Je choisis la french tech après la DINUM

Le Premier ministre a publié une circulaire « relative à la commande publique numérique » couchant noir sur blanc la doctrine de l’État concernant les choix et achats de logiciels par ses services. Elle priorise l’utilisation de solutions internes existantes avant l’achat de produits « sur étagère ». Le développement de solutions en interne n’arrive qu’après.

Depuis la mise en avant de la Suite numérique de l’État et notamment sa solution de visioconférence Visio, une partie du milieu de l’industrie numérique français criait à la concurrence déloyale. Une circulaire relative à la commande publique numérique signée par Sébastien Lecornu essaye de jouer l’équilibre entre la mise en avant des solutions mutualisées développées en interne et le soutien aux startups françaises.

Publiée le vendredi 13 février au Journal officiel, cette circulaire relative à la commande publique numérique avait été évoquée par le gouvernement Lecornu lors de l’annonce, au début du mois, d’une nouvelle phase de déploiement pour le programme « Je Choisis La French Tech ».

À cette occasion, David Amiel, le ministre délégué chargé de la Fonction publique et de la Réforme de l’État, affirmait que « l’État n’a pas pour mission de concevoir des produits » et qu’il fallait se tourner vers le secteur privé. Mais c’est, en même temps, ce même ministre qui a récemment annoncé la généralisation de Visio, développé par la Dinum au sein de sa plateforme La Suite numérique.

• Je choisis la French Tech… mais la French Tech doit faire attention à ce qu’elle choisit !
• L’État veut généraliser « Visio », l’outil de webconf de La Suite Numérique d’ici 2027

Priorité aux solutions mutualisées existantes…

Avant la publication de la circulaire, Bercy affichait que son but était de clarifier la doctrine d’achat de solutions numériques de l’État. Tout en essayant de ménager les startups françaises, ce texte donne priorité aux « solutions mutualisées déjà développées […] disponibles au sein de l’administration, en particulier via les services offerts par les opérateurs mutualisés ».

La circulaire donne une liste non exhaustive de ces opérateurs : DINUM, IGN, Opérateur des systèmes d’information interministériels classifiés (OSIIC), Centre interministériel de services informatiques relatifs aux ressources humaines (CISIRH), Agence pour l’Informatique financière de l’État (AIFE). « Leur recours doit être étudié en premier lieu en prenant en compte, le cas échéant, les besoins de développements complémentaires qui pourraient être nécessaires », explique encore le texte. C’est la DINUM elle-même qui tient le catalogue des solutions disponibles.

… puis aux solutions privées « sur étagère »

Ce n’est qu’après avoir vérifié qu’aucune solution mutualisée n’existe qu’un service de l’État peut s’équiper via des solutions « sur étagère » du privé. Le texte affirme que « l’État accorde une priorité forte à l’achat auprès de PME innovantes pour soutenir la recherche et développement au sein de l’écosystème européen » et ajoute que « chaque secrétariat général se fixe pour objectif d’augmenter sa part d’achats auprès de PME innovantes ».

Le développement d’un logiciel en interne ne peut intervenir que s’il n’existe pas de solutions « sur étagère » ou si celles-ci existent mais ne sont pas satisfaisantes. La circulaire évoque quand même de nombreux motifs d’insatisfactions autres que le coût, ainsi sont énumérées « les conditions de sécurité, de durabilité, de besoin ou de délais précitées ».

La souveraineté numérique en critère essentiel

Lorsqu’il y a achats numériques, la circulaire pose des objectifs prioritaires à prendre en compte. Le premier est « la performance métier ». La « souveraineté numérique » arrive en deuxième, puis la sécurité, le coût, la disponibilité, l’adaptabilité et la réversibilité, l’interopérabilité et enfin la durabilité.

Si la souveraineté numérique est bien placée, il restait à la définir. Le texte affirme qu’en pratique, elle s’appuie « en particulier » sur trois points : l’immunité au droit extra-européen à portée extraterritoriale, la capacité de l’État à substituer une composante de ses systèmes numériques par une solution alternative, la maîtrise des technologies clefs.

« La qualification SecNumCloud permet notamment d’attester qu’une offre de service d’informatique en nuage bénéficie d’une protection adéquate à l’égard des réglementations extra-européennes à portée extraterritoriale. Cette immunité est en particulier requise lorsque la sensibilité des données le justifie », affirme le texte, toujours sur le volet souveraineté.

• Vincent Strubel (ANSSI) tient à rappeler ce qu’est vraiment SecNumCloud

Côté sécurité, le besoin doit être « défini dès le lancement du projet en prenant en compte les exigences réglementaires spécifiques à certains types de données ou d’activité ». La qualification SecNumCloud y est aussi évoqué pour l’hébergement de « données d’une sensibilité particulière telles que définies par la loi ».

Le texte fait enfin un « zoom sur l’open source », affirmant : « que les solutions soient directement disponibles auprès d’un opérateur ou résultent d’un achat « sur étagère », il est recommandé de privilégier, lorsque c’est pertinent, le recours à des produits open source ». L’utilisation des logiciels open source permet « d’investir dans les mêmes technologies et de bénéficier des avancées de chacun ». « Une attention particulière doit être portée sur les contributions au code ouvert, tant sur la qualité que sur la quantité, afin de garantir sa pérennité et sa sécurité », précise le texte.

Zero virgule cinq Knowledge

Une étude réalisée par des chercheurs de l’École polytechnique fédérale de Zurich révèle que Bitwarden, LastPass et Dashlane pourraient, dans des conditions exceptionnelles, permettre la divulgation du mot de passe principal de leurs utilisateurs, en dépit de leur promesse relative au chiffrement « Zero Knowledge ». Les trois services indiquent avoir déjà implémenté les corrections nécessaires.

Devenus incontournables dans le quotidien de millions d’internautes, les gestionnaires de mot de passe opérés dans le cloud offrent-ils les garanties de sécurité nécessaires et suffisantes ? Une étude menée sous l’égide de l’École polytechnique fédérale de Zurich (ETH Zurich) conclut que trois services parmi les plus populaires du secteur présentaient des vulnérabilités susceptibles de conduire à la divulgation ou à la modification du mot de passe principal du compte de l’utilisateur.

Au cours de leurs travaux, les chercheurs ont exploité un scénario possible, mais très hypothétique : celui d’une prise de contrôle du serveur chargé des interactions avec l’utilisateur final. Dans ce contexte exceptionnel, ils indiquent avoir réussi à mener douze attaques différentes conduisant à une compromission du mot de passe chez Bitwarden, contre sept pour LastPass et six chez Dashlane. Les chercheurs ne remettent pas en cause la sécurité des chiffrements mis en œuvre : d’après leurs observations, c’est principalement au niveau des mécanismes chargés de faciliter la vie des utilisateurs que se situent les vulnérabilités.

La promesse du Zero Knowledge

Les gestionnaires de mot de passe en ligne invoquent en général le concept de Zero Knowledge (littéralement, « aucune connaissance ») pour rassurer leurs utilisateurs quant à la sécurité de leurs données. Bien qu’il n’obéisse pas à une définition ou à des conditions techniques de mise en œuvre strictes, il suppose que le serveur qui stocke les mots de passe est littéralement incapable d’en connaître le contenu, parce que ce contenu est chiffré et que seul l’utilisateur final dispose de la clé privée indispensable à son déchiffrement.

« Techniquement, Dashlane ne possède pas d’autre clé, mais nous avons bâti un mécanisme de chiffrement qui garantit que votre coffre-fort est sécurisé avec votre clé et que les données du coffre-fort ne sont accessibles que par vous, le propriétaire. C’est pourquoi toutes les opérations sensibles de Dashlane, le chiffrement et le déchiffrement de votre coffre-fort en l’occurrence, sont effectuées localement sur votre appareil. Cela garantit que nous ne les voyons pas sur nos serveurs. », illustre par exemple Dashlane.

Cette promesse tient-elle toujours si le serveur qui héberge les mots de passe est compromis ? L’étude complète, annoncée et publiée par l’ETH Zurich (PDF), répond par la négative. Au cours de leurs travaux, les chercheurs indiquent en effet avoir mené avec succès quatre types d’attaques, exploitant respectivement les fonctionnalités de séquestre utilisées pour la récupération de compte et la connexion unifiée (SSO), les manquements du coffre-fort en matière d’intégrité, les fonctionnalités de partage et les outils dédiés à la rétrocompatibilité.

Une surface d’attaque augmentée par la complexité du code

Les auteurs précisent avoir sélectionné Bitwarden, LastPass et Dashlane à la fois parce que ces derniers peuvent être considérés comme représentatifs du secteur (par leur ancienneté et leur parc de clients, estimé à 60 millions d’utilisateurs cumulés, ou 23 % de parts de marché) et parce que le code de leurs clients logiciels est ouvert (totalement pour Bitwarden, partiellement pour les deux autres), contrairement à celui des solutions d’Apple ou de Google, très populaires puisque intégrées à leurs environnements mobiles.

Au total, 25 attaques ont donc ont été menées avec succès sur l’ensemble des services examinés. « Nous avons été surpris par la gravité des failles de sécurité », commente Kenneth Paterson, l’un des auteurs de l’étude, selon qui la découverte est d’autant plus criante que les gestionnaires de mots de passe constituent, par essence, une cible à très forte valeur perçue pour des attaquants. Les auteurs remarquent par ailleurs que si les conditions de test sont particulières (serveur malveillant), leurs attaques sont réalisées par le truchement d’interactions « normales » de l’utilisateur final avec le service.

Dans la discussion qui suit l’exposé de leurs attaques, ils remarquent que les gestionnaires de mot de passe sont tiraillés entre deux exigences contradictoires que sont la sécurité et le niveau de service fonctionnel rendu à l’utilisateur, qui s’attend à pouvoir récupérer son mot de passe en cas de perte, consulter son gestionnaire sur tous les écrans, ou disposer de fioritures telles que la création d’accès partagés.

« Après un examen plus approfondi, nous avons constaté que les gestionnaires de mots de passe sont loin d’être simples : ils ont évolué pour inclure des protocoles complexes pour la synchronisation, la récupération et la rotation des clés, le partage d’éléments chiffrés et la migration entre différentes primitives cryptographiques [les briques qui fournissent les fonctions de base du chiffrement, ndlr] », remarquent les auteurs. C’est, selon eux, cette complexité accrue qui augmenterait la surface d’attaque potentielle.

Les gestionnaires de mots de passe accusent réception

Avertis en amont de la publication de l’étude, les trois éditeurs de services concernés ont accusé réception de ces découvertes. « Tous les problèmes identifiés dans le rapport ont été traités », promet Bitwarden qui détaille les réponses apportées dans un rapport de transparence dédié (PDF). Trois ne seront cependant pas corrigés, parce que le remède compromettrait certaines fonctionnalités du service, indique tout de même l’éditeur. Qui profite de l’occasion pour « réaffirmer que Bitwarden n’a jamais subi de violation de données ».

Dashlane salue également ce travail de recherche, qualifié d’exercice utile, et précise avoir apporté tous les correctifs jugés nécessaires dans sa version 6.2544.1 publiée le 5 novembre dernier. Le service en profite pour souligner que les fonctionnalités de partage (basées sur une clé publique) et les mécaniques de synchronisation basées sur l’échange de transactions chiffrées sont des difficultés intrinsèques au service rendu.

« Cette recherche met en lumière plusieurs enseignements :
– Maintenir les méthodes cryptographiques à jour est essentiel pour la sécurité, mais cela introduit une complexité qui doit être gérée avec soin.
– L’authentification de clé publique à grande échelle est un défi connu que notre secteur doit relever. »

Même son de cloche du côté de LastPass, qui indique avoir déjà corrigé l’une des vulnérabilités mises au jour par l’ETH, et ajoute plancher sur la sécurisation des parcours de réinitialisation et de partage, ainsi que sur l’amélioration des mécanismes dédiés au contrôle d’intégrité.

Une démarche à laquelle adhèrent tacitement les chercheurs :

« Les vulnérabilités que nous décrivons sont nombreuses, mais pour la plupart mineures sur le plan technique. Pourtant, elles n’avaient apparemment pas été découvertes auparavant, malgré plus d’une décennie de recherche universitaire sur les gestionnaires de mots de passe et l’existence de multiples audits des trois produits que nous avons étudiés. Ceci motive la poursuite des travaux, tant sur le plan théorique que pratique. »

L’Europe accueille une nouvelle start-up de défense, et pas des moindres : installée à Amsterdam, Onodrim Industries veut « jeter les bases d’un nouveau noyau européen de défense », selon son communiqué.


La société indique travailler à une plateforme industrielle dédiée à la gestion de sujets de sécurité nationale. Pour se lancer, elle vient de lever 40 millions d’euros auprès de Founders Fund, l’un des fonds du financier américain Peter Thiel, Lakestar, General Catalyst et plusieurs fonds et business angels européens.

La société a été cofondée par l’ancien conseiller du gouvernement lituanien et responsable technologique de Palantir, Aistis Šimaitis, qui en sera le PDG ; l’ancien responsable ingénierie de Palantir, Alexander Blessing, qui en sera directeur technique ; et le financier Christian Garett. Avec son fonds 137 Ventures, ce dernier possède aussi des parts d’Anduril, société de défense fondée en 2017 par Palmer Luckey, de SpaceX, et de diverses sociétés de technologies militaires.

Dans un contexte de guerre en Ukraine et de grands changements géopolitiques, Onodrim déclare construire les outils qui permettront au Vieux continent de se défendre tout en restant compétitif. Italo-américain, Christian Garett précise avoir une « opportunité unique sur une génération » d’influer sur la manière dont les investissements renforcent « notre sécurité et notre base industrielle » dans la mesure où l’Europe se prépare à investir près de « 800 milliards d’euros pour ses dépenses de défense d’ici 2030 ». Le financement doit permettre de recruter des ingénieurs et créer des usines et des espaces de recherche et développement en Europe.

Onodrim est nommée d’après l’œuvre de Tolkien, dans laquelle il est utilisé pour nommer parfois les Ents, les esprits des forêts qui prennent l’apparence d’arbres. Ce faisant, elle s’inscrit directement dans le sillage de la multitude d’entités créées ou financées par Peter Thiel, à commencer par Palantir, Anduril, la banque Erebor, et diverses sociétés de capital-risque.

• Derrière l’infrastructure numérique pensée pour Gaza, Oracle et Palantir

Sur X, Christian Garett précise que le projet ne consiste pas à concurrencer Palantir et Anduril. Il évoque plutôt la possibilité de « s’appuyer » sur les « épaules » de ces « entreprises générationnelles ».

Les complotistes vont adorer le détester

La Stratégie nationale de lutte contre les manipulations de l’information 2026 - 2030 relève que la menace, en matière d’ingérences étrangères, n’a jamais été aussi élevée, mais également que la France a été l’une des pionnières dans la lutte dirigée contre cette dernière.

« Chaque citoyen, acteur public ou privé, doit disposer des moyens de s’informer de manière éclairée, de comprendre les mécanismes d’ingérence et de contribuer activement au débat démocratique », résume la Stratégie nationale de lutte contre les manipulations de l’information 2026 - 2030. Son introduction souligne qu’ « au cœur de cette stratégie se trouve l’ambition de dépasser la simple lutte contre les manipulations de l’information pour construire une société capable de maintenir la confiance et des repères communs ».

Un objectif urgent mais probablement hors d’atteinte, d’autant plus louable que le Parlement et donc l’opinion publique n’ont jamais été aussi divisés, que les médias et réseaux sociaux n’ont jamais été autant instrumentalisés et pollués par des manipulations de l’information (franco-françaises comme pouvant relever d’ingérences étrangères).

Cette première Stratégie nationale de lutte contre les manipulations de l’information, que vient de publier le Secrétariat de la défense et de la sécurité nationale (SGDSN), a pour objectif de doter la France de « moyens renforcés pour protéger son débat public, garantir la capacité de chacun à se forger un jugement éclairé et défendre, avec ses partenaires, un espace informationnel fondé sur la liberté d’expression et la pluralité des opinions » :

« Elle s’articule autour de quatre priorités : renforcer la résilience de la Nation ; encadrer et responsabiliser les plateformes en ligne et les services d’intelligence artificielle générative ; consolider les capacités nationales de détection, d’attribution et de réponse ; agir avec les partenaires européens et internationaux pour préserver un espace informationnel libre, ouvert et sécurisé. »

Dans sa préface, le président de la République souligne que les manipulations de l’information « ne sont plus des accidents marginaux du débat public » et qu’elles sont « devenues des instruments à part entière de confrontation stratégique » :

« Elles visent moins à convaincre qu’à désorienter, moins à imposer une vérité qu’à dissoudre les repères communs, moins à gagner un débat qu’à affaiblir la possibilité même du débat. En brouillant les frontières entre le vrai et le faux et en exploitant les fractures sociales et émotionnelles, elles cherchent à miner de l’intérieur ce que les démocraties ont de plus robuste : la confiance. »

« Face à ces pratiques, la tentation pourrait être grande d’ériger des murs, de restreindre la parole, de surveiller les idées. Ce serait une erreur », poursuit Emmanuel Macron : « La force des régimes autoritaires est de pouvoir contrôler l’information ; la force des démocraties est de pouvoir la confronter ».

« Il ne s’agit pas de dire ce qu’il faut penser, mais de garantir que chacun puisse penser librement », tout en identifiant les auteurs et vecteurs de manœuvres hostiles, « sans jamais soupçonner les citoyens » :

« Cette stratégie repose sur une conviction simple : le premier rempart contre la manipulation est la société elle-même. Une société instruite, capable de discernement, confiante dans ses institutions et dans ses médias, est une société moins vulnérable aux récits de division. »

« Ce n’est pas un hasard si les manipulations de l’information prospèrent d’abord là où existent l’ouverture, le débat et la pluralité », et donc dans nos démocraties, qui « sont aujourd’hui observées, testées, parfois attaquées par des régimes qui redoutent leur exemple » :

« C’est le paradoxe de la liberté : elle attire ceux qui veulent l’affaiblir. Mais c’est aussi sa force : elle permet de leur résister sans leur ressembler. […] Il ne s’agit pas seulement de protéger nos institutions. Il s’agit de défendre la capacité de chacun à se forger un jugement éclairé. »

Des MacronLeaks à l’assassinat de Samuel Paty

Élaborée sous l’égide du SGDSN, la stratégie nationale 2026 - 2030 s’appuie sur des contributions d’experts, de chercheurs, de parlementaires et d’acteurs de terrain engagés dans la lutte contre les manipulations de l’information, mais sans que le SGDSN n’en indique la liste. Elle revient par contre largement sur les différentes étapes ayant conduit à sa rédaction, et souligne que la France a été un « pays précurseur » en matière de lutte contre les manipulations de l’information.

Les MacronLeaks, publiés à la veille du premier tour de la présidentielle 2017, et depuis attribués à Fancy Bear (ou APT28, une unité du GRU, le service de renseignement militaire russe, également à l’origine du piratage de TV5Monde) avaient ainsi conduit à la mise en place, en 2018, d’un réseau de coordination interministérielle placé sous l’égide du SGDSN.

En décembre 2018, la loi relative à la lutte contre la manipulation de l’information avait doté, en parallèle, le CSA (devenu Autorité de régulation de la communication audiovisuelle et numérique, ARCOM) et le juge des référés de nouvelles prérogatives en la matière.

• Emmanuel Macron veut légiférer contre les « fake news »
• Loi anti-fake news : les lamentations du CSA, le secret des affaires des plateformes

Fin 2020, l’assassinat de Samuel Paty « a marqué un tournant dans la perception de la menace, révélant la dangerosité des dynamiques de haine amplifiées numériquement ». La création de la « Task force Honfleur » interministérielle dédiée, décidée dans la foulée, jeta les bases d’un dispositif de réponse pérenne.

La création du service de vigilance et de protection contre les ingérences numériques étrangères (VIGINUM) en 2021 a depuis permis de sortir d’une « logique de gestion de crise », souligne le SGDSN, de structurer la doctrine et de lui dédier des « capacités opérationnelles », d’inscrire la « protection du débat public francophone au cœur de la défense et de la sécurité nationale », mais également de « renforcer la crédibilité de la France dans les coopérations internationales ».

Un « périmètre d’action publique ciblé »

Le décret du 13 juillet 2021 portant création de VIGINUM a défini la notion d’ingérence numérique étrangère (INE) comme étant une « opération impliquant, de manière directe ou indirecte, un acteur étranger (étatique ou non), et visant la diffusion artificielle ou automatisée, massive et délibérée d’allégations ou imputations de faits manifestement inexactes ou trompeuses, de nature à porter atteinte aux intérêts fondamentaux de la Nation ».

VIGINUM ne vise donc pas à lutter contre toute forme de désinformation, mais uniquement celles relevant d’une « typologie rigoureuse de la menace, qui repose sur quatre critères cumulatifs : une atteinte potentielle aux intérêts fondamentaux de la Nation ; une allégation ou imputation de fait manifestement inexacte ou trompeuse ; une diffusion, ou une volonté de diffusion, artificielle ou automatisée, massive et délibérée ; l’implication, directe ou indirecte d’un acteur étranger (étatique, paraétatique ou non-étatique) ».

Dès lors, VIGINUM reste circonscrit à un « périmètre d’action publique ciblé » et concentre ses moyens « sur l’amplification artificielle, l’automatisation et la coordination inauthentique », de sorte qu’il « protège le pluralisme interne en dissociant l’analyse des procédés de manipulation de toute appréciation des opinions, des acteurs ou des mouvements » :

« Le dispositif national de lutte contre les manipulations de l’information repose sur un principe démocratique clair : il n’a ni vocation ni mandat pour qualifier les dynamiques nationales. Son champ d’intervention porte sur la détection de manœuvres techniques de manipulation et d’opérations coordonnées impliquant une origine étrangère, dans une logique de sécurité nationale. »

« L’administration US mène une croisade pour sauver l’Europe »

Si le périmètre est délimité, la menace s’accroît. Aux traditionnels acteurs russes, chinois ou azerbaïdjanais, le SGDSN note en effet qu’ « une vision absolutiste de la liberté d’expression telle que conçue par certains courants conservateurs aux États-Unis est délibérément introduite dans le débat public européen ».

Instrumentalisée de manière « désinhibée » et « reprise opportunément par les plateformes en ligne », elle permet d’ « entretenir une conception trompeuse, voire erronée, des objectifs de la réglementation numérique européenne (DSA) », croisade récemment documentée par L’observatoire des multinationales.

Alors que l’administration Trump a pris soin de démanteler ses services et unités en charge (directement, ou via les fonds qu’ils accordaient à la société civile et aux ONG) de la lutte contre la désinformation et les ingérences étrangères, une note de bas de page souligne que l’U.S. National Security Strategy, publiée le 5 décembre 2025, souligne des velléités d’influence politique partisane en faveur des partis politiques européens d’extrême-droite, présentés comme « patriotiques » :

« La diplomatie américaine doit continuer à défendre la démocratie authentique, la liberté d’expression et la célébration sans complexe du caractère et de l’histoire propres à chaque nation européenne. Les États-Unis encouragent leurs alliés politiques en Europe à promouvoir ce renouveau spirituel, et l’influence croissante des partis patriotiques européens est en effet source d’un grand optimisme. »

Évoquant un risque d’ « effacement civilisationnel » de l’Europe, la nouvelle stratégie US dénonce pêle-mêle les décisions européennes qui « sapent la liberté politique et la souveraineté ; les politiques migratoires, qui transforment le continent et créent des tensions ; la censure de la liberté d’expression et la répression de l’opposition politique ; la chute des taux de natalité, ainsi que la perte des identités nationales (…) ». Elle souhaite dans le même temps que « l’Europe reste européenne, retrouve sa confiance en elle-même sur le plan civilisationnel et abandonne son obsession infructueuse pour l’asphyxie réglementaire », résume l’AFP :

« Nous rejetons les idéologies désastreuses “changement climatique” et “zéro émission nette” qui ont tant nui à l’Europe, menacé les États-Unis et subventionné nos adversaires. »

Le Financial Times révélait en outre le 6 février que « l’administration américaine mène une croisade pour sauver l’Europe », et que le département d’État états-unien s’apprêtait aussi à financer des groupes de réflexion et des organisations caritatives alignés sur le mouvement Maga à travers l’Europe, afin de diffuser les positions politiques de Washington et de lutter contre ce qu’il qualifie de menaces envers la liberté d’expression.

Les IA nous conduisent « vers une réalité de plus en plus fragmentée »

Cherchant à se projeter à l’horizon 2030, le SGDSN anticipe une banalisation des contenus générés par IA, au fur et à mesure que cette dernière est « intégrée aux outils du quotidien et aux gestes ordinaires de communication et de recherche d’information ». Or, « lorsque des traces numériques peuvent être produites instantanément et en nombre, leur valeur probante tend à s’affaiblir », au point que « ce qui faisait auparavant preuve comme élément visuel ou sonore isolé devient plus fragile et plus facilement contestable » :

« Dans ce contexte, la frontière entre information, commentaire, interprétation et manipulation devient moins lisible […] réduisant la capacité des publics à discriminer une production authentique d’une fabrication artificielle. »

« Cette banalisation s’accompagne d’une personnalisation accrue de l’information », poursuit le SGDSN, pour qui cette « hyper-personnalisation algorithmique » nous conduit « vers une réalité de plus en plus fragmentée ». Or, cette fragmentation crée aussi un terrain favorable aux stratégies d’ingérence, qui peuvent cibler des publics segmentés, adapter les messages et exploiter des clivages existants : « la polarisation ne résulterait alors plus seulement des désaccords d’opinion, mais du fait que les individus n’accèdent plus aux mêmes sujets ou aux mêmes récits, avec des mises en perspective différentes ».

Le SGDSN relève que des dispositifs, « notamment des agents IA ou des modèles agentiques, capables de produire, relayer et amplifier des prises de parole », commencent d’ores et déjà à participer aux échanges en ligne dans certains environnements, sans être toujours identifiables comme tels :

« L’enjeu ne consiste alors plus seulement à convaincre, mais à imposer une dynamique d’attention : capter l’attention, maintenir un sujet au premier plan et, in fine, saturer les capacités d’échange. Le débat public peut ainsi être moins structuré par la qualité des arguments que par la capacité à orienter ou disperser l’attention collective. Ces logiques s’accordent avec des modes opératoires d’ingérence fondés sur la diffusion artificielle et coordonnée de contenus, visant moins la persuasion directe que la perturbation durable du débat public. »

« À mesure que l’intelligence artificielle devient une interface d’accès à l’information (moteurs génératifs, assistants conversationnels, outils de synthèse) », les stratégies d’ingérence informationnelle « pourraient viser non plus seulement les publics, mais les systèmes chargés de produire, d’organiser et de reformuler l’information », souligne le SGDSN, évoquant les risques d’empoisonnement des IA :

« Dans un environnement où la valeur informationnelle repose de plus en plus sur les données – corpus d’entraînement, contenus indexés, signaux d’ajustement des modèles – l’action d’ingérence peut s’exercer en amont, par une intervention directe ou indirecte sur ces ensembles de données, plus facilement sur les couches d’indexation et de recherche dans des environnements ouverts, que sur les modèles fondamentaux eux-mêmes dont les corpus d’entraînement devraient, en théorie, être plus filtrés et préparés. »

Dans un second article, nous reviendrons sur les nombreuses mesures concrètes énumérées dans cette stratégie nationale de lutte contre les manipulations de l’information 2026 - 2030.