Plus des deux tiers résidaient au Mexique, 100 en Inde et, pour la plupart, dans des pays semi-autoritaires, plus une soixantaine dans des pays occidentaux, dont 7 en France. L’entreprise israélienne s’est depuis dotée d‘une charte en matière de protection des droits humains, et d’une liste noire de 60 pays ne les respectant pas. Elle revendique 54 clients dans 31 pays, contre 60 clients dans 40 pays en 2021.
Les chiffres émanent d’un document judiciaire, rendu public dans le cadre de l’action intentée par WhatsApp contre NSO, et repéré par Ctech et TechCrunch. La messagerie, propriété de Meta, accusait l’entreprise d’avoir ciblé « environ 1 400 » de ses utilisateurs, dont 100 défenseurs des droits humains et journalistes.
Le document ne fournit pas la liste des clients de NSO, mais un tableur intitulé « décompte des victimes par pays », estampillé « Highly Confidential – Attorneys’ Eyes Only » (« Hautement confidentiel – réservé aux avocats ») permet de s’en faire une idée. Mais également de découvrir, souligne Ctech, qu’un « nombre disproportionné » de victimes vivaient dans des pays « qui ne sont pas des démocraties occidentales », et que nombre des clients de NSO (qui doivent être validés par les autorités israéliennes) seraient des régimes semi-autoritaires.
On y découvre en effet que plus des deux tiers (456) résidaient au Mexique, 100 en Inde, 82 au Bahreïn, 69 au Maroc, 58 au Pakistan, 54 en Indonésie, et 51 en Israël. Parmi les autres pays comptant un nombre important de victimes figurent l’Ouzbékistan (43), l’Algérie (38), Chypre (31) et la Turquie (26).
Le nombre de victimes résidant dans des pays occidentaux est sans commune mesure, puisque si l’Espagne en dénombre que 21, les Pays-Bas n’en compte que 11, la Hongrie 8, la France 7, la Belgique et la Finlande 4, la Suisse 3, le Royaume-Uni et l’Allemagne 2, le Canada et États-Unis 1.
Il reste 77% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
AmigaOS est un système d’exploitation pour les Amiga, une gamme d’ordinateurs des années 80 et 90 de la marque Commodore. La version 3.x vient d’avoir droit à une mise à jour : la 3.2.3. Si AmigaOS 3.1 date bien des années 90, AmigaOS 3.2 a été lancé plus récemment, en 2021. Marty, démarre la DeLorean, on arrive !
Les Amiga, ça vous parle ? Il s’agit d’une série d’ordinateurs personnels commercialisés par la société Commodore dans les années 80 et 90. La corde nostalgique des plus vieux d’entre nous vibre certainement déjà, tandis que les plus jeunes sont probablement en mode « ok boomer ».
Amiga 500/1000 vs Atari 520/1040 ST : fight !
Les premiers et plus connus sont sans doute les Amiga 500(+) et Amiga 1000. Il y a aussi eu une console de jeu, l’Amiga CD32. Les ordinateurs et la console fonctionnent avec un système d’exploitation maison simplement baptisé AmigaOS.
C’était une époque où la société avait un concurrent de taille : Atari avec ses 520 ST et 1040 ST. On apprécie d’ailleurs la proximité des références, avec le « un peu plus » d’Atari sur les chiffres. Aussi bien les Amiga que les Atari exploitaient un CPU de chez Motorola : le 68000 (puis des déclinaisons par la suite). C’était une star à l’époque et on le retrouvait aussi dans l’Apple Lisa, entre autres machines.
La première version 1.0 date des premières machines dans les années 80. AmigaOS 2.0 sort en 1990 et AmigaOS 3.0 a été publié en 1992, puis la 3.1 entre 1993 et 1994. C’était la dernière version proposée par la société Commodore, qui a fait faillite en 1994.
Ensuite… c’est le grand bazar.
Il reste 77% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Dans son communiqué transmis par email, la société française spécialisée dans l’informatique quantique rappelle que « Michel Paulin a passé l’essentiel de sa carrière dans le domaine de la Tech et des télécom. En particulier il a auparavant été directeur général d’OVHcloud, de SFR et de Neuf Cegetel ».
Ce Comité « regroupe des éditeurs de logiciels, qui développent des briques technologiques essentielles à la construction de parcours de confiance, et des fournisseurs de solutions numériques dans les domaines stratégiques du cloud, des offres collaboratives, de l’intelligence artificielle, des technologies quantiques, immersives et du logiciel ».
Depuis 2022, Michel Paulin est aussi membre nommé du conseil d’administration de l’Institut national de recherche en sciences et technologies du numérique (INRIA).
« Ses conseils seront extrêmement utiles au moment où Quandela amorce son développement à l’international et la montée en puissance de la production d’ordinateurs quantiques », explique Niccolo Somaschi, cofondateur et directeur général de Quandela.
Michel Paulin connait bien les machines quantiques de Quandela : il était encore à la tête d’OVHcloud quand l’hébergeur en a acheté une. Sur la photo ci-dessous, on peut d’ailleurs le voir à côté de la machine quantique lors de son inauguration.
Déjà présente et impliquée dans plusieurs instances européenne et internationale, la CNIL veut renforcer son influence. Elle souhaite se maintenir, au niveau mondial, « à l’avant-garde des développements juridiques, technologiques et économiques liés à la protection des données personnelles ».
La Commission nationale de l’informatique et des libertés a publié sa stratégie européenne et internationale pour les années 2025 à 2028. Elle vient en complément de son plan stratégique national dévoilé au début de l’année. Il était pour rappel axé sur la promotion d’une « intelligence artificielle éthique et respectueuse des droits ».
La Commission affiche franchement ses ambitions dans ce nouveau document : « se positionner pour s’assurer de la protection des données des personnes en France, en Europe et dans le reste du monde ».
Trois axes sont mis en avant sur la question des données personnelles : fluidifier la coopération européenne, promouvoir des standards internationaux élevés en accompagnant l’innovation et la circulation des données, et enfin consolider l’influence européenne et internationale de la CNIL.
« Jouer un rôle de premier plan au niveau européen »
Pour le premier point, la CNIL explique qu’elle « se doit de jouer un rôle de premier plan au niveau européen » et donc « s’impliquer dans l’amélioration de l’efficacité et la fluidification de la coopération européenne ».
D’autant plus que le contexte géopolitique est tendu et que l’Europe est en pleine phase de renouveau législatif sur le numérique. Ce dernier occupe toujours plus de place numérique et prend même de l’ampleur avec les sujets d’identité numérique et d’IA générative.
Le but ? Permettre l’adoption rapide de positions communes (avis, lignes directrices, bonnes pratiques et sanctions) au sein du CEPD (Comité européen de la protection des données). Ce Comité est un organe de l’Union européenne mis en place par le RGPD. Il dispose du pouvoir d’adopter des « décisions contraignantes pour trancher les différends entre autorités de contrôle ».
La Commission participe aussi à la supervision de plusieurs systèmes : Eurodac (empreintes digitales des demandeurs d’asile), Europol (coopération policière), Eurojust (coopération judiciaire), Schengen (signalement aux frontières), Douanes, Visas.
Étendre son influence à l’international
Sur le deuxième axe (promouvoir des standards internationaux), la CNIL rappelle qu’elle participe déjà aux travaux de plusieurs instances internationales intergouvernementales : Conseil de l’Europe, Organisation de coopération et de développement économiques, Global Privacy Assembly, G7 des autorités de protection de la vie privée, Association francophone des autorités de protection des données personnelles… Elle affirme qu’elle « doit poursuivre son implication dans ces instances ».
Elle veut aussi étendre son influence à d’autres instances internationales de protection des données personnelles, « notamment Global Cross Border Privacy Rules Forum (Global CBPR Forum), l’Association des nations de l’Asie du Sud-Est (ASEAN), la Coopération économique pour l’Asie-Pacifique (APEC) ou le réseau ibéro-américain de protection des données (RIPD) ».
La Commission précise au passage qu’elle souhaite « maintenir un lien étroit avec le gouvernement français » sur la question de la protection des données.
Rester à l’avant-garde
Enfin, le troisième et dernier axe (influence européenne et internationale) vient en soutien des deux premiers. Il s’agit de maintenir de bonnes relations avec les autres autorités afin de faciliter le partage de sa position et d’obtenir le soutien d’autres parties prenantes : « La doctrine de la CNIL doit être renforcée sur les grands enjeux internationaux de la protection des données personnelles pour susciter l’adhésion ».
Pour garder sa « position pertinente » au niveau international, la CNIL « veut se maintenir à l’avant-garde des développements juridiques, technologiques et économiques liés à la protection des données personnelles ». Elle veut apporter « une réponse dès à présent à l’impact de la mondialisation, des développements technologiques et de la circulation des données personnelles ».
Pour cela, elle doit « consolider sa doctrine en matière de transferts de données » et « anticiper les enjeux internationaux liés aux flux transfrontaliers de données personnelles ».
Moins d’un Français sur deux lit chaque jour, s’inquiète le Centre National du Livre… mais cela n’empêche pas le marché du livre d’occasion de bien se porter.
En 2022, 9 millions de Français avaient acheté des livres d’occasion pour un prix deux fois et demi inférieur à celui des livres neufs, en moyenne. Avec pour principaux bénéficiaires, les plateformes numériques comme Amazon, Momox, eBay ou Vinted.
Pour les auteurs – dont les travaux sont par ailleurs allègrement utilisés par les géants numériques pour entraîner leurs modèles d’IA – et les éditeurs, le manque à gagner est visible. Si bien que depuis des années, ils plaident pour la création d’un droit de suite au droit d’auteurs, qui permettrait de toucher une rémunération lors de la vente d’un livre d’occasion.
Si le gouvernement tarde à s’emparer du sujet, la ministre de la Culture Rachida Dati a indiqué en plein Festival du livre s’apprêter à demander un avis au Conseil d’état.
Une annonce dont Télérama souligne l’aspect tardif, dans la mesure où le président de la République, lors de l’édition précédente du Festival, déclarait déjà demander à la ministre de faire des propositions sur le sujet.
Tirée par les usages du cloud et de l’IA, la multiplication de centres de données sur le globe accentue la pression sur les zones arides.
Avec le soutien affiché de Donald Trump, Amazon, Microsoft et Google prévoient la construction de nouveaux datacenters partout sur la planète, avec des effets potentiellement importants des zones subissant déjà des restrictions d’accès à l’eau.
Si le nombre et les localisations précises de ces entrepôts de serveurs sont généralement gardées secrètes, les journalistes de Source Material ont collecté coupures de presses locales et sources de l’industrie pour cartographier 632 centres de données actifs ou en projet sur le globe.
63 % de datacenter en plus en zones sèches
Principal constat : sur les cinq continents, les entreprises prévoient une augmentation de 78 % du nombre de leurs centres de donnés pour accompagner l’expansion de leurs services de cloud et soutenir la croissance de l’intelligence artificielle. Et dans les zones les plus sèches, qui devraient observer une augmentation de 63 % du nombre de datacenter, cela crée de vrais conflits d’usage.
En 2023, Microsoft déclarait que 42 % de sa consommation d’eau venait de zones « en stress hydrique », et Google indiquait que 15 % était tirée de région « en forte pénurie d’eau ». Pour la fondatrice d’Ethical Tech Society Jaume-Palasí interrogée par the Guardian, « ils ne construisent pas dans des zones arides par pure coïncidence » : la faible humidité réduit les risques de corrosion des métaux, corrosion que l’eau de mer provoquerait aussi si elle était utilisée pour refroidir les serveurs.
En interne, des employés contestent d’ailleurs la politique menée par les géants numériques. Chez Amazon, l’ex-responsable de la soutenabilité de l’eau Nathan Wangusi explique avoir contesté la politique consistant principalement à compenser sa consommation d’eau en aidant l’accès d’autres communautés en difficultés, dans la mesure où l’eau, contrairement aux émissions de carbone, est un enjeu plus local.
Les trois prochains datacenters qu’Amazon prévoit d’installer en Aragon, au nord de l’Espagne, ont par exemple obtenu des licences pour utiliser plus de 755 000 m³ d’eau (des volumes suffisants pour irriguer plus de 230 hectares de mais). Chaque centre sera créé à côté de datacenters préexistants.
Sur place, la sécheresse est pourtant telle que le gouvernement a demandé en mars l’aide de l’Union européenne.
Interrogés par Source Material et The Guardian, Amazon et Google ont déclaré prendre l’accès à l’eau en compte au moment du déploiement de leurs infrastructures. Microsoft n’a pas répondu. Si Amazon est historiquement le plus gros détenteur de centres de données, les deux autres entreprises le rattrapent rapidement.
Les grands plans d’investissement comme le projet Stargate, annoncé en grande pompe après l’investiture de Donald Trump, sont de nature à soutenir la tendance.
Dans un communiqué publié hier, NVIDIA a annoncé qu’une partie de ses supercalculateurs sera produite aux États-Unis d’ici quelques années. L’entreprise a présenté un vaste plan de bataille impliquant plusieurs partenaires.
NVIDIA dit avoir réservé de vastes espaces dans deux États. En Arizona, seront ainsi effectués la fabrication et les tests des puces Blackwell. Au Texas, qui ressemble de plus en plus à la nouvelle terre promise de la tech, NVIDIA fabriquera des supercalculateurs dédiés à l’IA. La firme ajoute d’ailleurs qu’elle n’a pas attendu pour lancer une production sur le sol américain, puisque des puces Blackwell sont déjà fabriquées par l’usine TSMC de Phoenix.
Au Texas, les usines de production sont construites en partenariat avec Foxconn et Wistron, respectivement à Houston et Dallas. La production de masse est attendue dans un délai allant de 12 à 15 mois, si tout se passe bien.
Comme nous l’avions souligné précédemment, ces usines dépendent d’une chaine logistique complète. La firme au caméléon aborde la question dans son communiqué, évoquant les « technologies de fabrication, d’emballage, d’assemblage et de test les plus avancées ». NVIDIA annonce des partenariats avec les sociétés Amkor et SPIL dans cette optique.
La société compte construire pour 500 milliards de dollars d’infrastructures d’IA au cours des quatre prochaines années, avec les entreprises partenaires citées. Ce chiffre semble presque devenu un standard, après les 500 milliards annoncés pour le projet Stargate et ceux proclamés par Apple. Ces annonces font toutes suite à la volonté farouche affichée de Donald Trump de ramener la production au sein des frontières étasuniennes, qui a déclenché une vaste guerre commerciale.
TSMC, le plus gros producteur mondial de puces, est également sous pression, le gouvernement Trump ayant menacé de lui imposer une taxe de 100 % s’il ne construisait pas plus d’usines aux États-Unis. Il avait pourtant annoncé un mois auparavant poser 100 milliards de dollars supplémentaires sur la table.
Et puisque l’on parle de TSMC, la société a réalisé hier soir une annonce conjointe avec AMD. Les deux partenaires ont ainsi présenté le tout premier produit fabriqué à partir du processus de gravure 2 nm de TSMC (N2). Il s’agit du prochain processeur EPYC, nom de code Venice, prévu pour l’année prochaine. AMD a également annoncé que son dernier processeur EPYC (9005, 5ᵉ génération) allait être produit dans la nouvelle usine de TSMC en Arizona. AMD ajoute que la décision souligne « son engagement en faveur de la fabrication aux États-Unis ».
Pour NVIDIA en tout cas, tout va cependant pour le mieux. Cette débauche d’activité devrait en effet « créer des centaines de milliers d’emplois et générer des milliers de milliards de dollars de sécurité économique au cours des prochaines décennies ».
La rumeur d’une cession bruissait depuis des mois, elle est désormais confirmée : Intel a annoncé lundi soir avoir vendu 51 % d’Altera au fonds d’investissement Silver Lake. La transaction se fait sur la base d’une valorisation d’entreprise fixée à 8,75 milliards de dollars, ce qui signifie qu’Intel devrait empocher quelque 4,3 milliards de dollars, tout en gardant 49 % de son ex-filiale spécialisée dans les puces reprogrammables (FPGA).
Un nouveau dirigeant accompagne ce changement de gouvernance : Sandra Rivera cède la place à Raghib Hussain comme CEO. Venu de Marvell, il aura la charge de piloter le développement d’Altera « pour répondre aux demandes et aux opportunités d’un marché axé sur l’IA ».
Cette vente partielle d’Altera intervient pour mémoire dans un contexte de réorganisation stratégique de grande ampleur chez Intel, destinée à enrayer plusieurs trimestres consécutifs de pertes et à mieux repositionner l’entreprise sur le marché des semi-conducteurs, qu’il s’agisse de sa branche produits, ou de ses activités de fondeur.
En juillet 2023, la CNIL lançait la troisième édition de son « bac à sable », consacré à l’intelligence artificielle, avec un axe d’amélioration des services publics. L’heure est au bilan. La Commission dit en avoir dégagé plusieurs enseignements et a sélectionné trois projets pour les accompagner. Le prochain bac à sable se concentrera sur l’économie des séniors.
En matière d’IA, il existe un fossé conséquent entre les envolées théoriques des annonces et les cas d’usages les plus pratiques. Comment la mettre à disposition dans le cadre des services publics notamment ? Pour la CNIL, la relation avec les administrés était un axe prioritaire de réflexion, la Commission souhaitant également accompagner son développement pour mettre en avant des projets « vertueux ».
De l’IA concrète dans les services publics
Il y avait ainsi eu appel d’offres en janvier 2023. Huit avaient été sélectionnés et annoncés en novembre 2023. On y trouvait par exemple le projet Albert de la DINUM, pour fournir des informations aux agents de la fonction publique, les « Conseils personnalisés d’Intelligence Emploi » de France Travail, ou encore un projet de la RATP travaillant sur de nouvelles formes de captation vidéo.
Dans le rapport publié vendredi 11 avril, la CNIL présente une synthèse des enseignements récolés pendant toute l’étude et l’accompagnement de ces projets. Des éléments clés qui pourraient être « utiles à d’autres acteurs engagés dans le déploiement de projets d’intelligence artificielle appliqués aux services publics ».
« Pendant cet accompagnement, les équipes ont notamment travaillé sur les enjeux de la constitution d’une base de données à des fins d’apprentissage, la notion d’intervention humaine significative, la minimisation des données d’une IA générative ou encore sur une nouvelle forme de captation vidéo », indique ainsi la Commission.
Les « Conseils personnalisés » de France Travail
Il reste 80% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Le loueur de voiture, qui dispose aussi des marques Dollar et Thrifty a publié un bulletin de sécurité. Il y est question d’un événement « impliquant Cleo Communications US, un fournisseur de Hertz, susceptible d’avoir eu un impact sur les informations personnelles de certaines personnes ».
En octobre et décembre, un pirate aurait exploité « les vulnérabilités zero-day de la plateforme Cleo » pour récupérer les données. Le 10 février 2025, « nous avons pu confirmer que les données de Hertz ont été acquises par un tiers non autorisé », explique l’entreprise.
L’analyse du loueur sur l’étendue des dégâts s’est terminée le 2 avril 2025. Conclusion : « les informations personnelles impliquées dans cet événement peuvent inclure les éléments suivants : nom, coordonnées, date de naissance, informations de permis de conduire et informations de carte de crédit. Les données de passeport d’un nombre limité de personnes ont potentiellement été exposées lors de l’incident ».
Selon TechCrunch, « Hertz a déclaré qu’au moins 3 400 clients du Maine avaient été touchés, mais n’a pas indiqué le nombre total de personnes touchées, qui est probablement beaucoup plus élevé ». Le porte-parole de la société n’a pas souhaité s’exprimer sur le sujet auprès de nos confrères, précisant simplement qu’il serait « inexact de dire que des millions » de clients sont touchés.
La société affirme que l’incident de cybersécurité a été signalé à la police et aux « autorités de régulation compétentes ». « Bien que Hertz n’ait connaissance d’aucune utilisation abusive des informations personnelles à des fins frauduleuses en rapport avec l’événement, nous encourageons les personnes susceptibles d’être concernées, à titre de bonne pratique, à rester vigilantes quant à la possibilité de fraude ou d’erreurs en examinant les relevés de compte », indique enfin le loueur.
La société franco-américaine Hugging Face met un pied supplémentaire dans la robotique… ou du moins dans la distribution de robots. Elle a en effet annoncé lundi l’acquisition de la startup bordelaise Pollen Robotics, qui conçoit et vend un robot humanoïde baptisé Reachy, avec une approche résolument open source.
« Le premier robot que nous proposons est Reachy 2, votre petit compagnon de laboratoire convivial pour l’ère de l’IA, déjà utilisé dans des laboratoires comme Cornell ou Carnegie Mellon. C’est un robot humanoïde de pointe, open source et compatible avec la réalité virtuelle, conçu pour la recherche, l’éducation et les expériences d’IA incarnée. Vous pouvez d’ores et déjà le commander pour 70 000 dollars ! », se réjouit l’acquéreur, selon qui la robotique constituera « la prochaine interface de l’IA ».
Dévoilé à l’automne 2024, Reachy 2 adopte des traits mi-Pixar, mi-Skellington, avec une tête, deux bras et un tronc rayé. Le robot ne dispose cependant pas de jambes, mais d’une base circulaire, éventuellement motorisée.
Développé à Bordeaux, par une équipe d’une trentaine de personnes, il ambitionne, selon ses créateurs interrogés par Placéco, de devenir la plateforme de référence « des entreprises qui collectent et génèrent énormément de données, pour créer des bibliothèques et des modèles d’intelligence artificielle appliquée à la robotique ».
Reachy peut désormais se targuer d’avoir convaincu l’une des premières d’entre elles. Hugging Face a de son côté investi depuis mai 2024 le champ de la robotique, avec la mise en ligne d’une plateforme dédiée, LeRobot, qui référence et donne accès à des modèles d’IA et des outils dédiés au développement d’applications robotisées.
Les IA génératives spécialisées dans le code peuvent parfois halluciner, allant jusqu’à créer des noms de paquets. Des chercheurs montrent que les hallucinations des grands modèles de langage ont tendance à générer les mêmes faux noms de paquets. Une occasion en or pour des acteurs malintentionnés qui pourraient squatter ces noms et créer des paquets infestés.
Après, le typosquatting et à l’heure où l’IA générative est utilisée par de nombreux développeurs pour les assister dans leur création, parlons du « slopsquatting ».
Comme nous l’expliquions, le terme « slop » est depuis quelque temps utilisé pour désigner les contenus bas de gamme générés par des IA et qui inondent de plus en plus le web. Ici, le slop concerne la génération de code.
En effet, depuis l’arrivée des IA génératives utilisées comme assistante d’outils d’édition de code, on s’est rapidement aperçu qu’elles pouvaient inciter les développeurs à introduire des failles de sécurité dans leurs codes. Des chercheurs ont déjà montré que les développeurs utilisant des IA assistantes proposent des réponses moins bonnes et moins sécurisées que ceux sans assistant.
L’autre vecteur d’attaque intrinsèquement lié à la génération de code
Mais, comme l’affirmait déjà à l’époque le lecteur de Next, SebGF, « l’autre vecteur d’attaque intrinsèquement lié à la génération de code par IA [est] l’hallucination ».
Parfois, un grand modèle de langage (LLM) utilisé dans des IA génératives comme Codex ou Copilot peut générer le nom d’un paquet qui n’existe pas et suggérer son utilisation dans un code, alors qu’évidemment ce n’est pas une bonne solution. C’est le développeur Seth Larson, qui travaille pour la Fondation Python Software, qui a inventé le terme de « slopsquatting » à utiliser « quand un LLM hallucine un nom de paquet inexistant, et qu’un mauvais acteur l’enregistre malicieusement. Le frère IA du typosquatting ».
Des paquets vraiment hallucinés
Des chercheurs (notamment de l’Université du Texas), ont analysé le phénomène dans un article mis en ligne sur la plateforme de prépublication arXiv.
Ils confirment dans leur article que l’hallucination de nom de paquet n’est pas un problème marginal. Ils ont testé 16 modèles de langage en générant 576 000 exemples de code produit dans deux langages informatiques (python et JavaScript). Tous ont généré des noms de paquets qui n’existaient pas. Mais avec une différence importante : les modèles d’OpenAI semblent générer beaucoup moins d’hallucinations de noms de paquets, GPT-4 Turbo étant le modèle qui en génère le moins avec 3,6 % de noms de paquets « hallucinés ». Un CodeLlama 34B Python, pourtant spécialisé, génère des faux noms de paquets dans 22 % des cas environ :
Les chercheurs expliquent dans un schéma comment des utilisateurs malveillants peuvent mettre en place l’attaque en exploitant les hallucinations des modèles de langage :
L’idée est d’abord de trouver un nom de paquet halluciné par un modèle de langage via une demande de génération de code. L’utilisateur malveillant vérifie que le paquet n’existe pas dans les dépôts connus, puis en publie un, évidemment en incluant une partie susceptible de nuire à l’utilisateur ou d’exploiter son ordinateur à des fins douteuses. Ce nouveau paquet peut ainsi être inclus dans le code d’un développeur lambda qui aura demandé à son assistant préféré de lui générer du code.
Une hallucination répétée tout le temps ou pas du tout
Pour cela, me direz-vous, il faut que le nom de paquet halluciné soit le même. Or les chercheurs constatent que certains noms de paquets hallucinés reviennent.
En testant 500 prompts de génération de code 10 fois chacun, ils ont pu voir que la plupart des noms hallucinés, soit n’étaient plus jamais hallucinés, soit l’étaient tout le temps :
On peut voir ici que si DeepSeek hallucine plus de noms de paquets que les modèles d’OpenAI, le modèle chinois a tendance à moins répéter ces noms.
Un paramètre des modèles semble en lien avec ce phénomène : la température du modèle. Plus la température est faible, plus le résultat généré est prédictible, attendu. Mais les chercheurs constatent que plus on l’augmente et plus la génération de noms de paquets inexistants arrive :
Une vérification de la supply-chain reste indispensable
Dans l’article, les chercheurs montrent aussi que les noms de paquets « hallucinés » peuvent se confondre dans un code relu rapidement car leurs noms sont assez proches de noms de paquets existants :
« Nous n’en sommes qu’au tout début de l’étude de ce problème au niveau de l’écosystème », affirme Seth Larson auprès de The Register. Notamment, il explique qu’ « il est difficile, voire impossible, de quantifier le nombre de tentatives d’installation dues aux hallucinations de LLM sans une plus grande transparence de la part des fournisseurs de LLM. Les utilisateurs de code, de paquets et d’informations générés par LLM devraient vérifier les résultats de LLM par rapport à la réalité avant de mettre ces informations en service, sinon il peut y avoir des conséquences dans le monde réel ».
C’est d’ailleurs ce que disait aussi SebGF, « rappelant que la vérification de la supply-chain reste indispensable ».
Saviez-vous que, parfois, le moindre de vos mouvements sur un site ou une application pouvait être enregistré et « rejoué » sous la forme d’une vidéo ? On parle de relecture de session de navigation, une catégorie d’outil que la CNIL va analyser de près (il est temps).
Sur le Net, nous sommes tous traqués. Ce n’est pas une supposition ou une question, c’est une constatation. Pour mettre des chiffres derrière cette affirmation, nous avons effectué des relevés avec environ 50 000 requêtes externes pendant une seule journée de navigation.
Si vous voulez voir l’état des dégâts, nous avons mis en ligne une extension maison baptisée DTC (pour Domaines Tiers Contactés). À utiliser sans modération. Aucune donnée n’est transmise, vous seul accédez à vos statistiques (le code source est sur GitHub).
Mais il n’y a pas que cela, il existe aussi des outils permettant de suivre à la trace les utilisateurs… et c’est peu de le dire. On parle d’enregistrement ou de relecture (rejeu, replay…) de session, permettant de reconstituer le parcours complet d’un utilisateur, « sous forme de vidéos », explique la CNIL. Elle vient en effet de lancer une concertation « sur les outils d’enregistrement et de relecture de session de navigation ».
« Ces outils offrent à l’éditeur d’un site ou d’une application mobile la possibilité d’enregistrer l’ensemble des interactions des utilisateurs telles que les mouvements de souris, les interactions tactiles, les clics, le défilement des pages et, dans certains cas, les saisies de formulaires », précise la CNIL.
Et cela concerne aussi bien les sites web que les applications mobiles. On s’en doute, mais la Commission le formalise : cela « pose des défis importants en matière de respect du RGPD », à la fois aux éditeurs de ces outils, et à leurs clients.
Comme souvent en pareille situation, c’est l’occasion de remettre en avant un excellent dessin de CommitStrip sur le sujet :
Ces outils sont en effet « susceptibles d’entrainer des risques élevés pour les droits et libertés des internautes ». La CNIL met notamment en avant deux points : « la collecte d’un volume important de données de navigation incluant des données personnelles parfois sensibles, sans que les utilisateurs en aient conscience », et « la déduction d’informations sur la vie privée d’un grand nombre d’utilisateurs telles que leurs habitudes, croyances, centres d’intérêts, etc. ».
Lorsque l’on navigue un peu sur des sites de sociétés proposant ce genre de service, on se rend compte de l’ampleur de la tâche. « Normalement, les principaux outils de relecture de session sont conformes au RGPD et anonymisent leurs enregistrements de visiteur, ce qui rend difficile l’identification de qui est le visiteur », explique l’une d’elles. On apprécie le « normalement » et « rend difficile », donc pas impossible. Un exemple parmi d’autres.
Le registre est différent, mais la problématique est identique à la fonction Recall de Microsoft. Elle est depuis peu en cours de déploiement dans les préversions de Windows 11.
Des ateliers, et la question de l’usage transversal de ces outils
En lançant cette concertation, la CNIL cible large avec la volonté d’appréhender les « enjeux juridiques, techniques mais également éthiques et sociétaux associés à ces outils ». Le but est de proposer, au cours du second semestre, des recommandations pratiques aussi bien aux développeurs des outils de rejeu qu’aux éditeurs de sites et d’applications mobiles.
Avant cela, des ateliers sont prévus d’ici fin juin afin de dresser un état des lieux des applications existantes, « d’étudier les aspects pratiques des modalités d’information et, le cas échéant, de recueil du consentement des personnes concernées », et d’aborder la question de l’usage transversal de ces outils. En effet, ils permettraient « d’accéder au parcours de navigation d’un internaute sur l’ensemble des sites web des éditeurs utilisant l’outil d’un même fournisseur ».
Proxmox est une solution permettant la gestion de la virtualisation des serveurs, permettant notamment la création de clusters de machines virtuelles et la gestion des ressources. La version 8.4, sortie il y a quelques jours, apporte plusieurs améliorations significatives.
L’une des principales est la possibilité de migrer désormais en live les machines virtuelles utilisant des Mediated Devices, c’est-à-dire des composants matériels virtualisés et utilisés par plusieurs machines en même temps. Il fallait jusqu’ici arrêter ces machines virtuelles le temps de l’opération. Seule condition à respecter, que le nœud visé dispose d’un matériel compatible et de pilotes adaptés. Un nouvel utilitaire, pve-nvidia-vgpu-helper, est aussi fourni pour simplifier la configuration de pilotes vGPU de NVIDIA.
Proxmox 8.4 propose également une nouvelle API conçue pour le développement de plugins des solutions tierces de stockage. Elle permet à ces derniers de s’interfacer complètement avec Proxmox, pour proposer les fonctions de sauvegarde et de restauration (y compris avancées) partout où c’est nécessaire. Le système de sauvegarde se veut d’ailleurs plus robuste.
Autre amélioration, le passage (passthrough) de dossiers Virtiofs, permettant le partage de fichiers et répertoires directement entre un hôte et ses machines virtuelles. Virtiofs permet de fonctionner, en autorisant les systèmes invités à accéder aux données de l’hôte, « sans la surcharge d’un système de fichiers réseau », indique le billet d’annonce. Ce dernier précise que les Linux « modernes » intègrent Virtiofs, mais qu’un logiciel dédié est nécessaire pour Windows.
Enfin, Proxmox VE 8.4 modernise ses composants, en se basant notamment sur Debian 12.10, avec un noyau 6.8.12 par défaut, avec la version 6.14 en option. Des mises à jour sont intégrées pour plusieurs composants, dont QEMU 9.2.0, LXC 6.0.0 et ZFS 2.2.7 (ce dernier avec des correctifs de compatibilité pour le noyau 6.14), ou encore Ceph Squid 19.2.1.
Le directeur de l’Immigration and Customs Enforcement (ICE) des États-Unis a déclaré vouloir s’inspirer d’Amazon Prime pour fluidifier les flux de déportations réalisées sous la présidence de Donald Trump.
Lors d’une convention sur la sécurité aux frontières, Todd Lyons, à la tête de l’institution depuis début mars, a déclaré : « nous devons devenir meilleurs à gérer ces activités comme une entreprise »rapporte l’Arizona Mirror. Il a précisé vouloir construire un processus de déportation « comme Amazon Prime, mais avec des êtres humains ».
La comparaison est faite alors même que les États-Unis se sont lancés dans des actions de déportations de masse de ce que le gouvernement qualifie de « migrants criminels » – poussant l’ONU à rappeler que le droit d’asile était « universellement reconnu ». L’administration Trump traque déjà les propos des étudiants étrangers pour révoquer leurs visas.
Parmi ces derniers, des innocents comme Kilmar Abrego García se sont retrouvés envoyés hors de tout cadre légal dans une méga prison du Salvador.
« Le fantasme de l’ICE de devenir l’ « Amazon prime des déportations » expose l’infrastructure derrière le programme de Trump », déclare la directrice de l’ONG Mijente Cinthya Rodriguez au Guardian. « Au fil du temps, l’ICE a passé des contrats avec des entreprises technologiques pour automatiser le maintien de l’ordre, en s’appuyant sur la déshumanisation des communautés immigrées. »
Deux jours après la prise de parole de Todd Lyons, Politico révélait que l’ancien PDG de la société militaire privée Blackwater – qui avait attiré l’attention au milieu des années 2000 après avoir ouvert le feu en plein Bagdad – et un groupe d’industriels de la Défense avaient proposé à la Maison-Blanche un projet de déportation de masse vers le Salvador.
Donald Trump a déclaré vendredi soir que les smartphones et autres appareils électroniques importés depuis la Chine seraient exemptés de droits de douane… avant de se raviser dimanche et d’annoncer que la tech, comme les semi-conducteurs, feraient bientôt l’objet d’une taxe spécifique.
Quelques semaines de répit avant un nouveau train de mesures ? Donald Trump a fait souffler le chaud et le froid tout le week-end quant à la question des droits de douane appliqués aux produits tech importés par les États-Unis depuis la Chine.
Un soulagement de courte durée
Son administration a d’abord annoncé vendredi soir que ces produits – smartphones, ordinateurs, composants électroniques, etc – seraient exonérés de droits de douane. Un mouvement particulièrement bienvenu pour le secteur de la tech et des acteurs de premier plan comme Apple ou NVIDIA, alors que les importations chinoises sont depuis peu frappées d’une taxe exceptionnelle fixée à 125 % de leurs valeurs.
Le président a toutefois rapidement douché les espoirs de ceux qui espéraient un blanc-seing douanier pour les produits de la tech. « PERSONNE n’échappera à ses responsabilités quant aux déséquilibres commerciaux injustes et aux barrières tarifaires non monétaires que d’autres pays ont utilisé contre nous, et certainement pas la Chine qui, de loin, nous traite le plus mal », a écrit Donald Trump dimanche, sur son réseau social, Truth.
Dénonçant les fake news des médias, il est revenu sur les exemptions mises en place le vendredi, déclarant qu’il ne s’agissait pas d’une exception ou d’une exemption, et que les produits tech restaient frappés d’une taxe de 20 %, prononcée à l’encontre des importations chinoises en raison des efforts insuffisants prodigués par Pékin dans la lutte contre le trafic international de fentanyl.
« Nous allons examiner les semi-conducteurs et l’ENSEMBLE DE LA CHAÎNE D’APPROVISIONNEMENT ÉLECTRONIQUE dans nos prochaines enquêtes relatives aux droits de douane de sécurité nationale », a encore promis Trump.
Une taxe globale sur les semi-conducteurs et produits associés ?
En attendant, statu quo. « La confusion générale créée par ce flux constant d’informations provenant de la Maison-Blanche est vertigineuse pour le secteur et les investisseurs, et crée une incertitude et un chaos considérables pour les entreprises qui tentent de planifier leur chaîne d’approvisionnement, leurs stocks et leur demande », commente Daniel Ives de Wedbush Securities, interrogé par le Financial Times.
Howard Lutnick, secrétaire au commerce de la Maison-Blanche, a tout de même livré une explication de texte dimanche, au micro d’ABC. « Tous ces produits seront classés dans la catégorie des semi-conducteurs et des droits de douane spécifiques seront appliqués pour garantir leur relocalisation », a-t-il déclaré, évoquant une mise en œuvre d’ici un mois ou deux. L’impétuosité de Donald Trump saura-t-elle composer avec ce délai ? Rien n’est moins sûr. D’après Reuters, le président aurait l’intention de procéder à de nouvelles annonces dès la semaine prochaine…
La Data Protection Commission (DPC), équivalent de la CNIL en Irlande, a annoncé ce vendredi avoir lancé une enquête contre le réseau social X. Cette procédure vise le traitement des données à caractère personnel contenues dans les messages publiés par les utilisateurs de la plateforme pour entrainer des IA génératives, et « en particulier le modèles de langage Grok ».
Comme pour de nombreux cas, la DPC agit car elle est l’autorité du pays, l’Irlande, dans lequel est basé le siège social européen de X.
« L’objectif de cette enquête est de déterminer si ces données personnelles ont été traitées légalement afin d’entrainer les LLM Grok », explique la DPC.
C’est un pas supplémentaire dans la procédure contre le réseau social. L’autorité irlandaise avait annoncé en septembre dernier que l’entreprise d’Elon Musk s’était engagée à arrêter d’entrainer Grok avec les données publiques (en clair, les tweets) de ses utilisateurs européens. À l’époque, la DPC consultait en parallèle ses homologues européens pour éclaircir les modalités légales encadrant un tel traitement.
Le logiciel Pinta, spécialisé dans la retouche et le dessin, est disponible depuis peu en version 3.0. Une mouture majeure pour cette application open source et multiplateforme, disponible aussi bien sur Linux que sur Windows et macOS. Et si son interface rappelle quelque chose aux personnes sous Windows, c’est qu’elle est inspirée du bien-aimé Paint.NET.
Cette version 3.0 apporte notamment une vaste modernisation de l’interface, surtout sous Linux. Le passage à GTK4 et libadwaita (GNOME) permet de s’aligner avec les dernières évolutions UI/UX des distributions récentes.
Au menu également, une longue liste de changements et améliorations pour les effets et filtres. Plusieurs sont nouveaux, comme Dithering, Dents, Diagramme de Voronoï, Vignette, Plume, Alignement ou encore Contour. Pinta 3.0 prend aussi en charge les gradients personnalisables dans les effets Fractale et Nuages, le choix du type de tuile ou encore le comportement des bordures dans l’effet Réflexion.
Parmi les autres apports, citons une nouvelle grille personnalisable de canevas, le support des compléments et du format .ppm, une option Sélection décalée, la possibilité d’ajuster la taille du pinceau et les paramètres de largeur de ligne, un mode rééchantillonnage du plus proche voisin, une nouvelle boite de sélection des couleurs, un bouton « Reseed » pour l’option de bruit aléatoire sur plusieurs effets, ou encore la prise en charge de préédition pour l’outil Texte.
Pinta 3.0 propose en outre des améliorations spécifiques à chaque plateforme, notamment Windows. L’application modernise ainsi sa base de code et réclame désormais .NET 8 pour fonctionner et ajoute le support de WebP. Sur macOS, l’installeur est désormais en ARM64 pour les machines Apple Silicon. L’outil « Nouvelle capture d’écran » invoque l’outil système en fonction de la plateforme : XDG sur Linux et l’outil intégré sur macOS. Ce fonctionnement n’est pas encore supporté sur Windows (qui a pourtant son propre outil).
La nouvelle version majeure peut être téléchargée depuis le site officiel ou son dépôt GitHub. Pour les personnes cherchant une alternative plus simple à GIMP, Pinta vaut certainement le coup d’œil. Il est davantage un concurrent de Krita.
L’oxyde d’hafnium pourrait servir à créer de la mémoire non volatile qui viendrait remplacer à la fois la SRAM (mémoire cache), la DRAM (mémoire vive) et la NAND (stockage SSD). C’est en tout cas la piste explorée activement par deux sociétés allemandes, qui veulent au passage relocaliser la production en Allemagne.
Au début du mois, deux sociétés allemandes, Neumonda et Ferroelectric Memory Company (FMC), ont annoncé collaborer pour développer, produire et commercialiser de la DRAM non volatile. Le but ? « Rien de moins que ramener la conception et la fabrication de mémoires semi-conducteurs en Allemagne », explique le communiqué.
La DRAM, késako ?
DRAM signifie, pour rappel, Dynamic Random-Access Memory ou mémoire dynamique à accès aléatoire. Vous la connaissez très certainement puisqu’elle est au cœur de la mémoire vive dans les ordinateurs. La mémoire EDO (pour les plus anciens), SDRAM et les différentes générations de DDR SDRAM sont des types de DRAM.
Elle a l’avantage d’être rapide, de proposer une densité élevée, d’être relativement abordable avec une faible consommation énergétique. Problème, la mémoire s’efface lorsque la machine est éteinte. Raison d’ailleurs pour laquelle nous parlons de mémoire volatile.
L’oxyde d’hafnium et ses propriétés ferroélectriques
Il reste 88% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
En février dernier, Emmanuel Macron annonçait « 109 milliards d’euros » d’investissements, publics et privés réunis, « dans les prochaines années » se concentrant notamment sur la création de data centers.
Quatre projets pourraient s’implanter dans le Val-de-Marne et des consultations publiques commencent à être ouvertes dans le cadre de demandes d’autorisation environnementale.
Ainsi, comme l’explique Actu.fr, celui imaginé à cheval sur les communes de Sucy-en-Brie et Bonneuil-sur-Marne demande l’avis des riverains depuis le 10 mars dernier. Cette consultation prendra fin le 10 juin à minuit. Les habitants des 2 villes, mais aussi ceux de Boissy-Saint-Léger, de Limeil-Brévannes, de Saint-Maur-des-Fossés, de Chennevières-sur-Marne, d’Ormesson-sur-Marne, de Valenton, de Créteil et de Noiseau peuvent donner leur avis.
Plus récemment, Actu.fr note qu’un autre projet, situé à Rungis, a ouvert la sienne le 2 avril dernier. Celle-ci sera fermée le 3 juillet à minuit. Les habitants de cette ville mais aussi ceux de Villeneuve-le-Roi, Orly, Thiais, Chevilly-Larue et Fresnes dans le Val-de-Marne, Wissous, Paray-Vieille-Poste, Morangis, Athis-Mons et Antony ont la possibilité d’y participer.
Connexion
