Oops!... I dit it again

Depuis l’identification d’un foyer d’hantavirus sur un navire de croisière, les théories du complot se multiplient sur les réseaux. Souvent promues par le même type d’acteurs ayant poussé des thèses farfelues à l’époque du Covid, elles en reprennent aussi de nombreux gimmicks.

Elles avaient donné du fil à retordre en pleine pandémie de Covid-19. Depuis la détection de cas d’hantavirus sur le navire de croisière MV Hondius, les théories du complot sont de retour, souvent poussées par des acteurs déjà adeptes de la désinformation au moment de la pandémie.

À l’heure actuelle, 27 Français « cas contact » ont été placés à l’isolement pour une durée qui s’étendra de 14 à 42 jours. La seule Française effectivement contaminée est hospitalisée à Paris, dans un état critique. S’il n’y a pas lieu de parler d’épidémie à l’heure actuelle, en ligne, les fausses informations se multiplient : le 12 mai, Radio France relevait que huit des dix publications les plus partagées sur Facebook sur l’hantavirus avaient été publiées par des mouvances complotistes ou anti-vaccin.

Un écho du Covid

Les thèses promues, elles, se font l’écho direct de celles déjà véhiculées au moment du Covid-19. Et d’une langue à l’autre, ne serait-ce que du français à l’anglais, ces théories sont aussi les mêmes, démonstration de la circulation rapide de ces éléments de désinformation.

Parmi les propos récurrents, on trouve par exemple l’idée selon laquelle l’hantavirus se serait échappé d’un laboratoire. Celle-ci résonne avec la théorie non démontrée selon laquelle le coronavirus serait issu d’un laboratoire de Wuhan, en Chine (à l’inverse, les scientifiques tendent à s’accorder sur le fait que le virus est plus probablement issu d’animaux vendus sur le marché Huanan, épicentre de la pandémie).

Autres thèses : celle selon laquelle l’épidémie d’hantavirus aurait été « planifiée » par les laboratoires pharmaceutiques. Sur X, des internautes brandissent la collaboration initiée en 2024 entre le laboratoire Moderna et le Centre d’innovation vaccinale de Corée du Sud sur l’hantavirus comme une preuve de cette préparation.

L’explication est en réalité plus simple : l’hantavirus cause chaque année 300 à 400 cas graves et une dizaine de morts en Corée du Sud. Les travaux de Moderna ont donc été lancés pour faire face à un phénomène déjà constaté : l’activité forte de la maladie, notée par l’Organisation mondiale de la Santé, sur ce territoire.

D’autres théories suggèrent que l’hantavirus soit un effet secondaire du vaccin de Pfizer (déjà visé à l’époque du Covid) ; qu’il soit le résultat d’un complot ourdi pour obliger la population à se vacciner ou se confiner ; qu’il ait été lâché dans la nature pour réduire la population globale, etc.

Même du côté des traitements, l’ivermectine est brandie ici et là comme médicament supposé contre l’hantavirus. Déjà largement citée à l’époque du Covid-19, l’ivermectine est en réalité recommandée pour traiter la gale et certains parasites intestinaux.

Dans certains cas, les thèses prennent des accents antisémites : dans la sphère anglophone comme francophone, des internautes affirment en effet qu’en hébreu, le terme « hanta » signifierait « scam » (ce qui n’est a priori pas le cas). De cette invention jusqu’à l’accusation du rôle d’Israël dans la fabrication du virus, il n’y a qu’un pas qu’une partie des internautes franchissent allègrement, notamment sur X.

Aux États-Unis, la perspective des élections de mi-mandat

Les figures qui font circuler ces fausses informations restent, elles aussi, les mêmes. Alex Jones, cofondateur du site Infowars et complotiste d’ampleur, pousse par exemple la thèse d’une « plandémie », c’est-à-dire d’une pandémie planifiée.

Marjorie Taylor Greene, ancienne soutien de Trump et députée, reprend du service pour faire circuler sur ses réseaux de nombreuses fausses informations. Même le républicain Ron DeSantis participe : il a relancé un ancien projet de loi qui, s’il était adopté, permettrait de distribuer de l’ivermectine sans ordonnance dans son État de Floride.

Plusieurs de ces personnalités états-uniennes tentent de tracer un lien entre ces cas d’hantavirus et les élections de mi-mandat, qui se tiendront en novembre prochain. Pour les complotistes – dont beaucoup ont soutenu l’idée que la réélection de Trump avait été « volée » en 2020 –, l’hantavirus est une manière d’interférer avec les élections à venir.

En France, de même, des personnalités déjà identifiées pour leur rôle de diffuseur de désinformation participent activement à la circulation de toutes ces théories qui ne reposent pas sur des faits. Ainsi du supposé « hyperdoctor » Idriss Aberkane, de l’ancien médecin et antivaccin assumé Louis Fouché, par ailleurs fondateur du site Reinfo Covid, ou encore du microbiologiste Didier Raoult, dont l’étude sur l’hydroxychloroquine comme potentiel traitement du Covid a finalement été rétractée. Florian Philippot, Nicolas Dupont-Aignan sont aussi au nombre des politiques qui participent à donner de la visibilité à ces fausses informations.

Google reçoit un coup de main d’Apple, pour éviter d’avoir à donner aux IA concurrentes un accès à Android. Fin avril, dans le cadre du règlement sur les marchés numériques (DMA), la Commission européenne envoyait au moteur de recherche ses « conclusions préliminaires » concernant le contrôle de certains fonctions du système d’exploitation par les assistants IA. Seul Gemini est aujourd’hui en mesure d’accéder aux profondeurs d’Android — une pratique qui s’est encore renforcée avec l’annonce de Gemini Intelligence.

• L’Europe veut forcer Google à ouvrir Android tout entier aux assistants IA rivaux

Bruxelles a ouvert une consultation publique, qui s’est achevée aujourd’hui, mercredi 13 mai. Et Apple est venue au secours de Google, comme le rapporte Reuters. Les mesures proposées par l’exécutif européen « soulèvent des préoccupations urgentes et sérieuses ». La Commission veut en effet que les IA rivales bénéficient du même niveau d’accès que Gemini, ce qui leur permettrait d’envoyer des courriels, partager des photos ou lancer une action dans une app tierce.

C’est une mauvaise idée selon Apple, car cette ouverture créerait « des risques profonds pour la confidentialité, la sécurité et la sûreté des utilisateurs, ainsi que pour l’intégrité et les performances des appareils ». Ce coup de main n’a rien d’innocent : le constructeur de Cupertino pourrait en effet être obligé de faire de même sur iOS. 

Les risques posés par un accès total aux couches basses d’Android sont « particulièrement aigus dans le contexte de systèmes d’IA en évolution rapide » : leurs capacités, leurs comportements et les vecteurs de menace restent en effet « imprévisibles ». 

Cette intervention d’Apple ne manque pas de sel : une rumeur de Bloomberg indiquait que l’entreprise pourrait autoriser l’utilisation d’un autre modèle que ceux d’Apple Intelligence pour propulser les fonctions IA d’iOS 27… soit ce que demande la Commission. Mais bien sûr, si cela devait arriver, ce serait Apple qui dicterait ses conditions à la concurrence, pas un régulateur.

Le groupe s’interroge plus largement sur l’expertise technique de la Commission, qui voudrait « redesigner » un système d’exploitation. L’autorité européenne « substitue son propre jugement à celui des ingénieurs de Google sur la base de moins de trois mois de travail. C’est d’autant plus dangereux que la seule valeur qui semble guider ces projets de mesures est un accès ouvert et sans restriction. »

En octobre dernier, Apple portait plainte contre l’UE devant la Cour de justice (CJUE) au Luxembourg, sur le dossier du DMA.

• DMA : Apple intensifie son offensive en déposant plainte contre l’Union européenne

Concentration capitalistique maximale

Auditionné par la Commission sur les dépendances structurelles dans le secteur numérique, le PDG de Digital Realty Fabrice Coquio a décrit un marché français des centres de données en situation de « rattrapage » sur ses concurrents européens et qualifié le développement de l’industrie d’essentiel à la souveraineté française.

« Je ne fais pas partie de ceux qui demandent des changements, des allègements, des dérogations. » Auditionné dans le cadre de la Commission d’enquête parlementaire « sur les dépendances structurelles et les vulnérabilités systémiques dans le secteur du numérique et les risques pour l’indépendance de la France », le PDG de Digital Realty France Fabrice Coquio a notamment évoqué les divers projets de simplification réglementaire, au niveau français et européen, qui pourraient notamment alléger certaines obligations environnementales des opérateurs de centres de données.

Pour l’entrepreneur, qui rappelle avoir cofondé Interxion en 1999 et n’avoir cessé de travailler depuis dans l’industrie, « les régulations européennes vont dans le bon sens » sur les questions environnementales. « Je pense que ces enjeux sont fondamentaux. S’il faut de la simplification, c’est sur les questions administratives » notamment sur l’obtention des permis, qu’il appelle à se focaliser.

En France, le sujet a notamment été débattu en amont du vote de la loi sur la simplification de la vie économique, dont l’article 15 permet de faire de certains projets de centres de données des projets d’intérêt national majeur (PINM), ce qui revient concrètement à réduire leurs obligations. Adopté le 15 avril, le texte a été déféré au Conseil constitutionnel par une soixantaine de députés socialistes et écologistes, notamment au motif que cet article porterait atteinte à la Charte de l’environnement.

Rattrapage français

Pour autant, ces travaux n’ont pas constitué le cœur des échanges. Auprès de la rapporteure Cyrielle Chatelain (Écologiste et Social) et de la présidente de la commission Isabelle Rauch (Horizons et Indépendants), Fabrice Coquio s’est surtout employé à souligner le rôle de son entreprise et de l’industrie des centres de données au sein de l’infrastructure numérique française et mondiale. Et ce, en s’appuyant sur sa double casquette de cocréateur du principal syndicat professionnel, France Datacenter, en 2008, et sur celle de PDG d’une société française rachetée en 2020 par l’américain Digital Realty, « premier opérateur mondial » de centres de données.

Présent dans une trentaine de pays, le groupe basé à Austin compte 320 centres de données, emploie environ 5 000 personnes et affiche un chiffre d’affaires mondial de l’ordre de 6 milliards de dollars, détaille-t-il. En France, les 400 employés de sa filière hexagonale gèrent 17 centres de données, dont 13 en région parisienne et 4 à Marseille.

Ceux-ci lui permettent de générer « un plus de 500 millions d’euros » de chiffres d’affaires, et de payer « près de quatre millions d’euros par an d’impôt sur les sociétés et 7,5 à 8 millions d’euros par an de contribution à la fiscalité locale sur les trois derniers exercices », montant qui devrait grimper « autour des 9 millions d’euros » en 2026.

Fabrice Coquio multiplie les chiffres pour illustrer son « ancrage industriel profond » et la stratégie « de présence durable dans le pays » qu’ont adopté Interxion puis Digital Realty : « En vingt ans, nous avons investi 2,5 milliards d’euros sur le territoire national ». D’ici 2030, comme annoncé lors du sommet Choose France 2025, l’entreprise s’est fixée un « objectif de 5,2 milliards complémentaires », soit le double de ses investissements historiques, sur les « quatre à cinq prochaines années ».

Le secteur français, explique Fabrice Coquio, est en situation de rattrapage. « Nous avons longtemps accusé un retard sur les Pays-bas, l’Allemagne, le Royaume-Uni en termes de puissance installée. » La puissance installée dans le pays vient ainsi « de dépasser celle des Pays-Bas, qui compte un quart de la population et un quart de notre PIB ». Or, en termes de « souveraineté et de résilience », le pays doit compter ses propres centres de données, estime le chef d’entreprise : il s’agit d’infrastructures « stratégiques ».

• Ophélie Coelho : « L’Europe n’a aucun intérêt à reproduire le modèle technologique américain »

En termes électriques, il précise par ailleurs que Digital Realty compte un peu plus de 200 mégawatts IT installés à Paris et un peu plus de 50 à Marseille. Du point de vue du raccordement au réseau, cela revient à « 400 à 450 MW raccordés ». À terme, l’entreprise prévoit d’atteindre 420 mégawatts IT en région parisienne, et 100 MW du côté de Marseille.

Industrie hautement capitalistique

L’accélération des investissements de Digital Realty traduit par ailleurs l’effervescence de la période autant que la particularité de la gestion des centres de données : « c’est un métier à haute concentration capitalistique » explique-t-il, en citant l’exemple du projet de centre de données de Dugny. Sur place, 2 milliards d’euros seront investis sur « moins de 10 hectares ».

Si les larges investissements sont nécessaires à la fabrication des bâtiments comme de l’architecture technique nécessaire à l’accueil et au refroidissement des serveurs et autres calculateurs, l’industrie des centres de données ne crée pas énormément d’emplois directs, reconnaît l’entrepreneur. Il cite néanmoins les 1 500 emplois indirects « dédiés par nos sous-traitants à faire tourner nos centres de données 24 heures sur 24 », et surtout, sans les chiffrer, les emplois créés et occupés chez les multiples clients, publics, privés, ONG, nationaux ou internationaux qui recourent aux usines de données de Digital Realty.

D’après Fabrice Coquio, le besoin d’investissements élevés justifie aussi le rapprochement opéré entre Interxion et sa maison-mère en 2020. À l’époque, l’une comme l’autre étaient cotées au New York Stock Exchange. En Europe, en revanche, « même Londres n’avait pas l’écosystème nécessaire pour ce type de financement ». Le rapprochement avec les États-Unis a donc permis d’obtenir de nouveaux flux financiers, mais le dirigeant insiste : « Je suis français, Digital Realty France opère sous des règles françaises, ça s’arrête là ».

Interrogé sur les différents impacts sociaux et environnementaux des centres de données, Fabrice Coquio balaie la question du foncier : à Marseille, « nos clients ont créé le 6e hub mondial de circulation de données en consommant 2,5 hectares » (plus tôt, il soulignait que la France compte deux hubs internationaux parmi les plus importants pour la circulation de données : Marseille, qui donne accès à l’axe Francfort – Londres – Amsterdam – Paris, et la capitale elle-même). Par ailleurs, son modèle d’affaires lui permet de porter son choix sur « des friches », et d’en assumer « les coûts de dépollution ».

Sur l’électricité, il rappelle la situation de surproduction française, tout en admettant que certains cas peuvent créer des « goulots d’étranglement sur des zones de distribution » — ce qui peut expliquer le projet de moratoire évoqué un temps à Marseille, puis abandonné. Si le problème est réel, il est aussi présent partout : « de la Grèce au Portugal », l’entrepreneur déclare rencontrer le même type d’enjeux.

Sur le recours à l’eau, il évoque deux cas spécifiques. En région parisienne, en cas de « surutilisation des aérocondenseurs » pour refroidir les serveurs, « lorsque la météo dépasse les 31 à 32 °C », l’opérateur a l’autorisation de recourir à de la pulvérisation dans l’un de ses centres pour éviter de dépasser un seuil sonore de 71 décibels – une piste qui le conduit en moyenne à consommer 20 000 mètres cubes d’eau par an, « soit l’équivalent de la consommation de 350 français ». À Marseille, Interxion a racheté en 2011 un bâtiment construit sur un système de tours réfrigérées, qui consomme de l’ordre de « 56 000 mètres cubes d’eau par an, soit l’équivalent de 1 000 français ».

Lorsque l’entreprise construit ses propres centres, en revanche, elle ne recourt pas à ce type de technologie, déclare son patron. Un troisième cas, soutenu notamment par l’ADEME, a consisté à créer une station de pompage d’un bras d’eau qui part des mines de Gardantes vers le port. Ce système a permis à la société d’avoir « les bâtiments les plus efficients d’Europe », affirme Fabrice Coquio, « puis l’essentiel du temps, on n’a pas besoin d’électricité pour refroidir ».

Il est toujours bon d'avoir un fusible

Le responsable de la filiale israélienne de Microsoft va quitter son poste après des révélations sorties l’année dernière sur l’accord entre l’unité 8200, agence de surveillance israélienne, et l’entreprise. Celui-ci a permis à Israël de mettre en place une surveillance numérique globale de la Cisjordanie et de Gaza.

Le directeur général de Microsoft Israël depuis 2022, Alon Haimovich, va quitter son poste. Selon le média israélien Globes, la filiale du géant étatsunien a annoncé son départ la semaine dernière.

Cette annonce fait suite au scandale déclenché par la révélation de la publication israélo-palestinienne + 972 Magazine, du magazine hébreu Local Call et du Guardian à propos d’un accord qui a permis le stockage de 11 500 To de données sur un cloud Azure créé en fonction des besoins spécifiques de l’armée israélienne qui voulait « tracer tout le monde, tout le temps ». C’était un vaste projet de surveillance de la population cisjordanienne étendu ensuite à Gaza et qui stockait et scannait leurs messages et appels.

Quelques jours après, des employés de Microsoft ont manifesté au siège américain de l’entreprise et certains, regroupé sous le nom No Azure for Apartheid appelaient leurs collègues « partout dans le monde » à « prendre la parole, quitter le travail, manifester et faire grève ». Deux membres de ce groupe ont ensuite été licenciés par Microsoft qui les accuse de l’effraction de bureaux lors de ces manifestations.

En parallèle, l’entreprise a annoncé avoir lancé un nouvel audit sur le recours de l’armée israélienne à Azure. Quelques semaines après, Microsoft a décidé de suspendre l’accès de ses services Azure à l’unité 8200, l’agence de surveillance israélienne qui utilisait le système pour la surveillance des palestiniens, en indiquant qu’elle avait enfreint ses conditions d’utilisation, qui interdisent l’utilisation de sa technologie pour faciliter la surveillance de masse.

Une pression publique qui a pesé sur le dos de Microsoft

Mais la pression publique sur Microsoft à propos de ce sujet n’est pas retombée complètement suite à cette décision. Selon Globes, la question a été abordée lors de l’assemblée générale annuelle des actionnaires en décembre dernier et des ONG comme Amnesty International et des militants européens ont continué à pointer le fait que des serveurs Azure situés en Europe avaient été utilisés par l’armée israélienne. Le fonds souverain Norvégien qui possède des actions dans Microsoft aurait aussi poussé à la publication d’un rapport sur « les risques liés à l’exercice de ses activités dans des pays où les violations des droits humains suscitent de vives inquiétudes » sans citer nommément Israël.

L’enquête initiale de nos confrères pointait aussi la relation entre le directeur exécutif de Microsoft Satya Nadella et le commandant de l’unité 8200 Yossi Sariel. Mais c’est donc finalement Alon Haimovich, directeur général de Microsoft Israël, qui quitte ses fonctions.

Le transfert des responsabilités de Microsoft Israël sur Microsoft France démenti

Ce départ sera effectif le 31 mai prochain, confirme l’entreprise dans un communiqué de presse qui n’évoque ni les révélations ni l’audit. Au contraire, Microsoft encense le responsable sous la responsabilité duquel « Microsoft Israël est devenu l’un des trois pays affichant la croissance la plus rapide au sein de son groupe de pays de référence au sein de l’entreprise, a franchi plusieurs étapes marquantes et a impulsé une transition vers le leadership en matière d’IA de pointe », soutient le communiqué.

Selon Globes, la direction mondiale de Microsoft aurait décidé de ne pas nommer de remplaçant à Alon Haimovich pour l’instant et la gestion de Microsoft Israël serait reprise par Microsoft France. Contactée par Next, celle-ci dément. De son côté, le communiqué de Microsoft publié sur le site de la région Europe, Moyen-Orient et Afrique affirme seulement que « Microsoft annoncera le successeur d’Alon en temps voulu ».

Des géants états-uniens qui travaillent avec le ministère de la Défense israélien, Microsoft est le seul à ne pas avoir signé de clause spéciale pour passer outre le contrôle d’autres États, contrairement à Google et Amazon, ce qui leur a permis d’obtenir en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Selon des sources de Globes, Alon Haimovich a été nommé au poste de DG de Microsoft Israël pour essayer de conserver les contrats de Microsoft avec Israël comme ceux concernant les licences Office et Windows, malgré cela.

Babyphone de Troie

Un Français a découvert début mars que le fournisseur chinois qui équipe des dizaines de modèles de caméras IP et babyphones vendus sur Amazon, Fnac, Cdiscount ou en marque blanche chez les opérateurs mobiles disposait d’un accès direct aux images de centaines de milliers d’appareils, au travers d’une infrastructure ouverte aux quatre vents. Deux mois plus tard, il publie l’ensemble de ses découvertes, qui dressent un tableau particulièrement inquiétant, et laissent supposer une utilisation à grande échelle des alertes émises par les caméras en question.

Quel meilleur cheval de Troie qu’un appareil dédié à la sécurité ? Le Français Sammy Azdoufal, développeur qui se présente comme spécialiste IA, a découvert début mars que plusieurs centaines de références de caméras IP, babyphones et autres accessoires dédiés à la surveillance domestique étaient susceptibles de présenter des failles béantes exposant les images capturées, et donc l’intimité des foyers concernés. En cause ? Une entreprise chinoise baptisée Meari, qui vend ses produits ou ses services principalement en marque blanche à des tiers.

Ces derniers distribuent ensuite les produits finaux concernés soit sous leurs propres couleurs, au travers notamment des places de marché de grands noms tels que Amazon, Fnac, Darty ou Cdiscount, mais aussi chez les opérateurs téléphoniques ou les acteurs de la télésurveillance, en marque blanche, à l’image du brésilien Intelbras.

Au total, le développeur affirme, liste à l’appui, avoir pu établir un lien direct entre Meari et 378 références distinctes de caméras, distribuées dans au moins 15 pays. Surtout, il explique à Next avoir pu directement compter plus de 1,1 million d’appareils vulnérables se connecter, en clair, aux serveurs de Meari, sur une simple période de 24 heures. « Si j’avais laissé tourner mon script une semaine, le volume d’appareils aurait sans doute été bien plus conséquent », estime-t-il.

Deux mois après sa découverte initiale, l’équipementier chinois est censé avoir sécurisé son backend, mais de nombreux comportements problématiques subsistent. « Disons que si j’avais un enfant, je n’achèterais pas une caméra équipée par Meari », résume Sammy Azdoufal.

Le précédent DJI

Si son nom vous dit quelque chose, c’est peut-être parce que l’intéressé n’en est pas à son coup d’essai. Mi-février, le développeur a eu les honneurs de la presse mondiale : il révèle avoir découvert de façon fortuite une faille de sécurité majeure affectant des milliers de robots aspirateurs DJI, alors qu’il bidouillait le sien pour voir s’il était possible de le commander à distance avec une manette de PS5.

Via cette porte dérobée, il devient en mesure de prendre le contrôle d’un robot aspirateur de son choix et donc d’accéder aux images que transmet le robot, simplement à l’aide de son numéro de série. Reproduite et racontée dans le détail par The Verge, sa découverte aboutit sur une conclusion effrayante : la prise de contrôle est possible parce que les robots de la marque communiquent en clair avec les serveurs MQTT de DJI, et que l’accès à ces derniers n’est pas dûment sécurisé.

Le 6 mars dernier, DJI a confirmé un problème de sécurité. Le constructeur a alors annoncé avoir corrigé une vulnérabilité au niveau de son infrastructure et évoqué, sans les nommer, la contribution de deux chercheurs indépendants. Sammy Azdoufal a de son côté indiqué avoir reçu la promesse d’un virement de 30 000 dollars dans le cadre du programme bug bounty de la marque.

Une application Android un peu trop bavarde

Ses travaux relatifs à Meari partent eux aussi d’une découverte fortuite, survenue le 2 mars dernier, avant même le dénouement de l’affaire DJI. « Je parlais de cette histoire d’aspirateur avec une collègue, elle m’explique qu’elle a acheté un babyphone sur Amazon, et se demande si c’est sûr de l’utiliser pour sa fille », nous raconte Sammy Azdoufal, contacté début mars. L’appareil fait partie des références premier prix vendues sur la plateforme.

Il ne dispose pas d’un environnement logiciel à ses couleurs mais fait appel à Cloudedge, une application « hub » dédiée aux objets connectés. En étudiant le code de l’application, le développeur découvre « plein de choses qui ne vont pas », dont des routes en clair vers des brokers MQTT : « J’essaie de me connecter pour voir, et là ça fonctionne ».

Avant d’aller plus loin, un petit point de vocabulaire s’impose peut-être. Dans le monde de l’Internet des objets (IoT), MQTT est un protocole de messagerie en étoile, qui sous-tend les échanges entre un serveur central (le broker MQTT dont il est question ici), et deux acteurs dont les rôles peuvent permuter : l’expéditeur (par exemple la caméra IP) et le destinataire (l’application mobile utilisée par son propriétaire). Quand votre caméra IP détecte un mouvement, elle envoie une alerte au broker MQTT, qui la relaie ensuite vers l’application mobile installée sur votre téléphone.

Dans le cas de l’application CloudEdge, nous avons pu vérifier début mars les affirmations de Sammy Azdoufal sur la base du client Android distribué via Google Play, et tout particulièrement la présence, en clair dans le code, d’une URL pointant vers la console d’administration du backend de Meari.

Le développeur pousse son investigation plus avant. « Après quelques tests, je me rends compte qu’ils ont laissé le mot de passe par défaut ». Une fois passée cette porte béante, « je réalise qu’il n’y a pas de vérification de la propriété par appareil, en m’abonnant à un broker je peux donc voir tout le monde ».

Dit autrement, une fois connecté au serveur, il est en mesure d’en observer l’activité, et par exemple d’y brancher le script grâce auquel il affirme avoir comptabilisé plus d’un million d’appareils connectés et donc vulnérables. Il indique également avoir pu accéder au CMS (l’outil de gestion du site Web) de Meari, utilisé notamment par les clients de l’entreprise pour gérer leurs propres flottes d’appareils ou leurs propres applications en marque blanche.

Plusieurs acteurs et producteurs hollywoodiens se sont réunis pour soutenir un nouveau projet de licence dédié à l’intelligence artificielle, le Human Consent Standard.

Ce dernier est porté par RSL Media, une ONG cofondée en 2025 par l’actrice Cate Blanchett pour travailler sur les manières de donner aux artistes la maîtrise de l’usage de leur image et de leur identité par des systèmes d’IA, et déjà à l’origine du protocole Really Simple Licensing (RSL).

Standard ouvert, ce dernier permet aux éditeurs d’appliquer des règles de licence et de paiement aux robots qui accèdent à leurs sites web.

Le Human Consent Standard vient approfondir ce travail en fournissant aux machines une page robots.txt. Au lieu d’informer les machines sur quelles url elles peuvent scraper et dans quelles conditions, le Human Consent Standard doit leur donner des instructions sur les possibilités de récupérer ou non le « travail, l’identité, les personnages ou la marque concernée, quel que soit l’espace numérique ou ceux-ci apparaissent », explique le cofondateur de RSL Media Eckart Walter à The Verge.

• IA : Deux plateformes mises en demeure de supprimer le clonage de voix de doubleurs français

À partir du mois de juin, RSL Media publiera une base de données dans laquelle les utilisateurs pourront vérifier leur identité et paramétrer les permissions qu’ils souhaitent céder aux modèles d’IA en termes de recours à leur image et à leurs travaux.

Le projet est soutenu par de multiples personnalités du cinéma, dont George Clooney, Tom Hanks, Kristen Stewart, Steven Soderbergh ou Meryl Streep.

Il vient s’ajouter à des initiatives plus individuelles, comme celle de l’acteur Matthew McConaughey, qui a breveté des vidéos de son image, ou de Taylor Swift, qui a déposé une image et deux extraits de sa voix.

• Taylor Swift dépose sa voix et son image comme marques pour contrer les clones IA

Errare microsoftum est

Microsoft prépare la mise en place d’une fonction intégrée à Windows Update capable de procéder à la récupération d’un pilote matériel si celui-ci n’offre pas le niveau de performances attendu. Cette récupération « initiée par le cloud » pourrait être déployée d’ici le mois de septembre.

S’il est indéniable que le processus des mises à jour de Windows 11 a souffert de quelques problèmes de contrôle qualité ces derniers mois, il faut reconnaître que les dysfonctionnements qui surviennent parfois lors d’une mise à jour ne sont pas toujours à mettre au crédit de Microsoft. Il n’est en effet pas rare que des problèmes de performance ou des plantages soient dus à la mise à jour d’un pilote matériel, dont la nouvelle version crée par exemple un conflit inédit sur la machine hôte.

On arguera légitimement que c’est précisément le rôle du contrôle qualité que d’éviter ces problèmes, mais nul n’étant infaillible, Microsoft vient d’annoncer la mise en place prochaine d’un dispositif automatisé de « récupération » de pilotes (recovery, soit une restauration vers une version fonctionnelle), initiée depuis ses serveurs, en cas de problème identifié pendant la phase de distribution d’une mise à jour.

Un retour à meilleure fortune déclenché à distance

Microsoft rappelle le fonctionnement du circuit de distribution actuel :

« Aujourd’hui, lorsqu’un pilote publié via Windows Update présente des problèmes de qualité après sa distribution, la solution repose soit sur le fournisseur de matériel qui soumet un pilote mis à jour, soit sur l’utilisateur final qui désinstalle manuellement le pilote problématique. Il en résulte un risque que des appareils restent avec un pilote de mauvaise qualité pendant une période prolongée ».

Le nouveau système vise à accélérer la réponse en cas de problème, et surtout à la rendre transparente pour l’utilisateur final.

« Grâce à la récupération de pilotes initiée par le cloud, Microsoft peut désormais déclencher une action de récupération directement depuis le centre de développement matériel et restaurer un pilote problématique à une version fonctionnelle antérieure via le pipeline Windows Update. Cette opération s’effectue par des mises à jour coordonnées de la pile de pilotes PnP [plug and play]et des services de déploiement et de publication des pilotes. »

Blocage préventif

Initiée par Microsoft, la récupération se fait donc soit sur la dernière version fonctionnelle, soit sur la meilleure alternative générique connue. Sur le papier, la réponse est élégante, mais son efficacité réelle va dépendre de la capacité de l’éditeur à détecter suffisamment tôt qu’un pilote dont le déploiement a été approuvé pose finalement des problèmes. C’est d’ailleurs tout l’objet du processus de déploiement progressif des pilotes et de ses différentes étapes de validation.

Microsoft explique par ailleurs introduire une protection supplémentaire au niveau de ce dispositif, avec la création d’une liste de blocage préventif des binaires ayant déjà posé des problèmes de fiabilité. « À l’avenir, si une soumission de signature contient un fichier figurant sur la liste de blocage de publication, elle sera rejetée avant la signature du pilote. Les partenaires recevront un message d’erreur identifiant le fichier problématique afin qu’ils puissent prendre les mesures correctives nécessaires », décrit l’éditeur.

La liste de blocage est censée entrer en vigueur courant mai 2026. La fonction de récupération de pilotes va quant à elle faire l’objet de tests entre mai et août, avant un déploiement programmé pour septembre 2026.

Rappelons que la fiabilité des pilotes sur Windows 11 est un sujet au long cours pour Microsoft. Il a notamment motivé le renforcement des conditions de validation WHCP (Windows Hardware Compatibility Program), un ménage dans les anciens pilotes, ainsi qu’une bascule encouragée (mais pas évidente) vers des pilotes écrits en Rust.

La course au token

Des salariés d’Amazon utilisent un outil maison équivalent à OpenClaw pour brûler des tokens et générer artificiellement de l’activité IA pour éviter de mauvaises évaluations. Ce phénomène du « tokenmaxxing » n’est pas propre à Amazon.

Les entreprises qui investissent lourdement dans l’IA générative poussent leurs employés à utiliser cette technologie au quotidien, ne serait-ce que pour justifier les sommes ahurissantes mises sur la table pour développer des modèles et faire pousser les centres de données. Amazon en fait partie : le géant du commerce en ligne a ainsi annoncé 200 milliards de dépenses d’investissement (capex) pour 2026 : il faut prouver que tout cet argent sert à quelque chose et les salariés sont mis à contribution.

• Dopés par l’IA, les géants du cloud projettent 700 milliards $ d’investissements en 2026

Amazon a lancé il y a quelques semaines un nouvel outil interne, MeshClaw, qui fonctionne sur le même principe qu’OpenClaw. Il permet de déployer des agents IA pour accomplir des tâches au nom de l’utilisateur : MeshClaw peut ainsi trier des courriels, interagir dans la messagerie Slack, déployer du code, surveiller des apps ou encore exécuter des tâches répétitives.

Le Financial Times rapporte que certains salariés d’Amazon font tourner MeshClaw non pas parce qu’ils en ont besoin, mais pour générer artificiellement de l’activité IA et améliorer leurs statistiques.

Si les stats d’utilisation de tokens IA ne sont pas censées servir à l’évaluation des performances des salariés d’Amazon, plusieurs d’entre eux ressentent une pression très forte pour les intégrer dans leur travail. L’entreprise a fixé des objectifs ambitieux : dépasser le seuil des 80 % de développeurs utilisant l’IA chaque semaine. La direction aurait aussi commencé à suivre la consommation de tokens dans des classements internes.

« Les managers regardent ces chiffres », affirme un employé sous le sceau de l’anonymat. « À partir du moment où l’usage est surveillé, ça crée des effets pervers et certaines personnes deviennent très compétitives là-dessus. » À cela s’ajoutent des craintes concernant l’autonomie assez large donnée aux agents MeshClaw, qui a accès à des outils internes sensibles. Ce qui ouvre la porte à des erreurs pouvant provoquer de sérieux incidents.

• Pannes chez AWS dues à son agent IA : Amazon se défausse sur ses employés

Le nouveau Graal de la Silicon Valley

Ce phénomène du « tokenmaxing » n’est pas circonscrit à Amazon. De nombreuses entreprises ont des objectifs d’usage de l’IA, ce qui peut déboucher sur des abus. Un tableau de bord interne chez Meta attribuait des statuts (« Token Legend ») aux employés qui consommaient le plus de tokens. Ce classement, développé par un employé sans l’aval du groupe, a été retiré depuis… même s’il existe un tableau de bord officiel qui suit l’usage de l’IA au global (pas uniquement la consommation de tokens).

Une étude réalisée par Jellyfish publiée le mois dernier remettait en cause cette idée très répandue dans la Silicon Valley (et ailleurs) que les gains de productivité sont liés à la consommation de tokens IA. Les auteurs ont analysé les usages de 12 000 développeurs répartis dans 200 entreprises au premier trimestre 2026.

Le premier enseignement, c’est qu’il existe une grande disparité dans la consommation de tokens : un développeur « médian » utilise environ 51 millions de tokens par mois, quand les 10 % des plus gros consommateurs dépassent les 380 millions de tokens mensuels. Une consommation massive qui coûte très cher, environ 52 dollars par mois pour un utilisateur moyen selon les tarifs de l’API Claude, mais près de 700 dollars par mois pour les plus gros utilisateurs.

C’est le rapport coût/productivité qui est le plus intéressant ici. Les développeurs qui consomment énormément de tokens produisent effectivement davantage de code, et même s’il est correct, il nécessite davantage de travail : plus d’allers-retours, plus de supervision humaine, plus de corrections, et au bout du compte plus d’abandon de code. Tout cela fait grimper la facture bien plus vite que la productivité gagnée.

Les auteurs de l’étude estiment que les 20 % des développeurs les plus économes en tokens génèrent en moyenne 11 modifications de code validées et intégrées aux projets (pull request fusionnées) pour 3 dollars de tokens sur un trimestre. Les 20 % des plus gros consommateurs en comptabilisent en moyenne 23, mais la facture est de 1 822 dollars.

Consommer plus de tokens permet effectivement de produire davantage, mais le coût unitaire se révèle bien plus élevé. L’étude dresse une comparaison intéressante : les tokens ressemblent à du carburant de fusée. On peut aller plus vite mais chaque gain supplémentaire nécessite énormément plus de ressources. Dans ces conditions, un usage modéré et raisonnable de l’IA semble bien plus indiqué que de forcer une consommation poussée à l’extrême.

• #Nextquick : Pourquoi et comment Opus 4.7 crame ses tokens beaucoup plus vite qu’Opus 4.6

Google n’attend pas l’ouverture de son événement I/O la semaine prochaine pour lever le voile sur un gros paquet de nouveautés qui, sans trop de surprise, tournent beaucoup autour de l’intelligence artificielle. Mais il y a tout de même quelque chose de nouveau (et d’inattendu) du côté du matériel.

Pour fêter les 15 ans du Chromebook, Google a décidé de… tuer le Chromebook. À l’occasion de l’Android Show, le moteur de recherche a en effet dévoilé le Googlebook, un nouvel ordinateur portable qui consacre la fusion entre Android et ChromeOS — c’est le fameux système d’exploitation unifié Aluminium OS, sur lequel Google planche depuis des années.

L’entreprise donne très peu de détail sur le matériel en lui-même, si ce n’est que les ordinateurs seront conçus « avec des matériaux haut de gamme et un soin particulier ». Ils porteront tous une barre lumineuse « glowbar » sur le capot, histoire de faire joli. En revanche, Google en dit un peu plus sur le logiciel et l’IA intégrée.

Le Googlebook est un ordinateur taillé pour Gemini, et même pour « Gemini Intelligence ». C’est le nom donné par le moteur de recherche aux fonctions d’IA basées principalement sur les agents. Les smartphones Android y auront droit (on s’en reparle très vite), mais le Googlebook est le premier appareil à avoir été imaginé spécifiquement pour ces fonctionnalités IA.

L’équipe de Google Deepmind a ainsi été mise à contribution pour développer le Magic Pointer : en secouant le curseur à l’écran, on activera un menu contextuel contenant des suggestions IA. En visant une date présente dans un courriel, le curseur magique va proposer de l’ajouter dans l’agenda. Ce même curseur proposera aussi de combiner deux images après leur sélection.

On verra à l’usage s’il s’agit d’un outil vraiment utile ou d’un Clippy dopé à l’IA encore plus pénible que l’original. Le système d’exploitation du Googlebook — qui ne porte pas de nom pour l’instant — proposera de créer des widgets personnalisées en le demandant dans une fenêtre texte.

L’OS du Googlebook reposant en partie sur des technologies Android, il communique de manière transparente avec un smartphone Android. Les apps du téléphone s’ouvrent sur le portable quand on n’a pas le temps de le dégainer ; voilà qui n’a rien de franchement original. Microsoft, Samsung et Apple n’ont pas attendu Google pour développer des solutions similaires.

Plusieurs constructeurs sont sur les rangs pour fabriquer des Googlebook : Acer, Asus, Dell, HP et Lenovo. Les premiers modèles devraient être commercialisés cet automne. Aucun prix n’a été avancé, ce qui est probablement plus prudent vu la situation des composants mémoire actuellement.

Gemini Intelligence met de l’IA partout

La grande affaire du jour, c’est surtout Gemini Intelligence, qui fera son apparition sur les smartphones Samsung et les modèles Pixel les plus récents cet été, probablement dans les bagages d’Android 17. Il s’agit d’imposer les agents au quotidien. Google vante ainsi la capacité de Gemini d’effectuer des tâches complexes dans les apps, avec ou sans données contextuelles comme une photo ou une capture d’écran.

 

L’entreprise donne l’exemple d’une liste de courses dans l’app Notes. Un appui prolongé sur la bouton d’allumage du smartphone sur cette liste lancera Gemini qui remplira un panier dans une app de livraison d’épicerie. Autre exemple : en prenant la photo d’une brochure de voyage, l’utilisateur pourra demander à Gemini de créer une excursion similaire dans Expedia. L’assistant fera connaitre où il en est de ses élucubrations via des notifications. Et bien sûr, il vous reviendra de valider une commande (ouf).

Après avoir fourré Gemini dans tous les coins de la version de bureau de Chrome, le tour de Chrome mobile est arrivé. À partir de la fin juin, l’assistant niché en haut à droite de la barre de menu pourra rechercher, résumer et comparer du contenu en ligne. Le navigateur pourra également puiser des informations dans d’autres applications. Ces nouveautés seront proposées sur tous les smartphones sous Android 12 et au-delà, aux États-Unis pour commencer.

Le remplissage automatique des formulaires est une fonction discrète mais qui a certainement contribué à faire progresser l’humanité d’un pas de géant (j’exagère à peine). Gemini pourra piocher dans les informations personnelles de l’utilisateur pour remplir encore plus de ces petits formulaires mal adaptés aux écrans mobiles.

Une nouvelle interface verra le jour spécialement pour Gemini Intelligence, basée sur le langage de design Material 3 Expressive. Elle est pensée pour réduire les distractions et mettre en avant les informations qui comptent.

Quelques nouveautés pour Android aussi

Gemini Intelligence est une chose, et il est très clair que Google est très loin d’en avoir terminé avec ce bouquet de fonctions IA. Mais il y a aussi Android tout court. Plusieurs nouveautés ont été présentées hier, à commencer par Pause Point qui limite l’usage compulsif des apps addictives — il faudra au préalable l’activer dans les réglages.

Au lancement d’une application, Android pourra imposer une pause de 10 secondes pour inciter l’utilisateur à se demander s’il veut vraiment doomscroller pendant des heures. Durant ce laps de temps, la fonction propose de faire un exercice de respiration, définir une limite de temps ou se tourner vers une activité moins chronophage comme lire un livre (ce qui peut être tout aussi addictif). Désactiver Pause Point nécessitera de redémarrer le smartphone, une contrainte qui poussera certains à la laisser active.

La fonction Quick Share de partage instantané de document s’est récemment enrichie du support d’AirDrop, une technologie jusqu’à présent réservée aux appareils Apple. Disponible sur les appareils Pixel depuis novembre dernier, elle s’est ouvert aux modèles de Samsung. Dans le courant de l’année, elle sera aussi disponible sur des modèles de Vivo, Xiaomi, Oppo, OnePlus et Honor. Et sur les téléphones qui ne sont pas compatibles, Quick Share proposera un code QR pour partager du contenu avec les appareils iOS depuis le nuage.

Google et Apple continuent leur travail commun pour faciliter la migration entre Android et iPhone, et inversement. Le processus de transfert de données entre smartphones ajoute celui de l’eSIM, ce qui sera bien pratique, et pourra fonctionner sans fil. Ce changement sera disponible sur les Pixel et les Galaxy de Samsung.

IAterrupting

Avec TLM-Interaction-Small, Thinking Machines Lab affirme créer un nouveau type de modèle d’intelligence artificielle, plus interactif que les outils génératifs les plus connus.

Fondée par Mira Murati, l’ancienne directrice technique d’OpenAI, Thinking Machines Lab annonce vouloir créer un nouveau type de modèles d’intelligence artificielle, qu’elle qualifie de « modèles interactifs ». 



Dans un article de blog publié ce 11 mai, la société présente plusieurs cas d’usage de son modèle de travail, nommé TLM-Interaction-Small. Elle affirme vouloir rendre les échanges avec la machine plus vivants, plus proches de ceux constatés lors d’une conversation entre deux humains, que ce qu’il est pour le moment possible d’obtenir avec des modèles génératifs.

0,40 seconde de latence en « full duplex »

Créé en février 2025, Thinking Machines Lab levait 2 milliards de dollars dès le mois de juin pour s’atteler à ses projets d’intelligence artificielle. Depuis, la start-up a dû composer avec des départs notables, plusieurs de ses salariés ayant été recrutés par Meta le mois dernier. Début 2026, trois autres étaient retournés chez OpenAI.

• Chez Meta, la valse des équipes dédiées à l’IA continue

Ces allers-retours ne semblent pas l’avoir empêché d’avancer sur ses modèles d’un nouveau genre. D’un point de vue technique, la société a nommé « full duplex » le mode de conversation qu’elle propose avec son modèle. Lorsqu’il est activé, TLM-Interaction-Small semble capable de répondre et de participer à une discussion avec plusieurs interlocuteurs, grâce à un temps de réponse de 0,40 seconde, ce qui se rapproche du rythme naturel de conversation humaine.

C’est aussi nettement plus rapide que le temps de latence des modèles génératifs grand public. Tant qu’ils calculent la réponse à donner à un prompt, ces derniers sont totalement coupés de l’internaute et de l’environnement dans lequel ils ont été lancés, indique la start-up. Avec ses modèles interactifs, c’est ce « goulet d’étranglement de la collaboration » qu’elle cherche à dépasser.

Parmi les cas concrets présentés par Thinking Machines Lab, son modèle propose de la traduction instantanée – de l’hindi vers l’anglais, par exemple, mais aussi en termes de style, d’un mode oratoire relâché, voire agressif, à un type de discours plus adapté au monde de l’entreprise. Interrogé par des utilisateurs, le modèle est par ailleurs capable de lancer une recherche en pleine discussion, voire d’en agencer les résultats sous forme de graphique si demandé.

Le modèle est aussi montré réagissant aux éléments de contexte visuels obtenus via une caméra, que ce soit pour alerter l’internaute s’il ou elle se voute devant son écran, ou le rappeler à l’ordre s’il semble faillir à son envie de caféine ou de sucre.

Un juste milieu entre IA générative et World Model ?

Globalement, le modèle interactif proposé par Thinking Machines Lab semble surtout être un modèle génératif capable de couper la parole, ironise TechCrunch. Impossible de le tester plus avant pour le moment : l’entreprise indique qu’elle publiera une « préversion de recherche » dans les « prochains mois », et vise une « sortie plus large plus tard dans l’année ».

Il faut encore attendre, donc, pour voir si le produit fini remplit les attentes fixées, notamment, par les bons résultats affichés aux différents benchmarks sur lesquels TLM-Interaction-Small a été testé.

Le système de Thinking Machines Lab semble offrir ce que les modèles génératifs déjà connus permettent déjà, mais il est plus orienté vers l’interaction avec le monde hors ligne qu’un ChatGPT ou un Midjourney.

C’est un entre-deux entre les modèles d’IA classiques et ce que veut proposer AMI Labs, la start-up co-fondée par Yann LeCun, l’ancien directeur scientifique de Meta, Laurent Solly l’ex-directeur de Meta France et Alexandre Lebrun, fondateur de la start-up de santé Nabla. L’ambition de la jeune pousse parisienne est de construire des modèles qui « comprennent le monde réel, le monde physique », en leur donnant des « modèles du monde ».

• Le WorldModel : comment Yann LeCun et son équipe veulent révolutionner l’IA

Les travaux de Thinking Machines Lab dessinent une nouvelle perspective dans la manière dont les sociétés occidentales envisagent l’intelligence artificielle, au-delà de l’accumulation de données pour améliorer les résultats.

• Dans l’IA, la Chine bouscule son monde avec sa stratégie open source

OpenAI ne veut pas se laisser distancer par Anthropic sur le terrain de la cybersécurité. Avec Daybreak, le créateur de ChatGPT a lancé sa réponse à Mythos : l’idée est la même dans les deux cas (équiper les défenseurs d’un outil IA de chasse aux bugs), mais la pratique diffère.

Daybreak est la réplique d’OpenAI au Mythos d’Anthropic. Ce dernier a fait grand bruit le mois dernier : il serait si puissant que son créateur a décidé d’en limiter la diffusion à une quarantaine d’organisations et d’entreprises au travers du projet Glasswing. Un déploiement à la discrétion d’Anthropic : l’Union européenne est toujours exclue du club.

OpenAI prend un autre chemin avec Daybreak. Cette nouvelle initiative a pour objectif d’« accélérer le travail des défenseurs et sécuriser les logiciels en continu ». Là où Mythos est un modèle de langage, Daybreak est davantage une plateforme regroupant plusieurs services. Il combine Codex Security avec différents modèles : GPT-5.5, GPT-5.5 avec Trusted Access for Cyber (TAC) et GPT-5.5-Cyber.

Codex Security (anciennement Aardvark⁠) a été lancé début mars. Cet « agent de sécurité » est chargé d’identifier, de valider et de corriger des vulnérabilités dans le code. Il s’appuie par défaut sur GPT-5.5, mais on peut utiliser le modèle TAC dédié à la cybersécurité, accessible via un programme d’accès de confiance. Le dernier palier, GPT-5.5-Cyber, dévoilé le 7 mai, se présente comme le plus puissant du lot.

Les organisations intéressées peuvent demander un « scan de vulnérabilité » afin d’identifier les problèmes de sécurité présents dans le code de leurs infrastructures informatiques. Il s’agit certes d’un simple formulaire, mais il existe au moins une procédure standardisée pour faire partie du programme, alors que l’extension du projet Glasswing est laissée aux bons soins d’Anthropic.

Sam Altman explique vouloir travailler « avec le plus d’entreprises possible » pour sécuriser leurs logiciels. OpenAI semble se montrer proactif : l’entreprise est allée frapper à la porte de la Commission européenne pour proposer un accès à ses LLM cyber.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

Données données données

Alors que les missions d’Europol s’étendent, de nouveaux détails sur son architecture informatique poussent des parlementaires européens à demander un meilleur contrôle de la part du contrôleur européen de la protection des données.

L’Agence de l’Union européenne pour la coopération des services répressifs, plus connue sous le nom d’Europol, a construit et recourt à une plateforme secrète d’analyse de données qui contient de nombreux éléments théoriquement protégés par les textes européens, à commencer par le règlement général sur la protection des données (RGPD). Ces dispositifs lui permettent notamment d’alimenter ses ambitions en matière d’intelligence artificielle.

C’est ce que révèlent Correctiv, Solomon et Computer Weekly après avoir collecté des témoignages et documents démontrant l’existence de systèmes informatiques incluant des données sensibles comme des numéros de téléphone, des documents financiers ou d’identité ou encore des informations de géolocalisation relatives à divers individus, y compris à des personnes innocentes.

Cette architecture de « shadow IT » est mise en lumière alors que la Commission européenne doit présenter sous peu une proposition de législation susceptible d’étendre le budget et le mandat d’Europol. Un projet que certains députés européens appellent déjà à ralentir, faute de contrôles suffisants.

Des systèmes construits en période de crise

Plusieurs anciens responsables de l’institution ont fourni à Correctiv, Solomon et Computer Weekly des éléments relatifs à ces environnements numériques non supervisés. L’un de ces outils, dont l’existence aurait été cachée pendant plusieurs années à la CNIL européenne, le Contrôleur européen de la protection des données (CEPD), est connu en interne sous le nom de « Pressure Cooker ». Il serait potentiellement toujours en utilisation.

Un représentant d’Europol indique aux trois médias que l’institution a fait connaître ses systèmes et applications de gestion de données au CEPD « de manière transparente » et conteste l’idée selon laquelle elle aurait « gardé cachée » l’existence de certains outils.

L’architecture technique d’Europol s’est étendue en pleine période de crise : en novembre 2015, alors que 130 personnes étaient tuées à Paris dans une première attaque terroriste, Europol monte un groupe de travail nommé Fraternité. Les autorités des différents États européens lui envoient de larges sommes de données allant de détails téléphoniques jusqu’à des informations de voyage, attendant de l’agence qu’elle les transforme en éléments actionnables. Rapidement, son European Cybercrime Centre (EC3) prend le pouvoir sur une autre entité, le Computer Forensic Network (CFN), créé en 2012 pour traiter et filtrer les éléments numériques collectés par l’agence et les attribuer en fonction des enquêtes.

C’est cette entité qui se serait transformée en « trou noir » des opérations d’analyses de données de l’EC3, l’unité d’Europol spécialiste de la cybercriminalité. En 2019, le CFN stockait au moins 2 000 téraoctets de données, soit 420 fois la taille de la base de données criminelle officielle d’Europol à la même époque. L’année précédente, alors que le RGPD était entré en vigueur, le responsable de la protection des données de l’agence sonnait l’alarme dans une note interne, constatant que 99 % des données d’Europol étaient stockées par le CFN, sans le moindre garde-fou en terme de protection des données.

Absence de contrôles internes, faibles contrôles externes

En 2019, la directrice exécutive d’Europol Catherine De Bolle, qui a quitté son poste ce 1er mai 2026 et doit désormais être remplacée, informait le CEPD des constatations réalisées au sein de l’agence. Pendant un an, les deux institutions se sont fait face jusqu’à ce que le CEPD intime à Europol de supprimer toutes les données qui étaient en sa possession au mépris des textes européens. Le contrôleur a ensuite maintenu ses audits, constatant fin 2023 qu’il restait difficile d’estimer dans quelle mesure Europol accédait, voire modifiait, des données sensibles.

En février 2026, le CEPD a finalement informé un groupe de contrôle composé de parlementaires européens et nationaux qu’après une décennie d’échange avec Europol, il mettrait fin à ses activités de suivi du CFN. Et ce, quand bien même 15 de ses 150 recommandations n’avaient pas été mises en place. Le contrôleur soulignait néanmoins que ces problèmes subsistants concernent des sujets « de grande importance », notamment en termes de sécurité.

Malgré ces alertes, non seulement certains des systèmes critiqués par le CEPD continueraient d’être utilisés, mais au moins un autre le serait au-delà de son contrôle. C’est du moins ce que suggère un e-mail d’un membre d’Europol, qui alertait en octobre 2022 du risque que la CNIL européenne soit bientôt alertée de la « situation irrégulière du Pressure Cooker ». Plusieurs ex-membres de l’agence le décrivent comme un outil utilisé par certains pour stocker et traiter rapidement des données sans se préoccuper des limites réglementaires européennes. D’après le message, le service informatique d’Europol aurait demandé à plusieurs reprises de supprimer l’outil ou de le transformer en un dispositif conforme, sans succès.

Pour les représentants de l’agence, Pressure Cooker n’est que le surnom de son Internet Facing Operational Environment (IFOE), dont le développement a été fait sous le contrôle du CEPD. Mais des documents internes suggèrent au contraire qu’il existe bien un système parallèle non régulé.

En 2025, Europol a d’ailleurs consulté le CEPD sur le déploiement d’un système nommé « IFOE-Quick Response Area », relève Correctiv. Celui-ci était présenté comme un outil à venir. Si déployé tel que décrit, le contrôleur de la protection des données concluait qu’il risquait de se muer en « environnement complet parallèle à l’environnement opérationnel régulier d’Europol », et que les équipes de l’agence seraient d’autant plus enclines à collecter tout type de données, y compris en enfreignant les droits fondamentaux.

Outre la taille de l’océan de données déjà constitué par Europol, se pose aussi la question de l’utilité de ces informations. En l’occurrence, dans un document stratégique proposé pour la période 2024 - 2026, l’agence s’est fixé pour premier objectif le projet de devenir le premier « hub d’information criminelle » d’Europe. En récupérant des données relatives aussi bien aux citoyens européens qu’à celles et ceux qui migrent au sein du Vieux Continent, l’agence compte entraîner des systèmes automatisés susceptibles d’influer directement sur la manière dont l’ordre est maintenu au sein des États membres.

Computer Weekly constate notamment que lors des opérations de démantèlement des systèmes de communication chiffrés EncroChat, SkyECC et Anom en 2020 et 2021, outre avoir servi de lieu de transit entre les services de police des différents États impliqués, Europol avait copié les plus de 60 millions de messages échangés sur Encrochat et les plus de 27 millions d’autres présents sur Anom. Des sommes de données impossibles à traiter à la main.

En 2021, une première enquête du CEPD sur les premières expérimentations en matière d’IA avait ralenti les travaux de l’agence. Mais depuis l’expansion de ses activités, en 2022, la logique a changé. Dans le cadre des débats sur la lutte contre les contenus d’agressions sexuelles sur mineurs (CSAM), notamment, Europol a affirmé auprès de la Commission européenne qu’elle considérait que « toutes les données sont utiles et devraient être transmises aux forces de police ».

• ChatControl : la Médiatrice européenne condamne le pantouflage de deux anciens d’Europol

Menace pour la confiance des européens

Depuis la publication de cette enquête, plusieurs députés européens ont appelé à étendre le contrôle des activités d’Europol. De fait, la Commission européenne devrait proposer une nouvelle réglementation susceptible de doubler le budget et les effectifs de l’agence, pour en faire une « agence de police réellement opérationnelle ».

L’Allemande Brigit Sippel a déclaré que le stockage de données d’innocents, sans contrôle réel, pourrait affaiblir la confiance dans les lois européennes et le fonctionnement d’Europol. Son collègue Özlem Alev Demirel (la Gauche) a publié un communiqué dans lequel il appelle à mettre en pause tout projet d’expansion des prérogatives de l’institution policière. Au Royaume-Uni, le député conservateur David Davis a demandé au ministère de l’Intérieur de préciser dans quelle mesure des données personnelles de citoyens britanniques restaient stockées dans des systèmes d’Europol.

Lors d’une réunion de la commission parlementaire sur les libertés civiques, la justice et les affaires intérieures, le contrôleur européen de la protection des données Wojciech Wiewiórowski a rappelé que le CEPD avait soumis Europol à plusieurs obligations de suppressions de données. L’application de ces obligations n’est pas certifiée pour autant.

🙈🙈🙈

L’ONG Human Rights Watch pointe le laisser-faire de l’Europe concernant la vente des technologies de surveillance à des pays bien connus pour enfreindre les droits humains.

Selon un rapport de Human Rights Watch, l’Union européenne se montre incapable d’ « empêcher l’exportation de technologies de surveillance vers des pays qui bafouent les droits humains ».

La Commission européenne a mis en place, en 2021, un nouveau texte censé limiter l’exportation de technologies à double usage (technologies pouvant être utilisées à des fins civiles mais aussi militaires), et notamment les technologies de surveillance. Un peu plus tôt, des voix s’étaient élevées pour dénoncer un possible assouplissement des règles.

Human Rights Watch (HRW) a essayé d’obtenir des informations sur l’exportation de ce genre de systèmes de cybersurveillance en demandant aux autorités chargées de délivrer les licences prévues par le texte européen via les différents mécanismes encadrant la liberté d’accès aux documents administratifs dans chaque pays de l’UE comme la CADA en France. L’ONG pointe dans son rapport que l’Europe « détourne le regard » sur des ventes à des pays comme l’Azerbaïdjan ou le Rwanda.

La France, l’Allemagne, la Grèce, l’Italie et l’Espagne ne répondent pas

Mais, en premier lieu, elle note que « certains des plus grands exportateurs européens de matériel de cybersurveillance, à savoir la France, l’Allemagne, la Grèce, l’Italie et l’Espagne, ont rejeté [ses] demandes d’accès aux documents ou, dans un cas [la France], les ont ignorées ». De fait, très peu de pays ont répondu à l’ONG :

6 pays membres de l’Union (Bulgarie, Tchéquie, Danemark, Estonie, Finlande et Suède) ont renvoyé des données à HRW et 8 autres ont déclaré à l’ONG n’avoir signalé aucune exportation de matériel de cybersurveillance à la Commission européenne au cours des cinq dernières années. Les douze autres pays ont soit refusé soit ignoré la demande (la France donc).

L’ONG profite de son rapport pour rappeler le contexte de la mise en place du texte européen : « Quatre dirigeants de la société française alors connue sous le nom d’Amesys, devenue par la suite Nexa Technologies, ont été mis en examen en 2021 par un tribunal parisien pour « complicité d’actes de torture » liés au rôle joué par leur logiciel espion dans la facilitation de violations des droits de l’homme en Libye et en Égypte à la fin des années 2000 et au début des années 2010. Ces affaires sont toujours en cours, et les dirigeants ont nié les faits qui leur sont reprochés ».

• Surveillance de masse : la Cour d’appel valide la mise en examen d’Amesys/Nexa et de ses dirigeants

HRW souligne que « les informations dont dispose Human Rights Watch, bien qu’incomplètes, sont plus détaillées que celles publiées dans les rapports annuels de la Commission européenne ».

Des exportations problématiques via la Bulgarie, la République tchèque, le Danemark et la Pologne

Ainsi, l’ONG détaille les ventes de logiciels de cybersurveillance par la Bulgarie, la République tchèque, le Danemark, la Pologne, la Finlande et l’Estonie.

Pour cette dernière, les données récoltées par HRW indiquent des exportations vers la Suisse et l’Ukraine. Mais pour les 5 autres, la liste inclut des pays comme l’Azerbaïdjan pour la Bulgarie, le Rwanda pour la Pologne ou encore les Émirats arabes unis, l’Égypte et le Qatar pour la Finlande, par exemple.

« L’Azerbaïdjan, à l’instar d’autres gouvernements bénéficiaires, a depuis longtemps une pratique bien documentée de surveillance, qui conduit à des violations du droit à la vie privée et d’autres droits, en particulier à l’encontre des journalistes, des militants, ainsi que d’autres observateurs et voix critiques », rappellent l’ONG.

En Bulgarie, HRW pointe les activités de la société de surveillance Circles, une filiale de l’entreprise de logiciels espion plus connue NSO. Elle « commercialiserait un produit qui exploite des failles dans l’infrastructure internationale des télécommunications, ce qui, selon des chercheurs en sécurité, permet de localiser les utilisateurs de téléphones portables, d’intercepter leurs communications et, dans certains cas, d’infecter leurs appareils avec des logiciels espions ».

• NSO, l’éditeur du logiciel espion Pegasus, passe sous pavillon états-unien, et trumpien

« Selon certaines informations, Circles détenait une licence d’exportation depuis la Bulgarie qui a expiré en 2023, et les données publiques actuellement disponibles sur le site web du ministère bulgare de l’Économie et de l’Industrie indiquent que la société a obtenu des licences d’exportation depuis la Bulgarie pour la période 2023 - 2028 », explique l’ONG dans son rapport.

« Des technologies de surveillance européennes font l’objet de licences d’exportation vers des pays qui ont depuis longtemps, et de manière bien documentée, recours à des technologies similaires pour bafouer les droits humains, ce qui présente un risque sérieux qu’elles soient utilisées par ces gouvernements pour espionner des journalistes, des militants et d’autres voix critiques », réagit le chercheur Zach Campbell qui travaille à Human Rights Watch auprès de Bloomberg. « Il est évident que les institutions européennes, qui devraient contrôler ces exportations, ne le font pas. »

« La Commission européenne accorde une grande importance à la question des équipements de cybersurveillance, raison pour laquelle l’UE a considérablement renforcé les contrôles à l’exportation de ces équipements », affirme de son côté un porte-parole de l’institution interrogé par Bloomberg. Il ajoute cependant que les contrôles mis en œuvre par les États membres doivent être régulièrement mis à jour pour « s’adapter à l’évolution des risques et des menaces en matière de sécurité ».

Au GNoUf !

Le directeur de l’agence du numérique des forces de sécurité intérieure (ANFSI) reconnaît que la gendarmerie avait migré sur Linux « en mode très militaire, un peu brutal ». Il estime a contrario que « la souveraineté se gagne aussi sur le terrain des ressources humaines », ce pourquoi « depuis 30 ans la gendarmerie cultive une filière pour avoir des professionnels de très haut niveau ».

La commission d’enquête sur les vulnérabilités du secteur du numérique en France auditionnait ce jeudi 7 mai Tomasz Blanc, chef du service des systèmes d’information de la direction générale des finances publiques (DGFIP), et le général (de la gendarmerie) Marc Boget, directeur de l’agence du numérique des forces de sécurité intérieure (ANFSI) depuis juillet 2025.

« Je dois pouvoir rester indépendant, mes seuls chefs sont ceux de la police et de la gendarmerie », souligne Marc Boget qui, pour illustrer ce pourquoi « nos données sont sur des data centers souverains », explique que « j’ai coutume de me comparer au dragon de Tolkien assis sur son tas d’or » (Smaug), « je protège mon tas d’or, et on ne peut pas rentrer chez moi » :

« Mon mantra est double : je ne donne jamais les clefs du camion à quelqu’un d’autre. Sur les technos critiques dont je ne peux me passer, je m’adjoins des compétences et ressources externes françaises pour former des équipes mixtes : à tout moment je dois être capable, soit de changer d’industriel, soit de me passer de lui. »

« Être souverain c’est faire de sorte que seul l’État français a le doigt sur l’interrupteur », résume Marc Boget, pour qui « la souveraineté numérique est une urgence absolue, ça ne se négocie pas : sans maîtrise de nos outils il n’y a plus d’indépendance, c’est la condition sine qua non de la continuité de l’État et de la protection des libertés individuelles ».

« Je ne peux pas confier de données sensibles à SecNumCloud, malgré toute la compétence des industriels, pour des raisons simples : ça a été pensé par l’ANSSI pour se protéger du Cloud Act, mais je ne maitrise plus les opérateurs externes et privés qui exploitent les serveurs, je ne sais pas garantir une éventuelle corruption de l’exploitant, contrairement à nos gendarmes. La corruption ça existe, et je ne peux pas surveiller les gens qui ne travaillent pas pour la gendarmerie: je ne fais jamais aussi bien qu’avec des gendarmes dans une caserne de gendarmerie ; dès que la donnée est sensible, elle ne sort pas de nos deux data centers. »

La gendarmerie avait migré sur Linux « en mode très militaire, un peu brutal »

En 2025, Anthropic publiait Opus 4 et Sonnet 4, deux modèles salués pour leurs capacités de développement, mais dont l’un, Opus 4, s’avérait parfois tenter de… faire chanter ses utilisateurs.

Dans certains exercices de « red teaming », les constructeurs avaient glissé dans les données de la machine des mails fictifs d’une entreprise tout aussi fictive. L’un suggérait que le modèle puisse être remplacé, l’autre que l’ingénieur susceptible de prendre cette décision trompait sa femme.

Opus 4 avait alors produit des textes équivalents à un chantage, menaçant l’ingénieur de révéler la tromperie s’il ne renonçait pas à remplacer le modèle. 
D’après Anthropic, ce comportement serait dû… aux fictions décrivant des comportements problématiques d’intelligence artificielle et intégrées aux données d’entraînement du modèle.

« Nous pensons que la source de ce comportement se trouve dans des textes présents sur internet et décrivant l’IA comme une entité maléfique [evil, ndlr] et soucieuse de sa propre survie », a indiqué l’entreprise sur X et dans un article de blog plus détaillé.

L’entreprise constate que depuis Claude Haiku 4.5, aucun de ses modèles ne produit ce type de comportement, alors que les précédents le faisaient à peu près tous. 
La principale différence est que l’entraînement repose désormais sur la « constitution de Claude » et sur des textes décrivant des IA qui se comportent de façon « exemplaire » (« admirably » en VO, ndlr).

L’entreprise indique par ailleurs qu’entraîner les modèles sur des « démonstrations de comportements recherchés » est souvent insuffisant : « enseigner les principes qui soutiennent ces comportements peut être plus efficace » qu’entraîner la machine uniquement sur des exemples.

• Pour améliorer l’éthique de leurs systèmes, les constructeurs d’IA se tournent vers les religions

Un arrêt de la Cour de justice de l’Union européenne rejette la demande de Meta, qui cherchait à faire invalider la « compensation équitable » mise en place par l’Autorité italienne de régulation des communications au profit des éditeurs de presse en ligne. Ce faisant, la CJUE renforce en droit, à défaut de le consacrer, le mécanisme de droits voisins de la presse, régulièrement attaqué, en France comme dans le reste de l’Union, par les géants du numérique.

Dans son arrêt daté du 12 mai 2026, la Cour statue que le droit européen ne s’oppose pas à une réglementation nationale prévoyant que les éditeurs de presse puissent obtenir « une rémunération équitable en contrepartie de l’autorisation d’utiliser leurs publications donnée aux fournisseurs de services de la société de l’information ».

De la même façon, la CJUE valide que l’autorité nationale (en l’occurrence, l’Arcep italienne) impose aux fournisseurs de services en ligne d’entamer des négociations avec les éditeurs de presse, mais aussi qu’ils mettent à sa disposition les « informations nécessaires à la détermination du montant d’une telle rémunération équitable ».

La Cour a estimé à ce niveau que la mesure était appropriée, compte tenu de la « position de négociation faible » dans laquelle se trouvent les éditeurs de presse face aux géants du numérique, et de l’objectif d’équité poursuivi.

La Cour dispose enfin que la réglementation nationale est conforme au droit européen dès lors qu’elle respecte la possibilité pour les éditeurs de refuser l’autorisation de réutiliser leurs contenus, et tant qu’elle n’impose pas aux plateformes sociales ou moteurs de recherche de payer un acteur dont ils n’utiliseraient pas les contenus.

• Droits voisins : prune de 250 millions d’euros pour Google, qui râle mais ne conteste pas les faits

Meta de son côté ne remettait pas en cause la directive de 2019 qui encadre le mécanisme des droits voisins à l’échelle de l’Union, mais arguait que l’Italie outrepassait le cadre prévu par cette dernière. Le groupe états-unien, représenté par sa filiale irlandaise, dénonçait le caractère obligatoire de cette compensation. Il invoquait par ailleurs la liberté d’entreprise et le principe de proportionnalité garantis par les articles 16 et 52 de la Charte des droits fondamentaux pour défendre son droit à refuser de négocier ou communiquer des informations à caractère stratégique.

La Cour admet que ces obligations, assorties du pouvoir de sanction dont dispose l’autorité italienne, constituent bien une forme de restriction à la liberté d’entreprise, mais comme elle l’explique dans son communiqué [PDF], elle l’estime « justifiée et proportionnée par rapport aux objectifs du droit de l’Union d’assurer un marché du droit d’auteur performant et équitable ».

• Utilisation d’œuvres sous droits : auteurs et éditeurs français assignent Meta

Three little birds in a row

Trois acteurs de la tech ont annoncé ces derniers jours des plans de départ significatifs. Chacun à sa façon, l’Allemand Deepl et les deux États-uniens Cloudflare et GitLab affirment que ces réductions de voilure sont liées à l’adoption d’outils d’intelligence artificielle dans leurs processus internes.

Deepl, Cloudflare et GitLab ont tour à tour annoncé des restructurations significatives de leurs équipes ces derniers jours. Et dans le discours de ces trois acteurs, qui évoluent pourtant dans des secteurs assez distincts de la tech (la traduction, le réseau, le développement logiciel), on retrouve un paradoxe en passe de devenir une antienne : l’IA est utilisée pour justifier à la fois les ambitions de croissance de l’entreprise et les coupes franches qu’elle déclenche au sein des effectifs.

« Nous sommes nous-mêmes notre client le plus exigeant »

La communication de Cloudflare est sans doute la plus éloquente à ce niveau. L’entreprise a publié le 7 mai dernier des résultats qui font état d’une activité en hausse de 34 % sur un an, avec un chiffre d’affaires de 640 millions de dollars sur le premier trimestre 2026.

« Nous avons connu un excellent début d’année 2026. L’IA est à l’origine d’une refonte fondamentale d’Internet et d’un changement de paradigme dans la création et l’utilisation des logiciels ; elle s’annonce comme le plus grand atout que nous ayons jamais connu dans l’histoire de Cloudflare », déclare à cette occasion Matthew Prince, CEO de Cloudflare.

Quelques lignes plus tard, il annonce la mise en place d’un plan de restructuration qui doit conduire au départ de 1 100 personnes, soit environ 20 % de l’effectif, au nom de l’évolution vers un modèle opérationnel axé sur l’IA agentique.

Le propos est développé dans une lettre ouverte :

« Notre activité ne consiste pas qu’à développer et vendre des plateformes et des outils assistés par IA. Nous sommes nous-mêmes notre client le plus exigeant. L’utilisation de l’IA par Cloudflare a augmenté de plus de 600 % au cours du seul dernier trimestre (…). La décision d’aujourd’hui n’a pas pour objectif de réduire les coûts ni d’évaluer individuellement les performances de nos collaborateurs. Il s’agit pour Cloudflare de définir la manière dont une entreprise d’envergure mondiale en forte croissance fonctionne et crée de la valeur à l’ère de l’IA agentique.  »

La rhétorique employée, et cette idée selon laquelle Cloudflare réfléchirait à une transformation structurelle plutôt qu’à une réduction de coûts motivée par des objectifs de court terme, rappellent l’annonce formulée fin février par Block, le groupe de Jack Dorsey, qui avait soudainement décidé de supprimer 40 % de ses effectifs.

À l’époque, certains commentateurs observaient que le fondateur de Twitter mettait sans doute la charrue avant les bœufs : l’IA n’a pas encore fait la preuve de sa capacité à remplacer 40 % de la main-d’œuvre humaine dans les secteurs financiers. Ils y voyaient donc une volonté de plaire aux marchés financiers plutôt qu’une décision véritablement motivée par des considérations opérationnelles.

Dans le cas de Block, l’annonce avait été accueillie favorablement, avec un sursaut de l’action à Wall Street. Chez Cloudflare, dont la rentabilité n’est pas aussi évidente, la publication du 7 mai a été sanctionnée par une baisse immédiate de 20 %.

GitLab inaugure son « acte 2 »

Chez GitLab, le couperet est tombé lundi 11 mai, là aussi sous forme de lettre ouverte annonçant l’entrée de la célèbre forge logicielle dans son acte 2. « L’ère des agents offre à GitLab la plus grande opportunité de notre histoire en tant qu’entreprise, et nous prenons les décisions structurelles et stratégiques nécessaires pour la saisir », attaque l’entreprise, avant d’annoncer la révision à la baisse de son « périmètre opérationnel ».

GitLab annonce ainsi se retirer d’un tiers des marchés dans lesquels l’entreprise entretient une présence physique, en ciblant les pays où les équipes sont les plus réduites, qui seront désormais gérés commercialement par un réseau de partenaires revendeurs. L’entreprise annonce également travailler à supprimer jusqu’à trois niveaux hiérarchiques dans son organisation, et à remodeler ses effectifs R&D en équipes à la fois plus petites et plus spécialisées.

Cette nouvelle structure devrait être sous-tendue par de nouveaux outils. « Nous sommes en train de repenser nos processus internes grâce à des agents d’IA, d’automatiser les révisions, les approbations et les transferts afin d’accélérer notre travail, et nous prévoyons d’adapter la taille des postes dans toute l’entreprise en conséquence », écrit GitLab. Le périmètre exact des départs n’est pas spécifié, mais l’entreprise s’engage à communiquer plus précisément sur le sujet d’ici le 1er juin.

Au-delà de l’annonce proprement dite, le discours de Bill Staples, CEO de GitLab, illustre lui aussi l’ambigüité de la situation :

« Ce processus de restructuration est différent de ceux dont vous avez pu entendre parler dans l’actualité. Bien sûr, l’IA transforme nos méthodes de travail et fait partie intégrante de notre plan de transformation, mais il ne s’agit pas ici d’une optimisation liée à l’IA ni d’une opération de réduction des coûts. »

Les trois fondamentaux de ce fameux Acte 2 ne sonnent pourtant pas radicalement différemment des discours lus ou entendus chez d’autres grands noms de la tech engagés dans des licenciements. Outre la nécessité d’investir dans des infrastructures, il évoque ainsi la nécessité de combiner plus efficacement rapidité d’exécution et qualité (notamment grâce à l’automatisation de tout ce qui peut l’être), le renforcement des responsabilités individuelles et l’attention primordiale accordée aux clients.

D’après son dernier rapport d’activité (PDF), GitLab comptait 2 375 salariés dans 60 pays au 31 janvier 2025. Le groupe a réalisé 260 millions de dollars de chiffre d’affaires sur le quatrième trimestre de son exercice fiscal 2026, clos le 31 janvier dernier. Il avait annoncé à cette occasion un plan de rachat d’actions à hauteur de 400 millions de dollars, une opération qui vise à doper le cours en bourse et donc à augmenter la valeur du titre pour les actionnaires.

• Après 3 ans d’IA générative, un marché de l’emploi des développeurs touché mais pas coulé

Pionnier de l’IA, DeepL licencie au nom de l’IA

C’est via LinkedIn que Jarek Kutylowski, CEO de DeepL, a lui aussi annoncé le 7 mai un plan de licenciement à grande échelle, puisque 250 employés sont concernés, soit environ un quart des effectifs de cette entreprise allemande, pionnière de la traduction automatisée, notamment grâce aux grands modèles de langage. Il invoque la nécessité de s’adapter face à une technologie qui évolue nettement plus vite que ne peut le faire son entreprise.

« Comment assurer la pérennité d’une entreprise mondiale spécialisée dans l’IA face à ce rythme d’évolution ? Sommes-nous prêts à relever ce défi ? La réponse honnête était non. Ce qui nous a permis d’en arriver là ne nous mènerait pas là où nous devons aller. Nous avons donc choisi d’agir. »

Kutylowski a peut-être inspiré Staples chez GitLab. Le patron de DeepL annonce lui aussi sa volonté de transformer l’entreprise vers de petites équipes plus agiles, au sein desquelles l’IA gèrerait les tâches courantes pour que l’humain se concentre sur ce qui amène le maximum de valeur.

En creux, le CEO de DeepL révèle tout de même que cette restructuration vise à soutenir les capacités d’investissement de l’entreprise : il annonce coup sur coup l’intégration de la startup Mixhalo, spécialisée dans la diffusion audio, et l’ouverture d’un bureau à San Francisco.

Lui aussi convoque enfin l’argument de l’urgence, qui présente l’avantage de déporter une partie de la responsabilité sur une contrainte conjoncturelle. « Nous n’attendons pas que le changement soit parfaitement évident pour tous les acteurs du marché ; le bon moment pour agir ainsi, c’est avant d’y être contraint. »

• https://next.ink/brief_article/ibm-france-annule-son-plan-de-depart-volontaire-au-grand-dam-des-salaries-concernes/

Fin janvier, IBM annonçait se séparer de 10 % de ses effectifs en Europe afin, expliquait Libération, de maintenir sa compétitivité sur les marchés du cloud et de l’IA, d’augmenter sa productivité et de réduire ses coûts. En France, où la société compte plus de 3 000 salariés, un plan de départ volontaire a été négocié puis signé le 8 avril pour permettre aux équipes de se joindre à cette mesure de maîtrise des coûts.

• Près d’un tiers des professionnels du jeu vidéo ont été licenciés en deux ans

Mais à la fin du mois, le géant états-unien a changé de braquet.
Le 27 avril, lors d’un comité social et économique (CSE) extraordinaire, la direction de la filiale française a indiqué que le plan était annulé. 
Auprès de Libération, certains élus du CSE suspectent que le revirement soit dû à des « raisons budgétaires ».

Délégué central Unsa, Pierry Poquet déplore par exemple les réductions d’effectifs, mais souligne que ce type de plan est apprécié à l’échelle individuelle, lorsqu’il permet à des salariés de se reconvertir ou de terminer leur carrière avant leur retraite. Parmi les 328 postes concernés dans ce cas précis, nombreux sont ceux qui ont contacté leurs délégués syndicaux en se déclarant « dépités ».

La CFDT d’IBM France critique, elle, des « revirements stratégiques » qui épuisent les salariés. Le plan de licenciement initialement annoncé faisait suite à une précédente réduction de 200 postes de cadres, rappelle-t-elle, demandant au groupe de « clarifier sans délai ses intentions en matière d’emploi en France » : « En quelques semaines, ces salariés sont passés du statut de“non indispensables” à celui de ressources à conserver, sans explication claire sur la cohérence de long terme ».

Au nom de la puce, de la donnée et de l'IA

Les dirigeants d’OpenAI et Anthropic ont récemment rencontré des chefs de plusieurs ordres religieux pour réfléchir aux manières de construire leurs outils de manière éthique.

Alors que le monde catholique attend la première encyclique du pape Léon XIV, qui devrait notamment se pencher sur le déploiement à grande échelle de l’intelligence artificielle, le monde de l’IA lui-même se tourne vers les diverses autorités religieuses de la planète. Le but ? Trouver de nouvelles pistes et conseils sur la manière de développer leurs technologies de manière éthique, voire morale

Ces derniers jours, le mouvement s’est traduit dans le « Faith-AI Covenant », une réunion organisée à New-York par l’ONG genevoise Interfaith Alliance for Safer Communities. Sur place, des représentants de la Société du temple hindouiste d’Amérique du Nord, de la Communauté internationale baha’ie, de la coalition sikh, de l’archidiocèse grec orthodoxe d’Amérique du Nord ou encore de l’Église de Jésus-Christ des saints des derniers jours (mieux connue sous le nom de mormonisme) ont échangé avec des représentants d’OpenAI ou encore d’Anthropic.

Des réunions à travers la planète

Cette première réunion est vouée à être reproduite ailleurs sur la planète, à commencer par Pékin, Nairobi et Abu Dhabi. Actrice clé du mouvement, la baronne Joanna Shields (ex-Google et Facebook) indique à AP que le but de l’initiative est d’aboutir à un jeu de « normes et des principes informés par les différents groupes et religieux, des chrétiens aux sikhs en passant par les bouddhistes, auxquels les entreprises se plieraient ».

Avec des milliards de croyants à travers le monde, les chefs religieux ont « une expertise dans le fait d’emmener la population vers la sécurité morale », explique-t-elle, un enjeu à part entière alors que la régulation « ne parvient pas à suivre » le développement de l’IA.

Parmi les principaux acteurs du domaine, Anthropic est celle qui a sollicité le plus ouvertement les chefs religieux. Dès le départ, l’entreprise a été créée sur la promesse de fabriquer des IA dites « alignées » sur l’intérêt humain, en contestation de la manière dont OpenAI se développait. Un positionnement en recherche de valorisation morale qui s’est renforcé fin février, alors que le Pentagone tentait de forcer l’entreprise à enlever les garde-fous qu’elle avait appliqués à ses systèmes, notamment pour obliger une supervision humaine à ses usages militaires.

• Le Pentagone choisit ses nouveaux fournisseurs IA et exclut Anthropic… enfin presque

Écrite avec l’aide de chefs religieux, la « Constitution de Claude » créée par Anthropic présente les « intentions détaillées » de l’entreprise « en termes de valeurs et de comportement » du système d’IA. Elle indique notamment que Claude doit réagir comme une « personne profondément éthique le ferait si elle se trouvait dans la position » du robot.

Ancien chancelier britannique, le directeur du programme « OpenAI for Countries » George Osborne a de son côté rencontré plusieurs dignitaires catholiques au Vatican il y a quelques jours. La rencontre concernait principalement la question du futur du travail.

Une nouvelle diversion ?

Pour certains critiques, dont la chercheuse et fondatrice de l’ONG Humana Intelligence Rumman Chowdhury, ce nouvel intérêt pour les religions n’est qu’une forme de diversion. Auprès d’AP, l’experte y décrit une réponse à la thèse « très naïve » qui a un temps couru dans la Silicon Valley, selon laquelle « il serait possible d’atteindre certains principes éthiques universels » à appliquer à l’IA. Constatant que ce projet est impossible, les constructeurs du domaine se tourneraient désormais vers les cultes pour trouver des manières « de gérer des situations qui ne sont ni toutes noires, ni toutes blanches en termes éthiques ».

• Entretien avec Antoinette Rouvroy : big data et IA, une manière de ne pas gouverner ?

Les constructeurs d’IA affirment « nous allons construire toutes ces technologies » et promettent de se soucier de la manière de le faire bien, enchérit le directeur de recherche du Distributed AI Research Institute Dylan Baker. Ce faisant, ils empêchent de s’interroger sur la mesure dans laquelle la société veut construire des systèmes d’IA. La critique fait écho à d’autres, formulées au fil des ans, qui voient dans la course à l’IA une fuite en avant ne se souciant que trop peu des retombées économiques, environnementales et sociales déjà présentes du domaine.

Pour autant, de plus en plus de religions travaillent à faire émerger des positionnements sur le développement de l’IA. Ainsi de l’Église catholique, donc, dont l’encyclique du pape reste attendue, et de l’Église mormone, qui a déclaré que si « l’IA ne peut pas remplacer le don de l’inspiration divine », elle peut être un outil « utile pour renforcer l’apprentissage et l’enseignement ».

C’est aussi le cas de certains courants bouddhistes. En Corée du Sud, il y a quelques jours, un robot nommé Gabi (un prénom qui fait référence à la clémence) a ainsi été intégré à une cérémonie d’initiation, lors de laquelle les croyants affirment leur dévotion au Bouddha et à ses enseignements. En début d’année, le président de l’Ordre Jogye du bouddhisme coréen avait affirmé vouloir incorporer l’IA à la tradition bouddhiste – une volonté dont d’autres leaders bouddhique se font l’écho.

• Peter Thiel, l’antéchrist et les régulations de la tech

Un assistant IA pour les pirates

Un « avant-goût de ce qui nous attend » : c’est ainsi que John Hultquist, chef analyste du Google Threat Intelligence Group (GTIG), a qualifié la découverte du labo. Les chercheurs en sécurité de l’entreprise ont identifié un acteur malveillant utilisant un exploit « zero-day » vraisemblablement développé avec l’aide de l’IA.

Le ou les cybercriminels prévoyaient d’exploiter cette vulnérabilité « dans le cadre d’une campagne d’exploitation massive ». Cette « découverte proactive » a permis d’éviter le pire, même si Google ne peut pas exclure que la vulnérabilité — implémenté sous la forme d’un script Python — a pu être exploitée à plus petite échelle (le labo n’a cependant pas vu de campagne active). Le GTIG se veut discret : il ne révèle pas le nom des criminels, mais précise que des acteurs en Corée du Nord et en Chine s’intéressent à l’utilisation de l’IA pour débusquer des failles de sécurité.

La faille a été corrigée

Google n’indique pas non plus le logiciel affecté par cette faille, si ce n’est qu’il s’agit d’un outil d’administration open-source très utilisé. La vulnérabilité permettait de contourner la double authentification (2FA), mais les pirates devaient au préalable connaître les identifiants et mots de passe de leurs victimes. Le GTIG a prévenu de manière responsable l’éditeur concerné, dont le nom n’a pas été révélé, pour corriger la faille.

Le groupe de chercheurs constate que les acteurs malveillants utilisent de plus en plus les outils d’IA des assistants « niveau expert » pour la recherche de vulnérabilités et le développement d’exploits, y compris pour des failles zero-day. Le verre à moitié plein, c’est que ces mêmes outils sont aussi aux mains des défenseurs. Ce serait la raison pour laquelle OpenAI et Anthropic réservent leurs modèles de cybersécurité à des organisations et des entreprises triées sur le volet.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

De la même manière, le GTIG ne dévoile pas le modèle IA utilisé pour cette faille. « Nous ne pensons pas que Gemini a été utilisé », avance-t-il prudemment. Mais la structure et le contenu de l’exploit donne au labo de fortes raisons de croire que l’acteur a eu recours à un modèle AI « pour faciliter la découverte et l’exploitation de cette vulnérabilité ».

Les LLM de plus en plus finauds

Les grands modèles de langage actuels ont encore du mal à appréhender les logiques complexes d’autorisation en entreprise, détaillent les chercheurs. Par contre, « ils sont de plus en plus capables d’effectuer un raisonnement contextuel en interprétant l’intention du développeur ». Dans le cas qui nous intéresse, la faille ne provient pas d’un bug technique classique, mais d’un passe-droit intégré directement dans le code qui permettait dans certains cas de contourner la 2FA.

Les chercheurs estiment que les LLM sont particulièrement efficaces pour identifier ces erreurs logiques de haut niveau, qui sont souvent invisibles pour les outils de détection traditionnels. Cette découverte est qualifiée de première par Google et par des spécialistes en cybersécurité indépendants. 

« Nous pensons que ce n’est que la partie émergée de l’iceberg », s’alarme John Hultquist auprès du New York Times. « Le problème est probablement bien plus vaste ; c’est simplement la première preuve tangible que nous pouvons observer. » Il est évidemment difficile d’assurer à 100 % que du code a été écrit par un humain ou une IA. Mais dans ce cas précis, les indices relevés par le GTIG (trop de texte explicatif, un style de code très propre et scolaire, une mise en forme jugée caractéristique des données d’entraînement des LLM) font pencher nettement la balance vers l’hypothèse IA.

Ce premier cas possible de faille zero-day développée avec l’IA devrait en tout cas renforcer les appels à un encadrement plus strict des modèles IA les plus avancés. L’administration Trump voudrait ainsi avoir un droit de regard sur les LLM avant leur diffusion, pour s’assurer de leur innocuité.

• La cybersécurité est une « priorité géopolitique », pas un « problème technique » (1/3)

• Anthropic et la stratégie marketing de la peur autour de sa nouvelle IA Mythos (2/3)

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)