Michel Foucault realness

Un employé a déposé plainte contre Apple pour espionnage de ses données personnelles. Il accuse également l’entreprise de forcer les employés à utiliser leurs comptes iCloud personnels pour mieux les surveiller, y compris en dehors des locaux.

Dans un article de Semafor, on apprend qu’Amar Bhakta, employé chez Apple, attaque l’entreprise. Celle-ci est accusée de plusieurs conduites illégales, tournant toutes autour de la vie privée. Dans sa plainte, déposée dimanche soir devant une cour supérieure du compté de Santa Clara (Californie), Amar Bhakta accuse Apple de violer la loi californienne en plusieurs points.

Appareils et comptes personnels

L’essentiel de la plainte concerne l’utilisation des comptes et appareils. Selon le plaignant, Apple fournit bien des Mac et autres produits pour travailler, mais les employés sont encouragés à amener leurs propres appareils, notamment des iPhone. Au sein de l’entreprise, les téléphones sont alors gérés par une solution spécifique (de type MDM, mobile device management).

Amar Bhakta accuse Apple de profiter de ce logiciel pour plonger dans les données de ses employés. Tout ce qui transite serait observé par la société, notamment les e-mails, les photos, les vidéos, les notes et ainsi de suite. Autant de données dans lesquelles Apple serait « susceptible de rechercher ».

Autre problème pointé par le plaignant, l’utilisation forcée de comptes personnels sur les appareils fournis par Apple. Plusieurs comportements illégaux en découleraient, dont l’accès aux données et surtout la surveillance exercée par Apple, qui s’étendrait ainsi hors de ses locaux. Ce serait le cas avec tous les appareils que l’on peut emmener chez soi pour continuer à travailler comme les iPhone, iPad et autres MacBook.

Une cour de prison

L’entreprise serait ainsi engagée dans « une surveillance physique, vidéo et électronique » de ses employés via les appareils mis à leur disposition. Une fusion des vies personnelle et professionnelle d’autant plus accentuée selon Amar Bhakta qu’Apple imposerait des restrictions sur le matériel prêté (une pratique courante en entreprise) et pousserait indirectement vers l’utilisation du matériel personnel.

En outre, Apple découragerait « activement » ses employés de se servir de comptes iCloud dédiés au travail.

« Pour les employés d’Apple, l’écosystème Apple n’est pas un jardin clos. C’est une cour de prison. Un panoptique où les employés, qu’ils soient en service ou non, sont toujours soumis à l’œil omniscient d’Apple », peut-on lire dans la plainte. Une accusation d’autant plus visible qu’une part importante de la communication d’Apple se fait sur la sécurité et le respect de la vie privée, à grand renfort de chiffrement de bout en bout.

La sensation d’enfermement serait accentuée par plusieurs autres pratiques. Amar Bhakta accuse ainsi Apple de réprimer les conversations sur les salaires. En plusieurs occasions, Apple aurait strictement interdit à son employé d’évoquer son travail (publicité en ligne) et l’aurait poussé à supprimer certaines informations de son profil LinkedIn.

Apple nie en bloc

Sans surprise, l’entreprise réfute les accusations. « Chaque employé a le droit de discuter de son salaire, de ses horaires et de ses conditions de travail, et cela fait partie de notre politique de conduite des affaires, sur laquelle tous les employés sont formés chaque année », a ainsi déclaré l’entreprise à Semafor.

« Nous ne sommes pas du tout d’accord avec ces affirmations et nous pensons qu’elles ne sont pas fondées », a ajouté Apple auprès de The Verge.

Des accusations récurrentes

Ce n’est pas la première fois que des employés évoquent le sujet de la vie privée et de l’accès aux données chez Apple. Il y a un mois par exemple, le National Labor Relations Board accusait Apple d’empêcher les employés de discuter d’équité salariale au sein de l’entreprise. La société aurait notamment tenté de faire pression sur un ingénieur pour qu’il démissionne, à cause d’une enquête en ligne sur les salaires qu’il avait voulu faire circuler.

D’autres éléments étaient mentionnés dans un article du Los Angeles Times. En 2021, Apple aurait ainsi interdit la création d’un canal Slack nommé « #community-pay-equity ». Même chose pour des discussions sur les incitations financières proposées par l’entreprise pour atteindre les objectifs de vente. Apple aurait argué qu’elles comportaient des « informations confidentielles et exclusives ». Au média, Apple avait là aussi indiqué ne pas être « du tout d’accord avec ces affirmations ».

Tous ces éléments, dont ceux de la nouvelle plainte, font écho à un article de The Verge datant d’aout 2021. Il était là aussi question de lien fortement recommandé par Apple entre les comptes personnel et professionnel. Jacob Preston, après avoir démissionné de l’entreprise au bout de trois ans, s’était inquiété de ses données personnelles lorsqu’il avait le MacBook prêté par l’entreprise. Signalant que son compte personnel comportait des données très sensibles, l’entreprise lui aurait répondu que cette politique n’était pas négociable.

Une année 2021 décidément riche en mouvements des employés d’ailleurs. Début septembre par exemple, nous faisions le point sur les multiples problèmes qu’affrontait Apple, notamment une grogne prégnante chez les employés. « Apple s’enorgueillit de ses engagements pour la diversité, l’équité et d’un environnement où chaque personne peut donner le meilleur d’elle-même ; en pratique cependant, c’est loin d’être le cas », indiquait ainsi une lettre ouverte à Tim Cook.

Deux incidents ont été signalés simultanément, lundi après-midi, sur deux câbles terrestres de fibre optique, dont l’un relie la Suède à la Finlande. D’après GlobalConnect, l’opérateur qui gère cette infrastructure transfrontalière, ces coupures ont pu perturber l’accès à Internet d’une partie de ses clients finlandais, mais n’ont provoqué aucune interruption de service.

Ces deux coupures sont respectivement survenues à Leppävaara, un quartier de la ville d’Espoo, voisine d’Helsinki, et à Vihti, commune rurale située à environ 35 km au nord-ouest de la capitale finlandaise. Cette double proximité, à la fois géographique et temporelle, a rapidement éveillé les soupçons, dans un contexte marqué par le récent incident de la mer Baltique, où deux câbles sous-marins ont été endommagés mi-novembre, à quelques heures d’intervalle.

• Deux câbles sous-marins endommagés en mer Baltique : Berlin parle de sabotage

« Nous prenons cela au sérieux. La police finlandaise enquête sur ce qui s’est passé et, en raison des circonstances entourant cet événement, un sabotage est soupçonné. Le gouvernement est en contact avec les autorités responsables et suit l’évolution des événements », a ainsi déclaré dès mardi Carl-Oskar Bohlin, ministre suédois de la Défense civile.

La police finlandaise a elle aussi rapidement réagi, mais pour nuancer le propos, en soulignant qu’aucune enquête criminelle n’était ouverte à ce stade, ses services cherchant simplement pour l’instant à établir le déroulement précis des événements.

Le rapport d’incident ouvert par l’opérateur Global Connection donne un compte rendu détaillé de la découverte des deux incidents, et des interventions, rapides, qui ont suivi pour rétablir la ligne en deux endroits.

Mis à jour à intervalles réguliers, le rapport se conclut en début d’après-midi mardi par l’annonce du rétablissement complet du service. « Nous pouvons également confirmer que les deux câbles ont été rompus en raison de travaux d’excavation, et nous évaluons donc ces incidents comme une coïncidence de circonstances malheureuses », affirme l’opérateur.

La Commission européenne annonce des investissements pour un total de 4,6 milliards d’euros dans les technologies « zéro net ». Elle les présente comme « essentielles pour garantir la compétitivité de l’industrie européenne tout en atteignant les objectifs climatiques convenus ».

Deux appels à propositions sont lancés, avec un budget de 3,4 milliards d’euros, « pour accélérer le déploiement de technologies de décarbonation innovantes en Europe, y compris les batteries de véhicules électriques ».

Cette manne financière comprend deux sous catégories. Une première avec 2,4 milliards d’euros pour « des projets de décarbonation de différentes échelles, ainsi que des projets axés sur la fabrication de composants pour les énergies renouvelables, le stockage de l’énergie, les pompes à chaleur et la production d’hydrogène ».

La seconde avec un milliard d’euros « pour la fabrication de cellules de batteries de véhicules électriques », une première en Europe selon la Commission. Le but est d’avoir des projets capables d’en produire avec « des procédés et des technologies de fabrication innovants ».

La Commission annonce aussi « la deuxième vente aux enchères de la Banque européenne de l’hydrogène afin d’accélérer la production d’hydrogène renouvelable dans l’Espace économique européen ». Le budget est de 1,2 milliard d’euros cette fois.

Sur cette somme, la part du lion (un milliard) « soutiendra des projets de production d’hydrogène renouvelable quel que soit le secteur dans lequel il sera consommé », tandis que les 200 millions restants seront pour des projets de « production d’hydrogène dans le cadre de projets avec des acquéreurs dans le secteur maritime ».

Les promoteurs de projets relatifs aux technologies « zéro net » et aux batteries ont jusqu’au 24 avril 2025 pour présenter leur demande. Les détails se trouvent dans le communiqué de presse.

Brrrraaaaiiiiiiiin 🧟

L’expression « brain rot » n’a rien de neuf, mais son utilisation croissante l’a fait désigner comme mot de l’année à l’université d’Oxford. Selon l’établissement, le choix de ce mot rend compte d’une évolution dans la perception de la consommation des contenus en ligne.

Comme l’explique l’université, l’expression est vieille, beaucoup plus qu’on ne le pense. Sa première utilisation avérée date en effet de… 1854. « Alors que l’Angleterre s’efforce de guérir la pourriture des pommes de terre, personne ne s’efforcera-t-il de guérir la pourriture du cerveau – qui prévaut de manière beaucoup plus large et fatale ? », s’inquiétait ainsi Henry David Thoreau dans son livre Walden.

170 ans plus tard, le sens profond de l’expression n’a pas bougé. Le dictionnaire d’Oxford en donne la définition suivante : « Détérioration supposée de l’état mental ou intellectuel d’une personne, notamment considérée comme le résultat d’une surconsommation de contenu (aujourd’hui particulièrement en ligne) considéré comme insignifiant ou non stimulant ».

De là, l’expression a gagné l’ensemble de la population, la définition s’élargissant à tout matériel pouvant conduire à cette détérioration. L’usage en est devenu commun, au point que le mot a gagné l’élection avec plus de 37 000 votes.

Sus aux réseaux sociaux !

Si l’expression est connue depuis longtemps, elle n’est largement utilisée que depuis plusieurs années, et tout particulièrement la dernière écoulée. L’université d’Oxford note un bond de 230 % dans la fréquence d’utilisation entre 2023 et 2024.

Le sens de l’expression a légèrement évolué pour s’accrocher de manière tenace à la vie numérique. La « pourriture du cerveau » est revenue en force dans les réseaux sociaux, comme un signal d’alerte face à des plateformes comme TikTok, et plus généralement tout service présentant un mur infini de contenus. On peut alors enchainer les courtes vidéos pendant des heures. Des préoccupations concernant avant tout les générations Z et Alpha.

Mais pourquoi parler de pourriture (ou pourrissement) ? À cause d’une consommation excessive de « contenus de faible qualité et de faible valeur » trouvés sur les réseaux sociaux et plus généralement sur internet. Il faut encore s’entendre sur ce que l’on estime être « de faible qualité ». Au sens où on l’entend aujourd’hui, il désigne tout contenu n’entrainant aucune stimulation cérébrale. On se contente alors d’absorber passivement des contenus entrainant des réactions émotionnelles immédiates, sans informations ni réflexion.

L’université d’Oxford ajoute que l’expression a entrainé une nouvelle famille de mots et d’expressions filles. En référence notamment à la série de vidéos Skibidi Toilet d’Alexey Gerasimov, le mot « skibidi » est resté pour signifier l’absurdité. De même, « only in Ohio » servait à désigner les comportements supposément étranges des habitants de cet État américain. L’expression est aujourd’hui résumée au simple « Ohio » pour désigner « quelque chose d’embarrassant ou d’étrange ».

Pourrissement et merdification

L’université ajoute que « brain rot » est désormais utilisé pour désigner à la fois la cause et l’effet du phénomène. On s’en sert ainsi autant pour le contenu lui-même que pour son impact négatif.

« Je trouve fascinant que l’expression « pourriture du cerveau » ait été adoptée par la génération Z et la génération Alpha, ces communautés largement responsables de l’utilisation et de la création du contenu numérique auquel l’expression fait référence. Ces communautés ont amplifié l’expression par le biais des médias sociaux, l’endroit même où l’on dit qu’il y a un « pourrissement du cerveau ». Cela démontre une conscience de soi quelque peu insolente chez les jeunes générations quant à l’impact néfaste des médias sociaux dont elles ont hérité », relève Casper Grathwohl, président d’Oxford Languages.

Intéressant également, l’expression appartient au même champ lexical qu’une autre fraichement élue, cette fois par le dictionnaire australien Macquarie : « enshittification », traduit chez nous en « merdification ». Elle renvoie à l’idée de « détérioration progressive d’un service ou d’un produit, en particulier d’une plateforme en ligne, provoquée par une réduction de la qualité du service fourni résultant de la recherche de profit ».

The Guardian évoquait l’augmentation des contenus faux, de radicalisation ou de mauvaise qualité comme partie intégrante du processus, créant le lien avec brain rot. Dans les deux cas, l’idée est la même : une dégradation de la qualité générale, entrainant un impact négatif sur la population.

Un impact réel ?

Les conséquences véritables du brain rot restent à préciser. On peut parler de perte d’intelligence, de sens critique, de créativité, d’originalité entrainée par une habitude de consommation de contenus ne réclamant aucune analyse ni mémorisation. Peuvent alors s’ensuivre une sensation de déconnexion de la « vie réelle », la perte du gout de l’effort, une chute de la capacité à se concentrer et ainsi de suite.

L’expression interroge autant les pratiques que le regard que l’on y porte. Comme l’a signalé l’université d’Oxford, le pourrissement du cerveau désigne à la fois une cause et un effet, témoignant d’une réflexion sur nos propres usages. En outre, le sens profond n’a pas changé d’un iota en 170 ans. Les inquiétudes sur la consommation des contenus par nos voisins ont toujours existé.

Enfin, et c’est important de le noter, le brain rot n’est pas une pathologie reconnue. En revanche, l’expression invite à la réflexion sur nos usages. Ainsi, pour l’autrice Daphné B., le brain rot pointe davantage vers « l’obsolescence programmée du langage » qu’une réelle maladie, mettant en lumière « un nouveau rapport à la perte », en lien avec le fameux FOMO (fear of missing out, la peur de rater quelque chose).

CBC/Radio-Canada, The Globe and Mail, La Presse Canadienne, Postmedia et le Toronto Star se sont alliés pour attaquer OpenAI en justice.

Dans la plainte déposée le 29 novembre devant la Cour supérieure de justice de l’Ontario, le groupe accuse la société états-unienne d’utiliser leurs publications sans leur consentement pour entraîner le grand modèle de langage qui fait tourner ChatGPT, et en tirer « des milliards de dollars de revenus annuels ».

Les médias canadiens demande une « injonction permanente » interdisant à OpenAI d’utiliser leurs contenus, protégés par le droit d’auteur.

L’affaire fait écho à d’autres plaintes déposées à travers la planète pour contester l’usage que font les fabricants de modèles génératifs de contenus récupérés en ligne, à commencer par celle du New York Times aux États-Unis.

À l’inverse, certains médias comme Le Monde ont pris le parti de signer des accords avec ces entreprises.

Il est peut-être déjà trop tard

Coup sur coup, l’ANSSI a mis en ligne deux rapports sur l’informatique post-quantique, c’est-à-dire quand les ordinateurs quantiques seront suffisamment performants pour casser certains systèmes de chiffrement (les protocoles asymétriques sont la cible principale).

Le premier rapport dresse un « état de l’offre des solutions de cryptographie post-quantique en 2023 ». L’Agence a mené une enquête entre mai et juillet 2023 « auprès d’une sélection d’entreprises qui conçoivent des briques cryptographiques pour des solutions numériques ». Des éléments indispensables pour ensuite sécuriser les données et infrastructures.

Le second rapport propose un « état de l’offre de prestation d’accompagnement et de conseil en sécurité ». Cette fois, l’enquête s’est intéressée à « 34 prestataires de services ayant une offre d’accompagnement et de conseil en cybersécurité entre décembre 2023 et janvier 2024 ». Cela permet d’avoir une large vision du marché.

Nous ne reviendrons pas sur les enjeux du quantique, ses risques et la réalité du terrain actuel, des sujets que nous avons déjà longuement détaillés dans de précédentes actualités, à (re)lire sans modération :

• 10 ans de peur autour du « post-quantique » : derrière les annonces, quelle réalité ?
• [FAQ] Notre antisèche sur l’informatique quantique

Crypto post quantique : « l’offre commerciale est très immature »

L’enquête auprès des prestataires d’accompagnement révèle que les demandes de conseil et d’accompagnement « pour la problématique de la menace quantique est, à ce jour, très faible. Le marché est quasi inexistant, à tel point que la majorité des prestataires (70 %) n’a réalisé aucune prestation de ce type », explique l’ANSSI.

Et pour ceux qui ont réalisé des prestations chez des clients, dans 40 % des cas c’était pour de la sensibilisation des décideurs. « Si on ne tient pas compte de ces prestations de sensibilisation, les prestataires qui ont réalisé au moins une prestation « post-quantique » n’en ont réalisé à ce jour que 4 en moyenne, pour un maximum de 14 prestations réalisées par l’un d’entre eux ».

Conséquence pour l’ANSSI : « l’offre commerciale est très immature ». Dans sa conclusion, l’Agence ajoute : « nous observons une quasi absence de demande pour le moment et une quasi absence d’offre commerciale ».

Manque de recommandations et de cadre

Les principaux freins identifiés par les prestataires sont : « le manque de recommandations techniques et d’actions de sensibilisation », « le manque de cadre règlementaire contraignant » et une « communauté de prestataires encore trop peu structurée ».

De leur côté, les prestataires expliquent l’absence de demande par « un sentiment, chez leurs clients, qu’il n’est pas urgent d’agir contre la menace quantique. Le fait qu’il n’y ait aucune obligation réglementaire conforte les clients dans leur posture d’attente ».

Post quantique : un (rapide) tour des éditeurs de solutions

Dans son autre enquête sur les éditeurs français proposant des « solutions intégrant de manière significative de la cryptographie », 18 ont été retenus « comme particulièrement pertinents pour répondre au questionnaire ».

L’ANSSI classe ses entreprises en plusieurs catégories : les spécialistes, les non-spécialistes « qui se disent prêts mais qui ne maîtrisent pas (encore) véritablement les primitives post-quantiques », et enfin ceux qui « n’ont pas réellement pris la mesure du sujet et qui n’ont pas encore engagé de plan d’actions visant à traiter la menace quantique ».

Selon le bilan des questionnaires de l’ANSSI, les principaux freins techniques identifiés par les éditeurs sont les suivants :

• le manque de normes ou de standards décrivant précisément les algorithmes,
• le manque de normes ou de standards décrivant la façon de mettre en œuvre l’hybridation,
• le manque de briques logicielles (libres ou non) de référence ou d’un guide de bonnes pratiques pour les implémenter,
• le besoin de faire évoluer certains référentiels pour y intégrer la PQC (avec PQC pour cryptographie post-quantique),
• le manque de maturité des implémentations sur du matériel,
• des inquiétudes concernant les pertes de performance des signatures post-quantiques.

Il y a également des freins organisationnels. Par exemple, l’absence d’un plan de transition et le manque de sensibilisation des utilisateurs.

Où sont les normes et les standards ?

Attardons-nous deux minutes sur le manque de normes et de standards. Durant l’été 2022, quatre algorithmes post-quantiques ont été sélectionnés par le National Institute of Standards and Technology (NIST, du département américain du Commerce) : CRYSTALS-KYBER, CRYSTALS-Dilithium, FALCON et SPHINCS+.

Le CNRS en profitait pour se mettre en avant, via l’INS2I (institut des sciences de l’information et de leurs interactions) : « Trois des quatre algorithmes sélectionnés […] ont reçu des contributions de laboratoires rattachés à l’INS2I, et une nouvelle phase de soumission (round 4) implique plusieurs autres laboratoires du CNRS ».

• Cryptographie post-quantique : les enjeux autour des quatre algorithmes sélectionnés par le NIST

Deux ans plus tard, les normes sont là pour le NIST

Le processus de normalisation de ces algorithmes a débuté dans la foulée (deux ans étaient prévus pour en arriver au bout), avec la publication de brouillons pour trois d’entre eux durant l’été 2023. FALCON manquait à l’appel et était attendu pour fin 2024.

Durant cet été 2024, le NIST mettait en ligne « les trois premières normes de chiffrement post-quantiques finalisées » : FIPS 203 basée sur l’algorithme CRYSTALS-Kyber, FIPS 204 avec CRYSTALS-Dilithium et FIPS 205 pour Sphincs+. FIPS 206 sera pour Falcon. FIPS pour Federal Information Processing Standard.

En Europe, la standardisation « est plus lente »

L’ANSSI reconnait que le NIST a publié des brouillons puis des versions finales des normes, mais ajoute que « la standardisation d’autres algorithmes (par exemple FrodoKEM, un des algorithmes recommandés par l’ANSSI et par certaines agences homologues européennes comme solution conservatrice) est plus lente ».

Et seconde différence avec leurs homologues américains, « les agences européennes de cybersécurité recommandent fortement le recours à l’hybridation. La prise en compte de l’hybridation dans les protocoles de tunnel (tels qu’IPSec ou TLS) ainsi que dans les certificats (tels que x.509) n’est pas mature ».

Il faut « démarrer sans tarder les actions préparatoires »

Dans sa conclusion, l’ANSSI rappelle « l’importance de démarrer sans tarder les actions préparatoires à la transition post-quantique, et ce pour tout type d’organisation ». L’Agence souhaite que chaque organisation évalue son niveau de risque par rapport à la menace quantique afin de mettre en place un plan de transition.

Pour l’ANSSI, « l’immaturité constatée des solutions n’est que transitoire et ne devrait pas servir de prétexte à l’inaction. Certaines actions devront être mises en œuvre sans délai et d’autres pourront être déployées progressivement, dans les années à venir ».

« Aujourd’hui, sécuriser demain »

Il y a quelques jours également, L’ANSSI avec son homologue allemand (Bundesamt für Sicherheit in der Informationstechnik, ou BSI) et 16 autres États membres de l’Union européenne publiaient une déclaration commune sur la transition vers la cryptographie post-quantique intitulée : « Aujourd’hui, sécuriser demain : la transition vers la cryptographie post-quantique (PQC) ».

« Face à la menace quantique et ses implications sur la sécurité de la cryptographie actuelle, il devient urgent de déployer des solutions de cryptographie post-quantique hybrides », affirme l’ANSSI. Cela doit même être « une priorité absolue ».

• Le chiffrement hybride classique et post quantique, comment ça marche

« Stocker maintenant, décrypter plus tard »

Le document rappelle que « bien qu’il n’existe actuellement aucun ordinateur quantique pertinent sur le plan cryptographique, leur développement progresse rapidement ». Bien malin qui peut prédire quand la suprématie quantique sera une réalité… enfin du moins quand le grand public sera au courant.

Et le document ajoute, à juste titre, qu’un scénario des pirates (étatiques principalement) doit être en tête des responsables lorsqu’il s’agit de se préparer : ils peuvent « stocker maintenant, décrypter plus tard ». « C’est notamment pour cela que les incertitudes sur le développement des ordinateurs quantiques ne doivent pas nous empêcher d’avancer sur la protection des données les plus sensibles ».

Les signataires « exhortent les administrations publiques, les fournisseurs d’infrastructures critiques, les fournisseurs informatiques, ainsi que l’ensemble de l’industrie à faire de la transition vers la cryptographie post-quantique une priorité absolue ».

Un groupe de travail européen

Enfin, un groupe de travail sur la cryptographie post-quantique a été mis en place, suite à une recommandation de la Commission européenne d’avril 2024. Il est coprésidé par la France, l’Allemagne et les Pays-Bas. « Nous encourageons tous les États membres de l’UE à s’engager activement dans ce groupe de travail », indiquent les trois co-présidents.

Nouvelle version pour l’API graphique open source du Khronos Group. La mouture 1.4 apporte des améliorations notables dans plusieurs domaines, dont le multiplateforme.

Vulkan 1.4 consolide notamment de nombreuses extensions et fonctions qui étaient jusqu’ici optionnelles, notamment pour les applications à hautes performances, dont les descripteurs push, les lectures locales de rendu dynamique et les dispositions de blocs scalaires.

Les extensions de maintenance vont maintenant jusqu’à VK_KHR_maintenance6 et font désormais partie des spécifications de base. Le rendu 8K est en outre garanti jusqu’à huit cibles.

« Vulkan 1.4 est une version importante qui intègre directement des fonctionnalités demandées depuis longtemps et des extensions éprouvées dans la norme de base. En imposant ces fonctionnalités, nous améliorons la flexibilité et les performances de Vulkan sur un plus grand nombre d’appareils, ce qui permet aux développeurs de créer plus facilement des applications de pointe en étant sûrs qu’elles fonctionneront de manière fiable sur n’importe quelle plateforme », a déclaré Ralph Potter, nouvellement élu à la tête du groupe de travail chez Vulkan.

AMD, Arm, Imagination, Intel, NVIDIA, Qualcomm et Samsung ont déjà des pilotes de développement ayant le test de conformité Vulkan 1.4. Même chose pour les pilotes open source Mesa, dont la conformité avec Vulkan 1.4 a été testée sur le matériel AMD, Apple, Intel, NVIDIA et Qualcomm.

Non mais allô !

L’Arcep publie trimestre après trimestre les indicateurs d’accessibilité des services de communications électroniques accessibles aux personnes sourdes, malentendantes, sourdaveugles et aphasiques. La langue des signes française est de loin la plus utilisée, mais en dehors des clous sur le taux de prise en charge. Dans l’ensemble, les utilisateurs sont plutôt « très satisfaits ».

Depuis maintenant six ans, les opérateurs doivent proposer à leurs clients « une offre de services de communications électroniques accessible aux personnes sourdes, malentendantes, sourdaveugles et aphasiques permettant d’émettre et de recevoir des appels téléphoniques ».

L’Arcep publie régulièrement des statistiques et analyses sur le sujet. Le dernier observatoire date d’hier, l’occasion de faire le point six ans plus tard avec les indicateurs transmis par Bouygues Telecom, Coriolis, Free (mobile), Orange et SFR.

• Surdité : un service de traduction téléphonique offert dès octobre, sous l’œil de l’Arcep

La LSF arrive largement en tête des utilisations

La langue des signes française (LSF) est toujours la plus utilisée avec 3 620 utilisateurs mensuels, pour 26 033 conversations avec une durée totale de 1 967 heures. À la même époque, en 2020, il y avait respectivement 2 542 utilisateurs uniques, 13 067 conversations et 798 heures de communications.

Le deuxième plus gros usage est la TTA (Transcription textuelle automatisée) avec 1 108 utilisateurs pour 21 133 conversations d’une durée totale de 686 heures. Il y a quatre ans, les premières statistiques étaient publiées avec 339 utilisateurs uniques pour 1 870 conversations et 61 heures.

En troisième position, c’est le TTH (transcription textuelle assistée par un opérateur humain) avec 256 utilisateurs uniques pour 1 482 conversations et 97 heures. Les tableaux ci-dessous regroupent l’ensemble des indicateurs :

Prise en charge en trois minutes : LSF largement à la traine

Autre élément à considérer : la rapidité de prise en charges des demandes. Comme indiqué dans la décision de l’Arcep, et « compte tenu des incertitudes concernant la demande des utilisateurs et la disponibilité des opérateurs relais, l’Autorité a choisi de fixer ce seuil à 70 %, pour toutes les modalités de traitement ». Cela concerne les taux de réponse en moins de trois minutes.

Avec 80 %, le langage parlé complété (LPC) et la transcription textuelle assistée par un opérateur humain (TTH) sont au-dessus de la limite. On arrive même à 100 % pour la transcription textuelle automatisée (TTA) et la communication adaptée à la surdicécité (CAS). La TTA est également à 100 % de réponse en moins de 30 secondes avec un taux d’abandon de 0 %. Un score logique puisque le traitement est automatisé via un ordinateur.

La langue des signes française (LSF) se démarque encore et toujours en étant largement en dessous des 70 %, avec 54 % seulement au troisième trimestre 2024. C’est tout de même 28 points de plus qu’il y a un an (le taux de réponse en moins de trois minutes était de 26 %). Le taux d’abandon est logiquement en baisse, passant de 23 à 15 %.

Disponibilité de 97,7 %, loin des 99 % réglementaires

La disponibilité globale du service chute de 0,6 point sur un an pour tomber à 97,7 %. Elle est donc en dessous du seuil réglementaire de 99 %, pourtant jugé comme « raisonnable au regard de la comparaison internationale ». Sur les derniers trimestres, le taux oscillait entre 97,7 et 98,3 %.

Dans l’ensemble, les utilisateurs sont satisfaits, avec une moyenne de 4,7 sur 5 pour la LSF, de 4,8 sur 5 pour la LPC et de 4,6 sur 5 pour la TTH. La TTA (automatisée) est à 4,4 sur 5, un score un peu plus faible à cause d’un nombre important de notes à 4 sur 5. Dans tous les cas, la grande majorité des utilisateurs donne 5/5 (très satisfaits, alors que 1/5 correspond à très insatisfait).

Rappelons enfin que, depuis le 1ᵉʳ octobre 2021, ce service doit être accessible aux utilisateurs concernés au minimum du lundi au vendredi de 8 h 30 à 21 h, et le samedi de 8 h 30 à 13 h, hors jours fériés, avec trois heures de communications mensuelles.

L’Arcep propose un calendrier des taux d’occupation, qui sont sans grande surprise en fin de matinée et en début d’après-midi. À partir de 18h30 en semaine et tout le samedi, tout est calme.

En octobre 2026 : disponibilité 24/7, avec 5 h par mois

Des évolutions sont déjà programmées : cinq heures de communications à partir du 1ᵉʳ octobre 2026 et, au même moment, une ouverture du service en 24/24, tous les jours de l’année.

Pour rappel, les membres de la Fédération Française des Télécoms (Bouygues Telecom, Orange, SFR…) ont choisi RogerVoice pour leur service de traduction, tandis que Free fait bande à part avec Relais téléphonique. Voici les liens pour les récupérer : 

• Télécharger RogerVoice sur Android
• Télécharger RogerVoice sur iOS
  
• Télécharger Relais téléphonique pour Android
• Télécharger Relais téléphonique pour iOS

Le 6 novembre, un ingénieur de Nokia disait avoir remarqué un comportement étrange sur d’anciens serveurs contenant des processeurs EPYC d’AMD. Sur ces machines, le processus initramfs pouvait mettre beaucoup plus longtemps à démarrer, jusqu’à plusieurs dizaines de secondes, voire plusieurs minutes.

Comme le rapporte Phoronix, l’enquête sur le problème a permis de débusquer un vieux bug introduit il y a 18 mois dans la manière de gérer le microcode au sein des processeurs des générations Zen 1 et 2. Il ne s’agit donc pas d’un problème spécifique aux processeurs EPYC.

Plus en détail, il est nécessaire de vider le TLB (translation lookaside buffer) après mise à jour du microcode pour évacuer le mappage du tampon de la mise à jour. Un patch a donc été introduit avec l’étiquette x86/urgent, pour intégration dans le futur noyau 6.13, dont la Release Candidate 1 vient de paraître.

Les processeurs AMD de générations Zen 1 et 2 sont considérés aujourd’hui comme anciens (respectivement 2017 et 2019), mais sont encore largement utilisés. Linux étant souvent employé pour redonner « vie » à de vieilles configurations, le problème pourrait bien avoir été rencontré de nombreuses fois par les utilisateurs.

C’était une demande régulière des utilisateurs selon le site officiel de France Identité : l’application France Identité n’a désormais plus besoin de scanner la carte d’identité pour autoriser la connexion à FranceConnect. La simple authentification par biométrie, schéma ou code de déverrouillage dans l’application suffira.

Pour en profiter, vous devez récupérer la dernière version de l’application. Une fois dans celle-ci, un message « L’application évolue » devrait apparaitre, invitant à suivre les étapes suivantes :

France Identité met en avant les avantages de la nouvelle méthode : la simplicité de l’authentification sur FranceConnect sans mot de passe ni identifiant, ne plus passer par la NFC et son utilisation « aléatoire », ainsi qu’une expérience « plus fluide et plus rapide ».

Plusieurs points à préciser. D’abord, en cas d’utilisation de plusieurs appareils, il faudra répéter la démarche sur chacun d’eux. Ensuite, l’authentification FranceConnect+ réclame toujours la lecture de CNI. Enfin, la plus récente carte d’identité (au format carte bancaire) reste obligatoire pour utiliser l’application.

Vous vendre toujours plus, pardi

Cette période de fin d’année est toujours l’occasion de multiplier les offres commerciales pour les revendeurs. Il y a certes de bonnes affaires, mais il faut savoir raison garder et se méfier des offres trop alléchantes… comme à n’importe quelle période de l’année.

La période commerciale du Black Friday touche à sa fin avec le Cyber Monday en ce premier lundi de décembre. Cette période commerciale nous est arrivée tout droit des États-Unis (le « vendredi noir » est le lendemain de thanksgiving) et s’est installée en France depuis maintenant de nombreuses années. Mais à quoi correspond exactement ce « rendez-vous commercial » ?

Le Black Friday n’est pas une période de soldes

Commençons parce qu’il n’est pas : des soldes. Ces derniers sont, pour rappel, deux périodes de quatre semaines (qui débutent chaque année en janvier et juin). Durant les soldes, les commerçants sont autorisés à faire de la revente à perte.

Attention, on parle bien de revente (et pas de vente à perte) : une « pratique commerciale interdite » rappelle le ministère de l’Économie, hors exceptions comme la cessation d’activité, les produits périssables et donc les soldes.

Chaque année, de multiples « opérations commerciales »

Le Black Friday (et tous ses dérivés avec la Cyber Week, le Cyber Monday…) est donc simplement un rendez-vous organisé par les boutiques et les revendeurs, comme les French Days lancés en 2018 à l’initiative de six revendeurs français (Boulanger, Cdiscount, La Redoute Fnac-Darty, Showroomprive et Rue du Commerce). Nous pouvons également citer les Prime Days d’Amazon.

Les revendeurs occupent d’ailleurs bien le terrain toute l’année avec leurs différentes opérations commerciales : des soldes en janvier, les French Days au printemps (avril/mai), de nouveau des soldes en juin, encore des French Days en septembre et enfin le Black Friday fin novembre.

Pourquoi autant de bons plans dans la presse ?

Que les revendeurs proposent des offres commerciales toute l’année n’a rien de surprenant : c’est leur fonds de commerce de vendre des produits. Mais pourquoi en voit-on autant dans la presse et sur les réseaux sociaux ? La réponse à cette question est simple : l’argent.

Plus exactement, l’affiliation et donc les revenus qui découlent de vos achats. Lorsque des sites d’actualités relayent des « bons plans » ou autres promotions du genre – dans des actualités ou des comparatifs –, vous trouverez en général des liens affiliés qui rapporteront quelques pourcents de vos achats au site partenaire. Même chose avec les opérateurs, qui redistribuent généralement une somme conséquente pour la souscription d’un forfait.

Sur Next, aucun bon plan, ni pub ni tracking

Cette pratique, on la connait bien sur Next et je dirais même que je la connais particulièrement pour m’être occupé des bons plans pendant plusieurs années. Notez que ces pratiques appartiennent au passé depuis le rachat par moji, et c’est une très bonne chose. Sur Next, nous ne publions plus aucun lien affilié, ni aucune publicité, pour l’ensemble des visiteurs (abonnés ou non).

Ces dernières années, faire des bons plans sur la tech revenait très souvent à faire des bons plans sur Amazon, dans la mesure où le revendeur est capable de s’adapter rapidement aux changements de ses concurrents. Avec la question des bons plans se pose aussi celle du prix à mettre en avant : faut-il inclure les frais de livraison (faut-il les prendre en compte, comment gérer les abonnements du type Prime et Cdiscount à Volonté, etc.) et quid du choix quand plusieurs boutiques affichent le même prix ?

Google Actualités, putaclick : les « astuces » des bons plans

Google Actualités participe activement à cet emballement médiatique, il n’y a qu’à regarder la catégorie « Sciences et Technologies » pour s’en convaincre. Parfois, ce sont des offres commerciales des fabricants qui sont mises en avant (comme celle de Honor en troisième position dans Google Actualités).

Et on ne parle même pas des titres putaclick que pratiquent certains sites pour attirer toujours plus et placer des liens affiliés (qui rapportent généralement quels que soient les achats dans les jours qui suivent).

Chères, les « miettes » à 699 euros chez Amazon pour une barre de son, d’autant que d’autres revendeurs la proposent aussi exactement au même prix en cette période de Black Friday (Fnac, Darty, Boulanger…). Quant à la formulation « ce site n’en fait qu’à sa tête », il est important de rappeler que non justement puisque la revente à perte est interdite hors période de soldes.

Aparté sur la pub et les contenus sponsorisés

Une fois n’est pas coutume, citons L’esprit critique et la vidéo sur leur modèle économique (on s’y retrouve) : « nous depuis le début, on a décidé de ne pas faire de pub et on espère tenir le plus longtemps possible […] Pourquoi pas de pubs ? On n’a pas fait une chaine pour déconstruire le discours et développer notre esprit critique pour ensuite revenir par la fenêtre et vous vendre la crème prodige de lumière quantique à l’orchidée de mes fesses de Guerlain ».

• Guerlain ne parle plus « quantique » ni « Gold Quantum » pour sa crème à 650 euros

Promotions : c’est quoi cette règle des 30 derniers jours ?

Comme tous les ans, la DGCCRF rappelle aux internautes de faire « attention aux pièges sur les sites de e-commerce ». La répression des fraudes dénonce plusieurs pièges : fausses réductions de prix, promotions faussement limitées », abonnements ou frais cachés, sites frauduleux et politiques de retour complexes.

Sur les prix, la directive européenne sur les règles de protection des consommateurs (directive 2019/2161 dite « omnibus », transposée en droit français fin 2021) a apporté des changements importants. Depuis mai 2022, le prix avant remise doit correspondre « au prix le plus bas pratiqué par le professionnel à l’égard de tous les consommateurs au cours des trente derniers jours précédant l’application de la réduction de prix ».

• Promotions bidon en ligne : bientôt la fin ?
• Promotions bidons, remises farfelues : la CJUE sacralise la règle des « 30 derniers jours »

Et en septembre de cette année, une décision de la Cour de justice de l’Union européenne a sacralisé cette règle des « 30 derniers jours » pour le calcul de la remise affichée au consommateur (que ce soit pour une mise en avant de la remise en % ou en euros).

De multiples pratiques frauduleuses

Second point utilisé par certains revendeurs : le sentiment d’urgence avec des mentions comme stock limité, offre de lancement, livraison offerte pour les 50 premiers clients, etc… « Attention, il peut s’agir d’une pratique frauduleuse, si les informations sur lesquelles s’appuie cette promotion sont fausses. Ne vous laissez pas presser et manipuler : prenez le temps de réfléchir à votre achat et de comparer les offres et les prix ». Les abonnements ou frais cachés sont des « options » qui sont automatiquement ajoutées à votre panier, pensez donc toujours à le vérifier avant de le valider.

Le risque de phishing est également important, surtout dans un contexte dans lequel les fuites de données personnelles ne cessent de se multiplier. La DGCCRF rappelle quelques règles : « Tout site de vente en ligne doit porter les mentions suivantes : mentions légales, identité du vendeur, raison sociale, etc. Si ces données ne sont pas mentionnées sur le site, préférez un autre commerçant ».

La répression des fraudes en profite pour mettre en garde sur les sites de dropshipping : « son gestionnaire n’a pas de stock et laisse le soin à ses fournisseurs d’expédier votre commande. La pratique n’est pas interdite, mais vous risquez d’avoir du mal à vous faire entendre en cas de retard de livraison ».

Des e-Cartes pour vous protéger

Sur Internet, vous pouvez également utiliser des e-Carte Bleue, ce sont des cartes qui peuvent être à usage unique ou réutilisable pour des abonnements par exemple.

« Le service e-Cartes Caisse d’Épargne vous permet de créer une ou plusieurs e-Cartes, comportant chacune un numéro et un cryptogramme propres attribués automatiquement et une date d’expiration que vous définissez […] Vous choisissez vous-même la durée de validité de l’e-Carte et le montant maximal que vous souhaitez dépenser, pour effectuer un paiement unique ou plusieurs paiements chez un même commerçant », explique, par exemple, la Caisse d’Épargne.

14 jours pour se rétracter sur les ventes en ligne

Qu’en est-il du délai de retour de 14 jours ? Ce droit de rétraction s’applique indifféremment sur les objets vendus hors périodes spéciales, ou durant les promotions, déstockage, soldes et même sur les produits d’occasion.

Si vous êtes dans le délai, « le professionnel ne peut vous refuser la reprise du produit et son remboursement », rappelle la répression des fraudes. Cela comprend « toutes les sommes versées pour l’achat, dont les frais de livraison ». Mais vous devrez par contre payer les frais de retour si la boutique n’a pas indiqué les prendre à sa charge.

En cas de litige avec un revendeur, une boutique ou une marque, pensez à SignalConso.

Depuis peu, X permet de déclarer via une option que son compte est parodique, via une simple case à cocher. À l’heure où nous écrivons ces lignes, on ne trouve pas le réglage en fouillant dans les paramètres mais on peut y accéder depuis ce lien.

Une tête de robot pour des parodies

L’ajout a été remarqué par Swak, qui s’est fait une spécialité d’annoncer en avance les nouveautés du réseau social, ainsi que d’autres services et applications. C’est lui également qui a repéré l’ajout effectif.

Rappelons que dans les premiers mois qui ont suivi le rachat de Twitter par Elon Musk et avant que le réseau devienne X, les imitations et usurpations de comptes étaient nombreuses. La faute au changement intervenu dans la fameuse coche bleue, qui était apposée jusque-là pour marquer l’authenticité du compte. La vérification avait été remplacée par la souscription à l’abonnement Premium, permettant notamment à des plaisantins de s’afficher comme autant de célébrités, dont Elon Musk. Un sujet qui l’agaçait particulièrement.

L’ajout ne change rien aux règles actuelles sur les comptes parodiques, qui doivent mentionner cet aspect de leur ligne éditoriale dans le nom du compte, pas uniquement dans la bio.

Swak note cependant que l’option a une manière étrange de signaler les comptes parodiques, en tout cas pour l’instant : l’émoji tête de robot. Un choix singulier, qui semble indiquer que le compte est un bot. Nous avons testé l’option, mais l’émoji n’est pas apparu. Il est peut-être nécessaire d’attendre.

Bluesky plus « agressif » sur l’usurpation d’identité

De son côté, Bluesky hausse le ton sur tout ce qui touche aux imitations et usurpations. Le réseau, dont le succès grandit, voit arriver depuis quelques semaines un important flux de nouveaux internautes. Vendredi soir, l’un des comptes officiels, Bluesky Safety a donc publié un fil pour aborder la situation.

Consciente que l’arrivée massive de nouveaux utilisateurs entraine une mutation, elle insiste sur l’importance d’identifier les comptes réels. Travaillant « en coulisse pour aider de nombreuses organisations et personnalités à mettre en place leurs noms de domaine vérifié », la société indique avoir modifié ses conditions d’utilisation. Objectif, les rendre plus « agressives » face aux usurpations.

« Les comptes de parodie, de satire ou de fan sont autorisés sur Bluesky, mais ils doivent s’identifier clairement à la fois dans le nom d’affichage et dans la bio pour aider les autres à savoir que le compte n’est pas officiel », indique Bluesky, reprenant ici la ligne de X. S’il manque l’un ou l’autre de ces éléments, le compte recevra une étiquette d’usurpation d’identité qui, elle, n’est pas autorisée.  L’étape suivante sera la suppression du compte.

Bluesky ajoute réfléchir à « des options supplémentaires pour améliorer la vérification des comptes », à la suite de nombreux commentaires en ce sens. « Nous espérons pouvoir vous en dire plus prochainement », ajoute l’entreprise.

La directrice financière d’OpenAI, Sarah Friar, a expliqué lors d’une interview au Financial Times que son entreprise réfléchissait à mettre en place un modèle publicitaire. Si cette nouvelle source de revenus semble actée, l’entreprise n’explique pas encore comment elle va l’intégrer dans ses produits et affirme qu’elle fera attention « quant au moment et à l’endroit » où la publicité sera mise en œuvre.

Après cet entretien, la responsable a envoyé un texte à nos confrères qui semble vouloir atténuer ses propres propos : « notre activité actuelle connaît une croissance rapide et nous voyons des opportunités significatives dans notre modèle d’entreprise actuel. Bien que nous soyons ouverts à l’exploration d’autres sources de revenus à l’avenir, nous n’avons pas de projet actif de publicité ».

Pourtant, le Financial Times souligne que l’entreprise a récemment débauché des spécialistes de la publicité chez Meta et Google. Le journal économique américain s’appuie sur une analyse de différents comptes LinkedIn et des témoignages anonymes.

Selon nos confrères, Sarah Friar a aussi insisté auprès d’eux sur ses compétences et celles de son collègue Kevin Weil, directeur des produits d’OpenAI, en matière de publicité.

Rappelons que, si le chiffre d’affaires de l’entreprise était de 3,4 milliards de dollars en 2023 et qu’elle a encore conclu une levée de fonds de 6,6 milliards de dollars récemment, elle ne prévoit pas d’être rentable avant 2029.

Trademark ®ees

Un nouveau site documente l’histoire du blocage, judiciaire ou administratif, de sites et d’applications web en France. On y découvre que si la « censure » des sites à caractère terroriste, pédocriminel ou liés aux jeux en ligne s’avère opérante, le blocage des sites accusés de violer la propriété intellectuelle, de streaming en ligne et de propagande russe varie selon les FAI.

Après un peu plus d’un an et demi de travail, deux défenseurs des libertés sur Internet viennent de lancer censxres.fr, dont l’objet est d’« éclairer le plus grand nombre sur les pratiques de censure d’Internet en France » :

« Les lois se succèdent depuis des années, avec de moins en moins de débats et de moins en moins d’intérêt politique. Notre but est de faciliter les débats sur les enjeux de ces pratiques (liberté d’expression, vie privée, protection de l’enfance) en rappelant les différentes étapes et le contexte qui ont mené aux lois de censure actuellement en place. »

Le site est l’œuvre de taziden, membre de la FFDN (Fédération des fournisseurs d’accès à Internet associatifs) et co-fondateur d’un FAI associatif en Corrèze, et Etienne “Tek” Maynier, chercheur en sécurité informatique travaillant pour Human Rights Watch, par ailleurs cofondateur et membre actif de l’association Echap de lutte contre les cyberviolences sexistes.

Ils remercient Marc Rees qui, après avoir couvert les problématiques juridiques et légales liées à Internet pour Next INpact, continue à le faire chez L’Informé, « dont le travail de suivi sur ce sujet est inestimable » et qui leur a permis de recueillir les décisions judiciaires afférentes.

Sur leur blog, ils précisent avoir « lancé ce travail en binôme en 2023 en voyant les évolutions drastiques de la censure en France et en voyant le peu d’intérêt médiatique pour ce sujet » :

« En faisant un site, nous avons voulu rendre accessible l’état des lieux de cette censure imposée aux FAI en France en décrivant à la fois l’histoire et l’évolution des réglementations, mais également leur implémentation dans la réalité par les différents opérateurs. »

Leur analyse technique repose en majorité sur les outils mis à disposition par le projet OONI (pour Open Observatory of Network Interference). Créé par des développeurs du Projet TOR en 2011 afin de mesurer différentes formes d’interférences sur le réseau, il permet depuis lors de surveiller et documenter la censure sur Internet, dans le monde entier.

OONI propose en effet une application permettant de découvrir quels sites sont bloqués dans quels pays, et de le partager à la communauté.

Une histoire de la censure du web en France

Dans un éditorial intitulé « La Censure de sites web en France » publié sur sa page d’accueil, censxres.fr rappelle que « la possibilité pour un juge d’ordonner aux fournisseurs d’accès à Internet d’empêcher l’accès à un site web » avait été introduite dans la Loi pour la Confiance dans l’Économie Numérique (LCEN) en 2004 :

Intel annonce dans un communiqué que son CEO Pat Gelsinger a pris sa retraite et « démissionné du conseil d’administration, à compter du 1ᵉʳ décembre 2024 ». Il sera donc resté moins de quatre ans à son poste. Il est remplacé par David Zinsner et Michelle (MJ) Johnston Holthaus, qui assurent l’intérim le temps de trouver un remplaçant.

Le premier est vice-président exécutif et directeur financier, la seconde est CEO d’Intel Products (une entité qui regroupe Client Computing Group, Data Center and AI Group et Network and Edge Group). De son côté, « Frank Yeary, président indépendant du conseil d’administration d’Intel, occupera le poste de président exécutif par intérim pendant la période de transition ».

30 ans chez Intel, avant d’en prendre le contrôle en 2021

Début 2021, Intel commençait l’année sur les chapeaux de roues avec une annonce qui avait fait beaucoup de bruit : le retour du très charismatique Pat Gelsinger, à la tête de l’entreprise cette fois.

Il avait quitté Intel en 2009, après pas moins de 30 ans au sein de la société. Il est d’ailleurs connu pour être l’architecte principal du processeur 80486 et avait fini par devenir directeur technique. Après avoir quitté Intel en 2009, il a rejoint EMC comme directeur financier, puis il est devenu CEO de VMware en 2012.

Pour l’instant, la stratégie reste la même

Frank Yeary affirme d’ailleurs que la suite du travail s’inscrira pour le moment dans la continuité : « simplifier et renforcer notre portefeuille de produits, faire progresser nos capacités de fabrication et de fonderie tout en optimisant nos dépenses d’exploitation et notre capital ».

De son côté, Pat Gelsinger affirme : « diriger Intel a été l’honneur de ma vie […] Aujourd’hui a, bien sûr, un goût doux-amer car cette entreprise a été ma vie pendant la majeure partie de ma carrière professionnelle [… ] L’année a été difficile pour nous tous, car nous avons pris des décisions difficiles, mais nécessaires pour positionner Intel dans la dynamique actuelle du marché ».

2024, année noire pour Intel

L’année 2024 a en effet été particulière pour Intel, avec de mauvais résultats et une dégringolade en bourse : une baisse de 50 % du cours de l’action depuis le début de l’année. Résultat des courses, pas moins de 15 000 licenciements et une réorientation stratégique de ses activités.

Cette situation attise les convoitises de certains concurrents, qui laissent entendre qu’ils seraient intéressés par un rachat du fondeur, en entier (ce qui risque d’être très compliqué d’un point de vue légal) ou à la découpe. Situation délicate pour Intel, qui doit garder le contrôle de ses usines pour conserver ses subventions américaines.

• Intel doit maintenir le contrôle de ses usines pour garder ses subventions américaines

Un « comité de recherche » a été mis sur pied pour trouver un remplaçant à Pat Gelsinger qui aura, à n’en pas douter, beaucoup de pain sur la planche.

Droits en solde

À l’occasion du Black Friday, des organisations d’une vingtaine de pays se sont jointes à une campagne désormais annuelle de dénonciation des pratiques d’Amazon en termes de droits du travail, de droits humains, de fiscalité et d’impact environnemental.

Des travailleurs Amazon et des syndicats d’une vingtaine de pays se sont mis en grève contre Amazon pendant le Black Friday et le Cyber Monday, campagne marketing qui s’étend de vendredi 19 novembre à ce lundi 2 décembre.

Coordonnée par le groupe Make Amazon Pay, l’action vise principalement à obtenir de l’entreprise qu’elle améliore les conditions de travail de ses employés et contractuels, leur fournisse des emplois mieux sécurisés (aussi bien en termes de salaires que de sécurité dans l’exercice de leurs activités), et respecte leurs droits universels.

Parmi ses requêtes, l’initiative demande aussi à Amazon d’opérer de manière soutenable envers l’environnement et de « rendre » à la société ce qu’elle lui a donné, aussi bien en payant ses impôts qu’en réduisant ses pratiques et technologies attentatoires aux droits humains.

Make Amazon Pay réunit plus de 80 organisations à travers le monde, dont Attac, Corporate Europe Observatory ou Oxfam.

Cinquième année de mobilisation

En France, en Allemagne, en Pologne, aux États-Unis, en Turquie, en Inde, au Japon ou encore au Brésil, des grèves, des manifestations et d’autres actions ont été organisées pour protester contre les pratiques d’Amazon, qui fait partie des grands promoteurs de l’opération du Black Friday.

Le mouvement est loin d’être récent : Make Amazon Pay travaille depuis cinq ans à coordonner des acteurs à l’international pour tenir Amazon responsable de ses actes lors de l’un des week-ends de shopping les plus intenses de l’année : celui qui s’étend du Black Friday au Cyber Monday.

En 2023, cela avait notamment eu pour effet de voir des membres de syndicats allemands, italiens et californiens se joindre aux grévistes britanniques devant l’entrepôt de Coventry, déjà au moment du Black Friday. En 2020, plus de 400 législateurs de 34 pays avaient par ailleurs signé une lettre ouverte envoyée au dirigeant d’Amazon Jeff Bezos. Ils y demandaient, déjà, un plus grand respect des droits des travailleurs et de ses obligations fiscales.

« Ces groupes représentent des intérêts variés et, bien que nous soyons toujours à l’écoute et que nous cherchions des moyens de nous améliorer, nous restons fiers des salaires compétitifs, des avantages sociaux complets et de l’expérience de travail stimulante et sûre que nous offrons à nos équipes », a déclaré Amazon auprès du Guardian.

Droit du travail, fiscalité, protection de l’environnement

En Inde, quelque 200 employés d’entrepôts et livreurs Amazon n’en ont pas moins rejoint New Delhi pour manifester, rapporte AP. Parmi leurs principales revendications : la hausse des salaires et le respect de leurs droits, alors que certains ont été privés de pause pour boire ou se rendre aux toilettes, y compris en périodes caniculaires.

Sur sa plateforme, Make Amazon Pay liste des « exigences communes », réunies en cinq chapitres :

• l’amélioration du lieu de travail, entendue comme la sécurisation des activités, l’amélioration du salaire, la négociation de temps de pause, entre autres éléments ;
• la sécurité du travail, au sens de la fin des statuts précaires de contractuels ou de free-lances ;
• le respect des droits universels des travailleurs, catégorie où elle regroupe notamment la fin des actions anti-syndicalisation et l’ouverture du dialogue avec les représentants des travailleurs ;
• la soutenabilité environnementale, dans laquelle l’entité demande d’atteindre les objectifs de zéro émission de carbone d’ici 2030, de renoncer aux contrats d’Amazon Web Services avec des sociétés pétrolières ou gazières, ou encore à la publicité entretenant le déni du changement climatique ;
• et le fait de « rendre » à la société, c’est-à-dire notamment de payer les impôts nécessaires, de cesser ses pratiques anti-compétitives, ou encore de mettre fin aux contrats de l’entreprise avec la police ou les autorités en charge de l’immigration.

En 2019, Amazon a payé 1,2 % d’impôts aux États-Unis, selon Make Amazon Pay. En France et en Europe, Bloomberg démontrait que la société n’avait payé aucun impôt en 2021, quand bien même elle avait engrangé plus de 50 milliards de dollars de chiffre d’affaires.

En France, des contestations régulières

En France, Attac a organisé des actions dans tout le pays pour protester contre l’évasion fiscale de l’entreprise. L’ONG se positionne aussi en faveur de la taxation unitaire des multinationales, estimant que la mesure permettrait d’éviter les « opérations complexes » auxquelles des entreprises comme Amazon ont recours « pour payer toujours moins d’impôt ».

• Amazon France confronté à sa première vague de grèves et de perturbations

Le Black Friday est loin d’être le seul moment lors duquel le géant du e-commerce essuie des contestations : à Marseille, les 47 salariés d’un sous-traitant d’Amazon ID Logistics se sont ainsi mis en grève fin octobre pour réclamer des indemnités de départ, après ce qu’ils qualifient de « licenciements déguisés ».

Le 19 novembre, au Blanc-Mesnil, une quarantaine d’agents de tri débrayaient à leur tour. En cause : un élargissement de leurs horaires de nuit de minuit à 9h30 du matin contre 23 heures – 6 h 30 aujourd’hui.

C'est mal fait, mais ça fonctionne

Des chercheurs ont découvert un premier bootkit pour Linux capable de contourner la chaine de sécurité de l’UEFI. Une exploitation de l’une des failles LogoFAIL, alors qu’elles étaient considérées jusqu’à maintenant comme théoriques.

Linux est considéré comme plus à l’abri que Windows face aux menaces informatiques. Si l’on se penche sur les bootkits, c’est effectivement le cas. Un premier PoC est arrivé en 2012 sur un bootkit capable de contourner la chaine de sécurité de l’UEFI. Les premiers activement exploités sur Windows ont été ESPecter, découvert par ESET, et FinSpy, trouvé par Kaspersky, tous deux en 2021. Puis BlackLotus est apparu l’année dernière : le premier bootkit Windows capable de contourner intégralement Secure Boot.

Linux a maintenant le sien. Ou plutôt, Linux a désormais un proof of concept (PoC), parfaitement fonctionnel, trouvé sur un serveur et apparemment inexploité. Caractéristique principale de Bootkitty – puisque c’est le nom donné par ses auteurs – il se sert de l’une des failles LogoFAIL, découvertes il y a un an. Or, on pensait ces failles toutes théoriques. Bootkitty rebat les cartes.

À la racine de l’attaque, les failles LogoFAIL

LogoFAIL désigne un lot de douze failles qui ont fait parler d’elles à la fin de l’année dernière. Le nom annonce la couleur : il est possible d’utiliser l’image bitmap servant à afficher un logo au démarrage du PC pour intégrer un code shell malveillant. Difficile à exploiter, les chercheurs n’avaient trouvé aucun cas d’utilisation de LogoFAIL jusqu’à ce jour. En outre, Intel et AMD avaient corrigé ces failles en décembre 2023. Mais comme toujours avec les firmwares des cartes mères, les mises à jour n’ont pas été installées partout.

Dans le cas de Bootkitty, le code shell a pour mission d’installer une clé cryptographique, explique ESET. Celle-ci sert à signer numériquement un fichier GRUB (un gestionnaire de démarrage pour Linux) et un noyau Linux spécifique, qui sera exécuté plus tard dans la chaine de démarrage du système. Ces composants, puisqu’ils sont signés, sont traités comme des éléments de confiance par l’UEFI. La porte dérobée est ainsi ouverte avant que d’autres processus de sécurité n’entrent en piste.

S’il s’agit bien d’un bootkit, il se fait en quelque sorte à la périphérie, car le code malveillant appelle d’autres composants pour réaliser des actions. Le firmware UEFI se retourne contre lui-même, en validant l’authenticité de composants tiers, mais ne contient pas lui-même le code malveillant.

Un code de mauvaise qualité

Selon les découvertes d’ESET, Bootkitty a été développé par un certain BlackCat, sans que l’on sache s’il s’agit d’une personne ou d’un groupe. Il n’y aurait pas de lien avec le groupe BlackCat déjà connu pour ses ransomwares, ceux-ci étant exclusivement écrits en Rust, quand Bootkitty est écrit en C. Plusieurs noms sont indiqués dans l’un des fichiers, et l’un d’eux renvoie vers un dépôt GitHub, mais sans dépôt public mentionnant Bootkitty.

Les chercheurs se sont également rendu compte qu’en l’état, Bootkitty est surtout capable de n’infecter qu’Ubuntu. Le code malveillant cherche en effet à identifier des séries d’octets spécifiques en mémoire pour en changer les valeurs à la volée. Or, ces séries sont codées en dur et sont donc intimement liées au système.

Le code en C comporte aussi de nombreuses erreurs, toujours selon ESET. Par exemple, Bootkitty est capable de patcher le noyau Linux pour y installer des instructions. Problème, il ne cherche pas à détecter la zone à modifier, il intègre ses lignes de code à des positions fixes, qui parfois ne sont pas les bonnes. Le noyau, au lieu d’être patché, ne fonctionne alors plus, faisant planter tout le système.

En outre, de lui-même, Bootkitty ne peut pas contourner Secure Boot, car il est accompagné d’un certificat autosigné. Pour y parvenir, il doit réussir l’exploitation de LogoFAIL. Si la faille a été corrigée, le bootkit n’a plus aucun moyen d’agir.

Pour une poignée de bitmaps

Si ESET a bien découvert Bootkitty, le lien avec LogoFAIL a été établi par une autre entreprise de sécurité : Binarly. Celle-ci est spécialisée justement dans la sécurité des firmwares et la gestion de la chaine d’approvisionnement.

Dans un article publié vendredi soir, la société explique avoir immédiatement repéré deux images au format bmp sur le serveur sur lequel était stocké Bootkitty, présent sous la forme d’un fichier bootkit.efi. Or, les noms de ces images ne leur étaient pas inconnus : logofail.bmp et logofail_fake.bpm. Il s’agissait des noms utilisés par Binarly lors de sa présentation sur le sujet à la conférence BlackHat EU de l’année dernière.

La découverte de ces deux fichiers – l’un de 16 Mo, l’autre de 7,7 ko – dans le même dossier qu’un firmware a fait se poser la question aux chercheurs : quelqu’un avait-il trouvé le moyen d’exploiter LogoFAIL ? On connait la réponse, confirmée après analyse du fichier de 16 Mo, dans lequel du code shell a été trouvé au sein d’une structure jugée « inhabituelle ».

Un PoC « seulement »

Faut-il s’inquiéter ? Pas encore, mais la vigilance s’impose. La découverte de Bootkitty signale que des acteurs malveillants travaillent activement sur la question. D’un autre côté, ESET signale que le code de Bootkitty est encore assez rudimentaire, comparé à ceux existant pour Windows, et que certaines fonctions sont inopérantes. En outre, il ne sait apparemment infecter qu’Ubuntu et ne peut pas contourner Secure Boot sans exploiter une faille dont les correctifs sont disponibles depuis un an.

Sur la base de ces observations, les chercheurs ESET en ont déduit que Bootkitty est probablement une version de démonstration, un PoC parfaitement fonctionnel mais n’assurant que le minimum, le code comportant de nombreuses « imperfections ». Même son de cloche chez Binarly, qui a complété les découvertes d’ESET. Cette dernière dit n’avoir trouvé aucune exploitation active de Bootkitty, mais cela ne présage en rien de l’avenir.

« Qu’il s’agisse d’une preuve de concept ou non, Bootkitty marque une avancée intéressante dans le paysage des menaces UEFI, brisant la croyance selon laquelle les bootkits UEFI modernes sont des menaces exclusives à Windows », indique ainsi ESET.

Pour l’instant, la seule solution efficace pour se prémunir de Bootkitty et de ses éventuelles évolutions est d’installer le dernier firmware disponible pour la carte mère de l’ordinateur.

Chez Free Mobile, ont-ils tout compris ?

Ce matin, la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) a mis en ligne une décision concernant une « amende transactionnelle de 2,2 millions d’euros pour pratique commerciale trompeuse ».

Free Mobile trainait des pieds sur des remboursements

En cause donc, une pratique commerciale trompeuse de Free Mobile entre le 17 août 2020 et le 4 janvier 2022. La répression des fraudes explique que, après « des annulations de commandes de téléphone mobile faites par ses clients », l’opérateur n’avait pas effectué « dans un délai raisonnable le remboursement des sommes versées à la commande auxquelles ceux-ci étaient en droit de prétendre ».

Comme le rappelle le Conseil d’État, la procédure transactionnelle est une « alternative aux poursuites pénales ». Son résultat (une amende dans le cas présent) est une « « alternative » à une peine pénale ou à une sanction administrative ». La DGCCRF explique que Free Mobile « a accepté le bénéfice de la transaction qui lui a été proposée, par la DDPP de Paris, avec l’accord de Madame la Procureure de la République près le tribunal judiciaire de Paris ».

Cette « transaction » comprend plusieurs volets. Tout d’abord, le paiement au Trésor Public d’une amende de 2,2 millions d’euros. Ensuite, « l’engagement de cesser les pratiques commerciales trompeuses constatées » et « la suppression dans ses conditions générales de vente, de la clause prévoyant qu’elle « pourra opérer une compensation entre les sommes prélevées au titre du présent contrat (de commande de téléphone mobile) et de toutes sommes dues envers Free Mobile ». Enfin, cette « transaction » prévoit « la publication du présent communiqué » nominatif.

Communication sur la 5G : Famille Rurales gagne en appel contre Free Mobile

En fin de semaine dernière, Free essuyait un autre revers en justice, face à Famille Rurales cette fois-ci. Dans un communiqué, l’association annonce avoir obtenu « la condamnation de l’opérateur Free Mobile pour avoir communiqué de façon trompeuse sur les performances permises par son réseau 5G lors de la commercialisation de ses premières offres ».

Familles rurales reprochait à Free « d’induire sciemment les consommateurs en erreur quant aux performances de son réseau ». La cour d’appel de Paris vient de donner raison à l’association sur plusieurs points, selon le communiqué de cette dernière.

La cour d’Appel a ainsi considéré que la communication de l’opérateur se révélait « trompeuse s’agissant de l’allégation consistant à annoncer un « débit ultra rapide jusqu’à 3 fois plus rapide que la 4G » », mais aussi sur la « large couverture : déjà 40% de la population couverte par la 5G en France » et enfin sur « la cartographie de la couverture du réseau 5G sur son site internet ».

• [FAQ] Notre antisèche sur la 5G

En trame de fond, une histoire de fréquence. À son lancement, Free misait tout sur les 700 MHz, une bande de fréquence qui porte loin (y compris à l’intérieur des bâtiments) et permet donc de toucher le plus grand nombre de clients rapidement. Par contre, cette fréquence ne dispose pas d’autant de bande passante disponible, et limite donc les débits maximums théoriques par rapport à ce que proposent les 3,5 GHz. Nous avons déjà expliqué ces différences dans notre antisèche sur la 5G.

Depuis quatre ans (et le lancement de la 5G), Free est en tête des observatoires de l’Arcep sur le déploiement, grâce à la réutilisation massive des 700 MHz. Orange de son côté, utilise quasi exclusivement les 3,5 GHz pour la 5G, tandis que Bouygues Telecom et SFR sont entre les deux.

• Déploiement de la 5G : le grand écart des opérateurs
• Free propose la 5G « sans surcoût », 40 % de la population couverte

Absence de surcoût vs nouveau smartphone

Autre grief de l’association face à Free Mobile : une communication trompeuse sur « l’allégation relative à « l’absence de surcoût », les consommateurs ayant notamment dû s’équiper de téléphones « compatibles 5G », les premiers à être commercialisés à l’époque et donc souvent les plus onéreux ». Pour Familles rurales, il y avait donc un surcoût pour profiter de la 5G et la cour d’appel lui a donné raison.

Action de groupe et/ou cassation ? Les pistes sont ouvertes

Enfin, l’association « salue le travail de motivation des magistrats », mais affirme que « le Mouvement n’entend pas en rester là. Une action de groupe est en effet à l’étude afin de voir les consommateurs ayant dû s’équiper de téléphones onéreux pour profiter des débits indument annoncés, indemnisés ».

Pour l’association, « le préjudice économique qu’ils ont subi est démontré » et Free doit donc indemniser ses clients. Mais, comme le rappelle également Familles rurales, cette décision de la cour d’appel est susceptible de pourvoi en cassation. L’histoire n’est peut-être donc pas encore terminée.

« Plus grand réseau 5G de France » : Free avait gagné contre Orange

Il y a quelques mois, Free avait remporté une bataille judiciaire contre Orange, toujours autour de la communication sur la 5G. « Le tribunal de commerce de Paris estime que Free, qui revendique « le plus grand réseau 5G de France », n’a commis aucune pratique commerciale trompeuse dans ses campagnes publicitaires, comme l’affirme l’opérateur historique », expliquait La Tribune en mai.

En cause, là encore, une affaire de fréquence. Sur son site, Free revendique « plus de 94 % de couverture en 5G », mais pour Orange cette indication n’est pas suffisante et « devrait s’accompagner de précisions claires sur les performances et les débits de sa 5G, notamment en fonction des bandes de fréquences qu’il utilise », expliquaient nos confrères.

La plateforme de financement participatif Ulule annonce ce 2 décembre le rachat de son concurrent KissKissBankBank, jusqu’ici filiale de La Banque Postale.

Les deux entités devraient continuer d’exister tout en partageant une infrastructure technologique commune, selon le communiqué (.pdf) d’Ulule.

Auprès de l’AFP, le directeur général d’Ulule, Arnaud Burgot, précise que les deux entités ont le même métier, mais qu’Ulule a « développé d’autres services comme un organisme de formation et un canal de distribution » tandis que KissKissBankBank offre à ses clients « un accompagnement premium ».

À elles deux, les plateformes indiquent avoir « depuis 15 ans permis à 80 000 projets entrepreneuriaux, solidaires, créatifs et culturels de voir le jour sur leurs plateformes », permettant à une communauté de 9 millions de personnes d’organiser la collecte de 480 millions d’euros.

Créée en 2009, KissKissBankBank a été rachetée par La Banque Postale en 2017, sans atteindre la rentabilité. Fondée un an plus tard, Ulule se déclare rentable depuis 2020.

En février 2024, le gouvernement britannique rendait obligatoire la publication de la liste des systèmes d’IA utilisés en son sein.

Dix mois plus tard, le secrétaire d’État aux technologies admet que ces obligations ne sont absolument pas respectées, rapporte le Guardian.

Comme en France, les alertes sur le risque de rendre le secteur public aveugle à ses propres déploiements technologiques, susceptibles de toucher des millions de vies, se multiplient pourtant dans le pays.

Le gouvernement britannique utilise, en effet, une variété de système pour faciliter ses décisions comme Copilot de Microsoft testé en de multiples endroits. Mais il a aussi mis en place des systèmes de détection des erreurs et des fraudes dans la gestion des aides sociales. Le ministère de l’Intérieur britannique a encore récemment signé un contrat de 20 millions de livres, dont l’existence relance les inquiétudes envers une potentielle surveillance biométrique de masse.

Au total, les informations relatives à neuf systèmes ont été soumises au registre public d’information. Aucun d’entre eux ne concerne les technologies utilisées dans les domaines de l’aide sociale, de l’Intérieur ou de la police.


• [Interview] Efficacité, coût des algorithmes publics : les administrations manquent de transparence