Le maillon faible de la supply chain

Pour la deuxième fois en trois semaines, le dépôt GitHub du scanner de vulnérabilité Trivy a été compromis. Une autre application, LiteLLM, en fait les frais et infecte à son tour d’autres projets qui se font dérober leurs identifiants et secrets. Un effet boule de neige qui montre bien les dangers de la supply chain. On vous raconte cette histoire assez folle et inquiétante.

Début mars, nous relations une affaire inquiétante : un bot avait exploité GitHub Actions pour vider un dépôt, celui de Trivy ; ironie du sort, c’est un scanner de vulnérabilité. Le bot avait également publié une extension VS Code malveillante. Trivy avait repris le contrôle et publié une version 0.69.2 jugée comme sûre. Trois semaines plus tard, on découvre que ce n’est pas terminé, loin de là.

• Hackerbot-claw : un bot exploite GitHub Actions et vide le dépôt de Trivy

Versions 0.69.4, 0.69.5 et 0.69.6 de Trivy compromises

Pour Stéphane Robert, ingénieur DevOps et architecte cloud chez 3DS Outscale, c’était une alerte de plus, à ajouter à toutes les précédentes : « Vos pipelines sont une surface d’attaque. Ils ont des permissions d’écriture sur vos repos, accèdent à des secrets, et s’exécutent à chaque push. Vous ne pourrez plus dire “je ne savais pas” ».

Il n’a pas fallu attendre longtemps pour que l’histoire lui donne de nouveau raison. Dans un billet de blog intitulé « 20 jours plus tard : Trivy est compromis, acte II », Boost Security Labs détaille une nouvelle attaque contre Trivy : « Le pirate a retrouvé l’accès à Aqua Security (via un vecteur encore sous enquête) […] Le 19 mars 2026, des versions empoisonnées de Trivy (v0.69.4) ont été diffusées ».

Stéphane Robert ajoute que « les versions 0.69.5 et 0.69.6, poussées le 22 mars sans publications GitHub associées, contiennent elles aussi des indicateurs de compromission ». Elles étaient disponibles sur Docker Hub.

Oups : « des attaquants ont pu avoir accès aux jetons mis à jour »

Sur GitHub, Aqua Security (éditeur de Trivy) confirme : « Le 19 mars, nous avons observé qu’un acteur malveillant avait utilisé des identifiants compromis pour publier des versions malveillantes de trivy (v0.69.4), trivy-action et setup-trivy. Il s’agissait d’une suite à l’incident récent du 1er mars qui avait entraîné l’exfiltration d’identifiants. Le confinement du premier incident était incomplet. Nous avons renouvelé les secrets et les jetons, mais le processus n’était pas atomique et des attaquants ont pu avoir accès aux jetons mis à jour ».

Un GitHub Advisory (GHSA) dédié a été mis en ligne, qui précise à ce sujet que « toutes les accréditations n’ont pas été révoquées simultanément », la fenêtre rotation durait quelques jours, ce qui a suffi à l’attaquant pour exfiltrer les nouveaux secrets.

Face à cette situation, Trivy serre encore la vis : « Nous adoptons désormais une approche plus restrictive et bloquons toutes les actions automatisées et tous les jetons afin d’éliminer complètement le problème […] Toutes les dernières versions pointent désormais vers une version sûre ». En espérant que cette fois ce soit la bonne.

Les versions considérées par Aqua Security comme fiables sont les 0.69.3 pour Trivy, 0.2.6 pour aquasecurity/setup-trivy (GitHub Actions) et 0.35.0 aquasecurity/trivy-action (GitHub Actions). Les versions malveillantes sont restées entre 3 et 12 heures en ligne, selon les développeurs.

Un peu de typosquatting pour la route

L’attaque ciblait donc Trivy directement, mais il y avait également « deux commits imposteurs non rattachés à une branche. L’un visait actions/checkout, l’autre aquasecurity/trivy. Ces commits utilisaient des auteurs crédibles, des messages plausibles et des modifications volontairement discrètes pour se fondre dans le bruit d’un diff ordinaire », explique Stéphane Robert.

L’attaquant utilisait aussi un nom de domaine proche de celui de l’entreprise : scan.aquasecurtiy.org… avez-vous remarqué l’inversion entre le i et le t dans securtiy ? Le nom de domaine a été acheté le 17 mars, juste avant l’attaque. Boost Security explique que cette adresse était utilisée pour récupérer des fichiers malveillants qui venaient remplacer certains composants de Trivy.

Conclusion et leçon à retenir selon Stéphane Robert : « une fois qu’un attaquant tient un credential puissant, il peut revenir plus tard, se fondre dans les automatismes du projet, puis transformer l’écosystème de build et de distribution en vecteur d’attaque ». En conséquence, tout ce qui touche au CI/CD (CI pour intégration continue et CD pour déploiement continu) doit être « administré comme un système critique ».

Trivy entraîne LiteLLM dans sa chute

Ça va sloper chérie

Jensen Huang change son fusil d’épaule et promet comprendre les inquiétudes des joueurs, ajoutant que lui non plus n’aime pas l’IA slop. Il affirme que ce n’est pas ce que veut faire DLSS 5, rappelant une fois encore que la mise en oeuvre revient aux créateurs de jeu. Dans le même temps, Capcom, incriminé pour Resident Evil Requiem, publie un document pour expliquer sa position sur l’utilisation de l’IA générative.

Jensen Huang est intervenu cette semaine dans le podcast de Lex Fridman, un informaticien et chercheur en intelligence artificielle qui a passé des années au MIT. La vidéo dure près de 2h30 et de nombreux sujets ont été abordés avec le patron de NVIDIA. Une transcription est également disponible sur le site de Lex Fridman.

Huang aux joueurs : je vous comprends, je n’aime « pas non plus l’AI slop »

Parmi les sujets abordés, il y avait évidemment DLSS 5, la dernière version du Deep Learning Super Sampling de NVIDIA. Sa promesse, pour rappel, est de « transformer la fidélité visuelle dans les jeux » et de passer à un rendu photoréaliste. La grogne est rapidement montée chez les joueurs et les développeurs. Les déclarations de Jensen Huang suite à ces retours n’étaient pas vraiment du genre à apaiser les esprits : « Eh bien, tout d’abord, ils ont complètement tort ».

• DLSS 5 : la polémique s’emballe, les joueurs ont « complètement tort » lâche Jensen Huang
• GeForce RTX : avec DLSS 5 et son rendu photoréaliste, l’IA de NVIDIA va-t-elle trop loin ?

Le patron de NVIDIA commence par affirmer que « GeForce reste, encore aujourd’hui, notre stratégie marketing numéro un ». Une manière de rappeler que NVIDIA fait aussi des produits pour les joueurs (et pas seulement des puces pour l’IA), même si les nouveautés matérielles – la série des RTX 50 Super par exemple – se font attendre. À la place, NVIDIA mise sur le logiciel, avec DLSS 5 donc.

La question de l’IA slop dans DLSS 5 arrive rapidement : « Je pense que leur point de vue est logique et je comprends leur raisonnement, car je n’apprécie pas non plus l’AI slop », affirme Jensen Huang. Changement de discours complet par rapport à sa précédente intervention.

DLSS « en parfaite cohérence avec […] le style et l’intention de l’artiste »

Le patron de NVIDIA revient ensuite sur sa ligne concernant le rapport avec les développeurs, inchangée depuis le début de cette affaire : « ce n’est tout simplement pas ce que DLSS 5 essaie de faire […] DLSS 5 est conditionné par la 3D, guidé par la 3D ». Jensen Huang affirme respecter « scrupuleusement la géométrie » de l’image déterminée par les créateurs des jeux : « Chaque image est améliorée, mais rien ne change ».

Il ajoute que « DLSS 5 permet également, car le système est ouvert, d’entraîner vos propres modèles pour la détermination, et vous pourriez même, à l’avenir, l’utiliser avec un prompt ». Il serait ainsi possible de demander à DLSS 5 de transformer un rendu pour qu’il ressemble à tel ou tel exemple. Le réseau de neurones ferait alors en sorte de transformer les images « dans ce style, en parfaite cohérence avec le talent artistique, le style et l’intention de l’artiste ».

Les créateurs sont toujours replacés au centre du processus décrit par Jensen Huang, ce sont eux qui décident de l’utiliser (et la manière de le faire) ou non : « Tout cela est fait pour les créateurs, afin qu’ils puissent créer quelque chose de plus beau mais toujours dans le style qu’ils souhaitent. Je pense qu’ils ont eu l’impression que les jeux allaient sortir tels quels, comme ils le font d’habitude, puis qu’on allait les post-traiter. Ce n’est pas ce que le DLSS est censé faire ».

Capcom souffle le chaud et le froid sur l’utilisation de l’IA générative

Il y a quelques jours, Capcom revenait sur la question de l’IA générative, comme le rapporte PC Gamer (sur la base d’une traduction automatique d’une session de questions/réponses avec les investisseurs). Attention, si le document a été mis en ligne le 23 mars, la réunion date du 16 février, soit bien avant l’annonce de DLSS 5.

Cette mise en ligne, après l’annonce de NVIDIA et alors que la polémique enflait, avec une mise en avant spécifique de la question de l’IA générative, n’est certainement pas anodine. Depuis la présentation de DLSS 5 le 16 mars, les critiques pleuvent sur les rendus présentés par NVIDIA, notamment avec les personnages de Resident Evil Requiem qui « ressemblent au genre de conneries que les fans en colère font en ligne », lâchait Kotaku. Capcom en profite donc pour jouer les pompiers au passage.

« Nous n’intégrerons pas d’éléments générés par IA dans le contenu de nos jeux […] Cependant, nous avons l’intention d’utiliser activement cette technologie pour améliorer l’efficacité et accroître la productivité dans nos processus de développement des jeux. C’est pourquoi, nous regardons actuellement comment l’utiliser dans divers domaines, tels que les graphismes et l’audio », peut-on lire dans le résumé (en japonais, traduit automatiquement) des questions/réponses.

Quoi qu’il en soit, Capcom était un des partenaires du lancement de DLSS 5 avec une citation de Jun Takeuchi, producteur exécutif et directeur général de Capcom, dans le communiqué de presse : « DLSS 5 marque une nouvelle étape importante dans l’amélioration de la fidélité visuelle, permettant aux joueurs de s’immerger davantage dans l’univers Resident Evil ».

Sora pas duré longtemps

Surprise, OpenAI tire un trait sur Sora, l’application de vidéos générées par intelligence artificielle. L’entreprise donnera des détails dans un second temps. Cela entraine aussi la fin du partenariat avec Disney, même si les deux partenaires chercheraient d’autres moyens de travailler ensemble.

« Nous disons adieu à l’application Sora »

C’est via un message sur X qu’OpenAI annonce, par surprise, la fin de son application Sora : « Nous disons adieu à l’application Sora […] Nous vous en dirons plus prochainement, notamment sur le calendrier de fermeture de l’application et de l’API, ainsi que sur les modalités de sauvegarde de votre travail ». Aucun détail supplémentaire n’est donné.

OpenAI se recentre ainsi sur l’IA générative pour le codage et le « travail », au sens large du terme. Un changement de cap déjà initié avec GPT-5.4 qui est justement tourné vers les tâches « professionnelles » ou encore la place de plus en plus importante de l’application Codex. Sur ces deux terrains, OpenAI se tire la bourre avec Anthropic et son IA Claude.

Une autre source confie à Reuters qu’il « s’agissait d’un grand retournement de situation ». Retournement brutal et rapide puisque, pas plus tard que ce lundi, OpenAI publiait un billet de blog expliquant que son modèle et l’application Sora intégraient des « protections en béton ». Le lendemain, c’est l’annonce de sa mise au placard.

Selon le Wall Street Journal, le CEO de l’entreprise, Sam Altman, aurait annoncé aux employés que l’entreprise n’arrêterait pas que Sora, mais tous les produits utilisant ses modèles de génération de vidéos, y compris une version de Sora pour les développeurs et la prise en charge de vidéos dans ChatGPT.

Changement de cap

Sam Altman confirme aussi la réorientation stratégique de l’entreprise. « Les dirigeants d’OpenAI débattent depuis un certain temps du sort de Sora. Faire fonctionner l’application vidéo IA nécessitait d’importantes ressources de calcul et laissait les autres équipes avec moins de ressources », explique une source à Reuters.

À Axios, un porte-parole d’OpenAI explique que l’équipe de Sora continuera de « se concentrer sur la recherche en simulation du monde pour faire progresser la robotique et aider les gens à résoudre des problèmes du monde réel ».

OpenAI vise pour rappel une entrée en bourse cette année, mais l’entreprise brûlerait pour le moment du cash à vitesse grand V. Des investissements ont été annoncés le mois dernier, notamment 110 milliards de dollars auprès d’Amazon, Softbank et NVIDIA.

• OpenAI lève 110 milliards de dollars auprès d’Amazon, Softbank et NVIDIA
• En route pour la bourse, OpenAI brûlerait plus de 11 milliards de dollars par trimestre

Pour rappel, Sora avait été annoncé en février 2024, puis était disponible en décembre 2024. Une v2 est arrivée en octobre 2025, avec dans le même temps une application de doomscrolling de vidéos générées par cette IA. Sora s’est malheureusement illustré avec des deepfakes et des contenus racistes, mais aussi pour avoir utilisé sans autorisation du contenu pour entrainer son IA.

Disney « respecte » la décision d’OpenAI, mais a été « pris au dépourvu »

En décembre, un coup de tonnerre retentissait dans le monde de l’IA générative et des vidéos : un investissement d’un milliard de dollars de Disney dans OpenAI, avec un accord de licence sur trois ans lui permettant d’exploiter l’image de plus de 200 personnages Disney (Mickey, Marvel, Star Wars…).

Cet accord avait rapidement soulevé des « inquiétudes extrêmes » de la part de certains acteurs de cette industrie, surtout face à un Disney généralement très protecteur de son image.

• Disney investit dans OpenAI et lui cède les droits sur 200 personnages de ses franchises phares

Qu’en est-il du côté de Disney avec l’annonce de la fin de Sora ? « Nous respectons la décision d’OpenAI de quitter le secteur de la génération vidéo et de déplacer ses priorités ailleurs », explique un porte-parole de l’entreprise à plusieurs de nos confrères américains.

C’est la version polie, la réalité était plus brutale selon Reuters : « Lundi soir, Walt Disney et les équipes d’OpenAI travaillaient ensemble sur un projet lié à Sora […] À peine 30 minutes après cette réunion, l’équipe Disney a été prise au dépourvu par l’annonce qu’OpenAI allait abandonner complètement l’outil ».

Selon une source d’Hollywood Reporter, Disney quitterait l’accord signé avec OpenAI l’an dernier. Toujours selon Reuters, qui se base sur deux sources proches du dossier (comme le veut la formule consacrée), « la transaction entre les sociétés n’a jamais été terminée et aucune somme d’argent n’a été transférée ». Une autre source affirme que les deux protagonistes « discutent de la possibilité de nouer un autre partenariat ou d’investir ensemble ».

Disney va « continuer à collaborer avec les plateformes d’IA »

Disney ne jette pas l’éponge sur l’IA : « Nous apprécions la collaboration constructive entre nos équipes et ce que nous en avons appris, et nous continuerons à collaborer avec les plateformes d’IA pour trouver de nouvelles façons de rencontrer les fans là où ils se trouvent tout en adoptant de manière responsable les nouvelles technologies qui respectent la propriété intellectuelle et les droits des créateurs », précise le porte-parole de l’entreprise.

Nos confrères ajoutent que ce chamboulement « place Google dans une position de pouvoir en matière de génération vidéo par IA », avec Veo dont la version 3 (avec le son en plus de l’image) est disponible depuis près d’un an.

• [Édito] Et si on arrêtait avec cette hypocrisie autour de l’IA ?

Je root, tu root, il root…

Au nom de la sécurité nationale, les États-Unis imposent désormais que les routeurs soient fabriqués sur leur sol, peu importe la nationalité du constructeur. Pour les millions de routeurs en place cela ne change rien, mais les nouveaux modèles devront se conformer au règlement ou obtenir une autorisation.

Cette liste noire des États-Unis remonte à début 2021, avec les équipementiers chinois Huawei et ZTE Corporation. D’autres moins connus du grand public y figurent aussi depuis cinq ans : Hytera, Hangzhou Hikvision et Dahua.

Les routeurs fabriqués à l’étranger sur la liste noire des États-Unis

Par la suite, d’autres ont été ajoutés, notamment Kaspersky Lab, China Mobile et Telecom. Les drones produits à l’étranger sont arrivés fin 2025, avec de premières exceptions pour des modèles de drones en ce mois de mars. Dans les entreprises concernées – SiFly Aviation, Mobilicom, ScoutDI et Verge –, aucune n’est chinoise.

Aujourd’hui, c’est au tour des routeurs fabriqués à l’étranger, explique la FCC (régulateur des télécoms étasunien), « à l’exception des routeurs ayant reçu une dérogation du DoW ou du DHS », c’est-à-dire du Département de la Guerre ou de la Sécurité intérieure des États-Unis. Actuellement, les routeurs installés aux États-Unis sont (très) très majoritairement fabriqués à l’étranger, pour ne pas dire quasi-exclusivement.

La FCC explique dans sa foire aux questions que la définition de la production, dans le cas présent, « inclut généralement toute étape majeure du processus par lequel l’appareil est fabriqué, y compris la fabrication, l’assemblage, la conception et le développement ». Elle ajoute que « la nationalité de l’entité ou des entités produisant les routeurs n’est pas pertinente pour savoir si ces routeurs sont considérés comme produits dans un pays étranger ».

« Pratiquement tous les routeurs sont fabriqués en dehors des États-Unis, y compris ceux produits par des entreprises américaines comme TP-Link, qui fabrique ses produits au Vietnam », reconnait en effet un porte-parole de TP-Link à The Verge. C’est certainement la même chose pour Netgear, ASUS… Selon la BBC, il y aurait une exception : le récent routeur Wi-Fi Starlink qui, selon l’entreprise, serait fabriqué au Texas.

Des risques sur… l’économie, les infrastructures et la sécurité nationale

D’après la Maison-Blanche (National Security Strategy de 2025), « les États-Unis ne doivent jamais
dépendre d’une quelconque puissance extérieure pour les composants essentiels – matières premières, pièces détachées et produits finis – nécessaires à la défense ou à l’économie du pays. Nous devons rétablir notre accès indépendant et fiable aux biens dont nous avons besoin pour nous défendre et préserver notre mode de vie ». Cette annonce de la FCC s’inscrit dans cette ligne.

Pour les États-Unis, les routeurs fabriqués en dehors du pays représenteraient « une vulnérabilité sur la chaîne d’approvisionnement qui pourrait perturber l’économie américaine, les infrastructures critiques et la défense nationale ». En guise de justification, l’exécutif américain affirme que « ces derniers temps, des cyberattaquants malveillants, soutenus ou non par des États, exploitent de plus en plus les failles de sécurité des routeurs destinés aux petites entreprises et aux particuliers, fabriqués à l’étranger ».

Selon les États-Unis, il en va de la sécurité nationale. « Compte tenu du rôle crucial des routeurs pour le bon fonctionnement de l’économie et de la défense des États-Unis, ils ne peuvent plus dépendre des pays étrangers pour leur fabrication ».

La rumeur d’un possible bannissement de TP-Link des États-Unis enflait depuis quelques semaines, au point que le porte-parole de l’entreprise était sorti du bois. Il affirmait que « toute mesure défavorable prise à l’encontre de TP-Link n’aurait aucun impact sur la Chine, mais nuirait à une entreprise américaine ». Android Authority rappelait que « TP-Link Systems, basée à Irvine, en Californie, est une scission de TP-Link Technologies, une entreprise chinoise, mais conserve encore une partie de ses actifs en Chine », dont elle se débarrasse au fur et à mesure.

Seuls les nouveaux modèles sont concernés, pour les actuels rien ne change

Une question primordiale reste en suspens : en quoi le simple fait de transférer la production des routeurs aux États-Unis les rendrait plus sûrs ? Aucune réponse n’est apportée. Les failles sont bien souvent logicielles, soit car des mises à jour n’ont pas été installées, soit car le matériel n’est plus supporté par le fabricant. Changer le pays de fabrication ne changera rien sur ce point.

La FCC précise que cette mesure ne concerne pas les routeurs que les consommateurs ont déjà achetés et qu’‘ils utilisent. « Elle n’empêche pas non plus les revendeurs de continuer à les proposer, d’importer ou de commercialiser les modèles de routeurs précédemment approuvés par la FCC […] Les restrictions imposées aujourd’hui s’appliquent aux nouveaux modèles ». Des millions de modèles restent donc en place, sans aucun changement, et ils pourront continuer à recevoir des mises à jour.

Tous les moyens sont bons pour produire aux États-Unis ?

C’est par contre un bon moyen pour l’administration de pousser des fabricants à déplacer leur production aux États-Unis, puisque cette localisation leur permet de ne pas avoir à demander d’autorisation (dont les conditions d’obtention ne sont pas connues).

Ce n’est pas la première fois que les États-Unis agissent ainsi, même avant le retour de Donald Trump au pouvoir. On peut notamment penser au Chips Act de 2022 pour rapatrier la production de puces aux États-Unis, qui a conduit Intel à proposer, avec les Core Ultra Series 3, sa première plateforme Core Ultra Series 3 « construite sur la technologie de processus Intel 18A conçue et fabriquée aux États-Unis ». Sans oublier la récente annonce d’Elon Musk avec Terafab.

• Terafab : Elon Musk veut créer sa propre usine de semiconducteurs au Texas

Si c’est plus que gratuit, c’est quoi le produit ?

La Cour des comptes vient de publier un rapport sur le soutien public aux énergies renouvelables. La conclusion est sans appel : les effets des aides doivent être « mieux suivis, contrôlés et maîtrisés ». Le rapport parle de sur-rémunération, de manquements et de fraudes.

Dans le but d’atteindre une neutralité carbone d’ici à 2050, les pouvoirs publics français ont mis en place des dispositifs de soutien financier au long court, dont les effets économiques ne sont pas toujours bien maitrisés : « Sur des durées contractuelles généralement de l’ordre de 20 ans, l’État s’engage ainsi à faire bénéficier les producteurs de tarifs de soutien garantis, en leur compensant la différence entre ces tarifs et les prix constatés sur les marchés de l’énergie ».

« La majorité du parc de production éolien et solaire » en profite

Le coût total de ce dispositif sur les dix dernières années – 2016 à 2024, avec une estimation pour 2025 – est de près de 34 milliards d‘euros, soit une moyenne de 3,4 milliards d’euros par an. Mais attention, cela cache de fortes disparités entre les années. Le record est en 2025 avec 7,44 milliards d’euros de dépense (estimation), tandis qu’en 2022 et 2023 l’État recevait de l’argent au lieu d’en dépenser, respectivement 1,71 et 3,12 milliards d’euros.

La raison ? « La forte hausse des prix de l’énergie ayant conduit l’État à percevoir des recettes nettes en application de ces contrats de soutien ». Avec ce dispositif, l’État garantit aux producteurs d’énergies renouvelables un prix de référence : si le prix de vente est inférieur, il ajoute au pot, si c’est supérieur, il empoche le surplus. Les producteurs ont ainsi une visibilité sur le long terme du rendement de leurs installations, l’État joue la variable d’ajustement, mais pas avec suffisamment de contrôle, selon la Cour des comptes.

La forte variabilité de ce dispositif ces dernières années (l’écart entre 2023 et 2025 est tout de même de plus de 10 milliards d’euros), a poussé la Cour des comptes à se pencher sur les modalités financières de ce dispositif, sans juger les objectifs de politique énergétique nationaux et européens. « Les observations et recommandations de la Cour portent ainsi sur l’efficacité et l’efficience des modalités de soutien aux producteurs et sur la maîtrise, la prévisibilité et l’anticipation de leur coût pour l’État », précise bien le rapport.

C’est quoi cette histoire de prix négatif de l’électricité ?

Oups

Depuis des mois, des experts alertent : la taxe sur les petits colis va avoir un effet boomerang. Ça n’a pas loupé. Le sujet remonte dans une question écrite à l’Assemblée nationale : comment le gouvernement envisage d’y remédier ? Le bilan est pour le moment catastrophique, le fret s’est décalé chez nos voisins européens. L’Italie, qui avait aussi instauré une taxe, a fait demi-tour.

Depuis le début du mois, la France a mis en place une taxe de deux euros sur les « petits colis », c’est-à-dire ceux dont la valeur est inférieure à 150 euros, provenant de pays tiers à l’Union européenne. La cible est claire : les plateformes étrangères (surtout chinoises) à petits prix comme Shein et Temu. « Différente des droits de douane et de la TVA, cette taxe concerne chaque article », précise le gouvernement.

Une taxe française quatre mois avant la même taxe au niveau européen

Plus que chaque article, elle s’applique en fait à chaque catégorie de produits. Si un colis contient trois pantalons et deux chemises, le montant de la taxe est de 4 euros : 2 euros pour la catégorie des pantalons et 2 euros également pour la catégorie chemises, peu importe le nombre de chemises et de pantalons. Une foire aux questions est disponible par ici.

Instaurée par l’article 82 de la loi de finances pour 2026, cette taxe veut « limiter les importations de produits très bon marché et encourager le recours aux circuits courts et aux commerces de proximité ». Spoiler : c’est loupé.

La raison n’est pas à chercher bien loin : cette taxe française est provisoire et sera remplacée par un dispositif similaire dans l’Union européenne (mais avec une taxe de trois euros), dont la mise en place est prévue pour le 1ᵉʳ juillet 2026, et jusqu’au 1ᵉʳ juillet 2028 pour l’instant. Une réforme plus large du cadre douanier est prévue pour 2028, l’Europe verra alors s’il convient de prolonger sa taxe à ce moment-là.

La Commission européenne rappelle que « le volume de petits colis arrivant dans l’UE a doublé chaque année depuis 2022 ; en 2024, ils étaient 4,6 milliards à entrer sur le marché de l’UE. 91 % des petits envois arrivent de Chine ».

Elle ajoute que ce « nouveau système aura une incidence positive tant sur le budget de l’UE que sur les finances publiques nationales, étant donné que les droits de douane constituent une ressource propre traditionnelle de l’Union et que les États membres conservent une partie de ces montants à titre de frais de perception ». La France espérait 500 millions d’euros, mais cela semble compliqué.

10 centimes en camion vs 2 euros en avion depuis la Chine

En effet, comme l’expliquent les douanes, cette taxe « s’applique aux importations sur la partie française du territoire douanier de l’Union, à l’exception des importations provenant des territoires nationaux des États membres de l’Union européenne qui ne relèvent pas du Territoire Douanier de l’Union (TDU) ». Bref, si un produit est déjà dans l’Union européenne, il n’est pas taxé en arrivant en France.

La suite était assez évidente et prévisible, comme l’explique Philippe Latombe dans une question écrite à l’Assemblée nationale : « La stratégie de contournement de cette taxe par les géants chinois du e-commerce a été immédiate : depuis le début du mois, les marchandises sont acheminées par avion en Belgique ou aux Pays-Bas, où la taxe n’est pas encore en vigueur, puis par camion en France, en profitant ainsi de la libre circulation au sein de l’Union ».

Selon Marc Lolivier, délégué général de la Fédération de l’e-commerce et de la vente à distance (Fevad), c’est largement rentable d’un point de vue purement économique : « transporter un petit colis vers la France depuis la Belgique coûte moins de 10 centimes, très loin des 2 euros par article ». Par contre, d’un point de vue écologique, c’est bien plus discutable car cela entraine une hausse importante du trafic routier dans les Hauts-de-France pour faire venir les colis.

Philippe Latombe ajoute que « les déclarations douanières en e-commerce ont chuté de 92 % et certains entrepôts de dédouanement sont vides, avec toutes les conséquences que cela implique pour les entreprises concernées ». Pour le député, cette taxe est « clairement contre-productive en l’état » et il souhaite donc savoir « comment le gouvernement envisage de remédier à cet effet boomerang qui n’a malheureusement pas été anticipé ». Autre problème et pas des moindres, cette mesure était « censée rapporter 500 millions d’euros ».

Il y avait pourtant l’idée d’un front commun avec nos voisins, comme l’expliquait la RTBF en novembre 2025 : « Il y a un accord pour que le Luxembourg, les Pays-Bas, la Belgique et la France puissent avancer ensemble si ça ne se fait pas à l’échelle européenne », affirmait le ministre de la Mobilité belge Jean-Luc Crucke. Au Canard enchaîné, un fonctionnaire confie que « la Belgique et les Pays-Bas étaient d’abord d’accord avec nous sur cette redevance de 2 euros. Nos voisins ont soudainement reculé, mais ils n’y échapperont pas ».

Qui aurait pu prévoir ? À peu près tout le monde…

Ce chiffre de 92 % était aussi mis en avant il y a une dizaine de jours par David Lisnard, président de l’Association des maires de France et maire de Cannes : « En 72 heures, les déclarations douanières e-commerce à Roissy ont chuté de 92%. Les avions cargo chinois se posent désormais ailleurs en Europe et des milliers de poids lourds finissent le trajet sur nos routes pour livrer exactement les mêmes colis ».

Il ajoute que « tout cela était prévisible et annoncé […] Dans un marché intégré, une taxe nationale ne supprime pas les flux mais les déplace vers le hub le moins pénalisant. C’est de l’économie élémentaire ». De son côté, Shein avait annoncé la couleur dès fin février à l’AFP juste avant que la taxe n’entre en vigueur : « Dans le respect du droit de l’Union européenne, une fois les marchandises légalement importées et mises en libre circulation, elles peuvent circuler au sein de l’Union européenne ».

Au même moment, le Groupe ADP (Aéroport de Paris) prévoyait que cette taxe entrainerait « le transfert d’environ 50 vols par semaine à Paris-CDG vers les hubs du Benelux. Et ce, de manière irréversible ». Ça n’a visiblement pas loupé.

Encore avant, il y a trois mois, la FEVAD aussi tirait la sonnette d’alarme et demandait à la France de rester alignée avec l’Europe : « les plateformes extra-européennes, comme Shein ou Temu, n’auront aucun mal à faire transiter leurs petits colis destinés au marché français, par des pays voisins où elles disposent déjà d’infrastructures logistiques, notamment Belgique ».

Franceinfo revient sur le cas d’une entreprise dans le Val-d’Oise, à côté de l’aéroport Roissy Charles de Gaulle, qui est passée de 200 000 colis chaque jour à… zéro ; « c’est-à-dire qu’on a une chute de volume qui est équivalente à la chute du volume qu’il y a eu au moment du Covid », explique Frédéric Campagnac, président de Clevy Link. Pendant ce temps, à Liège (Belgique), les arrivées de petits colis ont été multipliées par trois, expliquent nos confrères.

Un appel à suspendre cette taxe, comme en Italie

De son côté, Yannick Buisson, vice-président de l’Union des entreprises Transport et logistique de France (UTF), « espère qu’il y ait une suspension de cette mise en œuvre isolée par la France », en attendant la taxe de 3 euros au niveau européen. Il estime qu’un millier d’emplois pourrait être supprimé.

L’Italie aussi avait mis en place une taxe de deux euros sur les petits colis au début de l’année… puis a fait volte-face mi-mars. Officiellement, ce report jusqu’au 30 juin (la taxe en Europe est attendue pour le… 1er juillet) « répond à la nécessité de permettre l’adaptation du système informatique de l’Agence des douanes et des monopoles ». Néanmoins, « tout laisse à penser que la raison n’est pas seulement technique », explique Le Figaro.

D’autres, comme Shein, voient à plus long terme. L’entreprise chinoise « vient d’investir en Pologne dans un entrepôt de 740 000 mètres carrés où, venant de Chine, les produits seront réceptionnés en masse, pour être ensuite conditionnés en petits colis et transportés par la route ». Ce n’est pas en lien direct avec la taxe sur les petits colis cela dit, puisque l’annonce date de fin décembre et que l’entreprise est déjà présente en Pologne depuis 2022.

Après une version alpha au début de l’année, l’heure est à la bêta. L’équipe annonce que de nombreux correctifs ont été effectués et de nouvelles versions de logiciel sont arrivées. Pour rappel, « Mageia est développé par une communauté d’utilisateurs dévoués, soutenue par l’organisation à but non lucratif Mageia.org – un groupe d’individus élus par le conseil d’administration de Mageia ».

Le noyau Linux passe en version 6.18 LTS, tandis que LibreOffice est en version 26.2 avec Firefox ESR 140.8, RPM 4.20 et Mesa 26.0.2 pour les pilotes graphiques. Mageia annonce aussi le passage à Plasma 6.5 pour KDE, GNOME 49 (alors que la version 50 vient d’arriver) et XFCE 4.20. L’équipe prévoit la publication d’une bêta 2 « intégrant la nouvelle apparence et la documentation pour Mageia 10 ».

En plus des images ISO pour installer la distribution sur votre machine, quatre options de LiveCD avec trois environnements de bureau au choix sont disponibles : Plasma (64 bits), GNOME (64 bits) et Xfce (32 ou 64 bits). Le 32 bits est donc toujours supporté, mais avec des exigences matérielles renforcées puisqu’il faut un processeur compatible SSE2.

Les notes de version détaillées se trouvent par ici ; pour les téléchargements. c’est par là.

HDH vs le reste du monde : S05E17

Le Conseil d’État ne trouve rien à redire sur la décision de la CNIL relative au traitement automatisé des données de santé dans le cadre du projet Darwin EU. Il reconnait par contre qu’il existe un risque que les autorités américaines demandent à Microsoft d’accéder à des données personnelles de santé. Il estime néanmoins qu’il existe des garanties suffisantes.

Dans une décision publiée vendredi, le Conseil d’État « n’annule pas l’autorisation accordée à Health Data Hub d’extraire et de traiter des données de santé dans le cadre d’études sur la prévalence et l’incidence des pathologies dans la population française ». Il avait été saisi l’année dernière par des associations et des particuliers.

« La CNIL n’a pas commis d’erreur d’appréciation »

En trame de fond, le projet DARWIN EU (Data Analysis and Real-World Interrogation Network Europe) dont le but est d’analyser des données de la vie réelle relatives à des médicaments et des vaccins. Dans le cadre de ce projet, la CNIL avait autorisé, en février 2025, la mise « en œuvre des traitements automatisés de données personnelles », pour une durée de trois ans.

Les données viennent du Système national des données de santé (SNDS), stockées sur le Health Data Hub (HDH) chez Microsoft. Pour les plaignants, avec l’utilisation de cet acteur étasunien, il y a un risque « de transfert de données personnelles vers les États-Unis ».

Le Conseil d’État ne suit pas leur demande et explique sa décision. « En premier lieu [il remarque] que l’autorisation de la CNIL a pour seul objet d’autoriser le traitement de données de santé hébergées dans des centres de données situés en France, et non d’autoriser le transfert de ces données vers les États-Unis ».

S’il admet qu’il est possible, « compte tenu des modalités d’exécution du contrat passé avec Microsoft, que certaines données personnelles relatives aux utilisateurs de la plate-forme – et non aux personnes incluses dans le champ des études – soient transférées vers des administrateurs de la société situés aux États-Unis, le Conseil d’État relève que le contrat prévoit des garanties conformes au RGPD ».

Le Conseil d’État revient aussi sur la question des lois extraterritoriales américaines. Il reconnait que le risque « que les autorités américaines […] demandent à la société Microsoft d’accéder à des données personnelles de santé ne peut être totalement exclu », mais il ajoute que « l’autorisation contestée est assortie de garanties permettant d’assurer la sécurité de ces données, notamment leur pseudonymisation et la limitation de leur durée de conservation ». En conséquence, la haute juridiction estime que « la CNIL n’a pas commis d’erreur d’appréciation et rejette la demande des requérants ».

Des mesures de sécurité suffisantes pour le Conseil d’État

Le détail de la décision apporte des précisions sur la question de l’hébergement des données et de la position vis-à-vis des États-Unis.

Pour le Conseil d’État, sur la base des documents dans son dossier, les « données de santé comprises dans les traitements autorisés font l’objet de mesures de sécurité, comprenant notamment la pseudonymisation sous le contrôle de la Caisse nationale d’assurance maladie et de la PDS, la limitation de la durée de conservation des données brutes extraites du SNDS, l’analyse des risques de réidentification lors de chaque export et l’analyse des traces d’utilisation par la PDS ».

• La souveraineté en 10 questions (version courte, version longue)

Le Conseil d’État se retranche aussi derrière la certification HDS. Il rappelle pour commencer que Microsoft « ne peut bénéficier de la certification « SecNumCloud » délivrée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), dès lors qu’elle est la filiale d’une société soumise au droit des États-Unis ».

SecNumCloud dans sa dernière version nécessite en effet une immunité aux lois extraterritoriales. Par contre, Microsoft dispose « de la certification « hébergeur de données de santé » […] qui implique un audit régulier par un organisme accrédité ».

Le Health Data Hub va migrer sur une offre SecNumCloud

Au début de l’année, le gouvernement a promis la migration de la plateforme des données de santé (Health Data Hub) vers un hébergement avec une qualification SecNumCloud. S3ns, la co-entreprise de Google et Thales est pour rappel qualifiée depuis peu, tandis que Bleu (Microsoft, Orange et Capgemini) espère suivre rapidement, d’ici la fin du premier semestre de l’année.

• Health Data Hub : le gouvernement promet une bascule sur SecNumCloud d’ici fin 2026

La keynote d’ouverture du 8 juin sera le moment fort de cette semaine d’annonces pour Apple, avec très certainement iOS 27 et des mises à jour pour les autres systèmes d’exploitation de l’entreprise. Les conférences s’enchaineront ensuite pendant la semaine, pour se terminer le 12 juin.

Bien évidemment, vous ne couperez pas à l’intelligence artificielle : « La WWDC26 mettra en lumière des mises à jour exceptionnelles pour les plateformes Apple, notamment des avancées en matière d’IA et de nouveaux logiciels et outils de développement passionnants », explique Apple dans un communiqué.

Pour rappel, Apple a recruté fin 2025 Amar Subramanya (ex Google et Microsoft, il s’est notamment occupé de Gemini) comme vice-président de l’IA, sous la responsabilité de Craig Federighi (vice-président senior de l’ingénierie logicielle).

Quelques jours plus tard, mi-janvier, Apple annonçait qu’elle allait utiliser les modèles Gemini de Google pour tous ses produits IA, dont Siri. Les deux protagonistes expliquaient que « la prochaine génération de modèles fondation sera basée sur les modèles Gemini et la technologie cloud de Google », sans entrer dans les détails. Nous devrions en avoir davantage en juin.

L’année dernière, Liquid Glass se taillait la part du lion. Cette année sera certainement celle de l’IA, un domaine où Apple est clairement en retard sur la concurrence.

• IA : mais que se passe-t-il chez Apple ?
• Apple : les temps forts de la WWDC 2025, Liquid Glass fait déjà débat

Jour, nuit !

Le black-out en Espagne et au Portugal n’est pas la conséquence d’une seule cause, mais d’un ensemble d’éléments. Le rapport final est disponible avec le déroulement des faits. Nous y avons ajouté des comparaisons avec le réseau français, plus résilient sur plusieurs points (mais pas invulnérable). Les experts formulent enfin des recommandations.

Le 28 avril 2025, l’Espagne et le Portugal ont subi un important black-out électrique pendant plusieurs heures. Dans une bien moindre mesure, certaines zones du sud-ouest de la France ont aussi été légèrement affectées.

Rapidement, les hypothèses se sont emballées sur le sujet, alors que l’enquête officielle de l’ENTSO-E, le réseau européen des gestionnaires de réseau(x) de transport d’électricité, ne faisait que commencer et promettait de durer des mois.

Incident de niveau 3, « le plus grave et le plus inédit » depuis plus de 20 ans

Presque un an plus tard, le rapport définitif a été mis en ligne, en fin de semaine dernière (PDF de 472 pages et de plus de 50 Mo). Cet incident est classé de niveau 3 (le plus élevé) sur l’échelle Incident Classification Scale (ICS). Le rapport est le fruit du travail de dizaines d’experts, qui ont tenu plus d’une quinzaine de réunions.

Selon le Réseau européen des gestionnaires de réseau de transport d’électricité (ENTSO-E), « il s’agissait de la panne de courant la plus grave survenue sur le réseau électrique européen depuis plus de 20 ans, et une première du genre ». La bonne nouvelle étant que « le reste du système électrique européen n’a connu aucune perturbation significative à la suite de l’incident ».

En mai dernier, la ministre espagnole de la Transition écologique avait détaillé le déroulement des faits qui ont entraîné cette panne de courant d’envergure. La piste de la cyberattaque était officiellement écartée au passage. Le gestionnaire du réseau de transport français, RTE, publiait de son côté une foire aux questions.

• Black-out Espagne et Portugal : RTE fait le point et tord le cou à plusieurs fake news

Dans les grandes lignes, selon les autorités espagnoles, il est question d’une « « surtension » qui a déclenché une « cascade de pertes de production » », entrainant à son tour « une chute de production à « grande échelle » qui a provoqué une « perte de synchronisation » entre la péninsule ibérique et le reste de l’Europe ».

Mais comment en est-on arrivé à cette situation ? L’ENTSO-E donne les éléments en sa possession et retrace le déroulement des faits. Son enquête conclut que la panne n’a pas une cause unique, mais résulte « d’une combinaison de nombreux facteurs ».

Déroulement des faits, au millième de seconde près

Comme vous pouvez le voir sur la capture ci-dessous, la cause profonde du black-out est loin d’être attribuée à un seul élément. Si vous la trouvez compliquée, n’allez pas voir la topologie de la grille électrique espagnole à 12h32 (page 37 du rapport).

Les causes sont en effet nombreuses puisque le réseau de gestionnaires européens cite « des oscillations, des écarts de tension et dans la gestion de la puissance réactive, des différences dans les pratiques de régulation de la tension, des déconnexions et baisses des générateurs en Espagne, ainsi que des capacités de stabilisation inégales. Ces facteurs ont conduit à des augmentations rapides de tension et à des coupures de production en cascade, entraînant des coupures de courant en Espagne continentale et au Portugal ».

Reprenons calmement avec des explications concernant les différentes étapes.

L’été dernier, le CISPE (Cloud Infrastructure Services Providers in Europe) déposait une plainte au tribunal de l’Union européenne pour faire annuler la validation du rachat de VMware par Broadcom. Pour le regroupement d’opérateurs, la Commission européenne n’aurait jamais dû donner son feu vert.

• Le CISPE veut faire annuler le rachat de VMWare par Broadcom et dépose plainte
• VMware by Broadcom : une situation tendue, l’Europe s’en mêle

Le CISPE vient de déposer une nouvelle plainte, cette fois-ci devant la DG Competition, c’est-à-dire la direction générale de la concurrence de l’Union européenne. Il demande « une action immédiate de l’UE ».

Le groupement a plusieurs griefs. Pour commencer, en janvier, « Broadcom a annoncé la fin de son programme VMware Cloud Service Provider en Europe. Cela s’ajoute aux hausses de prix, aux offres groupées, aux exigences de paiements anticipés et d’engagements minimaux basés sur une utilisation potentielle plutôt que réelle, qui ont collectivement augmenté les coûts de plus de 1 000 % ».

• AT&T vs Broadcom (VMware) : la hausse de la facture serait de… 1 050 % !

Pour le CISPE, « cette décision unilatérale a supprimé les partenaires à l’exception d’une petite minorité et a exclu la plupart des CSP européens de la vente des produits VMware ». La Cloud Infrastructure Services Providers in Europe demande donc à l’Union des actions immédiates.

À minima, le retour des programmes VCSP (VMware Cloud Service Provider) pour les fournisseurs de services européens, mais aussi le « white label », supprimé par Broadcom en 2025, « qui permettait auparavant aux PME et aux petits fournisseurs de proposer des logiciels VMware ». Le CISPE demande aussi que soient mises en place des protections « contre les représailles de la part de Broadcom » et « qu’un système d’amendes doit être appliqué pour garantir le respect de ces termes ».

Depuis son rachat fin 2023 pour plus de 60 milliards de dollars, Broadcom a largement revu et modifié les conditions d’accès aux produits VMware au fils des mois, poussant plusieurs gros acteurs à passer par la case justice, notamment AT&T, Orange et Thales. Plus récemment, c’est la CNAM qui a fait plier Broadcom en justice.

D’autres n’ont visiblement pas à se plaindre. Lors de son dernier Summit fin 2025, Octave Klaba revenait sur la question des licences VMware et affirmait avoir obtenu des garanties de prix pour quatre ans.

En termes de licences, ajoutait le patron d’OVHcloud, la demande « continue à croître et on reprend régulièrement de nouvelles licences chez VMWare […] On ne voit pas aujourd’hui ce que vous appelez la fuite des clients VMware. Mais ce n’est pas le même comportement d’entrée de gamme que le comportement haut de gamme ; en entrée de gamme, c’est plus dur ».

• OVHcloud veut être « systémique » : annonces tous azimuts, « stratégie orientée inférence »

C’est en effet le 21 mars 2006 que Jack Dorsey a publié le tout premier message sur Twitter : « just setting up my twttr ». En mars 2021, pour les 15 ans, il a été vendu pour près de 3 millions de dollars à Sina Estavi, qui obtient ainsi un certificat numérique. Il a depuis essayé de le revendre, sans jamais s’approcher du montant qu’il a déboursé ; la folie des NFT est terminée, comme le rappelait l’année dernière Numerama.

Le réseau social a pris de l’importance et il est devenu une source importante pour les journalistes, les économistes et la classe politique, permettant de suivre l’actualité en direct. Mais tout a basculé fin 2022 avec le rachat de Twitter par Elon Musk pour 44 milliards de dollars. Rachat mouvementé car, après une offre et un désistement, c’est un passage par la case justice qui l’a poussé à la finaliser.

Elon Musk a rapidement procédé à des changements importants au sein du réseau social, poussant certains à quitter Twitter, devenu X depuis, vers d’autres contrées comme Bluesky ou Mastodon. Mais X reste toujours en place et dispose même de sa propre IA Grok, se qualifiant elle-même de MechaHitler. Plus récemment, l’IA génère des deepfakes de femmes déshabillées sans leur consentement.

Malgré ses dérives et déboires judiciaires, X reste toujours largement présent sur la scène internationale, notamment en France où des responsables politiques, jusqu’à Emmanuel Macron, sont toujours présents, avec parfois des messages « exclusifs ».

• [Tuto] Emmanuel Macron, voici comment crossposter sur X, Bluesky, Mastodon

L’année dernière, Elon Musk s’est revendu X à xAI, pour 45 milliards de dollars. Un montant choisi en accord avec lui-même, à un milliard de dollars au-dessus de son prix d’achat fin 2022. Il y a quelques semaines, il a fusionné SpaceX et xAI, une opération alors que SpaceX devrait entrer en bourse d’ici cet été.

• Summer Games : protégez Mars de l’invasion d’Elon Musk avec notre jeu SpaceX Invaders !

Vérifions : non, nous ne sommes pas le 1er avril !

Imaginez un Windows plus stable, avec des performances en hausse et moins d’intelligence artificielle à toutes les sauces. C’est, en substance, ce que vient d’annoncer Microsoft. Les premiers changements arriveront dès ce mois de mars pour les Insiders. Après une année 2025 assez catastrophique, 2026 sera-t-elle celle du renouveau ?

Pavan Davuluri, en charge des divisions Windows et Surface chez Microsoft depuis maintenant deux ans, vient de publier un billet de blog qui devrait faire plaisir à de nombreux utilisateurs. Simplement intitulé « Notre engagement envers la qualité Windows », il annonce d’importantes transformations à venir, à tous les étages.

Il explique avoir écouté et entendu les retours de la communauté puis, avec son équipe, « passé beaucoup de temps à les analyser ». Des changements sont annoncés, et ils arriveront rapidement dans Windows Insiders « ce mois-ci et tout au long du mois d’avril ».

Fin de la course à l’IA partout

Première nouveauté et pas des moindres : « Intégrer l’IA là où elle a le plus de sens ». Microsoft semble avoir compris que les utilisateurs ne voulaient pas de l’IA partout, n’importe comment. Désormais, l’éditeur va « se concentrer sur des expériences véritablement utiles et bien conçues ». Mozilla va pour rappel encore plus loin avec un « kill switch » complet pour les fonctions d’IA intégrées à Firefox.

Pour joindre les paroles aux actes, des points d’entrée inutiles de Copilot vont disparaitre, à commencer dans les applications Capture et croquis, Photos, Widgets et Bloc-notes. Même chose sur les Widgets, qui « doivent être utiles et pertinents, pas distrayants ou envahissants ».

Microsoft va aussi donner plus de contrôle sur la gestion des mises à jour, avec « la possibilité de passer les mises à jour lors de la configuration de l’appareil pour arriver plus rapidement sur le bureau, de redémarrer ou d’éteindre sans installer les mises à jour, de mettre les mises à jour en pause plus longtemps si besoin, tout en réduisant les perturbations causées par les mises à jour avec moins de redémarrages automatiques et de notifications ». Microsoft parle par exemple d’un unique redémarrage mensuel.

Dire que les mises à jour sont parfois compliquées est un doux euphémisme. Dernier exemple en date, ce jour, avec les couacs à répétition avec le dernier patch tuesday. Pour le reste, on ne compte même plus les fois où les choses ne se sont pas passées comme prévu.

• Windows 11 : le patch tuesday n’en finit plus de provoquer des bugs

Microsoft promet des performances en hausse et moins de plantages

Microsoft promet aussi un explorateur de fichiers « plus rapide et plus fiable ». De manière générale, les performances sont aussi au cœur des annonces : « nous nous concentrons sur la réactivité et la cohérence de Windows 11, afin que les performances soient fluides et stables ». Le sous-système Linux est aussi cité en exemple, aux côtés de l’Explorateur, avec des transferts plus rapides entre Windows et Linux, un réseau de meilleure qualité, etc.

De manière générale, Microsoft va « réduire l’utilisation des ressources par Windows pour libérer plus de performances pour ce que vous faites », y compris sur la mémoire (note personnelle : espérons que ce sera aussi le cas sur Edge lorsque des dizaines d’onglets sont ouverts…)

Pour des « interactions plus fluides et réactives avec les applications », Microsoft mise sur son framework WinUI3 « pour la création d’applications de bureau Windows ». Il est open source (voir son dépôt GitHub) et « apporte le système Fluent Design, le rendu hautes performances et un puissant modèle de programmation XAML aux développeurs C# et C++ ». Des ressources pour les développeurs sont disponibles ici.

Microsoft veut « offrir une expérience Windows 11 plus fluide et plus fiable en renforçant la stabilité du système, la qualité des pilotes et la fiabilité des applications ». Pavan Davuluri annonce carrément une réduction « des plantages du système d’exploitation », ainsi que des pertes de connexion en USB et Bluetooth.

D’autres changements sont à venir. Sur la barre des tâches ensuite, l’éditeur promet plus de personnalisation, avec la possibilité de la mettre sur les côtés ou en haut (il est amusant de voir que c’est le tout premier changement annoncé par Microsoft dans son billet de blog). L’authentification biométrique de Windows Hello doit elle aussi être améliorée dans le but affiché de réduire les frictions au niveau de la reconnaissance, qu’elle soit faciale ou digitale.

Windows Insider plus simple, avec un nouveau Feedback Hub

Le programme Windows Insider sera « plus simple et plus transparent ». Afin de mieux prendre en compte les retours des utilisateurs, Pavan Davuluri annonce la mise en place, dès aujourd’hui, « de la plus grande mise à jour de Feedback Hub à ce jour pour les Insiders, avec une expérience repensée qui rend plus rapide et facile la soumission de retours ».

De belles promesses tous azimuts dont on attend avec une certaine impatience (ce qui devenait rare avec Microsoft) la concrétisation. L’entreprise affirme que « les travaux sont en cours » et que « vous pourrez constater des progrès concrets en découvrant les versions préliminaires que nous vous présenterons tout au long de l’année ». Cela faisait longtemps que ce n’était pas arrivé, mais on serait presque impatient de voir les nouveautés arriver.

On connaissait déjà le Pipotron, puis est arrivé le bullshitron pour tirer la quintessence suprême de l’intelligence artificielle. C’est maintenant so-2024 et puisque nous sommes en 2026, il est temps de passer à l’étape supérieure. Faites le savoir à votre réseau de la « plus belle » des manières.

Le moteur de recherche Kagi, qui propose aussi depuis 2024 un outil de traduction à la Google Translate ou DeepL, sait désormais gérer une langue parlée dans certaines contrées étranges – notamment dans le quartier de La Défense : le LinkedIn Speak.

Ne dites plus « j’ai terminé mon travail, je suis fatigué. Je rentre à la maison manger des cacahuètes et après j’irai faire dodo », mais « Encore une journée productive de passée ! Je suis reconnaissant pour tout ce travail, mais je sais qu’il est important de recharger mes batteries. Il est temps de rentrer chez moi, de faire le plein de protéines et de privilégier la récupération. La régularité, c’est la clé. Comment conciliez-vous aujourd’hui haute performance et repos bien mérité ? WorkLifeBalance #Productivity #HustleAndRest #SelfCare #ProfessionalGrowth ».

C’est quand même plus drôle, mieux plus alignés sur mes objectifs de KPI hastag GrowthMindset. Sur ce, un dernier mot pour la route : « See you tomorrow with Flock! Will he hit his KPI of making you laugh? Let’s find out! #GrowthMindset #DailyHumor #Engagement ». Les résultats sont en anglais seulement, mais comme c’est un traducteur, il est facile de transformer en français (ça ne vole pas plus haut, c’est le principal).

• Accéder à Kagi et traduire ses messages en LinkedIn Speak

On n’oublie pas de retourner voter (si besoin)

Nous avons étudié les redirections emails de seize partis politiques afin de voir chez qui les correspondances partaient. Dans plus de la moitié des cas, elles arrivent chez Google ou Microsoft. Ils sont quand même quelques-uns à passer par OVHcloud et d’autres entreprises françaises.

Comme nous avons déjà eu l’occasion de l’expliquer à plusieurs reprises, confier ses emails à un prestataire étranger n’est pas sans conséquence puisqu’il peut y accéder, les bloquer, les copier, les supprimer… Surtout lorsqu’il s’agit d’une entreprise étasunienne et donc soumise aux lois extraterritoriales américaines.

Pour savoir chez qui arrivent les emails, il existe une manière simple : lire les MX du nom de domaine. Ceux de @next.ink par exemple sont chez oui.do, la holding qui détient moji et Next.ink. Nous avons récemment étudié le cas des maires avec un constat : près de 30 millions d’habitants sont soumis à des solutions américaines. C’est encore pire avec les start-ups de la French Tech, sans oublier les entreprises du CAC40 et autres grandes écoles.

• Les emails : analyse technique et enjeux de souveraineté
• Emails des mairies : près de 30 millions d’habitants soumis à des solutions américaines
• French Tech : 9 start-ups sur 10 confient leurs emails à Google ou Microsoft
• Des emails en .gouv.fr, du CAC40 et d’écoles passent aussi chez Google et Microsoft

Encore une fois, Google et Microsoft arrivent en tête

En cette période électorale (allez voter dimanche s’il y a un second tour dans votre commune), nous avons décidé de regarder ce qu’il en était du côté des principaux partis politiques. Nous en avons sélectionné 16, classés par ordre alphabétique avec le nom (ou le domaine) de la solution de gestion des emails.

À ne pas confondre avec une biture d’experts

Cette semaine, Mistral a présenté son modèle Small 4 qui utilise une fonctionnalité baptisée Mixture of Experts (MoE). De quoi s’agit-il exactement ? Dans ce nouveau Nextquick, Next vous explique simplement et rapidement ce qu’il en est.

Premier point important, la Mixture-of-Experts (MoE ou encore mélange d’experts) n’est pas nouvelle, elle a déjà plus de 30 ans (.pdf). Pour une fois, le nom représente bien l’idée générale : un mélange d’experts au sein d’un même modèle, avec chacun sa spécialité.

Mixture-of-Experts : c’est comme dans un hôpital avec des spécialistes

C’est un peu comme dans un hôpital : il y a 100 médecins, chacun avec sa spécialité. Quand un patient arrive, il est examiné par quelques médecins seulement, les plus aptes à l’aider en fonction de sa pathologie. Un modèle d’IA MoE fonctionne de la même manière : il sélectionne les meilleurs experts.

Quand une requête arrive, au lieu d’utiliser ses 100 milliards de paramètres, le modèle va en sélectionner une partie uniquement, les plus pertinents. Notez que des experts peuvent partager des paramètres entre eux. Quoi qu’il en soit, cette architecture implique d’avoir, comme à l’hôpital, un système de triage à l’entrée. Les experts (qui ont chacun leurs paramètres) ne sont pas choisis au hasard, mais via un « routeur  » entraîné en même temps que le modèle. Selon les cas, le nombre d’experts peut aller de quelques-uns à des milliers.

Un exemple avec Mixtral 8x7B : huit experts de… 5,6 milliards de paramètres

Un des premiers modèles open source à populariser cette mixture d’experts auprès du grand public était Mixtral 8x7B. Il dispose de huit experts de type Mistral 7B, plus exactement de huit experts avec le bloc FFN (feed-forward ou action directe) du modèle 7B. Il est depuis remplacé par Mixtral 8x22B.

Contrairement à ce que son nom (8x7B) pourrait laisser croire, il n’y a pas 56 (8×7) milliards de paramètres, mais 46,7 milliards. La raison est simple : chaque expert a 5,6 milliards de paramètres. Ils partagent ensuite les couches d’entrée et de sortie (embeddings), les couches d’attention (pour comprendre le contexte) et celles de normalisation ; ce qui explique la différence entre 56 et 46,7.

What ?

b.connect est un système de connexion sans mot de passe, créé par des banques françaises. Gratuit pour les utilisateurs, mais payant pour les enseignes. b.connect met en avant la « souveraineté numérique » et l’« indépendance technologique »… tout en étant chez Google. Quoi qu’il en soit, nous avons pris en main le bouton, examiné la procédure de création de compte et les conditions générales d’utilisation.

Mise à jour du 20 mars à 14h37. Ajout de précisions sur la solution d’identification utilisée, en partenariat avec le français Memority et S3ns.

Article original à 9h31. b.connect est un système de connexion créé il y a un an environ à l’initiative de cinq banques françaises « unis pour la souveraineté numérique » : BNP Paribas, le Groupe BPCE, le Groupe Crédit Agricole LCL, le Crédit Mutuel et CIC (via Euro-Information) ainsi que la Société Générale.

La promesse d’une connexion « sécurisée et sans mot de passe »

La promesse ? La « possibilité d’utiliser gratuitement ce service pour simplifier et fluidifier les parcours de connexion en ligne, de façon sécurisée et sans mot de passe ». Le service mise sur le côté souverain et affirme être « entièrement opéré et hébergé en France ». La gratuité n’est par contre que du côté des utilisateurs, les enseignes, elles, devront passer à la caisse.

Pour Jean-Marie Dragon (responsable des moyens de paiement et monétique chez BNP Paribas et président du conseil d’administration de b.connect), b.connect répond « pleinement aux exigences de souveraineté numérique et d’indépendance technologique qui s’imposent aujourd’hui ». Pas si vite… Comme nous allons le voir, b.connect est biberonné aux services Google.

Après la bêta, le lancement. Comment ça marche b.connect ?

Le service s’est lancé doucement en bêta-test il y a quatre mois. Cette semaine, b.connect annonce la poursuite de « son déploiement avec d’ores et déjà 15 grandes enseignes partenaires » : Aladom, Bensimon, Boticinal, Boulanger, Celio, Courir, Gites de France, IZIPIZI, Leroy Merlin, Libération, Micromania, Ouest France, Sofinco, Tara Jarmon et Zapa. Une seizième est arrivée hier : Vialife (Viapresse). Nous avons pris en main le service.

Pour utiliser b.connect, il faut être client d’une des cinq banques partenaires car le service passe par l’application bancaire pour la création de compte et l’authentification. Notez que les filiales en ligne ne sont pas compatibles d’office. Boursorama, qui appartient à la Société Générale, n’est par exemple pas compatible avec b.connect. Hello bank!, l’offre banque en ligne de BNP Paribas, est par contre référencée.

L’eSIM (embedded SIM) permet d’utiliser une carte SIM dématérialisée avec les smartphones compatibles. Vous chargez un « profil » avec les données de votre forfait pour vous connecter aux réseaux mobiles de votre opérateur, sans avoir besoin d’une carte SIM physique à insérer dans le smartphone.

Ce n’est pas parce que l’eSIM est dématérialisée qu’elle est gratuite. Elle est généralement facturée entre 1 et 10 euros pour les frais d’activation, le même prix que la SIM physique envoyée par la Poste. Le transfert d’eSIM entre deux terminaux d’une même marque est possible, mais SFR va plus loin.

« Implémenté chez SFR, pour Apple dès la version 26.3 de iOS (avec comme terminaux compatibles, gamme iPhone 11 et ultérieures) et pour Android dès la mise à jour Pixel de mars 2026 (avec les gammes Google Pixel 10 et Pixel 9), le transfert eSIM inter-OS simplifie désormais le changement d’OS pour les clients », explique l’opérateur.

Cette fonction de bascule inter-OS, SFR l’a d’ores et déjà intégrée sur son infrastructure, « permettant ainsi aux constructeurs de téléphones de s’en emparer ».

Bouygues Telecom permet de transférer des eSIM entre smartphones avec le même système d’exploitation et précise que « le transfert n’est pas possible entre iOS et Android». Orange et Free permettent le transfert d’eSIM, mais pas directement entre deux systèmes différents. Chez Free par exemple, il faut passer par l’espace client avec la suppression de l’ancienne eSIM et la création d’une nouvelle (sauf sur iOS où le transfert rapide est proposé).

Le Conseil de l’ESA tenait récemment sa 345e réunion, avec plusieurs décisions à la clé visant à « faire progresser les vols spatiaux habités européens, à renforcer les partenariats internationaux et à améliorer les capacités de défense planétaire ».

Premier point abordé par l’Agence spatiale européenne (ESA), l’approbation du concept de mission EPIC (ESA Provided Institutional Crew). Il doit permettre de « maximiser l’utilisation stratégique de la Station spatiale internationale (ISS) par l’Europe, en particulier à des fins scientifiques, durant les années qui lui restent ».

La fin de l’exploitation de la station est pour le moment programmée à 2030 ; elle pourrait ensuite être désassemblée puis désorbitée. « Des acteurs privés sont toutefois intéressés pour en conserver et exploiter certains modules. Mais les recherches futures se feront vraisemblablement sur de nouvelles stations, certaines privées, d’autres nationales », rappelle le CNES.

• Depuis 20 ans, la Station spatiale internationale est continuellement habitée
• Station spatiale internationale : inquiétudes et pannes en série dans la partie russe, jugée trop vétuste

EPIC s’inscrit dans l’objectif E3P (European Exploration Envelope Programme), qui consiste à « offrir des opportunités de vol régulières aux astronautes de l’ESA. Il prévoit l’acquisition d’une mission Crew Dragon au premier trimestre 2028 pour une mission de durée moyenne à bord de l’ISS, en collaboration avec des partenaires internationaux intéressés ».

Deuxième point intéressant : la coopération ESA-JAXA (agence d’exploration spatiale japonaise) sur la mission Ramses qui veut étudier en détail l’astéroïde Apophis. Il alimentait de nombreux fantasmes il y a quelques années car il passe régulièrement « proche » de la Terre. Ce potentiel « destructeur de monde » a été déchu de son titre : pas de risque de collision avec la Terre pour les 100 prochaines années au moins.

• Apophis : l’astéroïde « destructeur de monde » déchu pour les 100 prochaines années au moins

Dans le cadre de la mission Ramses, la JAXA devrait fournir un imageur infrarouge thermique, des panneaux solaires légers et le lanceur spatial lourd H3. Ce dernier a raté son dernier lancement fin décembre 2025. Pour l’ESA, c’est « une avancée significative dans la coopération en matière de défense planétaire ».

Dans la même veine de la sécurité spatiale, les États membres « ont approuvé la collaboration avec la Carnegie Institution for Science pour l’hébergement et l’exploitation du télescope FlyEye-2 de l’ESA à l’observatoire de Las Campanas (Chili), renforçant ainsi la capacité de l’Europe à détecter et à suivre les objets géocroiseurs ».

• Les astéroïdes et la Terre : des rencontres parfois dangereuses, parfois inattendues

Vite, du popcorn !

Jensen Huang répond à sa manière aux critiques des joueurs sur DLSS 5, affirmant qu’ils « ont complètement tort »… ambiance. Des développeurs se plaignent aussi d’avoir découvert DLSS 5 durant la GTC… alors que leurs studios sont cités comme partenaires de NVIDIA. Ubisoft va même jusqu’à publier un mème sur DLSS 5 et à le supprimer. Une FAQ permet enfin d’en apprendre un peu plus sur DLSS 5.

Lors de la GTC de cette semaine, NVIDIA a présenté la version 5 de son Deep Learning Super Sampling, plus connu sous l’acronyme DLSS. La promesse : « transformer la fidélité visuelle dans les jeux » et passer à un rendu photoréaliste.

• DLSS, FSR, XeSS, et maintenant MetalFX, mais qu’est-ce donc ?

Rapidement, sur les réseaux sociaux, les retours oscillaient entre grogne et moqueries. NVIDIA avait dans la foulée publié un commentaire pour tenter de calmer la situation en rappelant que « les développeurs des jeux disposent d’un contrôle artistique complet et précis sur les effets DLSS 5 ». Bethesda aussi était monté au créneau, ajoutant que « les joueurs pourront activer ou désactiver » les modifications apportées par DLSS 5.

• GeForce RTX : avec DLSS 5 et son rendu photoréaliste, l’IA de NVIDIA va-t-elle trop loin ?

Bis repetita : DLSS 5 « ne modifie en rien le contrôle artistique »

Dans une session de questions/réponses, Jensen Huang est revenu sur cette polémique, comme le rapporte Tomshardware.com. Bonne ambiance dès le début de l’entretien sur la question des critiques : « Eh bien, tout d’abord, ils ont complètement tort », lâche le patron de NVIDIA.