La Russie bloque désormais les communications FaceTime sur les appareils Apple, principalement l’iPhone. FaceTime permet pour rappel des communications (réellement) chiffrées de bout en bout entre appareils frappés d’une pomme.
La nouvelle a été retransmise il y a quelques heures par Reuters, qui en a obtenu confirmation par l’agence Roskomnadzor, régulateur des télécommunications en Russie. Contactée par nos confrères, l’agence a répondu : « Selon les agences de maintien de l’ordre, FaceTime est utilisé pour organiser et mener des attaques terroristes dans le pays, recruter des auteurs et commettre des fraudes et d’autres crimes contre des citoyens russes ». Roskomnadzor n’a pas élaboré.
Toujours selon Reuters, les symptômes ont commencé aujourd’hui même. Bien qu’Apple ne vende plus ses produits depuis l’attaque contre l’Ukraine (la page officielle russe renvoie directement au support technique), de nombreux iPhone restent en circulation. Mais depuis peu, les appels FaceTime échouent, l’application indiquant « Utilisateur indisponible ». Selon un témoignage, la demande d’appel est bien émise, mais le contact ne s’établit pas une fois la communication acceptée.
Le blocage de FaceTime n’est que la dernière décision en date de la Russie contre les technologies occidentales. Au cours des trois dernières années, de nombreux services ont été concernés, avec par exemple Instagram dès mars 2022. En aout, on apprenait que l’agence Roskomnadzor avait annoncé le blocage partiel des appels sur WhatsApp et Telegram, et que le magasin d’applications RuStore devenait obligatoire sur les nouveaux smartphones.
RuStore a été développé par VK, l’entreprise russe possédant le réseau social du même nom, ce dernier ayant été créé par Pavel Durov, également fondateur de Telegram. La même entreprise a développé la messagerie Max, que le gouvernement russe met largement en avant désormais. Selon Reuters, de nombreuses critiques se sont élevées pour dénoncer un outil de surveillance des citoyens russes, accusations réfutées par la presse d’État.
Dans le Patch Tuesday de novembre, Microsoft a corrigé une faille exploitée depuis des années. Non-critique, l’entreprise ne la considérait d’ailleurs même pas comme une vulnérabilité. Elle a pourtant été utilisée très activement dans plusieurs campagnes.
Microsoft a discrètement corrigé une faille dans les fichiers raccourcis Windows (LNK) qui était exploitée activement depuis 2017 par de nombreux acteurs malveillants, rapporte ACROS Security (relayé par The Hacker News).
Dangerosité variable
Estampillée CVE-2025-9491, cette vulnérabilité permettait de cacher des commandes malveillantes dans les fichiers LNK en exploitant une limitation de l’interface Windows : la boîte de dialogue des propriétés n’affichait que les 260 premiers caractères du champ « Target », alors que la structure du fichier autorise jusqu’à 32 000 caractères. Les pirates pouvaient ainsi créer des raccourcis contenant des commandes arbitraires invisibles à l’inspection visuelle, en utilisant des caractères d’espacement et en plaçant le code malveillant au-delà de la limite d’affichage.
La dangerosité de cette faille varie selon les acteurs l’ayant cataloguée. Le NIST lui a donné un score CVSS de 7,8, lui affectant une dangerosité élevée. Même dangerosité pour la Zero Day Initiative de Trend Micro (qui en a parlé la première en mars dernier), avec un score de 7. La CISA (Agence de cybersécurité et de sécurité des infrastructures) américaine ne lui accorde en revanche qu’un score de 3.
Une faille exploitée activement
Cette vulnérabilité a été exploitée par au moins 11 groupes APT chinois, iraniens, nord-coréens et russes dans des campagnes d’espionnage et de vol de données, selon Trend Micro. Le groupe XDSpy l’a notamment utilisée pour distribuer le malware XDigo contre des entités gouvernementales d’Europe de l’Est en juin 2025, et des acteurs chinois ont ciblé des entités diplomatiques et gouvernementales européennes avec PlugX en octobre 2025, selon des rapports de HarfangLab et Arctic Wolf.
À l’époque, Microsoft avait refusé de la corriger, arguant qu’elle ne justifiait pas un correctif immédiat car elle nécessitait une interaction utilisateur et que Windows affichait déjà des avertissements sur les fichiers non fiables. Dans une note publiée le 1ᵉʳ novembre, Microsoft explique ne même pas considérer CVE-2025-9491 comme une faille, considérant que l’utilisateur est prévenu plusieurs fois avant de continuer.
Quoi qu’il en soit, le correctif modifie le comportement de la boîte de dialogue des propriétés pour afficher l’intégralité de la commande Target, quelle que soit sa longueur.
Il y a un mois, Linux dépassait pour la première fois les 3 % de parts de marché sur Steam. Le mouvement était d’autant plus intéressant qu’il intervenait quelques semaines après la fin de support de Windows 10. La question restait cependant en suspens : s’agissait-il d’un simple pic ou la dynamique allait-elle être confirmée ?
Dans les derniers chiffres publiés par la plateforme de Valve, on peut voir que Linux confirme bien cette tendance. Sa part de marché, toutes distributions confondues, est en légère augmentation avec 3,2 %.
Le score fait toujours pâle figure devant un Windows triomphant et ses 94,79 %, mais il témoigne d’un changement qui semble s’inscrire dans le temps, entre joueurs et joueuses gardant leurs installations et nouveaux arrivants.
Comme pour les chiffres du mois dernier, SteamOS est la distribution la plus utilisée, avec 26,4 %, grâce au Steam Deck. Les trois autres distributions les plus utilisées restent Arch Linux (9,97 %), Linux Mint 22.2 (7,36 %) et CachyOS (6,74 %), une distribution spécialisée dans le jeu vidéo. Dans ce domaine d’ailleurs, Bazzite fait un bond de 1,29 point pour atteindre 5,53 %. Debian 13 est référencée pour la première fois avec 1,58 %.
Si les chiffres ne témoignent pas d’un séisme, ils restent intéressants à surveiller par leurs implications. Le jeu vidéo a été jusque-là une chasse gardée de Microsoft, l’immense majorité des jeux étant bâtis pour DirectX et autres technologies Windows. Les agacements autour de Windows 11 et l’obsession de Microsoft pour l’IA pourraient encore influer sur les parts de marché, mais il est probable que les nouveaux PC soient encore vendus avec Windows pour longtemps.
Dans le cadre de sa conférence annuelle re:Invent 2025, AWS a une nouvelle fois annoncé une longue suite d’améliorations liées à l’IA, dont sa famille de modèles Nova 2. De nouveaux agents ont également été présentés, ainsi que le service Forge, qui doit permettre la création de modèles Nova personnalisés.
La grand-messe annuelle d’AWS pour les développeurs bat actuellement son plein à Las Vegas (elle finit le 5 décembre). Comme toujours depuis quelques années, il n’est pratiquement question que d’intelligence artificielle, avec notamment le lancement de la famille Nova 2 pour cette cuvée 2025. On trouve aussi une flopée d’annonces pour les agents, et le lancement de la puce Trainium3 via des offres maison, comme nous l’avons déjà indiqué.
La famille Nova, un lot de modèles maison, revient cette année dans une version 2. Contrairement à l’année dernière où seuls des modèles texte avaient été lancés, AWS couvre cette fois tous les angles.
L’entreprise met particulièrement en avant son Nova 2 Lite, un petit modèle de raisonnement multimodal placé en face de Haiku 4.5 chez Anthropic, GPT 5 Mini chez OpenAI et Gemini 2.5 Flash chez Google (Gemini 3 n’a pour l’instant qu’une version Pro). Ce modèle Lite est présenté comme une alternative solide, pas un vainqueur toutes catégories, même s’il prend la tête dans environ deux tiers des benchmarks présentés.
Si Lite est surtout présenté comme le modèle plus rentable par AWS, d’autres sont présents. On trouve ainsi Nova 2 Pro, orienté vers les tâches complexes, tandis qu’Omni est la version à tout faire, capable de générer tous types de contenus. Ce modèle dispose notamment d’une fenêtre contextuelle d’un million de jetons, prend plus de 200 langues en compte en entrée et une dizaine en sortie. Comme toujours dans ces gammes de modèles, le prix grimpe avec les capacités et le nombre de paramètres.
On se souvient également qu’en avril dernier, AWS avait ajouté Nova Sonic à ses modèles pour viser les échanges vocaux. L’entreprise n’attend pas un an cette fois, Nova Sonic 2 prend déjà la relève. De manière prévisible, la nouvelle mouture présente des voix plus naturelles, de meilleures performances et une meilleure ouverture sur les agents. Comme pour Lite, AWS ne revendique pas la couronne dans tous les tests pour Sonic 2, mais une version plus aboutie du modèle et gérant un plus grand nombre de langues.
« Pour les développeurs, cela signifie que vous pouvez créer des applications qui servent des audiences mondiales sans avoir besoin de modèles vocaux distincts pour chaque langue. Une application de support client pourrait gérer un dialogue qui commence en anglais et passe à l’espagnol en plein milieu d’une conversation, tout en conservant le même flux et les mêmes caractéristiques vocales tout au long de la conversation », indique AWS dans un billet de blog.
En parallèle de ces nouveaux modèles, AWS a présenté Nova Forge, un service permettant aux clients de créer leurs propres modèles Nova. Selon AWS, Forge vient combler un vide, car les approches habituelles pour personnaliser les modèles – ingénierie des prompts, RAG, ajustement fin personnalisé, apprentissage par renforcement… – ont toutes des limites. Forge se propose donc de créer des modèles entrainés sur les données spécifiques de l’entreprise cliente pour obtenir de « vrais modèles personnalisés ». Toutes les étapes seront prises en charge selon AWS, dont le pré-entrainement, l’entrainement intermédiaire et l’affinage supervisé. Forge n’est pour l’instant disponible que dans la région US East (Virginie du Nord), celle-là même qui avait provoqué une vaste panne en octobre.
À noter qu’AWS annonce aussi la disponibilité sur Bedrock de 18 nouveaux modèles open source, dont ceux de la famille Mistral 3, tout juste lancée.
La guerre sur les capacités agentiques continue, avec d’abord un renforcement de la plateforme AgentCore AI, qui sert à les construire chez Amazon. L’un des principaux ajouts est la fonction Policy, qui permet aux utilisateurs de définir des limites pour les interactions avec les agents ou entre eux. Ces barrières sont ensuite intégrées à AgentCore Gateway, chargé de connecter les agents aux outils externes et désormais de vérifier que chaque action opère dans le cadre souhaité.
Gateway se dote d’ailleurs d’une suite de 13 systèmes d’évaluation préconçus pour les agents. Ils vérifient les opérations des agents sur des aspects standards, comme la sécurité et la précision des choix opérés. Des alertes peuvent être émises, mais AWS les présente également comme une manière de se faire la main en attendant la création de règles personnalisées.
On note aussi l’apparition de AgentCore Memory, qui vient ajouter de la mémoire aux agents. La fonction est faite pour autoriser ces derniers à bâtir un contexte autour de chaque utilisateur dans le temps. Les informations prises en compte peuvent être récupérées automatiquement (dates et heures des déplacements, préférences pour les hôtels…) ou imposées.
Kiro et ses compères
AWS en profite bien sûr pour lancer plusieurs nouveaux agents spécifiques, baptisés « agents frontières » : un pour l’écriture de code, un autre pour les processus de sécurité associés et un dernier pour automatiser les tâches de DevOps.
Le premier, Kiro, est le plus mis en avant. Il est censé apprendre avec le temps les préférences du développeur et pouvoir programmer seul ensuite pendant plusieurs jours, affirme AWS. L’entreprise va plus loin en indiquant que Kiro doit produire du code prêt pour la production. Ce développement se fait en revanche en suivant les règles de l’entreprise, qu’il faut donc renseigner. AWS baptise ce concept « développement piloté par les spécifications ». Et si le nom vous est familier, c’est parce que cet agent a été bâti sur les fondations de l’IDE du même nom, qui avait été annoncé en juillet.
Les deux autres agents, Security et DevOps, présentent des fonctions que l’on peut attendre dans ces contextes. Le premier travaille à vérifier la sécurité du code au fur et à mesure qu’il est écrit, s’occupe des tests ensuite et propose des solutions. Le second s’occupe lui aussi de tester le nouveau code, mais avec un accent sur les performances et la compatibilité avec d’autres éléments, logiciels ou matériels. On ne sait pas dans quelle mesure l’ensemble est fiable et permet de gérer les hallucinations, car ces trois nouveaux agents ne sont pour l’instant disponibles qu’en préversions.
Des usines d’IA en partenariat avec NVIDIA
AWS a également annoncé l’arrivée des « AI Factories ». Ces dernières sont une sorte de généralisation de l’offre « souveraine » lancée en Europe en juin, dont la première incarnation prendra place en Allemagne.
Le concept est globalement le même : une grande entreprise ou un gouvernement fournit le centre de données et l’électricité, et AWS fournit le système d’IA, avec possibilité d’établir des liens avec d’autres services AWS ou non. Cette offre a été construite en partenariat avec NVIDIA. Le client peut ainsi choisir entre les GPU Blackwell de cette dernière, les nouvelles puces Trainium3 d’AWS ou un mélange des deux. Dans son exposé, AWS assure que la solution est idéale pour les gros besoins en IA, sans avoir à se lancer dans la conception d’un système complet.
La partie « souveraineté » est censée être assurée par une séparation physique, avec des données ne quittant jamais le centre où ont lieu les opérations. « Les usines d’IA AWS sont conçues pour répondre aux normes de sécurité rigoureuses d’AWS, offrant aux gouvernements la confiance nécessaire pour gérer leurs charges de travail les plus sensibles à tous les niveaux de classification : non classifié, sensible, secret et top secret », affirme même AWS.
Comme on l’a vu toutefois à plusieurs reprises, tout dépend de ce que l’on entend par « souveraineté ». En Europe, le problème se situe surtout dans l’extraterritorialité de certaines lois, dont l’emblématique Cloud Act américain. Les lancements de certaines offres chez Microsoft et AWS ne semblent pas régler cette question. En France, les sociétés Bleu et S3ns semblent répondre à ces critères, car les briques logicielles sont fournies par Microsoft et Google, sans connexion aux clouds existants. Les deuxoffres ont passé le jalon J0 de la certification SecNumCloud de l’ANSSI, mais il faut encore que les démarches aboutissent.
Opera fait partie des éditeurs ayant décidé d’investir massivement dans l’IA pour son navigateur. L’entreprise norvégienne est si sûre de son choix qu’elle a même lancé un navigateur dédié et payant, Neon, décrit comme un navigateur agentique.
Bien qu’Opera ait ses propres capacités dans le domaine, l’éditeur a décidé d’élargir ses horizons via un partenariat avec Google. En clair, Gemini débarque dans Opera One et Opera GX, respectivement son navigateur classique et celui dédié aux joueurs.
Les capacités décrites sont les mêmes qu’habituellement : requêtes diverses sur un ou plusieurs onglets, résumés d’informations, comparaisons de contenus sur plusieurs onglets (textes, images et vidéos), analyses diverses et ainsi de suite. Opera ajoute que son expérience avec Neon lui a permis d’optimiser son architecture, afin que les navigateurs répondent 20 % plus vite aux requêtes, mais on n’en sait guère plus.
« L’IA remodèle la façon dont les gens interagissent avec le web, et le navigateur est le point d’entrée naturel de ces expériences. Grâce à notre partenariat avec Google, nous pouvons offrir aux utilisateurs les expériences qu’ils désirent vraiment grâce à la recherche native et aux fonctionnalités d’IA, gratuitement, directement dans leurs navigateurs Opera One et Opera GX, tandis que nos utilisateurs les plus avancés du navigateur agentique Opera Neon ont déjà accès à Gemini 3 Pro », a déclaré Per Wetterdal, responsable de la publicité chez Opera.
Google semble également extatique : « En intégrant les derniers modèles Gemini, Opera ne se contente pas d’améliorer ses navigateurs, mais établit une nouvelle norme pour les expériences utilisateur alimentées par l’IA. Nous sommes fiers de fournir des capacités d’IA de pointe qui aident des partenaires comme Opera à prospérer et à continuer de façonner l’avenir de la navigation pour des millions d’utilisateurs dans le monde », a déclaré Per Gustafsson, directeur de Google Cloud Nordics.
Après le lancement de nouvelles versions majeures chez pratiquement tous les acteurs de l’IA générative, Mistral dégaine sa famille de modèles ouverts Mistral 3. Bien que celle-ci comprenne un modèle multimodal, ce sont surtout les plus petits qui sont mis en avant.
L’entreprise française n’en démord pas : lancer des modèles géants n’est pas nécessairement ce qu’il y a de mieux pour les entreprises. Elle reste centrée sur sa stratégie de publication de modèles à poids ouvert, dans l’idée que le monde professionnel va s’en emparer, les personnaliser, les distiller ou les entrainer sur ses propres données.
Mistral veut régner sur les modèles ouverts
Dans l’annonce, on remarque tout de suite que les comparaisons se font uniquement avec d’autres modèles ouverts, comme DeepSeek (en version 3.1 ou 3.2 selon les cas, étrangement) ou Kimi-K2. Sans trop de surprises dans le cadre de ce type d’annonce, les modèles Mistral 3 arrivent premiers dans la plupart des benchmarks, toujours à prendre avec des pincettes.
L’entreprise donne quelques informations supplémentaires sur son grand modèle Large 3. Par exemple, qu’il a été entrainé depuis zéro sur une infrastructure comprenant 3 000 GPU H200 de NVIDIA. Il s’agit également du premier modèle de type MoE (mixture-of-experts) de Mistral depuis sa série Mixtral en 2023. Dans une version proposée au format NVFP4 (construite avec llm-compressor), Mistral affirme que son modèle peut fonctionner « efficacement » sur un nœud comportant huit puces A100 ou H100.
Cette approche permet pour rappel de dispatcher les requêtes vers des réseaux plus spécialisés du type de calcul lors de l’évaluation. Le principal avantage est une réduction de la consommation, le modèle n’activant qu’une partie des neurones pour traiter la demande (41 milliards de paramètres actifs sur 675 milliards au total). C’est le modèle présenté comme idéal pour les opérations lourdes, comme le développement et la création de contenus.
Mistral revendique la deuxième place sur LMArena pour son Large 3 dans la catégorie des modèles ouverts sans capacités de raisonnement, mais nous ne retrouvons pas les mêmes chiffres. Sur les modèles disposant d’une licence Apache 2.0, c’est bien le cas, mais la société ne semble pas tenir compte de la licence MIT, pourtant open source elle aussi. Dans le tableau général, Large 3 se classe 28e, tous modèles confondus.
Mistral ajoute en outre que le développement de la nouvelle famille s’est fait en partenariat avec NVIDIA, aboutissant notamment à une « inférence efficace » pour TensorRT-LLM et SGLang.
La « petite » famille
Bien que Mistral aborde ses nouveautés du jour avec le modèle Large, ce sont surtout les petits modèles que la société met en avant. La série Ministral 3 comprend ainsi des variantes à 3, 8 et 14 milliards de paramètres, conçues pour l’informatique en périphérie (edge) et le fonctionnement local, toujours sous licence Apache 2.0. Tous ces modèles ont également des variantes de raisonnement, la version 14B atteignant par exemple 85 % sur le test AIME 25. Cette version, la plus volumineuse des trois, peut fonctionner sur une machine embarquant 24 Go de mémoire et un seul GPU.
Mistral semble particulièrement fière de ses petits modèles, assurant qu’ils offrent « le meilleur rapport coût/performance de tous les modèles open source » actuellement. Les versions classiques (sans raisonnement) sont au niveau ou dépassent les modèles concurrents, selon l’entreprise, tout en consommant « souvent » moins de jetons.
En tout, cette famille comprend trois modèles, les trois tailles étant disponibles dans des variantes Base (modèles de fondation pré-entrainés), Instruct (conçus surtout pour les chatbots) et Reasoning. Tous prennent en charge la vision, sont multilingues et fonctionnent avec des fenêtres allant de 128 000 à 256 000 jetons.
Guillaume Lample, fondateur de Mistral, a mis en avant la vision de l’entreprise auprès de plusieurs médias, dont TechCrunch et le Financial Times : « Nos clients sont parfois contents de débuter avec un très grand modèle de langage qu’ils n’ont pas besoin de peaufiner. Mais quand ils le déploient, ils réalisent que c’est cher et lent. Ils viennent alors nous voir pour affiner de petits modèles, afin de gérer leurs cas d’usage. Dans la pratique, la grande majorité des cas d’usage d’entreprises sont des choses que les petits modèles peuvent résoudre, surtout si vous les affinez ».
Comme le rappellent d’ailleurs nos confrères, cette orientation marquée vers les petits modèles capables de fonctionner localement rapproche l’entreprise de « l’IA physique ». Elle travaille par exemple avec Stellantis sur un assistant IA embarqué, avec la société allemande de défense Helsing sur des modèles vision-langage-action pour des drones, ou encore très récemment avec la Home Team Science and Technology Agency (HTX) de Singapour sur des modèles spécialisés pour robots.
Avec la version 9.1, la suite bureautique avait introduit un agent en version bêta. L’éditeur se sent suffisamment prêt désormais pour le lancer dans le grand bain.
Comme toujours avec ce type de fonction, elle est conçue pour gérer des requêtes comme le résumé de tout ou partie d’un document, des questions sur le contenu, le remplissage de PDF ou encore des modifications dans la présentation.
OnlyOffice ne dispose pas de son propre modèle. Pour utiliser l’agent maison, il faut disposer d’une clé API pour un LLM existant, comme ChatGPT, Claude ou Gemini. On peut aussi le connecter à un serveur LLM ou MCP local fonctionnant avec des solutions de type Ollama. Comme le rappelle OMGUbuntu cependant, le travail avec les LLM implique souvent des conditions d’utilisation incluant la réutilisation des contenus analysés à des fins d’entrainement.
Parmi les autres nouveautés de cette version, signalons la possibilité de choisir une couleur personnalisée pour caviarder des passages dans un document PDF, l’enregistrement d’une série d’actions sous forme de macro pour la réutiliser plus tard, la personnalisation des raccourcis clavier, la possibilité d’insérer des équations depuis des sources en ligne, la disponibilité de cases à cocher et de boutons radio dans l’éditeur de formulaires, ainsi qu’un correctif de sécurité.
Sur X, un échange entre un ingénieur et Proton a remis la sécurité des messages chiffrés du réseau social sur le devant de la scène. Même si la solution adoptée n’est pas aussi simple que l’ingénieur le pensait, elle reste très critiquée.
Au cours des derniers mois, X a diffusé auprès d’un nombre croissant d’utilisateurs sa fonction de messagerie sécurisée X chat, présentée comme ayant un chiffrement de bout en bout (E2EE).
« Toutes les affirmations sur le chiffrement de bout en bout ne se valent pas »
Ce 1ᵉʳ décembre, Ansgar, chercheur à la fondation Ethereum, a publié un message sur X pour s’en prendre à cette sécurité, qu’il a qualifiée de « ridicule ». Il pointait deux défauts majeurs dans l’implémentation faite par X : la clé privée de chiffrement est stockée sur les serveurs de l’entreprise et les conversations ne sont protégées que par un code PIN à quatre chiffres.
Cette communication a rapidement été reprise par le compte officiel de Proton, avec un message simple : « Malheureusement, toutes les affirmations sur le chiffrement de bout en bout ne se valent pas ». Il enchainait sur la propension des « géants de la tech » à « vendre du vent en matière de confidentialité en prétendant offrir chiffrement et protection de la vie privée, alors qu’en réalité, ils détiennent la clé principale et peuvent accéder à vos contenus ».
Rappelons que l’objectif du chiffrement de bout en bout est de transmettre une information que seul le destinataire pourra lire. Dans une solution E2EE solide, aucun des intermédiaires impliqués dans la transmission de ces données ne peut lire l’information, car seul le destinataire possède la clé privée pour déchiffrer le message. Quand l’un des acteurs dispose de la clé, il a la capacité d’accéder aux informations, brisant la promesse initiale.
Sécurité matérielle, mais code à quatre chiffres
En pratique, c’est un peu plus complexe. Au lancement, X reconnaissait déjà que son implémentation ne disposait pas d’une sécurité persistante, ce qui la rendait plus sensible aux attaques par l’homme du milieu (MITM). Cependant, en réponse à un tweet du chercheur en sécurité Matthew Green, un ingénieur de chez X avait confirmé l’utilisation de serveurs HSM (Hardware Security Modules) pour stocker les clés privées. X se sert de Juicebox (pdf) pour la sécurité des clés, un projet open source divisant les secrets en plusieurs morceaux, stockés par les HSM. Ils ne peuvent être reconstruits qu’avec le code PIN.
Si Ansgar a reconnu dans un premier temps que l’implémentation n’était pas aussi simple qu’il le pensait, elle augmentait la pression sur le code PIN, limité à quatre chiffres et donc sujet aux attaques par force brute. Quatre chiffres, cela ne laisse que 10 000 possibilités, ce qui se casse quasi instantanément s’il n’y a pas de protections supplémentaires.
Dans un autre message avertissant Proton de son changement d’avis, il signalait également que les HSM, qui permettent de faciliter l’utilisation, sont de moins bonnes protections que des clés privées stockées directement chez les utilisateurs. Proton a remercié le chercheur mais assume son message initial, puisque des géants « comme Google, Microsoft, etc » peuvent accéder aux e-mails, fichiers sur le cloud et autres.
Les éléments mis en avant ne sont cependant pas nouveaux. Matthew Garrett, un autre chercheur en sécurité, les avait déjà mentionnés dans un billet de blog daté du 5 juin. D’autres étaient revenus sur la question, par exemple le compte Mysk le 4 septembre pour affirmer que X n’implémentait pas correctement Juicebox.
Pavel Durov, créateur de la messagerie Telegram, a lancé officiellement sa plateforme Cocoon, qui se propose de répartir les requêtes IA sur un réseau distribué d’ordinateurs. Elle est également présentée comme confidentielle et chiffrée. Mais en dépit d’une annonce semblant destinée à tous les possesseurs de GPU, Cocoon s’adresse à un matériel très spécifique.
Début novembre, Pavel Durov présentait son réseau décentralisé Cocoon, largement intégré à la plateforme Telegram, basé sur la chaine TON et proposant de répartir les calculs liés à l’IA sur un ensemble de machines disponibles, plutôt que le traitement classique via un ou plusieurs centres de données dédiés. La chaine TON (The Open Network) a été initialement créée par Telegram, mais est gérée par une équipe indépendante depuis 2021, après un abandon par Telegram en 2020.
L’initiative était présentée comme particulièrement sécurisée et respectueuse de la confidentialité, tant des requêtes que des données. Une sorte d’étrange mariage entre Private Cloud Compute d’Apple, Seti@Home et blockchain. Le nom Cocoon signifie d’ailleurs Confidential Compute Open Network.
Le réseau a été officiellement lancé ce 30 novembre, comme annoncé lundi par Pavel Durov sur son compte X. Il présente son projet comme salvateur pour « les propriétaires de GPU qui engrangent déjà des gains considérables », laissant penser que tout le monde peut en profiter. Mais lorsque l’on épluche les documentations techniques disponibles, la réalité est toute autre et il reste de nombreuses zones d’ombre.
Un cercle vertueux selon Durov
Il reste 85% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
L’équipe de FreeBSD vient d’annoncer la disponibilité de la version finale pour la quinzième édition majeure du système Unix.
La plupart des évolutions sont largement liées à la modernisation générale des paquets. On trouve cependant plusieurs améliorations notables, dont une génération des artefacts (images d’installations, de machines virtuelles et autres) sans requérir de droits administrateur. On peut également voir une implémentation native d’inotify, ou encore le passage à la version 2.4.0-rc4 de ZFS.
FreeBSD 15 introduit surtout deux changements majeurs. D’abord, l’introduction d’une nouvelle méthode pour l’installation et la gestion du système, basée sur le gestionnaire de paquets pkg. Lors de l’installation, les utilisateurs peuvent choisir entre la nouvelle méthode et l’ancienne (distribution sets). L’équipe précise cependant que cette dernière sera supprimée avec FreeBSD 16.
L’autre grande nouveauté est l’arrivée des builds reproductibles. Aussi appelée compilation déterministe, cette méthode permet de s’assurer que le code binaire pourra être reproduit par d’autres personnes. Il s’agit d’une étape importante pour la confiance, car la conséquence principale est que les utilisateurs peuvent s’assurer notamment que les images fournies par l’équipe sont bien ce qu’elles prétendent être et correspondent aux sources.
Signalons également une progression significative du support des ordinateurs portables par le système grâce à l’initiative FreeBSD-on-laptops, surtout pour le matériel Wi-Fi et graphique.
Le monde Linux finit l’année avec une nouvelle version majeure du noyau riche en nouveautés. Selon Phoronix, elle affiche de bonnes performances, ne semble pas contenir de régression par rapport au noyau 6.17 et semble avoir tout ce qu’il faut pour devenir la nouvelle mouture LTS (Long Term Support).
Comme toujours, les améliorations concernent pour beaucoup le support du matériel, mais pas seulement. Plusieurs améliorations de performances sont présentes, notamment pour le swap, lors de la réception des paquets UDP ou encore de l’allocation de la mémoire. On y trouve également le support du chiffrement PSP pour les connexions TCP, la prise en charge de la fonction Secure AVIC d’AMD ainsi que des améliorations dans celle d’Ext4. On note aussi l’apparition du pilote Rust Binder.
Long Ma pour Unsplash
Le noyau 6.18 contient aussi plusieurs améliorations liées à la sécurité. Il supporte par exemple le sous-système d’audit pour gérer plusieurs modules de sécurité en même temps, ou encore la signature des programmes BPF.
La nouvelle version supprime également le support de Bcachefs. Ce système de fichiers était pris en charge par le noyau Linux depuis sa version 6.7. De type copy-on-write, il avait été pensé par son développeur principal, Kent Overstreet, comme une alternative à d’autres systèmes de fichiers modernes comme ZFS ou Btrfs. Mais en juin dernier, arguant de violations répétées d’Overstreet aux règles de maintenance du noyau, Linus Torvalds a fait passer le statut de Bcachefs de « Supporté » à « Maintenu extérieurement ».
Comme toujours, la récupération du nouveau noyau dépend essentiellement de la distribution utilisée. Si vous utilisez un système « classique » comme Ubuntu, Fedora ou autre, vous resterez probablement sur la version déjà utilisée. Dans le cas d’une rolling release, les chances sont beaucoup plus élevées.
Dans une version bêta publiée le 25 novembre, Valve a introduit un changement technique majeur pour le client Steam : le passage au tout 64 bits pour Windows 10 et 11. Pour les personnes possédant un Windows 10 en 32 bits, la version 32 bits de Steam recevra des mises à jour jusqu’au 1ᵉʳ janvier 2026. Il ne reste donc qu’un mois.
Cette transition vers le 64 bits ne devrait rien changer côté utilisateurs. La nouvelle est « satisfaisante » d’un point de vue technique, mais un passage au 64 bits sur ce type d’application n’entraine aucun gain visible. La transition devenait pressante cependant pour d’autres raisons, principalement de compatibilité, les composants et pilotes 32 bits étant presque tous abandonnés.
On remarque cependant que Valve est en pleine modernisation de ses clients. Au cours des derniers mois, l’entreprise a ainsi lancé une version native pour les Mac Apple Silicon. Cette fois, le gain de performances était majeur, car l’ancienne version était prévue pour l’architecture x86 des anciens Mac Intel. L’application se lançait, mais via la couche d’émulation Rosetta, et offrait des performances particulièrement dégradées.
Cette phase de modernisation s’est incarnée également le 20 novembre avec le lancement du Steam Runtime 4.0 pour Linux, le composant principal de Steam pour le lancement des jeux et le lien avec la couche Proton (passée récemment en version 10). Cette version 4.0 a apporté des changements majeurs, notamment un appui sur les bibliothèques de Debian 13 contre 11 précédemment.
L’éditeur avertissait d’ailleurs les développeurs que l’utilisation de cette version entrainerait des cassures de rétrocompatibilité. On peut également voir dans les changements que la plupart des bibliothèques ne sont désormais plus disponibles qu’en x86_64.
OVHcloud serait aux prises avec la justice canadienne, qui ordonne à l’entreprise française de remettre des données dans le cadre d’une décision de justice. Pour l’avocat Alexandre Archambault, il n’y a cependant rien de nouveau dans ce type de procédure, en vertu des accords d’adéquation et du RGPD.
Dans un article publié le 26 novembre, le média allemand Heise décrit une situation inextricable : OVHcloud est sommée d’obéir à une décision de justice canadienne dans le cadre d’une enquête criminelle.
18 mois plus tôt
Cette décision a été initialement rendue en avril 2024 par la Cour de justice de l’Ontario. Puisque des données sont présentes sur des serveurs appartenant à OVHcloud sur des serveurs situés en France, au Royaume-Uni et en Australie, demande est faite à la filiale canadienne de transmettre ces informations. Celle-ci étant une entité juridique indépendante, elle répond qu’elle ne peut pas transférer les informations réclamées.
Selon Heise, l’affaire remonte, en France, aux oreilles du SISSE (Service de l’information stratégique et de la sécurité économiques). Un premier courrier aurait été envoyé à OVHcloud en mai 2024 pour rappeler qu’en vertu de la loi de blocage de 1968 (renforcée en 2022), il est interdit aux entreprises françaises de transmettre des informations à une autorité étrangère hors des canaux internationaux.
Le 25 septembre suivant, la juge chargée de l’affaire en Ontario, Heather Perkins-McVey, décide que c’est la maison mère française qui doit envoyer les données. Elle motive sa décision en faisant référence à la « présence virtuelle » : « Puisque OVH opère à l’échelle mondiale et propose des services au Canada, l’entreprise est soumise à la juridiction canadienne, peu importe où se trouvent les serveurs physiques », écrivent nos confrères. Une vision qui se rapprocherait du Cloud Act américain.
Conflit diplomatique ?
La Cour aurait donné jusqu’au 27 octobre 2024 à OVHcloud pour répondre. La société française aurait alors fait appel devant la Cour supérieure de justice de l’Ontario. Janvier 2025, nouveau courrier de la SISSE, décrit comme « plus détaillé », mais enfonçant le clou : tout envoi de données à la Gendarmerie royale du Canada serait illégal.
Le 21 février, toujours selon Heise, le ministère français de la Justice serait intervenu pour assurer à ses homologues canadiens qu’ils bénéficieraient d’un « traitement accéléré » en passant par la voie officielle. Le ministère aurait ainsi montré sa volonté de coopération, indiquant qu’OVHcloud se tenait prête, l’entreprise ayant préparé les données demandées. Mais la Gendarmerie canadienne aurait insisté pour une transmission directe, appuyée par le tribunal en Ontario.
Nos confrères affirment que l’affaire est depuis suivie de près par l’industrie technologique comme illustration des tensions autour du modèle commercial habituel du cloud, et plus généralement de la notion de souveraineté des données.
L’affaire rappelle celle qui avait alimenté la création du Cloud Act américain : Microsoft était sommée par un tribunal de fournir les données d’une personne accusée de trafic de drogue. Problème, ces données étaient situées sur un serveur en Irlande, l’entreprise estimant qu’il fallait passer par la voie classique de coopération. Pour le tribunal américain, Microsoft était une entreprise mondiale dont le siège était aux États-Unis, elle devait donc pouvoir transmettre ces données, où qu’elles soient. L’emplacement physique des serveurs n’avait pas d’importance.
« C’est une tempête dans un verre d’eau ! »
L’avocat Alexandre Archambault, spécialiste des questions numériques, n’est cependant pas d’accord avec le récit que dresse Heise de la situation. Il s’étonne également des réactions émues autour de la question, car il n’y a selon lui rien de nouveau dans cette affaire.
Contacté, il ne cache pas son agacement : « Il faut qu’on arrête vraiment ces tartufferies ! C’est une tempête dans un verre d’eau. Moi ce que je vois, c’est qu’une juridiction s’est prononcée, avec des magistrats indépendants, dans le cadre d’une procédure contradictoire, publique, sur laquelle tout le monde peut faire valoir ses points de vue. On est face à une décision de justice. Et bien sûr, si on n’applique pas cette décision, on s’expose à des sanctions. Et on peut tout à fait contester la décision là-bas, ce qui a été fait ».
L’avocat cite en exemple un arrêt de la cour d’appel de Paris (via le site de la Cour de cassation) dans le cadre d’une affaire où il était exigé de la filiale allemande d’OVHcloud qu’elle applique la loi française. OVHcloud avait contesté, mais la Cour avait confirmé la validité de la demande. « On peut difficilement exiger, à juste titre d’ailleurs, d’acteurs établis hors de France de communiquer des éléments d’identification d’auteurs d’infractions en ligne, tout en s’indignant que d’autres pays fassent la même chose », estime Alexandre Archambault.
Tout est dans le RGPD
Pour l’avocat, OVHcloud « n’est pas coincée entre deux lois » et le média allemand s’est trompé. « Le droit de l’Union, notamment au titre du DSA et du prochain règlement E-evidence, dit que les acteurs du numérique établis sur le sol européen doivent coopérer avec les autorités judiciaires, quelles qu’elles soient. Tout est dans l’article 48 du RGPD ! ».
Que dit ce dernier ? Que toute « décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international, tel qu’un traité d’entraide judiciaire, en vigueur entre le pays tiers demandeur et l’Union ou un État membre, sans préjudice d’autres motifs de transfert en vertu du présent chapitre ».
Or, rappelle l’avocat, il y a non seulement un traité d’entraide entre la France et le Canada, mais également un accord d’adéquation avec le pays. La CNIL pointait ainsi en décembre 2024 que le Canada faisait justement partie d’un groupe de onze pays bénéficiant « d’un niveau de protection adéquat », à la suite d’un examen d’évaluation de ces accords au regard du RGPD.
Les courriers du SISSE ne seraient donc que des rappels de la bonne marche à suivre dans ce contexte, mais il est difficile d’en savoir plus, leur contenu n’étant pas consultable.
Contactée, OVHcloud n’a pas souhaité réagir, indiquant simplement : « Nous ne commentons pas les décisions de justice ».
Toujours dans le lent cheminement menant de X11 à Wayland, l’équipe de KDE vient de confirmer le 26 novembre que la future mouture 6.8 de KDE Plasma n’aura plus de session X11.
Plasma 6.8 n’aura donc plus qu’une session Wayland. Comme GNOME récemment, les applications X11 seront confiées aux bons soins de XWayland. Comme nous l’avions expliqué dans notre dossier dédié, ce dernier permet de traiter les demandes pour l’ancien serveur d’affichage en enfermant ce dernier dans un client Wayland. La session X11, elle, disparaitra. Selon l’équipe de développement, « ce changement ouvre de nouvelles opportunités pour les fonctionnalités, les optimisations et la rapidité de développement ».
Dans l’ensemble, l’équipe de KDE prévoit un support de X11 dans Plasma jusqu’à début 2027. Le support pourrait être plus long dans Plasma 6.7, l’équipe prévoyant de publier des versions supplémentaires de corrections de bugs. Pour un besoin plus long, le billet recommande de s’orienter vers des distributions dont le support LTS garantit la présence de X11 pour l’instant. AlmaLinux 9 et son support jusqu’en 2032 sont donnés comme exemple.
L’équipe de KDE veut rassurer sur le support des applications via XWayland. Elle précise qu’elle a ajouté des fonctions supplémentaires de compatibilité, dont une prise en charge améliorée pour la mise à l’échelle fractionnée et une compatibilité rétroactive (optionnelle) pour les raccourcis généraux de X11 et l’émulation d’entrée (input).
Un support complet en bonne voie
Dans le billet, on trouve d’autres éléments intéressants. Par exemple, au sein de KDE lui-même, le support de X11 reste présent, permettant de lancer des applications KDE dans d’autres environnements de bureau. Le support des cartes NVIDIA est jugé en très bon état, même s’il faut passer par le pilote propriétaire. Côté accessibilité, l’équipe estime que les fonctions sont au même niveau qu’avec X11, avec des améliorations spécifiques dans Wayland, notamment dans les gestes tactiles sur touchpad. Il pourrait cependant y avoir quelques problèmes avec d’autres fonctions fournies par certaines applications tierces.
Les développeurs de KDE précisent quand même qu’il reste un certain nombre de problèmes importants, mais que le travail de correction est en bonne voie. Une partie d’entre eux seront corrigés dès la prochaine mouture 6.6, comme la mise en miroir pour la sortie vidéo. D’autres soucis, comme la restauration de session ou la mémorisation des positions de fenêtres, sont « activement travaillés ».
Il s’écoulera donc du temps avant que X11 disparaisse de KDE Plasma, mais le compte à rebours est lancé. Selon le calendrier actuel, KDE Plasma 6.8 est prévu pour octobre 2026, laissant près d’un an pour corriger les derniers problèmes. À noter que la plupart des distributions avec KDE proposent par défaut une session Wayland depuis un moment maintenant.
Au cours des trois dernières semaines, de nombreuses mairies françaises ont dû avertir une partie de leurs administrés : plusieurs de leurs données personnelles se sont retrouvées dans la nature. Ces piratages, qui seraient menés par le même groupe, s’inscrivent dans un contexte plus large d’attaques contre des prestataires de services.
Un nombre important de mairies, dont beaucoup en Bretagne, ont signalé des incidents cyber. Tous en commun une fuite d’informations : nom, prénom et, selon les cas, adresse postale, adresse e-mail et numéro de téléphone. Des données non sensibles, mais qui peuvent alimenter ensuite les grandes opérations de phishing.
La première mairie à avoir communiqué sur le sujet semble être Brest, le 14 novembre, faisant état d’une fuite de 50 000 données environ. Sur X, SaxX s’empare du sujet et commence à faire l’historique des fuites en commençant par Brest. Le 19 novembre, c’était au tour de Quimper avec 12 000 données, puis le chiffre total s’est rapidement approché des 100 000 avec plusieurs autres villes de Bretagne. Le même jour, on apprenait que la mairie d’Alfortville (Île-de-France cette fois) commençait à envoyer des e-mails concernant là encore une fuite, avec toujours les mêmes caractéristiques.
Il est rapidement apparu que toutes ces mairies n’avaient pas été directement piratées. Les attaques étaient dirigées contre des prestataires de services, notamment deux plateformes fournissant des solutions de prises de rendez-vous : RDV360 et SynBird. Sur le site Bonjourlafuite.eu.org, on peut voir plusieurs mairies référencées, avec des captures des messages envoyés aux personnes concernées.
Plus précisément, les informations sont celles données par les administrés lors des demandes de rendez-vous pour la production d’une pièce d’identité. Dans la plupart des cas, ces informations proviennent de demandes faites entre 2022 et 2025.
Dans tous les communiqués ou presque, les mairies indiquent qu’une déclaration a été faite à la CNIL (elles y sont légalement tenues) et qu’une plainte a été déposée. Si certaines communications ne le mentionnent pas, d’autres indiquent clairement qu’il s’agit d’un piratage de l’un des deux prestataires, RDV360 ou Synbird.
La fuite toucherait 1 300 communes, selon Le Parisien. Dans ses colonnes, la société savoyarde Synbird a réagi, confirmant le problème : « La fuite concerne les clients qui utilisent notre module de rendez-vous et de réservations de salle. Elle est circonscrite aux rendez-vous pris de début à fin octobre ». L’entreprise affirme avoir retracé l’origine du problème jusqu’à un poste d’employé municipal.
C’est la réutilisation d’un mot de passe, obtenu par une autre fuite, qui aurait permis aux pirates d’accéder au compte d’une mairie cliente. « L’attaquant a ensuite exploité une faille de sécurité dans le logiciel pour exporter des données. Ce problème a depuis été réglé par nos développeurs », a précisé Synbird, qui a ajouté que l’incident avait été déclaré à la CNIL et qu’un dépôt de plainte à la gendarmerie était en cours.
Les conseils donnés dans la plupart des cas sont les mêmes que ceux de la mairie de Brest dans son communiqué du 14 novembre : « aux personnes ayant fait une demande de pièces d’identité pendant cette période une vigilance particulière notamment en cas de démarchages inhabituels par mail et/ou téléphone, ou de demandes de coordonnées bancaires, même émise d’un opérateur connu des usagers ».
Sur son compte, SaxX affirme que ces fuites, pour des données allant de 2021 à novembre 2025, ont été orchestrées par un groupe de cybercriminels nommé « dumpsec » (qui est curieusement le nom d’un outil de sécurité utilisé pour des audits). Ce groupe aurait contacté le hacker et lui aurait fourni un échantillon « de 20 000 lignes concernant RDV360 ». Sur l’ensemble des mairies touchées par l’incident, 14 millions de données auraient été aspirées.
« Aucune donnée sensible »
La plupart des communiqués, à l’instar de ceux d’Ergué-Gébaric et de Guipavas, mettent l’accent sur l’absence de données « sensibles » dans les fuites. « Aucune donnée sensible, aucun document ou pièce d’identité, aucune donnée financière et aucun mot de passe n’ont été prélevés », peut-on lire par exemple dans le communiqué de Guipavas.
Pour autant, ces informations peuvent se révéler dangereuses. Elles alimentent les campagnes de phishing, et peuvent parfois servir à des attaques plus personnalisées, comme on l’a vu avec Ledger très récemment. Même sans ce type d’attaque plus ciblée, les numéros de téléphone et adresses e-mail intègrent de vastes bases de données exploitées pour des tentatives d’arnaques en tous genres.
On remarque également que ces fuites interviennent une fois de plus dans le cadre de l’exploitation d’une faille chez un partenaire, comme c’était le cas pour France Travail.
Fin mars, Plex annonçait à la fois une hausse des prix et un changement d’approche pour la diffusion des contenus médias en dehors de son réseau domestique. En clair, il s’agissait de faire passer les utilisateurs à la caisse.
Sans toucher à la diffusion domestique, il était proposé deux manières de payer, selon le contexte. Pour la personne ayant le serveur et les contenus, une formule Plex Pass (6,99 dollars par mois ou 69,99 dollars par an) déverrouillait la possibilité de streamer vers des personnes extérieures au réseau, par internet donc. Dans l’autre sens, une personne peut payer 1,99 dollar par mois (ou 19,99 dollars par an) pour un Remote Watch Pass, permettant l’accès à un serveur Plex distant, sans que son possesseur ait besoin d’un Plex Pass.
Il était prévu que ces règles entrent en vigueur à compter du 29 avril, mais l’application ne se fait réellement que cette semaine, en commençant par l’application Roku. L’équipe a confirmé le changement dans un message dans son forum le 20 novembre et repéré par How-To Geek le 25.
Si cette obligation est limitée pour l’instant, elle sera généralisée l’année prochaine à toutes les autres applications (Android TV, Apple TV, FireTV…) « ainsi qu’à tout client tiers utilisant l’API pour proposer le streaming à distance ».
Rappelons que ces changements concernent l’accès distant pour les serveurs Plex. Les personnes utilisant cette solution de streaming pour de la diffusion locale ne sont pas concernées.
Dans un billet publié ce 24 novembre, l’équipe du réseau d’anonymisation Tor a annoncé un changement important pour la sécurité de son infrastructure. Elle va ainsi remplacer l’ancienne méthode de chiffrement « pour chiffrer les données utilisateur au fur et à mesure de son parcours » entre les relais, au profit d’une approche beaucoup plus sécurisée.
L’ancienne méthode, nommée « tor1 », comporte plusieurs problèmes. Créée en 2002, elle n’est plus adaptée aux attaques plus modernes, notamment par marquage. Celles-ci permettent à un acteur malveillant de tracer le trafic en le modifiant à un endroit du réseau et en observant des changements prévisibles à un autre endroit.
Des briques de 2002
Cet ancien système utilise AES-128-CTR comme algorithme de chiffrement. Considéré comme malléable, il peut permettre à cet acteur malveillant de modifier un contenu chiffré de manière prévisible, sans connaitre la clé. S’il parvient à contrôler plusieurs nœuds du réseau, il peut insérer un motif dans les données chiffrées d’un côté et le retrouver de l’autre, permettant de démasquer une personne immédiatement (trouver son identifiant unique), plutôt que de s’appuyer sur des méthodes probabilistes.
Dans le billet, l’équipe de Tor évoque deux autres problèmes. D’une part, tor1 n’offre pas de confidentialité persistante immédiate, les mêmes clés AES étant utilisées pendant toute la durée de vie du circuit (jusqu’à plusieurs jours). D’autre part, cette infrastructure utilise actuellement des authentificateurs de 4 octets (32 bits) utilisant SHA-1, « qui affiche son âge, c’est le moins que l’on puisse dire », note l’équipe.
Cet authentificateur est une valeur cryptographique permettant de vérifier que les données n’ont pas été modifiées pendant leur transmission. Quand un client Tor envoie des données, il doit s’assurer en effet que personne ne les a altérées en chemin. L’authentificateur fonctionne comme une empreinte digitale des données : le client la calcule en utilisant les données elles-mêmes et une clé secrète partagée avec le relai destinataire. Quand ce dernier reçoit les données, il recalcule l’empreinte de son côté et la compare avec celle reçue. Si les deux correspondent, les données n’ont pas été modifiées.
La solution Counter Galois Onion
L’équipe est donc en train de déployer un changement majeur pour le chiffrement des informations de l’utilisateur entre les relais. Nommée Counter Galois Onion (CGO), cette solution se base sur une construction cryptographique baptisée Rugged Pseudorandom Permutation par ses quatre auteurs : Jean-Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam.
Ces chercheurs ont soumis à ce sujet deux rapports. Dans l’un, on remarque que le besoin d’un renforcement de la sécurité sur le cheminement des données entre les relais avait été exprimé par Tor dès 2012. La seule solution envisagée alors était couteuse en opérations de chiffrement. CGO a été présenté comme une alternative « minimaliste et modulaire », avec plusieurs avantages. Dans l’autre, les chercheurs détaillent en quoi CGO est une méthode robuste.
La nouvelle méthode est censée garantir que toute altération d’une partie des données chiffrées rende le reste du message (ou cellule) irrécupérable, y compris les messages suivants. L’authentificateur passe à 16 octets (128 bits) et les clés cryptographiques sont transformées de manière irréversible après chaque cellule envoyée ou reçue, éliminant la possibilité de déchiffrer les cellules antérieures. Ce changement assure une confidentialité persistante immédiate et l’utilisation de grands blocs de données doit prémunir le réseau contre les attaques par marquage.
La nouvelle méthode cryptographique a déjà été intégrée dans Arti, l’implémentation de Tor en Rust. Elle est en cours dans la version classique (en C). En revanche, l’équipe n’a rien dit sur une date d’arrivée dans Tor Browser.
Google travaillerait sur un système d’exploitation unifié, basé sur Android, pour presque tous les appareils actuellement visés par l’entreprise : tablettes, équipements multimédia et PC. Google serait prête à lancer sa grande offensive l’année prochaine, avec possiblement des mises à jour pour une partie des appareils aujourd’hui sur ChromeOS. Sans surprise, l’IA serait au cœur du produit.
En septembre, lors du Summit de Qualcomm, Google était également dans la place. Rick Osterloh, vice-président de l’entreprise chargé des appareils et services, était monté sur scène pour discuter avec Cristiano Amon, CEO de Qualcomm. Ensemble, ils avaient annoncé un produit centré sur Android pour les PC.
Selon Android Authority, ce projet se nomme Aluminium OS. Un nom étrange, car s’il renvoie à un métal comme Chrome, l’orthographe contenant un deuxième « i » renvoie à une graphie britannique. Aux États-Unis, on utilise plutôt la graphie « aluminum ». Le « i » supplémentaire pourrait avoir été ajouté en référence à Chromium ou à l’IA.
Nos confrères avaient indiqué en novembre 2024 que Google avait un tel projet dans les cartons et rêvait d’une plateforme unifiée depuis longtemps. La vision serait aujourd’hui beaucoup plus avancée, avec un lancement prévu pour l’année prochaine, sans plus de précisions. L’objectif global serait de combiner ChromeOS et Android en une seule plateforme capable de fonctionner sur (presque) tous les supports. Un projet de fusion que Google a directement confirmé en juillet dernier à TechRadar.
Une IA centrale intégrée, mais comment ?
Comme le relève cependant Android Authority, il reste de nombreuses questions en suspens, dont le matériel réellement supporté, le type d’interface, le positionnement des produits associés, la possibilité de mettre à jour les Chromebooks existants, la manière dont l’IA va se manifester, son éventuelle dépendance à une connexion permanente, etc.
Nos confrères pointent une offre d’emploi pour un poste de « Senior Product Manager, Android, Ordinateurs portables et tablettes ». Cette offre, initialement publiée sur LinkedIn et aujourd’hui supprimée, mentionnait explicitement le travail sur « un nouveau système d’exploitation Aluminium, basé sur Android », avec un positionnement central de l’IA, et à destination des ordinateurs portables, détachables, tablettes et diverses box. A priori, tous les segments de gamme seraient visés, jusqu’au « Premium ». Aluminium OS semble présenté comme un nom de code et est d’ailleurs abrégé en ALOS, pour Aluminium Operating System.
Une présence aussi importante de l’IA suppose une intégration profonde de Gemini. Mais quel en serait le fonctionnement ? Sur Android actuellement, pour les appareils le supportant comme les Pixel 9 et 10, une partie des requêtes s’exécutent localement. Quand elles sont plus complexes, elles sont envoyées aux serveurs de Google. La société a d’ailleurs annoncé récemment son Private AI Compute pour un traitement « confidentiel » des requêtes, avec une approche calquée sur celle d’Apple.
L’annonce précise que le ou la future responsable aurait à sa charge les plateformes et appareils ChromeOS et Aluminium. Mais si ce dernier représente le futur de Google, alors les deux plateformes cohabiteraient un moment, avant que ChromeOS disparaisse. Selon nos confrères, Google réalise des tests d’ALOS sur des configurations utilisant le SoC Kompanio 520 de MediaTek ou un processeur Alder Lake d’Intel. Ils estiment que les configurations utilisant ces puces ou des modèles approchant pourraient se voir proposer le nouveau système en mise à jour optionnelle. En outre, les tests auraient lieu sur une version actuellement basée sur Android 16, mais la version finale serait basée sur Android 17.
Les fonctions pourraient faire la différence
Google sait que les puces Arm constituent une base solide pour une informatique mobile. Apple l’a amplement montré avec ses designs personnalisés au travers de sa série M sur les Mac (puces Apple Silicon), et Microsoft a obtenu une certaine crédibilité avec les configurations basées sur les Snapdragon X Elite. Qualcomm a d’ailleurs présenté les X Elite 2 lors de son dernier Summit, avec des gains importants promis sur les performances.
Et alors que les questions autour de la pertinence de Windows s’accumulent, face à la volonté de l’entreprise d’inclure l’IA dans chaque recoin et à un Linux qui n’a plus à rougir dans le domaine du jeu vidéo, Google pourrait se positionner. L’extension d’Android vers les PC (notamment) pourrait ainsi aboutir au même type d’univers qu’Apple, avec de nombreux produits capables de synchroniser toutes leurs informations, la reprise d’activité en passant de l’un à l’autre, un fonctionnement hors ligne, ou encore une IA capable de réponse sans connexion internet.
Dans un autre article, Android Authority dresse d’ailleurs une liste de fonctions rêvées, dont le support natif des jeux prévus pour Windows. Dans ce domaine, lancer des applications Windows de manière générale serait un gros avantage, mais la compatibilité avec les jeux enfoncerait le clou. Il faudrait idéalement que Google se rapproche de Valve pour intégrer Proton (bien qu’il s’agisse d’un projet libre n’ayant pas besoin d’un aval particulier), qui a largement transformé le jeu sur Linux et est au cœur des récentes annonces de Valve sur le matériel, dont la Steam Machine. Mais il faudrait encore que l’ensemble puisse fonctionner sur l’architecture Arm, Proton étant prévu pour du x64.
Rappelons par ailleurs que Google vient de relancer Cameyo, sa solution de virtualisation permettant d’utiliser des clients lourds Windows au sein de Chrome ou de ChromeOS, à destination du marché entreprise.
Si Google envisage réellement une sortie l’année prochaine, il est probable qu’une communication officielle sur le sujet fasse bientôt son apparition, pour préparer le marché et faire grimper les attentes. Un lancement en 2026 signifierait également une opposition frontale avec un autre produit prévu par les rumeurs : le lancement par Apple d’un MacBook d’entrée de gamme basé sur une puce A, que l’on trouve d’ordinaire dans les iPhone, et dont le tarif serait de 600 dollars.
Si la vision Aluminium OS se concrétise, Google pourrait alors bénéficier de tout un écosystème cohérent de produits unis par les mêmes services, avec une approche commune. Un projet que Microsoft n’a jamais su mener à bien, particulièrement à l’époque de Windows Mobile et Windows Phone.
Début septembre, Signal lançait une fonction de sauvegarde sécurisée dans une version bêta de son application Android. Il s’agissait alors de proposer une méthode alternative de sauvegarde, avec des échanges chiffrés de bout en bout, sur les propres serveurs de l’entreprise.
Cette fonction est aussi disponible désormais dans la dernière version de l’application iOS. Le fonctionnement est le même : une version gratuite sauvegardant 100 Mo de texte et les 45 derniers jours pour les médias échangés, ou une version payante à 1,99 dollar par mois, pour un stockage passant alors à 100 Go. Signal estimait que 100 Mo pour les textes étaient largement suffisants pour la plupart des utilisateurs.
Cette option payante est la toute première lancée par Signal depuis sa création. À son arrivée début septembre, le billet d’annonce précisait que la nouvelle fonction serait répercutée sur iOS et dans les versions desktop. Ces dernières sont donc les prochaines sur la liste.
Rappelons également que cette fonction n’est « pas la fin de la route », selon les propres mots de Signal. Elle va servir de base au chapitre suivant, qui sera de proposer la possibilité de sauvegarder les données où l’on souhaite, avec possibilité de restaurer les données sur n’importe quelle autre application Signal sur un autre appareil.
L’installation, la désinstallation et la mise à jour des applications tierces sur Windows a toujours été un sujet. Des ajouts récents dans les préversions du système montrent que l’éditeur cherche à simplifier certaines démarches.
Dans un récent billet de blog, Microsoft a présenté plusieurs nouveautés en approche pour Windows 11 et en cours de diffusion auprès des testeurs (Windows Insiders). On y trouve des ajouts comme le mode plein écran pour l’application Xbox, ou encore la restauration ponctuelle. Celle-ci est surtout destinée aux entreprises, avec un enregistrement de l’état de la machine toutes les 24 heures (par défaut, modifiable par l’équipe d’administration), que l’on peut restaurer depuis WinRE.
Un bouton attendu depuis longtemps
Dans le billet, on trouve également un ajout dans le Microsoft Store que les utilisateurs réclament depuis longtemps : la possibilité de désinstaller une application directement depuis la liste dans l’onglet Bibliothèque. Cette capacité n’est valable que pour les applications installées depuis la boutique, mais elle simplifie nettement la gestion du parc applicatif. On se demande d’ailleurs pourquoi il a fallu autant de temps.
Non que la désinstallation des applications soit un gros problème dans Windows, surtout quand elles viennent du Store. Le type package spécifique utilisé sur la boutique rend la suppression d’un logiciel rapide et propre. On peut aussi la lancer depuis le menu Démarrer via un clic droit sur le raccourci. Et dans tous les cas, il reste le panneau classique de gestion des applications depuis le panneau des Paramètres.
Une centralisation des mises à jour ?
Dans ce dernier, la section Applications vient justement de recevoir un ajout dans les dernières préversions. Nommé App Updates, il laisse à penser que le système devrait être capable de récupérer des mises à jour pour des applications de manière centralisée. Une capacité qui a toujours fait défaut à Windows, et pour cause : il n’existe pas de dépôt centralisé pour l’ensemble des applications tierces.
Ce problème s’est légèrement amoindri dans le temps avec la proportion grandissante d’applications présentes dans le Store, la boutique mettant régulièrement à jour tout ce qu’elle a installé. Mais il est resté, car nombre de logiciels restent installés par des processus séparés, via le flux traditionnel : site de l’éditeur, téléchargement d’un exécutable, lancement de l’installation. Les problématiques liées sont connues, avec des mises à jour pas toujours faites (nombre d’applications n’ont pas de processus intégré, comme 7-zip) et des failles de sécurité restant béantes sur une partie du parc informatique.
Des outils spécialisés sont apparus pour aider à gérer ces problèmes. Microsoft a par exemple WinGet en ligne de commande. UniGetUI (anciennement WinGetUI) récupère cet outil au sein d’une interface complète et simplifiant d’autant la gestion.
Mais ces outils ont également des inconvénients, car ils récupèrent le package d’installation et l’installent sur la version déjà présente. La mise à jour se fait, mais puisque le processus est celui d’une première installation, il y a de petites conséquences parfois désagréables, comme le retour de l’icône correspondante sur le bureau. Le processus n’a pas la transparence d’une distribution Linux puisant dans un dépôt.
C’est d’ailleurs ce point qui interroge pour le nouvel ajout de Microsoft : quel serait le fonctionnement ? Windows Central émet l’idée qu’il s’agirait d’une capacité équivalente à celle du Store dans le cas où celui-ci ne serait pas disponible, parce qu’il a été désactivé ou même désinstallé. Difficile en tout cas pour le moment d’en savoir plus – que ce soit sur le fonctionnement ou le périmètre de la fonction – car le bouton ne déclenche pour l’instant aucune action et Microsoft n’en a pas encore parlé.
Connexion
