Pas bien glorieux

La Cour des comptes vient de publier un rapport sur la souveraineté numérique. Dressant un tableau relativement sombre de la situation française, elle pointe les dangers de la dépendance actuelle et dresse une liste de recommandations.

Alors que l’on assiste à un nombre croissant de projets de migration vers des logiciels libres en Europe et que même la Cour pénale internationale va se débarrasser en grande partie de Microsoft, la Cour des comptes publie un rapport sur la souveraineté numérique. Sa définition en est claire : l’État doit maitriser les technologies qui lui permettent de rester autonome en toute circonstance, ce qui comprend le matériel, le logiciel et les données.

Cette définition implique ainsi de ne pas se faire dicter des choix technologiques structurants par un tiers et que soient protégées les données d’une sensibilité particulière des systèmes d’information de l’État. Dans ce domaine, la Cour note que la France a des « ambitions », mais elles sont jugées « encore insatisfaites », avec un décalage important entre la volonté affichée et la pratique.

Synthèse douloureuse

Le rapport de la Cour des comptes dresse un bilan de nombreux sujets ayant un lien avec la souveraineté. D’abord, celle-ci est directement confrontée à la position des États-Unis et d’autres puissances.

La Cour rappelle ainsi que la portée extraterritoriale de certaines lois étrangères est une grosse épine dans le pied de la souveraineté. Trois textes américains sont mis en avant, sans surprise : la section 702 du Foreign Intelligence Surveillance Act qui autorise la collecte de données sur des personnes ou entités non américaines à l’étranger à des fins de sécurité nationale, l’Executive Order 12333 qui définit les objectifs des agences de renseignement et permet notamment la collecte de masse, et le Cloud Act de 2018 qui autorise la justice à délivrer des mandats pour récupérer des données dans les clouds des entreprises américaines, dans le cadre d’enquêtes.

Selon le rapport, le risque réel est difficile à évaluer. Les procédures américaines, dans le cadre de ces trois textes, sont décrites comme « très opaques » : « Les seuls chiffres disponibles, ceux de la FISC au titre du Fisa, montrent un nombre de rejets très faible des demandes émises par les agences fédérales de renseignement ». Même chose pour le Cloud Act : « Les dernières publications en la matière (2024) de quatre grandes entreprises américaines, en l’occurrence Microsoft, Google, AWS et Salesforce, restent vagues ».

Synthèse problématique également pour les « décisions d’adéquation » européennes, à savoir le Safe Harbour de 2000, le Privacy Shield de 2016 et finalement le Data Privacy Framework de 2023. Les deux premiers sont tombés sous les coups de Maximilien Schrems de l’ONG noyb. Ces accords sont cruciaux : ils établissent une adéquation entre le niveau de protection des données personnelles entre l’Union européenne et les États-Unis. Le Data Privacy Framework est lui aussi la cible d’attaques. En France, le député Philippe Latombe a déjà tenté de le faire tomber, la CJUE ayant rejeté son recours début septembre.

Loi SREN trop timide, isolement de la France sur EUCS

La Cour des comptes continue de renverser les quilles en listant tout ce qui cloche, dont une loi SREN jugée trop « prudente sur les enjeux de souveraineté ». Le décret d’application n’a été envoyé qu’en début d’année à la Commission européenne et limite les cas où le référentiel SecNumCloud serait utilisé aux seules données sensibles, dont la violation serait « susceptible d’engendrer une atteinte à l’ordre public, à la sécurité publique, à la santé ou à la vie des personnes ou à la protection de la propriété intellectuelle ».

Le rapport illustre dans son point 1.2.2 le lien complexe entre la France et la Commission européenne sur ce sujet. La qualification SecNumCloud serait ainsi souhaitable pour de nombreux services de l’État, mais elle n’est pas reconnue au niveau européen. Elle serait donc « susceptible d’écarter d’appels d’offres publics des entreprises basées dans d’autres États membres ». La position française n’a pas été suivie à ce jour, « comme en témoignent les discussions en cours autour du schéma de certification EUCS ». La Cour des comptes les décrit comme « en cours », mais elles semblent au point mort, la France et l’Allemagne ayant des positions diamétralement opposées.

Pourquoi mettre en avant SecNumCloud ? Car il aurait constitué le socle du niveau High+ dans EUCS. Il aurait été alors possible, pour les entreprises, agences étatiques et autres administrations de lancer des appels d’offres dans ce niveau. Or, SecNumCloud, dans sa version 3.2, impose la sélection de services n’étant soumis à aucun cadre juridique extraterritorial. Ce qui aurait court-circuité automatiquement tous les clouds américains.

Nombreuses limitations dans les actions françaises

Le rapport dresse un constat sombre de l’état de souveraineté en France, très loin d’être atteint. C’est particulièrement vrai sur le matériel, très peu d’industries étant présentes en Europe de manière générale. La production de semi-conducteurs se fait ainsi principalement en Asie et aux États-Unis. Même chose pour les ordinateurs, les équipements réseau, les smartphones et de nombreux composants électroniques.

Mais c’est bien dans le logiciel que les problèmes de souveraineté s’illustrent le plus clairement. La Cour des comptes note que différentes approches se heurtent, sans vraiment de cohérence. Certaines administrations et entités préfèrent ainsi développer en interne les applications dont elles ont besoin, avec des problèmes de respect des budgets alloués et de délais de réalisation. D’autres préfèrent recourir à des logiciels du marché, avec l’avantage des fonctions déjà éprouvées et de la rapidité de déploiement, mais avec un contrôle moindre sur la souveraineté.

Le risque de revirement des politiques techniques et commerciales est prégnant et est illustré, selon le rapport, par le cas Microsoft : quand l’entreprise a annoncé déporter de nombreuses applications vers le cloud, la Dinum a demandé aux ministères de ne pas souscrire à ces offres. Même au sein d’une même entité, le manque de coordination est criant, pointe la Cour. Dans l’Éducation nationale par exemple, les produits Microsoft sont très nombreux, quand des académies préfèrent migrer vers du logiciel libre.

En dépit de certains points positifs mis en avant, notamment le réseau interministériel de l’État (RIE) qui garantit la résilience des communications gouvernementales même en cas de défaillances majeures d’internet, les autres initiatives sont sujettes à critiques. C’est le cas de FranceConnect, pensé pour se prémunir contre les services d’authentification des grandes sociétés américaines. Mais s’il est aujourd’hui largement utilisé, il était assorti de problèmes de sécurité que la Dinum a pris tardivement en compte, selon la Cour, dont la dépendance aux prestataires et les risques liés aux sous-traitants.

La Cour pointe en outre les limites de la doctrine « Cloud au centre », ralentie par certains impératifs du marché unique européen (comme dans le cas de SecNumCloud), ou encore le succès limité des clouds interministériels. Pour ces derniers, elle cite Nubo (ministère des Finances) et Pi (ministère de l’Intérieur), mis à disposition des autres administrations. Cependant, à cause d’un manque de services (disponibilité, expérience utilisateur et même manque d’IA) et d’une tarification jugée « inadaptée », ces deux clouds sont « sous-utilisés ».

Et, bien sûr, le rapport de la Cour des comptes illustre les problématiques par les exemples complexes du Health Data Hub et de Virtuo. Le premier illustre toute la difficulté des questions liées à la souveraineté en ayant choisi Microsoft pour héberger des données de santé, par définition sensibles. Le second est le système d’information des ressources humaines du ministère de l’Éducation nationale, dont l’appel d’offres a finalement été remporté par une société américaine. Dans les deux cas, la qualification SecNumCloud est impossible.

Vision stratégique et recommandations

Dans une conclusion intéressante, le rapport met en garde les administrations contre une recherche trop prononcée de performances. La recherche du « plus haut niveau technologique » peut entrainer aussi bien une mise en cause de la souveraineté des données qu’une dépendance de l’administration à la politique commerciale d’un acteur dominant. En clair, les offres des multinationales américaines à l’heure de l’IA.

Face à la question du coût de la souveraineté, l’investissement de l’État est considéré comme « limité » jusqu’ici, avec un marché de l’hébergement souverain « non stabilisé ». 

La Cour formule donc cinq recommandations : le déploiement d’outils bureautiques souverains, l’élaboration d’une stratégie de souveraineté chiffrée (au sens financier du terme), la convergence des clouds interministériels, une cartographie complète des données sensibles et la souveraineté de l’hébergement des données de santé, en alignant la certification HDS (Hébergeur de données de santé) sur les exigences de la qualification SecNumCloud.

💥 ;)💥 ;)💥

Google et Amazon auraient accepté, dans un contrat très lucratif avec l’État israélien, un mécanisme pour contourner d’éventuels contrôles d’autres juridictions, selon des documents obtenus par le Guardian.

Si Microsoft a largement fourni l’armée israélienne en cloud et IA, c’est bien ses deux concurrents qui ont obtenu en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Projet qui, au sein de Google, a fait des remous récemment puisque l’entreprise a licencié 28 de ses employés en janvier dernier après des manifestations de salariés dans les locaux.

Pas de restriction selon les conditions d’utilisation des entreprises

Mais Google et Amazon ont accepté des clauses très particulières dans le contrat qu’ils ont signé avec l’État israélien. En effet, selon des documents du ministère des Finances israélien, dont la version finale du contrat, obtenus par le Guardian (dans le cadre d’une enquête avec les média + 972 et Local Call), les deux entreprises auraient accepté de ne jamais restreindre ou révoquer aucun accès d’Israël à leurs plateformes de cloud, même si celui-ci enfreignait leurs conditions d’utilisation.

Selon le quotidien britannique, cette clause aurait été ajoutée car les responsables auraient anticipé la pression d’activistes et d’associations de défense des droits humains ainsi que d’éventuelles décisions judiciaires dans divers pays. Selon un des documents d’analyse du contrat du ministère des Finances israélien obtenu par le Guardian, « le gouvernement est autorisé à utiliser tout service autorisé par la loi israélienne » à condition que le pays n’enfreigne pas de copyright ou ne revende pas les technologies en question.

Un clin d’œil en forme de versement spécial

Mais une autre clause est encore plus étonnante. Les responsables israéliens auraient voulu éviter la mainmise de toute autorité judiciaire européenne ou états-unienne sur les différents systèmes mis en place par Google et Amazon.

Même si les nouveaux datacenters utilisés par Google et Amazon pour le « projet Nimbus » sont sur le sol israélien, ils craignaient des évolutions législatives étrangères qui auraient contraint les deux entreprises à donner accès aux données aux autorités judiciaires en question.

Les deux entreprises sont régulièrement soumises à ce genre de demandes et ne peuvent s’y soustraire. Les responsables israéliens auraient donc imaginé un mécanisme, qualifié de « clin d’œil », qui permet à Google et Amazon d’informer très rapidement Israël d’une telle demande.

Selon les documents obtenus par le Guardian, le signal donné par l’entreprise concernée devrait se faire sous la forme d’une « compensation spéciale » au gouvernement israélien dont le montant serait lié à l’indicatif téléphonique du pays demandeur.

Ainsi, si la compensation est de 1 000 shekels, ce sont les autorités états-uniennes (indicatif téléphonique :+ 1) qui font la demande. Si c’est l’Italie (indicatif téléphonique :+ 39), la somme serait de 3 900 shekels. La somme de 100 000 shekels indiquerait, elle, que l’entreprise ne peut communiquer aucune information sur le pays en question.

Amazon, Google et Israël bottent en touche et nient en bloc

Les deux entreprises n’ont pas voulu répondre spécifiquement aux diverses questions de nos confrères. « Nous avons mis en place un processus mondial rigoureux pour répondre aux demandes légales et contraignantes concernant les données des clients », a affirmé Amazon, ajoutant « Nous n’avons mis en place aucun processus visant à contourner nos obligations de confidentialité concernant les demandes légales et contraignantes ». Google a rétorqué qu’il était « faux » de « laisser entendre que nous étions d’une manière ou d’une autre impliqués dans des activités illégales, ce qui est absurde ».

De son côté, le ministère des Finances israélien nie en bloc : « L’insinuation contenue dans cet article selon laquelle Israël contraindrait les entreprises à enfreindre la loi est sans fondement ».

Présente à la Paris Games Week, l’association MO5.com a profité, jeudi, de ce grand rassemblement dédié au jeu vidéo pour annoncer l’ouverture prochaine de son « Musée National du Jeu Vidéo », qui couvrira des années 50 à l’époque moderne.

C’est à Arcueil, à proximité immédiate du périphérique parisien et de l’A6 que prendra place cet espace d’exposition permanent estimé à 1200 m² dans un premier temps, « pouvant accueillir jusqu’à 200 personnes simultanément et incluant micros-ordinateurs, consoles, bornes d’arcade jouables en libre accès ».

« Le musée sera doté d’un espace restauration, d’un atelier de 200 m² dédié à la préservation et à la recherche, mais aussi d’un atelier d’entretien et de diagnostic permettant au public de faire réparer ses machines (selon une liste prédéfinie) », promet encore l’association dédiée à la conservation du patrimoine vidéoludique.

L’ouverture est programmée à une date comprise entre le 5 et le 15 décembre, avec un musée accessible au public de 14 h à 18 h les mercredis, samedis et dimanches (les autres jours étant réservés aux groupes). Le ticket d’entrée devrait être facturé moins de 10 euros, et l’accès sera gratuit pour les adhérents de l’association, dont les collections étaient déjà stockées dans un local situé à Arcueil.

« À terme, l’association vise le label « Musée de France » qui garantit la protection de la collection et permet des prêts de pièces avec d’autres musées », espère MO5.com, qui promet l’arrivée imminente d’un site web dédié à son musée, et remercie les nombreux partenaires, locaux ou du secteur, qui ont soutenu sa démarche.

Jusqu’ici, l’association exposait principalement ses collections au travers d’expositions temporaires, comme Game Story, organisée entre octobre 2024 et avril 2025 à Versailles. MO5.com milite de longue date pour disposer d’un espace permanent.

Outre ce « Musée National du Jeu Vidéo », la région parisienne devrait par ailleurs s’enorgueillir d’un autre projet, baptisé Odyssée et porté par Tev, un youtubeur spécialisé dans la culture japonaise. Attendu pour 2028, il prévoit qu’un musée du jeu vidéo et un village japonais d’une surface de 11 000 m² soient intégrés à un pôle d’activités dédié au jeu et à la culture pop, à Bussy-Saint-Georges.

La suite Affinity s’est fait un nom au cours des dernières années comme une alternative crédible aux outils d’Adobe. Le positionnement tarifaire était également très différent, avec des applications coutant chacune 60 euros environ, en achat définitif. Son éditeur, Canva, vient de lancer une nouvelle version, avec plusieurs changements majeurs à bord.

D’abord, la suite est désormais gratuite, mais réclame un compte Canva pour être téléchargée. Les fonctions dopées à l’IA comme la génération d’images, le nettoyage de photos ou encore la copie instantanée sont en revanche payantes, réservées aux personnes disposant d’un compte Canva premium, via Canva AI Studio (à partir de 110 euros par an). La formule comprend également 100 Go de stockage dans le cloud de l’entreprise.

Ensuite, les trois applications ont été fusionnées en une seule, appelée Affinity Professional et disponible pour Windows, macOS et prochainement sur iPad. La même application sert donc à la fois pour la retouche photo, l’illustration vectorielle et la mise en page. Le tout fonctionne sur un nouveau type de fichier décrit comme « universel » pour gérer l’ensemble des fonctions des trois applications réunies. Les anciennes, bien que retirées du site de Canva, continueront de fonctionner jusqu’à ce que l’éditeur en décide autrement.

« Que vous éditiez un portrait, construisiez une identité de marque ou conceviez une publication, le tout nouvel Affinity vous permet de garder le rythme, en combinant puissance, précision et vitesse dans un seul environnement de qualité studio », vante Canva dans son annonce. L’entreprise met également en avant la personnalisation de l’interface, les performances et la familiarité des contrôles pour les personnes qui se servaient des anciennes applications.

« Affinity est maintenant entièrement gratuit, pour toujours. L’expérience Affinity complète, de qualité professionnelle, accessible à tous », promet l’éditeur, qui assure aussi que les documents créés par la suite ne seront pas utilisés pour entrainer l’IA.

Message in a bottle, yeah !

Régulièrement sur les réseaux sociaux, la même rengaine revient : le coût en eau d’une requête sur ChatGPT. Après les GW comme unité de calcul de puissance des GPU, le litre pour le coût environnemental des IA génératives ?

50 cl d’eau par requête ChatGPT ? Chiche !

Selon certains, une requête « consommerait 50 cl d’eau ». Partons de ce postulat. Selon Sam Altman, ChatGPT aurait plus de 800 millions d’utilisateurs actifs par semaine pour 2,5 milliards de requêtes par jour. Cela donnerait donc 1,25 milliard de litres (1 250 000 m³) d’eau par jour, ou encore 450 millions de m³ d’eau sur l’année.

À titre de comparaison, Microsoft annonce des prélèvements de 10,4 millions de m³ d’eau en 2024 au niveau mondial (5,8 millions en Amérique du Nord). Selon l’USGS (United States Geological Survey), la consommation des États-Unis en 2015 était de 322 milliards de gallons (1,2 milliard de m³ d’eau) par jour, soit 450 milliards de m³ par an.

On résume : sur la base des hypothèses, ChatGPT consommerait 45 fois plus d’eau que Microsoft au niveau mondial ou 0,1 % de la consommation totale des États-Unis (en 2015).

Avec 50 cl d’eau par requête, il ne faudrait que 60 millions de requêtes ChatGPT par jour pour arriver à la consommation totale d’eau de Microsoft.

Comment calculer combien d’eau consomme une requête ?

Deuxième approche, comment passe-t-on d’un prompt à un volume d’eau et peut-on retomber sur 50 cl par requête ? Déjà existe-t-il un lien de causalité entre une requête et une consommation d’eau. Oui : l’eau est utilisée pour refroidir les serveurs informatiques. Pour estimer la consommation, deux approches.

La première à partir de la consommation exacte d’une requête. Avec une règle de trois, en connaissant la consommation totale en électricité et en eau sur une période, on pourrait en déduire le volume d’eau moyen pour une requête. Mais on ne connait pas le coût énergétique d’une requête.

La deuxième avec le nombre total de requêtes sur une période (en partant du principe que le serveur ne fait rien d’autre). Si on connait la quantité d’eau utilisée, on peut obtenir la consommation moyenne d’une requête.

Attention, dans les deux cas on parle de moyenne sur l’ensemble des requêtes. Certaines sont plus longues que d’autres et consomment donc davantage.

Les datacenters ne sont pas égaux

Autre point important : la localisation des serveurs. Imaginons que la requête se fasse sur Azure de Microsoft (partenaire d’OpenAI), la consommation d’eau par kWh (on parle de WUE) varie entre 0,02 L/kWh (Irlande) et 1,52 L/kWh (Arizona) selon les données de Microsoft, soit jusqu’à 80x plus. Sur les datacenters Azure aux États-Unis, le WUE va de 0,1 à 1,52, soit un rapport de x15. Une même requête consommerait donc 80 fois plus d’eau en Arizona qu’à Singapour ou en Irlande.

Sans connaitre le datacenter (et on ne le connait pas quand on fait une requête), sa consommation électrique ni son WUE, impossible d’en déduire une estimation (même vague) de la consommation d’une requête à ChatGPT.

« 500 ml pour environ 10 à 50 réponses de longueur moyenne »

D’où viennent alors les 500 ml (50 cl) qu’on voit revenir plus ou moins régulièrement ? D’une étude américaine publiée dans la revue Communications of ACM :

« En prenant comme exemple le modèle GPT-3 avec ses 175 milliards de paramètres, nous montrons que l’entraînement de GPT-3 dans les centres de données américains de Microsoft peut consommer un total de 5,4 millions de litres d’eau, dont 700 000 litres de consommation d’eau sur site (scope 1). De plus, GPT-3 a besoin de « boire » (c’est-à-dire de consommer) une bouteille d’eau de 500 ml pour environ 10 à 50 réponses de longueur moyenne, selon le moment et le lieu de son déploiement ».

500 ml pour 10 à 50 réponses, soit 10 à 50 ml pour une requête GPT-3. OpenAI est depuis passé à GPT-5, mais nous n’avons pas de détails sur son coût environnemental. On se doute qu’il est bien plus important, mais dans quelles proportions ?

Les 10 à 50 ml sont-ils liés au datacenter avec le plus petit WUE, celui avec le plus gros ou à une moyenne ? Selon les hypothèses, la consommation pourrait donc varier de 0,7 à 750 ml… À ce niveau-là, difficile de dire qu’on tient une piste.

« Consommer » de l’eau ?

Et puis, qu’appelle-t-on consommation d’eau ? Microsoft fait bien la différence entre prélèvement, consommation et rejet. La consommation est égale aux prélèvements moins les rejets. Les 10 millions de m³ sont des prélèvements, pour une consommation de 5,8 millions de m³, le reste de l’eau étant rejeté. Rappelons que sur Terre l’eau ne disparait pas, elle suit un cycle.

Dernier point : on n’a même pas parlé du coût de l’entrainement du modèle (des batteries de GPU pendant des mois), de la production de l’électricité, du réseau… Mais ce serait autant d’éléments à intégrer.

• [Édito] Arrêtons de compter la puissance de calcul des GPU en GW, ça ne veut rien dire !

Planche à billets

Alors que des rumeurs insistantes prêtent à OpenAI l’intention de préparer son introduction en bourse, les résultats financiers de Microsoft révèlent que l’éditeur de ChatGPT a considérablement accéléré ses dépenses. Ses pertes représenteraient plus de 11 milliards de dollars sur le dernier trimestre.

On entend souvent parler des projections de revenus d’OpenAI, mais quid de ses dépenses réelles ? La réponse reste pour l’instant un secret savamment gardé par Sam Altman et ses équipes, qui préfèrent, dans les médias, évoquer un horizon à quatre ou cinq ans dans lequel l’entreprise éditrice de ChatGPT serait devenue très rentable.

En attendant, OpenAI consomme du cash à la vitesse grand V. Il faut dire qu’elle a été soutenue, en début d’année, par la promesse d’un investissement à hauteur de 40 milliards de dollars par le groupe japonais Softbank, qui lui donne en principe de quoi voir venir.

11,1 milliards de dollars de pertes sur un trimestre ?

Reste à savoir pour combien de temps. Sur ce point, Microsoft, désormais actionnaire à hauteur de 27 % au capital d’OpenAI, vient peut-être de lever de façon indirecte un coin du voile, à l’occasion de la publication de ses résultats financiers pour le premier trimestre de son exercice fiscal 2026, clos au 30 septembre dernier.

Pour la première fois, ces résultats mentionnent explicitement la perte financière nette qu’associe Microsoft, sur cette période de trois mois, à sa participation dans OpenAI, comme l’a repéré The Register.

Fart of the deal

Après plusieurs sanctions imposées par les États-Unis, la Cour pénale internationale s’apprêterait à signer un contrat avec la société allemande Zendis en vue d’un déploiement de la solution openDesk, pour remplacer la suite Office de Microsoft.

L’information a été révélée par le média allemand Handelsblatt. Osvaldo Zavala Giler, greffier de la CPI et responsable de l’informatique, a confirmé à demi-mot l’information : « Compte tenu des circonstances, nous devons réduire les dépendances et renforcer l’autonomie technologique de la Cour. »

Portée symbolique

Les travaux envisagés ne marqueraient pas par leur ampleur : avec 1 800 postes, la Cour pénale internationale ne détient pas une vaste infrastructure. En revanche, comme relevé par Handelsblatt, la portée symbolique du changement n’échappera à personne, les questions sur la souveraineté s’intensifiant, particulièrement en Europe.

• En Autriche, un ministère se débarrasse en grande partie de Microsoft pour Nextcloud

Les « circonstances » évoquées par Osvaldo Zavala Giler sont en effet les fortes tensions avec les États-Unis depuis le retour de Donald Trump à la Maison-Blanche. Le président américain avait ainsi annoncé des sanctions en février dernier contre la CPI pour avoir lancé des enquêtes contre Israël pour crimes de guerre.

En mai, on apprenait que le compte e-mail de Karim Khan, procureur de la CPI, avait été supprimé par Microsoft. Interrogée devant le Sénat américain le mois suivant, l’entreprise avait nié.

En aout, c’était au tour de Nicolas Guillou, juge français à la Cour pénale internationale, et de plusieurs autres magistrats de faire les frais de ces sanctions, avec une coupure de tous les services numériques par Microsoft. Le juge avait indiqué que ce type de sanction touchait habituellement « des membres d’Al Qaïda, de Daech, de groupes mafieux, des dirigeants de régimes dictatoriaux ».

• Sanctions US : un juge de la CPI n’a plus accès aux services numériques américains

Nécessaire mais pas suffisant

Sur la migration vers openDesk, Microsoft s’est montrée laconique : « Nous apprécions notre relation client avec la Cour pénale internationale et pensons que rien n’affectera notre capacité à poursuivre notre collaboration à l’avenir ». Zendis, de son côté, n’a pas répondu aux sollicitations d’Handelsblatt.

Mais même si cette transition se fait, il faudra au minimum plusieurs mois pour aboutir à un changement effectif. De plus, comme souligné par Handelsblatt, le remplacement d’Office n’est qu’une partie du problème. Si les sanctions des États-Unis s’intensifient, toutes les entreprises américaines pourraient se voir interdire la moindre relation commerciale avec la CPI, tout comme les forces de l’ordre pourraient cesser tout envoi d’informations. Le fonctionnement de la Cour en serait largement affecté.

CSARaté

Le Danemark a annoncé l’abandon par l’Union européenne du projet controversé Chat Control. Celui-ci prévoyait d’obliger les messageries à contrôler ce que les utilisateurs partagent, en s’appuyant sur la lutte contre les contenus à caractère pédosexuel.

Finalement, le Danemark, qui préside actuellement l’Union européenne, a décidé de retirer la surveillance des messageries du texte du projet de règlement européen « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » (ou CSAR, pour Child Sexual Abuse Regulation).

Une surveillance obligatoire abandonnée

Le ministre de la Justice danois, Peter Hummelgaard, a expliqué ce jeudi 30 octobre « que l’obligation de recherche [sur les contenus pédopornographiques] ne fera pas partie de la nouvelle proposition de compromis de la présidence de l’UE et que la recherche de matériel pédopornographique restera volontaire pour les géants de la technologie ».

Depuis trois ans, le projet proposait d’obliger les créateurs de messageries à scanner les images et adresses URL avant qu’elles ne soient envoyées, directement sur les terminaux des utilisateurs de messageries, notamment chiffrées. Il était devenu « l’une des priorités phares » du Danemark pour sa présidence.

Mais récemment l’Allemagne avait douché les espoirs d’un accord sur le sujet. « Le contrôle injustifié des conversations en ligne doit être tabou dans un État de droit », avait notamment déclaré Stefanie Hubig, ministre fédérale allemande de la Justice et de la Protection des consommateurs. Et le parti danois Modérés, au pouvoir actuellement, s’est récemment prononcé contre.

• L’Allemagne fait capoter le projet controversé de surveillance des messageries ChatControl

Selon Euractiv, la présidence de l’Union européenne a envoyé, en parallèle, un document de travail aux représentants des pays de l’UE pour recueillir leurs avis sur le projet de texte expurgé donc du passage sur Chat Control et arriver ainsi à un compromis.

« Un triomphe » mesuré pour l’ancien député européen Patrick Breyer

« Cette nouvelle approche est un triomphe pour le mouvement en faveur de la liberté numérique et un grand pas en avant pour la préservation de notre droit fondamental à la confidentialité de notre correspondance numérique », affirme l’ancien député du Parti pirate allemand, Patrick Breyer, qui s’est vivement opposé à ce texte. « Elle permettrait de protéger le chiffrement sécurisé et donc de garantir la sécurité de nos smartphones ».

Si l’obligation de contrôler les contenus est abandonnée, le Danemark espère maintenir la possibilité de le faire pour les messageries qui le désirent. Le dispositif juridique européen actuel qui le permet va arriver à expiration en avril 2026 et la présidence de l’Union européenne compte le renouveler dans son texte.

« Même lorsqu’elle est mise en œuvre volontairement par des fournisseurs de services de communication tels que Meta, Microsoft ou Google, la surveillance des chats reste totalement aveugle et se traduit par une surveillance massive et indiscriminée de tous les messages privés échangés sur ces services », commente Patrick Breyer.

L’ancien eurodéputé continue à critiquer d’autres parties du texte en cours de discussion, considérant qu’un article introduisant un âge minimum de 16 ans pour installer certaines applications interdirait l’utilisation aux adolescents de WhatsApp, Snapchat, Telegram, Instagram ou TikTok, mais aussi des jeux comme FIFA ou GTA. Selon lui, un autre article bloquerait aussi toute communication anonyme puisqu’il obligerait l’identification de l’utilisateur des messageries via une pièce d’identité ou reconnaissance faciale.

Avec le retrait du dispositif Chat Control, la présidence danoise pourrait néanmoins trouver un compromis au sein de l’Union européenne et préparer le texte pour entrer dans la phase de négociations avec le Parlement européen, explique Euractiv.

L’application de messagerie propose de chiffrer les sauvegardes de bout en bout depuis 2021. Dans les paramètres, il faut se rendre dans « Discussions » puis dans « Sauvegarde des discussions ». De là, on peut cliquer sur « Sauvegarde chiffrée de bout en bout » et suivre la procédure.

WhatsApp laisse deux moyens d’activer ce type de sauvegarde : la création d’un mot de passe ou l’utilisation d’une clé de chiffrement de 64 caractères. Mais si l’on oublie le premier et/ou que l’on oublie la seconde, les données sont définitivement perdues. Rien de neuf dans ce domaine, c’est une conséquence inévitable du chiffrement de bout en bout. Le danger de perte en cas d’oubli est réel et se retrouve dans des produits courants comme les gestionnaires de mots de passe, dont l’accès est toujours protégé par un mot de passe maître.

Dans un billet, WhatsApp annonce cependant qu’elle va déployer dans les semaines et mois à venir une troisième voie : l’utilisation de la clé d’accès. Il faudra simplement que celle-ci ait déjà été définie, pour protéger par exemple la connexion lors de l’accès web. Dans ce cas, la même clé pourra être utilisée pour chiffrer les sauvegardes de bout en bout.

• Clés d’accès (passkeys) : leur importance et leur fonctionnement

Comme nous l’avons indiqué à plusieurs reprises, les clés d’accès ne manquent pas d’avantages. Elles peuvent notamment être sauvegardées dans les gestionnaires de mots de passe et être réutilisées, toujours avec l’appui d’une preuve biométrique ou du code de déverrouillage de l’appareil.

« Vous n’aurez plus besoin d’avoir à retenir un mot de passe ou une clé de chiffrement à 64 chiffres. Les clés d’accès vous permettront de chiffrer les sauvegardes de vos discussions à l’aide de votre empreinte digitale, de la reconnaissance faciale ou du code de verrouillage d’écran. Appliquez le même niveau de sécurité à vos sauvegardes de discussions qu’à vos discussions et appels sur WhatsApp en les protégeant désormais d’un simple geste ou regard. Vos sauvegardes resteront ainsi sécurisées, accessibles et privées », indique ainsi WhatsApp.

Les mises à jour proposées dans Windows Update ont souvent des noms ésotériques pour les profanes. Microsoft a donc décidé de donner un coup de balai, avec un changement bienvenu et qui s’est fait attendre.

Par exemple, la dernière mise à jour mensuelle de sécurité pour Windows 11 se nomme :

• 2025 - 10 Mise à jour cumulative pour Windows 11, version 25H2 pour les systèmes x64 (KB5066835) (26200.6901)

Cette nomenclature communique de nombreuses informations : le mois et l’année concernés, le type de mise à jour, le système et sa version majeure, l’architecture visée, la référence de la mise à jour (Knowledge Base) ainsi que le numéro de build de Windows. Des informations peut-être utiles, mais qui donnent un nom particulièrement chargé et peu lisible, qui n’aide pas à comprendre de quoi il s’agit.

Avec la nouvelle convention de nommage, la même mise à jour devient :

• Mise à jour de sécurité (KB5066835) (26200.6901)

Soit uniquement le type, la référence et le numéro de build. Cette simplification est étendue à tous les types de mises à jour : sécurité, qualité, .NET, pilotes, composants IA et applications prises en charge, comme Visual Studio. « Les titres améliorés s’alignent sur les attentes de l’interface utilisateur moderne et les normes d’accessibilité, ce qui favorise la sécurité et la productivité grâce à une ambiguïté réduite », indique Microsoft dans son billet.

L’éditeur ne précise pas quand ce changement sera mis en place, mais il devrait être bientôt visible aussi bien dans l’interface principale de Windows Update que dans l’historique. En revanche, les noms des mises à jour dans le catalogue général Microsoft Update ne changent pas.

Construire des réseaux de solidarité

À l’occasion de son passage à Strasbourg, Next s’est entretenu avec Fred Turner, historien et auteur de Design d’une démocratie et Politique des machines, (ré-)édités aux éditions C&F.

Historien, professeur de communication à l’université de Stanford, Fred Turner est l’auteur de l’influent Aux sources de l’utopie numérique, publié en France en 2012 chez C&F éditions, dans lequel il détaille comment les pensées issues de la contre-culture et le monde de la cybernétique se sont rencontrés au sein de la Silicon Valley. Présent en France à l’occasion de la (ré-)édition de deux autres de ses ouvrages, Design d’une démocratie et Politique des machines, le chercheur était à Strasbourg pour les rencontres Numérique en Commun(s). Next l’y a rencontré.

>> « L’une des plus grandes ironies de notre situation actuelle est que les modes de communication qui permettent aujourd’hui aux autoritaires d’exercer leur pouvoir ont d’abord été imaginés pour les vaincre », écrivez-vous dans Politique des machines. Comment ce retournement a-t-il été possible ?

Il s’est opéré sur soixante-dix ans. Au milieu des années 40, nous croyions que les médias de masse étaient la cause du fascisme, que le cinéma, la radio avaient donné à Hitler et Mussolini le pouvoir de transformer la société d’individus vers une société de masse. En pleine Deuxième Guerre mondiale, la question est donc : comment opérer notre propre propagande, comment construire un système de communication démocratique, qui ne transforme pas le peuple des États-Unis en masse.

Au fil du temps, les technologies de l’information ont semblé apporter une réponse. L’idée des cybernéticiens, c’était d’éviter les communications du haut vers le bas, de proposer une solution pour permettre à chaque citoyen de communiquer. Chacun deviendrait son propre diffuseur, un nouvel ordre pourrait apparaître de manière organique… tel était le fantasme qui a irrigué les années 1960. L’idée, c’était de créer un monde en dehors de la politique, où toutes les difficultés inhérentes au fait d’être humain, les problématiques liées au genre, au racisme, à la pauvreté, disparaîtraient avec la bonne technologie, que ce soit le LSD ou la cybernétique. Tout cela était encore parfaitement admis dans les années 1990.

Le problème de ce mode de pensée, c’est qu’il ignore un élément : quand on outrepasse les règles existantes, les institutions, la bureaucratie, ce qui apparaît pour organiser le groupe, ce n’est pas une organisation mutuelle. Ce qui remonte, ce sont toutes les normes culturelles qui avaient été tenues à distance jusque là.

• Apocalypse Nerds : « Il ne s’agit pas de renverser l’État, mais de subvertir les institutions »

Dans les communautés hippies que j’ai étudiées, l’ambiance était franchement hostile. Très souvent, des hommes charismatiques prenaient le pouvoir, les femmes se retiraient dans des rôles très conservateurs, ces communautés étaient très anti LGBT et très racistes sans le dire ouvertement. Un des participants que j’ai interviewé m’a ainsi expliqué : « C’est juste tellement plus simple de travailler avec des gens qui vous ressemblent. »

Or, cette idée de « créer des réseaux de gens comme vous » a largement imprégné les réseaux sociaux. Le rêve d’un monde ouvert, avec plein d’individus et peu d’institutions, ouvre en réalité la porte à d’autres institutions de pouvoir, capables de s’imposer dans un monde vulnérable. Quand les réseaux sociaux arrivent, ils proposent de donner corps à ce rêve cybernétique… mais le font de manière commerciale.

Le rêve des années 1960 a oublié l’existence des gouvernements, des entreprises, le fait que la technologie a ses propres impératifs… et tout cela est revenu dans les années 2000 et 2010, par l’intermédiaire d’entreprises autoritaires. Si vous étudiez la structure financière de l’entreprise, où Mark Zuckerberg a, dans les faits, tous les pouvoirs, on se croirait franchement devant un vieux leader de communauté hippie. Dans les bureaux de Facebook, le bureau de Mark Zuckerberg est dans un bloc de verre, au milieu d’un vaste plateau, si bien que tout le monde le voit, et lui voit tout le monde. L’écho avec le panoptique de Foucault est étonnant.

• Peter Thiel, l’antéchrist et les régulations de la tech

Pendant que tous ces événements se déroulent du côté de l’industrie numérique, l’Amérique chrétienne organise ses réseaux pour obtenir du pouvoir politique. Elle a ses propres raisons, qui n’ont rien à voir avec Internet. Mais dans les années 2010, le premier gouvernement Trump est le théâtre d’une collision entre ce monde des réseaux sociaux, très vulnérable aux leaders charismatiques, et un mouvement politique de chrétiens nationalistes très bien organisés, qui célèbrent les dirigeants charismatiques et autoritaires. Trump est un mélange de ces deux mouvements.

Les états-uniens chrétiens pensent qu’il leur parle, et ceux du numérique pensent qu’il est un génie des médias. Il s’exprime avec charisme, il a un langage parfaitement approprié aux réseaux sociaux, mais aussi franchement fasciste.

« L’IA répond à deux projets autoritaires : la propagande et la surveillance »

>> Le premier chapitre de Design d’une démocratie (initialement publié en 2013) est titré « d’où viennent tous ces fascistes ? ». C’est l’interrogation que se posaient les chercheurs des années 1930 et 1940 pour comprendre la bascule de l’Allemagne vers le nazisme. Puis-je vous poser la même question au sujet des États-Unis aujourd’hui ?

Le fascisme est un terme provocant, mais il est exact, quand on observe le recours à un passé mythique, les logiques de boucs émissaires, les normes sociales très conservatrices… Actuellement, on célèbre la modernité technologique pour nous emmener vers le passé, c’est fascinant.

Certains des fascistes actuels viennent des mêmes endroits que ceux des années 1940. On parle de groupes religieux fondamentalistes, de groupes politiques racistes du sud des États-Unis, auxquels se joint le soutien d’hommes d’affaires riches, à la tête de grands groupes industriels.

nsfw

Depuis juillet, Meta fait l’objet d’une plainte de deux studios de production de vidéos porno, qui l’accusent d’avoir téléchargé illégalement plus de 2 000 contenus pour entrainer ses IA. L’entreprise de Mark Zuckerberg réplique en invoquant plutôt l’« usage personnel » de ses salariés, sous-traitants ou visiteurs.

De nombreuses entreprises accusent les entreprises d’IA générative d’utiliser leurs contenus illégalement pour entrainer leurs modèles.

Cet été, deux entreprises états-uniennes de production et de distribution de films porno, Strike 3 Holdings et Counterlife Media, ont attaqué Meta, en l’accusant d’avoir téléchargé, via le protocole BitTorrent, 2 396 films. Elles demandent des dommages et intérêts qui pourraient atteindre 350 millions de dollars.

Cette semaine, comme l’explique Torrent Freak, Meta a demandé au tribunal américain en charge de l’affaire de rejeter la plainte en arguant notamment que les téléchargements de ces vidéos étaient pour de l’ « usage personnel ».

47 IP de Meta ayant téléchargé les vidéos de deux studios

Dans leur plainte initiale, les deux studios affirmaient que Meta avait téléchargé leurs contenus « à partir de sources pirates dans le but d’acquérir du contenu pour former son Meta Movie Gen, son modèle linguistique à grande échelle (« LLaMA »), ainsi que divers autres modèles d’IA Meta qui s’appuient sur du contenu vidéo pour l’entraînement ». Et d’évoquer la possibilité que Meta les concurrence en créant un modèle qui puisse générer des films en reproduisant la « qualité hollywoodienne » technique de leurs films.

Strike 3 Holdings et Counterlife Media expliquent avoir découvert 47 IP appartenant à Meta dans les bases de données qu’elles ont mises en place pour repérer les utilisateurs de BitTorrent s’échangeant leurs contenus. Elles affirment avoir fait cette recherche suite à l’affaire opposant Meta à l’autrice Andrea Bartz et aux auteurs Charles Graeber et Kirk Wallace Johnson, dans laquelle l’entreprise a aussi été accusée d’utiliser le protocole de transfert de données pair-à-pair.

• Copyright : les entreprises d’IA gagnent plusieurs manches judiciaires, mais pas toutes

Meta se décharge sur l’ « usage personnel » de ses salariés, sous-traitants et visiteurs

Les avocats de l’entreprise de Mark Zuckerberg font remarquer, dans leur document envoyé au juge [PDF], que Strike 3 Holdings a déjà « intenté des milliers de poursuites judiciaires » et « a été qualifié par certains de « troll des droits d’auteur » qui intente des poursuites judiciaires abusives ».

Ils qualifient le téléchargement de « sporadique » en faisant remarquer que les premiers fichiers incriminés datent de 2018, « soit plusieurs années avant que Meta n’ait prétendument « commencé à faire des recherches sur les modèles multimodaux et la vidéo générative » en 2022 » et pointent le fait que les deux studios ne montrent pas comment ce téléchargement « aurait pu avoir pour objectif « d’acquérir du contenu pour entraîner » ces modèles ».

Mais Meta va plus loin. L’entreprise semble se dédouaner de toute responsabilité en affirmant que les téléchargements étaient « tout au plus » le fait de « sous-traitants, visiteurs ou employés de Meta […] à des fins personnelles ».

Les studios accusaient justement Meta d’avoir utilisé des IP en dehors de son infrastructure pour dissimuler ses activités sur BitTorrent. Ils avaient présenté des corrélations entre les différentes activités des IP pour justifier cette association et affirmaient que « ces corrélations quantifient également le fait que les adresses IP « hors infrastructure » et celles de Meta agissent de manière cohérente selon des modèles non humains et que l’acquisition de ce contenu est destinée à l’entraînement de l’IA et non à un usage personnel ».

De son côté, Meta réfute la méthode qui permettrait aux studios d’affirmer qu’il y a une corrélation entre les téléchargements depuis son réseau et en dehors. Elle ajoute que les moments où se passaient les téléchargements ne correspondent pas à un plan de téléchargements établi mais plutôt à de l’ « usage personnel ».

Enfin, l’entreprise pose la question : « pourquoi Meta chercherait-elle à « dissimuler » certains téléchargements présumés de contenus appartenant aux plaignants et à des tiers, mais utiliserait des adresses IP de Meta facilement traçables pour plusieurs centaines d’autres, dont 157 œuvres des plaignants ? ». Meta demande donc à la justice états-unienne d’abandonner ce cas.

Strike 3 Holdings et Counterlife Media ont deux semaines pour donner leurs arguments contre cet abandon. Dans leur plainte, elles affirmaient que « Meta a le droit et la capacité de superviser et/ou de contrôler ses propres adresses IP d’entreprise, ainsi que les adresses IP hébergées dans des centres de données hors infrastructure, et les actes de ses employés et agents qui enfreignent les œuvres des plaignants via leurs adresses IP résidentielles » en passant par des outils fournis par Meta.

You've got mail

Déjà propriétaire d’Evernote, de WeTransfer et bientôt de Vimeo, le groupe italien Bending Spoons annonce l’acquisition d’AOL, avec son portail Web et son webmail, auprès de Yahoo et de son actionnaire, le fonds Apollo Global Management. La transaction est évaluée à 1,5 milliard de dollars, financée par la dette.

AOL devrait à nouveau changer de main dans les prochains mois. Le célèbre portail américain, que d’aucuns ont découvert en France comme fournisseur d’accès à Internet au début des années 2000 (ah, les fameux kits de connexion distribués sur CD dans les magazines et les boîtes aux lettres), fait en effet l’objet d’une offre d’achat formulée par le groupe italien Bending Spoons.

Annoncée jeudi 29 octobre, celle-ci valorise AOL à hauteur de 1,5 milliard de dollars, principalement en raison des audiences toujours significatives du portail AOL.com et de sa messagerie en ligne. « Selon nos estimations, AOL est l’un des dix fournisseurs de messagerie électronique les plus utilisés au monde, avec une clientèle très fidèle comptant environ 8 millions d’utilisateurs actifs quotidiens et 30 millions d’utilisateurs actifs mensuels », déclare Luca Ferrari, cofondateur et CEO de Bending Spoons.

L’acquéreur promet qu’il n’a pas l’intention de se contenter de capitaliser sur la notoriété historique de la marque. « Nous avons l’intention d’investir de manière significative pour contribuer à l’essor du produit et de l’entreprise », affirme encore le CEO, se targuant de n’avoir jamais vendu l’une des sociétés rachetées par son groupe.

Bending Spoons : une stratégie agressive de « build-up »

Si le nom AOL éveille forcément quelques souvenirs chez celles et ceux dont les cheveux grisonnent, Bending Spoons est totalement inconnu du grand public. Fondé en 2013 et basé à Milan, Bending Spoons repose sur une stratégie plutôt simple, expliquée par son cofondateur à Sifted en 2024 : racheter, de préférence à bon prix, des services ou des applications mobiles qui ont déjà fait leur preuve de marché puis les améliorer, ou en optimiser le fonctionnement, de façon à les rendre rentables.

Les bénéfices sont ensuite réinvestis sous forme de nouvelles acquisitions qui, à leur tour, sont censées autoriser de nouvelles optimisations, par le biais notamment des synergies. Dans le monde de la finance, on qualifie cette stratégie de build-up (littéralement accumulation). Elle suppose généralement de recourir à la dette pour financer les nouvelles acquisitions, et se traduit parfois par des efforts de rationalisation drastiques au niveau des entreprises rachetées.

Chez Bending Spoons, cette stratégie de croissance externe s’est considérablement accélérée à partir de 2022. Le groupe italien vient alors de réaliser sa première levée de fonds majeure. Et sa vision s’incarne à chaque fois par des plans de restructuration qui conduisent au licenciement de la majorité des effectifs de l’entreprise concernée.

Fin 2022, Bending Spoons s’offre l’application iPhone FiLMiC et son pendant payant FiLMiC Pro, puis l’outil de notes partagées Evernote début 2023. Les deux équipes sont licenciées, au nom d’un développement repris en interne au siège italien du groupe.

En 2024, Bending Spoons a de la même façon mis la main sur le studio mobile Mosaic Group, puis sur l’application de rencontres sociales Meetup, avant de s’offrir le service de partage de fichiers WeTransfer, puis la plateforme vidéo Brightcove pour quelque 230 millions de dollars. Chez WeTransfer, le changement de propriétaire se traduit par le départ de 75 % des salariés historiques.

En 2025, nouvelle fringale : le groupe met la main sur Komoot, l’outil allemand de création d’itinéraires et de promenades, pour 300 millions d’euros. Quelques semaines plus tard, les 150 salariés sont remerciés. Qu’adviendra-t-il des salariés de Vimeo ? La plateforme vidéo, un temps concurrente de YouTube, est en cours d’acquisition par Bending Spoons, qui a formulé une offre à 1,38 milliard de dollars.

710 millions de dollars levés et 2,8 milliards de dollars de dette

Le groupe italien peut maintenant se targuer de jouer dans la cour des grands. Début 2024, il lève 155 millions de dollars (en capital) auprès de plusieurs fonds d’investissement. Ce 30 octobre 2025, il annonce un nouveau tour de table, mais à hauteur de 710 millions de dollars cette fois, sur la base d’une valorisation préalable à 11 milliards de dollars.

En parallèle de ces capitaux, Bending Spoons indique avoir sécurisé une enveloppe de 2,8 milliards de dollars sous forme de dette bancaire. Celle-ci est destinée notamment à financer l’acquisition de Vimeo, et maintenant celle d’AOL, dont le nom n’évoquera décidément plus son positionnement marketing originel, America Online.

Une nouvelle page européenne pour AOL ?

Bending Spoons, qui revendique 300 millions d’utilisateurs mensuels sur ses applications et services, raisonne sans surprise sur un périmètre mondial. Le groupe met cependant un pied particulier aux États-Unis avec AOL puisque c’est là que l’ancien FAI compte le plus d’utilisateurs.

Rappelons qu’AOL, un temps présent en France, a connu des fortunes diverses depuis sa séparation avec le groupe Time Warner, en 2009. Un temps indépendant, le groupe a d’abord été racheté par l’opérateur Verizon en 2015 (pour 4,4 milliards de dollars), chez qui il sera rejoint l’année suivante par Yahoo. En 2021, nouveau changement de mains : Verizon cède le contrôle de ses activités média, auxquelles appartiennent AOL et Yahoo, au fonds Apollo Global Management.

D’après le Wall Street Journal, AOL générait chez Apollo un chiffre d’affaires annuel de l’ordre de 500 millions de dollars.

Avec ses homologues allemands, belges et danois, Que-Choisir s’est lancé dans des achats de chargeurs et autres produits sur Shein et Temu pour en analyser le respect des normes européennes. Et le moins que l’on puisse dire, c’est qu’ils sont loin du compte.

Sur les 54 chargeurs achetés (27 sur chaque plateforme), seuls 2 (un de chaque plateforme) respectaient les normes européennes. 21 ne possédaient pas certains marquages obligatoires comme le logo CE ou l’unité de tension. Surtout, 51 n’ont pas résisté aux contraintes mécaniques imposées, avec des résultats variés : broches tordues ou tournées trop facilement, boitier cassé après une chute…

Pour 4 des chargeurs, « les circuits à haute et basse tension étaient trop proches l’un de l’autre, risquant de provoquer des arcs électriques ». La température s’est envolée sur 14 chargeurs, au point de dépasser les températures maximales autorisées de 77 et 87° C. Un modèle a même atteint 102° C.

« Nos tests ont mis en évidence le fait que ces produits d’entrée de gamme étaient souvent mal conçus et fabriqués avec des matériaux de mauvaise qualité, et que beaucoup d’entre eux faisaient courir de réels risques de brûlure, de choc électrique et d’incendie à leurs utilisateurs »

Les tests réalisés sur des jouets pour enfants et des bijoux renvoient vers le même type de résultats. Pour les premiers, Que-Choisir note, en fonction des modèles, une qualité de fabrication « catastrophique », un niveau de bruit bien trop puissant, des substances dangereuses, une ouverture trop facile du compartiment des piles, etc. Côté bijoux, la plupart de ceux achetés étaient conformes. Mais dans le cas contraire, ils représentaient de vrais dangers pour la santé. « L’un des bijoux achetés sur Shein était même composé à 87 % de cadmium, soit 8 700 fois la norme autorisée de 100 mg/kg », indique Que-Choisir.

Le magazine ajoute avoir contacté les deux plateformes pour expliquer ses trouvailles. Tous les produits ont rapidement été retirés et Shein a lancé une campagne de rappel auprès de la clientèle. « Malgré tout, des produits similaires sont toujours en ligne et rien ne dit que ceux qui ont été retirés ne réapparaîtront pas chez d’autres vendeurs », conclut Que-Choisir.

Rappelons que les deux plateformes sont dans le viseur de l’Europe et de plusieurs États membres. L’Union européenne a officiellement ouvert une enquête contre Temu en octobre 2024 et contre Shein en début d’année, tandis que la France tirait en avril un triste bilan des produits non-conformes qui inondent son marché.

Siphon

Un chercheur en sécurité, Jose Pino, a trouvé un important problème dans Chrome, qui peut rejaillir dans tous les navigateurs basés sur Chromium. Il ne peut pas en l’état être utilisé pour pirater une machine, mais il peut occasionner un plantage complet du navigateur, voire de la machine selon la configuration utilisée.

Le chercheur expose ses travaux sur une page dédiée d’un dépôt GitHub et n’a révélé sa trouvaille dans un premier temps qu’à The Register. Il indique avoir prévenu Google le 28 aout puis à nouveau le 30, sans réponse jusqu’à très récemment. Il a donc décidé de dévoiler les détails de sa découverte, jusqu’à publier la manière d’exploiter le bug ainsi qu’un proof of concept (PoC) sous forme d’un site qui fera immanquablement planter le navigateur en 15 à 60 secondes.

Une API sans limitation de ressources

Le problème réside dans l’API document.title. Le chercheur a découvert qu’elle ne possède aucune limitation de débit sur les mises à jour, ce qui « permet d’injecter des millions de mutations DOM par seconde, et lors de cette tentative d’injection, cela sature le thread principal, perturbant la boucle d’événements et provoquant l’effondrement de l’interface ».

The Register dit avoir testé le PoC sur Edge sur un PC Windows 11. Résultat ? 18 Go de mémoire aspirés par l’onglet, un plantage du navigateur puis celui de la machine.

Jose Pino a nommé cette vulnérabilité Brash et elle n’affecte que le moteur Blink, principalement utilisé par Chrome. Gecko (Mozilla) et WebKit (Apple) ne sont pas concernés. Comme on peut le voir dans les explications sur GitHub, le temps nécessaire pour faire planter le navigateur varie légèrement, mais le résultat est toujours le même.

Chronologie d’un plantage

Le chercheur donne même la méthode pour aboutir au proof of concept, ainsi que le code qui va avec. Le processus se fait en trois étapes, dont la première consiste à préparer et à charger en mémoire 100 chaines hexadécimales uniques de 512 caractères. Vient ensuite la phase de burst (rafale) qui, dans une configuration par défaut, aboutit à 24 millions de mises à jour par seconde à faire ingérer à l’API document.title. Puisque celle-ci ne limite pas sa consommation de ressources, le navigateur puise autant qu’il peut dans le CPU et la mémoire. Les mises à jour sont si fréquentes que le processus principal du navigateur devient saturé, empêchant le fonctionnement de l’interface et entrainant finalement le plantage.

Jose Pino donne les temps moyens pour chaque étape : entre 5 et 10 secondes pour que les onglets se bloquent, entre 10 et 15 secondes pour provoquer un blocage complet ou l’apparition d’une boite de dialogue « Page sans réponse », et entre 15 et 60 secondes pour un plantage complet du navigateur. Bien qu’il ne s’agisse pas directement d’un problème de sécurité, il peut donner lieu à des plantages et donc à des pertes de travail selon le contexte.

The Register indique de son côté avoir contacté les entreprises derrière Chrome, Edge, Vivaldi, Arc, Dia, Opera, Perplexity Comet, ChatGPT Atlas et Brave. Sept n’ont pas répondu, Google a indiqué qu’elle se penchait sur le problème et Brave qu’elle attendrait que le souci soit corrigé dans Chromium.

La variante Unity d’Ubuntu est dans la panade. Le manque de développeurs dans l’équipe met la distribution en danger, au point qu’elle pourrait disparaitre.

Maik Adamietz, modérateur et administrateur de la communauté, fait partie du projet depuis 2020. Dans un message publié sur Discourse, il rend compte d’une situation devenue très compliquée. Il indique notamment que Rudra, chef du projet, est accaparé par ses études universitaires et les examens qui en découlent.

Le ralentissement a commencé à se faire sentir à la publication d’Ubuntu 25.04 en avril dernier. Maik ajoute qu’il a dû lui aussi s’éloigner, citant des raisons personnelles. Circonstance aggravante, les deux développeurs ont fortement ralenti leur participation à peu près au même moment, amplifiant le problème.

Même si les commits ont amplement diminué, l’infrastructure du projet a continué de produire des builds journalières, via un processus automatique. Sans réelles corrections, révisions du code et tests en mains propres, les défaillances ont prospéré au point d’aboutir à nombre de bugs considérés comme critiques.

Résultat : aucune version Unity n’est apparue pour Ubuntu 25.10, alors que le système est disponible depuis plusieurs semaines et que toutes les autres variantes (Kubuntu, Xubuntu…) ont suivi dans la foulée.

Maik dit s’être entretenu de la situation avec Tobiyo Kuujikai, un autre développeur et modérateur du projet. La conclusion de la discussion était cependant qu’aucun des deux n’estimait avoir les connaissances techniques suffisantes pour la maintenance d’une distribution entière ou même pour résoudre les bugs critiques qui émaillent la mouture actuelle.

Il lance donc un appel aux bonnes volontés, cherchant en priorité des personnes ayant assez de bagages techniques pour s’atteler à la tâche et ramener Ubuntu Unity dans l’état de fiabilité que la distribution avait à la version 24.04. Il espère au moins pouvoir résoudre les problèmes les plus importants d’ici la version 26.04.

Rappelons qu’Unity était un environnement développé par Canonical, quand l’entreprise rêvait de proposer une interface unique pour toutes les plateformes. En avril 2017, elle avait cependant annoncé l’abandon d’Unity au profit d’un retour sur GNOME. Ubuntu 17.10 avait inauguré cette bascule. Unity a fini par être repris par la communauté. Cet environnement ne manquait pas d’intérêt et avait la préférence d’une partie des utilisateurs.

1 milliard de dollars is the new centime

Comme à chaque conférence GTC, NVIDIA présente ses nouveautés et orientations. L’intelligence artificielle est au cœur des annonces, avec des partenariats tous azimuts, des datacenters toujours plus gros… NVIDIA partage aussi sa vision d’un monde robotisé dans lequel des machines « intelligentes et pensantes » vont « stimuler la réindustrialisation américaine ».

Mardi, l’action de NVIDIA a bondi de 20 % (avant de se stabiliser à+ 16 %), quelle peut en être la cause ? L’intelligence artificielle. Le moins que l’on puisse dire, c’est que les annonces étaient nombreuses. Next vous propose un tour d’horizon de la vingtaine de communiqués de presse pour avoir une vision d’ensemble.

NVIDIA investit 1 milliard de dollars dans Nokia

Amazon a confirmé ce 28 octobre 14 000 suppressions de postes dans plusieurs domaines et pays. L’entreprise indiquait dans son communiqué qu’elle offrirait « à la plupart des employés 90 jours pour chercher un nouveau poste en interne ».

On apprend sans grande surprise que certaines divisions de la société sont plus touchées que d’autres. C’est notamment le cas des jeux vidéo, comme noté par The Verge. Amazon a ainsi confirmé qu’elle allait drastiquement réduire la voilure sur le développement en interne de jeux AAA, tout particulièrement les MMO.

Parmi ces derniers, New World Aeternum est le principal touché. Les développeurs du jeu ont ainsi publié hier un billet dans lequel ils annoncent ce que les joueurs craignaient : « La saison 10 et la mise à jour de Nighthaven, récemment lancées, serviront de dernière sortie de contenu pour New World sur PC et consoles ». Des détails supplémentaires seront fournis au cours des prochains mois et les serveurs devraient rester actifs jusqu’en 2026, sans plus de précisions. Les développeurs donneront un préavis « d’au moins six mois » avant la coupure.

Le destin des autres MMO varie. Pour Throne and Liberty, développé par NCSoft et FirstSpark Games, et Lost Ark, développé par Smilegate RPG, le développement continuera et les mises à jour continueront d’affluer. Le destin du MMO Lord of the Rings est en revanche plus incertain.

YouTube vient d’annoncer plusieurs améliorations à venir pour les créateurs de contenus. La plus visible sera une fonction baptisée « Super Resolution », chargée de proposer des versions HD de contenus en basse résolution, dont la définition et la qualité seront augmentées par l’IA.

Ce traitement sera automatiquement appliqué sur tous les contenus concernés. Cependant, les créateurs pourront désactiver la fonction pour qu’elle ne soit pas proposée aux internautes. Ces derniers verront les définitions ajoutées car elles seront étiquetées comme telles dans la liste du réglage Qualité. En outre, les originaux restent en place, les versions « améliorées » étant créées à part.

Difficile d’imaginer la quantité de calculs que cela représente, tant les vidéos sont nombreuses sous les 1080p. Le travail sera d’autant plus grand que YouTube compte proposer à terme une qualité allant jusqu’à la 4K.

D’autres améliorations doivent arriver très prochainement, dont la possibilité d’utiliser des fichiers allant jusqu’à 50 Mo pour les miniatures des vidéos, contre 2 Mo aujourd’hui. YouTube a également « commencé à tester des vidéos plus volumineuses avec certains créateurs afin de permettre des mises en ligne originales de qualité encore supérieure », mais sans plus de détails. On note aussi l’arrivée d’un code QR dans les vidéos promotionnelles pour se rendre directement vers une page d’achat.

Mais au milieu des améliorations portées par l’IA, il y a aussi un plan de départs volontaires pour le personnel américain de l’entreprise. Dans une note interne révélée ce mercredi par Sources, le patron de YouTube, Neal Mohan, indique que l’intelligence artificielle représente l’avenir de la plateforme.

En conséquence, toute la structure est désormais divisée en trois sections : « Subscription Products » pour tout ce qui touche aux abonnements (Premium, Music et streaming), « Viewer Products » qui se concentrera sur l’expérience de visionnage, et « Creator & Community Products » pour les créateurs de contenus et le renforcement de la communauté. Aucun licenciement n’est prévu, mais les personnes qui partiraient à la suite de ces changements ne seraient pas remplacées.

Un seul être vous manque et tout est dépeuplé

Après plusieurs heures de service dégradé, Microsoft a signalé dans la nuit de mercredi à jeudi la fin de la panne liée à son infrastructure cloud, Azure. L’éditeur évoque une erreur de configuration, dont les effets en cascade auraient progressivement fait tomber les principaux nœuds de son réseau.

Quelques joueurs ont eu l’occasion de râler sur leur Xbox mercredi soir, à juste titre : le cloud Microsoft Azure, qui sous-tend les services connectés de la console, a en effet été victime d’une panne de quelques heures, sensible à l’échelle mondiale.

L’incident s’est produit aux alentours de 16h45 mercredi 29 octobre (heure de Paris), d’après le rapport d’incident préliminaire publié cette nuit par Microsoft.

Les principaux services Azure inaccessibles

« Entre 16h45 le 29 octobre et 01h05 le 30 octobre 2025, les clients et les services Microsoft qui s’appuient sur Azure Front Door (AFD) ont pu rencontrer des latences, des expirations de délai et des erreurs », résume l’éditeur.

Azure Front Door est l’un des services en charge de la diffusion des contenus et applications hébergés par l’infrastructure cloud de Microsoft. « Il utilise l’équilibrage de charge de couche 7 [du modèle OSI, ndlr] pour répartir le trafic entre plusieurs régions et points de terminaison. Il offre également une accélération de site dynamique (DSA) pour optimiser les performances Web et un basculement en temps quasi réel pour garantir une haute disponibilité. Azure Front Door est un service entièrement managé, vous n’avez donc pas à vous soucier de la mise à l’échelle ou de la maintenance. », explique l’éditeur.

AFD joue un rôle d’intermédiaire entre l’utilisateur final et bon nombre des services distribués par Azure, dont les bases de données, les API, les outils de sécurité etc. Son dysfonctionnement a de ce fait eu des répercussions sur les principaux services grand public de Microsoft, mais aussi sur ceux de grands comptes tels que Costco, Starbucks ou Alaska Airlines, dont les passagers ont été privés pendant quelques heures des fonctions d’enregistrement en ligne, rapporte le Seattle Times.

Raison de la panne ? Microsoft invoque un « changement de configuration involontaire », qui aurait invalidé le paramètre concerné, et « empêché un nombre important de nœuds AFD de se charger correctement, entraînant une augmentation des latences, des délais d’attente et des erreurs de connexion pour les services en aval ».

Effet domino

Alors qu’AFD est précisément conçu pour répartir la charge entre les différents nœuds de l’infrastructure, la panne semble avoir déclenché un effet domino. « À mesure que les nœuds défectueux étaient retirés du réseau mondial, la répartition du trafic entre les nœuds fonctionnels devenait déséquilibrée, ce qui amplifiait l’impact et provoquait des interruptions de service, même dans les régions partiellement opérationnelles ».

Microsoft indique avoir immédiatement bloqué tout nouveau changement de configuration et déclenché une procédure de retour à la dernière configuration fonctionnelle connue, mais admet dans le même temps que cette procédure souffre d’une certaine inertie.

« La reprise a nécessité le rechargement des configurations sur un grand nombre de nœuds et le rééquilibrage progressif du trafic afin d’éviter les situations de surcharge au fur et à mesure que les nœuds étaient remis en service. Cette reprise délibérée et progressive était nécessaire pour stabiliser le système tout en rétablissant sa capacité et en garantissant l’absence de récidive du problème ».

Reste à comprendre comment et pourquoi l’architecture Azure a laissé ce paramètre invalidant se propager à grande échelle. Sur ce point, Microsoft parle d’un « défaut logiciel », sans donner plus de précision, mais promet, comme toujours, que les mesures de sécurité concernées ont depuis été réexaminées et que « des contrôles de validation et d’annulation supplémentaires ont été immédiatement mis en place afin de prévenir des problèmes similaires à l’avenir ».

Ironie du sort, cette panne est intervenue à peu près au moment où Microsoft présentait aux marchés les résultats financiers du premier trimestre de son exercice fiscal 2026, clos au 30 septembre 2025. L’éditeur a fait état d’un chiffre d’affaires de 77,7 milliards de dollars sur le trimestre, en hausse de 18 % sur un an et doublé d’un bénéfice net de 27,7 milliards de dollars. « La croissance continue de Microsoft Cloud témoigne de la demande croissante des clients pour notre plateforme différenciée », s’est félicitée à cette occasion Amy Hood, la directrice financière de l’entreprise.

Cet incident survient moins de deux semaines après qu’une panne de très grande ampleur a touché le cloud AWS à l’échelle mondiale, provoquée par une situation de compétition autour d’enregistrements DNS. Chez Microsoft, on ne précise pas la nature exacte du composant défectueux, mais les esprits taquins noteront que les premiers messages d’alerte diffusés par les comptes de l’éditeur sur les réseaux sociaux mentionnaient l’éventualité d’un problème lié aux DNS, même si ces mentions ont depuis disparu.