On fait moins les malins en IPv6 !

Pourquoi se limiter quand il est désormais facile et relativement peu couteux de scanner l’intégralité des adresses IP d’Internet ? Deux approches différentes : des pirates à la recherche de faille de sécurité et des sociétés de cybersécurité à la recherche de documents qui n‘ont rien à faire en ligne.

Les allées du salon des Assises de la cybersécurité de Monaco sont remplies de sociétés proposant diverses solutions de cybersécurité. Deux d’entre elles – CybelAngel et YesWeHack – nous ont expliqué comment Internet était entièrement scanné, parfois plusieurs fois par jour, et par différents types d’acteur.

CybelAngel scanne tout Internet, mais aussi Telegram et le dark web

L’entreprise néerlandaise ASLM a une position unique dans le domaine des semi-conducteurs : elle est pratiquement incontournable, car elle fournit les machines permettant la gravure des puces, notamment par photolithographie. Début septembre, elle a d’ailleurs investi massivement dans Mistral, récupérant 11 % du capital pour 1,3 milliard d’euros.

ASML a désormais un nouveau directeur technique (CTO) : Marco Pieters, qui devient également vice-président exécutif de l’entreprise. Il ne répondra qu’à Christophe Fouquet, le CEO français d’ASML depuis 18 mois environ. La société n’est d’ailleurs pas allée chercher bien loin, car Marco Pieters travaille depuis longtemps au sein d’ASML.

« Dans le cadre de notre solide processus de planification de la relève, je suis fier de nommer Marco, un dirigeant de longue date d’ASML, au poste de directeur technique. Après avoir travaillé à ses côtés pendant de nombreuses années, Marco a tout mon soutien pour faire avancer notre feuille de route technologique au service de nos clients. Je me réjouis de la poursuite de notre collaboration. En outre, le conseil de surveillance d’ASML a annoncé son intention de nommer Pieters au conseil d’administration à partir de la prochaine assemblée générale annuelle (AGA) de la société qui se tiendra le 22 avril 2026 », a déclaré Christophe Fouquet. Le conseil passera alors de cinq à six membres.

La nomination est cruciale, car ASML est souvent considérée comme l’un des piliers invisibles du monde de la tech.

Chaud devant !

Pour une vingtaine d’euros, Tongou propose des interrupteurs connectés à installer dans votre tableau électrique, sur le rail DIN. L’intensité peut monter jusqu’à 63 ampères. Nous en avons testé deux.

Il y a quelque temps déjà, nous avions testé des modules Shelly au format DIN, mais avec un problème : leur limitation à 16 ampères par ligne électrique (40 ampères au total pour le Pro 4PM qui comporte quatre lignes). Nous voulions monter beaucoup plus haut – jusqu’à 32 ampères au moins – pour piloter la charge d’une voiture électrique.

La marque Tongou revenait assez souvent lors de nos recherche. Elle propose des interrupteurs Wi-Fi au format DIN pour une vingtaine d’euros, avec une puissance allant de 6 à 63 ampères.

Nous en avons acheté deux modèles : 40 et 63 ampères, avec l’intention d’ouvrir le second pour voir l’électronique et le câblage interne d’un module capable d’encaisser – selon le fabricant – plus de 14 000 W (14 kW). Nous vous détaillerons nos trouvailles dans un second article.

Visuellement, ils sont identiques. Attention, ce ne sont « que » des interrupteurs, pas des disjoncteurs ! Pensez donc à les installer derrière un disjoncteur afin de protéger votre installation. D’autant que les interrupteurs Tongou ne coupent que la phase, comme les interrupteurs de vos lumières. Le neutre est en liaison directe entre l’entrée et la sortie, c’est indiqué sur le côté des interrupteurs et confirmé par nos observations lors du démontage.

Application Tuya indispensable, mais compte pas obligatoire

Une fois installés dans le tableau électrique et alimentés, il faut télécharger l’application Tuya pour les configurer. Elle ne nécessite pas de compte pour fonctionner, mais certaines capacités, comme la gestion des interrupteurs depuis un réseau mobile, en nécessitent un.

Vous ne couperez par contre pas à la ribambelle d’autorisations en tous genres (localisation, réseau local, Bluetooth, données…). On regrette qu’il n’y ait pas de serveur web intégré comme le propose Shelly, permettant un fonctionnement et une récupération des données sans application supplémentaire.

Sur les interrupteurs connectés Tongou, il est possible de suivre la consommation et divers indicateurs sur le courant de votre réseau, mais aussi de configurer le module, de paramétrer des scénarios, etc. Il est possible de définir des actions en fonction de seuils minimums et maximums sur les mesures de la tension, de l’intensité et de la puissance (couper si l’intensité dépasse une limite par exemple). Amazon Alexa et Google Assistant sont également pris en charge.

Port 6668 ouvert, mais pas de serveur web ou API « ouverts »

Curieux, nous lançons un scan de l’ensemble des ports des adresses IP de nos deux interrupteurs connectés, via la commande nmap depuis un serveur avec Ubuntu Server. Un seul port est ouvert : le 6668, mais il ne propose pas de serveur web accessible et ne répond pas à des demandes basiques.

Il est en fait possible de récupérer des informations en local, mais cela nécessite de créer un compte développeur Tuya afin d’obtenir l’identifiant et la clé des interrupteurs, pour les intégrer ensuite dans une application.

Il y en a un exemple dans le gestionnaire de paquets npm avec TuyAPI. C’est donc techniquement possible de se passer de l’application, mais on est très loin de la facilité de Shelly.

Puissance, intensité, tension

L’application donne des informations en temps réel sur la tension, l’intensité et la puissance. Un total journalier et global permet de suivre la consommation en kWh. Il est possible de configurer un compte à rebours et de programmer des scénarios en fonction de la météo, de votre emplacement, d’une alarme, etc. On peut ainsi allumer ou éteindre l’interrupteur à heure fixe ou en fonction du levé ou couché du Soleil. Rien d’exceptionnel, des fonctions élémentaires mais bien pratiques.

Passons aux choses sérieuses avec une mise en situation réelle. Nous branchons les deux interrupteurs en cascade : le 63 A en premier juste derrière un disjoncteur (lui-même derrière un interrupteur différentiel afin de protéger les personnes… moi en l’occurrence). Le Tongou de 40 A est branché en suivant le 63 A. Le but est de pouvoir comparer les mesures entre les deux.

Au repos, sans aucune charge, les deux indiquent 0,00 watt. La consommation du module n’est pas nulle, mais en dessous du seuil de détection. Afin de monter en charge, nous branchons un chargeur de voiture électrique capable de tirer jusqu’à 32 A en continu sur du monophasé.

Nos mesures à plus de 7 kW des deux interrupteurs connectés

Voici les résultats de nos mesures :

Moyennes sur l’interrupteur connecté Tongou 63 A :

• Tension : 228,71 V
• Intensité : 32,739 A
• Puissance : 7 498,1 W

Moyennes sur l’interrupteur connecté Tongou 40 A :

• Tension : 228,88 V
• Intensité : 32,387 A
• Puissance : 7 433,2 W

Écart entre les deux interrupteurs connectés (le 40 A branché après le 63 A):

• Tension : 0,17 V
• Intensité : 0,352 A
• Puissance : 64,9 W

Sans surprise, l’interrupteur de 63 A affiche une consommation supérieure à celui de 40 A puisqu’il prend en compte la consommation de son petit frère. La différence est par contre très (trop) importante : 65 watts. L’écart est constant sur quasiment une heure de mesures non-stop (un relevé toutes les 5 secondes).

Afin d’avoir un autre point de vue, on change de sens pour les mesures : l’interrupteur de 40 A est derrière le disjoncteur et l’interrupteur de 63 A après celui de 40 A. Le but est de voir si l’écart entre les deux reste le même.

Moyennes sur l’interrupteur connecté Tongou 40 A :

• Intensité : 32,476 A
• Tension : 228,18 V
• Puissance : 7 431,0 W

Moyennes sur l’interrupteur connecté Tongou 63 A :

• Intensité : 32,854 A
• Tension : 227,62 V
• Puissance : 7 488,6 W

Écart entre les deux :

• Intensité : 0,378 A
• Tension : 0,56 V
• Puissance : 57,6 W

60 watts d’écart entre les deux modules sur 7 500 watts

Cette fois-ci le 40 A est en tête du circuit et prend donc dans son calcul la consommation de l’interrupteur de 63 A… mais c’est toujours celui de 63 A qui consomme le plus d’après les relevés. S’il est placé entre le chargeur et celui de 40 A, il est physiquement impossible que celui de 63 A consomme davantage. La seule explication est une erreur/approximation dans les mesures.

La différence entre les deux interrupteurs est de 60 watts environ (peu importe la position dans le schéma électrique). Cela peut paraître élevé, mais c’est finalement moins de 1 % ramené à la puissance totale mesurée qui était de plus de 7 400 watts.

Nous avons également fait des essais à 2 300 watts (charge à 10 A) et la différence était de 30 watts environ entre les deux interrupteurs, toujours avec le 63 A au-dessus du 40 A. Nous étions alors un peu au-dessus de 1 % d’écart par rapport à la mesure.

Jusqu’à 63 A, mais « suggéré moins de 40 A »

Dernier point et pas des moindres, si l’interrupteur 63 A est donné pour 63 ampères maximum, le fabricant indique sur son site : puissance « suggérée moins de 40 A », sans explication.

Lorsque nous avons chargé une voiture pendant 2 h avec une puissance de 32 A (désolé, nous n’avons pas de chargeur plus puissant en stock…), les deux interrupteurs étaient un peu chauds (plutôt tièdes d’ailleurs) sur les extrémités, mais rien d’affolant. Aucune différence notable entre le 40 et le 63 A sur ce point, quel que soit l’ordre dans lequel ils sont connectés.

On vous conseille néanmoins de ne pas coller un tel interrupteur connecté à d’autres modules dans votre tableau électrique.

Dans le prochain article, on vous montrera à quoi cela ressemble à l’intérieur du module de 63 ampères.

Rishi Sunak, qui a démissionné du poste de Premier ministre britannique en 2024, a été nommé conseiller sénior par les deux entreprises Microsoft et Anthropic, explique le Guardian. Il ajoute ces casquettes à celles de conseiller sénior pour Goldman Sachs et de communicant pour des entreprises d’investissement comme Bain Capital et Makena Capital.

L’Acoba (Advisory Committee on Business Appointments, équivalent de la Haute Autorité pour la transparence de la vie publique) s’est inquiétée du fait qu’ « il y a des risques liés à [son] accès à des informations susceptibles de conférer à Microsoft un avantage indu ». L’ancien responsable du Parti conservateur britannique assure qu’il se bornera à donner des conseils sur les « perspectives stratégiques de haut niveau sur les tendances macroéconomiques et géopolitiques » et qu’il n’en donnera pas sur les règles britanniques.

L’autorité de la transparence a noté que l’IA a été une priorité importante pendant que Rishi Sunak était au pouvoir, mais que « rien n’indique que des décisions ou des mesures aient été prises pendant son mandat en prévision de ce poste, et le Cabinet Office [cabinet du gouvernement britannique] a confirmé qu’il n’avait connaissance d’aucune décision que vous auriez prise spécifiquement concernant Anthropic, par opposition à l’ensemble du secteur ». Elle indique néanmoins à l’ancien Premier ministre qu’ « il existe une crainte raisonnable que votre nomination puisse être perçue comme offrant un accès et une influence injustifiés au sein du gouvernement britannique ».

Selon le Guardian, Rishi Sunak a assuré à l’Acoba qu’il n’aurait qu’un rôle interne et qu’il n’impliquerait aucun lobbying.

Edit est un petit programme que Microsoft a présenté lors de sa dernière conférence Build. Gratuit, écrit en Rust et open source (sous licence MIT), il a son propre dépôt GitHub.

La petite application est particulièrement légère (moins de 250 ko) et se veut autant un outil pratique pour dépanner (ou pour les personnes ayant cette préférence) qu’un hommage à MS-DOS. Comme nous l’indiquions en mai dernier, Edit propose bon nombre de fonctions que l’on s’attend à trouver dans ce genre d’outil, comme la possibilité de chercher et remplacer du texte, le support des majuscules et minuscules, la prise en charge des expressions régulières ou encore la rotation entre plusieurs fichiers ouverts en parallèle (via Ctrl + P).

À l’époque, Microsoft indiquait que la principale motivation derrière la création d’Edit était le besoin d’avoir dans Windows un éditeur CLI en 64 bits et par défaut.

Justement, l’éditeur a mis à jour la fiche descriptive de la mise à jour KB5065789 pour Windows 11. Elle a été diffusée fin septembre et est présente aussi bien sur les versions 24H2 et 25H2 du système (qui partagent pour rappel la même branche de service). Comme repéré par Neowin, Microsoft a ajouté un élément : l’inclusion par défaut d’Edit. 

L’open source ça paye pas les factures

Olvid va lancer des serveurs autonomes pour les clients qui veulent les héberger eux-mêmes. Ils peuvent être ou non reliés à Internet et permettent à des clients de gérer leur messagerie, de bout en bout. Le lancement est prévu pour début 2026.

Il y a deux ans, aux Assises de la cybersécurité de Monaco, la messagerie sécurisée Olvid lançait ses applications pour ordinateur (Windows, macOS et Linux), en plus des applications mobiles pour Android et iOS qui existaient déjà. Encore deux ans auparavant, fin 2021, leur code source était mis en ligne.

Olvid toujours chez AWS à cause de DynamoDB… so what ?

Spoil : non.

Tout mon soutien à ce cher Marcus ainsi qu’à toutes les équipes derrière Game One. Quant à l’autre, qu’il se débrouille !

Un ADN en pleine forme

L’ONG a fêté ses 40 ans le 4 octobre. Elle a profité d’un évènement dédié pour faire plusieurs annonces, dont la nomination de son nouveau président, Ian Kelling. La FSF a également provoqué une petite surprise en annonçant un projet de téléphone libre, nommé sobrement LibrePhone.

La Free Software Foundation existe désormais depuis plus de 40 ans. Elle avait été fondée le 4 octobre 1985 par Richard Stallman et lutte inlassablement depuis pour promouvoir le logiciel libre, en établissant une différence très nette avec l’open source. « Le logiciel libre signifie que les utilisateurs ont la liberté d’exécuter, d’éditer, de contribuer et de partager le logiciel », indique ainsi que la fondation sur son site officiel. L’open source, qui consiste techniquement à voir les sources, n’entraine pas de lui-même ces libertés, tout dépendant de la licence accompagnant le code.

Pour fêter dignement cet anniversaire, la fondation avait organisé un évènement. De nombreux intervenants étaient présents, avec de nombreuses discussions sur le logiciel libre et des retours d’expérience sur certains projets, dont Debian, Trisquel et Emacs.

Un nouveau président et un téléphone libre

Ce 40ᵉ anniversaire était aussi l’occasion de faire quelques annonces importantes. La FSF a ainsi confirmé que Ian Kelling était le nouveau président de la structure. La fondation avait cependant annoncé la nouvelle deux jours avant dans un communiqué. Il prend ainsi la relève de Geoffrey Knauth, qui tenait la barre depuis 2020.

« Depuis qu’il a rejoint le conseil d’administration en 2021, Ian a fait preuve d’une compréhension claire de la philosophie du logiciel libre dans la technologie d’aujourd’hui, et d’une vision forte. Il reconnaît les menaces que représentent les technologies à venir, favorise la transparence, a joué un rôle important dans la conception et la mise en œuvre de nouveaux processus de recrutement du conseil d’administration, et a toujours adhéré aux principes éthiques. Il m’a également donné de précieux conseils dans des moments critiques, pour lesquels je suis très reconnaissant », a ainsi déclaré Geoffrey Knauth.

Zoë Kooyman reste la directrice exécutive de la fondation. Et c’est elle, justement, qui a fait la deuxième grande annonce : le LibrePhone. Il s’agira d’un téléphone entièrement libre, conçu depuis une page blanche. On n’en sait guère plus pour l’instant, sinon que le travail se fera notamment en partenariat avec Rob Savoye, développeur travaillant sur le logiciel libre depuis une quarantaine d’années lui aussi.

« Puisque l’informatique sur téléphone mobile est désormais si omniprésente, nous sommes très enthousiastes à propos de LibrePhone et pensons qu’il a le potentiel d’apporter la liberté du logiciel à de nombreux autres utilisateurs dans le monde », a déclaré Rob Savoye.

Pour Richard Stallman, les choses ne vont pas dans le bon sens

Dans une interview publiée ce 8 octobre par Linuxfr.org, Richard Stallman est revenu sur le cœur de sa mission et celle de la Free Software Foundation. De ce point de vue, rien n’a changé : il établit toujours un distinguo net entre open source et libre, revient sur la précision du vocabulaire à employer (« depuis vingt ans, je n’emploie plus “free” pour dire gratuit, je dis gratis »), la distinction autour du copyleft, ou encore la lutte contre les logiciels privateurs.

Cette dernière est bien sûr au centre des actions de la Free Software Foundation. La notion de logiciel privateur ne regroupe d’ailleurs pas seulement le code propriétaire. Il y inclut tout ce qui géolocalise les personnes, passe obligatoirement par des serveurs, analyse les données personnelles et ainsi de suite. Stallman insiste : « Tout programme privateur, fait toujours du mal à ses utilisateurs. Ma mission est de faire comprendre aux gens cette question ».

Il regrette d’ailleurs que Debian ait changé son fusil d’épaule en assouplissant sa ligne de conduite, en permettant notamment une installation plus simple des pilotes propriétaires depuis son dépôt « main ». Ce n’est toutefois pas exactement le cas : on peut installer des pilotes et firmwares non-libres depuis un dépôt dédié et activé par défaut, mais il s’agit de « non-free-firmware ». Mais ce choix a quand même conduit la Free Software Foundation à ne plus recommander Debian.

Dans l’ensemble, après 40 ans de lutte, Richard Stallman se dit déçu du résultat. La situation générale se dégrade selon lui, notamment « la direction que prennent les choses ». Il encourage d’ailleurs les Français à « exiger que les services numériques de l’État respectent le logiciel libre. Spécifiquement, qu’ils cessent de transmettre des programmes privateurs à exécuter sur la machine des utilisateurs, et qu’ils respectent davantage l’anonymat des individus. Parce que les données personnelles, une fois collectées dans une base, finiront par être abusées, peut-être même par l’État ».

Rechtsstaat tabu

Le projet controversé Chat Control, que la Commission peine à faire adopter depuis trois ans, était « l’une des priorités phares » du Danemark, qui préside le Conseil de l’UE. Mais l’Allemagne, opposée de longue date au projet, vient de nouveau de réitérer son rejet de ce que sa ministre de la Justice a qualifié de « suspicion généralisée ».

Qualifiée de « projet de loi européen le plus critiqué de tous les temps », le projet de règlement européen « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » (ou CSAR, pour Child Sexual Abuse Regulation) et que la Commission européenne cherche à faire adopter depuis 2022, vient une fois de plus de se heurter au mur des défenseurs des droits humains.

Comme Next l’a déjà moult fois raconté, il propose notamment de scanner les images et adresses URL avant qu’elles ne soient envoyées, directement sur les terminaux des utilisateurs de messageries, notamment chiffrées. Ce qui reviendrait à une forme de « surveillance de masse », et casserait la notion de chiffrement de bout en bout.

« Le contrôle injustifié des conversations en ligne doit être tabou dans un État de droit », vient de déclarer Stefanie Hubig, ministre fédérale allemande de la Justice et de la Protection des consommateurs, ajoutant que « les communications privées ne doivent jamais faire l’objet d’une suspicion généralisée » :

« L’État ne doit pas non plus contraindre les messageries instantanées à scanner en masse les messages avant leur envoi afin de détecter tout contenu suspect. L’Allemagne ne donnera pas son accord à de telles propositions au niveau européen. Nous devons également progresser dans la lutte contre la pornographie enfantine au niveau européen. Je m’engage en ce sens. Mais même les crimes les plus graves ne justifient pas la renonciation aux droits civiques fondamentaux. J’insiste sur ce point depuis des mois lors des votes du gouvernement fédéral. Et je continuerai à le faire. »

La veille, Jens Spahn, président du groupe CDU/CSU au Bundestag, qui fait partie de la coalition au pouvoir en Allemagne, avait confirmé que le gouvernement allemand s’opposerait « au contrôle sans motif des chats », ce « client side scanning » (scan côté client) ayant vocation à analyser l’intégralité des images (photos et vidéos) et textes (à la recherche des URL) avant qu’elles ne soient partagées :

« Cela reviendrait à ouvrir toutes les lettres à titre préventif pour vérifier qu’elles ne contiennent rien d’illégal. C’est inacceptable, cela n’arrivera pas avec nous. »

Une « double majorité qualifiée » impossible à obtenir

Or, comme Next l’avait expliqué en septembre dernier, il faut en effet que 15 des 27 États membres de l’UE « au moins », représentant collectivement 65 % de la population « au moins », approuvent les textes soumis au Conseil de l’Union européenne pour parvenir à un accord, une procédure qualifiée de « double majorité qualifiée ».

• Chat Control : le projet de surveillance des messageries a (encore) du plomb dans l’aile

Jusqu’à fin août, 15 pays soutenaient le projet, et 4 s’y opposaient. Les partisans de la proposition danoise ne sont plus que 12 (Bulgarie, Croatie, Chypre, Danemark, Espagne, France, Hongrie, Irlande, Lituanie, Malte, Portugal et Suède) contre 10 opposants (Autriche, République tchèque, Estonie, Finlande, Allemagne, Luxembourg, Pays-Bas, Pologne, Slovaquie et Slovénie), et 5 indécis (Belgique, Grèce, Italie, Lettonie, Roumanie), comme le relève le site chatcontrol.eu.

Or, les 12 pays partisans ne représentent plus que 38,82 % de la population européenne, et les 5 indécis 22,68 %. Le ralliement de l’Allemagne (qui représente, à elle seule, 18,56 % de la population européenne) au camp des opposants rend impossible l’obtention de la « double majorité qualifiée » requise.

Le projet ne sera d’ailleurs pas soumis au vote lors de la prochaine réunion des ministres de l’Intérieur de l’UE comme initialement prévu, ont expliqué des sources diplomatiques à l’ORF, la radiotélédiffusion publique autrichienne :

« Mais cela ne signifie pas pour autant que le sujet soit définitivement clos. Le Danemark ou les prochaines présidences du Conseil de l’UE pourraient remettre une proposition révisée sur la table. »

Pour la première fois, même les conservateurs émettent des critiques

« C’est une victoire formidable pour la liberté qui prouve que la protestation fonctionne ! », s’est pour sa part félicité l’ex-eurodéputé pirate Patrick Breyer, qui combat ce projet depuis des années et dont le blog constitue la ressource la plus complète à ce sujet :

« Face à une vague d’appels et d’e-mails du public, les sociaux-démocrates tiennent bon et, pour la première fois, même les dirigeants conservateurs émettent des critiques. Sans la résistance inlassable des citoyens, des scientifiques et des organisations, les gouvernements de l’UE auraient adopté la semaine prochaine une loi totalitaire sur la surveillance de masse, signant la fin de la confidentialité numérique. Le fait que nous ayons réussi à empêcher cela, pour l’instant, est un moment à célébrer. »

Un ingénieur logiciel de 30 ans aurait contribué au revirement

POLITICO souligne de son côté que le site fightchatcontrol.eu, lancé le 6 août dernier par un ingénieur logiciel danois de 30 ans, aurait contribué à « saturer » de courriels les responsables gouvernementaux nationaux et membres du Parlement européen, et même « provoqué une vive agitation dans les couloirs du pouvoir à Bruxelles ».

POLITICO a pu vérifier l’identité de celui qui se fait appeler Joachim. Il refuse en effet de rendre public son nom ainsi que celui de son employeur qui, n’ayant « aucun intérêt commercial » associé à ce projet, ne souhaite pas être associé à cette campagne.

L’ingénieur, qui aurait pris en charge seul les coûts liés au site web, a répondu à POLITICO que, début octobre, plus de 2,5 millions de personnes avaient visité son site web, et qu’il estimait que ce dernier avait permis d’envoyer plusieurs millions de courriels.

« Cette campagne semble avoir placé le sujet au premier plan dans les États membres où il n’y avait auparavant que peu ou pas de débat public », estime Ella Jakubowska, responsable des politiques d’European Digital Rights (EDRi), qui réunit les principales ONG européennes de défense des libertés numériques.

« La présidente de la Commission européenne, Ursula von der Leyen, doit désormais admettre l’échec de son projet dystopique Control Chat », estime Patrick Breyer, pour qui la Commission « doit définitivement retirer ce projet de loi irréparable, qui n’a pas réussi à obtenir la majorité au Conseil depuis des années » :

« Elle devrait plutôt adopter l’alternative proposée par le Parlement européen, qui garantit une protection efficace des enfants sans surveillance de masse : des applications plus sûres grâce à la « sécurité dès la conception », la suppression proactive des contenus illégaux en ligne et des obligations de retrait rapide. »

Le chiffrement est essentiel à l’indépendance numérique de l’Europe

Plus de 40 entreprises et ONG européennes soucieuses de la protection de la vie privée avaient cosigné plus tôt cette semaine une lettre ouverte aux États membres de l’UE, rappelant pourquoi la proposition reviendrait à installer une « porte dérobée » dans les terminaux des citoyens européens :

« L’avenir numérique de l’Europe dépend de la compétitivité de ses propres entreprises. Or, obliger les services européens à affaiblir leurs normes de sécurité en analysant tous les messages, même cryptés (sic), à l’aide d’une analyse côté client, compromettrait la sécurité des utilisateurs en ligne et irait à l’encontre des normes élevées de l’Europe en matière de protection des données. Par conséquent, les utilisateurs européens – particuliers et entreprises – et les clients mondiaux perdront confiance dans nos services et se tourneront vers des fournisseurs étrangers. Cela rendra l’Europe encore plus dépendante des géants américains et chinois de la technologie qui ne respectent pas actuellement nos règles, sapant ainsi la capacité de l’Union à être compétitive. »

Elle rappelle que le RGPD est « l’un des rares, voire le seul avantage concurrentiel dont dispose l’Europe par rapport aux États-Unis et à la Chine dans le secteur technologique ». Et ce, alors que les mesures telles que NIS2, la loi sur la cyberrésilience et la loi sur la cybersécurité « reconnaissent que le chiffrement est essentiel à l’indépendance numérique de l’Europe ».

Plusieurs Français figurent parmi les signataires : Commown, CryptPad, E-Foundation, la FFDN, Gentils Nuages, Hashbang, LeBureau.coop, Logilab, Murena, Nym, Octopuce, Olvid, TeleCoop et XWiki.

« Reviens, j’ai les mêmes à la maison ! »

Depuis son rachat en juin 2018 pour 7,5 milliards de dollars, GitHub jouissait d’une relative indépendance au sein de Microsoft. La situation a commencé à changer en aout avec le départ du CEO de GitHub, Thomas Dohmke. Une étape supplémentaire sera franchie dans un futur proche : Microsoft a confirmé que tous les services seraient migrés vers Azure au « cours des 24 prochains mois ».

« GitHub migrera vers Azure au cours des 24 prochains mois, car nous pensons que c’est la bonne décision pour notre communauté et nos équipes. Nous devons évoluer plus rapidement pour répondre à la croissance explosive de l’activité des développeurs et des flux de travail alimentés par l’IA, et notre infrastructure actuelle atteint ses limites », a déclaré Kyle Daigle, directeur de l’exploitation de GitHub, à The Verge.

C’est ainsi que Microsoft a confirmé une rumeur de plus en plus insistante et dont nos confrères se faisaient le relai. Selon plusieurs sources, la décision serait considérée en interne comme « existentielle ». On peut effectivement y voir un problème de logique : pourquoi continuer sur une ancienne architecture dédiée (implantée en Virginie) alors que la maison-mère possède l’une des plus vastes infrastructures cloud au monde ?

Il s’agirait autant de réduire les couts d’un tel hébergement que de permettre la continuité dans le passage à l’échelle.

Une question existentielle

Nos confrères rapportent que l’annonce de cette migration aurait été faite en interne la semaine dernière par le directeur de la technologique de GitHub, Vladimir Fedorov.

« Nous sommes limités par la capacité des serveurs de données avec des possibilités limitées de mettre en ligne plus de capacité dans la région de Virginie du Nord », aurait écrit le responsable. « Nous devons le faire. Il est existentiel pour GitHub d’avoir la capacité d’évoluer pour répondre aux exigences de l’IA et de Copilot, et Azure est notre voie à suivre ».

La lettre évoque une « mobilisation » au sein d’Azure et de l’équipe CoreAI. Cette dernière est devenue centrale chez Microsoft, comme nous l’indiquions en aout. Thomas Dohmke, CEO de GitHub, démissionnait alors, sans remplacement programmé. Les troupes de GitHub étaient alors rapprochées de CoreAI, division créée l’année dernière dans le but affiché de développer une pile « Copilot & AI » pour les besoins internes et les clients.

• Avec la démission de son patron, GitHub s’enfonce davantage dans la CoreAI de Microsoft

12, 18 ou 24 mois ?

« Je sais que ce n’est pas la première fois que nous disons que GitHub passe à Azure. Je sais aussi que ce type de migrations (dont certaines que nous avons déjà essayées) peut s’éterniser, et plus elles traînent en longueur, plus elles sont susceptibles d’échouer », aurait également écrit Fedorov dans sa lettre interne.

Ce ne sera pas la première fois que GitHub doit déplacer des éléments de son infrastructure dans Azure. Le mouvement a déjà été fait pour Git dans Azure et Azure Sites Automation, et les migrations associées ne se seraient pas bien passées. Dans ce contexte, il aurait été demandé aux équipes de GitHub de travailler en priorité sur la migration complète vers Azure, quitte à retarder le développement de nouvelles fonctionnalités.

Selon le calendrier qu’a pu consulter The Verge, l’essentiel de la migration serait achevé dans les 12 mois. L’abandon complet de l’ancienne infrastructure se ferait dans les 18 mois, avec une marge de sécurité de 6 mois, aboutissant à une période maximale de deux ans.

Comme le rappellent d’ailleurs nos confrères, une migration de cette ampleur ne sera pas sans poser de nombreux défis. En plus du retard dans l’arrivée de fonctions prévues, elle pourrait entrainer des pannes plus ou moins importantes selon les services. GitHub en a connu plusieurs cette année et, à l’heure où nous écrivons ces lignes, Azure en connait une lui-même, avec de multiples perturbations à la clé.

Les Experts : mi-amis

Signe de la dépendance de plus en plus grande aux preuves numériques, le budget dédié aux experts de justice en informatique est passé de 8 à 19 millions d’euros par an. Si les frais d’interprétariat et de traduction ont progressé de 72 % dans le même temps, ils ne seront pas, a priori, remplacés par des IA : le droit français et européen imposent en effet le recours à des interprètes humains.

Dans un rapport intitulé « Maîtriser les frais de justice pour mieux rendre la justice », la commission des finances du Sénat constate que « leur coût a été de 716 millions d’euros 2024, en hausse de 51,2 pour cent par rapport à 2013 », alors que l’inflation n’a été que de 19,1 % dans le même temps.

Qualifiés de « frais d’enquête » par le garde des sceaux, ils concernent essentiellement les analyses et expertises médicales (26 %), frais de traduction et d’interprétariat (11,9 %), interceptions (11,3 %) et mesures judiciaires (contrôle judiciaire, enquête sociale rapide, enquête de personnalité : 10,4 %), la médecine légale (9,1 %) et les frais de gardiennage et de scellés (6,6 %) commandées par les magistrats ou, sous leur contrôle, par les officiers de police judiciaire (OPJ).

Certaines catégories de dépenses ont augmenté bien plus que d’autres, comme les frais de mesures judiciaires (+ 81,1 % depuis 2019), de traduction et d’interprétariat (+ 72,4 %), les cotisations des collaborateurs occasionnels du service public (COSP,+ 55,2 %), expertises médicales (+ 49,6 %, « notamment en raison de l’inflation du nombre d’expertises psychiatriques »), frais de gardiennage et de scellés (+ 42,4 %), contrairement aux frais d’interceptions judiciaires (+ 1,4 %), de procédure (+ 2,1 %) et rétributions des auxiliaires de justice (+ 2,7 %).

Cette explosion des frais de justice est telle que les prévisions de dépenses moyennes par affaire faisant l’objet d’une réponse pénale, qui étaient d’environ 300 euros de 2015 à 2020, ont plus que doublé depuis. Or, souligne le rapporteur (LR) Antoine Lefèvre, « les dépenses budgétaires constatées chaque année ne donnent qu’une idée partielle de la charge réelle représentée par les frais de justice » :

« En raison du niveau insuffisant de la budgétisation, mais aussi de la charge pesant sur les services des greffes […] le ministère fait patienter ses prestataires jusqu’à l’année suivante lorsqu’il n’a plus de crédits pour régler les prestations de l’année en cours. »

Des experts auxquels l’État doit des dizaines de milliers d’euros, depuis des années

Certains experts ne sont dès lors payés que « plusieurs mois, voire plusieurs années », après avoir travaillé. Au point que certains « se retrouvent alors en difficulté financière », le temps de recouvrir les « milliers, voire plusieurs dizaines de milliers d’euros » que l’État leur doit.

Orange a admis jeudi matin que ses services d’accès à Internet étaient susceptibles de faire l’objet d’un « dérangement collectif » dont nous avons eu directement confirmation sur une ligne fixe parisienne, avec un incident réseau signalé aux alentours de 10 heures, et une promesse de résolution « en fin de matinée ».

Les outils de signalement d’incidents de type downdetector soulignent effectivement un pic des demandes liées à Orange à partir de 10 heures, avec une situation qui semble revenir à la normale à partir de 12 heures. Dans l’intervalle, plusieurs centaines d’internautes se sont tout de même enquis de la santé du réseau de l’opérateur, sur lequel un incident physique s’est bien produit jeudi matin.

À ce stade, aucun lien n’est formellement établi avec les dysfonctionnements constatés par certains clients finaux, mais une « grosse déflagration » est en effet survenue jeudi matin place de Breteuil à Paris (VIIe arrondissement), « dans un local technique d’Orange dans une copropriété qui appartient notamment à l’hôtel de luxe SAX Paris, inauguré au printemps dernier », rapporte le Parisien.

D’après le quotidien, trois ouvriers auraient été blessés par l’explosion et rapidement pris en charge. L’accident serait survenu alors qu’ils procédaient à une soudure sur le compresseur d’un bloc de climatisation.

Sur X, les témoignages signalant une impossibilité d’accéder à certains des services en ligne de Microsoft affluent depuis environ 10h30 jeudi matin. Les messages évoquent des dysfonctionnements principalement au niveau des versions entreprises de Microsoft 365, mais aussi une impossibilité d’accès à certains des services cloud de Microsoft Azure. En parallèle, les requêtes effectuées sur les sites dédiées à la vérification de disponibilité d’un service montrent une recrudescence des demandes relatives à Minecraft, ce qui laisse là aussi augurer des difficultés de connexion aux fonctionnalités en ligne, distribuées via le cloud de l’éditeur.

La page statut des principaux services Microsoft confirme une dégradation de service au niveau des offres professionnelles Microsoft 365 (la messagerie et la bureautique grand public semblent quant à elles fonctionnelles). « Tout utilisateur tentant d’accéder au centre d’administration Microsoft 365 ou d’utiliser Microsoft Entra [la solution cloud de gestion des identités et des accès de l’éditeur, NDLR] pour accéder à d’autres services Microsoft 365 peut être affecté », indique la dernière mise à jour publiée vers 11h43. La piste en cours d’investigation concerne l’infrastructure responsable de la répartition de charge (load balancing).

Du côté d’Azure, l’infrastructure en tant que service de Microsoft, les outils d’information n’ont référencé aucun incident jusqu’à environ 11h45 jeudi, et ce alors même que le compte X chargé du support répondait qu’un problème était bien identifié aux internautes inquiets. Peu avant midi donc, les outils dédiés à la santé du service ont été mis à jour pour signaler « une perte de capacité significative dans environ 21 environnements Azure Front Door en Europe et en Afrique ». À la même heure, le service santé de la console Azure retournait quant à lui une erreur d’affichage… De quoi sans doute donner du grain à moudre aux détracteurs de la logique commerciale qui pousse Microsoft à abandonner ses offres on-premise au profit de formules cloud…

Pomme glacée

De nouvelles applications dédiées aux activités des agents de l’ICE ont été supprimées de l’Apple Store. Dans un cas, l’entreprise a justifié sa décision par ses règles de protection des minorités contre les discours de haine – assimilant de fait les fonctionnaires concernés à une minorité.

Après les applications de signalement des services d’immigration, celles d’enregistrements de vidéos de violences commises par les agents de l’administration états-unienne.

Apple vient de supprimer de son magasin d’application Eyes Up, une application dédiée à enregistrer des vidéos TikTok, des Reels Instagram, des vidéos et des clips d’informations revenant sur des cas de violences commises par le personnel de l’Immigration and Customs Enforcement (ICE, le service des douanes états-unien).

DeICER, une autre application dédiée à enregistrer les activités de forces de l’ordre affiliées à l’ICE, a elle aussi été supprimée. D’après Migrant Insider, le motif utilisé pour justifier ce retrait est habituellement utilisé pour protéger les populations minorisées des discours de haine.

Pression accrue du gouvernement Trump

La suspension d’Eyes Up suggère que la pression exercée par le gouvernement des États-Unis sur les géants numériques prend un tour plus large que le retrait déjà obtenu d’outils pour partager en temps réel la localisation d’agents de l’ICE.

En début de semaine, Apple et Google suspendaient en effet ICEBlock, une application disponible depuis le mois d’avril pour permettre à qui le souhaitait de surveiller et de s’échanger des informations de localisation sur les équipes de l’ICE.

Eyes Up se contentant de fonctionner comme un agrégateur de contenu – certes, spécifique –, son créateur affirme à 404 Media : « je pense que l’administration est simplement trop embarrassée par le nombre de vidéos incriminantes que nous avons ».

Agents de l’ICE, nouvelle catégorie protégée ?

Quelles que soient les raisons du gouvernement local, elles influent visiblement sur les conditions d’utilisation des sociétés numériques. Apple a en effet utilisé des règles initialement écrites afin de protéger des minorités des discours de haine pour justifier la suppression d’une autre application. De fait, l’entreprise fait de la catégorie professionnelle des agents de l’ICE une minorité demandant une protection spécifique.

Pour le créateur de DeICER, le risque n’est pourtant pas que ces agents soient discriminés. « Enregistrer des fonctionnaires n’est pas du harcèlement, c’est la démocratie », souligne-t-il auprès de Migrant Insider.

Au quotidien, l’ICE recourt de son côté à un outil de surveillance de la localisation de centaines de millions de téléphones mobiles. L’outil permet aux agents de fouiller dans des masses de données de localisation et en provenance des réseaux sociaux et s’appuierait notamment sur les solutions Tangles et Webloc, historiquement produites par la société israélienne Cobwebs et désormais vendues par Penlink.

Bonne nouvelle, le secteur de la cybersécurité est en plein boum. Enfin bientôt…

Un data center détruit dans l’incendie causé par l’explosion d’une batterie au lithium-ion. Tel est l’événement qui paralyse la Corée du Sud depuis le 26 septembre : d’une batterie, le feu s’est propagé à 384 autres.

Le feu a pris lors d’un exercice de réduction des risques, alors que des batteries UPS (Uninterrupted Power Supply, dédiées à la continuité de l’alimentation électrique) d’une salle de serveurs installée au cinquième étage du bâtiment étaient déplacées vers les sous-sols pour protéger des infrastructures critiques.

Installées en 2014, ces batteries avaient dépassé leur durée de vie recommandée (10 ans), note le Korea Herald, même si elles avaient subi des inspections régulières.

Le centre hébergeant les données de l’administration sud-coréenne, 647 des 1 600 services numériques gouvernementaux se sont retrouvés bloqués. Parmi eux, le portail centralisé qui permet aux citoyens d’accéder à leurs services publics, les services postaux et logistiques, ou encore les services d’urgence, dont ceux permettant de géolocaliser les appels 119 pour répartir efficacement les unités.

Au bout de quatre jours, seuls 85 services étaient restaurés, et le gouvernement estimait à quatre semaines pleines le temps nécessaire à une reprise normale des activités.

Au passage, 858 To de données relatives aux citoyens ont été définitivement perdues. Les fonctionnaires avaient accès à 30 Go de stockage sur leur G-Drive (pour Government drive, et non Google drive) pour sauvegarder leurs activités. Les travaux de 750 000 d’entre eux ont brûlé avec les serveurs, d’après le ministère de l’Intérieur coréen.

L’incendie fait écho à celui qui avait frappé OVHcloud en 2021. Sur le coup, plusieurs clients de l’entreprise française avaient, eux aussi, intégralement perdu leurs données, notamment faute d’avoir souscrit un service de sauvegarde.

L’administration sud-coréenne a fait la même erreur.

• Une donnée informatique, ça brûle

I’m Blue (Da Ba Dee)

Cette année, Bleu est aux Assises de la cybersécurité de Monaco. Nous en avons profité pour leur demander où en étaient leur certification SecNumCloud et le lancement des produits associés.

L’éditeur a pour rappel été lancé par Orange et Capgemini, en partenariat avec Microsoft pour le cloud Azure et la suite logicielle Microsoft 365. C’est le concurrent direct de S3ns, qui est pour sa part la version française de Google avec Thales aux commandes.

• Thales et Google détaillent le fonctionnement de S3ns sur le « cloud de confiance »

Où en est la qualification SecNumCloud de Bleu ?

Bleu nous rappelle avoir passé le jalon J0 sans réserve en avril sur la partie IaaS (Infrastructure as a Service), PaaS (Plateform as a Service) et CaaS (Container as a Service) correspondant à Azure. La société nous explique avoir plus de 100 services à faire qualifier, elle a donc découpé sa demande à l’ANSSI en deux.

Le Texas, l’Utah et la Louisiane ont tous trois passé récemment des lois pour imposer la vérification de l’âge des utilisateurs à la création des comptes et avant de les laisser installer des applications depuis des boutiques. Apple et Google viennent ainsi de publier des informations en ce sens.

Dans un cas comme dans l’autre, l’idée est surtout de généraliser les mécanismes de vérification et de pouvoir diffuser ces informations aux applications, via de nouvelles API. Car si les boutiques doivent bloquer l’accès aux mineurs, les applications ont également des obligations.

Les nouvelles API (d’autres arriveront plus tard cette année) auront ainsi pour mission de signaler aux applications y faisant appel que la personne est majeure. Si elle ne l’est pas, elle devra obligatoirement faire partie d’un groupe familial. Le contrôle parental s’appliquera donc pleinement. Les deux entreprises travaillent ainsi à fluidifier les signaux d’autorisation ou de blocage pour les applications tierces.

C’est au Texas que la loi s’appliquera en premier, le 1ᵉʳ janvier 2026. Suivront l’Utah le 7 mai et la Louisiane le 1ᵉʳ juillet. Dans les trois cas, Apple et Google sont très critiques de ces législations. « Ces lois imposent de nouvelles exigences importantes et lourdes à de nombreuses applications qui peuvent avoir besoin de fournir des expériences adaptées à l’âge des utilisateurs de ces États », affirme par exemple Google. Apple pointe de son côté « la collecte d’informations sensibles et personnellement identifiables », même pour des actions aussi triviales que consulter la météo.

Passez quand même une bonne journée

Lors de sa conférence d’ouverture des Assises de la cybersécurité, Vincent Strubel (patron de l’ANSSI) a partagé ses peurs pour l’avenir. Un électrochoc pour réveiller les consciences et essayer de « créer un meilleur futur pour tout le monde ».

Pendant sa conférence d’ouverture, le directeur général de l’ANSSI a décrit deux risques qui l’inquiètent particulièrement. Le premier, c’est « d’être submergé » par le nombre d’attaques ; c’est-a-dire « en subir tellement à la fois qu’on ne pourra plus rien faire ». Le second risque, c’est de « perdre nos leviers d’action ». Autant vous prévenir tout de suite, il va décrire des futurs « un peu plus sombres que d’habitude, c’est peut-être l’époque qui veut ça », mais il ajoute que ces « futurs dystopiques n’ont rien d’une fatalité ».

De « ça pourrait être pire » à « ça va être pire »

Sur le premier risque et l’état de la cybermenace, Vincent Strubel commence par une relative « bonne nouvelle » : « ça pourrait être pire ». Mais il ajoute qu’avec « le mouvement de brutalisation du monde qui déborde assez naturellement sur le cyberespace, malheureusement ça va être pire ».

Pour le patron de l’ANSSI, nous ne sommes pas encore au bout de la massification et de l’accélération des attaques. Autre point, « on n’est pas au bout de la désinhibition des attaquants », qui veulent provoquer toujours plus d’angoisses et de doutes. « Et on n’est probablement pas au bout de la convergence entre les différentes menaces ».

Ces rapprochements concernent à la fois les groupes de pirates et les types d’attaques (cyberattaques, manipulation de l’information, sabotage…). Le but des pirates est de se coordonner « pour nous faire le plus mal possible ».

Une guerre avec une « tempête parfaite de toutes les menaces »

Vincent Strubel revient sur le constat de la Revue nationale stratégique de juillet, qui prévoit que la nation doit être « prête à faire face à une guerre de haute intensité » d’ici 2030, avec un « engagement de nos armées » précise le patron de l’ANSSI, pour bien mettre les points sur les « i ».

Cette guerre se fait « simultanément à un déferlement, une tempête parfaite de toutes les menaces hybrides. Quand on y pense, ça a un côté vertigineux ». Le patron de l’ANSSI persiste et signe : « Je peux vous garantir que chacun de ces mots a été pesé […] fondamentalement, tous nos partenaires font le même constat ». Un résumé en trois mots pour les amateurs de série : « Winter is coming ».

Le but du message, avec le poids important de certains mots, est de provoquer un « réveil » collectif et de ne pas « trop se disperser ». Il milite aussi pour que les questions cyber quittent le cercle des sachants et que tout le monde s’en inquiète.

« Il ne faut probablement pas croire tout ce qu’ils disent »

Vincent Strubel rappelle aussi que les pirates et autres acteurs malveillants sont de très bons communicants et « qu’il ne faut probablement pas croire tout ce qu’ils disent ». Sans le citer directement, on peut y voir l’écho d’une affaire récente avec la recherche de buzz à tout prix autour d’une potentielle fuite de l’ANTS. Elle avait même poussé Vincent Strubel à réagir sur les réseaux sociaux, une première.

• Une fuite massive à l’ANTS ? De la recherche du buzz au recadrage cinglant de l’ANSSI

Ce n’est qu’un exemple, mais il n’est pas rare de voir dans les réseaux sociaux et la presse des annonces de fuites basées sur un simple message publié sur un forum bien connu. La course au buzz et au nombre de pages vues fait le reste.

« 100 % des victimes auraient pu faire quelque chose », mais…

Nous pouvons aussi citer le cas d’EDF et de Conforama, mais il y en a bien d’autres. Cette problématique n’a rien de nouveau, nous en parlions en février dans notre édito sur le temps de l’information chez Next. Du côté des entreprises aussi, il y a du travail à faire. Deux exemples : le rétropédalage d’Intermarché et la tentative de minimisation de Pandora qui parle de vos données personnelles comme de « données courantes ».

• [Édito] Le temps de l’information

Vincent Strubel en profite pour remettre l’église au centre du village : « les vrais méchants, ce sont les attaquants, pas les victimes ». Il reconnait que « 100 % des victimes auraient pu faire quelque chose pour éviter la cyberattaque, mais ça reste des victimes ».

Transposition de NIS2 : le vote « n’est qu’une étape et pas la plus difficile »

Le patron de l’ANSSI revient brièvement sur la transposition de la loi NIS2, en attente d’un vote par les députés et donc d’un gouvernement… dont ce ne sera surement pas la priorité. Il rappelle que le vote est « une étape indispensable et essentielle, mais ce n’est qu’une étape et pas la plus difficile ».

• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat

Le plus dur, c’est la mise en œuvre et pour cela « il ne faut pas attendre » car « on sait tout ce qu’il faut faire ».

L’attaque quantique du (cyber)gendarme

Le deuxième risque sur la perte de leviers d’action est en partie la conséquence d’une mutation du secteur. Elle n’est pas nouvelle : « on ne peut pas faire un dump de la mémoire d’un cloud, on ne peut pas patcher une IA, on ne peut pas faire sans le dépositaire unique d’une technologie ». Ces changements s’inscrivent dans un temps long et laissent de la marge pour s’adapter.

• [FAQ] Notre antisèche sur l’informatique quantique

Il enchaine sur la prochaine rupture importante sur laquelle le secteur doit se pencher sans attendre : l’ordinateur quantique et la menace sur le chiffrement asymétrique. Avec un chiffrement symétrique comme AES, il suffit pour rappel de doubler la taille des clés. Des solutions existent depuis des années avec des algorithmes post quantiques ou du chiffrement hybride, dont nous avons déjà expliqué le fonctionnement.

• Le chiffrement hybride classique et post quantique, comment ça marche

L’ANSSI annonce deux échéances : 2027 et 2030

Pour le directeur général de l’ANSSI, il est plus que temps : « c’est maintenant qu’il faut s’y mettre ». L’ANSSI a accordé il y a quelques jours les « deux premières certifications de solutions post quantique », à Thales et Samsung, avec les évaluations menées par le CEA-Leti.

Le patron de l’Agence de cybersécurité annonce un calendrier :

• À partir de 2027 : l’ANSSI n’acceptera plus en entrée de qualification des produits de sécurité qui n’intègrent pas une cryptographie résistante à l’ordinateur quantique.
• À partir de 2030 : « on recommandera et on imposera le cas échéant de ne plus acquérir de telles solutions ».

Dans un communiqué, l’ANSSI explique que « les enjeux de la cryptographie post-quantique doivent être pris en compte dans le cycle de renouvellement des systèmes d’information, afin que la transition soit anticipée, maîtrisée et coûte possiblement moins cher ».

Si un ordinateur quantique avec suffisant de qubits pour casser des chiffrements asymétriques (type RSA) n’est pas encore là (mais personne ne peut prédire quand il arrivera), des acteurs malveillants (étatiques ou non) peuvent déjà « jouer les écureuils » avec des données pour les décrypter ensuite.

La menace est donc réelle et c’est déjà trop tard pour des données sensibles sur une longue période, il fallait passer à la cryptographie post quantique avant. C’est la conclusion : tout doit être traité en conséquence, sans attendre. On pourrait même dire qu’attendre 2027 et 2030, c’est presque long.

• Informatique quantique, qubits : avez-vous les bases ?
• Informatique quantique, algorithme de Grover : entre mythe et espoir
• Informatique quantique, algorithme de Shor : le « casseur » de cryptographie… en théorie

La nouvelle n’a pas encore été confirmée par la chaîne, mais plusieurs des employés et chroniqueurs ont confirmé publiquement l’information, révélée mercredi soir par BFM : la chaîne de télévision Game One, spécialisée dans les jeux vidéo et la culture geek, s’apprête à fermer ses portes. Le groupe Paramount Networks France, à qui elle appartient, aurait programmé la fin de la diffusion aux alentours de la fin novembre.

D’après BFM, qui indique avoir échangé avec une dizaine de salariés de la chaine, la décision interviendrait dans le cadre d’un plan de restructuration global des activités télévisuelles de Paramount en France. Elle découlerait du projet de fusion engagé, aux États-Unis, entre Paramount et Skydance, récemment validé par la FCC.

La nouvelle a de quoi surprendre. Contrairement à Nolife, fermée en 2018 après de multiples tentatives de sauvetage, Game One ne souffrait d’aucune difficulté financière : ses comptes 2024, déposés en juillet dernier, font d’après nos recherches état d’un chiffre d’affaires de 10,6 millions d’euros, pour un résultat net qui s’établit à 2,48 millions d’euros.

Plusieurs des chroniqueurs de TeamG1, l’émission phare de la chaine, animée par Julien Tellouck depuis 2014, ont réagi aux révélations de BFM dans la soirée. La spécialiste des jeux de combat Kayane semblait au courant, mais regrette que l’annonce n’ait pas pu être formulée par l’équipe.

« J’aurais préféré que cela soit annoncé dans de meilleures conditions, ne serait-ce que de notre part officiellement en premier, on l’aurait mérité et vous aussi qui suivez Game One depuis de nombreuses années pour certains. Mais les choses en sont tristement autrement… A mon grand regret, une chose aussi simple n’a même pas été possible », écrit-elle sur X.

Plus emblématique encore, puisqu’il officie sur Game One depuis la création de la chaîne, en 1998, Marcus a laissé entendre qu’il n’avait pas été informé.

« J’ai du mal à croire que Paramount et Skydance n’aient pas eu la décence de me prévenir de leur intention de mettre fin à une chaîne qui fait le bonheur des gamers depuis 1998 et sur laquelle j’officie depuis le premier jour. Si ce projet de fermeture est réel, c’est 27 ans de l’histoire du jeu vidéo qui vont être désintégrés », déclare-t-il, avant de promettre à ses « ptizamis » que « Game One n’est pas encore game over ».