L’un des développeurs de Debian a annoncé l’inclusion prochaine de code en Rust dans le gestionnaire APT. La décision reflète une volonté de renforcer la sécurité du composant, mais soulève de nombreuses questions et critiques.

Comme nous l’avons vu récemment à travers notre interview de Sylvestre Ledru, directeur de l’ingénierie chez Mozilla, le langage Rust s’insinue partout. Ses performances et ses mécanismes de sûreté de la mémoire en font la nouvelle coqueluche de bon nombre d’entreprises pour la programmation système.

• Sylvestre Ledru (Mozilla) : de Firefox au noyau Linux, la fulgurante ascension du Rust

Du Rust dans APT

Dans la sphère Linux, son arrivée provoque davantage de remous, avec des débats relatifs à son utilisation dans le noyau. Dans Debian, le développeur Julian Andres Klode a publié le soir d’Halloween un message important :

« Je prévois d’introduire des dépendances Rust et du code Rust dans APT, au plus tôt en mai 2026. Cela concernera dans un premier temps le compilateur Rust, la bibliothèque standard et l’écosystème Sequoia. Notre code d’analyse des fichiers .deb, .ar et .tar, ainsi que le code de vérification des signatures HTTP, bénéficieraient particulièrement de l’utilisation de langages sécurisés en mémoire et d’une approche plus rigoureuse des tests unitaires. Si vous maintenez un port sans chaîne d’outils Rust fonctionnelle, veuillez vous assurer qu’il en dispose dans les six prochains mois, ou supprimez le port. Il est important pour l’ensemble du projet de pouvoir aller de l’avant et de s’appuyer sur des outils et des technologies modernes, sans être freiné par la tentative d’adapter des logiciels modernes à des appareils informatiques rétro »

Dans le courant de l’année prochaine, le gestionnaire de paquet APT va donc commencer à intégrer du code en Rust. Autrement dit, Debian elle-même aura une exigence stricte sur la prise en charge du langage sur toutes les architectures.

Critiques et inquiétudes

Pour les utilisateurs de la distribution, cela ne devrait rien changer. Pour les développeurs en revanche, il y aura des travaux plus ou moins importants, car il faudra prévoir une chaine de compilation Rust fonctionnelle en plus des outils traditionnels comme GCC. En clair, la complexité va monter d’un cran, notamment sur les architectures moins courantes où le langage n’est pas bien supporté.

Pourquoi ce problème ? Parce que le compilateur Rust repose sur l’infrastructure LLVM, quand l’immense majorité des compilations dans les systèmes Linux sont effectuées avec GCC. Si LLVM présente certains avantages (comme la compilation Just-in-time), il est également supporté par un plus petit nombre d’architectures, contrairement à GCC qui est plus ancien, plus éprouvé et présent pratiquement partout.

Dans les commentaires de Phoronix, on peut lire différentes inquiétudes au sujet de cette annonce. La principale est qu’en l’absence de compilateur Rust sur une partie des architectures supportées par Debian, la distribution risque de perdre son côté « universel » à sa prochaine itération majeure. Certains commentaires mettent aussi en avant la fiabilité éprouvée de GCC, qui correspond à la philosophie de Debian de ne pas bondir sur les dernières technologies, privilégiant la plus grande stabilité possible.

Citons également le poids : le compilateur Rust et sa chaine d’outils sont plus volumineux que GCC et sa compilation est plus lente, ce qui pourrait poser problème pour les systèmes embarqués et des configurations plus anciennes. D’autres encore s’inquiètent d’une dépendance accrue envers l’écosystème Rust et ses binaires précompilés, créant des interrogations sur la sécurité et l’auditabilité du code.

Match Group, géant des applications de rencontres, a expliqué aux investisseurs qu’il allait utiliser l’IA pour traiter les données de ses utilisateurs et leur proposer une nouvelle fonctionnalité. Celle-ci, nommée Chemistry, explique TechCrunch, s’appuiera sur des questions posées aux utilisateurs et sur leurs photos (avec leur permission) pour proposer des « matchs » qui se voudront plus affinés.

Chemistry est déjà testée en Nouvelle-Zélande et en Australie et doit, selon le CEO de Match Group, Spencer Rascoff, devenir le « pilier majeur de l’expérience produit de Tinder en 2026 ».

Tinder utilise déjà l’IA générative pour la modération des discussions privées : l’application demande à l’utilisateur s’il est sûr de vouloir envoyer un message étiqueté comme potentiellement offensant par le système. L’application propose aussi d’aider l’utilisateur à choisir les photos à mettre en avant.

Match Group semble vouloir relancer son application phare avec l’IA alors que le groupe a indiqué que les revenus de Tinder avaient baissé de 3 % au troisième trimestre comparé à celui de l’année dernière et qu’elle voit son nombre d’utilisateurs payants baisser de 7 %.

Vous êtes encerclés par les datas, toute résistance est inutile

Microsoft puis le Chinois HiCloud immergent des datacenters dans l’eau au large des côtes. À l’opposé, HPE installe des serveurs dans la Station spatiale internationale, tandis que Google veut déployer une constellation de satellites pour des traitements liés à l’IA en profitant de l’énergie solaire. Deux approches, un même besoin : toujours plus de serveurs.

Sur notre planète Terre, la croissance galopante du numérique et, depuis quelques années, de l’intelligence artificielle générative soulève des questions sur la consommation des ressources, notamment en électricité et en eau. Comme nous l’avons expliqué dans un long dossier, il existe bien des indicateurs, mais ils sont parfois suffisamment flous pour « jouer » avec les résultats.

• PUE, WUE et CUE : comprendre l’empreinte environnementale des datacenters

Depuis maintenant des années, des projets tentent des approches différentes… comprendre ailleurs que sur la terre ferme. Une première solution « évidente » et facile d’accès est de passer au niveau des mers et des océans. Ils occupent 70 % de la Terre (la planète) et proposent des avantages certains, mais aussi des contraintes.

Microsoft a immergé un datacenter pendant deux ans

Alors que revoilà la sous-préfète

Huit médias indépendants réunis au sein d’un seul portail et d’un abonnement commun : La Presse libre a officiellement ouvert ses portes le 15 octobre dernier. Alors que la campagne de lancement s’achève, retour sur le fonctionnement et les enjeux de cette offre aussi inédite que nécessaire.

La Presse libre est enfin de retour : après des mois de travaux, elle a ouvert ses portes le 15 octobre dernier. Avec une promesse simple, réclamée de longue date par bon nombre de nos lecteurs : l’accès à un bouquet de médias indépendants, au travers d’un abonnement unique à tarif préférentiel.

La Presse libre ?

Cet abonnement, affiché au prix public de 19,90 euros, vous permet donc d’accéder à l’intégralité des articles de huit médias en ligne : Next bien sûr, Arrêt sur Images (actualité et analyse du monde médiatique), Médiacités (média d’investigation locale à Lille, Lyon, Nantes et Toulouse), Politis (actualité politique et sociale), Reflets (média d’investigation, à l’origine par exemple des Drahileaks ou de l’affaire Amesys), et le trio Rue89 Bordeaux, Rue89 Lyon et Rue89 Strasbourg.

L’offre, amenée à s’enrichir, constitue une réduction de 63 % par rapport au montant total des abonnements respectifs, comme l’ont calculé nos voisins de Reflets. Pas mal, non ? (c’est français).

Outre un accès intégral aux contenus diffusés par chacun des huit médias sur leur propre site, La Presse libre propose par ailleurs à ses abonnés un portail qui croise, met en valeur et éditorialise les informations des uns et des autres. On dispose ainsi d’une porte d’entrée unique dans une actualité variée, garantie sans algorithme et élevée en plein air par des journalistes qui ne rendent de comptes qu’à leurs lecteurs.

Bref, s’abonner à La Presse libre, c’est profiter d’une bouffée d’air frais face à l’asphyxie idéologique et publicitaire ambiante. Accessoirement, c’est aussi une façon de soutenir le pluralisme et la diversité de points de vue. Si nos huit médias ont réussi à converger vers un modèle économique commun – et comptent bien fédérer de nouveaux titres partageant les mêmes valeurs journalistiques – c’est qu’ils ont besoin de l’élan que peut (que va !) leur donner cette offre inédite.

Derniers jours pour l’offre de lancement

L’ouverture de La Presse libre s’accompagne d’une offre de lancement, initialement disponible en prévente, qui prévoit deux cas de figure.

Pour les abonnés à l’un des huit médias membres, elle permet de conserver l’abonnement en cours et de profiter de La Presse libre en s’acquittant d’un supplément de 9,90 euros par mois. Un lecteur de Next peut ainsi profiter du bouquet complet pour une somme totale de 17,90 euros par mois, voire moins s’il dispose d’un abonnement à l’année sur notre site.

Cette offre, exclusive à la période de lancement, est valable sans limitation de durée, du moment que l’abonnement au média de départ est toujours actif ! Cette réduction « permanente » est une façon de permettre aux lecteurs particulièrement attachés à leur média de cœur de continuer à le soutenir directement tout en accédant à l’ensemble du bouquet.

Pour ceux qui ne sont abonnés à aucun des médias membres (c’est mal), ou qui ne le seraient plus (c’est encore pire), la formule La Presse libre est accessible jusqu’au jeudi 6 novembre au tarif préférentiel de 14,90 euros par mois pendant six mois, avant de revenir au prix standard de 19,90 euros par mois.

Comment ça marche en pratique ?

Certains lecteurs de Next se souviennent de ce qu’on pourrait désormais qualifier de Presse libre v1, une offre d’abonnement groupée dont Next a été le principal artisan, entre 2016 et 2022.

La v2 lancée cette année se veut nettement plus ambitieuse. D’abord, parce qu’elle dispose d’une (petite) équipe dédiée et des moyens nécessaires à son lancement, via notamment une avance remboursable octroyée par le Fonds pour une presse libre. Ensuite, avec son portail web, éditorialisé chaque jour à la main, et ses relais à venir sur les réseaux sociaux.

Enfin, parce que d’un point de vue technique, vos identifiants La Presse libre vous ouvrent les portes virtuelles des huit médias fondateurs, sans qu’il soit nécessaire de créer un compte dédié sur chaque site. Sur Next, il vous suffit par exemple d’utiliser le bouton « Connectez-vous avec LPL » pour accéder au contenu complet de nos articles premium.

Comme certains d’entre vous ont pu le constater, admettons avec pudeur (après tout, on n’est pas dans un Poing Dév) que ce login unifié a connu quelques ratés pendant les premiers jours d’existence de la plateforme. Fort heureusement, il a depuis trouvé son régime de croisière, même s’il nous reste, côté Next, à régler quelques menus détails comme l’accès aux commentaires ou aux flux RSS pour les lecteurs venus de LPL.

Bonne lecture !

Deus ex machina

Retournement de situation : Google a proposé au juge en charge de l’affaire l’opposant à Epic des transformations profondes de son Play Store. Soutenue par Epic, cette proposition doit encore être acceptée par la justice. Elle pourrait cependant avoir de vastes conséquences sur la vente de biens numériques par les boutiques mobiles.

Google et Epic ont déposé conjointement une demande (PDF) devant le tribunal fédéral de San Francisco où se déroule leur guerre juridique depuis cinq ans. Pour sortir de l’impasse, Google propose ainsi de profondes mutations de sa boutique Play Store. Epic soutient cette proposition, qui doit encore être approuvée par le juge James Donato, en charge de l’affaire.

• « Victoire totale » : Epic gagne en appel contre Google, qui va devoir ouvrir son Store

La demande est une surprise. Le juge devait initialement recevoir les deux entreprises le 6 novembre pour faire le point et confirmer à Google que le temps imparti pour apporter les changements demandés était écoulé. Il était en effet exigé de la multinationale qu’elle procède à de lourds changements dans son Play Store, notamment en acceptant l’installation de boutiques tierces et en laissant les éditeurs tiers passer par d’autres systèmes de paiement.

Gros travaux dans le Play Store

La solution proposée conjointement par les deux sociétés ennemies consiste à assouplir le fonctionnement du Play Store dans des proportions majeures.

Les deux changements principaux sont la réduction des commissions et l’installation des boutiques tierces. Sur les commissions, Google propose de modifier les règles actuelles pour les plafonner à 20 ou 9 % en fonction du contenu. Selon quels critères ? Le taux maximal serait appliqué quand le bien numérique acheté procure un avantage certain en jeu.

La condition est surprenante et laisse penser qu’Epic a largement contribué à la rédaction de cette proposition. La conséquence serait alors que tout autre bien numérique serait frappé d’une commission de seulement 9 % : les applications payantes, les achats in-app, les abonnements, etc. En outre, et comme relevé par The Verge, ce chiffre déjà bas intègre le paiement réalisé via Google Play Billing, le système de paiement intégré au Play Store. Si l’achat est réalisé via un autre système, la commission sera encore plus basse, a priori amputée de 5 % selon le chiffre donné à nos confrères par Dan Jackson, porte-parole de Google.

Des pourcentages qui tranchent radicalement avec les frais pratiqués aujourd’hui. Sur le Play Store, la commission change selon les conditions. De manière générale, elle est de 15 % tant que les gains générés par les ventes sur le Play Store ne dépassent pas un million de dollars. Si ce plafond est dépassé, la commission passe à 30 %. Pour bénéficier de cette commission de 15 %, il faut également répondre à certains critères, sans quoi les 30 % s’appliquent. Sur les abonnements, la commission est également de 15 %.

De vastes répercussions ?

Autre grosse mesure proposée, l’intégration d’un mécanisme qui permettrait aux utilisateurs d’installer simplement une boutique tierce depuis un lien sur une page web. Il faudrait pour cela que l’éditeur de cette boutique tierce soit enregistré auprès de Google. On imagine que des contrôles de sécurité seraient appliqués à ce moment pour éviter que des fournisseurs de malwares s’invitent à la fête, mais ce point n’est pas abordé dans le document.

Comme souligné par The Verge, la proposition tient compte des précédentes victoires d’Epic contre Google. Par exemple, l’autorisation pour les éditeurs tiers de communiquer sur les prix en dehors du Play Store. Un combat de longue haleine qu’Epic et d’autres entreprises mènent contre Apple également. Google ne doit pas non plus promettre un partage des bénéfices avec des partenaires en échange d’une exclusivité ou de la pré-installation de la suite Google Play.

Ces changements profonds, s’ils devaient être acceptés, pourraient avoir un impact profond sur l’industrie en général. Google est un acteur majeur de la vente de biens numériques et applique des règles très semblables à celles d’Apple, d’ailleurs critiquée pour les mêmes raisons.

Dans le document, il est précisé que la proposition est faite pour les États-Unis, mais on peut se poser la question d’un élargissement à tous les autres marchés. Si tel était le cas, les conséquences seraient encore plus importantes. Apple notamment pourrait voir la pression s’accentuer sur ses pratiques commerciales, la firme ne lâchant rien dans ce domaine, sinon quelques concessions régulièrement jugées trop timides par la Commission européenne.

Google et Epic enthousiastes

En attendant, Google et Epic affichent un enthousiasme débordant pour les changements proposés. Sur X, Sameer Samat, directeur de la division Android Ecosystem chez Google, ne cache ainsi pas sa satisfaction :

« Excellente nouvelle ! En collaboration avec Epic Games, nous avons déposé une proposition de modifications pour Android et Google Play visant à élargir le choix et la flexibilité offerts aux développeurs, à réduire les frais et à encourager une plus grande concurrence, tout en garantissant la sécurité des utilisateurs. Si elle est approuvée, cette proposition mettra fin à nos litiges. Nous avons hâte d’en discuter plus en détail avec le juge jeudi »

Tim Sweeney, très critique depuis longtemps, semble lui aussi très heureux :

« Google a fait une proposition remarquable, soumise à l’approbation du tribunal, visant à ouvrir Android aux États-Unis dans le cadre du litige Epic contre Google et à régler nos différends. Cette proposition réaffirme la vision originelle d’Android en tant que plateforme ouverte, afin de simplifier les installations depuis les boutiques d’applications concurrentes à l’échelle mondiale, de réduire les frais de service pour les développeurs sur Google Play et de permettre les paiements tiers intégrés aux applications et sur le Web.

Il s’agit d’une solution globale, qui contraste avec le modèle d’Apple consistant à bloquer toutes les plateformes concurrentes et à faire des paiements le seul vecteur de concurrence. Les documents publics sont disponibles »

Le PDG d’Epic semble d’ailleurs affirmer qu’une acceptation du tribunal entrainerait ce changement à l’échelle mondiale.

Aller anfang ist schwer

Deutsche Telekom a annoncé mardi la transformation imminente d’un centre de données installé à Munich en une « usine IA ». Le projet, chiffré à 1 milliard d’euros, doit voir le jour dès 2026, au service des clients industriels du pays.

Les chiffres évoqués n’ont rien à voir avec les promesses d’investissement formulées par les grands noms de l’IA et du cloud aux États-Unis, mais ils devraient tout de même contribuer à augmenter de 50 % la capacité de calcul IA disponible en Allemagne, affirme Deutsche Telekom. L’opérateur a en effet annoncé, mardi 4 novembre, la construction prochaine d’une « usine IA » dotée d’un budget d’environ 1 milliard d’euros.

0,5 exaflops et 20 Po de stockage

Pour ce faire, Deutsche Telekom ne partira pas de zéro : l’entreprise indique qu’elle va convertir un datacenter déjà existant, en partenariat avec un intégrateur spécialisé, l’Allemand Polarise, pour l’équiper de plus d’un millier de systèmes NVIDIA DGX B200 et de serveurs NVIDIA RTX Pro équipés d’environ 10 000 GPU de classe Blackwell. L’ensemble devrait être accompagné de 20 Po de stockage et délivrer une puissance de calcul de l’ordre de 0,5 exaflops.

La réutilisation d’un centre de données existant, déjà construit et disposant d’une alimentation électrique adaptée, permet à Deutsche Telekom d’avancer un calendrier particulièrement optimiste : son usine IA devrait ainsi débuter ses opérations dans le courant du premier trimestre 2026. NVIDIA est présenté non seulement comme un fournisseur, mais aussi comme un partenaire du projet, ce qui a vraisemblablement permis de sécuriser les approvisionnements nécessaires sur un marché à flux tendus.

De l’idée à l’annonce officielle, il ne se serait écoulé que six mois, clame l’opérateur allemand dans un communiqué, qui indique avoir développé son projet indépendamment du plan d’action de la Commission européenne pour le développement de l’IA sur le Vieux Continent.

Un cloud piloté par une stack SAP

Le projet se veut porté par des enjeux de souveraineté, à la fois nationale et économique. Cette usine IA a en effet vocation à servir les besoins des acteurs industriels du pays, estime l’opérateur. « L’ingénierie mécanique et l’industrie ont fait la force de ce pays. Mais là aussi, nous sommes confrontés à des défis. L’IA représente une formidable opportunité. Elle contribuera à améliorer nos produits et à renforcer nos atouts européens », promet Tim Höttges, PDG de Deutsche Telekom. L’opérateur indique que plusieurs « partenaires et clients » ont déjà manifesté leur intérêt pour ce futur cloud IA, parmi lesquels Siemens et Deutsche Bank.

En matière de débouchés, il évoque par exemple la création de jumeaux numériques dans l’automobile ou l’aéronautique, mais aussi le « développement de robots grâce à l’apprentissage et à la validation basés sur des simulations physiquement précises ». Ici, le destinataire est nommément cité : il s’agit de la société Agile Robots, spin-off de l’Institut de robotique et de mécatronique du German Aerospace Center, également basée à Munich.

Si la dominante de ce cloud IA se veut à la fois allemande et industrielle, Deutsche Telekom adopte en réalité une approche plutôt agnostique. De la même façon que le futur Campus IA français sera ouvert aux GAFAM, Deutsche Telekom accueillera ainsi l’américain Perplexity parmi ses clients, sans doute rejoint à terme par d’autres acteurs du monde des grands modèles de langage (LLM).

L’opérateur s’est par ailleurs assuré les services d’un autre poids lourd allemand : l’éditeur de progiciels SAP. « Deutsche Telekom fournit l’infrastructure physique, et SAP fournit la plateforme et les applications SAP Business Technology, y compris les technologies d’IA modernes », indique l’entreprise, qui capitalisera donc sur cette « Deutschland-Stack » pour aller chercher des clients allemands sensibles aux problématiques de souveraineté géographique.

Le projet, soutenu par le ministre fédéral du Numérique, Karsten Wildberger, doit faire office de figure de proue pour l’initiative « Made 4 Germany » qui, à la façon du Choose France orchestré par Emmanuel Macron, vise à jouer des synergies avec une sélection de cent entreprises de premier plan pour encourager le développement de nouvelles activités économiques sur le sol allemand.

Les deux voisins auront d’ailleurs bientôt l’occasion d’échanger leurs vues sur le sujet puisque, comme le rappelle Contexte, le cloud et la préférence européenne devraient être les deux principaux sujets de discussion du sommet franco-allemand sur la souveraineté numérique, organisé le 18 novembre prochain.

• Ophélie Coelho : « L’Europe n’a aucun intérêt à reproduire le modèle technologique américain »

Une importante faille critique a été découverte dans le paquet NPM React Native Community CLI, très populaire chez les développeurs (de 1,5 à 2 millions de téléchargements par semaine). Présentant un score CVSS de 9,8 sur 10, elle présente une dangerosité quasi maximale et peut être exploitée à distance sur toutes les plateformes Windows, macOS et Linux.

La vulnérabilité a été découverte par jFrog et estampillée CVE-2025-11953. « Cette vulnérabilité permet à des attaquants distants non authentifiés de déclencher facilement l’exécution arbitraire d’une commande du système d’exploitation sur la machine exécutant le serveur de développement de react-native-community/cli, ce qui représente un risque important pour les développeurs », explique l’entreprise.

En outre, et contrairement aux vulnérabilités habituelles découvertes dans les serveurs de développement, la faille CVE-2025-11953 peut être exploitée à distance. Elle réside dans le fait que le serveur de développement Metro, utilisé par React Native pour créer du code et des ressources JavaScript, se lie à des interfaces externes par défaut, au lieu de localhost. Il expose un point de terminaison « /open-url » qui devient alors vulnérable aux injections de commandes du système d’exploitation.

Concrètement, un utilisateur non authentifié peut se servir de la faille pour envoyer une requête POST spécialement conçue au serveur pour lui faire exécuter des commandes arbitraires. Dans le billet de jFrog, on peut lire que les chercheurs ont réussi à exploiter la faille sur Windows avec un contrôle total des paramètres. Sur macOS et Linux, ils sont parvenus à l’exécution de code avec un contrôle limité des paramètres. Cependant, avec des tests supplémentaires, ils estiment pouvoir parvenir au contrôle total.

Cette vulnérabilité critique est présente dans un très grand nombre de versions, de la 4.8.0 à la 20.0.0-alpha.2. Elle est corrigée depuis la version 20.0.0, publiée depuis octobre. Comme souvent dans ce genre de cas, les informations sur la faille n’ont été données qu’une fois que l’éditeur – ici Meta – a pu corriger la faille et qu’un nombre suffisant de développeurs ont récupéré la dernière version.

Seules les personnes utilisant donc une version plus ancienne que la 20.0.0 et utilisant le serveur Metro sont vulnérables. Pour jFrog cependant, cette faille « est particulièrement dangereuse en raison de sa facilité d’exploitation, de l’absence d’exigences d’authentification et de sa large surface d’attaque ».

Common or paywalled ?

Alors que Common Crawl fournit des téraoctets de données d’entrainement aux entreprises d’IA générative, l’organisation est accusée de récupérer des contenus placés derrière des paywalls. La presse, en France ou ailleurs, essaye de bloquer l’aspiration de ses contenus via des procédures judiciaires, mais la plupart des paywalls laissent des trous pour jouer le jeu de l’indexation dans les moteurs de recherche.

La base de données Common Crawl est sous le feu des critiques de la presse parce qu’elle fournit aux entreprises d’IA générative comme OpenAI, Google, Anthropic, Nvidia, Meta ou Amazon énormément de contenus pour l’entrainement de leurs modèles.

La plupart des grands modèles de langage s’appuient, depuis leurs origines, sur cette base de données. Celle-ci regroupe des téraoctets de textes moissonnés sur le web. Tous les mois, une nouvelle archive est publiée par Common Crawl, gérée par une structure à but non lucratif.

Ainsi, le lot d’octobre 2025 contient 2,6 milliards de pages web, correspondant à 126 téraoctets de données compressées. Si la légalité de ce genre de moissonnage pour la recherche ou pour l’indexation ne fait pas de doute, il y en a plus pour des projets commerciaux d’IA générative, notamment car leurs systèmes peuvent régurgiter les contenus qui sont sous copyright ou sous d’autres régimes de droit d’auteurs.

• Common Crawl contient des milliers de clés et mots de passe API
• OpenAI a détruit les jeux de données de livres sur lesquels elle a entrainé ses premiers modèles

Des articles sous paywall dans Common Crawl ?

Ce lundi 4 novembre, The Atlantic a publié un article à propos de la base de donnée qui accuse la structure à but non lucratif d’avoir ouvert une porte dérobée (backdoor) pour les entreprises d’IA leur permettant d’entrainer leurs modèles sur les articles de presse sous paywall, et de mentir à ce sujet aux éditeurs de presse.

Notre confrère, Alex Reisner, estime que les archives de Commons Crawl contiennent « des millions d’articles provenant d’organismes de presse du monde entier, notamment The Economist, Los Angeles Times, The Wall Street Journal, The New York Times, The New Yorker, Harper’s et The Atlantic ».

En France, l’Alliance de la presse d’information générale (APIG) et le Syndicat des éditeurs de la presse magazine (SEPM) sont passés à la vitesse supérieure début septembre en mettant en demeure début septembre Common Crawl de retirer les sites de leurs membres de son archivage.

Retrait des articles de 81 éditeurs français

Un mois après, les deux lobbys de la presse ont obtenu le retrait des contenus de 81 éditeurs. Dans une interview au Journal du Net publiée début septembre, Léa Boccara, responsable du pôle juridique et des affaires publiques de l’Alliance, accusait aussi l’organisme à but non lucratif d’archiver des articles payants : « Nous sommes face à un crawling de masse d’articles et d’extraits d’articles, qui contourne les paywalls ». Elle rejoint ainsi les accusations lancées par The Atlantic.

On peut facilement imaginer, comme nos confrères états-uniens l’affirment, que Common Crawl ne se logue pas à chaque site d’information pour aspirer les contenus, mais qu’il contourne les paywalls. Et, en effet, de nombreux systèmes utilisés par la presse pour bloquer l’accès à leurs contenus se contentent de cacher avec du code javascript le texte des articles. Ainsi, alors qu’un navigateur ne l’affichera pas à l’utilisateur lambda d’un navigateur, un crawler peut facilement le récupérer.

Ajoutons qu’une bonne partie des éditeurs de presse savent que, derrière ce genre de « paywall », leurs contenus ne sont que vaguement protégés, ce qui permet de laisser les robots des moteurs de recherche classiques moissonner ces articles, et de mieux les valoriser dans leurs résultats.

Common Crawl réfute

Common Crawl a réagi à l’article de The Atlantic dans un billet publié le même jour. L’organisation réfute les accusations de mensonges envers les éditeurs de presse : « Cela donne une image fausse du fonctionnement de Common Crawl et des valeurs qui guident notre travail ». Elle ajoute : « Nous ne contournons pas les « paywalls », ne nous connectons à aucun site web et n’utilisons aucune méthode visant à contourner les restrictions d’accès ».

• [MàJ] LAION-5B : des photos d’enfants utilisées sans consentement pour entrainer des IA

Elle affirme avoir toujours eu une approche transparente en publiant le code de son crawling et en le documentant publiquement, en identifiant l’user agent « CCBot » de son bot de crawling, en respectant les robots.txt et en se conformant « aux demandes de retrait et de suppression qui nous sont envoyées de bonne foi ».

Dans l’article de The Atlantic, le responsable de Common Crawl, Rich Skrenta, avait été plus direct, répondant que les éditeurs faisaient une erreur en s’excluant d’eux-mêmes de la « recherche 2.0 ». Il ajoutait : « Vous n’auriez pas dû publier votre contenu sur Internet si vous ne vouliez pas qu’il figure sur Internet ».

Enjeu économique avec des contrats à la clé

Reste que la presse n’engage pas ces démarches pour bloquer entièrement tout accès à leurs articles payants aux entreprises d’IA générative. En effet, comme l’explique l’Alliance de la presse d’information générale il y a là « un enjeu économique majeur » autour d’accords financiers avec ces mêmes entreprises d’IA.

Le Monde et Prisa Media ont, par exemple, dès le début de l’année 2024, signé des contrats avec OpenAI. L’Alliance s’appuie d’ailleurs sur l’exemple des accords noués avec Google sur les droits voisins concernant son moteur de recherche.

Louis Dreyfus, président du directoire du journal, expliquait encore récemment à l’INA que son groupe de presse a « vocation à signer d’autres accords avec d’autres acteurs ». Si Le Monde a aussi signé un contrat avec Perplexity, le responsable du journal explique que celle-ci n’a pas la possibilité d’entrainer de LLM avec ses articles, contrairement à OpenAI.

Pas si évident

La HAS a publié le 30 octobre un guide pédagogique sur l’utilisation de l’intelligence artificielle générative dans l’ensemble du secteur sanitaire, social et médico-social. L’autorité ne s’oppose pas à cette utilisation, mais elle pointe très vite les deux problèmes majeurs : la sensibilité des données manipulées et la fiabilité des résultats.

Les données de santé sont une mine d’or. Selon comment elles sont exploitées, elles peuvent permettre le suivi de l’efficacité des traitements, faire apparaitre des corrélations, étudier des prévalences et autres.

Ce caractère précieux est au cœur de plusieurs décisions politiques. En France, il y a bien sûr le HDH (Health Data Hub) et ses décisions sulfureuses d’hébergement chez Microsoft, pointées constamment par le député Philippe Latombe, des rapports interministériels ou même encore récemment par la Cour des comptes. L’entrepôt de données européen EMC2 a le même problème.

• Souveraineté numérique : la Cour des comptes étrille le manque de cohésion en France

Mais les objectifs sont à chaque fois les mêmes : concentrer les données, favoriser les travaux des chercheurs, servir de guichet unique et, bien sûr, permettre à terme le traitement des données par l’IA. Dans le cadre du projet EMC2 d’ailleurs, l’Agence européenne du médicament abordait explicitement cette finalité.

La Haute Autorité de santé publie donc un avis sur la question, même s’il peut sembler tardif. Dans les grandes lignes toutefois, la HAS ne réagit pas spécifiquement sur l’exploitation des données, mais vise les professionnels de santé et l’utilisation de l’IA comme aide à la décision.

Quatre lignes directrices

La HAS publie principalement quatre conseils, rassemblés sous l’appellation : AVEC, pour « Apprendre, Vérifier, Estimer et Communiquer ».

Pour l’apprentissage, la HAS recommande chaudement aux professionnels de se former sur les outils qu’ils utilisent. Les IA peuvent faire gagner du temps, mais la plupart n’ont pas été formées sur les questions de santé. Les professionnels devraient ainsi s’interroger sur les modalités d’utilisation, les règles liées à la confidentialité des données personnelles ou encore effectuer des tests pratiques avant de se lancer dans une pratique quotidienne.

Sur la vérification, la HAS conseille la prudence face aux résultats renvoyés par l’IA : « le professionnel est attentif à la pertinence de son usage, à la qualité de sa requête et au contrôle du contenu généré ». Ce qui inclut de ne pas partager d’informations confidentielles et de considérer chaque réponse comme une proposition et non une vérité. La fiabilité des réponses de l’IA ne pouvant par définition être garantie (approche probabiliste), elles peuvent contenir des erreurs : valeurs et unités des quantités chiffrées, noms des médicaments, etc. On l’a vu récemment dans nos propres tests, l’IA peut se tromper lourdement dans la méthode de calcul.

• T@LC : on a posé 20 fois la même question à une IA, on a eu 5 réponses différentes

L’estimation concerne l’analyse régulière de l’adéquation entre les besoins et les résultats. Les professionnels de santé sont ainsi invités à réinterroger sa pratique : des corrections ont-elles été nécessaires ? Si oui, à quelle fréquence ? L’outil est-il simple d’utilisation ? A-t-il pu être intégré dans des flux de travail existants ? En somme, la HAS souhaite que les professionnels s’interrogent sur les gains apportés face aux contraintes.

Enfin, pour la communication, la Haute Autorité est claire : les professionnels devraient échanger avec les patients autour de l’usage de l’IA. L’autorité leur recommande également de favoriser les retours d’expérience avec d’autres utilisateurs et développer « une démarche de transparence autour des typologies de données partagées, de l’adhésion au sein de sa structure et des impacts organisationnels ».

Le danger des mauvaises pratiques

De manière générale, la HAS souhaite que chaque usage de l’IA générative soit « conscient, supervisé et raisonné ».

Cependant, même si elle peut « devenir une alliée » quand elle est « bien maitrisée », l’autorité pointe également les dangers inhérents à son utilisation. Elle met en garde contre les erreurs pouvant survenir dans les réponses envoyées, notamment quand elles se fondent sur des données non vérifiées. Surtout, elle pointe les hallucinations, soit des informations fausses mais qui peuvent paraitre convaincantes. 

Outre les dangers propres à l’IA elle-même, la HAS signale de mauvais comportements chez les professionnels eux-mêmes, dont l’utilisation d’informations confidentielles dans les requêtes, expliquant les conseils sur la communication avec les patients.

Dans l’ensemble, l’autorité évoque un potentiel prometteur sur l’ensemble de ces technologies. Elle ne parle d’ailleurs pas uniquement des interfaces questions/réponses des chatbots, mais aussi d’autres outils devenus très courants : transcriptions de conversations lors de consultations, synthèses de littérature scientifique, création de documents illustrés pour expliquer des parcours médicaux-sociaux, préremplissage de documents administratifs, traductions de textes pour des personnes non-francophones, etc. Tous peuvent faire gagner du temps (voire beaucoup), mais le risque d’erreur est le même dans tous les cas de figure dès que l’outil utilise l’IA générative.

Enfin, outre les erreurs, les professionnels ont tout intérêt à se former pour s’acclimater à des concepts centraux de l’IA générative. Par exemple, les réponses peuvent varier dans le temps, notamment en fonction de la version du modèle et des données utilisées pour l’entrainement. La qualité de la réponse peut aussi fortement varier selon le soin apporté à la question (prompt).

Pour les personnes intéressées, la HAS a donc publié deux versions de ses recommandations : une complète d’une quinzaine de pages (PDF), et une concise rassemblant les principales informations sur une seule page (PDF). Administration publique oblige, la HAS a également publié un rapport sur l’élaboration de son guide et les méthodes utilisées (PDF).

Techno cherche chef d'orchestre

Spécialiste de la Géopolitique du numérique, la chercheuse Ophélie Coelho participait aux rencontres publiques organisées en amont du lancement du projet Campus IA. Next s’est entretenu avec elle.

C’est à Fouju, en Seine-et-Marne, que le mégaprojet de centre de données dédié à l’intelligence artificielle Campus IA doit s’étendre. Proche de Melun, la petite commune de 600 habitants devrait accueillir, sur une parcelle de 70 hectares, ce data center dont la puissance de calcul cumulée doit, selon ses promoteurs, équivaloir à terme à 1,4 GW (la puissance d’un réacteur nucléaire).

• [Édito] Arrêtons de compter la puissance de calcul des GPU en GW, ça ne veut rien dire !

Porté par le fonds d’investissement des Émirats arabes unis MGX, la société française Mistral AI, l’américain Nvidia et la Banque publique d’investissement, Campus IA représente un investissement de 50 milliards d’euros.

En amont des travaux, une série de rencontres publiques garanties par la Commission nationale du débat public s’échelonne entre le 15 octobre et le 17 novembre 2025 (voir les replays). À ces échanges, le député de Melun Arnaud Saint-Martin (La France Insoumise) ajoute une réunion publique à Crisenoy le 7 novembre 2025 au soir.

• Campus IA : que sait-on du mégaprojet de data center à 1,4 GW et 50 milliards d’euros ?

Chercheuse à l’Institut des relations internationales et stratégiques (IRIS), autrice de Géopolitique du numérique, l’impérialisme à pas de géants (L’Atelier, 2023), Ophélie Coelho a fait partie des expertes sollicitées pour apporter leur éclairage à ce vaste projet industriel. Next s’est entretenu avec elle.

Les entreprises américaines suivent « une logique d’empire »

>> Quel regard portez-vous sur la consultation publique organisée autour du Campus AI ?

Je ne suis pas forcément au courant de toutes les procédures, mais j’ai toujours l’impression que ces débats sont organisés après la prise de décision. C’est une manière de relever les inquiétudes, mais la machine est déjà en route.

Apple a publié lundi soir les versions 26.1 pour l’ensemble de ces systèmes. Si vous avez installé la version 26 sur votre iPhone ou votre Mac et que vous n’êtes pas fan de l’interface Liquid Glass, la version 26.1 intègre désormais un réglage « teinté » qui réduit nettement la transparence, comme nous l’indiquions le 24 octobre.

iOS 26.1 propose d’autres améliorations, dont l’apparition d’un bouton à faire glisser pour arrêter l’alarme, la possibilité de faire glisser son doigt sur le titre en cours dans Musique pour passer au morceau précédent ou suivant, le retour de Slide Over sur iPad ou encore une option pour désactiver le glissement vers l’appareil photo depuis l’écran verrouillé. On note aussi l’amélioration de la qualité audio pour les appels FaceTime quand les conditions réseau sont mauvaises.

Côté macOS Tahoe, la version 26.1 donne la même option de réduction de la transparence pour Liquid Glass, ajoute le supporte d’AutoMix sur AirPlay pour Musique, ou encore le retour des coins carrés pour l’affichage des PDF dans Aperçu.

Les versions 26.1 contiennent en outre une autre amélioration, commune à toutes les plateformes : elles peuvent installer silencieusement les mises à jour de sécurité considérées comme urgentes. Ce fonctionnement, activé par défaut, permet l’application de correctifs légers pour parer à ces situations urgentes, notamment sur Safari, WebKit ou « d’autres bibliothèques système », comme le précise Apple sur la page dédiée.

On peut désactiver ce fonctionnement dans Paramètres > Confidentialité et sécurité > Améliorations de la sécurité en arrière-plan. Couper cette fonction n’est cependant pas recommandé, puisqu’elle permet par exemple de diffuser rapidement un correctif pour une ou plusieurs failles dans le navigateur. En cas de désactivation, ces correctifs seront appliqués avec la mise à jour mineure suivante du système, mais la fonction a l’avantage de le faire sans interaction et surtout sans redémarrage.

Comme l’a remarqué iGen, la fonction n’est pas totalement nouvelle et est davantage « une remise à plat des mises à jour de sécurité urgentes d’iOS 16 ». En outre, la fonction est copieusement utilisée pour de nombreuses mises à jour : prise en charge des langues, polices, services de dictée, suggestions, ainsi que des éléments beaucoup plus importants comme les certificats SSL et les firmwares pour les accessoires Apple. Il s’agit donc d’une généralisation de l’ancien mécanisme à un plus grand nombre de composants.

Nous reviendrons dans la journée sur les annonces autour des versions 26.2 et du méchant « DMA ».

Le parquet de Paris a ouvert une enquête préliminaire sur le fonctionnement de l’algorithme de TikTok, a-t-il annoncé dans un communiqué envoyé à l’AFP.

Cette procédure judiciaire fait suite au signalement du député Arthur Delaporte, président de la commission d’enquête parlementaire « sur les effets psychologiques de TikTok sur les mineurs ». Annonçant la saisie de la procureure de la République de Paris, Laure Beccuau, il avait affirmé le 11 septembre dernier : « Le constat est sans appel : TikTok a délibérément mis en danger la santé, la vie de ses utilisateurs », ajoutant : « Il me semble qu’il y a des infractions qui sont de nature pénale, de complicité active ».

Accablant pour la plateforme chinoise, le rapport des députés proposait 43 recommandations, dont l’interdiction des réseaux sociaux aux moins de 15 ans ainsi qu’un couvre-feu numérique pour les 15 – 18.

Selon l’AFP, l’enquête a été confiée à la brigade de lutte contre la cybercriminalité de la préfecture de police de Paris. Elle devra se pencher sur les soupçons de « propagande en faveur de produit, objet ou méthode préconisés comme moyens de se donner la mort », de « fourniture de plateforme en ligne pour permettre une transaction illicite en bande organisée » et d’« altération du fonctionnement d’un système de traitement automatisé de données en bande organisée ».

Selon la procureure, l’enquête concernera « le respect de l’obligation de notification par une plateforme des soupçons d’infractions commises par son intermédiaire », le « fonctionnement de l’algorithme par rapport à la présentation qui en est faite à son utilisateur » et « l’édition de contenus consistant notamment à la promotion du suicide ».

« Nous réfutons fermement les accusations », a réagi la plateforme dans un communiqué envoyé à l’agence de presse. Elle ajoute qu’elle a mis en place « plus de 50 fonctionnalités et paramètres prédéfinis spécialement conçus pour assurer la sécurité et le bien-être des adolescents ».

La question des pensées suicidaires concerne aussi bien les réseaux sociaux que les algorithmes des IA. Fin aout, OpenAI avait été poursuivi en justice après le suicide d’un adolescent. La société avait annoncée dans la foulée la mise en place d’un contrôle parental. Récemment, l’entreprise américaine annonçait que 0,15 % des utilisateurs ont des « conversations qui incluent des indicateurs explicites de planification ou d’intention suicidaire potentielle », soit 1,2 million de personnes tout de même.

Appetizer

Libéré de son exclusivité avec Microsoft, OpenAI n’a pas perdu de temps : l’éditeur de ChatGPT a annoncé mardi la conclusion d’un contrat d’envergure avec Amazon. Sa filiale dédiée au cloud, AWS, devrait ainsi mettre des ressources à disposition, à hauteur d’au moins 38 milliards de dollars sur sept ans. OpenAI s’assure ainsi une présence significative sur les infrastructures de deux des trois plus grands fournisseurs de cloud de la planète, et s’invite au passage sur les plate-bandes de son concurrent Anthropic.

La collaboration, qui débute immédiatement, prévoit déjà 38 milliards de dollars de dépenses sur sept ans, mais ce montant peut être amené à croître, affirment d’emblée les deux nouveaux partenaires. Amazon Web Services (AWS) et OpenAI ont en effet formalisé un accord stratégique de grande ampleur le 3 novembre, selon les termes duquel le premier mettra à la disposition du second ses infrastructures informatiques dans toutes les régions du monde.

Un nouveau client de taille et une infra à construire pour AWS

À très court terme, l’accord prévoit qu’OpenAI déploie ses modèles sur les infrastructures actuelles d’AWS, pour l’entraînement ou pour la fourniture du service ChatGPT aux clients finaux. Mais il est aussi question qu’Amazon construise des capacités fléchées vers OpenAI, avec un premier jalon (non chiffré) fixé à fin 2026, puis un programme d’expansion à partir de 2027.

« L’infrastructure qu’AWS est en train de construire pour OpenAI présente une architecture sophistiquée optimisée pour une efficacité et des performances maximales en matière de traitement de l’IA », promet Amazon, selon qui l’entreprise de Sam Altman va ainsi accéder à des « centaines de milliers de GPU NVIDIA », avec la possibilité d’associer ces derniers à des « dizaines de millions de CPU » pour sous-tendre le développement de ses produits commerciaux.

Si les deux partenaires communiquent sur l’enveloppe financière globale du contrat, aucun détail chiffré n’est donné, ni sous forme de nombre de machines, ni même sous forme de puissance électrique associée, quant à la capacité réelle des infrastructures prévues. AWS évoque simplement le recours à deux générations de puces NVIDIA (les GB200 et GB300 de classe Blackwell), et vante les mérites de l’interconnexion directe entre ces GPU et ses serveurs EC2.

En dépit de ce flou relatif, les 38 milliards de dollars annoncés ont fait gagner quelques points à l’action Amazon en bourse, alors que cette dernière caracolait déjà à des plus hauts historiques suite à la publication de ses derniers résultats financiers, le 30 octobre dernier. Avec 33 milliards de dollars de chiffre d’affaires sur le trimestre, en hausse de 20 % sur un an, la division cloud AWS était déjà sans aucun doute la principale raison de cette envolée boursière.

OpenAI diversifie ses partenariats

Quelles que soient les incertitudes qui entourent la vague de l’IA, AWS peut se targuer de compter un nouveau client prestigieux. OpenAI assure de son côté une forme de diversification nouvelle dans les ressources informatiques mises à sa disposition. Une approche plus œcuménique, rendue possible par l’évolution récente du contrat stratégique qui unit l’entreprise de Sam Altman à son partenaire historique et jusqu’ici exclusif en matière de cloud, Microsoft.

Fin octobre, les deux entreprises ont en effet renégocié les termes de leur contrat pour préparer la transformation d’OpenAI en une entreprise à but lucratif (même si toujours placée sous le contrôle d’une structure à but non lucratif). Selon les nouvelles conditions, OpenAI s’engage à consommer 250 milliards de dollars de cloud chez Microsoft Azure, mais se voit dans le même temps libéré de son exclusivité.

L’éditeur de ChatGPT, qui consomme le cash à vitesse grand V et étudie, d’après la rumeur, la possibilité d’une entrée en bourse à horizon 2026 - 2027, peut donc aller démarcher de nouveaux partenaires pour sécuriser les ressources informatiques nécessaires à la croissance stratosphérique envisagée par Sam Altman. Une valse des contrats, ou plutôt des promesses d’achat, qui porterait déjà sur des montants de l’ordre de 1 000 milliards de dollars…

S’assurer une présence chez Amazon, leader du secteur du cloud public, peut, dans ce contexte particulièrement spéculatif, être vu comme un élément de réassurance, et pas uniquement face aux problèmes de concentration illustrés par les récentes pannes mondiales d’AWS et d’Azure. Ce faisant, OpenAI met en effet un pied chez l’un des principaux partenaires de son concurrent Anthropic, éditeur des modèles Claude. Et confirme ainsi son ambition de devenir le barycentre des infrastructures mondiales dédiées au calcul IA…

Il y a du travail

La Commission européenne a validé la création d’un EDIC (European Digital Infrastructure Consortium) centré sur les communs numériques. Il sera porté par la France, l’Allemagne, les Pays-Bas et l’Italie.

Faisons d’abord un bref rappel : qu’est-ce qu’un EDIC ? La Commission européenne les définit comme des instruments mis à disposition des États membres pour simplifier – et accélérer – des projets multinationaux au sein de l’Union. Par exemple, l’ALT-EDIC a été inauguré en février 2024 et travaille sur la préservation de la diversité linguistique et culturelle. L’un de ses premiers projets est LLMs4EU, qui vise à collecter des données linguistiques pour les grands modèles de langage pour mieux assurer la représentativité des langues européennes.

Le nouveau venu, baptisé EDIC Digital Commons et abrégé en DC-EDIC, a été officiellement créé le 29 octobre. La demande de création avait été déposée le 8 juillet dernier par la France, l’Allemagne, les Pays-Bas et l’Italie, la France servant de pays hôte. Le siège du nouveau consortium sera ainsi à Paris et le personnel est en cours de constitution, aussi bien pour le diriger que pour son conseil consultatif.

Pour quoi faire ?

« La mission du DC-EDIC est de mettre en œuvre un projet multinational sur les biens communs numériques dans les domaines de l’infrastructure et des services de données communs européens et de l’administration publique connectée. Elle mettra en commun les ressources des États membres et assurera la coordination avec les communautés afin de développer, de maintenir et d’étendre les biens communs numériques et de faciliter leur adoption », indique la Commission européenne.

Le DC-EDIC doit simplifier notamment les participations de tous les acteurs, qu’ils soient publics, privés ou civiques. Le consortium fera en outre office de guichet unique pour le financement des projets alimentés par les fonds européens et répondant aux critères fixés par l’EDIC. En plus des financements, ce dernier devra fournir un soutien juridique et technique sur des aspects comme la maintenance et la mise à l’échelle, ainsi que des conseils stratégiques.

Surtout, ce consortium devra « coordonner et participer à des projets multinationaux concrets ancrés dans les communs numériques ». Il doit servir de catalyseur pour les projets d’infrastructures transfrontalières, avec une entité juridique propre.

À noter que si l’EDIC a ses quatre pays fondateurs, rien n’empêche d’autres États membres de rejoindre le projet par la suite.

Un numérique « ouvert, compétitif et souverain »

À la DINUM, on s’est félicité du lancement de cet EDIC, le deuxième à s’établir en France. Stéphanie Schaer, sa directrice, évoque une « ambition commune : bâtir ensemble les fondations d’un paysage numérique européen fort, ouvert et durable. Il traduit un élan collectif qui donnera à l’Europe la capacité d’agir et d’innover par elle-même ». Elle ajoute que la France « s’engage avec enthousiasme et détermination dans cette nouvelle coopération », qui doit favoriser l’émergence de « champions européens ».

Un « enthousiasme » et une « détermination » que vient cependant tempérer le récent rapport de la Cour des comptes, dans lequel la stratégie nationale en matière de souveraineté a été méticuleusement étrillée. La Cour a critiqué un manque flagrant de cohérence dans les projets, un éclatement des ressources, ou encore de trop nombreux cas de données confiées à des acteurs extra-européens (particulièrement Microsoft).

• Souveraineté numérique : la Cour des comptes étrille le manque de cohésion en France

À quoi s’attendre ?

Les trois autres pays fondateurs affichent cependant eux aussi leur enthousiasme. L’Allemagne, qui rejoint pour la première fois un EDIC, y voit un « signal fort pour l’avenir numérique de l’Europe », afin que cette dernière « puisse façonner son avenir numérique en toute autonomie ». Zendis (et donc openDesk) seront de la partie.

Pour l’Italie, le nouvel EDIC est « un pont européen qui permettra de passer de l’expérimentation à l’industrialisation ». Le message envoyé « est clair : l’Europe peut construire, maintenir et gouverner des infrastructures numériques critiques selon ses propres règles, au service de l’intérêt général ». Côté Pays-Bas, la réaction est plus concise : « Nous pouvons unir nos forces, faire grandir les alternatives open source et donner aux gouvernements européens les moyens d’agir en toute autonomie ».

Le DC-EDIC devrait en théorie favoriser largement les technologies ouvertes. La DINUM relève à ce titre que « plus de 80 % des technologies et infrastructures numériques utilisées en Europe proviennent encore de fournisseurs non-européens ». Dans ce contexte, le nouveau consortium devra « mutualiser les ressources et les expertises des États membres pour développer des alternatives ouvertes, interopérables et durables ».

Plus concrètement, l’EDIC aura pour mission de proposer des alternatives ouvertes dans des domaines considérés comme clés, dont l’IA et le cloud bien sûr, mais aussi les suites collaboratives, la cybersécurité, la géomatique et les réseaux sociaux. Les communautés techniques, académiques, publiques et privées doivent en outre être mobilisées. L’EDIC aura également la mission délicate d’inciter à l’adoption des solutions ainsi conçues ou rassemblées dans les administrations, les entreprises et même chez les citoyens.

On attend cependant d’en savoir plus, car les ressources précises de l’EDIC ne sont pas connues et on ne connait pas sa « force de frappe » ni quel niveau d’influence il va pouvoir exercer. Les candidatures pour le poste de directeur/directrice (PDF) ont commencé ce 3 novembre et dureront jusqu’au 1ᵉʳ décembre. De plus amples précisions devraient être données en fin d’année.

Quelle époque formidable…

Depuis quelques jours, les plateformes chinoises sont dans le collimateur de la justice française. En cause la vente de « poupées sexuelles d’apparence enfantine » chez Shein et AliExpress. Cette affaire arrive quelques jours avant l’ouverture de Shein au BHV et éclabousse d’autres plateformes comme Temu et Wish.

Mise à jour du 5 novembre à 16 h. Dans un communiqué envoyé par e-mail et arrivé peu de temps après l’annonce du gouvernement, Shein annonce avoir « pris la décision de suspendre temporairement les ventes de sa Marketplace en France ». La plateforme affirme que la décision a été prise « indépendamment de l’annonce du Premier ministre ».

« Cette mesure vise à permettre une revue complète des procédures, afin de garantir une conformité totale avec la législation française et le plus haut niveau de protection des consommateurs », explique l’entreprise. Elle veut désormais « engager dans les plus brefs délais un dialogue avec les autorités françaises ».

---

Mise à jour du 5 novembre à 15 h. Ce mercredi 5 novembre, le gouvernement « engage la procédure de suspension de Shein le temps nécessaire pour que la plateforme démontre aux pouvoirs publics que l’ensemble de ses contenus soient enfin en conformité avec nos lois et règlements ». Pour rappel, Shein a ouvert ses portes au BHV à Paris aujourd’hui à 13 h.

Le communiqué ne donne aucun détail et précise simplement qu’un « premier point d’étape devra être fait par les ministres dans les 48 prochaines heures ». Rien concernant AliExpress qui, pourtant, vendait les mêmes poupées enfantines pédopornographiques.

Ce matin, « des députés avaient annoncé le prochain dépôt d’une proposition transpartisane de résolution européenne » afin de demander plus de sévérité contre la plateforme, que ce soit en France ou au niveau européen.

---

Publication originale le 4 novembre à 15 h. Ce week-end, nous apprenions que Shein proposait des « poupées sexuelles à caractère pédopornographique ». Le procureur de la République était saisi de l’affaire, tandis que la plateforme Shein retirait les articles de la vente, reconnaissant au passage des « défaillances majeures ».

• Shein vendait des « poupées sexuelles à caractère pédopornographique »

Sur AliExpress et Shein, des « poupées sexuelles d’apparence enfantine »

Rapidement, il est apparu que Shein n’était pas la seule plateforme à proposer des articles du genre. Aliexpress était aussi pointé du doigt par la répression des fraudes dans un second communiqué. La DGCCRF explique en effet avoir « élargi ses investigations à d’autres plateformes de e-commerce largement fréquentées par les consommateurs français ».

Là encore, les constatations sont sans appel. Sur AliExpress, la DGCCRF a constaté la présence de « poupées sexuelles d’apparence enfantine » dont la description et la catégorisation « permettent difficilement de douter du caractère pédopornographique des contenus ».

Aliexpress affirme à l’AFP que « les annonces concernées ont été retirées dès que nous en avons eu connaissance ». C’était également le cas pour Shein, à la fois pour les objets pédopornographiques, les signalements à la justice et les retraits.

Quatre enquêtes ouvertes par le parquet de Paris

Les IA parlent pseudoscientifiquement aux IA au sujet de l'IA

La plateforme de preprints arXiv ne va plus accepter aucune prépublication d’articles de synthèse ou d’argumentaires sur l’IA. Elle explique ce changement par l’avalanche d’articles de ce genre générés par IA sur la plateforme.

Les articles générés par IA pullulent aussi dans la sphère scientifique. Certains chercheurs ne se gênent pas pour utiliser ChatGPT ou une autre IA générative pour éditer des articles à foison, se rendre visibles dans leur communauté et polluer les plateformes de prépublication d’articles (le terme anglais « preprint » est couramment utilisé dans le milieu) comme arXiv. D’autant que sur cette plateforme, après deux articles validés par leurs pairs, les chercheurs peuvent mettre en ligne leurs articles sans modération a priori.

Envahie par des preprints générés par IA

Résultat : la plateforme historique (arXiv existe depuis 1991) de la prépublication scientifique est submergée de preprints générés par IA, notamment sur l’intelligence artificielle. Sur son blog, l’équipe d’arXiv a publié un billet expliquant qu’ « au cours des dernières années, arXiv a été inondé d’articles. L’IA générative et les grands modèles linguistiques ont contribué à cette avalanche en facilitant et en accélérant la rédaction d’articles, en particulier ceux qui ne présentent pas de nouveaux résultats de recherche ».

Des dirigeants de La France Insoumise, du parti Die Linke en Allemagne, des Verts au Royaume-Uni… des responsables de divers partis de gauche se sont rendus à New York pour rencontrer l’équipe de campagne de Zohran Mamdani. 


En jeu : comprendre comment ce représentant de la gauche du Parti démocrate a réussi, à 34 ans, son ascension fulgurante, que ce soit par son discours focalisé sur les questions d’accessibilité financière, ou par son usage des réseaux sociaux.

Le candidat a notamment multiplié les vidéos courtes, souvent tournées dans les rues de New York, pour répéter son message centré sur le coût de la vie.

Auprès de Politico, le député Mothin Ali explique ainsi que les politiciens britanniques tendent à produire des vidéos « ennuyeuses et simples », et que la gauche gagnerait à diffuser ses messages de manière plus « punchy », comme l’a fait Zohran Mamdani.

Le marketing de l’exclusivité fonctionne-t-il pour un objet à dimension utilitaire tel qu’une box Internet ? C’est l’hypothèse à laquelle semble souscrire Free : l’opérateur vient en effet d’annoncer le lancement d’une édition limitée, aux couleurs de la série Stranger Things, de sa box la plus haut de gamme, la Freebox Ultra.

« Cette collaboration est une première mondiale : c’est la première fois qu’un Server Internet est personnalisé pour adopter l’identité visuelle d’une série », clame l’opérateur, qui accompagne ici le lancement de la cinquième saison de Stranger Things, dont la première partie est programmée au 27 novembre prochain sur Netflix.

Outre un habillage sous forme d’autocollant, la box intègre un bandeau lumineux LED pilotable à distance au moyen de l’application Freebox Connect. « À l’allumage de la Freebox, les silhouettes des quatre personnages principaux de la série, poursuivis par le Démogorgon, apparaissent sur l’écran d’affichage du Server », promet encore Free.

Cette édition limitée (volumes disponibles non précisés) est proposée aussi bien aux nouveaux abonnés qu’aux clients existants, qui peuvent demander l’échange de leur boîtier Server en échange de 49 euros. Pour rappel, la box n’appartient pas au client final dans le cadre d’un abonnement Free : il faut la restituer en cas de résiliation.

Free avait déjà tenté l’édition limitée en décembre 2024, avec une Freebox Ultra transparente lancée à l’occasion des 25 ans de l’opérateur. Ici, l’opérateur fondé par Xavier Niel s’enorgueillit du soutien de Netflix qui aurait « choisi Free pour cette première mondiale ».

Entre pas de correctif et deux correctifs

Deux vulnérabilités de Windows, dont l’une critique, sont activement exploitées. Les pirates s’en prennent particulièrement aux installations Windows Server sur site, dans l’objectif de dérober des informations.

Depuis bientôt deux semaines, plusieurs groupes de pirates de type APT (Advanced Persistent Threat), le plus souvent étatiques, sont à pied d’œuvre pour exploiter deux failles de sécurité dans Windows.

La première, CVE-2025-9491, a été découverte en mars dernier par Trend Micro et réside dans le format binaire Windows Shortcut (les fichiers .LNK). Affichant un score CVSS de 7,8 sur 10, elle peut être exploitée depuis une page web malveillante pour provoquer l’exécution d’un code arbitraire à distance, avec les droits de l’utilisateur en cours.

La seconde, CVE-2025-59287, est beaucoup plus dangereuse. Affichant un score CVSS de 9,8, elle affiche le niveau presque maximal de dangerosité. Elle réside dans le Windows Server Update Service (WSUS) de Windows Server et permet la désérialisation de données non approuvées, avec à la clé la possibilité d’exécuter du code arbitraire.

Une campagne depuis des mois, une exploitation depuis des années

Différence fondamentale entre les deux failles : la première n’est pas corrigée et fait l’objet de campagnes actives. C’est ce que Trend Micro affirmait déjà le 18 mars. L’éditeur indiquait que la faille avait été découverte en septembre 2024, mais qu’elle était présente dans le système depuis 2017, et probablement exploitée plus ou moins activement depuis.

Trend Micro indiquait alors avoir identifié plus d’un millier de fichier LNK malveillants contenant des commandes cachées pour déclencher des actions. Onze groupes APT de Corée du Nord, d’Iran, de Russie et de Chine étaient épinglés. Selon l’entreprise de sécurité, une preuve de concept avait été envoyée à Microsoft, mais l’éditeur aurait refusé de corriger la faille, sans que l’on sache pourquoi.

Et si l’on en parle toujours, c’est parce qu’un rapport publié par Arctic Wolf le 30 octobre faisait état d’une exploitation toujours active de cette faille en septembre et octobre. Cette fois, les cibles étaient surtout situées en Europe, particulièrement « les entités diplomatiques hongroises et belges », signe d’une coordination précise. L’ingénierie sociale est utilisée pour envoyer de fausses invitations, avec des détails sur des évènements diplomatiques, « notamment les réunions de facilitation des frontières de la Commission européenne et les ateliers de l’OTAN sur les achats de défense ».

Toujours selon ce rapport, l’attaque passe par le chargement de bibliothèques DLL provenant d’utilitaires Canon pour imprimantes et ayant une signature authentique. Le logiciel malveillant PlugX est également utilisé pour établir la persistance et voler silencieusement des informations. Arctic Wolf ajoute que la taille du fichier CanonStager, utilisé pour charger le malware, est passée de 700 ko à seulement 4 ko entre septembre et octobre, signe selon la société d’un développement très actif.

En l’absence de correctif pour l’instant, la mesure recommandée consiste à verrouiller les fonctions des fichiers LNK.

Interrogée par HelpNetSecurity sur le sujet, Microsoft a indiqué que Defender et Smart App Control avaient été mis à jour en septembre 2024 pour tenir compte de cette menace, mais le système d’exploitation lui-même n’a pas eu de correctif. Dans une autre réponse donnée le 2 novembre, la société a simplement déclaré qu’elle appréciait « le travail de la communauté des chercheurs » et qu’elle encourageait « vivement les clients à tenir compte des avertissements de sécurité et à éviter d’ouvrir des fichiers provenant de sources inconnues ».

Une faille critique corrigée deux fois

L’autre faille, CVE-2025-59287, est beaucoup plus dangereuse, mais elle a le gros avantage d’avoir été corrigée. Deux fois en fait : une première lors du Patch Tuesday d’octobre, la seconde lors d’une mise à jour d’urgence (et hors cycle) le 24 octobre. Une preuve de concept était apparue rapidement après le premier correctif, prouvant que le colmatage était incomplet et expliquant la seconde mise à jour.

Comme toujours dans ce genre de cas, le problème pourrait être considéré comme réglé puisque le correctif bouche la vulnérabilité, mais la difficulté réside dans l’application du correctif. La faille résidant dans les installations sur site de Windows Server et l’utilisation de WSUS pour gérer et diffuser les mises à jour dans le parc informatique, il faut appliquer le correctif sur les serveurs concernés, nécessitant une interruption de service.

Selon la société de sécurité Huntress, des signes d’exploitation de cette faille sont apparus le 23 octobre, la veille de la diffusion du second correctif. Des observations corroborées par d’autres entreprises, dont Sophos qui évoquait le 24 octobre comme début des hostilités. La faille peut donc être considérée comme 0-day puisqu’elle n’était pas corrigée au moment de son exploitation. Elle a également fait l’objet d’une fiche par l’ANSSI le 27 octobre. On ne sait pas à l’heure actuelle si la preuve de concept publiée peu de temps après le premier correctif a été utilisée pour exploiter la faille.

En outre, même si le correctif disponible colmate bien la brèche, l’agence américaine de cybersécurité (CISA) a publié une note à ce sujet le 29 octobre. Elle enjoint le personnel concerné à mettre à jour aussi rapidement que possible les serveurs concernés et à effectuer d’autres tâches, dont la surveillance active de processus potentiellement suspects. Il est également conseillé de surveiller également les processus PowerShell imbriqués utilisant des commandes codées en Base64.

Oxydation galopante

Le langage Rust est désormais presque partout. Dans une série d’entretiens, nous nous penchons sur son parcours, son évolution et surtout son utilisation aujourd’hui. Nous avons ainsi interrogé Sylvestre Ledru, directeur de l’ingénierie chez Mozilla et lead sur le projet de version Rust des Core Utils de Linux, intégrée récemment dans Ubuntu 25.10.

Le langage Rust a été créé par Mozilla. De projet personnel, il est devenu officiellement incubé par la fondation en 2009. Il a rapidement été vu comme pouvant déboucher sur d’importantes améliorations dans les logiciels, notamment Firefox. Nous étions revenus sur son histoire à l’occasion des 10 ans de la version 1.0 en mai dernier. Il est aujourd’hui géré par une fondation indépendante, dirigée actuellement par Rebecca Rumbul.

• Retour sur 10 ans de Rust, un langage devenu incontournable

Le langage Rust fait régulièrement parler de lui, en grande partie pour deux de ses qualités : il est « memory safe » tout en préservant les performances du C++. Nous avions expliqué ces qualités en 2019, quand Microsoft indiquait se pencher sur le langage pour sa programmation système. Un projet devenu réalité depuis, la version 24H2 de Windows 11 ayant été la première version à intégrer du Rust dans le noyau du système.

Dans une nouvelle série d’entretiens, nous nous penchons sur l’utilisation faite du Rust dans plusieurs entreprises. Nous ouvrons le bal avec Sylvestre Ledru, directeur de l’ingénierie chez Mozilla. En plus d’avoir été témoin de l’arrivée du langage chez l’éditeur et de ses premières utilisations dans Firefox, il est l’auteur de la version Rust de coreutils récemment intégrée dans Ubuntu 25.10.

>> Qu’est-ce qui vous a dirigé vers le Rust ?

Initialement, quand Mozilla a créé le Rust, c’est parce qu’on pensait qu’il y avait une meilleure façon de programmer. La vraie raison, c’est que nous avons estimé que nous ne savions pas – et que personne ne sait – écrire du code C ou C++ qui soit réellement sûr et parallèle. On passait un temps fou à corriger des bugs qui étaient liés au langage de programmation, et pas à nos erreurs de programmation logiques.

Je pense que tous les gens qui peuvent discuter aujourd’hui du Rust vous diront la même chose : 60 % des failles de sécurité sont causées par des problématiques de gestion de la mémoire, à la fois en C et en C++(les problèmes de pointeurs). Le parallélisme, c’est aussi quelque chose de très compliqué à faire correctement. Ce sont ces raisons qui ont poussé Mozilla à développer Rust.