Des échanges pimentés ont eu lieu ces dernières semaines entre le projet open source FFmpeg, Google et plusieurs experts en sécurité. Au cœur du débat, le signalement d’un trop grand nombre de problèmes par Google jugés secondaires par l’équipe de FFmpeg. Les discussions houleuses sur le sujet illustrent la problématique du sous-financement des briques logicielles open source essentielles.
FFmpeg est un composant omniprésent, même si vous n’avez jamais croisé sa route. Il est discret, mais il est partout : dans presque tous les navigateurs, VLC, ou encore des produits comme Kodi et Plex. Ce framework, écrit en assembleur, a pour mission de lire et transcoder tous les formats vidéo existants. Il est considéré depuis longtemps comme robuste et très performant.
Cette ubiquité et ces louanges masquent cependant une réalité : FFmpeg est développé par une équipe de bénévoles. Comme de nombreuses briques open source, son financement est difficile et les dons sont essentiels. Une situation mise de nouveau en lumière à la faveur d’un « simple » signalement de sécurité.
Colère montante
Mi-octobre, le compte X de FFmpeg publie plusieurs messages où filtre la colère. On peut lire par exemple que le projet a été accepté par l’initiative européenne YesWeHack pour faciliter la découverte de failles de sécurité. « Aucune réflexion n’a été menée sur le financement des bénévoles qui doivent corriger les bugs gratuitement », ajoute cependant le message.
Dans la foulée, un autre message mettait en avant le cas de Nick Wellnhofer, mainteneur principal de la bibliothèque libxml2, qui critiquait le circuit habituel des signalements de failles de sécurité, autant que le fonctionnement peu ouvert de la Linux Foundation. Il s’en prenait en particulier à Google, dont le Project Zero, décrit comme ce qu’on peut se payer de mieux dans le domaine de la recherche de failles de sécurité, mais venant respirer « sur la nuque des bénévoles ». D’autant plus avec sa politique stricte de publication des détails au bout de 90 jours si aucun correctif n’a été fourni.
Il reste 83% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Confrontée à une déferlante de fausses informations, la retraite complémentaire a récemment publié un message d’alerte sur son site web. Nous avons découvert que la quasi-totalité des articles mis en avant ces derniers mois par Google au sujet de l’Agirc-Arrco émanaient d’articles (hallucinés, voire mensongers) générés par IA. Sur les 10 % d’articles émanant de rédactions humaines, plus de la moitié concernaient ces fake news.
Cet été, un éditeur de sites d’infos générées par IA (GenAI) a accusé plusieurs chaînes d’hypermarchés de vendre des produits cancérigènes, pourris, lavés à l’eau de Javel ou recongelés. Ses articles n’en avaient pas moins été recommandés par l’algorithme Discover de Google, comme nous le relations dans un précédent article. Mais ces chaînes de magasins ne sont pas les seules à avoir été ciblées de la sorte par de fausses informations sensationnalistes.
En début d’année, la retraite complémentaire des salariés de l’agriculture, du commerce, de l’industrie et des services (dite Agirc-Arrco, qui complète la retraite obligatoire de base), avait elle aussi été alertée au sujet de rumeurs la concernant sur les réseaux sociaux.
Cet été, elle a en outre été confrontée à une déferlante de fausses informations, diffusées sur des sites d’infos générées par IA, et pour certaines relayées sur des réseaux sociaux. Au point que l’Agirc-Arrco a publié sur son site une alerte dédiée mi-septembre, déplorant cette prolifération d’ « articles aux titres et contenus trompeurs, pouvant provoquer de l’inquiétude ».
Captures d’écran de tweets et messages d’alertes publiés par l’Agirc-Arrco
Dans un article consacré aux « bons réflexes » à adopter en la matière, l’Agirc-Arrco donnait trois fausses informations en exemple, relatives au soi-disant versement d’une prime d’été, à de supposés retards de paiement, et au fait que la revalorisation des retraites complémentaires serait « déjà connue » (alors qu’elle n’est fixée qu’en octobre).
Nous avons effectivement identifié que l’algorithme de recommandation de contenus Discover de Google avait partagé de nombreux articles sensationnalistes cet été émanant de la ferme de sites GenAI de Julien Jimenez notamment, le serial-éditeur qui spamme tellement Google que ses confrères s’en plaignent.
Ils l’accusent en effet de « défonce[r] le business » à force de spammer Google avec des centaines de « conneries de fakenews massive (320 articles hier sur un seul site) pour s’en foutre plein les poches ».
Captures d’écran d’articles sensationnalistes et mensongers générés par IA
Si la peur fait vendre, les bonnes nouvelles peuvent également inciter les internautes à cliquer, surtout lorsqu’elles leur promettent de gagner de l’argent, alors qu’ils ne s’y attendaient pas.
Nous avons ainsi identifié de nombreux articles, eux aussi mensongers, mais qui n’en ont pas moins été recommandés par Discover, annonçant notamment aux retraités un bonus de « jusqu’à 380 € mensuels », des rentes revalorisées ou d’énormes « remboursements ».
Captures d’écran d’articles sensationnalistes et mensongers générés par IA
D’autres articles vont jusqu’à mettre l’accent sur un risque de tensions sociales, avançant par exemple que, « malgré les promesses », les retraités auraient obtenu une « prime exceptionnelle» qualifiée par un syndicaliste (dans une citation elle aussi probablement générée par IA) de « victoire arrachée de haute lutte » qui, cela dit, « ravive les tensions sur la justice sociale ».
Un autre de ces personnages, a priori GenAI, oppose de son côté fonctionnaires du public et salariés du privé en affirmant que ces derniers « touchent un avantage inédit face aux fonctionnaires », au point que ces derniers « vont hurler à l’injustice ».
Ironie de l’histoire, certains sites GenAI poussent le vice jusqu’à publier des articles de fact-checking revenant sur les rumeurs et fausses infos démenties par l’Agirc-Arrco « après que des articles frauduleux, souvent écrits par des intelligences artificielles, ont fait le buzz », alors qu’ils sont eux-mêmes générés par IA.
Captures d’écran d’articles générés par IA
Un autre article, lui aussi recommandé par Discover, relève que des « plateformes douteuses » étaient alors pointées du doigt pour la diffusion de fausses informations sur une aide vacances prétendument offerte par l’Agirc-Arrco, et que « ces sites publient des articles illustrés par des images générées par intelligence artificielle, suggérant que le contenu pourrait également être produit par IA ».
Plus de 84 % des articles recommandés par Discover sur la retraite sont générés par IA
Si Julien Jimenez excelle en la matière, et qu’il surclasse ses concurrents, il n’est pas le seul éditeur de sites GenAI à surfer sur ce type de fausses informations anxiogènes. DiscoverSnoop, un dashboard de suivi des articles recommandés par Discover, a en effet identifié 156 articles recommandés par Discover au sujet de l’Agirc-Arrco, dont 131 générés par IA (soit 84 %), dans 42 médias, dont 31 GenAI (soit 74 %).
Gnewsalyzer, concurrent (gratuit) de DiscoverSnoop, dénombre de son côté 146 articles relatifs à l’Agirc-Arrco recommandés par Discover, dont 17 ont été publiés par des médias connus dans la profession, et 129 (soit 88 %) par des sites figurant dans notre base de données comme étant générés par IA.
Cette épidémie de fake news affecte aussi la presse généraliste : la plupart des articles publiés sur de vrais sites de presse (La Dépêche, Ici, Pleine Vie, Notre Temps, Boursorama, RMC, commentcamarche.net) portaient en effet précisément sur le message d’alerte de l’Agirc-Arrco au sujet de cette prolifération de fausses informations générées par IA.
Dit autrement : la quasi-totalité des articles publiés ces derniers temps au sujet de l’Agirc-Arrco émanent, et/ou concernent, des contenus (hallucinés, voire mensongers) générés par IA.
« Les rumeurs vont bon train. Ce que l’on sait »
Signe de l’ampleur du problème : l’un de ces médias « mainstream », Sud Ouest, a néanmoins relayé une (fausse) « bonne nouvelle pour les retraités ». Dans un article titré (au conditionnel) « Agirc-Arrco : quel est ce versement exceptionnel qui pourrait arriver cet automne ? », il reprenait en effet une info émanant de L’Écho des Seniors, un site d’infos que nous avions identifié comme étant « en tout ou partie » généré par IA.
Il reste 40% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Pour une fois, Elon Musk n’a pas commenté. Blue Origin, l’entreprise spatiale de Jeff Bezos et grande concurrente de SpaceX, a bouclé avec succès, jeudi 13 novembre, le deuxième vol de sa fusée New Glenn.
Pour Blue Origin, la mission NG-2 est un succès à double titre. D’abord, parce que le deuxième étage de la fusée a transporté et déployé avec succès les deux sondes spatiales de la NASA qui constituaient sa charge utile.
Ensuite, parce que le premier étage de la fusée est revenu se poser sans encombre sur une barge située dans l’océan Atlantique, ce qui devrait permettre à l’entreprise de réutiliser son lanceur, avec à la clé une réduction des coûts associés à chaque vol et une potentielle accélération de la cadence de tir.
La fusée New Glenn a pris son envol jeudi 13 novembre à 21h55, heure de Paris, depuis le Complex 36 de Cap Canaveral. Au terme de la diffusion en direct du décollage, Blue Origin a rapidement annoncé le succès de la mission, en soulignant que l’entreprise disposait à la fois d’un carnet de commandes et d’un calendrier de production bien remplis pour les années à venir. Blue Origin compte parmi ses clients la NASA, Viasat, AST SpaceMobile et bien sûr Amazon, entre autres opérateurs spécialisés.
La fusée NG-2 sur son pas de tir de Cap Canaveral le 8 novembre dernier – crédit Blue Origin
« Aujourd’hui a été une journée exceptionnelle pour l’équipe de New Glenn, marquant le début d’une nouvelle ère pour Blue Origin et l’ensemble du secteur. Nous nous préparons à lancer, atterrir et recommencer sans cesse, déclare Jordan Charles, vice-président de la division New Glenn chez Blue Origin. Nous avons réalisé des progrès considérables en matière de production, en anticipant les besoins. Notre priorité demeure l’augmentation de notre cadence et la réalisation de nos objectifs. »
Rappelons que le vol inaugural de New Glenn, réalisé en janvier dernier, avait réussi à atteindre l’orbite spatiale, mais la tentative de récupération du lanceur avait échoué. New Glenn est la première fusée orbitale de Blue Origin, dont le programme commercial se limitait jusqu’ici à la fusée New Shepard. Destinée à des vols touristiques, celle-ci se contente de franchir la ligne de Karmán, à 100 km d’altitude. Elle a réalisé son 36e vol le 8 octobre dernier.
Le duo de sondes mis en orbite par NG-2 a vocation à voyager jusqu’à Mars dans le cadre d’une mission scientifique baptisée Escapade, pour Escape and Plasma Acceleration and Dynamics Explorers, pensée comme une étude préalable à d’éventuels voyages vers la planète rouge.
« Ses deux orbiteurs jumeaux effectueront des observations simultanées depuis différents points autour de Mars. Ces observations révéleront la réponse en temps réel de la planète aux conditions météorologiques spatiales et l’évolution de sa magnétosphère, en analysant comment le champ magnétique martien guide les flux de particules autour de la planète, comment l’énergie et la quantité de mouvement sont transportées du vent solaire à travers la magnétosphère, et quels processus contrôlent les flux d’énergie et de matière entrant et sortant de l’atmosphère martienne », indique la NASA.
Publireportages, publicités natives ou spam, c'est pas la même chose ?
Dans son moteur de recherche, Google a décidé de rétrograder des publications sponsorisées publiées sur les sites de certains médias, les considérant comme du spam. La Commission européenne vient d’ouvrir une enquête sur le sujet pour vérifier que cette démarche respecte le DMA et que Google n’utilise pas ce filtre pour protéger ses parts de marché dans la publicité en ligne.
La Commission européenne ouvre une nouvelle enquête sur les pratiques de Google. Alors qu’elle a récemment infligé une amende de 3 milliards d’euros à l’entreprise pour avoir enfreint les règles de la concurrence dans le domaine de la publicité, l’organe exécutif de l’Union européenne s’intéresse à la rétrogradation de contenus de certains médias dans le moteur de recherche.
Elle cherche à vérifier que Google applique bien « des conditions d’accès équitables, raisonnables et non discriminatoires aux sites web des éditeurs sur Google Search », explique-t-elle dans un communiqué, en précisant que c’est une obligation imposée par la législation sur les marchés numériques (le DMA).
Google considère depuis un an et demi certains publireportages ou publicités natives comme du spam
Tout part d’une mise à jour par Google, en mars 2024, de ses règles concernant le spam pour son moteur de recherche.
On peut y lire notamment que, depuis, l’entreprise considère comme des « liens toxiques » les « publireportages ou publicités natives pour lesquels une rémunération est perçue contre des articles contenant des liens qui améliorent le classement, ou des liens avec du texte d’ancrage optimisé dans des articles, des articles d’invités, ou des communiqués de presse diffusés sur d’autres sites ».
Dans son argumentaire pour justifier cette mise à jour, Google explique sa position : « Nos Règles concernant le spam visent à contrarier les pratiques pouvant avoir un impact négatif sur la qualité des résultats de recherche Google ».
Un changement qui n’a pas plu aux lobbys de la presse européenne
Mais, comme l’expliquaient en avril dernier nos confrères de Contexte, plusieurs lobbys de la presse européenne pointaient les « pratiques de Google relatives à sa politique dite « Site Reputation Abuse » (SRA) – une mesure qui pénalise les sites web dans le classement de Google Search pour avoir coopéré avec des fournisseurs de contenu tiers, indépendamment du contrôle éditorial exercé par le site web sur ce contenu ou de sa qualité respective ».
Le même jour, l’entreprise allemande ActMeraki portait plainte auprès de la Commission sur le même sujet. « Google continue de fixer unilatéralement les règles du commerce en ligne à son avantage, en privilégiant ses propres offres commerciales et en privant les prestataires de services concurrents de toute visibilité. Il est temps d’y mettre un terme définitif », affirmait à Reuters l’avocat de l’entreprise.
Et tout le problème est là. Si les arguments de Google contre l’utilisation des publireportages ou publicités natives pour promouvoir du spam sont légitimes, l’entreprise met en place des règles concernant le marché de la publicité alors qu’elle est elle-même en position dominante sur celui-ci.
La Commission explique examiner « si les rétrogradations par Alphabet de sites web et de contenus d’éditeurs dans Google Search peuvent avoir une incidence sur la liberté des éditeurs d’exercer des activités commerciales légitimes, d’innover et de coopérer avec des fournisseurs de contenus tiers ». Elle précise que l’ouverture de son enquête « ne préjuge pas d’une constatation de non-conformité ». Elle ajoute que si elle trouve des preuves d’infractions au DMA, elle expliquera à Alphabet les mesures adéquates à prendre et qu’elle peut lui infliger une amende allant jusqu’à 10 % de son chiffre d’affaires mondial.
Dans sa déclaration sur le sujet, la vice-présidente exécutive de la Commission européenne pour une transition propre, juste et compétitive, Teresa Ribera, est plus vindicative : « Nous sommes préoccupés par le fait que les politiques de Google ne permettent pas aux éditeurs de presse d’être traités de manière équitable, raisonnable et non discriminatoire dans ses résultats de recherche. Nous mènerons une enquête afin de nous assurer que les éditeurs de presse ne perdent pas d’importantes sources de revenus dans une période difficile pour le secteur, et que Google respecte la loi sur les marchés numériques ».
Google confirme sa position sur sa lutte anti-spam
De son côté, Google a jugé bon de publier un billet de blog pour défendre la politique anti-spam de son moteur de recherche. « L’enquête annoncée aujourd’hui sur nos efforts de lutte contre le spam est malavisée et risque de nuire à des millions d’utilisateurs européens », affirme l’entreprise. « La politique anti-spam de Google est essentielle dans notre lutte contre les tactiques trompeuses de paiement à la performance qui nuisent à la qualité de nos résultats », ajoute-t-elle.
Elle donne deux exemples d’articles sponsorisés qu’elle considère comme problématiques :
Si l’entreprise semble se soucier des spams qui polluent son moteur de recherche, rappelons qu’elle montre beaucoup moins de scrupule dans la gestion des contenus recommandés par son autre outil Discover qui met en avant, par exemple, des infox GenAI diffamantes sur du soi-disant pain cancérigène ou un faux scandale de poissons recongelés.
La présentation des onglets synchronisés est ainsi beaucoup plus claire. Accessible depuis la zone latérale, la liste présente désormais la structure précise des sites ouverts. Cela signifie que l’on peut récupérer un site spécifique ou tout un groupe, voire un espace de travail. Une souplesse bienvenue, qui vient renforcer une synchronisation qui ne fonctionnait jusqu’à présent que sur les onglets seuls.
Autre apport utile, un tableau de bord de confidentialité. La fonction ressemble beaucoup à celle proposée par Apple dans Safari depuis quelques années. On y accède en cliquant sur l’icône de bouclier à gauche de la barre d’adresse, puis sur « Afficher le tableau de bord de confidentialité ».
Le panneau qui s’ouvre affiche alors une vue de synthèse de ce qui a été bloqué les 30 derniers jours : publicités, traqueurs, ainsi que le temps et la bande passante économisés. Un menu permet d’afficher les statistiques complètes depuis le début des relevés. On peut classer les sites par nom, nom de traqueurs ou publicités. Un panneau dédié aux traqueurs permet d’inspecter la liste. On peut également accéder à ces informations avec un nouveau module pour la page de démarrage, le bouton « Afficher plus » ouvrant alors le tableau de bord complet.
La page de démarrage a d’ailleurs été remaniée : on peut afficher les Speed Dials et les modules dans le même espace. On peut ainsi avoir au même endroit des sites épinglés, la météo de la ville et autres informations utiles. Les modules peuvent être librement déplacés et sont disponibles en plusieurs tailles.
Vivaldi 7.7 ajoute en outre une option qui lui faisait défaut : la possibilité de contrôler avec quelle « vigueur » le navigateur gère la mémoire des onglets inactifs. Il prend place dans une nouvelle section « Performance » dans les réglages, mais ne peut pas être finement paramétré en choisissant le temps. Il est par défaut en position « Sauvegarde équilibrée », et on peut le passer en « minimum » ou « maximal ». La fonction peut aussi être désactivée. La nouvelle section regroupe également les paramètres liés à l’accélération matérielle, l’économiseur d’énergie ou encore le comportement des onglets à restaurer au démarrage du navigateur.
Enfin, outre une page « À propos » mieux présentée, Vivaldi 7.7 améliore son panneau Courrier, avec « des raffinements visuels pour améliorer la lisibilité et la convivialité ».
Comme toujours, le navigateur avertit qu’il doit être redémarré pour appliquer la mise à jour. Les personnes souhaitant tester le navigateur – qui a pour l’instant choisi de faire l’impasse sur l’IA – peuvent le récupérer depuis son site officiel.
Valve profite de l’attention générée par ses multiples annonces matérielles pour lancer la nouvelle révision majeure de sa couche de compatibilité. Proton, basée sur Wine, permet pour rappel de faire fonctionner les jeux Windows sur Linux, avec des performances équivalentes voire supérieures selon le degré de support. Le site ProtonDB permet de connaitre ce degré pour chaque titre existant ou presque, même quand il n’est pas sur Steam. Diablo IV, par exemple, est en niveau « Platine », signalant que la prise en charge est excellente.
Quoi de neuf pour cette version 10 ? On aurait pu s’attendre à des évolutions techniques majeures, comme dans les moutures 7, 8 et 9, mais ce n’est pas le cas. Proton 10 est surtout là pour apporter des corrections à des régressions précédemment introduites et allonger la liste des titres supportés.
Mary Skelter : Nightmares, Fairy Fencer F Advent Dark Force, Far Horizon, Grim Fandango Remastered (avec GPU AMD et Intel), The Crew Motorfest, Viking Rise : Valhalla, Starlight Re :Volver, Gemstones, Act of War : Direct Action (avec GPU AMD), SSR Wives : The Murder Of My Winter Crush Demo, Firefly Village, The Riftbreaker : Multiplayer Playtest, Ninja Reflex : Steamworks Edition et les Arken Age intègrent ainsi le lot des jeux pris en charge.
On note également des corrections pour bon nombre de titres, ainsi que des améliorations pour d’autres, augmentant leur niveau de support et améliorant d’autant l’expérience de jeu. C’est le cas notamment pour Age of Empires III et Counter Strike.
La nouvelle version est basée sur Wine 10, dont elle récupère toutes les nouveautés. Elle présente plusieurs autres améliorations, notamment dans le support des manettes DualSense qui enregistraient des clics parasites sur le pavé tactile lors d’une connexion Bluetooth.
Steam utilise en théorie la dernière révision de Proton pour faire fonctionner les jeux Windows. Pour vérifier si c’est le cas, on peut faire un clic droit sur un titre, aller dans les propriétés et regarder dans la section Compatibilité.
L’extension développée par Next – avec de l’IA générative – pour signaler des sites avec des contenus rédigés en tout ou partie par de l’IA générative signale désormais plus de 8 500 domaines. Nous en profitons pour ajouter une nouvelle fonction : une alerte contre des sites potentiellement malveillants utilisant des homoglyphes. Surfez couvert avec Next !
Notre liste continue de grandir de semaine en semaine. Ce qui n’était au début que quelques centaines de noms est passé à plus de 1 000 en février, et ne cesse de grandir pour désormais atteindre plus de 8 500 sites. Pour rappel, elle intègre aussi les listes noires de Red Flag Domains des noms de domaine potentiellement suspects, ainsi que celle de l’Autorité des marchés financiers (AMF).
La procédure de mise à jour de la liste était loin d’être optimale. Nous l’avons améliorée, Jean-Marc peut désormais la mettre à jour en toute autonomie ; attendez-vous donc à l’arrivée de nouveaux domaines plus régulièrement. La taille du fichier de la liste bloom a été considérablement réduite au passage, mais sans pour autant modifier le niveau des faux positifs.
Notification d’échec des mises à jour des listes et nouvelles autorisations
Nous avons également amélioré le système de détection des échecs des mises à jour des listes. Si une des listes n’est pas disponible, l’extension affiche désormais un message d’alerte et envoie une notification au système (une seule par problème, pas plus !). Ce changement dans les autorisations entraine une validation de votre part lors de la mise à jour puisque les notifications n’étaient pas utilisées auparavant.
L’extension a aussi besoin d’accéder aux URL des onglets pour vérifier si le domaine est ou non dans une des listes. Elle doit également pouvoir « modifier » les pages pour y afficher le message d’alerte le cas échéant (le pop-up sur fond gris).
L’extension permettant, de manière volontaire, de nous signaler des sites en cliquant sur le bouton de l’extension, l’URL et des métadonnées nous sont également envoyées (nous les avons détaillées dans une précédente actualité).
Si vous cliquez sur l’icône de l’extension, nous avons revu un peu la fenêtre, notamment avec l’indication du nombre de sites dans notre liste GenAI, de Red Flag Domains et de l’AMF. En cas d’erreur sur la mise à jour des listes, un message s’affiche ici aussi. De plus, l’icône de l’extension affiche un ! en rouge pour indiquer le problème.
Dans les paramètres de l’extension, un message d’erreur vous donne quelques détails et permet, si vous le désirez, de nous envoyer un message d’alerte (avec les mêmes métadonnées que pour les signalements de sites). Tout en bas s’affiche la liste des sites dont vous avez coché la case « Ne plus m’alerter sur ce site pour toutes les catégories » en bas à gauche du message d’alerte qui s’affiche lorsque vous consultez l’un des 8 500 sites GenAI identifiés. Vous pouvez en supprimer certains ou la totalité.
Notre extension alerte sur les homoglyphes !
L’autre gros morceau de cette version 2.5.5 est l’arrivée d’une nouvelle « liste ». Ce n’est pas une liste au sens propre du terme, mais plutôt une alerte contre de potentielles attaques par homographes, reposant sur l’utilisation d’homoglyphes, à savoir ces caractères ou glyphes qui semblent identiques ou très similaires à un ou plusieurs autres, tels que le « p » latin et le « p » cyrillique.
Une rapide explication de l’ANSSI : « Un utilisateur malintentionné peut acquérir un nom de domaine proche visuellement (la proximité visuelle est obtenue par le fait que de nombreux systèmes d’écriture utilisent des caractères se ressemblant) d’un autre nom de domaine connu ».
La liste Red Flag Domains permet déjà d’avoir ce genre d’alerte, mais uniquement sur les domaines en .fr. Les pirates visent plus large et tirent tous azimuts sur les autres domaines (.com, .net, .org etc.). Notre extension se base sur des listes de caractères proches de ceux de notre alphabet latin pour afficher un message d’alerte et vous appeler à la vigilance. Si une alerte s’affiche, vérifiez que vous êtes bien sur le bon site. La détection se fait uniquement en local.
Un bon exemple est (du moins était, il a été rapidement désactivé) le faux site avec le nom de domaine université-nantes[.]fr ; la vraie adresse de l’université est univ-nantes.fr. Il reprenait la présentation officielle du site de l’université et on pouvait se faire piéger facilement. Utilisant une extension en .fr, il était déjà dans la liste Red Flag Domains et donc signalé par la version actuelle de l’extension. La version 2.5.5 de notre extension le détecte automatiquement et fonctionne tout autant en .fr qu’en .com, .net, etc.
La technique est connue de longue date et peut se révéler redoutable contre les internautes. Par exemple, « арpІе » n’a pas de lettre « a », de « l » ou de « e » de l’alphabet latin et un seul « p » (le deuxième). Les autres sont des caractères cyriliques. Un vrai faux site a été mis en place ici : аррӏе.com (les navigateurs transforment le nom de domaine en xn--80ak6aa92e.com, mais on peut facilement se faire avoir en collant аррӏе.com dans la barre du navigateur et tout le monde n’a pas toujours les yeux rivés sur la barre d’URL.
C’est une première version des attaques par homoglyphes, la liste des caractères suspects peut être mise à jour de notre côté. Comme les autres listes, elle est téléchargée automatiquement tous les jours, ou bien à la demande depuis les paramètres de l’extension. Comme n’importe quelle autre liste, vous pouvez désactiver cette détection dans les paramètres.
Pensez à épingler l’extension !
Pour profiter au mieux de l’extension, nous vous conseillons de l’épingler. Une fois installée, sur Edge ou Chrome. Cliquez sur l’icône en forme de puzzle et cliquez sur la punaise. Sur Firefox, il faut aussi cliquer sur le puzzle, puis sur la roue crantée de l’extension et enfin sur « épingler à la barre d’outils ».
Pour rappel, le petit chiffre entouré de jaune qui s’affiche au-dessus du bouton de l’extension indique quant à lui le nombre de pages de sites GenAI que vous avez consultées dans la journée.
Dans une lettre ouverte publiée ce jeudi 13 novembre [PDF], 127 organisations européennes dont noyb, EDRi, le Chaos Computer Club ou encore Ekō s’opposent à la loi « omnibus numérique » proposée par la Commission européenne. Pour rappel, celle-ci veut notamment alléger le RGPD au profit des entreprises d’IA.
« Ce qui est présenté comme une « rationalisation technique » des lois numériques de l’UE est en réalité une tentative de démanteler subrepticement les protections les plus solides de l’Europe contre les menaces numériques », écrivent-elles. Sans modifications significatives du texte, il deviendrait « le plus grand recul des droits fondamentaux numériques dans l’histoire de l’UE ».
« En qualifiant de « bureaucratie » des lois essentielles telles que le RGPD, la directive ePrivacy, la loi sur l’IA, le DSA, le DMA, la réglementation sur l’internet ouvert (DNA), la directive sur le devoir de vigilance des entreprises en matière de durabilité et d’autres lois cruciales, l’UE cède aux puissants acteurs privés et publics qui s’opposent aux principes d’un paysage numérique équitable, sûr et démocratique et qui souhaitent abaisser le niveau des lois européennes à leur propre avantage », affirment-elles.
Enfin, elles ajoutent que « les règles récemment adoptées par l’Europe en matière d’IA risquent également d’être compromises, l’Omnibus étant sur le point de supprimer certaines des mesures de protection destinées à garantir que l’IA soit développée de manière sûre et sans discrimination ».
Ces 127 organisations demandent donc à la Commission de « mettre immédiatement fin » à la relecture de textes comme le RGPD, l’ePrivacy ou l’AI Act et de « réaffirmer l’engagement de l’UE en faveur d’une gouvernance numérique fondée sur les droits, y compris une application stricte des protections existantes ».
Si vous pensiez qu’un processeur avec une finesse de gravure de 3 nm était vraiment gravé en 3 nm, alors vous vous mettez le doigt dans l’œil jusqu’au coude. Cette information n’est qu’un argument marketing, sans lien avec la réalité. Dans ce nouveau format court #Nextquick on vous explique.
Lorsque l’on parle des caractéristiques techniques des puces – aussi bien pour les CPU, les GPU et les SoC en tout genre – , on indique généralement la finesse de gravure… mais cela veut-il dire quelque chose de précis ? Oui… et non. Depuis des années, ce n’est qu’une indication marketing, n’ayons pas peur des mots (surtout qu’ils ne sont pas de nous).
Il reste 91% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Canonical vient de porter à quinze ans la durée maximale de support qu’il est possible d’obtenir, en payant, sur les versions LTS (Long Term Support) de la distribution Ubuntu. L’éditeur a en effet annoncé jeudi 13 novembre que l’option « Legacy Support », qui offrait initialement deux ans de support supplémentaires, sera désormais valable pour un maximum de cinq ans. Lancée au printemps 2024, cette offre de service destinée aux professionnels est facturée comme une option supplémentaire au support étendu Ubuntu Pro.
La durée maximale du support passe ainsi de douze à quinze ans. D’abord, les cinq ans de support standard associés aux versions LTS d’Ubuntu (dont la prochaine itération sortira en avril 2026). Ensuite, les cinq ans de support étendu, accessibles de façon payante via l’offre Ubuntu Pro. Enfin, les cinq années supplémentaires associées à cette option Legacy Support, facturée sous la forme d’un surcoût de 50 % par rapport à l’abonnement Ubuntu Pro, précise Canonical.
« Une infrastructure est complexe et les mises à niveau engendrent des coûts et des risques réels. Cette extension tient compte de ces réalités et vous offre la durée de support nécessaire à vos déploiements », vante l’éditeur.
Un maximum de quinze ans de support est proposé (en combinant deux options payantes) à partir d’Ubuntu 14.04 LTS – crédit Canonical
La distribution Linux Tails, spécialisée dans la sécurité, a reçu hier soir une mise à jour intermédiaire. Estampillée 7.2, elle arrive un mois après la précédente et contient comme toujours des évolutions dans les paquets.
L’un des principaux changements est l’intégration de Tor Browser 15, sorti fin octobre et basé sur la version 140 de Firefox ESR (Extended Support Release). Pour les utilisateurs d’une version plus ancienne, il s’agit d’un bond important pour le navigateur, avec l’arrivée de fonctions comme les onglets verticaux et les groupes d’onglets, un bouton de recherche unifiée, etc.
Pour le reste, on trouve un noyau Linux 6.12.57 LTS, l’arrivée de Thunderbird 140.4.0, une modification dans le comportement des notifications « Ne me demandez plus », pour qu’elles ne s’affichent qu’après la synchronisation de l’horloge. On note aussi le retrait de la console root, que l’on ne peut désormais obtenir qu’avec la commande « sudo -i ».
Les mises à jour de Tails sont automatiques, que l’on soit sur la version 7.0 ou 7.1, sur un support amovible ou permanent. Pour les personnes tentées par la distribution, le téléchargement se fait depuis le site officiel.
Arrêté à sa descente d’avion à l’été 2024, Pavel Durov vient d’obtenir la levée des mesures qui l’empêchaient de voyager à l’étranger.
Né en Russie, naturalisé français en 2021, le cofondateur de Telegram avait été mis en examen pour douze chefs d’accusation relevant de la criminalité organisée.
En mars, il avait obtenu de rentrer à Dubaï, où il est installé. Mais il restait astreint à une limitation de ses allées et venues, et notamment à l’obligation de pointer au commissariat de Nice tous les 14 jours.
Ces mesures ont été définitivement levées, selon l’AFP et Bloomberg.
Les avocats de Pavel Durov soulignent que ce dernier a été interrogé trois fois et a « parfaitement respecté son contrôle judiciaire ».
Ces derniers mois, l’entrepreneur a utilisé à plusieurs reprises sa plateforme pour diffuser des messages critiquant les autorités françaises ou les politiques européennes.
Un groupe d’une douzaine de pays présents à la COP 30 au Brésil, dont la France, annonce vouloir s’emparer activement de la lutte contre la désinformation sur le climat. En amont du sommet, des ONG avaient sonné l’alarme à propos de la forte propagation de la désinformation climatique sur internet, avec l’IA générative comme nouvel outil de superpropagation.
En marge de la COP 30 qui se déroule actuellement à Belém, au Brésil, 12 pays ont publié une déclaration sur l’intégrité de l’information en matière de changement climatique.
Déclaration de principe de 12 pays
La Belgique, le Brésil, le Canada, le Chili, le Danemark, la Finlande, la France, l’Allemagne, les Pays-Bas, l’Espagne, la Suède et l’Uruguay appellent [PDF] à lutter contre les contenus mensongers diffusés en ligne et à mettre fin aux attaques.
Ils s’y disent « préoccupés par l’impact croissant de la désinformation, de la mésinformation, du déni, des attaques délibérées contre les journalistes, les défenseurs, les scientifiques, les chercheurs et autres voix publiques spécialisées dans les questions environnementales, ainsi que par d’autres tactiques utilisées pour nuire à l’intégrité des informations sur le changement climatique, qui réduisent la compréhension du public, retardent les mesures urgentes et menacent la réponse mondiale au changement climatique et la stabilité sociale ».
Ces pays s’engagent notamment à soutenir l’initiative mondiale pour l’intégrité de l’information sur le changement climatique lancée par l’Unesco.
Des ONG alertent sur la propagation de la désinformation, notamment à propos de la COP 30 elle-même
Début novembre, juste avant l’ouverture de la COP30, une coalition d’ONG (dont QuotaClimat et Équiterre en France) nommée Climate Action Against Disinformation publiait un rapport titré « Nier, tromper, retarder : démystifié. Comment les grandes entreprises polluantes utilisent la désinformation pour saboter les mesures climatiques, et comment nous pouvons les en empêcher ». Le rapport se faisait notamment l’écho d’une énorme campagne de désinformation sur des inondations à Belém, la ville de la COP 30, documentée par la newsletter Oii.
Celle-ci dénombrait plus de 14 000 exemples de contenus de désinformation publiés entre juillet et septembre sur la COP 30 elle-même. Notamment, des vidéos en partie générées par IA qui faisaient croire à des inondations dans la ville.
« « Voici le Belém de la COP30 qu’ils veulent cacher au monde », déclare un journaliste debout dans les eaux qui inondent la capitale de l’État du Pará », décrit Oii. « Mais… rien de tout cela n’est réel ! Le journaliste n’existe pas, les gens n’existent pas, l’inondation n’existe pas et la ville n’existe pas. La seule chose qui existe, ce sont les nombreux commentaires indignés contre le politicien mentionné dans la vidéo et contre la conférence sur le climat à Belém, sur X (anciennement Twitter) et TikTok », déplore la newsletter.
« Des mesures telles que la loi européenne sur les services numériques (DSA), qui s’appliquent au niveau supranational, rendent les grandes entreprises technologiques plus transparentes et responsables des préjudices causés », affirme la Climate Action Against Disinformation. Et elle ajoute que « si certaines entreprises donnent une mauvaise image de tous les réseaux sociaux, des sites web tels que Wikipédia et Pinterest prouvent que les politiques de lutte contre la désinformation climatique et l’intégrité de l’information sont non seulement possibles, mais nécessaires ».
Les mises à jour de sécurité de novembre pour Windows 11 ont doté le système d’une capacité promise il y a quelques mois : permettre aux gestionnaires de mots de passe de s’intégrer totalement dans le système, avec gestion complète des clés d’accès (passkeys). Une intégration qui rappelle celle des mêmes gestionnaires sur Android et iOS.
C’est désormais le cas pour deux d’entre eux, 1Password et BitWarden. Pour le premier, il suffit de récupérer la dernière mise à jour de l’application. Après quoi, on se rend dans les Paramètres de Windows, puis dans Comptes > Clés d’accès > Options avancées. Là, il suffira d’activer le réglage correspondant au gestionnaire.
Pour BitWarden, la manipulation est la même, mais il faut pour l’instant passer par une version bêta de l’application de bureau disponible sur GitHub. Passer uniquement par l’extension pour navigateur n’est pas suffisant, car elle n’agit que dans le contexte du navigateur. Le lien donné par BitWarden dans son billet ne fonctionne cependant pas à l’heure où nous écrivons ces lignes.
L’intégration native a deux avantages. Le principal est que si le système veut stocker une clé d’accès, par exemple parce qu’une application en fait la demande, il interrogera le gestionnaire défini par défaut et pas le composant interne de Microsoft. L’autre est justement la disponibilité des clés d’accès dans tout le système, y compris dans les logiciels tiers et Windows Hello. Le gestionnaire de Microsoft, intégré notamment à Edge, reste disponible, mais devient un citoyen comme un autre au pays de Windows.
Plus de dix ans après sa précédente tentative, Valve retente sa chance sur le marché des consoles de salon avec une nouvelle Steam Machine, un casque VR et une manette revisitée. Cette fois cependant, l’entreprise a des arguments autrement convaincants, en tout cas sur le papier.
Steam Machine
Le cœur de la nouvelle offre matérielle est la Steam Machine. C’est l’équivalent du Steam Deck pour le salon, avec un matériel plus adapté. La Steam Machine est ainsi présentée comme six fois plus puissante que la console portable.
Le cœur de la nouvelle bête est un processeur AMD doté de six cœurs Zen 4 pouvant grimper jusqu’à 4,8 GHz (TDP de 30 W), épaulé par 16 Go de DDR5. Côté graphique, on trouve un GPU AMD RDNA 3 « Navi 33 » équipé de 8 Go de mémoire GDDR6 (TDP de 110 W). Selon The Verge qui était présent à l’évènement de lancement, ce GPU se rapproche des Radeon RX 7600 et 7700, dont la puissance théorique est équivalente ou supérieure à ce que peut fournir une PS5 Pro.
Côté performances, nos confrères disent avoir vu fonctionner le benchmark intégré à Cyberpunk 2077 à une moyenne de 65 images par seconde sur un téléviseur 4K, avec réglages ray tracing positionnés en moyen. Il ne s’agissait cependant pas d’une définition native de l’image, mais d’un 1080p mis à l’échelle via le FSR 3.0 d’AMD. Avec une 4K native, la moyenne était de 24 i/s, mais The Verge fait remarquer que les autres consoles n’utilisent généralement pas non plus la 4K native avec les jeux exigeants.
L’ensemble est intégré dans un boitier cubique de 160 mm d’arête dont l’alimentation est interne. Le refroidissement est assuré par un vaste radiateur à ailettes, des caloducs et un ventilateur de 120 mm dont les pales ont été travaillées pour le silence, selon Valve. En plus du SSD fourni (de 512 Go ou 2 To), la machine contient une baie M2 2280 qui peut accueillir les SSD de taille standard et les modèles plus petits M2 2230 (utilisés notamment par le Steam Deck).
La Steam Machine, qui joue la carte de la sobriété, dispose en outre d’une façade interchangeable. Elle permet de faire varier le style de la console, avec du bois ou autre matériau. The Verge a pu également observer un panneau avec écran e-paper intégré pour afficher des informations sur le fonctionnement de la machine. Ces panneaux s’enlèvent et s’installent via un support magnétique. Valve a indiqué que les fichiers CAO correspondants seraient fournis pour que tout le monde puisse imprimer et/ou fabriquer ses propres panneaux. La personnalisation s’étend à la barre lumineuse sur la façade avant, qui permet d’afficher des informations comme la progression d’un téléchargement. La couleur et l’animation peuvent être changées, et il sera possible de l’éteindre complètement.
La console sera mise en vente début 2026, en deux versions, avec 512 Go ou 2 To de stockage. Elle sera vendue avec ou sans la nouvelle manette, mais Valve n’a pas encore communiqué sur les prix. On retrouvera dans tous les cas deux sorties vidéo (HDMI 2.0 et DisplayPort 1.4), quatre ports USB-A (deux USB 2 et deux USB 3), un port USB-C 10 Gbit/s, un port Ethernet Gigabit, du Wi-Fi 6E (en 2×2) et du Bluetooth 5.3. Sans surprise, la Steam Machine fonctionnera sur SteamOS (basée sur Arch avec KDE Plasma), qui accompagne déjà le Steam Deck.
Signalons enfin que la console peut être aussi bien utilisée au salon avec une manette que sur un bureau avec un clavier et une souris.
Des arguments nettement plus convaincants qu’il y a dix ans
La Steam Machine pourrait rencontrer le succès, là où la précédente tentative de Valve a échoué dans les grandes largeurs. D’une part parce que Valve sera l’unique distributeur de la Steam Machine, alors que la précédente version était davantage un modèle que tous les constructeurs pouvaient reproduire, avec de grands écarts dans les configurations et l’expérience. D’autre part car le contexte a grandement évolué.
On parle bien désormais de Linux comme d’une plateforme de jeu plus que crédible. Valve est pour beaucoup dans cette évolution grâce au Steam Deck, dont le succès incontestable repose sur Proton. Cette couche d’émulation, basée sur Wine, a largement contribué à lubrifier toute la mécanique nécessaire à l’exécution des jeux Windows sur système Linux, avec le plus souvent des performances équivalentes, voire supérieures. Certaines distributions, dont GLF OS, capitalisent sur ce succès croissant.
Steam est aujourd’hui de loin la plus grosse boutique en ligne de jeux vidéo, avec environ 100 000 titres référencés. Beaucoup peuvent être joués sur le Steam Deck, mais la Steam Machine, beaucoup plus puissante, déverrouille presque tout le reste du catalogue. Les 16 Go pourraient se révéler un peu justes dans les prochaines années, mais le vrai cheval de bataille sera le support des jeux par Proton. Le site ProtonDB permet d’ailleurs de suivre le niveau de prise en charge pour chaque titre.
Steam Frame, le nouveau casque VR
Valve retente également sa chance dans le domaine de la réalité virtuelle avec le Steam Frame, qui doit faire oublier le précédent casque, l’Index. Pesant 440 g (contre 809 g pour l’Index), il dispose de deux modes de fonctionnement : soit indépendant, grâce à sa puce Arm et son stockage intégrés (un port microSD est aussi présent), soit comme un écran déporté en exploitant un dongle 6 GHz à brancher sur le PC de jeu (ou la Steam Machine, bien sûr).
L’idée de Valve est simple avec le casque : tous les jeux de votre bibliothèque Steam doivent être jouables sur le Frame, sans fil. The Verge, qui l’a également testé, évoque un très bon confort, avec notamment « un coussin facial particulièrement moelleux et soyeux », ainsi qu’une bonne répartition du poids, la batterie étant placée à l’arrière de la tête.
La solution de Valve est assez originale pour faire fonctionner les jeux. La puce embarquée est en effet un Snapdragon 8 Gen 3, ce qui nécessite une grosse adaptation pour faire tourner des jeux développés pour x86. Un émulateur, nommé Fex, s’occupe ainsi des adaptations en temps réel, mais nos confrères pointent des « accrocs » dans les jeux, dont Hades II et Hollow Knight Silksong.
Valve s’est montrée proactive sur le sujet, indiquant qu’il sera possible de télécharger des versions préconverties du code, de la même manière que le Steam Deck permet de télécharger des shaders précalculés. De manière générale, nos confrères n’ont pas été impressionnés par les performances, mais Valve a évoqué des bugs et promis des optimisations à venir au cours des prochains mois.
La partie matérielle n’est pas non plus la meilleure de sa catégorie, loin de là. Les deux écrans sont de type LCD, avec des définitions de 2160 x 2160. Le passthrough est monochrome, quand le Meta Quest 3S, vendu 300 dollars, dispose d’un passthrough couleur. Pas un problème selon Valve cependant, le Frame ayant été pensé pour le jeu, le passthrough des caméras extérieures n’est là que pour assurer un positionnement. La sangle intègre également deux haut-parleurs de chaque côté, afin d’annuler les vibrations qu’ils engendrent.
À noter que Valve a indiqué à Gamers Nexus que le Frame serait capable de charger les fichiers APK des applications Android, ce qui devrait lui ouvrir de plus amples capacités. Sans surprise, l’autonomie dépendra de l’utilisation. La batterie fournie permet de délivrer 21,6 Wh, soit environ la moitié du Steam Deck. Il sera cependant possible de brancher n’importe quelle batterie d’au moins 45 W via un port USB-C.
Comme pour la Steam Machine, le Steam Frame sera lancé début 2026, sans plus de précisions pour le moment. Le tarif n’a pas non plus été donné.
Le Steam Controller fait peau neuve
En 2013, Valve avait également lancé une manette. Le pari était alors osé, car en lieu et place des contrôles habituels, le Steam Controller proposait deux pads circulaires tactiles. Le stick analogique et les quatre boutons étaient disposés en-dessous et très rapprochés. Aucune croix directionnelle sur cette première manette. L’ensemble fournissait une expérience très différente de ce que l’on pouvait trouver (et que l’on trouve encore) sur les manettes de PlayStation et Xbox.
Entre temps, Valve a cependant lancé son Steam Deck et le travail réalisé sur la console a servi de base pour une nouvelle version de la manette. Les contrôles ressemblent beaucoup plus à ce que l’on trouve ailleurs, avec la croix et les quatre boutons sur les bords, deux sticks analogiques plus centrés, ainsi que deux zones tactiles carrées sur le bas de la manette.
Sur son site, Valve décrit ses sticks comme magnétiques, avec « sensation améliorée, une meilleure réactivité et une fiabilité à long terme ». Les vibrations sont présentées comme « haute définition », avec retour haptique « précis et immersif ». Le nouveau Steam Controller dispose également d’une visée gyroscopique à la demande : si l’on appuie sur les poignées situées sous la manette de chaque côté, on active la visée, qui se coupe quand on relâche la pression. Les pavés tactiles sont décrits comme particulièrement précis, au point de pouvoir être utilisés dans les FPS.
La manette est prévue pour fonctionner partout où Steam est installé, des ordinateurs classiques à la Steam Machine, en passant par le Steam Frame et le Steam Deck. La manette, elle aussi lancée début 2026 (aucun tarif annoncé), sera entièrement personnalisable et présentera deux boutons pour les fonctions maison : un bouton Steam qui sert d’accès à la bibliothèque et de bouton marche/arrêt, et un accès rapide pour les accès aux notifications, contacts, discussions et autres.
88 % des 200 startups qui composent les trois classements de référence de la French Tech font transiter leurs emails par des outils fournis par des acteurs basés aux États-Unis. Sur les 176 entreprises concernées, 171 font confiance à Google et Microsoft. Ce chiffre illustre l’omniprésence des géants américains dans les entreprises françaises et soulève évidemment des questions sur la souveraineté.
La semaine dernière, la mission French Tech a dévoilé sa liste des 80 lauréats pour la seconde édition de la French Tech 2030. Ils sont présentés comme « les nouveaux bâtisseurs de la souveraineté technologique française », mais qu’en est-il de leurs fondations ?
Nous avons regardé à qui les 80 qui « développent des solutions stratégiques » confient leur emails. Nous avons ensuite élargi nos analyses aux startups du programme French Tech Next40/120, dédié « aux 120 scale-up françaises les plus performantes, en capacité de devenir les leaders technologiques de rang mondial ».
Des bâtisseurs de la souveraineté sur des piliers américains
Comme expliqué dans le premier volet de cette enquête, il suffit pour cela de regarder les enregistrements MX du nom de domaine de l’entreprise. Ce sont les serveurs vers lesquels les emails sont automatiquement redirigés afin d’être traités. Ils peuvent suivre un chemin plus ou moins long et tortueux par la suite, mais si le MX renvoie vers Google.com, alors Google est la porte d’entrée de tous les emails associés au nom de domaine de l’entreprise étudiée.
La grande majorité des emails de la French Tech va chez Google et Microsoft, avec respectivement 30 et 32 entreprises sur les 80 de la seconde série de lauréats French Tech 2030. Les deux acteurs américains représentent donc près de 80 % de ce marché spécifique.
Le troisième sur le podium est le français OVHcloud, mais il n’est utilisé que par 4 des 80 entreprises de la French Tech 2030… soit seulement 5 % des startups concernées. Deux gèrent leurs e-mails en interne – Space Dreams et Keysom –, tout du moins les MX Domains puisque ces derniers renvoient vers leur propre domaine.
Voici le tableau complet des MX Domains de chaque entreprise lauréate de la French Tech 2030 :
Il reste 76% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Les benchmarks de LLM pullulent mais aucun, ou presque, ne semble s’appuyer sur un travail réellement scientifique, analysent des chercheurs. Ils appellent à une plus grande rigueur.
À chaque publication d’un nouveau modèle pour l’IA générative, l’entreprise qui l’a conçu nous montre par des graphiques qu’il égale ou surpasse ses congénères, en s’appuyant sur des « benchmarks » qu’elle a soigneusement choisis.
Plusieurs études montraient déjà qu’en pratique, ces « bancs de comparaison » n’étaient pas très efficaces pour mesurer les différences entre les modèles, ce qui est pourtant leur raison d’être.
Un nouveau travail scientifique, mené par 23 experts, a évalué 445 benchmarks de LLM. Il a été mis en ligne sur la plateforme de preprints arXiv et sera présenté à la conférence scientifique NeurIPS 2025 début décembre.
Une faible majorité s’appuie sur une méthode théorique robuste
Déjà, une faible majorité (53,4 %) des articles présentant ces 445 benchmarks proposent des preuves de leur validité conceptuelle, expliquent les chercheurs. 35 % comparent le benchmark proposé à d’autres déjà existants, 32 % à une référence humaine et 31 % à un cadre plus réaliste, permettant de comprendre les similitudes et les différences.
Avant de mesurer un phénomène avec un benchmark, il faut le définir. Selon cette étude, 41 % des phénomènes étudiés par ces benchmarks sont bien définis, mais 37 % d’entre eux le sont de manière vague. Ainsi, quand un benchmark affirme mesurer l’ « innocuité » d’un modèle, il est difficile de savoir de quoi on parle exactement. Et même 22 % des phénomènes étudiés par ces benchmarks ne sont pas définis du tout.
16 % seulement utilisent des tests statistiques pour comparer les résultats
De plus, les chercheurs montrent que la plupart de ces benchmarks ne produisent pas des mesures valides statistiquement. Ainsi, 41 % testent exclusivement en vérifiant que les réponses d’un LLM correspondent exactement à ce qui est attendu sans regarder si elles s’en approchent plus ou moins. 81 % d’entre eux utilisent au moins partiellement ce genre de correspondance exacte de réponses. Mais surtout, seulement 16 % des benchmarks étudiés utilisent des estimations d’incertitude ou des tests statistiques pour comparer les résultats. « Cela signifie que les différences signalées entre les systèmes ou les affirmations de supériorité pourraient être dues au hasard plutôt qu’à une réelle amélioration », explique le communiqué d’Oxford présentant l’étude.
Enfin, les chercheurs expliquent qu’une bonne partie des benchmarks ne séparent pas bien les tâches qu’ils analysent. Ainsi, comme ils le spécifient dans le même communiqué, « un test peut demander à un modèle de résoudre un casse-tête logique simple, mais aussi lui demander de présenter la réponse dans un format très spécifique et compliqué. Si le modèle résout correctement le casse-tête, mais échoue au niveau du formatage, il semble moins performant qu’il ne l’est en réalité ».
« « Mesurer ce qui a de l’importance » exige un effort conscient et soutenu »
Dans leur étude, les chercheurs ne font pas seulement des constats. Ils ajoutent des recommandations. Ils demandent notamment à ceux qui établissent des benchmarks de définir clairement les phénomènes qu’ils étudient et de justifier la validité conceptuelle de leur travail.
Pour eux, les créateurs de benchmarks doivent s’assurer de « mesurer le phénomène et uniquement le phénomène » qu’ils étudient, de construire un jeu de données représentatif de la tâche testée et d’utiliser des méthodes statistiques pour comparer les modèles entre eux. Enfin, ils leur conseillent de mener, après avoir conçu leur benchmark, une analyse des erreurs « qui permet de révéler les types d’erreurs commises par les modèles », ce qui permet de comprendre en quoi le benchmark en question est réellement utile.
« En fin de compte, « mesurer ce qui a de l’importance » exige un effort conscient et soutenu de la part de la communauté scientifique pour donner la priorité à la validité conceptuelle, en favorisant un changement culturel vers une validation plus explicite et plus rigoureuse des méthodologies d’évaluation », concluent-ils.
« Les benchmarks sous-tendent presque toutes des affirmations concernant les progrès de l’IA », explique Andrew Bean, dans le communiqué, « mais sans définitions communes et sans mesures fiables, il devient difficile de savoir si les modèles s’améliorent réellement ou s’ils en donnent simplement l’impression ».
Un email, c’est une carte postale. La métaphore n’est pas nouvelle, mais elle n’en reste pas moins toujours vraie. Mais savez-vous vraiment comment circulent les emails et qui peut y accéder ? Next vous explique leur fonctionnement et comment vérifier qui y a potentiellement accès.
En marge de notre dossier sur le fonctionnement en profondeur d’Internet, nous avons décidé de nous pencher sur les emails. Ils sont utilisés par tout le monde, parfois pour des futilités, parfois pour des choses importantes. Ils constituent aussi un enjeu de souveraineté, malheureusement trop souvent pris à la légère.
Un email par défaut, il faut le considérer comme une carte postale : n’importe quel intermédiaire peut lire son contenu, son expéditeur et son destinataire. Pire encore, il est facile d’usurper n’importe quelle identité. On peut évidemment appliquer une couche de chiffrement – un peu à la manière de mettre la carte postale dans une enveloppe –, mais c’est un autre sujet que nous aborderons dans un second temps.
Tout d’abord, comment se passe l’envoi d’un email ? Il faut savoir que l’email se décompose en deux principales parties, regroupées au sein de ce qu’on appelle le format MIME (Multipurpose Internet Mail Extensions ou Extensions multifonctions du courrier Internet) :
Un en-tête (header) avec l’expéditeur, le destinataire, le sujet, la date…
Le corps du message (body) avec le contenu de l’email et les éventuelles pièces jointes
La première partie du voyage de notre message se déroule dans un client de messagerie (Mail User Agent ou MUA) de l’expéditeur, que ce soit une application ou depuis un site web. L’acheminement du courrier se fait ensuite vers un serveur de courriel (Mail Transfer Agent ou MTA) rattaché à votre nom de domaine, via le protocole SMTP. À partir de là, la moitié du chemin est faite.
On peut se faire passer pour n’importe qui, la preuve !
L’email passe du serveur MTA lié à votre messagerie au serveur MTA rattaché au nom de domaine de votre destinataire. Par exemple, si vous m’envoyez un email sur une adresse en @next.ink depuis un email @Orange.fr, le serveur MTA de départ sera celui d’Orange, celui de réception est chez moji (qui héberge Next.ink). De son côté, le destinataire récupère son email via son client de messagerie relié au MTA (de moji, vous suivez ?).
Le problème avec cette architecture, c’est qu’il est très facile pour n’importe qui de faire n’importe quoi. En effet, on peut facilement modifier les en-têtes pour changer l’expéditeur et se faire passer pour une autre personne.
N’allez en effet pas croire que c’est compliqué à mettre en place… quelques lignes de codes et une dizaine de minutes suffisent. Pour créer le message ci-dessous, nous avons simplement assemblé un email avec les éléments suivants (oui, c’est aussi simple que ça en a l’air, mais nous ne ferons pas de tuto) avec le résultat juste en dessous :
message = MIMEMultipart()
message["From"]="Sundar Pichai sundar.pichai@google.com"
message["Subject"]="Trop bien guys votre enquete sur les sites GenAI !"
message["Reply-To"]="sundar.pichai@google.com"
Vers qui partent les emails ? Les enregistrements MX balancent tout !
Les mails pouvant circuler dans tous les sens sans restriction particulière par défaut, les serveurs associés aux adresses emails sont publics. On les trouve dans les enregistrements MX des noms de domaines ; MX pour Mail eXchange.
Cette information est publique, dans le DNS, lisible par tout le monde depuis son ordinateur. Deux outils extrêmement simples permettent de récupérer les enregistrements MX : nslookup et dig (il en existe bien d’autres).
Sous Windows et Linux, nslookup est disponible en ligne de commande. Il existe aussi dig, plus complet, sur les distributions Linux. Voici les commandes à utiliser dans les deux cas, pour les serveurs emails recevant tous les envois vers @next.ink. Pour dig, nous avons ajouté le paramètre +short afin de n’avoir que les champs MX les uns en dessous des autres sans tous les détails supplémentaires, mais vous pouvez l’enlever pour une réponse plus longue.
nslookup -type=mx next.ink
dig +short MX next.ink
Dans les deux cas, le résultat est évidemment le même : mx1.oui.do avec une préférence à 1 et mx2.oui.do avec la préférence à 2. La préférence est simplement l’ordre dans lequel il faut choisir les serveurs pour envoyer les emails. mx1.oui.do est le premier, mais s’il ne répond pas, un serveur secondaire est disponible sur mx2.oui.do.
Ce que les enregistrements MX permettent de prouver
Cela signifie donc qu’un simple coup d’œil à l’enregistrement DNS permet de savoir qui s’occupe de la réception des emails. Si une entreprise utilise les services de Google pour gérer ses emails, les enregistrements MX pointeront vers des sous domaines de Google.com. Pour du Microsoft, ils pointent vers du Outlook.com, etc.
Quelques points à savoir. Les serveurs MX indiquent la route à suivre et pointent vers le premier « poste de douane », c’est-à-dire l’endroit où arrivent les emails avant d’être ensuite acheminés vers leur destinataire. Ils peuvent ensuite prendre des chemins plus ou moins long et sinueux avant d’arriver à destination, mais nous n’avons pas accès aux détails des routes, c’est de la tambouille interne.
Voici quelques exemples. Certains comme Polytechnique et l’Université de Paris Saclay gèrent la réception en interne, d’autres comme l’Université de Versailles Saint-Quentin passent par Renater (Réseau National de télécommunications pour la Technologie, l’Enseignement et la Recherche). Blablacar utilise de son côté Google.
Cela ne veut pas obligatoirement dire que les mails @Blablacar.fr finissent dans une boite Gmail ou un compte Google Workspace, mais cela prouve néanmoins qu’ils arrivent chez Google comme premier poste de douane.
Le géant du Net a donc accès à un moment donné à tous les emails envoyés à @Blablacar.fr. Et comme tout poste de douane qui se respecte, il peut décider du jour au lendemain de couper l’accès, mais de continuer à recevoir les emails entrants, jusqu’à ce que les enregistrements MX soient changés.
Autre point important, ce n’est pas parce qu’une entreprise passe par autre chose que Google ou Outlook dans ses enregistrements MX, qu’elle n’utilise pas à un moment donné les services des géants américains ; simplement les enregistrements MX ne permettent pas de le prouver.
Certains comme Shares.io – un outil d’investissement « développé, opéré et régulé en France » – doublent la mise avec Google comme enregistrements MX primaire, secondaire et tertiaire, ainsi que Outlook en quatrième position si les trois serveurs Google devaient ne pas répondre. Ceinture et bretelle aux couleurs des États-Unis en somme.
Un vrai enjeu de souveraineté !
En résumé : si les MX pointent vers Google ou Microsoft, cela prouve que les entreprises américaines ont accès aux emails, peu importe où ils finissent par arriver. Mais nous ne pouvons en déduire rien de plus ; aucun corollaire n’existe à cette affirmation.
Par exemple, les enregistrements MX de Next.ink renvoient vers oui.do, mais ensuite impossible de savoir ce qu’il se passe pour un observateur à l’extérieur ; ils pourraient se retrouver sur un compte Gmail sans que vous le sachiez. Rassurez-vous, chez Next les emails sont bien gérés et stockés en interne chez oui.do (moji), dans leur datacenter à Nanterre.
La gestion des enregistrements MX est donc un enjeu fort quand il s’agit de parler de souveraineté numérique. Problème, beaucoup d’entreprises, start-ups et institutions françaises utilisent encore massivement Google et dans une moindre mesure Microsoft comme point d’entrée des emails.
SPF, DKIM et DMARC : le trio de la sécurité des emails
Terminons enfin avec un point que nous avions déjà abordé il y a quelques années, mais qu’il est bon de rappeler quand on parle email. Il est possible d’ajouter des couches de sécurité avec DKIM, SPF et DMARC, notamment pour éviter que des petits malins ne changent l’expéditeur sans se faire remarquer.
Le Sender Policy Framework (SPF) « permet au serveur qui reçoit un e-mail de s’assurer que ce dernier a bien été envoyé depuis un serveur de confiance », explique OVHcloud. Si vous recevez un email provenant du domaine exemple.com, le SPF permet de vérifier que le serveur est bien autorisé à envoyer des emails au nom de exemple.com.
Avec SPF, on peut donc vérifier que l’email provient d’un serveur autorisé, mais rien de plus. N’importe qui pouvant envoyer des emails en @next.ink pourrait se faire passer pour une autre personne de @next.ink. Pour s’assurer que l’expéditeur du message est, lui aussi, autorisé, un autre protocole existe : DKIM ou DomainKeys Identified Mail.
Il permet « aux propriétaires de domaines de signer automatiquement « les courriels » provenant de leur domaine, tout comme la signature d’un chèque permet de confirmer l’identité de son auteur », explique Cloudflare. DKIM utilise un chiffrement asymétrique : une clé publique sur le serveur email et une clé privée utilisée par l’expéditeur pour signer l’en-tête de l’email.
« Les serveurs de messagerie qui reçoivent le courrier électronique peuvent vérifier que la clé privée de l’expéditeur a été utilisée en appliquant la clé publique », détaille Cloudflare. Un point important : la vérification de l’expéditeur est de la responsabilité du serveur email rattaché au nom de domaine de l’expéditeur, c’est à lui que revient la charge de s’assurer que l’utilisateur qui envoie l’email est le bon. Comme les utilisateurs doivent s’identifier, cela n’est généralement pas un problème.
Enfin, DMARC (Domain-based Message Authentication Reporting and Conformance) définit ce que doit faire un serveur de messagerie en fonction des résultats de la vérification SPF et DKIM. On parle de « politique DMARC » qui peut être de refuser en bloc les messages échouant aux tests SPF et/ou DKIM, les mettre en quarantaine ou tout simplement les accepter. Oui, un message peut louper son test SPF, échouer à DKIM et arriver tout de même dans votre boite de réception, la fleur au fusil.
La Société des Auteurs et Compositeurs Dramatiques (SACD) assigne TikTok en référé devant le Tribunal judiciaire de Paris pour violation de droits d’auteur.
En jeu : des dialogues, des extraits de films allant d’« OSS 117 » à « Petit Ours Brun », des spectacles d’humoristes…
« Après quatre ans de discussions avortées », pendant lesquelles la plateforme a utilisé « des œuvres protégées du répertoire de la SACD sans aucune autorisation et en n’ayant jamais proposé de contreparties acceptables », la SACD a décidé de porter l’affaire en justice.
Elle déclare TikTok « en position de contrefaçon » et demande « réparation du préjudice subi par les auteurs et autrices des œuvres exploitées ».
La procédure est transmise en Irlande, où se situe le siège européen de TikTok Technology Limited. D’après la SACD, l’audience française est fixée au 18 mars 2026.
Google poursuit son offensive en direction du marché entreprise avec le lancement de Cameyo, une solution de virtualisation permettant d’utiliser des clients lourds au sein de son navigateur Web Chrome ou du système d’exploitation dérivé de ce dernier, ChromeOS.
Légers, endurants et abordables, les ordinateurs Chromebook de Google souffrent d’une limitation inhérente à leur système d’exploitation, dérivé du navigateur Chrome : l’impossibilité d’exécuter nativement des logiciels conçus pour Windows. Une carence que pallient les solutions de type VDI (Virtual Desktop Interface) ou DaaS (Desktop as a Service), qui tirent parti de la virtualisation pour proposer l’accès, en local, à un environnement exécuté dans le cloud.
Virtualiser l’app plutôt que l’environnement
Mais pourquoi virtualiser une instance complète de Windows quand on peut se contenter de simplement exécuter à distance une application ? C’est ce constat qui a motivé, en juin 2024, le rachat par Google de l’éditeur spécialisé Cameyo.
Fondée en 2010 aux États-Unis, cette entreprise explore en effet une approche plus ciblée, dite VAD, pour Virtual Application Delivery, qui consiste donc à ne virtualiser qu’un seul logiciel, par opposition à un système d’exploitation. Cameyo a d’abord travaillé sur des exécutables combinant l’application ciblée et l’environnement nécessaire à sa virtualisation, avant d’embrasser la vague du cloud et de travailler à l’intégration au sein du navigateur Web.
C’est dans ce contexte que Cameyo s’est progressivement rapprochée de Google, pour proposer la mise à disposition de clients lourds Windows au sein de Chrome et de ChromeOS. Les deux entreprises ont notamment collaboré autour de la prise en charge, par Cameyo, du système de fichiers local de ChromeOS, du presse-papier et de la capacité à délivrer les applications virtualisées sous forme de PWA (Progressive Web Apps).
Suite au rachat, Cameyo a disparu des radars pendant plusieurs mois, et fait désormais son retour sous forme d’une offre intégrée au catalogue des solutions entreprises de Google.
« Avec Cameyo by Google, toutes vos applications sont plus faciles à déployer et à gérer, et aussi plus sécurisées. Vos collaborateurs peuvent accéder à leurs applications habituelles où qu’ils se trouvent, sans aucune formation supplémentaire. En transférant tout votre travail sur le Web, vous avez toutes les cartes en main pour relever les défis de demain », vante le moteur de recherche.
Un lancement opportun
Google avance trois avantages principaux : une sécurité accrue, grâce à la séparation entre l’appareil et l’application employée (principe du Zero Trust), un coût total de possession (TCO) réduit dans la mesure où la virtualisation intervient sur un périmètre plus restreint, et un confort accru pour l’utilisateur final, qui peut par cet intermédiaire accéder à ses applications métier directement dans son navigateur. À ces arguments s’ajoutent bien sûr les potentielles économies engendrées par le passage d’un parc de machines Windows à des Chromebook ou autres ordinateurs équipés des outils logiciels de Google.
« Contrairement aux écosystèmes d’entreprise tout ou rien, la suite Google pour entreprises ne vous oblige pas à abandonner vos investissements existants au nom de la modernisation. Au contraire, elle vous offre la liberté de moderniser les différentes couches de votre infrastructure à votre rythme, en fonction des besoins de votre entreprise, tout en conservant l’accès à vos investissements technologiques existants », promet l’éditeur.
Cameyo est présentée comme la brique manquante dans l’éventail des solutions dédiées au poste client de la suite des outils maison – crédit Google
Le calendrier est sans doute propice au retour de Cameyo. D’un côté, la fin du support de Windows 10 et la politique commerciale de Microsoft autour du support étendu suscitent de nombreuses critiques. De l’autre, Google Workspace occupe déjà des positions significatives sur le marché entreprise, en se présentant très directement comme une alternative à Microsoft 365 et à la messagerie Exchange. Google a par ailleurs le champ libre pour avancer ses pions sur le marché de la virtualisation dédiée à ChromeOS, puisque le développement de Parallels Desktop pour ChromeOS a été arrêté, avec une fin de support programmée au 21 avril 2026.
Google ne communique à ce stade aucun prix public relatif à l’offre de virtualisation Cameyo.
Connexion
