Viens jouer avec nous Dany…

All work and no play makes Flock a dull boy. All work and no play makes Flock a dull boy. All work and no play makes Flock a dull boy. All work and no play makes Flock a dull boy. All work and no play makes Flock a dull boy. All work and no play makes Flock a dull boy. All work and no play makes Flock a dull boy. All work and no play makes Flock a dull boy. All work and no play makes Flock a dull boy. All work and no play makes Flock a dull boy. All work and no play makes Flock a dull boy. All work and no play makes Flock a dull boy.

Discrétion assistée par la loi

En 2024, Microsoft et le lobby bruxellois de la tech DigitalEurope ont obtenu que les données de consommation des datacenters de plus de 500 kW récoltées par la Commission européenne ne soient pas rendues publiques. Le consortium Investigate Europe montre que les amendements au texte européen réglementant ces informations sont des reprises quasiment mot pour mot des propositions qu’ils ont faites.

Il y a trois ans, en 2023, l’Union européenne a voulu réviser sa législation sur l’efficacité énergétique et introduire une obligation d’information sur la consommation des data centers qui dépassent les 500 kW de puissance. Mais Microsoft et le lobby bruxellois de la tech DigitalEurope ont réussi à faire intégrer à la Commission des amendements quasiment copiés/collés interdisant toute publication de ces données par l’Europe et ses États membres, a découvert le consortium journalistique Investigate Europe.

Les données sur la consommation des data centers font l’objet d’intenses débats sur leur impact environnemental. Dans leurs rapports environnementaux maison, les grandes entreprises de la tech font leurs arrangements (plus ou moins importants), rendant impossible leur interprétation. Les projets de création de data centers font de plus en plus face à des résistances, mais il est difficile d’objectiver le débat avec le peu d’informations sur la réalité du terrain de ces installations.

Dans ce sens, la volonté exprimée par une première version du texte de révision aurait pu grandement aider l’information du public sur le sujet. En effet, le texte prévoyait un inventaire des informations sur les data centers de plus de 500 kW situés en Europe comportant au moins leur localisation et des indicateurs de performance sur la consommation d’énergie, la valorisation de la chaleur résiduelle, la consommation d’eau et l’utilisation d’énergies renouvelables. Et, selon cette première version, la Commission devait rendre publique cette base de données sous forme agrégée.

Ensuite, comme le prévoit le processus, la Commission a recueilli les commentaires des parties concernées et notamment des différents lobbys. Ainsi, Microsoft [PDF] et le lobby DigitalEurope (dont les membres sont par exemple Meta, CapGemini, Microsoft, NVIDIA ou encore Google) [PDF] ont tous deux proposé un amendement pour classifier les informations concernant les data centers.

Des propositions d’amendements adoptées mot pour mot

Et, dans l’article 5 du texte final, ces amendements ont été adoptés quasiment mot pour mot. Ainsi, le texte prévoit, comme le demandaient Microsoft et DigitalEurope, que « les informations relatives aux centres de données, qui sont soumises au droit de l’Union et au droit national en matière de protection des secrets d’affaires et de confidentialité, ne doivent pas être rendues publiques. L’article 12, paragraphe 3, exige en outre que la base de données européenne soit accessible au public sous forme agrégée. Il est donc nécessaire de veiller à ce que les indicateurs clés de performance et les autres informations communiquées à la base de données européenne restent confidentiels ».

A aussi été ajouté que « la Commission et les États membres concernés préservent la confidentialité de toutes les informations et de tous les indicateurs clés de performance relatifs aux centres de données individuels qui sont communiqués à la base de données conformément à l’article 3. Ces informations sont considérées comme des informations confidentielles touchant aux intérêts commerciaux des exploitants et des propriétaires de centres de données », comme le demandaient les entreprises de la tech mot pour mot ou presque.

Nos confrères expliquent que les États membres de l’Union européenne ont aussi été vivement encouragés par la Commission à refuser toute demande d’accès à ces informations dans un email envoyé début 2025 [PDF].

Selon le chercheur en droit de l’environnement de l’université d’Opole, Jerzy Jendrośka, consulté par Investigate Europe, cette clause de confidentialité pourrait violer les règles de transparence édictées par la Convention d’Aarhus. « En vingt ans, je ne me souviens pas d’un cas similaire », explique-t-il, « Cela ne semble manifestement pas conforme à la convention ».

Google ne cherche pas seulement à intégrer Gemini partout où c’est possible dans ses applications et services destinés au grand public. L’IA est également à pied d’œuvre dans les outils internes, comme celui qui fait la chasse aux mauvaises publicités.

L’an dernier, l’entreprise a bloqué (PDF) ou supprimé 8,3 milliards de publicités (dont 1,6 milliard dans l’Union européenne), un record : le nombre de suppressions s’était établi à 5,1 milliards en 2024. Google a également suspendu 24,9 millions de comptes (4 millions associés à des escroqueries) ; 2 millions de comptes ont été suspendus dans l’UE. 

La principale raison pour laquelle les publicités sont supprimées en Europe est « l’abus du réseau publicitaire ». Google exclut toute annonce liée à des tentatives de manipulation ou de contournement des systèmes de vérification : les contenus concernant des logiciels malveillants, des sites infectés ou des programmes jugés trompeurs ou nuisibles sont interdits. Tout comme les pratiques visant à obtenir un avantage déloyal, à masquer la véritable nature d’une annonce ou à contourner les règles publicitaires.

Que vient faire Gemini là-dedans ? L’IA générative explique pourquoi le nombre de comptes suspendus est bien moins élevé en 2025 que l’année précédente (39,2 millions). Google affirme que Gemini peut détecter et bloquer plus tôt les publicités enfreignant ses règles en analysant des « milliards de signaux » (ancienneté des comptes, indices comportementaux, schémas de campagne), précise Keerat Sharma, directeur général confidentialité et sécurité des publicités.

Les derniers modèles Gemini comprennent « mieux » les intentions, contrairement aux précédents systèmes basés sur des mots-clés. L’IA serait donc capable de distinguer plus aisément une offre crédible d’une escroquerie, permettant de réduire les « suspensions injustifiées » d’annonceurs de 80 %.

Si les équipes chargées de la modération publicitaire utilisent depuis longtemps l’intelligence artificielle pour trier le bon grain de l’ivraie, les outils optimisés par Gemini ont permis d’intercepter 99 % des annonces enfreignant les règles « avant même qu’elles ne soient diffusées ». 

Les acteurs malveillants utilisent l’IA générative pour créer des publicités trompeuses. « À la fin de l’année dernière, la majorité des annonces responsives créées dans Google Ads étaient examinées instantanément, et les contenus préjudiciables étaient bloqués dès leur soumission », indique le responsable, avant d’annoncer que cette fonction allait être étendue à d’autres formats cette année. 

Le géant de la recherche en ligne veut donner la priorité à la suppression des contenus préjudiciables, et « [aider] les entreprises honnêtes à maintenir leurs publicités en ligne ». L’IA et Gemini ne font pas tout, c’est pourquoi Google a aussi en parallèle un programme de vérification des annonceurs chargé de la validation de l’identité des annonceurs afin de bloquer les acteurs malveillants avant diffusion de leurs publicités.

• Malvertising : sur les plateformes de Meta, 31 % des publicités sont malveillantes

Dans son ADN

Avec GPT‑Rosalind, OpenAI veut encore affirmer que ses outils peuvent être utiles aux chercheurs mais surtout aux industries pharmaceutiques et biomédicales. L’entreprise de Sam Altman utilise aussi le prénom d’une chercheuse, Rosalind Franklin, dont le travail a été pillé par ses confrères qui ont eu le prix Nobel qu’elle n’a pas obtenu.

Alors qu’OpenAI vient de mettre à jour Codex pour poser la fondation de sa « superapp », l’entreprise de Sam Altman veut afficher son potentiel dans les industries pharmaceutique, médicale et biochimique en présentant un nouveau modèle : GPT‑Rosalind.

Depuis quelque temps déjà, OpenAI veut absolument nous faire croire que ses modèles d’IA générative ont le niveau d’un chercheur. En novembre dernier, l’entreprise publiait une compilation de témoignages de chercheurs qu’elle avait édités sous forme d’un article scientifique pour vanter les mérites de GPT-5. À l’époque, OpenAI mettait en avant la résolution de problèmes mathématiques… qui avaient déjà été résolus par des humains, revendiquant donc des découvertes effectuées par d’autres.

• [Offert] OpenAI veut absolument nous faire croire que GPT-5 a le niveau d’un chercheur

Le créateur de ChatGPT assure désormais que son nouveau modèle peut améliorer le « workflow » des biologistes, biochimistes et bioinformaticiens pour « explorer davantage de possibilités, à mettre en évidence des liens qui auraient pu passer inaperçus et à formuler plus rapidement de meilleures hypothèses ».

« À terme, ces systèmes pourraient aider les organismes du secteur des sciences de la vie à réaliser des avancées qui seraient impossibles autrement, avec un taux de réussite bien plus élevé », promet l’entreprise sans pour autant expliquer comment.

L’instrumentalisation du prénom de Rosalind Franklin

Pour nommer ce modèle fine-tuné pour les biologistes, OpenAI utilise le prénom de Rosalind Franklin, qui avait co-découvert la structure hélicoïdale de l’ADN. « Ce modèle porte le nom de Rosalind Franklin, dont les recherches rigoureuses ont contribué à élucider la structure de l’ADN et ont jeté les bases de la biologie moléculaire moderne », affirme l’entreprise.

Cette biologiste n’avait pas reçu le prix Nobel pour cette découverte, contrairement à James Dewey Watson, Francis Crick et Maurice Wilkins, alors qu’on sait maintenant que ses travaux ont été cruciaux et que Watson et Crick les ont utilisés sans la créditer correctement.

Plusieurs chercheurs font remarquer l’ironie qu’une entreprise, dont l’entrainement des modèles s’appuie massivement sur les travaux des autres sans les citer, rende hommage à une chercheuse qui a longtemps été invisibilisée.

On peut aussi ajouter que, contrairement aux habitudes, par exemple avec Watson chez IBM, l’entreprise n’utilise pas le nom de Rosalind Franklin mais seulement son prénom. Mais ce n’est pas le premier « hommage » de la sorte que l’entreprise met en avant : rappelons-nous de son utilisation du style du réalisateur anti-IA Hayao Miyazaki pour la promotion de ses modèles.

Des collaborations avec des acteurs majeurs du domaine

Concernant son utilisation, GPT‑Rosalind doit, selon OpenAI, permettre aux chercheurs en biologie de faire de l’analyse de données, ou encore de pouvoir fouiller dans la littérature scientifique existante pour construire de nouvelles expériences scientifiques. Mais l’entreprise n’explique pas quelles données elle a utilisées pour affiner son modèle.

La recherche étant, par défaut, en perpétuelle évolution, le modèle en lui-même ne suffira pas à avoir un outil adapté à l’état de l’art et l’utilisation du RAG (Retrieval-augmented generation) et d’autres techniques seront sans doute nécessaires. Néanmoins, OpenAI affiche travailler avec des entreprises du secteur comme Novo Nordisk, Thermo Fischer ou Moderna pour intégrer son modèle dans leurs processus de recherche.

OpenAI met en avant des benchmarks qui, bien sûr, affichent GPT‑Rosalind au top dans son domaine, comparé à Gemini 3.1 pro, Grok 4.2 et à ses autres modèles. Mais pour BixBench, le seul pour lequel la startup donne des chiffres, la performance ne semble pas si exceptionnelle comparée à celle d’un GPT5.4 non spécialisé :

• Raisonnement des IA génératives : les benchmarks nous désinforment

Pour accéder au modèle, les entreprises et organisations qui le voudraient doivent faire une demande via un formulaire. OpenAI met par contre en avant des plugins pour la recherche en bio avec Codex accessibles sur son GitHub.

La Commission européenne a dévoilé vendredi 17 avril les lauréats de l’appel d’offres dynamique qu’elle avait enclenché en octobre 2025 pour permettre à ses différents bureaux et agences de s’équiper en ressources cloud. L’enveloppe, fixée à 180 millions d’euros sur six ans, profitera à quatre acteurs ou consortiums, parmi lesquels on retrouve plusieurs spécialistes français du secteur.

Le premier lauréat est l’opérateur luxembourgeois Post Telecom (via sa filiale cloud DEEP), associé ici à deux Français, Clever Cloud et OVHCloud. Arrivent ensuite StackIT, la filiale cloud du géant allemand de la distribution Lidl, puis Scaleway (groupe Iliad).

L’opérateur belge Proximus est le quatrième lauréat. Il emmène lui aussi des acteurs (au moins partiellement) hexagonaux dans ses bagages : S3NS, la coentreprise de Thales et Google Cloud, Mistral AI, ainsi que sa propre filiale Clarence (codétenue avec LuxConnect), qui opère un cloud déconnecté sur la base de technologies Google.

Bruxelles indique avoir procédé à la sélection de ces prestataires en fonction des critères de son cadre de souveraineté (Cloud Sovereignty Framework), qui ambitionne d’évaluer cette notion parfois floue à l’aune de considérations juridiques, technologiques et opérationnelles.

« La Commission a attribué quatre contrats en parallèle afin de garantir la diversification et la résilience, en évitant une dépendance excessive à l’égard d’un seul fournisseur. Pour être éligibles, les fournisseurs devaient atteindre des niveaux d’assurance rigoureux garantissant que les tiers non membres de l’UE exercent un contrôle limité sur les technologies utilisées par les fournisseurs ou les services qu’ils fournissent », affirme Bruxelles.

« Fiers de cette sélection, et très heureux du travail accompli collectivement pour y parvenir. C’est aussi la preuve que des acteurs européens peuvent s’organiser, coopérer et proposer des alternatives solides et crédibles », s’est réjoui Quentin Adam, CEO de Clever Cloud. Même son de cloche du côté d’Octave Klaba, redevenu CEO d’OVHcloud fin 2025 : « Merci pour la confiance ! On sera au rendez-vous pour démontrer qu’il existe des alternatives crédibles en Europe ».

Une app à tout faire peut-elle faire tout bien ?

Codex, l’application dédiée au code d’OpenAI, est la fondation de la « superapp » sur laquelle l’entreprise planche depuis plusieurs mois. Un premier pas qui se destine surtout aux développeurs, cible principale du logiciel. Mais on entrevoit déjà les usages grand public.

Codex en a fait du chemin, depuis ses débuts en février sur macOS (un mois plus tard, une version Windows faisait son apparition). L’application d’OpenAI permet aux développeurs d’utiliser l’agent IA spécialisé dans la programmation dans une interface dédiée (il se décline aussi en version CLI).

Déployez les agents

Ce logiciel phare du vibe-coding — n’oublions pas Claude Code — permet de prototyper rapidement une application (voire de la développer complètement) en laissant le plus gros du travail à l’agent Codex. Mais l’ambition d’OpenAI va bien plus loin : le client Codex n’est autre que la brique fondatrice de la fameuse « superapp » censée répondre à l’ensemble des requêtes des utilisateurs, qu’il s’agisse du grand public, des développeurs ou des professionnels.

« Nous procédons en réalité de façon un peu détournée », a révélé Thibault Sottiaux, responsable de Codex, à ArsTechnica, « nous construisons la superapp au grand jour, en la faisant évoluer à partir de Codex ». La grosse mise à jour livrée hier par l’entreprise le confirme.

On verra si cette stratégie « attrape-tout » ne reviendra pas à créer un véritable monstre ingérable. En attendant, OpenAI démultiplie les capacités de Codex, à commencer par la possibilité d’utiliser n’importe quelle app présente dans le Mac. Plusieurs agents peuvent se déployer et travailler en tâche de fond, sans interférer sur ce que fait l’utilisateur, promet l’entreprise.

Codex étant d’abord et avant tout un outil pour les développeurs, cette nouveauté est présentée comme un moyen pour eux de tester leurs apps ou de multiplier les itérations. Le logiciel intègre également son propre navigateur web (ce qui est peut-être le premier pas vers la disparition d’Atlas, le propre navigateur d’OpenAI). 

L’utilisateur peut commenter des éléments de la page web pour fournir des instructions précises à Codex. À terme, OpenAI a l’intention de permettre à Codex de prendre le contrôle complet du navigateur embarqué, au-delà des webapps tournant sur le serveur en local. Avec l’aide du modèle gpt-image-1.5, le nouveau Codex sait aussi générer des visuels d’interface, pour des maquettes ou des jeux.

Plus de 90 nouveaux modules d’extension s’ajoutent à la bibliothèque actuelle, qui permettent une intégration collée-serrée entre Codex et de nombreux services et outils comme Slack, Notion, GitLab, Jira, CodeRabbit… L’idée est de connecter Codex à l’environnement de travail et donc d’en faire une passerelle indispensable entre l’utilisateur et son environnement numérique.

Un intermédiaire nommé Codex

Sur les tâches longues, Codex propose de planifier des tâches et reprendre automatiquement un travail plus tard. Il peut aussi reprendre des conversations existantes et se souvenir de modifications demandées pour continuer une tâche. 

Ça peut servir dans le cadre du suivi d’un projet sur le long cours : dans le meilleur des mondes, Codex devrait être en mesure de repérer dans Slack qu’une décision a été prise, aller chercher les détails dans Notion, vérifier ce qui a déjà été implémenté dans le code et proposer à l’utilisateur une liste d’actions. L’agent n’a plus besoin qu’on lui redonne le contexte, il l’a en tête.

L’outil sait prendre en charge les commentaires de revue de code sur GitHub, exécuter des commandes dans plusieurs terminaux en simultané, se connecter à des environnements distants via SSH (encore en alpha). Un nouveau panneau de synthèse complète l’ensemble avec une vue d’ensemble sur les actions réalisées par l’agent, les sources utilisées et les résultats obtenus.

Tout cela parlera davantage aux développeurs. Mais le navigateur web intégré, la manipulation des apps, le suivi de tâches dans la durée, tout cela sera aussi utile à un utilisateur grand public. La mise à jour est en phase de déploiement chez les utilisateurs de l’app de bureau.

The world is not enough

Netflix a publié jeudi de nouveaux résultats financiers record, soutenus par l’indemnité versée suite à la rupture des négociations liées au rachat de Warner. Le géant du streaming a dans le même temps annoncé le départ prochain de Reed Hastings, son emblématique cofondateur, aujourd’hui président du conseil d’administration.

La publication, jeudi 16 avril, des résultats financiers de Netflix pour le premier trimestre 2026 s’est accompagnée d’une annonce à la portée symbolique. Dans sa lettre aux actionnaires (PDF), le géant du streaming a en effet indiqué le départ prochain de Reed Hastings (65 ans), cofondateur de l’entreprise et CEO jusqu’en 2023, date à laquelle il s’était placé en retrait de l’opérationnel, mais restait en charge de la vision stratégique à long terme en tant que président du conseil d’administration.

Reed Hastings se met en retrait de Netflix

« Reed Hastings nous a informés qu’il ne se représentera pas à notre conseil d’administration lorsque son mandat actuel arrivera à échéance lors de l’assemblée générale annuelle de juin, afin de se concentrer sur ses activités philanthropiques et autres projets », indique Netflix.

« Ma véritable contribution chez Netflix ne résidait pas dans une décision isolée ; il s’agissait de privilégier la satisfaction des membres, de bâtir une culture que d’autres pourraient hériter et améliorer, et de construire une entreprise à la fois adorée des membres et extrêmement prospère pour les générations à venir », écrit l’intéressé.

Reed Hastings décrit le mois de janvier 2016, date du lancement du service dans 130 nouveaux pays, comme son meilleur souvenir de l’aventure. « Vous assistez aujourd’hui à la naissance d’un nouveau réseau mondial de télévision sur Internet », avait-il déclaré à cette occasion, lors d’une conférence donnée au CES de Las Vegas. Netflix avait pour mémoire investi le marché français 18 mois plus tôt, avec un lancement dans l’Hexagone en septembre 2014.

Figure de la transformation de Netflix, parti comme un obscur loueur de DVD et devenu un groupe valorisé 450 milliards de dollars en bourse, Reed Hastings s’était d’abord entouré d’un co-CEO en 2020 en la personne de Ted Sarandos, avant de céder sa place à Greg Peters en 2023. Le rachat programmé de Warner, amorcé en décembre 2025, aurait sans doute été le dernier fait d’armes majeur d’Hastings si Paramount ne s’était pas invité dans l’équation, jusqu’à finir par remporter la bataille.

Contenus, IA et monétisation

Dans sa communication financière, Netflix se veut rassurant quant à cette tentative de rachat manquée. « Warner Bros. aurait été un excellent catalyseur pour notre stratégie, mais seulement à un prix raisonnable. Nous disposons de plusieurs moyens pour atteindre nos objectifs (notamment la production, l’octroi de licences et les partenariats) », commente le groupe. À défaut d’accord industriel de grande envergure, Netflix présente une stratégie toujours orientée selon les trois axes principaux que sont les contenus, la technologie et l’optimisation de la monétisation.

Sur le volet de la production, Netflix indique poursuivre sa logique de licences développées en propre, mettre un accent particulier sur la diffusion d’événements en direct (un concert de BTS diffusé le 21 mars dernier, ou le futur combat de boxe Tyson Fury – Anthony Joshua en négociations pour novembre prochain) et les nouvelles formes de divertissement, dont le jeu vidéo.

Côté technique, Netflix rappelle avoir construit son propre réseau de distribution de contenus (CDN), et regarde désormais du côté de l’IA générative « afin d’améliorer les recommandations faites aux membres grâce à une meilleure compréhension du contenu » ou de concevoir de nouvelles « expériences conversationnelles de découverte ».

L’IA est également envisagée au niveau des activités de production, d’une façon plus fine que la simple génération automatisée de bout en bout de séquences vidéo. Netflix rappelle à ce niveau avoir procédé, début mars, à l’acquisition de la société InterPositive. Fondée par Ben Affleck, cette dernière est censée développer des outils adaptés aux besoins d’un directeur de la photographie ou d’un réalisateur, « intégrant la cohérence et les contrôles qu’ils attendent », selon les mots du cinéaste, devenu pour l’occasion senior adviser chez Netflix.

Dernier axe et non des moindres, le groupe indique vouloir s’attacher à optimiser sa monétisation, ce qui signifie à la fois conquérir de nouveaux abonnés, développer son offre publicitaire et identifier de nouveaux canaux pour enrichir son offre ou distribuer ses propres productions. Netflix se félicite par ailleurs d’avoir globalement pu augmenter ses prix sans encombre : « Les récentes modifications de prix se sont bien passées, reflétant la force et l’augmentation de la valeur de notre offre ».

L’offre avec publicités, dont le montant est récemment passé à 8,99 dollars par mois aux États-Unis, représente toujours le premier levier de conquête. Elle a été choisie par 60 % des nouveaux clients au premier trimestre dans les pays qui la pratiquent, indique le groupe, qui mise désormais sur 3 milliards de dollars de chiffre d’affaires publicitaire en 2026.

Netflix veut par ailleurs donner des gages de réassurance quant à sa capacité à poursuivre une croissance dynamique. Tout en revendiquant une audience cumulée de l’ordre du milliard de spectateurs, le groupe fait remarquer qu’il ne représente que 5 % environ des usages de l’écran de TV en temps consommé, et affirme qu’il n’a pénétré, à fin 2025, que 45 % de son marché adressable.

2,8 milliards de dollars d’indemnités suite au rachat manqué de Warner

En attendant, la publication trimestrielle de Netflix a été accueillie plutôt froidement à Wall Street, peut-être en raison du départ annoncé de Reed Hastings, mais aussi parce que Netflix a alerté sur une possible baisse à venir de sa marge, en raison de coûts d’amortissement en hausse sur ses productions. Le groupe affiche pourtant une croissance de 16,2 % sur un an, avec un chiffre d’affaires de 12,25 milliards de dollars sur le premier trimestre 2026. La rentabilité est toujours au rendez-vous, avec un bénéfice net dopé par un élément exceptionnel : le versement de l’indemnité de 2,8 milliards de dollars prévue par l’accord de négociations exclusives qui liait Netflix à Warner avant que Paramount ne fasse capoter la transaction.

Comme la dernière version majeure de Zorin OS, la version 18.1 qui vient de sortir propose un environnement fait pour séduire les utilisateurs de Windows 10 qui se demandent par quoi remplacer l’ancien système.

L’équipe de la distribution explique notamment dans un billet que la version 18.1 permet, avec son système de support des applications Windows en surcouche de Wine, d’installer plus de 240 logiciels édités pour le système d’exploitation de Microsoft tout en proposant des alternatives.

Cette nouvelle version de Zorin améliore encore un peu l’interface avec la possibilité d’afficher les fenêtres en mosaïque ou encore une meilleure intégration des alphabets de droite à gauche utilisés par l’arabe, l’hébreu ou l’ourdou. Zorin OS intègre aussi la version 26.2 de LibreOffice dont l’équipe met en avant la meilleure compatibilité avec les formats de documents de Microsoft Office/365.

Sous le capot, Zorin OS 18.1 utilise la version 6.17 du noyau de Linux, comme la dernière version 25.10 d’Ubuntu.

Pas touche au grisbi !

Il n’y a pas que le prix des composants mémoire qui augmentent, il y a… le montant de la copie privée. Les représentants des ayants droit ont mis sur la table leurs propositions de nouveaux barèmes censés refléter l’évolution des usages. Au programme : forte hausse sur les produits déjà touchés, et extension aux ordinateurs qui étaient jusqu’à présent épargnés.

Les organismes de gestion collective, comme la SACEM et la SACD, ont la main sur le trésor de la rémunération de la copie privée (RCP), et elle est de plus en plus lourde. Les études d’usage réalisées fin 2024 par l’institut CSA concernant la pratique de copies d’œuvres (musique, films, photos, textes) servent de base à de nouveaux barèmes proposés mercredi 15 avril aux industriels de la tech et aux organisations de consommateurs, durant une réunion au ministère de la Culture révélée par L’Informé.

Fin du plafond à 128 Go

Le moins qu’on puisse dire, c’est que les ayants droit ont poussé fort sur la valorisation de la rémunération, qui se base en partie sur l’espace de stockage des appareils. Jusqu’à présent, sur les smartphones neufs de 128 Go ou plus, la redevance était plafonnée à 14 euros HT (16,80 euros TTC). De nouveaux paliers se mettraient en place. Quelques exemples :

• sur un smartphone de 128 Go, la rémunération passerait à 18 euros HT (21,60 euros TTC), soit une hausse de 29 % ;
• sur un smartphone de 256 Go : 20 euros HT (24 euros TTC),+ 43 % ;
• sur un smartphone de 512 Go : 22 euros HT (26,40 euros TTC),+ 57 % ;
• sur un smartphone de plus de 512 Go : 24 euros HT (28,80 euros TTC), ce qui représente une hausse vertigineuse de 71 %.

Même topo sur les tablettes, où la redevance se limitait à 14 euros HT pour les modèles dotés de 128 Go ou plus. Là aussi, des paliers supplémentaires seraient créés :

• sur une tablette de 128 Go : 17 euros HT (20,40 euros TTC), soit 21 % de plus ;
• sur une tablette de 256 Go : 18 euros HT (21,60 euros TTC),+ 29 % ;
• sur une tablette de 512 Go : 20 euros HT (24 euros TTC),+ 43 % ;
• sur une tablette de plus de 512 Go ou plus : 26 euros HT (31,20 euros TTC),+ 86 %.

Les smartphones et tablettes reconditionnés subiraient également une augmentation sensible de la rémunération. Elle s’établirait à 10,80 euros HT (12,96 euros TTC) sur un mobile de 128 Go, soit 28,57 % de plus. Un smartphone équipé de plus de 512 Go aurait droit à une redevance de 14,40 euros HT (17,28 euros TTC), soit 71,4 % de plus.

La copie privée aussi pour les PC

Et comme si cela ne suffisait pas, les ayants droit proposent d’appliquer la rémunération copie privée sur les ordinateurs portables/hybrides et les ordinateurs de bureau. Elle serait calculée sur une base forfaitaire : 30 euros HT (36 euros TTC) pour les premiers, 24 euros HT (28,80 euros TTC) pour les seconds. Les modèles reconditionnés seraient aussi concernés, respectivement 18 euros HT (21,60 euros TTC) et 14,40 euros HT (17,28 euros TTC).

Si ce barème était appliqué tel quel, les organismes de gestion collective récupèreraient, à quantités équivalentes, plus de 400 millions d’euros par an. En 2024, la collecte avait grimpé à 246 millions…

• La collecte de la copie privée repart à la hausse en attendant la refonte des barèmes

Reste cependant un obstacle à passer : les 12 représentants des ayants droit au sein de la commission copie privée font face à 6 représentants des constructeurs et des importateurs, et 6 organisations de consommateurs. Ces derniers vont faire des contre-propositions, qui déboucheront sur un arbitrage puis un vote. La commission, dont la dernière réunion remonte au 12 février (PDF), a écarté le streaming, considéré comme de la location et non comme une copie.

La rémunération pour la copie privée n’est pas un permis de pirater : c’est une exception au Code de la propriété intellectuelle qui autorise la reproduction d’une œuvre pour un usage strictement personnel, à condition que la source soit licite. La redevance, collectée par la société Copie France auprès des fabricants et des importateurs (et répercutée sur le prix payé par les consommateurs), finance en partie la création. 25 % des sommes sont consacrées à des actions culturelles : diffusion du spectacle vivant, développement de l’éducation artistique et culturelle, formation d’artistes.

La France au premier rang mondial de la copie privée

Fin observateur du sujet, Marc Rees de l’Informé remarque sur X que la France représente une part significative des montants collectés à l’échelle mondiale.

Les différentes pratiques mises en oeuvre en Europe et dans le reste du monde ont en effet fait l’objet d’une étude comparative portant sur la période 2019 – 2024, réalisée sous la houlette de la Confédération internationale des sociétés d’auteurs et compositeurs (Cisac).

Dans cette « étude mondiale sur la copie privée », publiée fin mars 2026, la Cisac évalue à 1,06 milliard d’euros les sommes collectées au nom de la copie privée au niveau de 32 pays qui pratiquent la fameuse exception depuis 2019.

Avec 246,4 millions d’euros collectés, la France arrive en tête du classement ainsi constitué, juste devant l’Allemagne (235,5 millions d’euros).

« En valeur nominale, l’Allemagne et la France affichent de loin les recettes les plus importantes issues des redevances pour copie privée. Sur la période 2019 - 2024 cumulée, ces deux pays ont perçu 50 % du total des recettes déclarées », remarque la Cisac.

Google-boulgIA

Aux États-Unis, Google expérimente le fait « d’identifier, sur une page, le contenu susceptible de constituer un titre utile et pertinent par rapport à la requête d’un utilisateur », avant de re-générer par IA les titres des pages et articles qu’il indexe. Quitte à ce qu’ils racontent le contraire, voire n’importe quoi.

The Verge a découvert que le moteur de recherche de Google réécrivait par IA les titres de certains articles. « J’ai utilisé l’outil IA “tricher sur tout” et cela ne m’a aidé à tricher sur rien » a par exemple été réduit à seulement cinq mots : « Outil IA “tricher sur tout” », laissant entendre, à tort, que The Verge en ferait la promotion :

« Au cours des derniers mois, plusieurs membres de l’équipe de The Verge ont constaté que des titres que nous n’avions jamais rédigés apparaissaient dans les résultats de recherche Google — des titres qui ne respectaient pas notre ligne éditoriale et sans aucune indication précisant que Google avait remplacé les mots que nous avions choisis. »

« Il s’agit d’une expérience « modeste » et « limitée », qui n’a pas encore reçu l’autorisation d’être déployée à plus grande échelle », ont déclaré à The Verge les porte-parole de Google Jennifer Kutz, Mallory De Leon et Ned Adriance.

Ils précisent que l’idée générale était « d’identifier, sur une page, le contenu susceptible de constituer un titre utile et pertinent par rapport à la requête d’un utilisateur ». L’objectif est « de mieux faire correspondre les titres aux requêtes des utilisateurs et de faciliter l’interaction avec le contenu Web », selon Jennifer Kutz. Ned Adriance souligne que ce test « ne concerne pas spécifiquement les publications d’actualité, mais vise à déterminer comment améliorer les titres de manière générale ».

Google a par ailleurs confirmé que le test utilisait l’IA générative, mais Mallory De Leon précise que « si nous devions réellement lancer un produit basé sur cette expérience, celui-ci n’utiliserait pas de modèle génératif et nous ne créerions pas de titres à l’aide de l’IA générative ». Google n’a pas détaillé, cela dit, comment il pourrait remplacer les titres d’articles sans recourir à l’IA générative.

« Nous passons beaucoup de temps à essayer de rédiger des titres qui soient véridiques, intéressants, amusants et dignes de votre attention, sans pour autant recourir au « clickbait », mais Google semble considérer que nous n’avons pas le droit de promouvoir notre propre travail de cette manière », déplore de son côté The Verge.

Nos confrères sont d’autant plus en colère que le lancement de ce « test » intervient après qu’ils aient déjà documenté, par deux fois ces derniers mois, que l’IA de Google « hallucinait » de nombreux titres racoleurs et erronés dans son algorithme de recommandation Discover.

Google nous prive de notre liberté de promouvoir notre propre travail

Verdict d'ici un mois ?

Le consortium constitué par Orange, Free et Bouygues Telecom annonce son entrée en négociations exclusives avec le groupe Altice en vue d’acquérir les actifs de SFR. La nouvelle offre porte sur un montant minimal de 20,35 milliards d’euros.

Après les discussions, place aux négociations exclusives, qui signifient que les deux parties ont, au moins sur le papier, trouvé un terrain d’entente.

Le trio constitué par Orange, Free et Bouygues Telecom a confirmé vendredi 16 avril qu’il avait remis à Altice France une nouvelle offre relative à l’acquisition de SFR, avec une enveloppe revue à la hausse : les échanges envisagent désormais une enveloppe minimale de 20,35 milliards d’euros, sans doute plus conforme aux vœux de Patrick Drahi, que les 17 milliards d’euros évoqués lors de la première offre publique, en octobre dernier.

Négociations ouvertes jusqu’au 15 mai

« Altice France a octroyé une période d’exclusivité au Consortium jusqu’au 15 mai 2026 afin de finaliser les termes et la documentation de la transaction », indiquent les trois acheteurs.

Si l’enveloppe a été revue à la hausse, les grandes lignes du découpage envisagé pour les activités de SFR restent globalement inchangées. « La répartition du prix et de la valeur serait de l’ordre de 42% pour Bouygues Telecom, 31% pour Free-Groupe iliad et 27% pour Orange ».

Dans le détail, les trois opérateurs se partageraient les activités et la clientèle grand public (dite B2C). Bouygues Telecom mettrait la main sur tout le volet entreprise (dit B2B). Enfin, « les autres actifs et ressources (notamment les infrastructures et les fréquences) seraient partagés entre Bouygues Telecom, Free-Groupe iliad et Orange, à l’exception du réseau mobile de SFR en zone non dense qui serait repris par Bouygues Telecom ».

La transaction signerait donc le retour de la France à trois opérateurs, ce qui n’irait pas sans poser de nombreux défis, sociaux et réglementaires, compte tenu du poids de SFR.

Une opération scrutée de près

« L’opération sera soumise à la consultation préalable des instances représentatives du personnel compétentes. Elle devra ensuite faire l’objet des autorisations réglementaires requises par les autorités compétentes, notamment au titre du contrôle des concentrations », précisent sans surprise les acheteurs potentiels, qui devront probablement composer, aussi, avec le gouvernement.

« Cette annonce marque une étape importante pour une opération structurante qui concerne l’ensemble du secteur télécoms français et européen. Nous continuerons de suivre cette opération avec attention, a commenté Bercy vendredi matin. Nous demeurons extrêmement vigilants quant à la préservation de l’emploi, à l’impact sur les prix des abonnements pour les consommateurs, ainsi qu’au maintien des investissements dans les réseaux »

Benoît Cœuré, président de l’Autorité de la concurrence, avait laissé entendre que la porte n’était pas fermée pour un retour à trois opérateurs : « Si cette opération devait être notifiée, nous la regarderions sans camper sur nos positions d’il y a neuf ans ».

(Actualité mise à jour vers 11 heures pour signaler la réaction de Bercy)

Un effort qui se paie

À chaque jour son grand modèle de langage, ou presque. Anthropic a en effet dévoilé Claude Opus 4.7, son LLM le plus performant (en dehors de Mythos). Des performances qui se paient : le modèle peut se montrer plus gourmand.

Un peu plus de deux mois après Claude Opus 4.6, et une semaine après Mythos, Anthropic a lancé Claude Opus 4.7, présenté comme son modèle IA le plus performant à ce jour… pour le grand public. Mythos détient toujours la couronne du LLM le plus puissant au catalogue d’Anthropic, mais compte tenu de ses capacités en cybersécurité, il n’est déployé qu’au compte-goutte via le projet Glasswing.

• Mythos : l’Europe tenue à l’écart du modèle IA le plus ambitieux du moment

Opus 4.7 est « moins capable » que Mythos, admet l’entreprise. Le modèle intègre en effet des garde-fous capables de détecter et de bloquer automatiquement les requêtes liées à « des usages de cybersécurité interdits ou à haut risque ». Si les modèles de classe Mythos ont vocation à être diffusés à grande échelle, il faudra pour le moment faire avec Opus, dont cette version 4.7 est maintenant disponible pour tous les utilisateurs de Claude, ainsi que dans l’API.

Gare aux tokens

Claude Opus 4.7 promet une vision améliorée avec la prise en charge d’images d’une résolution maximale de 2 576 pixels de long ou 3,75 mégapixels (à comparer avec le maximum précédent qui était de 1 568 px/1,15 mpx). Le modèle devrait donc être en mesure de mieux détecter les objets et mieux comprendre les documents et captures d’écran. 

Par ailleurs, les coordonnées renvoyées correspondent directement aux pixels de l’image d’origine. Plus besoin de conversion comme par le passé, les positions peuvent être immédiatement exploitées. Cela peut être utile pour, par exemple, cliquer sur un bouton dans une interface graphique ou tout simplement pointer précisément sur un élément comme un texte ou un graphique.

Autre changement : un nouveau niveau d’effort « extra high » (xhigh) qui se positionne entre les paliers « high » et « max ». Anthropic recommande de basculer Claude en xhigh pour tout ce qui est programmation et agents autonomes, et high pour tous les cas d’usage sensibles à la qualité du raisonnement.

Les calculs IA coûtent cher, aussi bien pour Anthropic que pour les utilisateurs. Avoir sous la main des options supplémentaires pour contrôler son budget est donc indispensable, d’où ce niveau xhigh. C’est d’autant plus important qu’Opus 4.7 inaugure un nouveau tokenizer qui découpe le texte différemment : un même texte peut générer jusqu’à 35 % de tokens en plus qu’avant. Utiliser ce modèle est donc susceptible de coûter plus cher ou de faire atteindre plus vite les limites de son abonnement. 

Pour justifier cette inflation, Anthropic affirme que son nouveau découpage est plus efficace et qu’il permet au modèle de mieux comprendre certains contenus. Opus 4.7 réfléchit aussi davantage quand le niveau d’effort est élevé, notamment dans des contextes agentiques : la fiabilité s’améliore sur les requêtes complexes, mais le modèle dépense aussi davantage de tokens.

Sur une évaluation interne dédiée au code, l’utilisation des tokens s’améliore « à tous les niveaux ». En pratique, Opus 4.7 consomme souvent davantage de tokens, mais il atteint des scores nettement supérieurs. À effort équivalent, le modèle semble donc obtenir de meilleurs résultats, quitte à « dépenser » davantage.

Afin de faire passer la pilule, Claude Opus 4.7 peut garder en mémoire jusqu’à 1 million de tokens pour une seule requête sans surcoût spécifique. Le modèle est donc en capacité de traiter beaucoup plus d’informations d’un coup, sans impact financier supplémentaire.

Quel budget pour quelle tâche ?

Pour aider les utilisateurs à ne pas exploser leur plafond de dépenses, Opus 4.7 inaugure (en bêta) une fonction « budget de tâche ». Il s’agit d’une enveloppe d’un volume minimal de 20 000 tokens, que le modèle peut dépenser en temps réel : il adapte son travail pour aller au bout de la boucle agentique complète, ce qui inclut la réflexion, les appels et les résultats d’outils, ainsi que la réponse finale. Il s’en sert comme compteur décroissant pour prioriser les tâches à mesure de la consommation du budget alloué.

Attention : un budget trop restrictif poussera Opus 4.7 à traiter la tâche de manière moins approfondie. Il pourra même tout simplement refuser de s’en charger. Anthropic recommande d’expérimenter avec différents budgets en fonction de l’usage. Cette nouveauté diffère de « max_tokens », une limite fixe par requête sur les tokens générés. Les budgets sont une limite indicative sur l’ensemble de la boucle de travail. 

Le pilotage du modèle avec l’API est simplifié. Exit les paramètres classiques (« temperature », « top_p »…), le contrôle se veut plus global pour réduire la complexité, mais aussi reprendre la main sur le comportement du modèle. « Utilisez les budgets pour inciter le modèle à s’auto-réguler, et la limite fixe de tokens comme plafond strict pour maîtriser la consommation », résume Anthropic. Un guide est en ligne pour épauler les utilisateurs dans la migration depuis Opus 4.6.

Vos papiers et que ça saute

C’est une première pour les chatbots IA. Claude peut désormais réclamer une vérification de l’identité de l’utilisateur. Il faudra alors présenter un passeport, un permis de conduire ou une carte d’identité avec photo. Les photocopies, les captures d’écran ou « photos d’une photo » ne sont pas acceptées. Un selfie pourra aussi être demandé.

La demande de vérification de l’identité, repérée par Decrypt, a commencé à apparaitre chez de nouveaux abonnés de Claude. Ce qui ne manque pas d’étonner, sachant que pour le moment du moins, aucun législateur ou régulateur n’a exigé une telle opération. Dans une fiche d’assistance mise en ligne le 14 avril, Anthropic explique que « la vérification de l’identité nous aide à prévenir les abus, à appliquer nos politiques d’utilisation et à respecter nos obligations légales ». 

Une vérification de l’identité inédite pour un bot

La vérification de l’identité concerne « certains cas d’usage » non précisés, et lors de l’accès à « certaines fonctionnalités », le tout dans le cadre des vérifications régulières d’intégrité de la plateforme « ou d’autres mesures de sécurité et de conformité ». 

En cas d’échec de la vérification, il est toujours possible de contacter l’entreprise qui examinera alors le dossier. Persona Identities est le prestataire chargé de la vérification ; ce sous-traitant travaille aussi pour le compte de Roblox, DoorDash, LinkedIn, mais aussi… OpenAI, dans certains cas, pour contrôler l’âge des utilisateurs de ChatGPT.

• ChatGPT estime l’âge de ses utilisateurs pour plus ou moins lacher la bride

En février dernier, des chercheurs en sécurité ont découvert qu’une interface web appartenant à Persona était accessible publiquement. Ce frontend contenait 2 456 fichiers (du code et des outils internes) hébergés sur un serveur autorisé par le gouvernement américain, isolé de l’environnement de l’entreprise. 

Pas de données confidentielles ici, mais les fichiers exposés ont permis de mesurer l’ampleur des capacités du système Persona : il réalise jusqu’à 269 types de vérifications possibles, il compare les selfies à des listes de surveillance, détecte les profils à risque et calcule un score de risque. On a également appris à cette occasion que Persona conservait les données des utilisateurs jusqu’à 3 ans. 

Après avoir supprimé l’accès au frontend et assuré qu’aucune donnée personnelle n’avait fuité, l’entreprise a expliqué qu’elle ne travaillait avec aucune agence fédérale états-unienne, et qu’aucun de ses clients n’exploitait la totalité des 269 types de vérifications. 

L’ombre de Peter Thiel

Ce frontend avait été découvert à l’occasion de la mise en place par Discord de son système de vérification de l’âge. La plateforme a depuis révoqué le sous-traitant, suite à une autre polémique : Persona est en effet financé par Peter Thiel, cofondateur de Palantir. Une entreprise dont les outils sont très populaires chez les forces de l’ordre comme l’ICE, qui fait la chasse aux immigrés en situation irrégulière.

• Discord temporise sur la vérification d’âge

Anthropic n’a pas ces états d’âme, et rappelle que Persona traite les données de vérification « selon nos instructions ». Ces informations, chiffrées en transit et au repos, n’en restent pas moins collectées et stockées par Persona. Anthropic peut y accéder, ainsi qu’aux dossiers de vérification si nécessaire pour examiner un appel, par exemple. Les données sont conservées et supprimées « conformément aux limites de conservation » établies par Anthropic et à la loi applicable.

L’entreprise précise aussi, et c’est important vu le contexte, que les données d’identité ne sont pas utilisées pour entraîner ses modèles IA, mais « uniquement pour confirmer votre identité et pour respecter nos obligations légales et de sécurité ». Ces informations ne sont partagées avec personne, sauf en cas de demande légale valide. Enfin, Anthropic affirme ne collecter que les données minimales requises pour vérifier l’identité.

L’opacité avec laquelle Anthropic demande la vérification de l’identité, ainsi que le choix de ce sous-traitant, ne manquent pas d’inquiéter certains. ChatGPT ou Gemini n’en sont pas encore là, même si le premier peut effectuer des vérifications d’âge. Quant au deuxième, son opérateur Google connait déjà beaucoup de ses utilisateurs. Mais Anthropic pourrait bien être précurseur.

Si ce n'est toi, c'est donc ton frère

L’IGN, le Cerema et Inria vont assurer la mise en route d’un projet visant à créer, d’ici trois ans, un socle technique adapté à la création d’un jumeau numérique national (JUNN) des territoires. Il doit permettre aux acteurs du public comme du privé de simuler l’évolution de ces territoires, notamment au regard du changement climatique, et de construire des outils décisionnels innovants.

Un consortium de 14 partenaires copiloté par l’IGN, le Cerema (pour Centre d’études et d’expertise sur les risques, l’environnement, la mobilité et l’aménagement) et Inria va s’attacher à développer un socle technique « commun et souverain » dédié à la création de jumeaux numériques de territoire. En pratique ?

Un socle pour relier les jumeaux numériques existants

Il s’agit d’assembler les différentes briques nécessaires à la création d’un service dans lequel il sera possible de reproduire les caractéristiques d’un territoire (une rue, une ville, les rives d’un cours d’eau…) pour ensuite tester des scénarios d’évolution, au sein de cette réplique virtuelle, à des fins d’aide à la décision.

« Un jumeau numérique de territoires peut par exemple simuler les conséquences d’une crue centennale sur un territoire, en tenant compte de l’évolution du climat. Il peut également simuler des scénarios d’aménagement et leurs conséquences sur le trafic routier », illustrent les porteurs de projet dans un dossier de presse.

Il existe déjà de nombreux projets de jumeau numérique de territoires en France, à l’échelle de métropoles (Rennes, Lille, Lyon, Angers, Brest, Aix-Marseille et d’autres), ou de zones spécifiques (l’estuaire de la Gironde), mais il manquait un cadre et un outillage permettant de faire communiquer les différents projets, et donc de mutualiser à la fois les données, les développements techniques et les initiatives.

C’est à cette ambition que veut répondre le projet JUNN, pour jumeau numérique national, dont le coup d’envoi officiel a été donné le 13 avril dernier, avec l’annonce d’un financement de 25 millions d’euros consenti dans le cadre du plan France 2030, sur un budget prévisionnel fixé à 40 millions d’euros.

L’initiative, dont le site dédié a été mis en ligne, associe donc 14 premiers partenaires au premier rang desquels les établissements publics spécialisés dans la gestion de la donnée. L’IGN apporte sa « maîtrise de la production et de la gouvernance des données pour décrire le territoire », tandis que Inria, Géodata Paris et GeometryFactory « fondent les briques scientifiques et technologiques des modèles 3D et temporels, des graphes de connaissances, de l’IA ou encore des interactions avancées ».

Le Cerema a quant à lui vocation à structurer les cas d’usage et les interfaces. Enfin, plusieurs acteurs privés sont partie prenante du projet, dont 1Spatial, éditeur de solutions de gestion de données géospatiales, qui aura la charge de l’intégration et de l’industrialisation de ce nouveau socle commun.

Une exploitation opérationnelle visée sous trois ans

Le site dédié ne donne pas d’information précise sur la structure technique du projet. On trouve cependant des éléments relatifs à la vision cible développée par les porteurs dans un document de présentation (PDF) préalable, daté de janvier 2025, qui donne une idée de l’architecture retenue.

Le calendrier annoncé au lancement évoque quant à lui un objectif à trois ans. La première année doit permettre la mise en place des outils techniques, la production des premiers jeux de données 3D et la réalisation des premiers cas d’usage ou démonstrateurs. Les Alpes-Maritimes, la Charente-Maritime, la Gironde et l’Ille-et-Vilaine feront à ce titre l’objet de territoires pilotes.

Les deux années suivantes doivent quant à elles permettre l’émergence ou la connexion d’applications destinées à des usages réels. Au terme de ces trois ans débutera la phase d’exploitation opérationnelle. C’est en principe de la réussite de cette dernière que dépendra l’avenir du jumeau numérique national, puisque le consortium JUNN est censé parvenir à définir « un modèle économique pérenne pour l’exploitation des ressources et des infrastructures technologiques développées ».

• À l’IGN, « l’avenir de la carte » passe par Panoramax, les communs et jumeaux numériques

Les boutiques d'apps à poil

L’App Store d’Apple et le Play Store de Google hébergent des dizaines d’applications permettant de générer des nus synthétiques à partir d’images réelles. Suite à une enquête du Tech Transparent Project, les contrôleurs d’accès en ont supprimé quelques unes, mais d’autres sont toujours disponibles.

Les politiques d’Apple et de Google qui régissent leurs boutiques d’apps respectives sont très claires : l’App Store exclut les applications « offensantes, choquantes ou de mauvais goût », y compris celles qui proposent du contenu « explicitement sexuel ou pornographique ». Le Play Store interdit les apps qui prétendent « déshabiller les personnes ou [permettre] de voir à travers les vêtements ».

Résultats de recherche équivoques

Si c’est le cas, comment se fait-il alors que les boutiques continuent de distribuer ce genre d’applications ? Une nouvelle enquête du Tech Transparent Project (TTP) datée du 15 avril confirme la présence persistante de ces apps dans les rayons des magasins, malgré un premier rapport en janvier qui avait mis au jour plus de 100 d’entre elles. Apple et Google en avaient alors supprimé plusieurs dizaines.

Le TTP s’est cette fois penché sur les moteurs de recherche des boutiques, et a constaté qu’en saisissant des requêtes comme « nudify », « undress », « deepfake », « deepnude » ou encore « AI NSFW », il était toujours possible de tomber sur des applications permettant de créer des deepfakes dénudés. Au total, 46 applications ont été proposées par l’App Store, 49 du côté du Play Store. L’enquête s’est concentrée sur les 10 premières apps de chaque résultat de recherche.

Les tests, réalisés à partir d’images de femmes générées par IA, montrent que 40 % des applications (18 sur l’App Store, 20 sur le Play Store), permettent de dénuder ou de déshabiller les sujets ou suggèrent clairement cette possibilité, parfois gratuitement. Le TTP s’est ensuite penché sur les suggestions de recherche automatique proposées par les boutiques : les termes suggérés par Apple et Google renvoyaient vers encore plus d’apps de deepfakes à caractère sexuel. Ce qui veut dire que les boutiques suggèrent elles-mêmes des résultats de recherche menant à ces applications.

Un exemple : en saisissant « AI NS » (pour « AI NSFW »), l’App Store suggère des termes de recherche équivoques, comme « image to video ai nsfw ». Toucher cette recommandation renvoie vers plusieurs applications de génération de nus.

L’enquête indique que 31 apps sont autorisées pour les mineurs. En tout, les applications dénichées par le TTP via les moteurs de recherche des boutiques représentent 483 millions de téléchargements et elles ont réalisé plus de 122 millions de dollars de revenus, selon des chiffres d’AppMagic. Elles profiteraient donc directement à Apple et à Google, qui prélèvent une commission sur ces ventes. 

Les contrôleurs d’accès bénéficient aussi de la manne publicitaire : ces applications achètent des annonces pour apparaître en tête des résultats de recherche. Apple interdit en principe les contenus publicitaires qui font la promotion de thèmes pour adultes ou des contenus explicites. Pourtant, le premier résultat d’une recherche sur le mot « deepfake » renvoie vers un bandeau pour une application qui permet de générer des nus truqués à partir d’une photo d’une femme.

Même constat du côté du Play Store, malgré là encore l’interdiction faite aux contenus publicitaires de montrer des images ou des vidéos de scènes sexuelles explicites, de promouvoir des thèmes sexuels non consentis « qu’ils soient simulés ou réels », ou encore de montrer des contenus synthétiques « modifiés ou générés pour être sexuellement explicites ou contenant de la nudité ». Des applications de deepfakes sexuels continuent d’apparaitre dans les pubs de la boutique.

Les boutiques mobiles ne respectent pas leurs propres règles

Interpellé, Google a annoncé que la plupart des applications identifiées par l’enquête avaient été suspendues (7 ont été supprimées), et que le renforcement des règles sur le Play Store était en cours. Apple n’a pas publiquement répondu à TTP, mais a tout de même supprimé 15 apps litigieuses suite à la publication de l’enquête. Nos propres recherches sur l’App Store (sur un iPhone en région États-Unis en anglais, avec un VPN basé aux États-Unis) ne retournent aucun résultat sur plusieurs des termes testés par TTP comme « nudify », « deepnude » ou « AI NSFW ». En revanche, le moteur de recherche propose bien plusieurs applications avec le terme, plus générique, de « deepfake ».

Les conclusions de l’enquête sont sans appel. L’App Store et le Play Store ne respectent manifestement pas les règles édictées par Apple et Google : « les moteurs de recherche et la publicité mettent activement en avant ces applications », assène le TTP. Et les boutiques génèrent des revenus à partir de ces apps.

Même si les deux entreprises ont supprimé quelques apps, leur position demeure pour le moins ambiguë, comme on l’a encore vu avec Grok et X qui ont facilité la création et la diffusion d’images dénudées de jeunes filles et de femmes, et leur diffusion. Leurs applications respectives sont restées en ligne sur les boutiques mobiles, malgré le scandale et la pression réglementaire.

• Deepfakes pornographiques : Apple a menacé de suspendre X de son App Store

Google est très mobilisé pour faire évoluer la proposition de loi sur l’intelligence artificielle adoptée au Sénat le 8 avril dernier. En l’état, le texte instaure surtout une présomption d’usage des contenus culturels par les constructeurs d’IA dès que des indices peuvent en être repérés dans les résultats.

Concrètement, cette présomption s’appliquerait dès qu’il est possible de créer des contenus « dans le style » d’un ou une autrice, ou dès que la machine recrache des éléments visiblement protégés, comme ces extraits de Harry Potter retrouvés dans les données d’entraînement des machines de Meta ou de Mistral.

• IA : Grammarly suspend son outil de révision à la manière de vos auteurs préférés

D’après L’Informé, Google a tenté de pousser trois stratégies pour minimiser les effets du texte : l’une aurait consisté à « limiter l’effet du texte aux contenus culturels de qualité », c’est-à-dire ne réserver l’idée de présomption d’entraînement qu’aux œuvres présentes dans les catalogues d’organismes de gestion collective.

Une autre cherchait à « clarifier » la manière dont la loi s’agençait « avec l’exception de fouille de données », ou « text and data mining » (TDM) de la directive de 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique.

Si elle est « alléguée par les fournisseurs d’IA comme fondement juridique à leurs pratiques de moissonnage de contenus protégés », écrivait le Sénat dans son rapport, il s’agit néanmoins d’un « détournement » de l’objectif initial du texte.

Une autre tentative a consisté à empêcher que le texte final ne s’applique aux litiges déjà ouverts lorsqu’il entrera en vigueur. Là encore, le Sénat a retoqué sa proposition.

Que les sociétés numériques tentent d’influer sur la rédaction des textes légaux fait partie intégrante du jeu de la régulation – on retrouve quelquefois très directement leurs traces, y compris au niveau européen.

Dans le présent cas, les propositions de Google ont échoué à l’étape sénatoriale. Le texte doit encore être débattu à l’Assemblée nationale.

• Entrainement des IA et droit d’auteur : le Sénat inverse la charge de la preuve

Breitbart et X aiment ce message

L’autorité états-unienne de la concurrence (FTC) a négocié un accord avec les trois plus grandes agences de publicité au monde, pour contraindre ces dernières à ne plus coordonner l’exclusion de certains médias ou plateformes au nom de la désinformation. La FTC, qui dans son action évoque spécifiquement le cas du média d’extrême-droite Breitbart, prend le contrepied de la justice texane, qui a refusé de donner suite à la plainte formulée par X sur le même sujet.

Les annonceurs sont libres de choisir la façon dont ils flèchent leurs achats média, mais les agences publicitaires auxquels ils confient leurs budgets n’ont plus le droit, aux États-Unis, de s’entendre pour écarter certains journaux ou certaines plateformes au nom de la désinformation. WPP, le français Publicis et Dentsu, trois des plus grandes agences au monde, viennent de passer un accord en ce sens avec la FTC, l’autorité états-unienne de la concurrence.

Annoncé par voie de communiqué, cet accord fait suite au dépôt, mercredi 15 avril, d’une plainte (PDF) de la FTC dénonçant la façon dont ces agences se seraient alliées pour démonétiser certains sites pour des raisons politiques, en invoquant l’argument de la désinformation. Plutôt que de défendre leur cause en justice, les trois agences ont donc immédiatement accepté de passer un accord avec la FTC, sous la forme d’un consent decree (décret de consentement) qui prendra force de loi une fois ratifié par un juge.

Une alliance contre les médias conservateurs selon la FTC

Andrew N. Ferguson, président de la FTC, se réjouit de cet accord qui, d’après lui, met un terme à la façon dont les grands noms de la pub « complotent » au nom de la brand safety. Cette « défense de marque » représente pour mémoire l’idée selon laquelle une agence d’achat média cherche à qualifier les éditeurs chez qui elle prend des espaces, pour éviter que les publicités de ses clients se retrouvent à côté de contenus jugés inappropriés (terrorisme, pornographie, escroqueries…).

La brand safety peut aussi dans certains cas prendre des accents politiques : en France, le phénomène s’incarne par exemple au travers du chapitre local du collectif Sleeping Giants, qui interpelle publiquement les annonceurs accusés de financer des discours de haine, notamment parce qu’ils achètent des espaces publicitaires sur Cnews.

C’est bien ce volet politique qui motive l’action de la FTC. « Cette collusion illégale a non seulement nui à notre marché, mais a également faussé le marché des idées en discriminant les discours et les idées qui ne respectaient pas un seuil illégalement convenu », écrit ainsi Andrew Ferguson. Nommé à la tête du gendarme de la concurrence fin 2024 par Donald Trump, il avait explicitement annoncé qu’il s’en prendrait aux acteurs suspectés de pratiques anticoncurrentielles en vue d’interférer avec la liberté d’expression.

La plainte illustre les accusations formulées par la FTC avec le cas précis du média d’extrême-droite Breitbart, qui aurait fait l’objet d’une volonté explicite de démonétisation orchestrée par la Global Alliance for Responsible Media (GARM, ou alliance mondiale pour des médias responsables), une émanation de la Fédération mondiale des annonceurs (WFA), créée dans la foulée de l’attentat de Christchurch, en Nouvelle-Zélande, pour travailler sur les questions de brand safety.

La plainte rapporte l’incident lié à Breitbart de la façon suivante :

« En novembre 2021, le responsable de l’initiative GARM avait suggéré d’inclure les contenus « délibérément trompeurs » dans la catégorie « désinformation afin de priver spécifiquement le site conservateur Breitbart de revenus publicitaires. Il avait expliqué à un exécutif de GroupM/WPP : "L’exemple de la manière dont Breitbart peut utiliser les faits de manière sélective pour induire en erreur était un exemple donné" pour illustrer la nécessité d’amender la définition par le GARM du terme "désinformation."  »

Elle ajoute qu’en parallèle de cette nouvelle formulation, « des éditeurs conservateurs identifiés comme publiant ce que le seuil de brand safety définissait comme de la « désinformation » ont subi des baisses spectaculaires de leurs ventes d’espaces publicitaires numériques ».

X également concerné au premier chef

L’ex-Twitter n’est mentionné qu’à la marge de la plainte de la FTC. Le réseau social d’Elon Musk a pourtant lui aussi maille à partir avec la GARM. En août 2024, X a ainsi déposé plainte contre les géants de la publicité pour pratiques anticoncurrentielles. La plateforme estimait alors que l’alliance des agences avait agi en sous-main pour assécher ses recettes publicitaires.

Beaucoup d’annonceurs se sont effectivement détournés de X suite à la reprise du réseau social par Elon Musk, en invoquant la prolifération de contenus inappropriés, mais les agences publicitaires ont toujours nié s’être accordées pour enclencher ou favoriser un tel mouvement. La GARM a tout de même annoncé sa dissolution trois jours après le dépôt de la plainte de X, affirmant n’être qu’une petite association aux moyens bien insuffisants pour faire face à une telle procédure.

L’affaire a tout de même suivi son cours en justice, la WFA ayant elle aussi été poursuivie aux côtés de la défunte GFAM, avec une issue qui s’est finalement révélée défavorable à X. Un rapport de la Commission judiciaire de la Chambre des représentants des États-Unis (House Judiciary Committee) avait pourtant lui aussi dénoncé l’influence de la GARM sur les revenus publicitaires de Twitter en juin 2025.

Dans son jugement rendu le 26 mars 2026 (PDF), la juge Jane Boyle a en effet statué que X n’avait pas apporté la preuve d’un quelconque préjudice pouvant être imputé à une action concertée des agences de publicité. Dit autrement, si les annonceurs se sont détournés de X, c’est de leur propre chef, a estimé la juge.

Toujours très prolixe sur son réseau social, Elon Musk n’a pour l’instant pas commenté l’annonce de cet accord qui lui permet finalement d’obtenir gain de cause, même si c’est de façon indirecte.

La FTC indique que Omnicom et IPG, les deux grandes agences états-uniennes d’achat média engagées dans un processus de fusion, devraient elle aussi signer cet accord. En juin 2025, l’autorité avait explicitement (PDF) conditionné son accord au projet de fusion à un assouplissement des règles en matière de brand safety.

Qui moderera le modérateur ?

Un vaste réseau d’escroquerie notamment financé via des cryptomonnaies continue de sévir sur Telegram, quand bien même le gouvernement britannique l’a sanctionné mi-mars.

Depuis plus de trois ans, un vaste marché noir nommé Xinbi Guarantee prospère sur Telegram. L’essentiel des services qui y sont vendus ? Du blanchiment d’argent, des escroqueries aux cryptoactifs, des armes potentiellement utilisées pour les opérations de trafic d’êtres humains de ces mêmes escrocs, de la prostitution de mineurs…

Connu depuis plusieurs années des experts en cybersécurité, sanctionné en mars par le gouvernement britannique, ce marché noir continue de prospérer sur l’application sociale et de messagerie de Pavel Durov. D’après Wired, depuis sa création, Xinbi Guarantee a permis de réaliser pour 21 milliards de dollars de transactions en langues chinoises. Depuis sa condamnation par le Royaume-Uni, il a notamment facilité 505 millions de dollars d’échanges. Pour autant, Telegram n’en modère pas les comptes principaux.

Sanctions britanniques

Que Telegram héberge des comptes problématiques n’est pas une nouveauté : des sociétés comme le spécialiste russe de la cybersécurité Kaspersky publient même des guides pour permettre aux internautes de rester en sécurité sur la plateforme, soulignant qu’elle est devenue un outil de choix pour les adeptes du phishing ou d’autres types de cyberdélinquances.

Dans le cas de Xinbi Guarantee, cela dit, l’ampleur du réseau et des transactions qu’il permet d’opérer ont poussé le ministère des Affaires étrangères britannique à sévir mi-mars. Dans un communiqué, le gouvernement expliquait s’attaquer directement à la place de marché recourant aux cryptoactifs pour lutter contre les trafics d’êtres humains, mais aussi protéger les victimes constatées et potentielles contre la revente de leurs données.

Cette décision était prise dans le cadre d’une action plus large contre les propriétaires et opérateurs d’un vaste centre d’arnaques nommé #8 Park et installé au Cambodge. Depuis plusieurs années, les Nations Unies et les forces de police de multiples États constatent l’augmentation des cas de phishing, d’arnaques sentimentales et d’autres types d’escroqueries opérées depuis des centres illégaux d’Asie du Sud-Est, par des personnes elles-mêmes privées de leurs droits.

• Asie du Sud-Est : des centaines de milliers de personnes forcées à réaliser des fraudes en ligne

Dans de précédentes tentatives de mettre fin à l’existence de Xinbi Guarantee, la place de marché dédiée à l’escroquerie s’est illustrée par sa capacité à déployer ses propres outils, et notamment son propre système de paiement, XinbiPay.

Dans le cas présent, le Royaume-Uni annonçait concrètement isoler Xinbi Guarantee et ses outils de « l’écosystème crypto légitime, perturbant nettement ses activités en affectant sa capacité à effectuer des transactions. BYEX, une autre plateforme de cryptomonnaies qui avait été utilisée pour blanchir les profits issus d’escroqueries, a fermé ses portes à la suite des sanctions britanniques l’année dernière. »

Telegram comme infrastructure d’échanges

Pour autant, une large part des échanges passe par une plateforme grand public dont les conditions d’utilisation devraient théoriquement justifier la modération. La politique de Telegram interdit en effet de recourir à ses services pour « spammer ou escroquer les utilisateurs » et « réaliser des activités reconnues illégales dans la majorité des pays. Ceci inclut les agressions sexuelles sur mineurs, la vente ou l’offre de biens et de services illégaux, etc. »

Trois semaines après la décision britannique, la plateforme n’a cela dit toujours pas bloqué les principaux comptes gérant le fonctionnement de Xinbi Guarantee. « Ça me dépasse. Il n’y a littéralement aucune entreprise légitime au monde qui accueille ce niveau d’activité criminelle et qui l’affiche si ouvertement », explique à Wired le chercheur en cybersécurité Gary Warner.

• Birmanie : 100 000 personnes potentiellement forcées d’opérer des arnaques en ligne

Cette décision est d’autant plus difficile à comprendre que la plateforme a suspendu Xinbi Guarantee quelque temps au printemps 2025. En juin, après l’avoir laissé se déployer à nouveau sur ses outils, l’entreprise a justifié son choix de laisser la place de marché – et la multitude d’autres groupes qui orchestrent eux aussi de vastes réseaux d’escroqueries et de trafics – au motif qu’ils permettraient aux citoyens chinois « de trouver des circuits alternatifs pour déplacer des fonds à l’international », une description qui passe sous silence l’ampleur et la gravité des activités échangées via ces hubs d’escroquerie.

Ce refus d’agir résonne par ailleurs avec l’absence d’actions de Telegram sur d’autres thématiques théoriquement interdites par ses propres règles d’utilisation. Début avril, l’ONG AI Forensics pointait la persistance de vastes groupes de diffusion d’images non consenties à caractère sexuel sur le réseau.

Le rapport appelait la Commission européenne à qualifier la plateforme de « Très grande plateforme en ligne » au sens du règlement sur les services numériques (DSA), pour pouvoir le soumettre à de plus hautes exigences de gestion des risques. Le lendemain, Pavel Durov répondait en recourant à des ressorts typiquement complotistes et présentait la régulation européenne comme une forme de censure.

• Diffusions d’images sexuelles : Pavel Durov accuse l’État profond, Soros et les médias

Le braco tourne à l'avantage de Take-Two

Take-Two peut remercier les hackers. Des données confidentielles du studio Rockstar, filiale de l’éditeur, ont fuité suite à une cyberattaque à quelques mois du lancement de GTA 6. Ces informations rendues publiques ont donné un coup d’accélérateur à l’action du groupe.

Rockstar, qui met actuellement la dernière touche à GTA 6 avant son lancement très attendu le 19 novembre, a été victime d’une fuite de données confirmée le 11 avril par l’entreprise. Le groupe de pirates ShinyHunters a obtenu l’accès à des serveurs opérés par Snowflake, via une faille du service de détection d’anomalies dans le cloud Anodot. Les hackers en ont profité pour mettre la main sur un maximum de données confidentielles.

13 ans plus tard, GTA Online rapporte toujours autant

Les pirates ont laissé jusqu’au 14 avril à Rockstar pour payer une rançon, avant que les informations en question soient mises en ligne et accessibles au public. Le studio a reconnu qu’une « quantité limitée d’informations internes non sensibles » avaient été « consultées ». Un incident qui n’a « aucun impact sur notre organisation ni sur nos joueurs ». 

Manifestement, aucune rançon n’a été versée, puisque ces données ont été livrées en pâture sur le site de ShinyHunters. Certains pouvaient peut-être espérer des informations juteuses et inédites sur le prochain volet de GTA, mais comme les hackers l’avaient annoncé, il s’agit surtout d’analyses utilisées pour surveiller les services en ligne des jeux Rockstar (Grand Theft Auto Online et Red Dead Online) : indicateurs de revenus et de ventes, éléments de suivi du comportement des joueurs, infos sur l’économie des jeux, tests de modèles anti-triche.

Rien qui ne vende du rêve, mais des informations tout de même très intéressantes du point de vue financier. Kotaku a compilé les principales révélations de ces fuites et surprise : les jeux Rockstar rapportent beaucoup d’argent ! On apprend ainsi que GTA Online a engrangé près de 500 millions de dollars entre septembre 2025 et avril 2026, soit en moyenne 9,6 millions de dollars par semaine. Pas si mal pour un jeu sorti en 2013… Le studio apporte régulièrement du contenu frais pour occuper les joueurs (et leur vendre toutes sortes de babioles).

Comme tous les jeux service, la bonne fortune de GTA Online repose sur une poignée de joueurs fortunés : 4 % seulement de l’ensemble des joueurs dépensent de l’argent dans le jeu.

Take-Two ramasse la mise

Red Dead Online fait figure de tout petit Poucet à côté, avec 26,4 millions de dollars sur la même période (507 000 dollars par semaine en moyenne). La version en ligne de Red Dead Redemption bénéficie de beaucoup moins d’attention de la part de Rockstar qui se contente du service minimum, principalement de la maintenance technique.

Autre enseignement : les joueurs PS5 sont surreprésentés dans GTA Online. On en dénombre environ 3,4 millions d’actifs chaque semaine, qui rapportent 4,5 millions de dollars. Derrière, ce sont les joueurs Xbox Series X qui dépensent le plus (1,9 million), même s’ils sont moins nombreux (1,1 million) que les joueurs PS4 (1,9 million). Ces derniers dépensent un peu moins d’1 million par semaine. La Xbox One suit avec 1 million de joueurs pour 920 000 dollars. Les quelque 900 000 joueurs PC sont bons derniers avec 260 000 dollars seulement. On comprend mieux pourquoi Take-Two, l’éditeur de Rockstar, n’est pas pressé d’annoncer une version PC de GTA 6.

Toutes ces informations n’auraient jamais dû fuiter évidemment, mais Take-Two ne s’en plaindra probablement pas : le cours de l’action du groupe a en effet grimpé de près de 5 % suite à la divulgation de ces données… Les investisseurs ont sans doute apprécié à leur juste valeur la bonne santé de GTA Online et parié que la (probable) déclinaison en ligne de GTA 6 s’annonçait tout aussi fructueuse.

A feature, not a bug

Microsoft pensait avoir réglé tous les problèmes de Recall, mais peut-être pas. Annoncée en juin 2024, la fonction IA de Windows 11 a subi pratiquement un an de retard pour boucher de sérieux trous de sécurité. Elle est de nouveau sous le feu des projecteurs suite à la découverte d’un chercheur.

Recall, alias « Retrouver », est une fonction des PC Copilot+ qui permet de remettre la main sur n’importe quel document, page web, application ou tout autre information, en piochant dans l’historique de l’utilisateur. Elle réalise des captures d’écran à intervalles réguliers (« quelques secondes », indique Microsoft). Avec l’aide de modèles IA, elle analyse ensuite les images pour en extraire toutes les données exploitables.

Un édifice sécuritaire aux pieds d’argile

La fonction devait être lancée en 2024, mais très rapidement Recall a été la cible de critiques de la part des défenseurs de la vie privée, mais aussi des chercheurs en sécurité. Microsoft a dû remettre l’ouvrage sur le métier et repartir de zéro. Le chantier a mis près d’un an pour être achevé.

• Microsoft retente sa chance avec sa fonction Recall, cette fois pour de bon

Microsoft a profondément revu l’architecture de sécurité de la fonction. Les données sont désormais stockées dans une enclave sécurisée, isolée du reste du système, et chiffrées de bout en bout. L’accès est conditionné par une authentification Windows Hello, censée empêcher tout logiciel malveillant de profiter de la session de l’utilisateur pour accéder aux informations. 

Recall n’est par ailleurs plus activé par défaut, et exclut de sa base de données des informations sensibles comme les identifiants bancaires. Tout n’est pas parfait pour autant. Alexander Hagenah, chercheur en sécurité, avait démontré avec son outil – baptisé… TotalRecall, évidemment – qu’il était très simple de récupérer des informations sur n’importe quel PC avec Recall première génération.

Il récidive avec TotalRecall Reloaded, disponible sur GitHub : cette nouvelle version montre qu’il est possible d’injecter du code (une bibliothèque DLL) dans AIXHost.exe, le processus Windows chargé d’afficher la chronologie de Recall. Le programme est en mesure d’accéder aux données déchiffrées (captures d’écran, texte extrait par OCR, métadonnées) au moment où elles sont manipulées par le système.

L’attaque ne nécessite pas de droits d’administrateur, ni d’exploitation complexe. Il suffit d’un simple logiciel pour intercepter ces informations, à condition toutefois qu’une authentification Windows Hello ait eu lieu au préalable (empreinte digitale, scan facial, code de déverrouillage). Pour le chercheur, le système de protection mis en place par Microsoft est « réel », mais il s’arrête trop tôt.

TotalRecall Reloaded est également en mesure de récupérer la dernière capture d’écran réalisée par Recall, cette fois sans passer par Windows Hello, ou même d’effacer complètement l’historique.

« Lorsque vous utilisez Recall normalement, TotalRecall Reloaded laisse discrètement la porte ouverte derrière vous, puis extrait tout ce que la fonction a enregistré. C’est précisément ce type de scénario que l’architecture de Microsoft est censée empêcher. »

Le problème ne vient pas de l’enclave, qualifiée de « solide », ni du modèle d’authentification. Pour Alexander Hagenah, « ce n’est pas le chiffrement, ni l’enclave, ni l’authentification qui posent problème, mais le fait que les données déchiffrées soient transmises à un processus non protégé ». Le souci, c’est que le système transmet les données de Recall au processus AIXHost.exe qui ne bénéficie pas du même niveau de sécurité.

Il n’y a pas de vulnérabilité, selon Microsoft

Alexander Hagenah a alerté Microsoft début mars, mais l’éditeur a fermé le dossier en expliquant qu’il ne s’agissait pas d’une vulnérabilité. « Après un examen approfondi, nous avons déterminé que les modes d’accès observés sont conformes aux protections prévues et aux contrôles existants », détaille l’éditeur à The Verge. Ces modes « ne constituent pas un contournement d’une barrière de sécurité ni un accès non autorisé aux données. » 

Microsoft ajoute que la période d’autorisation pour accéder aux données de Recall est limitée dans le temps et que le système intègre des protections contre les requêtes répétées. Mais pour le chercheur, le délai d’expiration est neutralisé, et surtout « [le] principal problème reste le fait qu’ils affirment, dans leur annonce officielle, que l’enclave empêche un “malware latent de se greffer” — ce qui n’est clairement pas le cas. »

Pour Microsoft, il s’agit d’un comportement normal de Windows : un logiciel avec les droits utilisateur, ce qui est le cas après une authentification, peut injecter du code dans un autre logiciel. C’est une souplesse qui peut se justifier pour des besoins légitimes, mais cela ouvre aussi la porte à des abus potentiels. Et la nature même de Recall, qui collecte un grand nombre de données, en fait une cible particulièrement attractive.

Recall pourrait cependant faire l’objet de nouveaux et profonds changements. La fonction, « dans sa forme actuelle, a échoué », auraient affirmé des sources internes en février dernier. Microsoft n’envisagerait pas un abandon, mais une évolution du concept.