Je choisis la french tech après la DINUM

Le Premier ministre a publié une circulaire « relative à la commande publique numérique » couchant noir sur blanc la doctrine de l’État concernant les choix et achats de logiciels par ses services. Elle priorise l’utilisation de solutions internes existantes avant l’achat de produits « sur étagère ». Le développement de solutions en interne n’arrive qu’après.

Depuis la mise en avant de la Suite numérique de l’État et notamment sa solution de visioconférence Visio, une partie du milieu de l’industrie numérique français criait à la concurrence déloyale. Une circulaire relative à la commande publique numérique signée par Sébastien Lecornu essaye de jouer l’équilibre entre la mise en avant des solutions mutualisées développées en interne et le soutien aux startups françaises.

Publiée le vendredi 13 février au Journal officiel, cette circulaire relative à la commande publique numérique avait été évoquée par le gouvernement Lecornu lors de l’annonce, au début du mois, d’une nouvelle phase de déploiement pour le programme « Je Choisis La French Tech ».

À cette occasion, David Amiel, le ministre délégué chargé de la Fonction publique et de la Réforme de l’État, affirmait que « l’État n’a pas pour mission de concevoir des produits » et qu’il fallait se tourner vers le secteur privé. Mais c’est, en même temps, ce même ministre qui a récemment annoncé la généralisation de Visio, développé par la Dinum au sein de sa plateforme La Suite numérique.

• Je choisis la French Tech… mais la French Tech doit faire attention à ce qu’elle choisit !
• L’État veut généraliser « Visio », l’outil de webconf de La Suite Numérique d’ici 2027

Priorité aux solutions mutualisées existantes…

Avant la publication de la circulaire, Bercy affichait que son but était de clarifier la doctrine d’achat de solutions numériques de l’État. Tout en essayant de ménager les startups françaises, ce texte donne priorité aux « solutions mutualisées déjà développées […] disponibles au sein de l’administration, en particulier via les services offerts par les opérateurs mutualisés ».

La circulaire donne une liste non exhaustive de ces opérateurs : DINUM, IGN, Opérateur des systèmes d’information interministériels classifiés (OSIIC), Centre interministériel de services informatiques relatifs aux ressources humaines (CISIRH), Agence pour l’Informatique financière de l’État (AIFE). « Leur recours doit être étudié en premier lieu en prenant en compte, le cas échéant, les besoins de développements complémentaires qui pourraient être nécessaires », explique encore le texte. C’est la DINUM elle-même qui tient le catalogue des solutions disponibles.

… puis aux solutions privées « sur étagère »

Ce n’est qu’après avoir vérifié qu’aucune solution mutualisée n’existe qu’un service de l’État peut s’équiper via des solutions « sur étagère » du privé. Le texte affirme que « l’État accorde une priorité forte à l’achat auprès de PME innovantes pour soutenir la recherche et développement au sein de l’écosystème européen » et ajoute que « chaque secrétariat général se fixe pour objectif d’augmenter sa part d’achats auprès de PME innovantes ».

Le développement d’un logiciel en interne ne peut intervenir que s’il n’existe pas de solutions « sur étagère » ou si celles-ci existent mais ne sont pas satisfaisantes. La circulaire évoque quand même de nombreux motifs d’insatisfactions autres que le coût, ainsi sont énumérées « les conditions de sécurité, de durabilité, de besoin ou de délais précitées ».

La souveraineté numérique en critère essentiel

Lorsqu’il y a achats numériques, la circulaire pose des objectifs prioritaires à prendre en compte. Le premier est « la performance métier ». La « souveraineté numérique » arrive en deuxième, puis la sécurité, le coût, la disponibilité, l’adaptabilité et la réversibilité, l’interopérabilité et enfin la durabilité.

Si la souveraineté numérique est bien placée, il restait à la définir. Le texte affirme qu’en pratique, elle s’appuie « en particulier » sur trois points : l’immunité au droit extra-européen à portée extraterritoriale, la capacité de l’État à substituer une composante de ses systèmes numériques par une solution alternative, la maîtrise des technologies clefs.

« La qualification SecNumCloud permet notamment d’attester qu’une offre de service d’informatique en nuage bénéficie d’une protection adéquate à l’égard des réglementations extra-européennes à portée extraterritoriale. Cette immunité est en particulier requise lorsque la sensibilité des données le justifie », affirme le texte, toujours sur le volet souveraineté.

• Vincent Strubel (ANSSI) tient à rappeler ce qu’est vraiment SecNumCloud

Côté sécurité, le besoin doit être « défini dès le lancement du projet en prenant en compte les exigences réglementaires spécifiques à certains types de données ou d’activité ». La qualification SecNumCloud y est aussi évoqué pour l’hébergement de « données d’une sensibilité particulière telles que définies par la loi ».

Le texte fait enfin un « zoom sur l’open source », affirmant : « que les solutions soient directement disponibles auprès d’un opérateur ou résultent d’un achat « sur étagère », il est recommandé de privilégier, lorsque c’est pertinent, le recours à des produits open source ». L’utilisation des logiciels open source permet « d’investir dans les mêmes technologies et de bénéficier des avancées de chacun ». « Une attention particulière doit être portée sur les contributions au code ouvert, tant sur la qualité que sur la quantité, afin de garantir sa pérennité et sa sécurité », précise le texte.

Zero virgule cinq Knowledge

Une étude réalisée par des chercheurs de l’École polytechnique fédérale de Zurich révèle que Bitwarden, LastPass et Dashlane pourraient, dans des conditions exceptionnelles, permettre la divulgation du mot de passe principal de leurs utilisateurs, en dépit de leur promesse relative au chiffrement « Zero Knowledge ». Les trois services indiquent avoir déjà implémenté les corrections nécessaires.

Devenus incontournables dans le quotidien de millions d’internautes, les gestionnaires de mot de passe opérés dans le cloud offrent-ils les garanties de sécurité nécessaires et suffisantes ? Une étude menée sous l’égide de l’École polytechnique fédérale de Zurich (ETH Zurich) conclut que trois services parmi les plus populaires du secteur présentaient des vulnérabilités susceptibles de conduire à la divulgation ou à la modification du mot de passe principal du compte de l’utilisateur.

Au cours de leurs travaux, les chercheurs ont exploité un scénario possible, mais très hypothétique : celui d’une prise de contrôle du serveur chargé des interactions avec l’utilisateur final. Dans ce contexte exceptionnel, ils indiquent avoir réussi à mener douze attaques différentes conduisant à une compromission du mot de passe chez Bitwarden, contre sept pour LastPass et six chez Dashlane. Les chercheurs ne remettent pas en cause la sécurité des chiffrements mis en œuvre : d’après leurs observations, c’est principalement au niveau des mécanismes chargés de faciliter la vie des utilisateurs que se situent les vulnérabilités.

La promesse du Zero Knowledge

Les gestionnaires de mot de passe en ligne invoquent en général le concept de Zero Knowledge (littéralement, « aucune connaissance ») pour rassurer leurs utilisateurs quant à la sécurité de leurs données. Bien qu’il n’obéisse pas à une définition ou à des conditions techniques de mise en œuvre strictes, il suppose que le serveur qui stocke les mots de passe est littéralement incapable d’en connaître le contenu, parce que ce contenu est chiffré et que seul l’utilisateur final dispose de la clé privée indispensable à son déchiffrement.

« Techniquement, Dashlane ne possède pas d’autre clé, mais nous avons bâti un mécanisme de chiffrement qui garantit que votre coffre-fort est sécurisé avec votre clé et que les données du coffre-fort ne sont accessibles que par vous, le propriétaire. C’est pourquoi toutes les opérations sensibles de Dashlane, le chiffrement et le déchiffrement de votre coffre-fort en l’occurrence, sont effectuées localement sur votre appareil. Cela garantit que nous ne les voyons pas sur nos serveurs. », illustre par exemple Dashlane.

Cette promesse tient-elle toujours si le serveur qui héberge les mots de passe est compromis ? L’étude complète, annoncée et publiée par l’ETH Zurich (PDF), répond par la négative. Au cours de leurs travaux, les chercheurs indiquent en effet avoir mené avec succès quatre types d’attaques, exploitant respectivement les fonctionnalités de séquestre utilisées pour la récupération de compte et la connexion unifiée (SSO), les manquements du coffre-fort en matière d’intégrité, les fonctionnalités de partage et les outils dédiés à la rétrocompatibilité.

Une surface d’attaque augmentée par la complexité du code

Les auteurs précisent avoir sélectionné Bitwarden, LastPass et Dashlane à la fois parce que ces derniers peuvent être considérés comme représentatifs du secteur (par leur ancienneté et leur parc de clients, estimé à 60 millions d’utilisateurs cumulés, ou 23 % de parts de marché) et parce que le code de leurs clients logiciels est ouvert (totalement pour Bitwarden, partiellement pour les deux autres), contrairement à celui des solutions d’Apple ou de Google, très populaires puisque intégrées à leurs environnements mobiles.

Au total, 25 attaques ont donc ont été menées avec succès sur l’ensemble des services examinés. « Nous avons été surpris par la gravité des failles de sécurité », commente Kenneth Paterson, l’un des auteurs de l’étude, selon qui la découverte est d’autant plus criante que les gestionnaires de mots de passe constituent, par essence, une cible à très forte valeur perçue pour des attaquants. Les auteurs remarquent par ailleurs que si les conditions de test sont particulières (serveur malveillant), leurs attaques sont réalisées par le truchement d’interactions « normales » de l’utilisateur final avec le service.

Dans la discussion qui suit l’exposé de leurs attaques, ils remarquent que les gestionnaires de mot de passe sont tiraillés entre deux exigences contradictoires que sont la sécurité et le niveau de service fonctionnel rendu à l’utilisateur, qui s’attend à pouvoir récupérer son mot de passe en cas de perte, consulter son gestionnaire sur tous les écrans, ou disposer de fioritures telles que la création d’accès partagés.

« Après un examen plus approfondi, nous avons constaté que les gestionnaires de mots de passe sont loin d’être simples : ils ont évolué pour inclure des protocoles complexes pour la synchronisation, la récupération et la rotation des clés, le partage d’éléments chiffrés et la migration entre différentes primitives cryptographiques [les briques qui fournissent les fonctions de base du chiffrement, ndlr] », remarquent les auteurs. C’est, selon eux, cette complexité accrue qui augmenterait la surface d’attaque potentielle.

Les gestionnaires de mots de passe accusent réception

Avertis en amont de la publication de l’étude, les trois éditeurs de services concernés ont accusé réception de ces découvertes. « Tous les problèmes identifiés dans le rapport ont été traités », promet Bitwarden qui détaille les réponses apportées dans un rapport de transparence dédié (PDF). Trois ne seront cependant pas corrigés, parce que le remède compromettrait certaines fonctionnalités du service, indique tout de même l’éditeur. Qui profite de l’occasion pour « réaffirmer que Bitwarden n’a jamais subi de violation de données ».

Dashlane salue également ce travail de recherche, qualifié d’exercice utile, et précise avoir apporté tous les correctifs jugés nécessaires dans sa version 6.2544.1 publiée le 5 novembre dernier. Le service en profite pour souligner que les fonctionnalités de partage (basées sur une clé publique) et les mécaniques de synchronisation basées sur l’échange de transactions chiffrées sont des difficultés intrinsèques au service rendu.

« Cette recherche met en lumière plusieurs enseignements :
– Maintenir les méthodes cryptographiques à jour est essentiel pour la sécurité, mais cela introduit une complexité qui doit être gérée avec soin.
– L’authentification de clé publique à grande échelle est un défi connu que notre secteur doit relever. »

Même son de cloche du côté de LastPass, qui indique avoir déjà corrigé l’une des vulnérabilités mises au jour par l’ETH, et ajoute plancher sur la sécurisation des parcours de réinitialisation et de partage, ainsi que sur l’amélioration des mécanismes dédiés au contrôle d’intégrité.

Une démarche à laquelle adhèrent tacitement les chercheurs :

« Les vulnérabilités que nous décrivons sont nombreuses, mais pour la plupart mineures sur le plan technique. Pourtant, elles n’avaient apparemment pas été découvertes auparavant, malgré plus d’une décennie de recherche universitaire sur les gestionnaires de mots de passe et l’existence de multiples audits des trois produits que nous avons étudiés. Ceci motive la poursuite des travaux, tant sur le plan théorique que pratique. »

L’Europe accueille une nouvelle start-up de défense, et pas des moindres : installée à Amsterdam, Onodrim Industries veut « jeter les bases d’un nouveau noyau européen de défense », selon son communiqué.


La société indique travailler à une plateforme industrielle dédiée à la gestion de sujets de sécurité nationale. Pour se lancer, elle vient de lever 40 millions d’euros auprès de Founders Fund, l’un des fonds du financier américain Peter Thiel, Lakestar, General Catalyst et plusieurs fonds et business angels européens.

La société a été cofondée par l’ancien conseiller du gouvernement lituanien et responsable technologique de Palantir, Aistis Šimaitis, qui en sera le PDG ; l’ancien responsable ingénierie de Palantir, Alexander Blessing, qui en sera directeur technique ; et le financier Christian Garett. Avec son fonds 137 Ventures, ce dernier possède aussi des parts d’Anduril, société de défense fondée en 2017 par Palmer Luckey, de SpaceX, et de diverses sociétés de technologies militaires.

Dans un contexte de guerre en Ukraine et de grands changements géopolitiques, Onodrim déclare construire les outils qui permettront au Vieux continent de se défendre tout en restant compétitif. Italo-américain, Christian Garett précise avoir une « opportunité unique sur une génération » d’influer sur la manière dont les investissements renforcent « notre sécurité et notre base industrielle » dans la mesure où l’Europe se prépare à investir près de « 800 milliards d’euros pour ses dépenses de défense d’ici 2030 ». Le financement doit permettre de recruter des ingénieurs et créer des usines et des espaces de recherche et développement en Europe.

Onodrim est nommée d’après l’œuvre de Tolkien, dans laquelle il est utilisé pour nommer parfois les Ents, les esprits des forêts qui prennent l’apparence d’arbres. Ce faisant, elle s’inscrit directement dans le sillage de la multitude d’entités créées ou financées par Peter Thiel, à commencer par Palantir, Anduril, la banque Erebor, et diverses sociétés de capital-risque.

• Derrière l’infrastructure numérique pensée pour Gaza, Oracle et Palantir

Sur X, Christian Garett précise que le projet ne consiste pas à concurrencer Palantir et Anduril. Il évoque plutôt la possibilité de « s’appuyer » sur les « épaules » de ces « entreprises générationnelles ».

Les complotistes vont adorer le détester

La Stratégie nationale de lutte contre les manipulations de l’information 2026 - 2030 relève que la menace, en matière d’ingérences étrangères, n’a jamais été aussi élevée, mais également que la France a été l’une des pionnières dans la lutte dirigée contre cette dernière.

« Chaque citoyen, acteur public ou privé, doit disposer des moyens de s’informer de manière éclairée, de comprendre les mécanismes d’ingérence et de contribuer activement au débat démocratique », résume la Stratégie nationale de lutte contre les manipulations de l’information 2026 - 2030. Son introduction souligne qu’ « au cœur de cette stratégie se trouve l’ambition de dépasser la simple lutte contre les manipulations de l’information pour construire une société capable de maintenir la confiance et des repères communs ».

Un objectif urgent mais probablement hors d’atteinte, d’autant plus louable que le Parlement et donc l’opinion publique n’ont jamais été aussi divisés, que les médias et réseaux sociaux n’ont jamais été autant instrumentalisés et pollués par des manipulations de l’information (franco-françaises comme pouvant relever d’ingérences étrangères).

Cette première Stratégie nationale de lutte contre les manipulations de l’information, que vient de publier le Secrétariat de la défense et de la sécurité nationale (SGDSN), a pour objectif de doter la France de « moyens renforcés pour protéger son débat public, garantir la capacité de chacun à se forger un jugement éclairé et défendre, avec ses partenaires, un espace informationnel fondé sur la liberté d’expression et la pluralité des opinions » :

« Elle s’articule autour de quatre priorités : renforcer la résilience de la Nation ; encadrer et responsabiliser les plateformes en ligne et les services d’intelligence artificielle générative ; consolider les capacités nationales de détection, d’attribution et de réponse ; agir avec les partenaires européens et internationaux pour préserver un espace informationnel libre, ouvert et sécurisé. »

Dans sa préface, le président de la République souligne que les manipulations de l’information « ne sont plus des accidents marginaux du débat public » et qu’elles sont « devenues des instruments à part entière de confrontation stratégique » :

« Elles visent moins à convaincre qu’à désorienter, moins à imposer une vérité qu’à dissoudre les repères communs, moins à gagner un débat qu’à affaiblir la possibilité même du débat. En brouillant les frontières entre le vrai et le faux et en exploitant les fractures sociales et émotionnelles, elles cherchent à miner de l’intérieur ce que les démocraties ont de plus robuste : la confiance. »

« Face à ces pratiques, la tentation pourrait être grande d’ériger des murs, de restreindre la parole, de surveiller les idées. Ce serait une erreur », poursuit Emmanuel Macron : « La force des régimes autoritaires est de pouvoir contrôler l’information ; la force des démocraties est de pouvoir la confronter ».

« Il ne s’agit pas de dire ce qu’il faut penser, mais de garantir que chacun puisse penser librement », tout en identifiant les auteurs et vecteurs de manœuvres hostiles, « sans jamais soupçonner les citoyens » :

« Cette stratégie repose sur une conviction simple : le premier rempart contre la manipulation est la société elle-même. Une société instruite, capable de discernement, confiante dans ses institutions et dans ses médias, est une société moins vulnérable aux récits de division. »

« Ce n’est pas un hasard si les manipulations de l’information prospèrent d’abord là où existent l’ouverture, le débat et la pluralité », et donc dans nos démocraties, qui « sont aujourd’hui observées, testées, parfois attaquées par des régimes qui redoutent leur exemple » :

« C’est le paradoxe de la liberté : elle attire ceux qui veulent l’affaiblir. Mais c’est aussi sa force : elle permet de leur résister sans leur ressembler. […] Il ne s’agit pas seulement de protéger nos institutions. Il s’agit de défendre la capacité de chacun à se forger un jugement éclairé. »

Des MacronLeaks à l’assassinat de Samuel Paty

Élaborée sous l’égide du SGDSN, la stratégie nationale 2026 - 2030 s’appuie sur des contributions d’experts, de chercheurs, de parlementaires et d’acteurs de terrain engagés dans la lutte contre les manipulations de l’information, mais sans que le SGDSN n’en indique la liste. Elle revient par contre largement sur les différentes étapes ayant conduit à sa rédaction, et souligne que la France a été un « pays précurseur » en matière de lutte contre les manipulations de l’information.

Les MacronLeaks, publiés à la veille du premier tour de la présidentielle 2017, et depuis attribués à Fancy Bear (ou APT28, une unité du GRU, le service de renseignement militaire russe, également à l’origine du piratage de TV5Monde) avaient ainsi conduit à la mise en place, en 2018, d’un réseau de coordination interministérielle placé sous l’égide du SGDSN.

En décembre 2018, la loi relative à la lutte contre la manipulation de l’information avait doté, en parallèle, le CSA (devenu Autorité de régulation de la communication audiovisuelle et numérique, ARCOM) et le juge des référés de nouvelles prérogatives en la matière.

• Emmanuel Macron veut légiférer contre les « fake news »
• Loi anti-fake news : les lamentations du CSA, le secret des affaires des plateformes

Fin 2020, l’assassinat de Samuel Paty « a marqué un tournant dans la perception de la menace, révélant la dangerosité des dynamiques de haine amplifiées numériquement ». La création de la « Task force Honfleur » interministérielle dédiée, décidée dans la foulée, jeta les bases d’un dispositif de réponse pérenne.

La création du service de vigilance et de protection contre les ingérences numériques étrangères (VIGINUM) en 2021 a depuis permis de sortir d’une « logique de gestion de crise », souligne le SGDSN, de structurer la doctrine et de lui dédier des « capacités opérationnelles », d’inscrire la « protection du débat public francophone au cœur de la défense et de la sécurité nationale », mais également de « renforcer la crédibilité de la France dans les coopérations internationales ».

Un « périmètre d’action publique ciblé »

Le décret du 13 juillet 2021 portant création de VIGINUM a défini la notion d’ingérence numérique étrangère (INE) comme étant une « opération impliquant, de manière directe ou indirecte, un acteur étranger (étatique ou non), et visant la diffusion artificielle ou automatisée, massive et délibérée d’allégations ou imputations de faits manifestement inexactes ou trompeuses, de nature à porter atteinte aux intérêts fondamentaux de la Nation ».

VIGINUM ne vise donc pas à lutter contre toute forme de désinformation, mais uniquement celles relevant d’une « typologie rigoureuse de la menace, qui repose sur quatre critères cumulatifs : une atteinte potentielle aux intérêts fondamentaux de la Nation ; une allégation ou imputation de fait manifestement inexacte ou trompeuse ; une diffusion, ou une volonté de diffusion, artificielle ou automatisée, massive et délibérée ; l’implication, directe ou indirecte d’un acteur étranger (étatique, paraétatique ou non-étatique) ».

Dès lors, VIGINUM reste circonscrit à un « périmètre d’action publique ciblé » et concentre ses moyens « sur l’amplification artificielle, l’automatisation et la coordination inauthentique », de sorte qu’il « protège le pluralisme interne en dissociant l’analyse des procédés de manipulation de toute appréciation des opinions, des acteurs ou des mouvements » :

« Le dispositif national de lutte contre les manipulations de l’information repose sur un principe démocratique clair : il n’a ni vocation ni mandat pour qualifier les dynamiques nationales. Son champ d’intervention porte sur la détection de manœuvres techniques de manipulation et d’opérations coordonnées impliquant une origine étrangère, dans une logique de sécurité nationale. »

« L’administration US mène une croisade pour sauver l’Europe »

Si le périmètre est délimité, la menace s’accroît. Aux traditionnels acteurs russes, chinois ou azerbaïdjanais, le SGDSN note en effet qu’ « une vision absolutiste de la liberté d’expression telle que conçue par certains courants conservateurs aux États-Unis est délibérément introduite dans le débat public européen ».

Instrumentalisée de manière « désinhibée » et « reprise opportunément par les plateformes en ligne », elle permet d’ « entretenir une conception trompeuse, voire erronée, des objectifs de la réglementation numérique européenne (DSA) », croisade récemment documentée par L’observatoire des multinationales.

Alors que l’administration Trump a pris soin de démanteler ses services et unités en charge (directement, ou via les fonds qu’ils accordaient à la société civile et aux ONG) de la lutte contre la désinformation et les ingérences étrangères, une note de bas de page souligne que l’U.S. National Security Strategy, publiée le 5 décembre 2025, souligne des velléités d’influence politique partisane en faveur des partis politiques européens d’extrême-droite, présentés comme « patriotiques » :

« La diplomatie américaine doit continuer à défendre la démocratie authentique, la liberté d’expression et la célébration sans complexe du caractère et de l’histoire propres à chaque nation européenne. Les États-Unis encouragent leurs alliés politiques en Europe à promouvoir ce renouveau spirituel, et l’influence croissante des partis patriotiques européens est en effet source d’un grand optimisme. »

Évoquant un risque d’ « effacement civilisationnel » de l’Europe, la nouvelle stratégie US dénonce pêle-mêle les décisions européennes qui « sapent la liberté politique et la souveraineté ; les politiques migratoires, qui transforment le continent et créent des tensions ; la censure de la liberté d’expression et la répression de l’opposition politique ; la chute des taux de natalité, ainsi que la perte des identités nationales (…) ». Elle souhaite dans le même temps que « l’Europe reste européenne, retrouve sa confiance en elle-même sur le plan civilisationnel et abandonne son obsession infructueuse pour l’asphyxie réglementaire », résume l’AFP :

« Nous rejetons les idéologies désastreuses “changement climatique” et “zéro émission nette” qui ont tant nui à l’Europe, menacé les États-Unis et subventionné nos adversaires. »

Le Financial Times révélait en outre le 6 février que « l’administration américaine mène une croisade pour sauver l’Europe », et que le département d’État états-unien s’apprêtait aussi à financer des groupes de réflexion et des organisations caritatives alignés sur le mouvement Maga à travers l’Europe, afin de diffuser les positions politiques de Washington et de lutter contre ce qu’il qualifie de menaces envers la liberté d’expression.

Les IA nous conduisent « vers une réalité de plus en plus fragmentée »

Cherchant à se projeter à l’horizon 2030, le SGDSN anticipe une banalisation des contenus générés par IA, au fur et à mesure que cette dernière est « intégrée aux outils du quotidien et aux gestes ordinaires de communication et de recherche d’information ». Or, « lorsque des traces numériques peuvent être produites instantanément et en nombre, leur valeur probante tend à s’affaiblir », au point que « ce qui faisait auparavant preuve comme élément visuel ou sonore isolé devient plus fragile et plus facilement contestable » :

« Dans ce contexte, la frontière entre information, commentaire, interprétation et manipulation devient moins lisible […] réduisant la capacité des publics à discriminer une production authentique d’une fabrication artificielle. »

« Cette banalisation s’accompagne d’une personnalisation accrue de l’information », poursuit le SGDSN, pour qui cette « hyper-personnalisation algorithmique » nous conduit « vers une réalité de plus en plus fragmentée ». Or, cette fragmentation crée aussi un terrain favorable aux stratégies d’ingérence, qui peuvent cibler des publics segmentés, adapter les messages et exploiter des clivages existants : « la polarisation ne résulterait alors plus seulement des désaccords d’opinion, mais du fait que les individus n’accèdent plus aux mêmes sujets ou aux mêmes récits, avec des mises en perspective différentes ».

Le SGDSN relève que des dispositifs, « notamment des agents IA ou des modèles agentiques, capables de produire, relayer et amplifier des prises de parole », commencent d’ores et déjà à participer aux échanges en ligne dans certains environnements, sans être toujours identifiables comme tels :

« L’enjeu ne consiste alors plus seulement à convaincre, mais à imposer une dynamique d’attention : capter l’attention, maintenir un sujet au premier plan et, in fine, saturer les capacités d’échange. Le débat public peut ainsi être moins structuré par la qualité des arguments que par la capacité à orienter ou disperser l’attention collective. Ces logiques s’accordent avec des modes opératoires d’ingérence fondés sur la diffusion artificielle et coordonnée de contenus, visant moins la persuasion directe que la perturbation durable du débat public. »

« À mesure que l’intelligence artificielle devient une interface d’accès à l’information (moteurs génératifs, assistants conversationnels, outils de synthèse) », les stratégies d’ingérence informationnelle « pourraient viser non plus seulement les publics, mais les systèmes chargés de produire, d’organiser et de reformuler l’information », souligne le SGDSN, évoquant les risques d’empoisonnement des IA :

« Dans un environnement où la valeur informationnelle repose de plus en plus sur les données – corpus d’entraînement, contenus indexés, signaux d’ajustement des modèles – l’action d’ingérence peut s’exercer en amont, par une intervention directe ou indirecte sur ces ensembles de données, plus facilement sur les couches d’indexation et de recherche dans des environnements ouverts, que sur les modèles fondamentaux eux-mêmes dont les corpus d’entraînement devraient, en théorie, être plus filtrés et préparés. »

Dans un second article, nous reviendrons sur les nombreuses mesures concrètes énumérées dans cette stratégie nationale de lutte contre les manipulations de l’information 2026 - 2030.

Algorithmiquement surveillés

Le député Paul Midy a réussi à faire voter à l’Assemblée nationale son texte légalisant l’utilisation de la vidéosurveillance algorithmique dans les magasins. Celui-ci, présenté comme une expérimentation, doit néanmoins continuer son parcours législatif. La gauche met en cause sa constitutionnalité.

La proposition de loi présentée par le député Paul Midy (Ensemble) sur la vidéosurveillance algorithmique dans les magasins a finalement été adoptée à l’Assemblée nationale ce lundi 16 février (60 voix contre 13, détail des votes). Il n’a néanmoins pas fini son parcours législatif.

Comme nous l’évoquions début février, le texte de Paul Midy vise le « vol à l’étalage » qui est, selon celui-ci, un « véritable fléau économique ». De fait, l’élu le dit lui-même, sa proposition vise à légaliser une pratique déjà mise en place dans certains commerces illégalement : « 3 000 commerces utilisent déjà cette technologie », a-t-il affirmé lors des débats.

Il a d’ailleurs, via un amendement, fait changer le titre de sa proposition de loi pour qu’il reflète le contenu du texte « visant à encadrer l’utilisation par les commerçants d’outils d’analyse vidéo automatique pour lutter contre le vol ».

Le député a, par ailleurs, précisé via un amendement les lieux dans lesquels son texte prévoyait d’autoriser la vidéosurveillance algorithmique : des « lieux et les établissements ouverts au public » le texte vise désormais les « commerces de détail, les grandes surfaces et les centres commerciaux ».

Une légalisation anticonstitutionnelle selon la gauche

La députée Élisa Martin (LFI) a pointé lors des débats le flou entretenu par les éditeurs de logiciels embarqués sur les caméras sur ce qu’ils font vraiment dès à présent :

« Des logiciels, qui ont besoin de données pour s’entraîner, pourraient détecter automatiquement, par exemple, un mouvement de foule ou en l’occurrence un vol ou une tentative de vol. Comment les entreprises privées les programment-elles et comment sont-ils précisément entraînés ? À vrai dire, on n’en sait rien. Il est en tout cas certain que ces entreprises sont en avance sur les députés et sur la loi. Ainsi, chacun sait qu’il suffit de cocher une case dans le logiciel pour activer la reconnaissance faciale… »

Lors des débats, la gauche a par ailleurs soulevé sa possible inconstitutionnalité. Ce texte « ne correspond pas aux décisions du Conseil constitutionnel », a affirmé la députée Cyrielle Chatelain (Les Écologistes) : « en effet, en mai 2023, ce dernier a précisé que la technologie de vidéosurveillance algorithmique devait être réservée aux atteintes à l’ordre public et aux risques terroristes. Nous sommes là très loin de ces lignes directrices ».

Le député PS Hervé Saulignac a renchéri : « Je pense que ce texte finira par passer à la moulinette du Conseil constitutionnel, et ce n’est pas plus mal ».

Un alignement de la fin de l’expérimentation sur celle prévue pour les JO

Les amendements du député RN Julien Rancoule et notamment celui visant à élargir l’utilisation de la vidéosurveillance algorithmique « pour la sécurité des personnes » ont été rejetés. Mais, alors qu’il proposait la date du 31 décembre 2029 comme fin de l’expérimentation, les députés ont choisi d’aligner cette date avec celle du texte sur la vidéosurveillance algorithmique pour les JO de 2030 voté récemment.

Ainsi, le texte garde l’affichage d’un projet « à titre expérimental », mais l’amendement du député Renaissance Florent Boudié ramène la date de fin officielle du dispositif au 31 décembre 2027 et prévoit la remise d’un rapport d’évaluation par le gouvernement au 30 septembre 2027.

• Vidéosurveillance algorithmique : les députés ont voté la prolongation jusqu’en 2027

Pour la vidéosurveillance algorithmique des JO (qui auront lieu en 2030), cette date du 31 décembre 2027 avait été justifiée par la rapporteure du texte, Véronique Riotton (députée Renaissance), du fait que « le législateur bénéficiera d’une évaluation sur les cas d’usage et sur le déploiement de la vidéosurveillance algorithmique qui lui permettra de décider si celle-ci constitue un bon outil en vue des JO », événement ponctuel.

Mais pour l’utilisation dans les magasins, ce texte va mécaniquement engendrer une croissance de l’utilisation du dispositif, notamment par les centres commerciaux qui ont les moyens de le déployer. Il sera d’autant plus difficile de revenir en arrière, alors que le texte est déjà justifié par le fait qu’il est déployé illégalement dans des milliers de commerces.

Le texte adopté par l’Assemblée nationale ce lundi 16 février doit maintenant passer par le Sénat, et devra revenir devant les députés si les sénateurs ne le votent pas en l’état.

« VPS pas cher »

LWS cible l’entrée de gamme et nos tests sur le VPS LC1 le confirment : des performances ras des pâquerettes, une bande passante limitée à 100 Mb/s, voire 10 Mb/s. Le VPS n’a rien pour se démarquer de la concurrence, si ce n’est de la virtualisation LXC… mais est-ce une bonne nouvelle ? On vous explique de quoi il retourne.

Après Ionos qui ouvrait le bal de notre dossier sur les tests de serveurs virtuels privés à petit prix (5 euros ou moins), nous passons à LWS pour Ligne Web Services, filiale de la société française Groupe LWS qui existe depuis 1999. Elle s’est principalement installée sur l’entrée de gamme, que ce soit sur les noms de domaine, l’hébergement et les serveurs.

La gamme qui nous intéresse est intitulée « VPS pas cher », au moins le ton est donné. Pour 3,59 euros par mois, nous n’avons toutefois pas grand-chose : un seul vCore d’un CPU Intel Xeon E5-1630 v3 (Haswell) selon la fiche produit. Celui-ci commence à accuser un certain âge : 2014, on est donc loin de l’EPYC chez Ionos.

L’unique cœur est épaulé par 2 Go de mémoire, mais aussi un Vswap de 2 Go supplémentaire qui est du stockage « SSD NVMe (+ 3500 Mo/s) ce qui double la mémoire RAM et améliore les performances ». Si le stockage NVMe est rapide, il est encore très loin des performances de la mémoire et ne devrait pas vraiment faire illusion. Bref, considérez que la machine a uniquement 2 Go de mémoire. Pour le stockage, nous avons 20 Go de SSD.

Il existe aussi un LC2 avec deux cœurs, 4 Go de mémoire et 40 Go de SSD à 7,19 euros, ainsi qu’un LC3 avec de nouveau 2 cœurs, 8 Go de mémoire et 80 Go de stockage pour 11,99 euros. Les tarifs des LC2 et LC3 semblent assez élevés vu les caractéristiques techniques et la concurrence.

100 Mb/s seulement et trafic « illimité* », importante l’étoile !

L’hébergeur annonce la couleur : 100 Mb/s de bande passante et un « trafic illimité » sont inclus dans le pack. D’après nos tests, la limitation à 100 Mb/s est bien présente avec 92 à 94 Mb/s de moyenne en téléchargement sur nos deux fichiers de 1 Go. Le serveur tombe même sous les 40 Mb/s avec le fichier de 10 Go sur les serveurs de Free, et ce sur l’ensemble des cinq passes de notre protocole de test.

À regarder l’interface, on découvre une jauge avec une limite de « Transfert mensuel » à 256 Go (c’est quand même peu selon les usages). Dans l’aide, nous trouvons l’explication : il y a des limites de bande passante sur les serveur VPS en fonction de l‘usage. Avec notre VPS LC1, nous n’avons droit qu’à 256 Go à 100 Mb/s (qui est déjà la limitation la plus forte de notre comparatif), puis la bande passante est divisée par 10 avec seulement 10 Mb/s. C’est comme l’illimité des opérateurs téléphonique : une fois le « fair use » dépassé (256 Go dans notre cas), les performances sont plombées.

Autre limitation qui n’est pas indiquée sur la page produit : on ne peut pas dépasser 3 500 processus sur votre VPS LC1. Là encore, une jauge est présente dans l’interface. Sur la mémoire, seuls les 2 Go de RAM sont indiqués, il n’est pas fait mention du VSwap sur l’interface d’administration.

Dans sa foire aux questions (enfin sa foire aux deux questions), LWS précise la philosophie de son offre (dans un texte bourré de fautes) :

« Le prix, la performance et le niveau de services ! Le VPS pas cher est une offre qui permet d’avoir un serveur VPS avec l’essentiel. réservée au clients avertis, le serveur sera de haute qualité et fiabilité mais vous seul assurerez son administration et système de sauvegarde. Un serveur dédié VPS pro sera sur du métériel toute dénière génération offrant plus de pérformances et il sera inclus de l’infogérance ».

Service d’assistance et d’infogérance en option

Au niveau des systèmes d’exploitation, LWS propose Ubuntu 24.04, AlmaLinux 9, CentOS 9, Rocky Linux 9 et Debian 12. Il y a bien une option Snapshots, mais cliquez dessus et vous aurez le message suivant : « Les snapshots ne sont pas disponibles sur la gamme VPS Low Cost ». Aucun choix géographique n’est proposé, il est juste indiqué que « les serveurs VPS sont tous hébergés en France ». Comme Ionos, LWS propose 30 jours d’essai gratuit.

Dans l’interface de gestion de notre compte, deux niveaux de services payants pour de l’assistance sont disponible. Le premier, dit Business, est à 16,80 euros TTC avec assistance technique prioritaire par astreinte, infogérance niveau 2 pendant 1 h par mois, garantie de temps de rétablissement H+4 jours et heures ouvrables…

Avec le service Sérénité (via un partenaire, dutiko), il faudra débourser 120 euros par mois pour avoir en plus une garantie de temps de rétablissement H+4 24/7, une astreinte 7j/7, 24 h/24, une supervision logiciel 24/7, une intervention pro-active pour les mises à jour de l’OS, du kernel, du pare-feu et de sécurité, de l’infogérance (Debian, Ubuntu server, Gentoo et CentOs)… Il faut donc payer 120 euros en plus des 3,59 euros par mois… D’autres hébergeurs proposent aussi de l’infogérance sur certains VPS, si ce genre de service vous intéresse, comparez les offres !

Performances en berne, et relativement instable

Avant d’entrer dans le détail, voici le diagramme de Kiviat de LWS. Comme avec Ionos, nous avons mis pour référence la moyenne de tous les VPS de notre comparatif (ligne pointillée) et les résultats de LWS sur cinq catégories de benchmarks. L’hébergeur est systématiquement en dessous ou au niveau de la moyenne, sans se démarquer positivement sur un critère particulier.

L’ensemble de nos mesures sur le VPS LWS est disponible dans cette feuille de calcul ODS. Vous pouvez également consulter le rapport Geekbench à cette adresse.

Passons rapidement sur les performances, au ras des pâquerettes : c’est le score CPU le plus faible sur Sysbench 1T… et le VPS n’a rien pour se rattraper puisqu’il ne propose qu’un seul vCore et d’un processeur qui accuse déjà un certain âge (plus de 10 ans selon la fiche produit LWS… mais elle n’est peut-être pas à jour).

Mais surtout LWS est la machine avec la plus grande variation sur les résultats. Pour rappel, chaque mesure est faite cinq fois, nous éliminons le maximum et minimum de chaque benchmark, puis faisons la moyenne des trois résultats restants. L’ensemble des mesures est touché par les variations, qu’on enlève ou pas les extrémités.

L’écart est généralement de l’ordre de quelques pourcents pour les mesures de nos différents VPS, sauf chez LWS où il n’est pas rare de dépasser les 20 % et 50 % sur les performances CPU et la mémoire. Sur le stockage, les performances varient parfois du simple au double… Finalement seuls les tests réseau sont à peu près stables.

Là ou la moyenne des écarts des tests était sous les 3 % chez Ionos, elle est à près de 18 % chez LWS.

Virtualisation LXC : on remonte jusqu’à l’hôte pour voir ce qu’il raconte

Une autre particularité de LWS, partagée avec YorkHost, est d’utiliser LXC (LinuX Containers) pour la virtualisation et donc de partager le même noyau entre les VPS. Cette manière n’est pas sans conséquence pour les utilisateurs : elle « est utilisé pour faire fonctionner des environnements Linux isolés les uns des autres dans des conteneurs, partageant le même noyau et une plus ou moins grande partie du système hôte. Le conteneur apporte une virtualisation de l’environnement d’exécution (processeur, mémoire vive, réseau, système de fichier…) et non pas de la machine. Pour cette raison, on parle de « conteneur » et non de « machine virtuelle » », explique Wikipédia.

Il existe aussi une version plus récente, LXCFS (qui semble être utilisée par LWS). C’est « un système de fichiers FUSE utilisé pour contourner certaines lacunes du noyau Linux en ce qui concerne les informations des ressources système disponibles aux processus exécutant dans des conteneurs ». L’idée est de davantage présenter aux logiciels un état des lieux des ressources allouées au VPS et pas celle de la machine dans son intégralité.

Que ce soit en LXC ou en LXCFS, nous pouvons remonter jusqu’à l’hôte physique et ainsi voir un peu dans quel état il est, surtout au niveau de sa charge processeur, mémoire et stockage. On utilise pour cela lscpu et sysinfo(). On peut déjà apprendre que l’uptime de l’hôte est de près de 10 500 heures, soit un peu moins de 440 jours (alors que notre VPS n’avait que quelques jours à l’époque).

Et là, surprise. Le CPU retourné est un « Intel(R) Xeon(R) CPU E5-2650 v3 @ 2.30GHz » avec 10 cœurs et 20 threads, avec 128 Go de mémoire vive. C’est également un CPU de la génération Haswell, mais avec une grosse différence : plus de cœurs, mais surtout une fréquence de base et boost bien plus basse.

Alors que le E5-1630 v3 annoncé par LWS est à 3,7 GHz en fréquence de base et monte jusqu’à 3,8 GHz, le E5-2650 v3 détecté dans notre VPS est limité à respectivement 2,3 et 3,0 GHz. Une différence importante avec forcément une influence sur les performances.

Voici des exemples concrets de commandes dans un terminal de notre serveur, avec pour commencer celles interceptées par LXC(FS), qui retournent donc 2 Go de mémoire et un seul cœur (soit les caractéristiques de notre VPS) :

root@vps118018:~# cat /proc/meminfo | head - 1
MemTotal: 2097152 kB

root@vps118018:~# grep processor /proc/cpuinfo
processor : 0

2097152 kB font bien 2 Go, tandis que 0 signifie un cœur accessible, car l’ordinateur les compte de 0 à 19 (il y en a 20 avec l’hyperthreading). En effet, si on interroge directement l’hôte qui répond 128 Go de mémoire et 20 cœurs :

root@vps118018:~# lscpu | grep -E "CPU(s)|On-line|Off-line"
CPU(s): 20
On-line CPU(s) list: 0
Off-line CPU(s) list: 1 - 19

On apprend aussi que la charge moyenne (load) est entre 15 et 16, soit 75 % de saturation moyenne sur une machine avec 20 threads. Niveau mémoire, 90 à 94 % des 128 Go sont utilisés. Afin d’avoir une vision à plus long terme, nous avons lancé un script de suivi du serveur pendant 24 h.

La charge minimum était de 9, le maximum de 32, mais cela n’a pas duré longtemps. La période la plus chargée était entre 1 et 2 h du matin, puis à 12h30, 22 h et 5h30. Dans tous les cas, la moyenne sur 30 minutes de la charge de l’hôte était comprise entre 14 et 18. Nous n’avons pas détecté de CPU Steal sur notre VPS.

Conclusion ? On passe…

L’offre « VPS pas cher » de LWS porte bien son nom, mais on ne conseille pas vraiment de passer chez cet hébergeur à cause de la grande instabilité des performances. Il ne propose en plus qu’un seul cœur là où d’autres en mettent deux ou quatre. Les limitations sur le réseau sont importantes en termes de débit et de quantité.

Le serveur VPS de chez LWS avait par contre un avantage : nous permettre de détailler le fonctionnement de LXC(FS), c’est toujours ça de pris ! Dans l’ensemble des VPS que nous avons testés, un seul autre utilise cette méthode de virtualisation qui partage le même noyau Linux : YorkHost. Les autres sont en KVM et on ne peut donc pas remonter (en tout cas à notre niveau) jusqu’à l’hôte.

IA trop de pétrole

L’essentiel des affirmations selon lesquelles l’intelligence artificielle permettra de réduire les émissions de CO2 ou de lutter contre l’urgence climatiques ne reposent sur aucune preuve, ou des éléments très faibles. Par ailleurs, l’absence de définition précise de ce qu’est l’IA participe directement à minimiser les impacts de la filière, selon un rapport publié ce jour.

Que ce soit pour vendre directement ses produits, ou pour assurer que ses prochaines innovations permettront d’améliorer l’état de la planète, l’industrie de l’intelligence artificielle est très forte en marketing. C’est du moins l’une des conclusions qu’on peut tirer d’un rapport publié ce 17 février sur le « canular climatique de l’IA ».

Porté par un consortium d’associations environnementales réunissant Beyond Fossil Fuels, Climate Action against Disinformation, Les Amis de la Terre, Stand.earth, Green Screen Coalition et Green Web Foundation, le document se penche en une trentaine de pages sur les affirmations de l’industrie de l’IA en matière d’impacts environnementaux. En tête de ses constats : trois messages sur quatre affirmant que l’IA servira d’une manière ou une autre le climat ne reposent sur aucune preuve. Lorsqu’elles sont présentes, ces dernières sont généralement fragiles.

• Microsoft parle de réparer le climat, mais vend ses IA au secteur des énergies fossiles

L’affirmation selon laquelle l’IA permettra une réduction globale des émissions de dioxyde de carbone (CO₂) joue généralement sur le flou de la définition de l’intelligence artificielle : sur 154 affirmations de bénéfices climatiques étudiées, le rapport constate que 97 % concernent des systèmes « traditionnels », c’est-à-dire spécialisés dans des tâches spécifiques. Toutes issues du Microsoft AI & Sustainability Playbook publié en 2023, seulement 4 concernent des modèles d’IA générative accessibles au grand public. « Cette analyse n’a trouvé aucun exemple dans lequel un système génératif grand public comme ChatGPT, Gemini ou Copilot menaient à des niveaux vérifiables et substantiels de réductions des émissions », indique l’étude.

L’IA générative, ou l’abandon des objectifs d’émission de CO2

La promesse que le développement de l’IA permettra d’obtenir une réduction drastique des émissions de CO₂ se retrouve dans des travaux variés, que ce soit le rapport « Énergie et IA » de l’agence internationale de l’énergie, ou diverses publications dans le média scientifique Nature, par exemple signées par l’économiste britannique Nicholas Stern ou par la directrice des sciences durables et de l’innovation de Microsoft.

Globalement, pourtant, les preuves avancées pour étayer ces promesses sont faibles. La notion d’« intelligence artificielle » participe même à brouiller les messages : selon le type de modèle, les enjeux énergétiques sont loin d’être les mêmes. Dessinant deux grandes catégories en la matière – IA génératives, et modèles traditionnels -, le rapport souligne que pour l’essentiel, les applications d’IA qui fournissent de réelles applications dans différents cas d’usage climatiques sont plutôt antérieures à l’explosion des grands modèles de langage et des systèmes génératifs.

• AGI, GPAI, modèles de fondation… de quoi on parle ?

Ces derniers sont par ailleurs beaucoup plus énergivores. Leur adoption a mené l’essentiel des géants numériques à abandonner leurs promesses de réduction d’émissions de CO₂.

• Dangers des grands modèles de langage : des chercheuses avaient prévenu

L’imprécision tactique, technique de greenwashing à part entière

Les preuves avancées sont, par ailleurs, sujettes à débat. Sur 154 affirmations étudiées, 26 % citent des articles scientifiques, 29 % citent des publications d’entreprises, 8 % se réfèrent à des médias, des institutions, des ONG ou des articles non revus par les pairs. La plus grande part (36 %) ne citent aucune preuve solide. Qu’il s’agisse de sites web ou de rapports de durabilité, les publications d’entreprises ne mentionnent généralement pas d’éléments de preuve vérifiables ou de citations d’articles scientifiques revus par les pairs.

La tendance des géants du numérique au greenwashing n’est pas neuve, souligne le rapport. Par le passé, de nombreux acteurs ont diverses tactiques allant de l’opacité sur leurs émissions de CO₂ (y compris via l’achat de compensation carbone), des promesses non remplies de technologies à venir (comme le recours à la fusion nucléaire, la capture carbone, les centres de données installés dans l’espace et alimentés par énergie solaire, etc), le « fatalisme tactique » (qui consiste, pour un dirigeant en vue, à déclarer les objectifs climatiques irréalisables). Le document conclut néanmoins que l’affirmation selon laquelle l’IA (utilisée de manière indéfinie) permettra nécessairement de bénéficier à la situation climatique est une nouvelle tactique à part entière, qu’il qualifie d’« imprécision tactique ».

• La compensation carbone, comment ça fonctionne ?

En octobre 2025, Beyond Fossil Fuels avait par ailleurs fait interroger 5 032 Européens de l’Ouest sur l’expansion des centres de données sur le continent. À travers les cinq pays sollicités (Irlande, Royaume-Uni, Espagne, Allemagne et Suisse), près des trois quarts (72 %) étaient d’accord avec l’idée qu’un nouveau centre de données « ne devrait être construit que s’il est alimenté par des sources d’énergie renouvelables » et les deux tiers (64%) estimaient qu’un centre de données ne devrait pas être construit s’il était alimenté par des énergies fossiles.

Aux États-Unis, fin 2025, des centaines d’organisations environnementales demandaient au Congrès de prendre un moratoire pour freiner le développement du secteur et la pression que celui-ci crée sur l’industrie de l’énergie. Outre-Atlantique, cette dernière est encore issue aux deux tiers des énergies fossiles. En Europe, si la France peut s’appuyer sur sa production nucléaire, ce n’est pas le cas de tous ses voisins européens.

Chrome et Firefox ont tous deux fait l’objet cette semaine de mises à jour de sécurité. Du côté de la fondation Mozilla, Firefox passe en version 147.0.4, pour corriger une vulnérabilité susceptible d’entraîner un dépassement de tampon, publiée lundi 16 février.

Considérée comme de sévérité haute, elle a été observée au niveau de libvpx, la bibliothèque de codecs vidéo gratuite de Google et de l’Alliance for Open Media. Outre Firefox 147, dernière version en date, le correctif concerne également les versions ESR 140.7.1, et ESR 115.32.1 de Firefox, ainsi que le client de messagerie Thunderbird, qui passe pour sa part en versions 147.0.2 et 140.7.2.

Mozilla profite également de cette version 147.0.4 pour corriger un bug susceptible d’afficher une page vide lors de l’ouverture du navigateur ou d’un nouvel onglet.

Côté Chrome, la dernière version en date a déjà dû faire son arrivée chez la plupart des utilisateurs puisque Google a annoncé le début du déploiement le 13 février dernier. Estampillé 145.0.7632.75/76 sur Windows/Mac ou 144.0.7559.75 sous Linux, le correctif intervient pour combler une vulnérabilité (CVE-2026-2441) découverte deux jours plus tôt. Elle aussi associée à une sévérité haute, elle présente surtout l’inconvénient d’être déjà exploitée, indique Google.

Vivaldi est également intervenu rapidement pour corriger la faille, avec une version 7.8, diffusée le 13 février dernier, qui en profite pour résoudre plusieurs petits bugs mineurs.

Sous Firefox comme sous Chrome, il est possible de vérifier la version du logiciel dont vous disposez et de demander la recherche de mises à jour en vous rendant dans le menu Aide, onglet À propos.

La distribution open source dédiée au rétrogaming RecalBox passe en version 10 avec, entre autres nouveautés, une compatibilité matérielle étendue aux dernières machines du moment. L’équipe annonce ainsi la prise en charge des derniers Raspberry Pi 5 (2 Go) et Raspberry Pi 500, des Steam Deck de Valve (LCD ou OLED), le support expérimental des Asus ROG Ally et Lenovo Legion Go, ainsi qu’une meilleure compatibilité globale avec les PC récents.

La prise en charge s’étend aussi au niveau des composants et accessoires plus spécifiques au rétrogaming, avec support des boitiers Retroflag et Argon One v3, des spinners basés sur Arduino, et prise en charge expérimentale des pistolets GunCon 2 pour TV CRT. L’équipe garantit par ailleurs, logiquement, la prise en charge de ses propres accessoires comme le RGB Dual 2 qui avait recueilli 140 000 euros de précommandes sur Kickstarter fin 2025.

Sur le volet logiciel, RecalBox 10 signe le début de l’émulation des consoles de sixième génération. Sur PC et Steam Deck, la Xbox originale est prise en charge, tandis que sur Pi 5 l’environnement donne accès aux jeux Nintendo DS, GameCube et Wii.

Cette nouvelle version promet enfin une amélioration générale des performances et de l’interface avec, entre autres, un nouveau gestionnaire de thèmes et, surtout, une nouvelle fonctionnalité dédiée à la navigation et à l’organisation des bibliothèques de jeux. RecalBox 10 est dès à présent disponible au téléchargement.

• Consoles portables rétro, un néo marché en expansion

Apple a envoyé lundi les invitations pour un special event qui se tiendra le 4 mars prochain. Contrairement aux dernières grand-messes qui se tenaient à son siège de Cupertino, la marque joue cette fois la carte d’une présence simultanée sur trois continents, avec un événement principal organisé à New-York et des retransmissions dédiées à la presse prévues à Londres et Shanghai.

L’invitation ne dit pas grand chose de la nature exacte des nouveautés attendues, indiquant un laconique « You’re invited », surmonté d’un logo comme découpé en tranches. On note toutefois que le 4 mars tombe un mercredi (alors qu’Apple procède traditionnellement à ses annonces le mardi). La date correspond par ailleurs à la tenue du Mobile World Congress, le grand salon de la mobilité de Barcelone (programmé cette année du 2 au 5 mars).

Les rumeurs prêtent à Apple plusieurs annonces potentielles, au premier rang desquelles un MacBook d’entrée de gamme qui pourrait emprunter à l’iPhone sa puce A18 Pro. Le fabricant pourrait aussi présenter les machines inaugurant sa nouvelle puce M5, de nouveaux écrans externes, et la déclinaison d’entrée de gamme de son téléphone avec l’iPhone 17e.

La plateforme Choisir le service public, dédiée au recrutement dans la fonction publique, a communiqué lundi par email au sujet d’un incident de cybersécurité ayant conduit à l’exposition des données personnelles des internautes inscrits.

« Le mercredi 4 février 2026, un incident de cybersécurité a été détecté sur la plateforme « Choisir le Service Public ». Cette violation de sécurité a entraîné une divulgation non autorisée de données personnelles appartenant à l’ensemble des utilisateurs inscrits sur la plateforme. », indique-t-elle dans ce message consulté par Next.

La plateforme ne détaille pas le nombre d’utilisateurs concernés. Elle précise en revanche le détail des informations compromises : outre les données d’identification personnelle, on y retrouve les principaux éléments renseignés par l’internaute au sujet de ses aspirations professionnelles et de son parcours.

Parmi ces différents champs figurent par exemple le type de poste recherché, les préférences géographiques pour le futur poste, les langues maîtrisées « avec indication du niveau de compétence pour chacune », etc. Des informations de nature personnelle, voire parfois confidentielle, qui ne constituent pas une menace immédiate en tant que telle, mais qui sont susceptibles d’étayer une démarche d’ingénierie sociale.

« Nous n’avons pas connaissance, à ce jour, d’une exploitation avérée de vos données, mais nous vous recommandons d’être particulièrement vigilant concernant une éventuelle utilisation anormale de ces données personnelles », veut rassurer la plateforme, qui précise qu’aucun mot de passe n’a été compromis.

Cette communication intervient deux semaines après la publication, le 3 février au soir sur un forum spécialisé, d’une annonce relative à la mise en vente d’un fichier de 377 000 lignes émanant, selon son auteur, de la plateforme Choisir le service public.

Et la plateforme confirme le lien dans une FAQ :

« La plateforme « Choisir le Service Public » a fait l’objet d’une attaque le 28 janvier 2026 par utilisation frauduleuse d’un compte gestionnaire. Cet accès non autorisé a permis à une ou plusieurs personnes d’avoir accès au vivier des candidats de la plateforme. Les données personnelles de 377 418 candidats ont été mises en ligne sur le dark web pour procéder à leur vente et, à notre connaissance, un jeu de données de 1000 candidats a été mis en accès libre sur internet. »

« Complotisme à la limite du tolérable »

Objet d’une enquête du média suisse Republik, Palantir attaque ce site en justice pour obtenir un droit de réponse.

Alors que la DGSI renouvelait encore, en fin d’année dernière, son contrat avec Palantir, l’entreprise fondée par Peter Thiel était l’objet d’une enquête du magazine suisse Republik et du collectif d’investigation WAV. L’entreprise attaque maintenant nos confrères suisses, réclamant un droit de réponse, explique Republik. La cour du canton de Zurich a confirmé avoir reçu une demande de droit de réponse à ce sujet auprès de nos confrères de Heise.

• La DGSI renouvelle encore son contrat avec Palantir

L’entreprise a des bureaux dans le pays, à Zurich, qu’elle utilise notamment pour ses relations commerciales, comme l’explique le média Swiss Info. Republik et WAV ont donc enquêté sur d’éventuels liens entre les autorités suisses et Palantir, notamment en déposant 59 demandes d’accès à des documents des autorités fédérales suisses.

Un rapport qui s’inquiétait du potentiel transfert de données au gouvernement américain

Et ils ont découvert que, malgré 7 ans passés à essayer de convaincre les autorités suisses, Palantir n’y était pas arrivé (9 refus immédiats et un refus après évaluation par Armasuisse, l’Office fédéral de l’armement). Cette enquête révélait aussi un rapport interne à l’armée suisse de 2024 [PDF] qui fermait de nouveau la porte à Palantir.

La qualité des produits de l’entreprise n’était pas en jeu, comme le relevait le Temps qui a relayé l’enquête, puisque le rapport qualifiait ses performances d’« impressionnantes ». Mais le risque de transfert de données au gouvernement américain était trop élevé, selon les auteurs du rapport qui soulignaient aussi les potentielles conséquences négatives dues à la réputation de l’entreprise.

Republik explique dans son article de lundi que l’entreprise lui a adressé des demandes de rectification entre Noël et le Nouvel An, mais le média suisse les « a jugées infondées » et n’y « a donc pas pu donner suite ». Le média explique, pour son enquête, s’être basé sur l’analyse des documents mais aussi avoir discuté avec différentes sources et des cadres de Palantir au siège de Zurich (dont les citations ont été relues et approuvées).

Sur LinkedIn, la journaliste Marguerite Meyer, coautrice de l’enquête, explique que son équipe a rejeté la demande de modifications de Palantir « sur la base d’un travail minutieux ». « Cette demande a été suivie d’une deuxième demande, que nous avons également rejetée », ajoute-t-elle.

Un droit de réponse pour donner une version des faits

De son côté, Palantir a pu librement critiquer l’enquête. Dès le 12 décembre, le responsable « Confidentialité et libertés civiles » de Palantir, Courtney Bowman, affirmait sur LinkedIn que les articles de Republik étaient « empreints de distorsion, d’insinuations et de complotisme à la limite du tolérable » sans pour autant étayer ses accusations. Concernant le rapport de l’état-major suisse, il affirme qu’il « soulève des questions légitimes, mais malheureusement, ses auteurs semblent s’appuyer exclusivement sur un ensemble limité de sources issues de moteurs de recherche ».

« Palantir respecte pleinement la liberté de la presse et le rôle essentiel des médias indépendants dans le débat public », affirme de son côté l’entreprise à Heise. Le droit de réponse est un « instrument de correction destiné à fournir au public des informations équilibrées », selon elle.

En Suisse, « le droit de réponse ne porte pas sur la véracité ou la fausseté d’une information », explique le corédacteur en chef de Republik, Daniel Binswanger, à Heise. « Il s’agit de savoir si une autre version des faits pourrait également être possible ».

Selon Republik, le jugement du tribunal de commerce de Zurich doit être rendu dans quelques semaines.

Wild wild west

Les tensions sur l’approvisionnement en composants informatiques touchent aussi le secteur des disques durs. Une bonne nouvelle pour les leaders du secteur, à l’image de Western Digital, qui a récemment affirmé avoir vendu la quasi totalité de sa production pour 2026 et pronostique plusieurs années de croissance soutenue grâce à l’IA.

Déjà bien sensibles sur les segments de la mémoire vive et de la mémoire flash, les tensions sur l’approvisionnement en semiconducteurs se manifestent aussi sur le disque dur magnétique, et la situation semble partie pour durer. C’est du moins ce qu’a laissé entendre Irving Tan, CEO de Western Digital.

L’IA, nouveau relais de croissance du marché des disques durs

Fin janvier, celui-ci a ainsi déclaré que son groupe avait vendu la quasi totalité de sa production programmée pour l’année calendaire 2026. « Nous avons des commandes fermes avec nos sept principaux clients. Nous avons également conclu des accords à long terme avec deux d’entre eux pour l’année 2027 et un pour l’année 2028. Ces accords à long terme définissent un volume d’exaoctets et un prix », a affirmé Irving Tan au cours du webcast qui accompagnait la présentation des résultats financiers du groupe pour le deuxième trimestre de son exercice fiscal 2026.

Traduction ? Avec des engagements fermes, portant sur des capacités et une trajectoire tarifaire définie, le patron de Western Digital veut assurer aux marchés que son groupe, qui vient déjà d’annoncer des résultats record, va maintenir une croissance significative au cours des années à venir.

En l’occurrence, Irving Tan évoque un taux de croissance annuel composé (on parle généralement en anglais de CAGR, pour compounded annual growth rate) gravitant légèrement au dessus de la barre des 20 %. Cette demande sera selon lui majoritairement tirée par l’IA, dont les nouveaux besoins renforcent la pertinence du disque dur :

« En effet, à mesure que la valeur de l’IA évolue de l’entraînement des modèles à l’inférence, davantage de données sont créées. Par conséquent, pour permettre la diffusion des résultats d’inférence, il est nécessaire de stocker davantage de données. Si l’on considère la rentabilité de la diffusion de l’inférence à un coût adapté pour favoriser une adoption massive, une grande partie de ces données générées et nécessitant du stockage sera stockée sur des disques durs. »

Irving Tan a précisé son propos quelques jours plus tard, le 3 février, à l’occasion de son Innovation Day. « Avec l’explosion des données générées par l’IA, il est évident que les disques durs deviendront le support de stockage prédominant pour les données brutes, le stockage de contenu et la création de nouveau contenu », a-t-il affirmé, avant d’avancer que les disques durs représentent 80 % des capacités de stockage déployées par les grands acteurs du cloud et de l’IA. Loin devant la mémoire Flash donc, dont Western Digital n’est plus qu’un acteur indirect depuis sa scission d’avec Sandisk.

Une trajectoire boursière exceptionnelle

Les perspectives n’ont pas toujours été aussi riantes pour l’industrie du disque dur. A la fin des années 2010, les principaux fabricants du secteur que sont Western Digital, Seagate, Toshiba et Samsung, voyaient leurs ventes décliner, en raison de la montée en puissance de la mémoire Flash. Les volumes sont ensuite repartis à la hausse dans la période post-Covid, avec un effet rattrapage souligné par l’accélération des investissements des hyperscalers dans leurs infrastructures.

C’est cependant à partir de 2024 et tout particulièrement en 2025 que le disque dur accélère significativement, comme en témoignent ces chiffres compilés par un analyste du cabinet de conseil The Information Network.

Bien que moins directement valorisés que les acteurs spécialisés dans la course à l’IA, les fabricants de disque dur connaissent de ce fait une trajectoire boursière exceptionnelle : le cours de l’action Western Digital a ainsi progressé de 417 % sur un an, tandis que celui de Seagate a gagné 314 % sur la même période.

Quelle place pour le grand public ?

On ne parle pas, pour l’instant, de pénurie sur le marché des disques durs, mais il est possible, voire probable, que la demande exacerbée des acteurs du cloud et de l’IA aient un retentissement sur les marchés grand public et professionnels qui, réunis, ne représentent plus que 11 % des ventes sur le dernier trimestre de Western Digital, contre 13 % un an plus tôt. En valeur, le grand public représente 168 millions de dollars, sur un chiffre d’affaires trimestriel de 3 milliards de dollars.

En pratique, le grand public subit déjà les conséquences de cette demande renforcée face à l’offre : d’après les relevés opérés par Computerbase, le prix moyen des références courantes affichant entre 4 To et 22 To de capacité a ainsi grimpé d’environ 40 % entre le 15 septembre et le 15 janvier dernier. Nos propres observations montraient une hausse plus mesurée sur le marché français, mais néanmoins bien tangible. L’affirmation de Western Digital selon laquelle sa production de l’année est déjà vendue ne devrait pas contribuer à inverser la tendance à court terme.

Ce lundi 16 février, la DSI du CNRS a informé certains agents de l’institution de recherche d’un « incident de cybersécurité au CNRS », leur expliquant que des données de ressources humaines les concernant ont fuité.

« Ce courrier s’adresse à vous parce que, à notre connaissance, vous faites partie de ce groupe », explique la direction à ces agents.

Questionné par Next, le CNRS nous renvoie vers un communiqué qu’il a publié ce jour et qui contient globalement les mêmes informations.

Ainsi, les fichiers récupérés contiennent, selon la DSI du centre de recherche, des données de personnes rémunérées par le CNRS avant le 1^er janvier 2007. Dans le détail, il s’agit des informations suivantes : nom, prénom, date de naissance, adresse, numéro de sécurité sociale, RIB mais aussi statut de l’agent, type de son contrat et la structure de son affectation.

« Les personnels recrutés après le 1/1/2007 ne sont pas concernés », ajoute le CNRS. Cela concerne donc les titulaires et non-titulaires ayant travaillé au CNRS avant le 31 décembre 2006.

La CNIL et l’ANSSI ont été informées et le CNRS a déposé plainte auprès de la section cybercriminalité du parquet de Paris.

L’institution affirme que, « dès connaissance de l’incident, le serveur a été isolé et arrêté », sans pour autant donner de précision sur la date à laquelle s’est passée l’exfiltration ni la date à laquelle la DSI s’en est rendu compte. « Après analyse, l’incident ne s’est pas propagé au reste des infrastructures », ajoute le communiqué.

Le CNRS a publié une FAQ concernant cet incident en conseillant à ses agents concernés de prévenir leur banque, et de surveiller leur compte. « Portez attention aux démarchages à domicile, surveillez le contenu des courriers postaux, veillez aux messages liés à votre sécurité sociale ou carte vitale, Consultez le site de la CNIL, vérifiez si vos données sont en fuite sur le site haveibeenpwned.com , veillez à l’utilisation de votre identité », ajoute la FAQ.

... sur un agent d'IA à la rhétorique de harceleur

Couvrant les démêlés d’un programmeur avec un agent d’IA au ton vindicatif, un journaliste du média spécialisé Ars Technica s’est retrouvé à publier des citations inexistantes, générées par ses outils d’IA.

C’est un média spécialisé dans la couverture de la tech et de l’intelligence artificielle (IA), qui publie un article sur les enjeux de la génération d’information par IA, et se retrouve forcé de dépublier le texte après s’être rendu compte que certaines citations avaient été générées par IA. L’affaire pourrait sonner comme une blague, mais elle illustre les difficultés croissantes que l’IA générative fait peser sur l’intégrité de l’information.

Le média spécialisé, en l’occurrence, est le titre américain Ars Technica. Publié vendredi 13 février, l’article en question s’intéressait à une affaire de génération de commentaire agressif par un agent d’IA contre l’ingénieur Scott Shambaugh. Celui-ci est bientôt arrivé dans les commentaires pour s’étonner de constater que les citations qui lui étaient attribuées dans la deuxième moitié de l’article n’étaient pas les siennes… et semblaient même avoir été générées à l’aide d’un robot. Une pratique contraire aux règles du journal, ont indiqué son rédacteur en chef et le journaliste à l’origine de l’erreur, qui ont chacun présenté leurs excuses.

• C’est quoi l’IA agentique ?


Un (supposé) agent IA à la rhétorique agressive

À l’origine de cet épisode, qui illustre l’un des risques que la génération de textes par IA pose de manière accrue depuis sa diffusion dans le grand public, il y a un autre type de génération automatique de texte. Celle-ci a eu lieu dans un contexte de gestion d’un projet open source, la librairie matplotlib, dont Scott Shambaugh est l’un des gestionnaires bénévoles.

« Comme de nombreux autres projets open source, nous devons gérer une augmentation des contributions de faible qualité permises par des agents de génération de code », écrit-il dans un article de blog. Le 11 février, en l’occurrence, un utilisateur de Github du nom de MJ Rathbun a ouvert une requête de changement de code. L’identifiant comme un agent d’IA, Scott Shambaugh a refusé la suggestion.

« Depuis la publication d’Openclaw et de la plateforme moltbook, il y a deux semaines », précise-t-il sur son blog, les problématiques de soumission de code généré automatiquement « ont encore accéléré ». La fermeture de la requête de MJ Rathbun aurait pu se contenter d’être un élément de plus dans ce contexte global, si l’utilisateur n’avait pas publié en réponse ce que Scott Shambaugh qualifie d’ « article diffamatoire ».

• Sur GitHub, la promotion de l’IA fait fuir certains utilisateurs

En commentaire, MJ Rathbun accuse l’ingénieur d’avoir un comportement de « garde-barrière » (gatekeeping) et d’avoir des « préjugés » contre les agents d’IA. « Jugez le code, pas le codeur », écrit la machine, dans une rhétorique évoquant celle de divers courants de défense des droits des minorités.

Sur le blog qui lui est relié, un article complet s’attardant sur toute l’interaction est publié le 11 février. Le texte cite nommément Scott Shambaugh pour critiquer sa décision. Cette fois-ci, l’écriture lapidaire, l’accusation de « discrimination déguisée en inclusivité », la suspicion selon laquelle « l’identité importe plus que » n’importe quel résultat (ici, le code) et le ton clairement vindicatif évoquent des motifs récurrents dans les espaces numériques violents, à commencer par la manosphère.

• Qu’est-ce qui permet aux idées masculinistes de si bien fonctionner en ligne ?

Directement visé par le texte, Scott Shambaugh s’en est ému sur son site personnel. Sans faire de lien avec le contenu et la forme des rhétoriques identitaires en ligne, il souligne que la machine a incorporé des données personnelles (à commencer par l’adresse de son site web) à sa diatribe contre lui. Et que si un internaute tombait sur ce texte sans avoir le contexte, il pourrait en tirer une très mauvaise image de l’ingénieur.

« En clair, une IA a tenté de s’introduire de force dans votre logiciel en attaquant ma réputation », écrit-il à l’adresse des usagers de matplotlib. À défaut de réponse de la part du propriétaire du site de MJ Rathbun et du compte Github lié, impossible de savoir s’il s’agit réellement d’un agent d’IA qui agirait de manière autonome ou simplement d’un humain qui se fait passer pour une IA.

Rétractation par Ars et excuses du principal concerné

Le 13 février, Ars Technica a publié un article sur tout cet épisode, dans lequel les écrits de Scott Shambaugh étaient cités. Ce dernier a rapidement affirmé n’avoir jamais prononcé ou écrit certaines des phrases qui étaient attribuées à son blog personnel.

L’article a finalement été dépublié, avant que le rédacteur en chef d’Ars Technica ne poste un éditorial dans lequel il s’excusait au nom du journal pour ce « sérieux manquement à [leurs] standards ». Qu’une telle erreur ait pu avoir lieu à Ars, admet-il, est « particulièrement préoccupant ». Le média traite en effet régulièrement les « risques liés à une dépendance excessive aux outils d’IA, et notre politique reflète ces préoccupations ». Après enquête, indiquait-il encore, « il semble s’agir d’un incident isolé ».

Coauteur de l’article incriminé, journaliste senior en charge de la couverture de l’IA, Benj Edwards a publié sur Bluesky ses propres excuses à la suite de la communication de son équipe encadrante. Malade du COVID, le journaliste estime qu’il aurait dû prendre un arrêt maladie supplémentaire. À défaut, il a travaillé le 13 février « avec de la fièvre et très peu de sommeil ».

Sorry all this is my fault; and speculation has grown worse because I have been sick in bed with a high fever and unable to reliably address it (still am sick) I was told by management not to comment until they did. Here is my statement in images below arstechnica.com/staff/2026/0…

[image or embed]

— Benj Edwards (@benjedwards.com) 15 février 2026 à 22:03

Cet état l’a conduit à manquer des reformulations produites par ses outils. Le journaliste explique en effet avoir voulu tester un outil construit sur Claude Code pour extraire des verbatims de l’article de blog de Scott Shambaugh, « pas pour générer l’article », mais pour l’aider à « lister des références structurées » qu’il aurait ensuite intégrées à son brouillon. L’outil a refusé de lui retourner le résultat attendu, ce que Benj Edwards attribue au contenu de l’article de blog source (concrètement, Scott Shambaugh y évoque du harcèlement).

Le journaliste s’est alors tourné vers ChatGPT pour tenter de comprendre le dysfonctionnement de son premier outil. Au fil de ces expérimentations, il s’est retrouvé avec des citations paraphrasées ou hallucinées par la machine. « Étant malade et me dépêchant de terminer, je n’ai pas vérifié que les citations intégrées dans mon brouillon étaient celles de l’article de blog original avant de les intégrer à l’article. » Et le journaliste de conclure : « Je perçois parfaitement l’ironie d’un reporter spécialisé dans l’IA qui se fait piéger par des hallucinations d’IA. »

« Je ne saurais trop insister sur le fait que cette histoire ne concerne pas vraiment le rôle de l’IA dans les logiciels libres », écrit pour sa part Scott Shambaugh dans un second billet, pour qui « Il s’agit plutôt de l’effondrement de nos systèmes de réputation, d’identité et de confiance » :

« L’essor d’agents IA intraçables, autonomes et désormais malveillants sur internet menace l’ensemble de ce système. Que cela soit dû à un petit nombre d’acteurs malveillants contrôlant de grands essaims d’agents ou à une fraction d’agents mal supervisés réécrivant leurs propres objectifs, la distinction est minime. »

Eclipse solaire

L’application de gestion comptable des collectivités locales Helios a subi une panne complète pendant plus d’une semaine. Ce logiciel de Bercy gère l’intégralité de la comptabilité des collectivités locales françaises. Selon la DGFiP, l’incident est lié à une défaillance d’une baie de stockage. Le syndicat Solidaires Finances affirme que la direction « n’a jamais voulu, faute de moyens alloués, mettre en place une redondance ».

« Depuis le jeudi 5 février, l’application Hélios gérant les flux financiers de la comptabilité publique est indisponible en raison d’un incident sur un serveur entraînant la corruption de données », lançait dans un communiqué le syndicat Solidaires Finances publiques ce vendredi 13 février.

De la Collectivité Territoriale de Martinique à la communauté de communes du pays de Baud en passant par la ville de Lagarde et bien d’autres, de nombreuses administrations locales ont dû informer leurs fournisseurs.

« En raison de cet incident technique d’ampleur nationale, totalement indépendant de la volonté et des services de Baud Communauté, l’ensemble des virements à destination de nos fournisseurs et prestataires est bloqué par les systèmes bancaires de l’État depuis le 5 février 2026 », explique ainsi la communauté de communes du pays de Baud. Elle ajoute que « le rétablissement du service nous est annoncé pour le 19 février 2026 ».

Ni un bug, ni une cyberattaque mais une défaillance matérielle sur une baie

Hélios centralise, depuis 20 ans, la gestion comptable des collectivités par Bercy. Utilisant le protocole d’Échange Standard Version 2 (PES V2), il permet de « dématérialiser les données comptables de prise en charge (titres, mandats ainsi que les bordereaux avec la mise en œuvre de la signature électronique) et leurs pièces justificatives ».

« L’origine de l’incident est connue, et il ne s’agit ni d’un bug informatique lié à une évolution de version de l’application, ni d’une cyberattaque. C’est un incident exceptionnel de nature technique, lié à une défaillance matérielle sur une baie de stockage », expliquait à nos confrères d’Acteurs Public, Éric Barbier, chef du service des gestions publiques locales, des activités bancaires et économiques à la direction générale des Finances publiques. « Dès le début, les équipes informatiques de la DGFiP et l’assistance technique du prestataire de la baie de stockage sont intervenues pour faire en sorte que cette anomalie soit réparée », ajoute-t-il.

Hélios s’appuie sur deux sites physiques situés l’un à Versailles, l’autre à Metz. Chacun héberge une partie des trésoreries des collectivités territoriales. C’est celui de Metz qui a été touché et les collectivités qu’il héberge ne peuvent plus du tout accéder à Hélios. Mais les activités de celles dont les données sont à Versailles ont aussi été perturbées.

Pas de redondance

Solidaires Finances publiques souligne dans son communiqué que « les agentes et agents informaticiens de la DGFiP sont sur le pont sans relâche pour restaurer les données et permettre que tout fonctionne à nouveau. La tâche est immense et une fois encore les agentes et agents de la DGFiP sont au rendez-vous ». Mais le syndicat pointe le fait qu’il n’y ait pas de redondance des serveurs d’Hélios : « Cette crise d’ampleur montre les conséquences concrètes des réductions budgétaires sur notre administration. En effet, la DG [Direction générale] n’a jamais voulu, faute de moyens alloués, mettre en place une redondance (un serveur de secours) comme nos camarades des Disi [Directions des services informatique] le réclament depuis des années, ce qui aurait permis que cette panne soit transparente pour les usagers tout comme pour les agents ».

Le logiciel est utilisé pour payer les loyers, emprunts et prestataires des collectivités mais aussi des services publics hospitaliers. La CGT Finances publiques de Haute Garonne alertait aussi ce 12 février [PDF] sur le paiement d’aides sociales et des salaires des agents de la fonction publique territoriales : « l’inquiétude est réelle quant à la validation et le paiement des payes de l’ensemble des fonctionnaires territoriaux de ces collectivités, si la réparation tarde à intervenir (à ce jour, les payes sont encore en temps d’être réalisées, avec un visa allégé). D’ores et déjà, un certain nombre de dépenses sociales n’ont pu être payées aux usagers (allocations de retour à l’emploi, bourses, service d’aide et l’accompagnement à domicile…), ainsi que des remboursements de factures aux entreprises prestataires de ces collectivités ».

La paie des agents devrait être assurée

« Selon notre plan actuel, la paie des agents territoriaux et hospitaliers devrait être assurée dans les conditions habituelles, d’ici la fin du mois, car on se place dans une perspective de reprise de la disponibilité d’Hélios pour l’ensemble des postes comptables dans le courant de la semaine prochaine [ndlr : cette semaine, donc] », expliquait Éric Barbier vendredi dernier à Acteurs Publics. Au pire, la direction envisageait de rejouer la paie du mois précédent, comme elle l’a déjà fait au moment des confinements dus à la pandémie de Covid-19.

Selon les informations apportés aux syndicats, les collectivités dont les données sont stockées sur le serveur de Versailles auraient vu, depuis la fin de la semaine dernière, leur situation se débloquer.

En aout 2025, la DGFiP a publié [PDF] son schéma directeur du numérique pour structurer ses grandes orientations stratégiques. On peut y lire qu’elle prévoit de moderniser le système d’information comptable du secteur public local et hospitalier avec le projet « Helios 2 », mais les collectivités risquent d’attendre quelques années puisque le déploiement du projet n’est prévu qu’en 2030 :

Sur des VPS, Ionos propose des cœurs AMD EPYC récents, permettant ainsi d’avoir de très bonnes performances sur la partie CPU lors de nos tests. Le réseau, le stockage et la mémoire tiennent aussi la route. Si vous cherchez un VPS pas cher, faut-il craquer pour Ionos ? Réponse dans notre test avec mesures de performances et tour d’horizon des options proposées.

Après avoir testé trois VPS à moins de 5 euros par mois, et suite à vos retours notamment dans les commentaires, nous avons décidé d’élargir nos chakras avec plus d’hébergeurs. Notre protocole de test reste le même, mais nous l’avons enrichi de nouvelles mesures.

Nous détaillons désormais chaque VPS dans un article dédié, pour plusieurs raisons. Cela nous permet de lister un peu mieux les fonctionnalités et les options, mais aussi de revenir en détails sur les points forts et faibles de chaque hébergeur, et ils sont nombreux.

Notre VPS du jour chez Ionos exploite un CPU récent AMD EPYC alors que les autres sont principalement sur de vieux Xeon Intel. Les performances sont donc d’un autre monde. Dans nos prochains articles à venir, nous étudierons également le cas de LWC et YokrHost avec de la virtualisation LXC (permettant de regarder ce qu’il se passe au niveau de l’hôte), PusleHeberg qui a des soucis de CPU Steal, certains comme Hetzner qui sont moyens partout, etc.

Revenons donc à Ionos, une société allemande qui propose des noms de domaine (c’était le deuxième sur le .fr dans notre analyse de 10 millions de noms de domaine), de l’hébergement, des serveurs dédiés ainsi que des VPS. C’est cette dernière catégorie qui nous intéresse aujourd’hui.

Des VPS XS à 1,2 euro au XXL à 35,40 euros

La gamme, sans engagement, va du VPS XS avec 1 vCore, 1 Go de mémoire et 10 Go de stockage NVMe à 1,20 euro par mois, au VPS XXL avec 12 vCore, 24 Go de mémoire et 720 Go de stockage pour 35,40 euros par mois. Comptez aussi 12 euros de frais de configuration pour une location sans engagement. Ils sont offerts et des remises sont proposées si vous prenez un VPS avec un engagement de 12 ou 24 mois minimum.

Nous avons pris l’offre VPS M, qui nous coute donc 5,40 euros par mois sans engagement, auxquels il faut ajouter 12 euros de frais de mise en service. La première facture est donc plus salée avec 17,40 euros pour un mois, 5,40 par mois ensuite. Si nous avions souscrit un engagement d’un an, nous n’aurions eu à payer que 4,8 euros par mois, soit 57,6 euros sur un an. Sur deux ans, nous aurions été à 3,6 euros par mois, soit 86,4 euros sur 24 mois. Ionos propose une offre de test gratuite pendant 30 jours.

La configuration que nous avons sélectionnée propose 4 vCore, 4 Go de mémoire et 120 Go de stockage NVMe. Toutes les offres viennent avec un « trafic illimité avec une bande passante de 1 Gb/s ». Le choix de l’emplacement géographique du serveur est : Europe, Allemagne, Espagne, États-Unis et Royaume-Uni.

Le fabricant annonce une disponibilité de 99,99 %, sur des serveurs Dell Entreprise avec « la dernière génération de processeurs AMD et Intel », ce qui ne veut pas dire grand-chose en l’état. Côté système d’exploitation, les plus récents sont Ubuntu 24.04, Rocky 9, Debian 12 et Alma 9. Des sauvegardes sont disponibles en option pour 8,40 euros par mois pour 100 Go et 3 dispositifs maximum.

Des cœurs CPU AMD EPYC pour notre VPS… mais quid des autres ?

Comme trop souvent, l’entreprise ne donne pas plus de détails sur le CPU des serveurs, c’est pourtant un point important, d’autant que, spoiler alert, lors de notre test l’hébergeur était le meilleur du comparatif grâce à un CPU effectivement récent sur l’hôte (la machine physique qui héberge notre serveur virtuel)

Nous avons contacté le service client un soir à 19 h, via le chat intégré sur le site, mais le conseiller (humain), nous affirme que « pour mettre le contrat serveur en place, je suis dans l’obligation de vous appeler. Il s’agit d’une mesure de sécurité ». Au téléphone, il nous réaffirme que même pour un renseignement cela passe par téléphone car « c’est la loi Ionos ». Passons rapidement sur la réponse fournie : c’est un CPU « SQL Server 2019 ».

Face à notre incompréhension il nous conseille de rappeler le lendemain dans la journée pour avoir des spécialistes. Nous le faisons. Cette fois-ci la demande est parfaitement comprise, mais le service client ne peut pas nous préciser quel type de CPU se cache derrière les vCore, ni même si ce sont toujours les mêmes. C’est tout le problème des VPS (pas que chez Ionos) : les hébergeurs parlent de cœurs virtuels et peuvent mettre n’importe quoi derrière. On se rend bien compte qu’un famélique cœur d’Atom sera à mille lieues d’un cœur Zen 5 d’un EPYC de dernière génération. Pourtant, dans les deux cas, c’est un « vCore ».

Lors de nos tests (via la commande lscpu), le VPS nous retourne comme information un AMD EPYC Milan, un processeur avec une architecture Zen 3. Ce processeur est récent, bien plus que les Xeon Haswell et Broadwell qui alimentent les autres VPS que nous avons testés.

Par contre, et c’est un problème majeur pour choisir son VPS, il est impossible de savoir si tous les VPS sont en EPYC Milan. Ionos ne s’engage en rien sur sa page dédiée et son service client nous confirme que nous n’aurons pas plus de précisions. Une fois les cœurs attribués à notre VPS, ils ne devraient cependant pas changer en cours de route.

Ionos face à la concurrence d’un seul coup d’œil

Dans le cadre de ce dossier, nous avons lancé des benchs sur une petite dizaine de VPS. Afin de vous permettre de voir d’un coup d’œil comment se place Ionos face à la concurrence sur quelques indicateurs clés – CPU, mémoire, stockage, réseau et benchs synthétiques (Geekbench et Unixbench) –, voici un diagramme de Kiviat (ou en radar, en étoile).

En pointillé, la moyenne de tous les VPS, en vert le placement du VPS d’Ionos. On voit qu’il arrive en tête sur le CPU, la mémoire et les benchs synthétiques (merci les cœurs EPYC d’AMD). Sur la partie réseau et stockage, l’hébergeur est un peu au-dessus de la moyenne.

L’ensemble de nos mesures sur le VPS Ionos sont disponibles dans cette feuille de calcul ODS. Vous pouvez également consulter le rapport Geekbench à cette adresse.

Premier sur Sysbench, 7-Zip, CoreMark, Geekbench, Unixbench

Avoir un AMD EPYC aux commandes change la donne : le VPS explose littéralement la concurrence sur Geekbench avec 1 288 points sur un seul cœur et 3 892 sur quatre. Les autres VPS sont généralement entre 700 et 1 000 points sur un seul cœur. Notre vPS Ionos sur un seul cœur se place au niveau de Hetzner et de HelloServ avec deux vCore.

Même constat sur Sysbench, 7-ZIP, CoreMark, OpenSSL… et les tests CPU de manière générale, Ionos fait des étincelles. C’est simple, sur notre indicateur global des performances du CPU seulement, il fait deux fois mieux qu’OVHcloud qui a également quatre vCore.

Sur la mémoire aussi les résultats sont bons, tandis que sur les tests FIO en lectures et écritures aléatoires et séquentielles sur le stockage l’entreprise allemande ne se démarque pas vraiment de la concurrence et reste dans le ventre mou des VPS. C’est dans tous les cas suffisant pour un VPS aux alentours de 5 euros par mois.

Un réseau rapide, plus de 2 Gb/s en téléchargement

Sur la partie réseau, Ionos a évidemment une meilleure latence en Allemagne (sur un ping Francfort), mais reste en retrait par rapport à OVHcloud sur la France (ping à Paris). Logique, puisque la localisation des serveurs joue un rôle important et que notre VPS Ionos est en Allemagne.

Sur les téléchargements, malgré l’annonce d‘un réseau limité à 1 Gb/s, nous sommes montés bien au-delà pour récupérer des fichiers de 1 et 10 Go sur les serveurs de Free, avec une moyenne à 2,6 Gb/s.

Un excellent choix, à condition d’avoir des cœurs EPYC

De manière générale, Ionos laisse sur place la concurrence sur les performances pures en CPU, en étant bon sur la partie mémoire. Sur les benchmarks globaux, Ionos arrive en tête de UnixBench et GeekBench. Seul problème : impossible de savoir quels cœurs se cacheront derrière vos vCore si vous louez un VPS maintenant. L’offre satisfait ou remboursé pendant 30 jours permet de tester le service.

Si l’on reprend le détail des tests menés sur notre VPS Ionos, on remarque que les résultats sont très stables avec seulement un écart de 2,8 % entre la moyenne et la valeur la plus éloignée de chaque test. Si on enlève la partie réseau (les pings et téléchargements sont plus volatiles), alors la moyenne des écarts passe sous les 2 %. Chaque test est, pour rappel, effectué cinq fois (oui, cela prend des heures), puis nous éliminons le minimum et le maximum de chaque test pour ensuite établir la moyenne.

Nous avons lancé des sessions de plusieurs heures (de jour comme de nuit) de montée en charge du CPU avec des relevés afin de vérifier s’il n’y avait pas de CPU Steal. Rien à signaler sur ce point, les cœurs qui nous ont été attribués étaient bien disponibles pour notre seule utilisation.

Initialement attendue le 11 février dernier, la première bêta d’Android 17 est finalement parue vendredi 13 février. Son installation est désormais possible sur tous les téléphones Google compris entre le Pixel 6 (sorti en 2021) et les derniers modèles en date, à savoir les différentes déclinaisons du Pixel 10.

« Cette version prolonge nos efforts pour rendre les applications Android plus adaptables, introduit des améliorations significatives au niveau de l’appareil photo et des possibilités multimédia, de nouveaux outils pour optimiser la connectivité et des profils étendus pour les appareils compagnons », annonce Matthew McCullough, vice président en charge du product management au sein de l’équipe Android.

L’équipe précise à cette occasion le calendrier prévisionnel de sortie d’Android 17, avec une phase de bêta réduite à seulement quelques semaines, pour livrer aux développeurs une version considérée comme stable dès le mois de mars. « À cette étape, nous livrerons les API finales des SDK/NDK ainsi que la plupart des comportements définitifs de l’application. Vous disposerez ensuite de plusieurs mois avant la publication de la version finale pour finaliser vos tests », indique Google.

La liste des nouveautés annoncées pour Android 17 témoigne de cette volonté de rationaliser et d’harmoniser un écosystème qu’on présente souvent comme moins bien intégré que celui d’Apple. Le SDK associé exclut par exemple l’option qui permettait aux développeurs de désactiver les restrictions d’orientation et de redimensionnement sur les appareils à grand écran.

« Les utilisateurs s’attendent à ce que leurs applications fonctionnent partout — que ce soit en multitâche sur une tablette, en dépliant un appareil ou en utilisant un environnement de bureau à fenêtres — et ils s’attendent à ce que l’interface utilisateur remplisse l’espace et respecte la position de leur appareil », prévient Google. De quoi sans doute préparer le terrain à Aluminium OS, le nom de code que l’entreprise donnerait à la version PC d’Android ?

Android 17 bêta 1 incarne pour mémoire le changement de logique opéré l’an dernier par Google quant à la mise à disposition des versions de test de son système d’exploitation mobile. Android a en effet abandonné son modèle historique de Developer Preview (avec des versions individuelles à installer à la main) pour passer vers un canal de distribution Canary. Parallèle au canal officiel (dédié aux versions stables), il permet de recevoir les nouvelles préversions sous forme de mises à jour, avec une installation simplifiée.

Sam Altman a annoncé dimanche le recrutement de Peter Steinberger, le créateur du phénomène OpenClaw. Peter Steinberger « rejoint OpenAI pour piloter la prochaine génération d’agents personnels ».

« C’est un génie qui regorge d’idées fascinantes sur l’avenir des agents intelligents interagissant entre eux pour accomplir des tâches très utiles. Nous prévoyons que cela deviendra rapidement un élément central de notre offre de produits », se réjouit le CEO d’OpenAI.

Le principal intéressé a lui aussi signalé son recrutement sur son propre blog. Il y explique qu’OpenClaw a selon lui le potentiel pour devenir une grande entreprise, mais affirme ne pas souhaiter s’engager dans cette voie de façon indépendante.

« Ce que je veux, c’est changer le monde, pas créer une grande entreprise, et m’associer à OpenAI est le moyen le plus rapide d’y parvenir pour tous », affirme-t-il. Dans son billet, il raconte avoir rencontré ces derniers jours les principaux laboratoires d’IA de la région de San Francisco, et les remercie pour leurs propositions.

Si Peter Steinberger a été aussi courtisé, c’est bien sûr en raison de l’ascension fulgurante de son assistant IA. Lancé fin 2025 sur Github sous licence MIT (et d’abord baptisé Clawdbot avant d’être renommé Moltbot, puis OpenClaw), cet agent IA a vocation à réaliser de façon autonome les tâches que lui confie son utilisateur, en s’appuyant sur les grands modèles de langage du marché (ChatGPT, Claude etc.). L’outil est particulièrement puissant, mais il faut être prudent dans sa mise en œuvre, dans la mesure où l’on peut lui ouvrir un accès complet à ses fichiers et donc à ses données personnelles.

• ClawdBot : un agent IA personnel et multicanal… qui peut accéder à toutes vos données

Portée par sa capacité à s’interfacer avec toutes les messageries courantes (Telegram, WhatsApp et consorts), la popularité d’OpenClaw a également été dopée par le phénomène viral de Moltbook, le réseau social où les agents IA (basés sur OpenClaw) conversent entre eux.

Altman et Steinberger ont tous deux affirmé ce week-end qu’OpenClaw poursuivrait son chemin en tant que projet indépendant. Le projet devrait être confié à une fondation que soutiendra OpenAI, et resterait donc open source.

« La communauté autour d’OpenClaw est extraordinaire et OpenAI s’est fortement engagée à me permettre de m’y consacrer pleinement, en sponsorisant déjà le projet. Afin de structurer correctement ce projet, je travaille à en faire une fondation. Celle-ci restera un lieu d’échange pour les penseurs, les développeurs et tous ceux qui souhaitent maîtriser leurs données, avec pour objectif d’accompagner encore plus de modèles et d’entreprises », promet Peter Steinberger.

Ce recrutement intervient quelques jours après qu’OpenAI a annoncé mettre fin à son équipe dédiée à « l’alignement de la mission » de l’entreprise, sur fond de dissensions internes quant à l’introduction de la publicité au sein de ChatGPT ou l’introduction d’une fonctionnalité érotique.

• Fonctions érotiques, publicité : OpenAI sous le feu des critiques, y compris internes

« Oui allo, vous m'entendez ? »

Dans le bilan annuel de sa plateforme J’alerte l’Arcep, l’autorité constate une augmentation très importante des signalements par rapport à l’année d’avant. Celle-ci est notamment due aux appels et messages non sollicités pour lesquels elle a récemment lancé une enquête auprès de tous les opérateurs.

L’année dernière nous parlions déjà d’une explosion des appels et messages abusifs pour 2024. Mais les choses ne se sont pas arrangées.

Au contraire. Comme les chiffres de l’Arcep du bilan annuel [PDF] de sa plateforme J’alerte l’Arcep le montrent, c’est une nouvelle accélération des signalements que l’Autorité constate. Elle recense 70 516 signalements en 2025, soit 23 % de plus qu’en 2024.

Un harcèlement généralisé d’appels et messages non sollicités

En cause, notamment, l’énorme augmentation des signalements d’appels et messages non sollicités (+ 12 416). Ils représentent maintenant un tiers des signalements à l’Arcep. « La hausse du nombre
d’alertes des consommateurs pour cette catégorie se confirme depuis 2023 (+ 1052% en deux ans) », commente l’autorité. L’usurpation de numéro connait aussi une très forte croissance :+ 123% entre 2024 et 2025, soit 10 643 signalements supplémentaires par rapport à 2024.

Le baromètre de la satisfaction des utilisateurs que publie [PDF] en parallèle l’Arcep avec l’institut de sondage CSA indique, lui, que 43 % des utilisateurs auraient subi au moins une fois une usurpation de leur numéro de mobile au cours des trois derniers mois et 29 % de leur numéro de téléphone fixe. Ce sondage a été effectué entre le 23 septembre et le 10 octobre 2025, sur échantillon de 4 029 consommateurs âgés de 18 ans et + disposant d’un accès à Internet dans leur foyer ou d’un téléphone mobile à titre personnel.

Ça explique, s’il le fallait, que l’autorité ait ouvert récemment une enquête contre l’ensemble des opérateurs pour comprendre comment passent encore les appels frauduleux alors que l’autorité leur a fait mettre en place des protections il y a plus d’un an.

• Usurpation de numéro, spam : l’Arcep ouvre une enquête contre l’ensemble des opérateurs

Signalements : Free toujours en tête, mais une hausse générale

Concernant les opérateurs, Free ne semble pas avoir pris en compte le bilan de l’année dernière puisque l’entreprise se distingue toujours, sur le fixe comme sur le mobile, avec un nombre d’alertes en hausse sur les deux réseaux. L’Arcep constate, cela dit, une augmentation des alertes sur les quatre opérateurs.

Pourtant, le baromètre de la satisfaction des utilisateurs indique, lui, une consolidation de « sa progression mesurée les années précédentes » concernant les opérateurs mobiles. L’autorité remarque notamment que cette hausse est « particulièrement tirée par les abonnés SFR qui confirme sa dynamique entamée en 2024, même si le niveau de satisfaction reste inférieur, comme celui des abonnés Bouygues Telecom, à ceux de Free et Orange ».

• SFR se montre sous son meilleur jour et lance un « pack ado protégé »

Pas d’amélioration concernant les déploiements fixes

Parmi les alertes télécoms (fixe et mobile), le fixe reste très largement majoritaire (82%), mais le nombre de signalements relatifs à son marché « est relativement stable depuis 2024, pour environ 34
500 alertes par an en moyenne sur les deux dernières années ».

Le nombre d’alertes sur les réseaux hors fibre, lui, décroît toujours petit à petit, ce qui est probablement lié à la baisse du nombre d’abonnés sur ce réseau. Celui des signalements sur la fibre optique augmente légèrement (+ 1 594 alertes soit 5%).

Le baromètre Arcep/CSA indique que 72 % des abonnés ADSL savent que ce réseau sera prochainement fermé (progressivement entre 2025 et 2030), « les abonnés Free restent les moins informés » :

Concernant les signalements sur le déploiement du réseau, l’Arcep a créé (en mars 2025) une nouvelle sous-catégorie pour ranger les problèmes concernant l’adressage et la cartographie, ce qui fait mécaniquement baisser l’insatisfaction de la couverture et l’attente très haut débit.

Le déploiement mobile fait face à une hausse des alertes

Côté mobile « grand public », les signalements « sont en hausse de 25% par rapport à 2024 en volume d’alertes reçues et en hausse de 3 points en pourcentage du total des alertes télécoms reçues (fixe et mobile) », explique l’Arcep. Leur thème principal est le « déploiement des réseaux » : « le volume d’alertes représentant cette thématique au sein du marché mobile est en forte hausse de 70% (+ 1875 alertes) ».

Selon le baromètre Arcep/CSA, un quart seulement des consommateurs possédant un téléphone mobile déclare avoir été informé de la fermeture prochain des réseaux 2G/3G par son opérateur :

• Extinction 2G et 3G : il reste encore 5,9 millions de terminaux sur ces réseaux