le cas.

Même chose pour les liens et les pièces jointes. Un lien peut laisser penser qu’il renvoie vers next.ink, sans pour autant envoyer vers le meilleur site du monde. Il y a également le cas des caractères proches, comme un I (i majuscule), un l (L minuscule) et un | (barre verticale).

Même chose pour les pièces jointes : un « fichier jpg » peut cacher bien plus qu’une image (ou toute autre chose), idem pour un document de travail… et on ne parle même pas des archives et des fichiers exécutables.

Que ce soit sur les réseaux sociaux, les messageries et n’importe quel canal de communication, soyez prudents et réfléchissez avant d’agir, cela permet généralement d’éviter les problèmes ou a minima de limiter fortement les dégâts.

☕️ Atos préfère l’offre du consortium Onepoint à celle de Daniel Kretinsky

11 juin 2024 à 06:44
Des billets de cinquante euros.

Le conseil d’administration du groupe Atos a annoncé mardi avoir fait son choix.

Lourdement endettée, l’entreprise avait reçu deux offres de reprises, une de l’homme d’affaires tchèque Daniel Kretinsky, à la tête d’EPEI, l’autre par un consortium menée par OnePoint, son principal actionnaire.

Le conseil d’administration a déclaré cette dernière « mieux orientée en matière d’intérêt social de la société ».

Elle bénéficie par ailleurs « du soutien d’un grand nombre de créanciers financiers d’Atos », ce qui doit lui assurer « avec plus de certitude la conclusion d’un accord définitif de restructuration financière ».

Pilier technologique des Jeux olympiques, Atos avait annoncé avoir besoin d’1,1 milliard d’euros de liquidité pour son activité 2024-2025 et chercher à réduire de 3,2 milliards d’euros une dette brute proche des 5 milliards.

L’offre de Onepoint et de ses alliés prévoit un effacement de la dette à hauteur de 2,9 milliards d’euros, à convertir en fonds propres.

Sous réserve de derniers ajustements, elle devrait être assortie de l’apport d’1,5 milliard d’euros sous forme de dette, et d’une augmentation de capital de 250 millions d’euros, au terme de laquelle le consortium détiendrait 21 % des parts du groupe et les obligataires, 9 %.

Hier — 10 juin 2024Next.ink

Législatives 2024 : le décret est en ligne, avec les modalités et détails de l’élection

10 juin 2024 à 19:17
Dimanche, allez voter !

Hier, la soirée était chargée avec le résultat des élections européennes – dominées par le Rassemblement national (RN) avec 31,37 % des voix (les résultats au niveau européen se trouvent par ici) – et l’annonce dans la foulée de la dissolution de l’Assemblée nationale. Un pouvoir dont dispose le président de la République.

Il n’avait pas été utilisé depuis 1997, lorsque Jacques Chirac avait dissous l’Assemblée nationale. Cela avait abouti à une cohabitation, avec Lionel Jospin comme Premier ministre. C’est maintenant l’enjeu de ces élections législatives : élire les députés, puis par ricochet désigner le Premier ministre. Il est nommé par le président, mais doit appartenir au groupe majoritaire.

Tout d’abord, un rappel sur les délais. L’article 12 de la Constitution stipule que, après une dissolution, « les élections générales ont lieu vingt jours au moins et quarante jours au plus après la dissolution ». On est donc dans la fourchette basse, mais dans la fourchette quand même.

Code électoral vs Constitution

Sur X, Jean-Jacques Urvoas (ex-garde des Sceaux et professeur de droit public) expliquait dimanche soir que les dates choisies étaient « curieuses ». Il citait le Code électoral qui explique que les déclarations de candidatures doivent être déposées « à la préfecture au plus tard à 18 heures le quatrième vendredi précédant le jour du scrutin ».

Un délai qui repousserait le premier tour au 7 juillet, alors qu’il est programmé pour le 30 juin. Très tôt lundi matin, il ajoutait que, « après recherche l’art. 12 de la Constitution écrase l’art L157 comme l’a jugé le Conseil Constitutionnel décision no 88-5 ELEC du 4 juin 1988 ».

« C’est donc le décret de convocation des électeurs qui règlera la question du délai de dépôt des candidatures pour les prochaines législatives », décret qui est désormais en ligne (n° 2024-527 du 9 juin) et apporte quelques précisions sur le déroulement des faits.

Le décret fixe les détails

On commence par un rappel du calendrier : « Les électeurs sont convoqués le dimanche 30 juin 2024 » et, « par dérogation aux dispositions de l’alinéa précédent, les électeurs sont convoqués le samedi 29 juin 2024 à Saint-Pierre-et-Miquelon, à Saint-Barthélemy, à Saint-Martin, en Guadeloupe, en Martinique, en Guyane, en Polynésie française et dans les bureaux de vote ouverts par les ambassades et postes consulaires situés sur le continent américain ». Le second tour se déroulera le 7 juillet, ou le 6 juillet pour les dérogations.

Il est précisé que « les déclarations de candidatures seront reçues par le représentant de l’État à partir du mercredi 12 et jusqu’au dimanche 16 juin 2024 à 18 heures (heure légale locale) ». Pour le second tour, les déclarations seront à déposer à partir de la publication des résultats et jusqu’au mardi 2 juillet 2024 à 18h. La campagne électorale débutera dans la foulée, soit à partir du « lundi 17 juin 2024 à zéro heure ».

Pas d’inscription sur les listes, vote électronique

Le décret ne permet par contre pas de s’inscrire sur les listes électorales : « L’élection aura lieu à partir des listes électorales et des listes électorales consulaires extraites du répertoire électoral unique et à jour des tableaux prévus aux articles R. 13 et R.14 du Code électoral telles qu’arrêtées à la date du présent décret ». Une exception : « Toutefois, en Nouvelle-Calédonie, l’élection aura lieu à partir des listes électorales arrêtées le 29 février 2024 ».

Vous pouvez vérifier votre situation électorale sur cette page. Pour une procuration, c’est par là que ça se passe.

L’Article 10 précise que « le vote par voie électronique pour l’élection des députés des Français établis hors de France est ouvert le mardi précédant la date du scrutin, à 12 heures, et clos le jeudi précédant le scrutin, à 12 heures ».

L’Arcom commence son décompte demain matin

De son côté, l’Arcom explique que, « compte tenu de la brièveté de cette campagne, [l’autorité] appelle les éditeurs à une particulière vigilance quant au respect des règles en vigueur ». Elle leur demande de commencer les décomptes liés à l’élection à compter de ce mardi 11 juin 2024, dès 6h.

« Le principe de l’équité s’applique pendant toute la période précédant le scrutin. Afin de corriger d’éventuels déséquilibres des temps de parole dans les délais impartis, les médias audiovisuels devront transmettre les relevés à l’Arcom deux fois par semaine à compter du 17 juin 2024 pour ce qui concerne le premier tour », précise enfin l’Autorité.

Adobe assure que ses modèles d’IA Firefly Gen ne sont pas entrainés sur des données utilisateurs

10 juin 2024 à 15:48
Ia pas d'entrainement
des nuages de données s'échappent des cheminées de petites maisons dessinées en rang d'oignon

L’éditeur de Photoshop et de Lightroom a changé ses conditions d’utilisation en février dernier. Mais des utilisateurs anglophones ont repéré dans ce texte qu’Adobe leur demandait d’accepter l’utilisation de « méthodes automatiques » pour « accéder, voir et écouter » leurs contenus. Après plusieurs messages massivement diffusés sur les réseaux sociaux, l’entreprise dément utiliser les données de ses utilisateurs pour entrainer ses modèles d’IA.

Adobe a changé ses conditions d’utilisation en février dernier en modifiant notamment la sous-section « Notre accès à votre Contenu » de la partie concernant la « Confidentialité ». Comme souvent maintenant, l’entreprise conditionne l’utilisation de ses services à l’acceptation des nouvelles conditions.

Si, jusque-là, celles-ci n’avaient pas fait réagir, la semaine dernière, des internautes anglophones et hispanophones ont tiqué sur plusieurs phrases. Ils interprétaient ces modifications comme le fait qu’Adobe se donnait la possibilité d’entrainer ses IA sur leurs contenus, et notamment ceux stockés dans « Creative Cloud » et « Document Cloud ».

So am I reading this, right? @Adobe @Photoshop

I can't use Photoshop unless I'm okay with you having full access to anything I create with it, INCLUDING NDA work? pic.twitter.com/ZYbnFCMlkE

— Sam Santala (@SamSantala) June 5, 2024

I just got an update on @Adobe terms of service saying they'll have irestric acess to eveything I use, upload or download with their services for Machine Learning;

This means every copywrighted material I have in my possession is being used by Adobe AI Model pic.twitter.com/DHk4wk755Q

— thiagocrocha.bsky.social (@Thiagocrocha_) June 4, 2024

Il faut dire qu’Adobe a injecté beaucoup d’IA dans ses outils ces derniers temps en lançant officiellement Firefly.

Comme de nombreux outils actuellement, Firefly utilise l’IA générative. Elle permet, par exemple, d’ajouter des objets dans une image avec un simple prompt ou d’étendre une image en générant une continuité hors cadre original.

Méfiance et tournure confuse

Mais pour tout ça, il faut bien entrainer les IA avec une base de données massives. Et quoi de plus simple et de plus efficace que d'utiliser les données directement disponibles sur le Cloud d'Adobe ? Des utilisateurs suspicieux ont donc eu peur que la modification des conditions d'utilisation intervenue en février dernier le permette à l'entreprise, et ils ont été relayés par plusieurs médias comme The Register ou Venture Beat. D'autant que le texte modifié en anglais n'est pas des plus clairs : « nous pouvons accéder, visualiser ou écouter votre contenu (défini dans la section 4.1 (Contenu) ci-dessous) par des méthodes automatisées et manuelles, mais uniquement de manière limitée et dans les limites autorisées par la loi » explique-t-il. Et dans la même sous-section, Adobe ajoute « nos systèmes automatisés peuvent analyser votre Contenu et les Polices Client Creative Cloud (définies dans la section 3.10 (Polices Client Creative Cloud) ci-dessous) à l'aide de techniques telles que le machine learning afin d'améliorer nos Services et nos Logiciels ainsi que l'expérience utilisateur. Des informations sur la manière dont Adobe utilise l'apprentissage automatique sont disponibles ici ». La mention du machine learning dans la section de l'accès aux contenus des utilisateurs peut effectivement faire penser qu'Adobe se donne la permission d'utiliser les images créées par ses utilisateurs pour entrainer ses IA. Mais la section 4.1 à laquelle fait référence le texte modifié plus haut évoque plutôt le fait de vérifier que les contenus respectent bien les conditions d'utilisation justement :
« Nous ne révisons pas l’ensemble du Contenu chargé sur les Services et dans les Logiciels, mais nous pouvons utiliser des technologies, des fournisseurs, ou des processus disponibles, y compris manuellement, pour filtrer certains types de contenus non autorisés (pédosexuels, par exemple) ou tout autre contenu ou comportement délictueux (des activités révélant un pourriel ou un hameçonnage, ou des mots-clés indiquant que du contenu réservé aux adultes a été publié en dehors du mur de protection contre le contenu pour adultes) ».

Clarifions

Adobe a dû publier un billet de blog pour « clarifier » sa « clarification » de ses conditions d'utilisation : « pour être clair, Adobe exige une licence limitée pour accéder au contenu uniquement dans le but d'exploiter ou d'améliorer les services et les logiciels et pour faire respecter nos conditions et se conformer à la loi, par exemple pour se protéger contre les contenus abusifs ». L'entreprise ajoute qu' « Adobe n'entraine pas les modèles d'IA Firefly Gen sur le contenu des clients » et qu'elle « ne s'appropriera jamais le travail d'un client ». Elle publie aussi la différence entre les anciennes et nouvelles conditions d'utilisation pour montrer sa bonne foi, que l'on peut aller vérifier via la fonction diff proposée par archive.org :
Il serait pertinent qu'au-delà de ce billet, Adobe change ses conditions d'utilisation pour ajouter ce genre de phrases et rassurer ses utilisateurs. Cela dit, dans la version française de ces conditions d'utilisation, Adobe utilise une tournure un peu plus claire : « nous ne pourrons accéder à votre Contenu (défini à l’article 4.1 (Contenu) ci-dessous), le regarder ou l’écouter par le biais de processus automatisés et manuels que de manière restreinte et uniquement dans les limites autorisées par la loi ».

Une faille critique dans PHP pour les serveurs Windows

10 juin 2024 à 15:29
Pas d’échappement, pas de pot
Vitrée brisée

Une importante faille de sécurité a été découverte dans plusieurs versions de PHP sous Windows, où l’exploitation est jugée triviale. Les personnes ayant installé un serveur avec XAMPP sont encouragées à modifier leur configuration, aucune nouvelle version n’étant pour l’instant disponible.

La vulnérabilité, estampillée CVE-2024-4577, affecte toutes les versions de PHP fonctionnant sur Windows. Elle concerne les versions 8.3 avant 8.3.8, 8.2 avant 8.2.20 et 8.1 avant 8.1.29. Toutes les moutures du langage sont touchées, y compris les plus anciennes. Les branches 8.0, 7 et 5 sont ainsi impactées, mais ne sont plus entretenues.

La faille a été découverte par Orange Tsai, chercheur en sécurité chez DevCore. Elle réside dans la conjonction d’un problème de vérification dans PHP et du fonctionnement d’un mécanisme de Windows, nommé best-fit. Ce dernier est responsable de la conversion du codage des caractères.

Pour un simple trait d’union invisible

Pour comprendre le fonctionnement de la faille, expliquons d’abord le concept d’échappement. Ce processus permet de convertir une partie des entrées utilisateur pour en retirer tout ce qui pourrait être interprété de travers. Cas classique, les symboles < et >, convertis dans leur équivalent en hexadécimal, afin de ne pas créer par inadvertance des balises web, selon l’utilisation.

Dans le cas de Best Fit, certains caractères ne sont pas échappés. Le trait d’union conditionnel (ou virtuel) est ainsi cité. Il s’agit d’un caractère invisible servant à indiquer où un mot a le droit d’être coupé pour créer un trait d’union. C’est ce type de caractère que l’on trouve parfois dans des noms de domaines pour afficher un nom paraissant légitime, mais renvoyant vers un faux site. Best Fit modifie notamment la valeur du trait d’union conditionnel (0xAD) en trait d’union classique (0x2D).

Pour le mode CGI uniquement

PHP peut fonctionner dans plusieurs modes. Seul le mode CGI est concerné par la faille, alors même qu’il a été conçu pour la sécurité, l’interprétation du code se faisant dans un processus distinct.

« Il s’avère que, dans le cadre du traitement d’Unicode, PHP applique ce que l’on appelle une correspondance « best fit », et suppose que, lorsque l’utilisateur a saisi un trait d’union virtuel, il avait en fait l’intention de saisir un véritable trait d’union, et l’interprète en tant que tel. C’est là que réside notre vulnérabilité. Si nous fournissons à un gestionnaire CGI un trait d’union virtuel (0xAD), le gestionnaire CGI ne ressentira pas le besoin de l’échapper, et le transmettra à PHP », pointent les chercheurs de WatchTowr.

Vous devinez la suite : PHP va l’interpréter comme un vrai trait d’union. Un changement simple en apparence, mais déterminant, le trait d’union servant à introduire des arguments dans les commandes.

Les chercheurs soulignent que le mécanisme est « remarquablement similaire » à une vieille faille de PHP en 2012. L’équipe de développement ne semble pas avoir pensé à Best Fit sous Windows, permettant de reprendre les codes d’exploitation d’il y a 12 ans et d’y apporter quelques modifications pour les faire fonctionner. Il s’agit d’une attaque par injection d’arguments, comme en 2012.

Une faille critique, avec quelques conditions

La faille est critique, dans le sens où une installation vulnérable peut être utilisée pour déclencher une exécution de code arbitraire à distance, sans intervention de l’utilisateur. En pratique, il faut quand même que quelques conditions soient réunies.

Par défaut, PHP n’est pas installé sur Windows. Pour qu’il le soit, il faut avoir installé un serveur, comme XAMPP, cité par les chercheurs. Il faut en outre que PHP fonctionne en mode CGI, un usage devenu minoritaire (largement remplacé par FastCGI). Mais attention, exposer le binaire PHP (php.exe ou php-cgi.exe) dans un dossier accessible au serveur web permet aussi l’exploitation de la faille. C’est malheureusement la configuration par défaut de XAMPP, qui n’est plus mis à jour depuis plus d’un an.

Les chercheurs ont par ailleurs attesté l’exploitation de la faille – tout en donnant la méthode – sur les versions chinoises (traditionnel et simplifié) et japonaise de Windows. Ils disent ne pas savoir si l’exploitation peut se faire sur d’autres variantes linguistiques. Ils ajoutent avoir été confrontés à une trop grande variation des configurations, d’autant qu’il n’est pas simple, depuis l’extérieur, de savoir dans quelle langue un système est configuré.

Toutes les personnes ayant un serveur PHP sont invitées à vérifier sa configuration et à installer la version la plus récente de PHP.

Les pirates sont vite partis à l’assaut

Révélée vendredi avec de nombreuses précisions par DevCore, la faille a rapidement fait l’objet d’une recherche active de victimes. C’est ce qu’a indiqué la Shadowserver Foundation dès vendredi après-midi.

L’exploitation est simple à réaliser et les pirates peuvent tabler sur l’installation par défaut de XAMPP (qui n’est pas censé être utilisé en production, s’agissant avant tout d’un environnement de test) pour exposer les binaires PHP. La situation pour les systèmes Windows dans d’autres langues que celles testées par DevCore n’est pas claire, mais rien ne s’oppose – en théorie – à une exploitation sur tout type de configuration.

☕️ IA, iOS 18, macOS 15 : la WWDC 2024 d’Apple débute à 19h

10 juin 2024 à 14:40
Apple WWDC 2024

C’est donc ce soir qu’Apple présentera ses nouveautés sur la partie logicielle. Il sera question des nouvelles versions des systèmes d’exploitation pour les smartphones (iOS), les tablettes (iPadOS) et les ordinateurs (macOS). Sauf surprise de dernière minute, ce seront respectivement les versions iOS et iPadOS 18, ainsi que MacOS 15.

Apple devrait aussi se lancer pleinement dans l’intelligence artificielle, avec du retard sur ses camarades et concurrents. L’entreprise livre généralement des produits finis et bien intégrés (parfois, c’est loupé, le lancement de Plans peut en témoigner), les annonces du jour seront donc à surveiller de près.

Des rumeurs insistantes font état d’un nouveau gestionnaire de mot de passe, d’une nouvelle version « 2.0 » de Siri, etc. Dernières suppositions en date, un mode sombre pour les icônes des applications et la possibilité de passer par Face ID pour valider le lancement d’une application.

Il arrive aussi parfois que des annonces sur le matériel soient faites, notamment avec la puce M2 et un nouveau MacBook Air en 2022, ainsi que le casque de réalité mixte Vision Pro en 2023. Réponses dans quelques heures à peine.

La conférence est à suivre sur Apple TV, sur le site d’Apple ou sur YouTube.

Décrédibilisation du soutien à l’Ukraine et des JO : comment la campagne Matriochka sème le doute en ligne

10 juin 2024 à 13:00
Poupées russes

En ligne, la campagne de désinformation Matriochka sévit depuis près d’un an, usurpant l’identité de médias et d’institutions et détournant l’attention des fact-checkeurs. En France, elle a notamment diffusé des contenus de décrédibilisation du soutien à l’Ukraine et l’idée que les Jeux Olympiques et paralympiques 2024 seront un échec.

Depuis fin 2023, une campagne malveillante touche l’espace public numérique francophone et mondial. Surnommée « Matriochka » (c’est-à-dire poupées gigognes) par le collectif « antibot4navalny », la campagne vise avant tout les médias, équipes de fact-checkeurs en tête, dans une logique de diversion.

Le principe : commencer par déverser des contenus de désinformation anti-ukrainienne, qui usurpent généralement l’identité de personnalités nord-américaines ou européennes ou se font passer pour des médias de ces mêmes régions. Ensuite, appeler les médias occidentaux à vérifier la véracité de certaines d’entre elles.

Auprès de l’Agence France-Presse, le mathématicien et directeur de recherche au CNRS David Chavalarias estimait début 2024 qu’il s’agissait d’une « entreprise de diversion » qui occupent les journalistes sur des sujets difficiles à vérifier. Il pouvait aussi s’agir, selon lui, d’une manière d’amplifier la portée de cette désinformation par l’intermédiaire de la diffusion de fact-checks.

Dans un rapport publié ce 10 juin, le service de vigilance et de protection contre les ingérences numériques étrangères de l’État Viginum estime que « l’objectif de cette campagne est probablement de décrédibiliser les médias, personnalités et cellules de fact-checking ciblés tout en promouvant des contenus servant les intérêts russes ».

Elle considère que « les critères d’une ingérence numérique étrangère apparaissent réunis » et alerte sur la probabilité que le mode opératoire de cette campagne évolue « durant les mois à venir pour améliorer la furtivité de ses procédés, piéger un plus grand nombre de cibles, ou atteindre une audience plus large ».

« Seeders » anti-Ukraine et anti-JO


Vous devez être abonné•e pour lire la suite de cet article.
Déjà abonné•e ? Générez une clé RSS dans votre profil.

☕️ Meta déploie ses Communautés dans Messenger

10 juin 2024 à 10:22

La fonction existe dans WhatsApp depuis deux ans. Elle permet de fédérer de grands groupes de personnes autour de thématiques communes, comme les résidents d’un quartier, les parents d’élèves d’une école, etc.

Cette fois, Meta déploie la fonction sur Messenger, signale TechCrunch. Mais là où WhatsApp réclamait le numéro de téléphone, Messenger fonctionne sur la base des amis (et amis d’amis) sur Facebook. En outre, les invitations sont émises sous forme de liens partageables.

Jusqu’à 5 000 personnes peuvent rejoindre une communauté sur Messenger. Chacune est munie d’un accueil présentant l’espace de conversation. Les administrateurs du groupe peuvent également y placer des publications, mises à jour et autres informations.

Une communauté permet le rassemblement de plusieurs groupes de conversations. Les administrateurs doivent garder en mémoire que toute personne acceptée peut voir l’intégralité des échanges qu’elle rejoint. Une fois une communauté créée, il est possible de créer d’autres groupes, en fonction des thématiques spécifiques à aborder.

Copilot+ PC : Qualcomm maitre à bord pour le moment, AMD et Intel sur le banc de touche

10 juin 2024 à 09:19
Y’a-t-il un Copilot dans l’avion ?
Copilot+ PC

Les PC Copilot+ vont arriver dès le 18 juin avec un SoC Qualcomm. Des machines avec des processeurs AMD Strix et Intel Lunar Lake sont également au programme. Microsoft garde toutefois le silence sur la période de lancement. AMD espère fin 2024, Intel ne se prononce pas.

Il y a trois semaines, Microsoft officialisait une nouvelle gamme de produits : les PC Copilot+. Il s’agit de machines orientées intelligence artificielle (comme c’est original) et des fonctions intégrées dans Windows 11.

L’une d’entre elles – Recall – fait couler beaucoup d’encre, et on découvre de nouveaux dangers régulièrement. Microsoft vient d’ailleurs de faire machine arrière.

Mais que faut-il pour appartenir à la gamme Copilot+ et quand pourrons-nous en profiter ? Le sujet n’est pas simple puisque Microsoft n’y répond pas directement.

Microsoft ❤ Qualcomm et vice-versa

L’entreprise s’est entichée de Qualcomm pour ce lancement : « Microsoft associe la série Snapdragon X à la puissance de Copilot+ ». Il en est de même pour les trois variantes de la puce X Elite de chez Qualcomm toujours.

Alex Katouzian, (responsable mobile, compute & XR chez Qualcomm) nous promet au passage monts et merveilles : « capacités d’IA révolutionnaires qui redéfinissent l’expérience informatique personnelle, le tout avec des performances de pointe et une autonomie de plusieurs jours ». À confirmer lors de tests, d’autant que Qualcomm a déjà fait part le passé des promesses dans le monde du portable, sans grand succès jusqu’à présent.

NVIDIA veut sa part du gâteau

Dès l’annonce de Copilot+, on se demandait si des machines avec un autre CPU pourraient être « certifiées » et profiter des nouvelles fonctionnalités. La réponse est arrivée par NVIDIA lors de sa keynote du Computex. On pourrait la résumer par « oui, mais… ».

En parlant des nouveaux ordinateurs portables RTX AI, le fabricant de carte graphique l’affirme sans détours : « Ces PC Windows 11 AI recevront une mise à jour gratuite des expériences Copilot+ PC lorsqu’elle sera disponible ».

Microsoft veut du NPU, mais est-il obligatoire ?

Dans son communiqué, Microsoft explique que les « nouveaux Copilot+ PC reposent sur une architecture repensée qui tire pleinement parti de la puissance conjuguée du CPU, du GPU et désormais du NPU (Neural Processing Unit ou unité de traitement neuronal) ». Cela tombe bien, les machines dont parle NVIDIA seront équipées d’un processeur AMD Strix, avec NPU.

Rappelons que les cartes graphiques font largement mieux que les NPU, et depuis longtemps. Microsoft semble néanmoins bien plus attachée à la présence d’un NPU pour le traitement des données liées à l’intelligence artificielle, qu’à celle d’une carte graphique.

Des PC Copilot+ avec AMD « d’ici fin 2024 » ?

AMD emboite le pas à NVIDIA avec l’annonce de ses Ryzen AI 300 avec NPU intégré. Le Texan affirme que ces nouveaux processeurs « sont prêts pour Copilot+ », et même qu’ils « dépassent les exigences de Copilot+ AI PC ». À The Verge, AMD apporte une précision temporelle, du bout des lèvres : « Nous prévoyons d’avoir des expériences Copilot+ d’ici fin 2024 ».

Au détour d’un graphique, on apprend que, selon AMD, le minimum requis pour les « expériences Copilot+ » est de 40 TOPS. En mai, lors de son annonce, Microsoft expliquait que les machines Copilot+ seraient « capables d’effectuer plus de 40 TOPS », sans préciser que c’était un minimum requis.

Copilot+ PC avec Lunar Lake d’Intel : oui, mais quand ?

Toujours au Computex, c’était ensuite au tour d’Intel de présenter ses processeurs Lunar Lake, avec eux aussi un NPU pour l’IA : « Lunar Lake bénéficiera des expériences Copilot+, comme Recall, via une mise à jour lorsqu’elle sera disponible ». Aucune date n’a été précisée.

Bref, AMD, Intel et NVIDIA se positionnent sur la « marque » Copilot+, mais sans donner aucune indication précise, si ce n’est qu’il faut patienter et que « cela va arriver… ». Il ne faut pas attendre d’éclaircissement de la part de Microsoft, qui n’a pas souhaité répondre à nos questions, pas plus qu’à celles de plusieurs de nos confrères américains.

Microsoft l’affirme : des mises à jour gratuites arrivent

« Les ordinateurs Intel Lunar Lake et AMD Strix sont des PC Windows 11 AI qui répondent à nos exigences matérielles Copilot+ PC. Nous travaillons en étroite collaboration avec Intel et AMD pour offrir des expériences PC Copilot+ via des mises à jour gratuites, lorsqu’elles sont disponibles », se contente d’expliquer James Howell, directeur marketing de Microsoft.

Pourquoi un tel décalage temporel entre les Copilot+ PC avec un SoC Qualcomm et ceux avec un CPU AMD ou Intel ? À défaut d’information fiable, on peut seulement faire des suppositions : contrat d’exclusivité avec Qualcomm, adaptations nécessaires pour l’architecture x86, etc.

Il pourrait s’agir simplement de la mise à jour 24H2 pour Windows 11, prévue pour l’automne. Elle est présente sur les PC Copilot+, mais demande plus de préparation pour le parc x86. Elle était d’ailleurs disponible dans le canal de test Release Preview (le plus stable), mais en a été retirée. Microsoft n’a pas expliqué pourquoi, précisant uniquement qu’elle serait de retour dans quelques semaines.

Quoi qu’il en soit, les premiers Copilot+ PC sont attendus pour le 18 juin, avec un SoC Qualcomm. Il y aura évidemment les nouvelles Surface de Microsoft, mais aussi des machines chez Acer, Asus, Dell, HP, Lenovo et Samsung. D’autres suivront très certainement durant l’été, puis à la rentrée, etc.

☕️ 38 % des pages web de 2013 n’étaient plus accessibles fin 2023

10 juin 2024 à 09:07
illustration de voiture Peugeot 404 error edition

Une étude du Pew Research Center, repérée par Meta-Media, le service de veille numérique de France Télévisions, relève que 38 % des pages web existantes en 2013 ne sont plus accessibles dix ans plus tard, contre 8 % des pages qui existaient en 2023 :

« Un quart des pages web qui ont existé à un moment donné entre 2013 et 2023 ne sont plus accessibles depuis octobre 2023. Dans la plupart des cas, cela est dû au fait qu’une page individuelle a été supprimée ou retirée d’un site web par ailleurs fonctionnel. »

Cette analyse des « liens morts » (« link rot », en anglais), reposant sur un examen des liens apparaissant sur les sites gouvernementaux et les sites d’information, ainsi que dans la section Références des pages Wikipédia au printemps 2023, révèle en outre que :

  • 5 % des liens sur les sites d’actualités n’étaient plus accessibles, et 23 % des pages examinées contenaient au moins un lien brisé ;
  • 11 % de toutes les références liées à Wikipédia ne sont plus accessibles, et 54 % des pages de Wikipedia contenant au moins un lien dans leur section Références pointent vers une page qui n’existe plus ;
  • au moins 14 % des pages gouvernementales, et 21 % des pages web des administrations publiques, contenaient au moins un lien brisé ;
  • 23 % des pages web d’actualités contiennent au moins un lien brisé, de même que 21 % des pages web de sites gouvernementaux ;
  • 25 % de toutes les pages collectées de 2013 à 2023 n’étaient plus accessibles en octobre 2023 : 16 % des pages sont inaccessibles individuellement mais proviennent d’un domaine de niveau racine par ailleurs fonctionnel ; les 9 % restants sont inaccessibles parce que l’ensemble de leur domaine racine n’est plus fonctionnel.

L’examen d’un échantillon d’utilisateurs de Twitter indique par ailleurs que près d’un tweet sur cinq (18 %) n’est plus visible publiquement sur le site quelques mois seulement après avoir été publié. Dans 60 % de ces cas, le compte qui a publié le tweet à l’origine a été rendu privé, suspendu ou entièrement supprimé.

Dans les 40 % restants, le titulaire du compte a supprimé le tweet, mais le compte lui-même existe toujours :

  • 1 % des tweets sont supprimés en moins d’une heure
  • 3 % en l’espace d’un jour
  • 10 % en l’espace d’une semaine
  • 15 % en l’espace d’un mois

Machine arrière : Windows Recall devient opt-in et renforce sa sécurité

10 juin 2024 à 08:32
« Considère ça comme un divorce »

Alors que la polémique enflait sur Recall, jugée intrusive et dangereuse, Microsoft fait machine arrière. Le choix sera clairement donné pendant la configuration de l’ordinateur. La société ajoute en outre des mécanismes de sécurité qui auraient dû être présents dès le départ.

C’est peu dire que la présentation de la fonction Recall (Retrouver) aura fait réagir. Spécifique aux PC Copilot+ et à ses « bonus » IA, elle consiste à prendre régulièrement des captures d’écran. Les images sont analysées, afin qu’une recherche permette de retrouver quand et comment une information a été utilisée. Flock y a même consacré une bande dessinée dont il a le secret.

L’idée partait d’un bon sentiment, avec l’objectif de pouvoir toujours remettre la main sur un site, un document, une discussion ou autre. Cependant, comme nous l’avions signalé, elle permettait un véritable pillage des données personnelles. Dès lors qu’une autre personne pouvait s’installer devant l’ordinateur, elle pouvait récupérer tout l’historique de l’utilisateur sur plusieurs mois.

Le problème est d’autant plus important que le mécanisme agit aussi bien sur les actions personnelles que celles reçues d’autres personnes. Vous discutez sur Signal, WhatsApp, Messenger, Telegram, par email ou sur un site de rencontre ? Recall en garde des traces. Les correspondants ne sont pas prévenus. D’autres ont signalé les ravages que peut entrainer la fonction avec des proches abusifs.

L’activation de Recall se fera par un choix

On s’en doutait devant l’ampleur des critiques : Microsoft a annoncé la bascule sur un modèle « opt in » pour Recall. L’assistant de configuration de Windows 11 pouvant être mis à jour dès la connexion internet établie, une nouvelle version sera disponible pour le lancement des PC Copilot+. On y trouvera un choix clair sur la fonction :

La capture, publiée par Microsoft, montre l’obligation de faire un choix. Nous nous étions justement interrogés sur ce point, car une bonne partie de l’assistant est consacrée à l’activation de fonctions, aucun choix n’étant sélectionné par défaut. Pourquoi Recall n’avait-il pas eu le même traitement ? L’éditeur a fini par aligner Recall sur le reste.

Le nouveau panneau a l’avantage de mieux présenter la fonction. Il explique son intérêt, mentionne que Microsoft n’accède pas aux captures et que l’on peut contrôler ce que Recall analyse.

Plusieurs mesures de sécurité supplémentaire

Outre le contrôle, Microsoft ajoute plusieurs mécanismes pour verrouiller davantage les informations enregistrées par Recall. La fonction ne brillait pas par la protection des informations très sensibles. Elle les stockait dans une simple base SQLite, enregistrée dans un sous-dossier d’AppData. L’expert en cybersécurité Kevin Beaumont avait même montré qu’on pouvait les récupérer assez facilement depuis un autre compte sur le même PC.

On trouve trois ajouts principaux. D’une part, l’activation de Windows Hello devient obligatoire pour utiliser Recall. Hello est pour rappel la fonction chapeautant tout ce qui touche à l’ouverture sécurisée de session, notamment avec la biométrie.

D’autre part, Windows Hello se manifestera lors de tout accès aux informations recueillies par Recall. Une preuve de présence donc, là où il suffisait à quelqu’un de s’assoir face à un PC Copilot+ pour plonger dans l’historique complet des activités de son utilisateur.

Enfin, plusieurs « couches supplémentaires de protection des données » ont été ajoutées. Un chiffrement à la volée d’abord, via Windows Hello ESS (Enhanced Sign-in Security). Les captures créées par Recall ne seront donc accessibles que si l’utilisateur est dument authentifié. En outre, la base de données de l’index de recherche sera, elle aussi, chiffrée.

De sérieux problèmes à la conception

Pourquoi ne pas avoir mis en place ces mécanismes dès le départ ? La question est évidente au vu des multiples scénarios problématiques apparus dans les quelques jours qui ont suivi la présentation. Elle est d’autant plus prégnante que Satya Nadella, PDG de l’entreprise, avait fait circuler un mémo auprès des employés pour réitérer l’importance de la sécurité, même si elle se faisait au détriment des fonctionnalités.

Recall ne sera techniquement proposé au départ que sous forme de préversion. Cela ne devrait cependant pas compter : obliger l’utilisateur à choisir aurait dû être un réflexe. Tout comme le chiffrement des données. Tout comme l’authentification obligatoire.

Microsoft joue gros avec ce type de mécanisme. La société veut prouver que l’IA peut rendre mille services. Avec Recall, elle a surtout prouvé que le pouvoir de l’IA peut entrainer des catastrophes quand elle n’est pas pensée avec soin. Comme le cloud, ces fonctions ne peuvent être couronnées de succès que si le public a confiance. Mieux vaut éviter qu’une telle bourde se reproduise, d’autant qu’une deuxième vague de PC Copilot+ serait en préparation pour la fin de l’été.

L’affaire servira en tout cas de leçon à Google, qui réfléchit également à intégrer ce type de fonction dans ses Chromebook.

☕️ Le FBI a récupéré plus de 7 000 clefs de déchiffrement du rançongiciel LockBit

10 juin 2024 à 07:28
Capture d'écran de LockBit

« Grâce à notre perturbation continue de LockBit, nous disposons désormais de plus de 7 000 clés de déchiffrement et nous pouvons aider les victimes à récupérer leurs données », a déclaré Bryan Vorndran, directeur adjoint de la division Cyber du FBI, rapporte BleepingComputer.

Lors du démantèlement de l’infrastructure de LockBit, en février, les autorités avaient saisi 34 serveurs contenant alors plus de 2 500 clés de déchiffrement du rançongiciel russophone. Elles estimaient que le gang et ses affiliés avaient récolté jusqu’à 1 milliard de dollars en rançons suite à 7 000 attaques visant des organisations du monde entier entre juin 2022 et février 2024.

En dépit des efforts des forces de l’ordre pour mettre fin à ses activités, LockBit est toujours actif. L’Hôpital de Cannes Simone Veil a ainsi révélé mi-avril avoir fait l’objet d’une cyberattaque, et annoncé qu’il refusait de payer la rançon exigée par LockBit3.0, relève BleepingComputer :

« Dans le cas d’une fuite de données appartenant potentiellement à l’hôpital, nous communiquerons à nos patients et aux parties prenantes, après un examen détaillé des fichiers susceptibles d’avoir été exfiltrés, la nature des informations volées. »

Non contentes d’avoir révélé l’identité de son chef de gang, un ressortissant russe de 31 ans nommé Dmitry Yuryevich Khoroshev, les autorités ont également arrêté et inculpé plusieurs de ses membres, dont Mikhail Vasiliev en novembre 2022, Mikhail Pavlovich Matveev en mai 2023, Ruslan Magomedovich Astamirov en juin, Artur Sungatov et Ivan Gennadievich Kondratiev en février 2024.

Poster US proposant une récompense de 10M$ pour toute information sur LockBitSupp

Le département d’État américain offre désormais 10 millions de dollars pour toute information qui conduirait à l’arrestation ou à la condamnation des dirigeants de LockBit, ainsi qu’une récompense supplémentaire de 5 millions de dollars pour toute information conduisant à l’arrestation des affiliés du ransomware LockBit.

☕️ Trois nouvelles Xbox, dont une Series X sans lecteur Blu-ray

10 juin 2024 à 05:59
Xbox

Microsoft organisait ce week-end son Xbox Games Showcase 2024, avec une ribambelle de nouveaux jeux annoncés. On y retrouve des licences phares comme Call of Duty, Diablo, Doom, Indiana Jones, etc. Nous n’allons pas nous attarder sur la partie logicielle, détaillée dans ce billet de blog.

La société a du nouveau aussi sur la partie matérielle, avec trois consoles. La nouveauté la plus marquante est sans aucun doute une première Xbox Series X en version all-digital, c’est-à-dire sans lecteur optique, avec 1 To de SSD. Elle sera vendue « dans certains marchés » pour 499,99 euros.

Microsoft propose également une autre Xbox Series X, avec 2 To de stockage cette fois et un lecteur Blu-ray, pour 649,99 euros. Terminons avec une Xbox Series S de 1 To et un châssis blanc. Elle est vendue 349,99 euros, le même tarif que sa grande sœur (Series S, 1 To) en noir lancée l’année dernière.

À partir d’avant-hierNext.ink

#Flock : Total RECALL me maybe

Par : Flock
8 juin 2024 à 11:37
ou pas

J’espère que vous avez vu le film.

Sinon pour faire un résumé sans spoil de l’actualité lunaire : il y a Microsoft qui fait des étincelles et ça brille assez fort.

Si vous avez raté ce film de Paul Verhoeven qui sent bon le turfu des années 90, matez-le, au moins pour voir Schwarzenegger se sortir un mouchard (et non un mouchoir) des narines, gesticuler en animatronic les yeux exorbités sous l’atmosphère de mars. Allez, sinon vous allez me faire pleurer.

Merci et bon weekend à tous!

Cette chronique est financée grâce au soutien de nos abonnés. Vous pouvez retrouver comme toutes les précédentes publications de Flock dans nos colonnes.


Vous devez être abonné•e pour lire la suite de cet article.
Déjà abonné•e ? Générez une clé RSS dans votre profil.

❌
❌