Si vous n’étiez pas encore au courant, votre abonnement à Next vous donne droit à au moins 1 To (oui oui, 1 téraoctet, 1 000 Go) de stockage S3 pour réaliser les sauvegardes de votre choix sur une infrastructure hébergée en France et opérée par moji.

Nous avons eu l’occasion de présenter à plusieurs reprises ce bonus offert à nos abonnés : le 24 décembre dernier, lors de la mise en production du service (oui, ça aussi c’était rock ’n’ roll) sous forme de bêta fermée, puis début février à l’ouverture générale à tous les abonnés.

Il nous manquait cependant une page située à l’écart du rythme trépidant de notre flux d’actualité, pour centraliser les réponses à toutes les questions que vous pourriez vous poser au sujet de ce stockage. C’est désormais chose faite, avec la publication de notre FAQ dédiée au stockage Next, dont vous pouvez aussi retrouver le lien en pied de page.

Outre le relais de cette information d’intérêt public, cette brève est aussi l’occasion de recueillir vos retours. À la fois sur le service, puisque vous êtes déjà nombreux à l’exploiter (certains ne se sont pas fait prier pour remplir à 100 % les 3,2 To auxquels leur donne droit leur ancienneté), mais aussi sur cette foire aux questions, que l’on sera ravi d’amender ou de compléter en fonction de vos suggestions.

• Abonnez-vous à Next

Pendant une triste nuit, le long d'une route solitaire de campagne...

La Maison-Blanche exploite le nom de domaine « aliens.gov » pour renvoyer vers une page qui comptabilise le nombre d’arrestations réalisées par sa police de l’immigration. Sur fond de codes visuels inspirés de la pop culture SF, elle compare les immigrants arrêtés à des envahisseurs face auxquels un seul homme a eu le courage de se dresser.

La communication décomplexée – et xénophobe – de l’administration Trump a franchi un nouveau palier. Jeudi, la Maison-Blanche a commencé à exploiter le nom de domaine aliens.gov, qu’elle fait pointer sur une page de son site Web (whitehouse.gov/aliens/), dédié aux performances de sa police anti-immigration, l’ICE.

Particularité de ce site ? Il joue à fond la carte des codes issus de la science-fiction et des séries populaires type X-Files, en exploitant la double signification du terme aliens, qui en anglais peut aussi bien désigner les extra-terrestres que les étrangers (souvenez-vous de la chanson de Sting).

« Ils sont parmi nous »

« Ils sont parmi nous », attaque le site, qui charge ensuite au fur et à mesure un texte dont la graphie, le défilement et la narration rappelle délibérément l’introduction des films de la saga Star Wars, ou l’introduction de certaines séries SF comme les Envahisseurs :

« Des extraterrestres vivent parmi nous — dans nos quartiers, interagissant avec nous au quotidien. Ils fréquentent les mêmes magasins, partagent les mêmes salles de classe que nos enfants, et mènent des existences en apparence parfaitement humaines. À une exception près : ils n’ont rien à faire ici ».

La suite décrit comment tout le monde a protégé ce secret jusqu’à ce qu’un homme ait finalement « le courage de dire la vérité ». La chute rend hommage au héros de l’histoire :

« Le président Trump a été le premier à dénoncer le danger réel que représentent les aliens pour chaque famille américaine, chaque communauté et l’avenir de notre nation. La vérité n’est plus ailleurs. Elle est ici et maintenant. »

Des chiffres en vrac et sans contexte

Le site embraie ensuite sur une carte « live » des arrestations d’étrangers réalisées aux États-Unis par la police anti-immigration, surmontée d’un décompte qui affichait, le 29 mai vers midi, quelque 3,130 millions de « rencontres » (le terme file lui aussi la métaphore extraterrestre, comme dans Rencontres du troisième type), et s’incrémente d’environ une arrestation par seconde.

La page dispense ensuite un tableau qui comptabilise le nombre d’arrestations réalisées dans les principales villes des États-Unis. Deux colonnes très denses listent pour chacune les « charges criminelles » retenues contre ces immigrants, et leur pays d’origine.

Le tableau ne donne aucun détail sur la répartition exacte des charges ou des pays concernés : son objectif n’est manifestement pas de donner des éléments d’analyse, mais simplement de souligner l’importance des volumes.

« Si vous avez été témoin d’un enlèvement extraterrestre, ne vous inquiétez pas. L’extraterrestre est entre de bonnes mains. Nous allons nous en occuper… et le ramener sain et sauf d’où il vient », plaisante le texte, avant d’afficher un énorme bouton rouge incitant à la délation.

Un rebond opportuniste

Plusieurs internautes avaient remarqué ces derniers jours que la Maison-Blanche avait déposé les noms de domaine alien.gov et aliens.gov. Certains imaginaient que les sites associés pourraient servir à de nouvelles révélations, dans la lignée des images déclassifiées publiées début mai par le Pentagone. Hébergés à l’adresse war.gov/ufo, ces documents avaient alors été présentés par Donald Trump comme une réponse à l’opacité entretenue par les administrations précédentes sur des informations relevant de l’intérêt public.

L’exploitation du site aliens.gov à des fins de propagande anti-immigration apparait dans ce contexte comme un rebond opportuniste, de la part d’une Maison-Blanche qui n’hésite pas à utiliser les mèmes, la pop culture, le jeu vidéo et bien sûr l’intelligence artificielle générative pour servir son propos.

« Le président Trump a dit la vérité. Le camouflage est terminé. Sécurisez la frontière. Expulsez-les tous », conclut le site aliens.gov, avec une ultime référence issue de la saga Pokemon.

• https://next.ink/232334/flock-ils-sont-parmi-nous/

Un cookie ubiquitaire pas franchement digeste

Conçue comme un identifiant publicitaire alternatif aux cookies tiers, la technologie Utiq apparait aujourd’hui au niveau des bandeaux de consentement de nombreux médias et sites de marque. Bien qu’elle soit présentée comme un « simple » identifiant, son fonctionnement diffère radicalement de celui des cookies, notamment parce qu’elle crée un identifiant unique associé à la connexion à Internet. Quels sont les enjeux techniques et réglementaires associés à son fonctionnement, et comment se protéger d’éventuelles dérives ? Next fait le point.

Mise à jour, mardi 2 juin, 16 heures :

Contactée par Next, la direction d’Utiq nous a fourni différents éléments d’explication qui complètent et éclairent certains aspects du fonctionnement de cette technologie publicitaire. Elle défend dans le même temps le bien-fondé de son approche, et cherche à relativiser les craintes exprimées par les internautes quant au respect de leur vie privée.

Sur le Network Signal et les zones d’ombre associées : l’un des principaux reproches adressés à Utiq concerne le flou relatif qui entoure l’identifiant unique généré à partir de la connexion Internet de l’utilisateur, et la façon dont tous les appareils exploitant une même connexion peuvent être réconciliés au sein d’un même profil publicitaire.

« Une fois que le consentement utilisateur est établi, on récupère l’adresse IP de l’internaute et on l’associe aux plages d’adresses IP que nous ont fournies les opérateurs. Ensuite, un appel est émis vers l’opérateur, à qui on transmet cette adresse IP. De son côté, il associe cette adresse IP à un contrat d’utilisateur, et va simplement générer une valeur unique associée à ce contrat. Il va ensuite transformer cette valeur, par la méthode de son choix, hashing ou tokenisation par exemple, avant de la renvoyer à Utiq », explique Julien Delhommeau, COO d’Utiq.

Utiq déclenche ensuite, à partir de cette valeur retournée par l’opérateur, la création de son propre identifiant principal, le Consentpass, stocké sous forme de cookie sur le terminal de l’utilisateur. Tous les appareils sur lesquels le consentement à Utiq est donné au sein d’un même réseau local (Wi-Fi domestique par exemple) reçoivent donc la même valeur.

Sur le consentement par terminaux : ce fonctionnement ne signifie cependant pas que tous les appareils du foyer sont suivis dès qu’un consentement a été donné. « Si je suis en Wi-Fi sur mon ordinateur et que je consens à Utiq sur un site précis, l’identifiant associé à ma connexion va être généré, et cet identifiant sera stocké sur mon navigateur pour ce domaine-là. Mais si je passe sur mon téléphone, ou si ma femme se rend à la même adresse, le site ne la connait pas. On va donc à nouveau lui proposer le consentement. Si elle accepte, le processus est relancé et dans ce cas, on aboutit au même Consentpass, ce qui signifie que là, l’éditeur sera en mesure d’associer nos deux visites », décrit Julien Delhommeau.

Passer en navigation privée ou vider les cookies de son navigateur permet donc de réinitialiser le consentement au niveau de l’appareil concerné, contrairement à ce que nous écrivions vendredi, même si l’avertissement de la CNIL laisse entendre un risque à ce niveau.

Le fonctionnement d’Utiq offre cependant une forme de traçabilité qui n’existait pas avec les cookies tiers en cas de nouveau consentement. « Avec les cookies d’avant, le cookie était régénéré avec une valeur aléatoire jusqu’à la prochaine suppression. Dans le cas d’Utiq, si vous consentez à nouveau, vous êtes ré-identifié, puisqu’on va retomber sur le même identifiant de connexion, le profil reprend donc là où on l’avait laissé avant suppression », admet notre interlocuteur.

Sur les promesses de pseudonymat : Utiq réaffirme qu’aucune donnée liée au compte utilisateur chez l’opérateur n’est intégrée à son identifiant. Interrogée par nos soins sur les possibilités de croisement entre l’identifiant Utiq et d’autres sources de données à des fins de profilage plus avancé pouvant aboutir à une compromission du pseudonymat, l’entreprise ne nie pas le phénomène, mais elle estime que sa technologie protège au final mieux la vie privée de l’internaute que les cookies publicitaires traditionnels, stockés en clair.

Ce serait même la raison d’être des identifiants en cascade (Marktechpass, Adtechpass etc.) que nous décrivions dans notre article initial. « Nos identifiants sont envoyés chiffrés, avec un rafraichissement toutes les dix minutes pour l’Adtechpass, et il n’y a qu’une dizaine d’acteurs de l’adtech triés sur le volet qui sont capables de le déchiffrer pour faire la réconciliation entre les audiences de l’éditeur et celles de l’annonceur », affirme Julien Delhommeau.

Sur le consentement éclairé : Utiq est-elle consciente que le flou de certains des messages d’avertissement et la relative opacité de sa documentation technique participent à la suspicion des internautes ? Sur ce point, l’entreprise fait valoir qu’elle exige de ses éditeurs et partenaires une mention explicite de la technologie sur les bandeaux de consentement, souvent assortie d’une page d’information dédiée, et que cette pilule a déjà du mal à passer. Et rappelle sa plateforme centralisée de gestion du consentement, avec l’option de blocage pour un an, qui dépasse les exigences réglementaires. « Ce n’est pas une fonctionnalité obligatoire au regard du RGPD, c’est vraiment quelque chose qu’on apporte en plus pour donner du contrôle », estime le COO.

Publication initiale, vendredi 29 mai, 9h30 :

Longtemps considérés comme l’outil de référence pour assurer le suivi publicitaire d’un internaute entre différents sites, les cookies tiers sont fragilisés depuis plusieurs années par la multiplication des outils et mesures de blocage, déployées soit par les utilisateurs, soit par les éditeurs de navigateurs et d’OS. En réaction, l’industrie de la publicité planche depuis plusieurs années sur des mécaniques alternatives permettant de croiser les informations de navigation pour afficher à l’internaute des publicités ciblées en fonction de son comportement.

En 2023, plusieurs grands opérateurs européens, dont Orange, Deutsche Telekom ou Vodafone se sont associés au travers d’une coentreprise pour élaborer une solution dédiée, capable de concurrencer les GAFAM sur le terrain de la publicité. Leur grande idée ? Plutôt que d’identifier les internautes par l’intermédiaire de leur navigateur, d’essayer de prolonger la durée de vie des cookies tiers en passant par des redirections, ou d’explorer des méthodes basées sur l’email ou le numéro de téléphone, les FAI se proposent d’exploiter une information exclusive : la connexion à Internet, qu’elle soit fixe ou mobile.

Pour ce faire, ils ont élaboré une série de « différents identifiants marketing sécurisés », capables d’exploiter des informations en lien avec la connexion à Internet utilisée pour « représenter un individu ou un foyer ».

« Pour une connexion internet fixe (ex : Wi-Fi) les identifiants seront assignés au foyer (tous les membres du foyer ayant consentis se verront attribuer les mêmes identifiants) », explique Utiq. Sur mobile, le ciblage gagne en précision puisque les activités marketing seront le plus souvent « basées sur la navigation d’un seul individu ».

Sur AuFeminin, qui exploite Utiq, la technologie est présentée de la façon suivante sur le bandeau de consentement :

« Si vous acceptez et utilisez une connexion internet compatible (mobile ou fixe), nous, Reworld Media, utilisons des identifiants marketing fournis par Utiq pour nos activités numériques, telles que la personnalisation des publicités et du contenu, ainsi que pour l’analyse. Pour créer ces identifiants, Utiq travaille avec votre opérateur télécom. Ce dernier utilise pour cela votre adresse IP, ainsi que des données internes (ex. numéro téléphone), sans jamais les divulguer à Utiq. »

L’activation de cet identifiant est bien sûr conditionnée au consentement de l’utilisateur, comme l’exige le cadre réglementaire.

Un identifiant déterministe particulièrement résistant

Testée au travers de premières campagnes publicitaires courant 2024, la technologie qui en découle a depuis fait l’objet d’une adoption massive. Le consortium Utiq (opéré via une entreprise immatriculée en Belgique) revendiquait ainsi, en juin 2025, 26 opérateurs partenaires et, déjà, 55 millions d’identifiants uniques collectés. La dynamique semble s’accélérer : en février dernier, Utiq parlait de 36 opérateurs partenaires (dont les quatre principaux français), 330 éditeurs (voir la liste, qui réunit de nombreux groupes média français de premier plan), et 75 millions d’identifiants créés sur ses différents marchés, dont 40 millions en France.

Du point de vue des acteurs de la publicité, cet identifiant ne manque pas d’intérêt, au moins sur le papier. Un identifiant lié à la connexion à Internet, validé par l’opérateur qui la délivre (sur fixe comme sur mobile) constitue en effet un identifiant déterministe particulièrement solide.

Si un ordinateur exploite ma connexion à Internet résidentielle pour consulter un site, on sait avec un niveau de certitude élevé que la visite est réalisée par moi ou par l’un des membres de mon foyer. Bien sûr, je peux laisser un tiers se connecter à mon Wi-Fi, mais dans les faits, les visites comptabilisées depuis mon IP peuvent être attribuées à ma cellule familiale.

L’autre avantage, particulièrement par rapport aux cookies, réside dans la capacité à consolider les visites émanant de plusieurs appareils distincts. Téléphone, tablette, ordinateur pro ou perso, TV connectée, console de jeux… tous sont associés à la même adresse de connexion, alors que chacun d’entre eux génère ses propres cookies lors des sessions individuelles.

Enfin, cet identifiant « opérateur » résiste aux protections habituelles. Je peux vider le cache de mon navigateur, activer ses protections contre le pistage (régulièrement renforcées sur Firefox ou sur iOS), passer en navigation privée, ou utiliser un logiciel différent pour certaines recherches afin de camoufler mes traces, mais à moins que j’utilise des mécanismes dédiés (proxy ou VPN par exemple), mon adresse IP me suit tout au long de mes usages.

Pour garantir son efficacité, Utiq demande aux sites qui implémentent sa technologie de créer un sous-domaine (sous la forme utiq.marque.com) qui résout vers ses propres serveurs. De cette façon (on parle de CNAME cloaking), le navigateur perçoit une requête émise par le site cible et non par un domaine tierce partie, ce qui contourne les protections du navigateur.

À quoi ça sert ?

Pour illustrer l’intérêt de la démarche, disons que je cherche à acheter une voiture électrique. Pour ce faire, je me suis informé, depuis mon domicile, sur des médias spécialisés qui distribuent Utiq depuis mon téléphone, et j’ai regardé une émission auto via une application de ma TV exploitant elle aussi Utiq.

Quand le lendemain, j’utilise mon ordinateur pour me rendre sur le site de Renault (l’un des premiers annonceurs à avoir exploité la techno Utiq), ses outils marketing sont capables d’identifier que je suis un acheteur en puissance. Le constructeur va donc pouvoir affiner les messages commerciaux qu’il m’affiche, pour essayer de générer une vente.

Spider-Pig does whatever a Spider-Pig does

Anthropic fait désormais la course en tête. L’éditeur des modèles Claude a annoncé jeudi 28 mai avoir bouclé une levée de fonds de 65 milliards de dollars sur la base d’une valorisation fixée à 900 milliards de dollars, supérieure à celle affichée par OpenAI début avril lors de son dernier tour de table.

Anthropic remet le couvert, trois mois seulement après sa dernière levée de fonds. L’entreprise dirigée par Dario Amodei a annoncé jeudi avoir réuni 65 milliards de dollars d’argent frais, au cours d’un tour de table express.

L’entreprise indique avoir réalisé l’opération sur la base d’une valorisation de 900 milliards de dollars, qui se monte donc à 965 milliards de dollars à l’issue de l’opération.

La valorisation d’Anthropic dépasse celle d’OpenAI début avril

S’il est impressionnant en valeur absolue, le montant risque surtout de marquer les esprits parce qu’il dépasse celui qu’avait revendiqué OpenAI lors de sa dernière opération de financement : l’éditeur de ChatGPT avait en effet annoncé début avril un tour pharaonique à 122 milliards de dollars, sur la base d’une valorisation post-money de 852 milliards de dollars.

La communication d’Anthropic intègre toutefois une zone de flou : l’entreprise indique en effet que ces 65 milliards de dollars intègrent des engagements déjà formulés par certains hyperscalers, dont les 5 milliards de dollars promis par Amazon le 20 avril dernier, quand les deux acteurs ont annoncé l’extension de leur partenariat stratégique.

Histoire d’enfoncer le clou, Anthropic avance un autre chiffre : son run rate, c’est à dire la projection de chiffre d’affaires annuel estimée à partir de ses revenus actuels, se monterait désormais à 47 milliards de dollars.

Bien que cet indicateur soit sujet à caution (il s’agit d’une projection calculée sur des revenus à l’instant T et non d’un réalisé sur une période donnée), il témoigne lui aussi d’une accélération fracassante. Anthropic affirmait en effet avoir dépassé les 30 milliards de run rate début avril, ce qui signifie que l’activité de l’entreprise aurait progressé de quelque 50 % en seulement deux mois !

Le tour de table associe une longue liste de fonds d’investissement (dont les usual suspects de la Silicon Valley), mais aussi les trois principaux producteurs de mémoire au monde, avec des participations dont le montant n’a pas été précisé : Samsung, Micron et SK hynix. Une forme de renvoi d’ascenseur peut-être, pour ces industriels dont la valorisation boursière bat actuellement tous les records, précisément en raison de la course à l’IA.

De quoi alimenter la course aux infrastructures

« Ce financement nous permettra de répondre à la demande historique que nous connaissons, de rester à la pointe de la recherche et d’amener Claude sur davantage de lieux où le travail se déroule », commente sans plus de précision Krishna Rao, directeur financier d’Anthropic. L’entreprise profite de l’occasion pour lancer Claude Opus 4.8, la dernière version de son modèle haut de gamme.

Cette manne devrait permettre à Anthropic de redoubler d’appétits en matière d’infrastructure, quitte à réserver des capacités qui n’existent pas encore. Outre Amazon, l’entreprise a déjà signé et doit donc honorer de grands contrats prévisionnels avec Google et Broadcom. Elle a également formalisé un accord avec SpaceX, à qui elle loue les ressources des datacenters Colossus. Les documents préparatoires à l’entrée en bourse de l’entreprise d’Elon Musk ont récemment révélé que cet accord prévoyait le versement de 1,9 milliard de dollars par mois.

OpenAI, à qui les rumeurs prêtent l’intention d’abandonner la course aux levées de fonds pour s’introduire en bourse, était jusqu’ici considérée comme la première startup de l’IA à pouvoir prétendre à une valorisation supérieure à 1 000 milliards de dollars.

De l'or en barre(ttes mémoire)

L’américain Micron et le sud-coréen SK hynix ont tous deux vu leur capitalisation boursière dépasser cette semaine le seuil symbolique des 1 000 milliards de dollars. La valeur du premier a ainsi été multipliée par huit en un an, tandis que celle du second a progressé d’un facteur dix.

Si l’on était de vils spéculateurs, on conclurait qu’à défaut d’avoir pu trouver à bon prix des barrettes de mémoire pour nos machines, il aurait sans doute mieux valu acquérir des actions des spécialistes du secteur. Leur valorisation atteint en effet des records sans précédents, marqués cette semaine par le double franchissement d’un seuil symbolique.

x10 en un an

Mercredi 26 mai, le sud-coréen SK hynix a ainsi franchi pour la première fois la barre des 1 000 milliards de dollars de capitalisation boursière. La veille, c’est son concurrent états-unien Micron qui s’est enorgueilli d’avoir atteint, puis dépassé, ce même palier. Les récentes péripéties géopolitiques liées au détroit d’Ormuz n’ont pas entravé la croissance des deux titres, bien au contraire. Le cours de l’action Micron a ainsi gagné 18 % sur la seule journée du 25 mai, tandis qu’à la bourse de Séoul, le titre SK hynix s’est contenté d’une « modeste » progression de 13 %.

Sur douze mois, la hausse du cours s’établit à 800 % pour Micron, contre 1 000 % pour SK hynix. Des performances ahurissantes, qui traduisent bien sûr l’engouement des marchés pour le secteur de l’IA. Elles profitent également de la hausse générale des valeurs technologiques, mais dans des proportions sans commune mesure avec les autres acteurs du secteur. À titre de comparaison, l’action NVIDIA n’a progressé « que » de 60 % sur un an.

Le marché cyclique de la mémoire

Si la hausse est aussi élevée pour ces deux industriels très spécialisés, c’est d’abord peut-être parce qu’ils partaient de plus loin, ce qui s’explique en partie par le caractère cyclique du marché de la mémoire.

La mémoire (DRAM, mémoire vive, ou flash, pour le stockage) alterne en effet traditionnellement entre des périodes d’abondance, où l’offre dépasse largement la demande, et des moments de fortes tensions, pendant lesquels le phénomène inverse se produit. Ce cycle se traduit assez directement sur le prix public des composants associés : on a connu, avant la vague des investissements dans l’IA, un laps de temps assez long pendant lequel les barrettes de mémoire et les SSD s’échangeaient à des prix particulièrement abordables.

Cette abondance, qui tire les marges vers le bas et limite les perspectives de croissance, a sans doute tiré les valeurs des entreprises concernées vers le bas. « Les fabricants de puces mémoire ont été irrationnellement sous-évalués, mais nous constatons actuellement un redressement de leur écart de valorisation », estime ainsi Kang DaeKwun, directeur des investissements chez Life Asset Management à Séoul, cité par Bloomberg, selon qui le phénomène de rattrapage pourrait bien n’en être encore qu’à ses débuts.

L’offre peine à rattraper la demande

Les investissements programmés dans l’IA (700 milliards de dollars en 2026 pour le seul quatuor Microsoft, Meta, Amazon et Alphabet) suscitent en effet une demande en mémoires haut de gamme, notamment HBM (High-Bandwith Memory) que les industriels du secteur sont, d’après leurs propres déclarations, encore bien incapables de combler.

C’est d’ailleurs cette demande exacerbée qui a conduit Micron à annoncer l’arrêt de sa marque grand public Crucial, et à pronostiquer de fortes tensions sur la chaîne d’approvisionnement au moins jusqu’en 2028. Sans surprise, tous les nouveaux produits annoncés par Micron début 2026 concernent exclusivement le monde du datacenter et du calcul dédié à l’IA, notamment pour répondre à la demande impulsée par NVIDIA.

SK hynix poursuit de son côté des investissements massifs en direction de nouvelles lignes de production dédiées à la mémoire HBM, avec le soutien du gouvernement coréen, mais là aussi il faudra du temps pour que la production se mette au diapason de la demande.

Quid des craintes régulièrement exprimées d’une bulle de l’IA qui, si elle éclatait, donnerait sans doute un coup d’arrêt aux investissements pharaoniques promis dans le secteur ? L’inversion du rapport entre offre et demande pourrait déclencher un nouveau cycle baissier pour les valeurs liées à la mémoire.

• Le marché de la mémoire vive face au(x) mur(s) de l’IA

Mais en attendant, les analystes s’accordent à dire que le rallye haussier n’est pas terminé : UBS a ainsi revu à la hausse ses objectifs de cours et vise désormais 1 625 dollars pour l’action Micron, ce qui signifierait un nouveau x2 en matière de capitalisation.

Samsung entre bénéfices record et négociations salariales

Les résultats stratosphériques publiés par Samsung au premier trimestre participent sans doute à cet optimisme général. Le sud-coréen a annoncé début avril (PDF) un bénéfice opérationnel de 57 200 milliards de wons sur les trois premiers mois de 2026 (33 milliards d’euros environ), multiplié par huit en un an, essentiellement grâce à l’envolée des prix des semiconducteurs et notamment de la mémoire (flash ou DRAM) dont le conglomérat est le premier producteur mondial.

L’impact de l’IA sur l’activité globale est tel que le groupe (qui a lui aussi dépassé les 1 000 milliards de dollars de capitalisation en bourse courant mai) fait face depuis le début de l’année à un mouvement social sans précédent en Corée du Sud. Au paroxysme du mouvement, mi-mai, deux syndicats menaçaient notamment de mettre au vote une motion pour déclencher une grève de 18 jours susceptible d’être suivie par 48 000 salariés du groupe.

Mercredi 27 mai, Samsung et ces deux syndicats ont annoncé la validation d’un accord, approuvé par 74 % des 62 616 employés syndiqués votants, rapporte Reuters. Selon les termes de ce dernier, Samsung s’engage, entre autres revalorisations, à flécher 10,5 % des bénéfices générés par son activité semiconducteurs vers un bonus annuel spécial destiné aux employés des usines concernées.

78 000 personnes seraient concernées, avec la perspective d’un bonus annuel moyen de l’ordre de 290 000 euros, sur la base d’un bénéfice annuel attendu à 331 000 milliards de wons (190 milliards d’euros).

Mi-mai, le conseiller du président coréen Kim Yong-beom avait déclenché une vive polémique en imaginant, via un long texte publié sur Facebook, la création d’un fond national dédié à la redistribution de dividendes issus de l’économie liée à l’IA, sorte de prélude à un revenu universel. Le président Lee Jae-myung a pris la parole deux jours plus tard pour désamorcer la controverse, en expliquant que son conseiller ne parlait pas de redistribuer les super profits des entreprises de l’IA, mais le revenu fiscal excédentaire généré par ces dernières.

Polissez-le sans cesse, et le repolissez

Microsoft déploie depuis le 26 mai la mise à jour KB5089573 pour Windows 11. Entre autres nouveautés, elle intègre la possibilité d’utiliser deux périphériques audio Bluetooth à partir d’une même machine et optimise le fonctionnement de l’authentification Windows Hello. Elle promet également une amélioration globale de la réactivité du système, notamment au niveau du menu Démarrer, de la recherche et du centre de notifications.

Au milieu de très nombreux correctifs de sécurité livrés chaque mois à l’occasion du fameux Patch tuesday, Microsoft a pris le temps de finaliser la dernière mise à jour « qualité » dédiée à Windows 11. Estampillée KB5089573 et distribuée via Windows Update depuis le 26 mai pour les versions 24H2 et 25H2 du système, cet ensemble de modifications a vocation à introduire de nouvelles fonctionnalités, ou corriger certains dysfonctionnements liés à d’autres aspects que la pure sécurité.

Une promesse d’amélioration des performances système

Dans le lot des nouveautés annoncées, un point de détail fera plaisir à ceux qui regrettent que Windows 11 ait pris un peu d’embonpoint, jusqu’à perdre, parfois, en réactivité, notamment sur les configurations un peu modestes. Microsoft indique en effet, au chapitre des performances générales, que cette mise à jour « accélère le lancement de l’application et les expériences principales de l’interpréteur de commandes, telles que le menu Démarrer, la recherche et le Centre de notifications ».

Ce gain de performances attendu (dont la portée réelle reste à mesurer) risque cependant de ne pas être sensible dès l’installation de la mise à jour. Il figure en effet au chapitre des fonctionnalités faisant l’objet d’un déploiement progressif, ce qui signifie que Microsoft activera les changements associés sur le parc installé Windows 11 par vagues successives. Cette précaution (habituelle) vise à limiter l’impact d’éventuels bugs qui n’auraient pas été détectés sur la version de test déployée auprès des utilisateurs inscrits au canal Insider.

Du Bluetooth audio à deux sur une même machine

Microsoft profite de cette mise à jour pour introduire la prise en charge de l’audio partagé, via Bluetooth Audio LE. En pratique une option Audio partagé fait son apparition au niveau des paramètres rapides de la barre des tâches. Elle permet de sélectionner deux appareils Bluetooth jumelés et connectés, de façon à ce que le son joué par la machine soit diffusé sur deux périphériques distincts. Le volume peut ensuite être réglé de façon individuelle pour chaque appareil.

« Lors du partage, le flux audio partagé devient la sortie audio par défaut, et tous les autres périphériques d’entrée et de sortie audio Bluetooth sont désactivés. Pour l’enregistrement vocal et les appels, utilisez un microphone intégré ou connecté à votre ordinateur », décrit Microsoft. L’activation du Bluetooth audio partagé exige logiquement des périphériques compatibles avec la norme Bluetooth LE Audio, ratifiée en 2022 par le consortium dédié.

Loupe, gestionnaire des tâches, Windows Hello…

La mise à jour KB5089573 améliore également le fonctionnement de la fonction Loupe, utilisée à des fins d’accessibilité avec les lecteurs d’écran. Elle offre également une visibilité plus fine de l’utilisation des NPU au niveau du gestionnaire des tâches sur les machines qui en sont dotées. L’affichage de la vitesse du processeur dans l’onglet performances dudit gestionnaire est également plus précis, notamment en reprise après veille prolongée, indique Microsoft.

Même logique du côté du service d’authentification Windows Hello, qui propose désormais systématiquement par défaut la connexion biométrique (empreinte digitale ou reconnaissance faciale), même si l’utilisateur a choisi de se connecter via mot de passe lors de sa précédente session. La fonctionnalité Caméra (liée à l’utilisation de la webcam) s’ouvre quant à elle au multi-application, ce qui signifie que plusieurs logiciels peuvent en exploiter le flux de façon simultanée.

Outre la possibilité de personnaliser le nom du dossier utilisateur lors de l’installation de Windows, ou la mise à jour de la pile USB pour plus de fiabilité, notamment au niveau de la prise en charge des écrans, Microsoft promet enfin une amélioration de « la fiabilité de Windows sur les écrans de connexion et de verrouillage, dans Explorateur de fichiers, lors de l’utilisation de mouvements tactiles sur les appareils tactiles et lors de la modification des thèmes dans Paramètres. » On n’en attendait pas moins pour un système d’exploitation dont tous les bugs connus étaient censés avoir été corrigés !

De l'art délicat de la provocation

Publié le 13 mai sur Steam, le jeu Plantation Simulator proposait d’incarner un esclavagiste blanc chargé de fouetter ses esclaves noirs pour augmenter leur productivité. Les règles de la plateforme de Valve interdisent pourtant le contenu « manifestement offensant ». Face à la polémique naissante, l’auteur a remplacé les esclaves noirs par des femmes en bikini, avant d’annoncer qu’il retirerait de lui-même le jeu.

Apparu le 13 mai sur Steam, Plantation Simulator a végété pendant quelques jours dans l’anonymat des jeux de fond de catalogue, avant que son propos raciste ne suscite de premières réactions. Le jeu, affiché à 2,09 euros sur la version française du magasin de Valve, proposait en effet d’incarner un planteur blanc, qui doit fouetter ses esclaves noirs pour maximiser leur productivité. Mais attention : « si vous fouettez trop votre personne noire, elle mourra », décrivait la version originale de la fiche.

N’est pas South Park qui veut

Sur le web anglophone, le site The Outerhaven chronique le titre le 20 mai, sous forme d’un édito dénonçant le « type de jeux que l’industrie devrait rejeter ». La découverte est reprise le lendemain par BFM, qui interroge la ministre du numérique Anne Le Hénanff, et déclenche une réaction publique de cette dernière. « Quand des contenus aussi ignobles font l’apologie de l’esclavage et de la violence raciste, il n’y a pas d’ambiguïté : on dénonce, on signale et on saisit immédiatement les autorités compétentes », écrit-elle sur X, avant d’indiquer qu’un signalement Pharos a été effectué et que l’Arcom sera saisie.

À la manœuvre, on découvre un certain FzzyBzzy, qui n’en est pas à son premier coup en matière de provocation. Mi-mars, il publiait ainsi, toujours sur Steam, un jeu baptisé Crucifier, qui proposait cette fois d’incarner des soldats romains chargés de fouetter des Christs en croix pour leur faire gagner une course ou, déjà, améliorer leur productivité dans des champs.

Le 18 mai, l’intéressé se plaignait sur X que Crucifier n’ait suscité aucune réaction en dépit de son caractère éminemment provocateur, et commentait ironiquement le décollage de Plantation Simulator. « Je suis un peu déçu de voir à quel point le dernier jeu s’est bien vendu… Ça donne une mauvaise image de la société. Peut-être que je vis dans la pire des réalités alternatives, parce que je ne pense pas qu’à aucune autre époque je pourrais faire ça ».

Quelques jours plus tard, FzzyBzzy savoure probablement sa sortie de l’anonymat. Le 22 mai, il annonce ainsi, à grands renforts de tweets ironiques, avoir mis à jour Plantation Simulator : il ne s’agit plus maintenant de fouetter des esclaves noirs, mais d’envoyer des baisers à des femmes en bikini, en veillant tout de même à bien les garder enfermées. Dans une version intermédiaire, il avait gardé le concept original, mais simplement remplacé les noirs par des blancs.

« Plantation Simulator est un jeu de simulation agricole simple où vous motivez vos amis à récolter vos cultures à l’aide de baisers ! Entretenez une belle ferme en réparant les clôtures pour que vos amies restent concentrées. Choisissez parmi plusieurs cultures et améliorez vos installations pour maximiser votre succès ! », décrit désormais la fiche du jeu sur Steam.

Le 24 mai, il indique dans le hub de la communauté dédié au jeu qu’il a pris la décision de retirer le titre de Steam. « Nous pensons avoir dit tout ce qu’il y avait à dire. Nous avons vu les opportunités et nous les avons saisies :3 Nous contactons Steam pour qu’ils retirent le jeu de la boutique ! Nous ne savons pas quand ils pourront traiter notre demande, mais nous espérons que ce sera bientôt ! ».

Le jeu était toujours disponible à la vente mardi 26 mai au matin, associé à une réduction de 40 % sur son prix facial de 2,09 euros. D’après sa fiche SteamDB, le développeur peut sans doute s’enorgueillir de quelques milliers de ventes. Les évaluations laissées sur Steam sont quant à elles majoritairement négatives, même si quelques commentateurs réagissent favorablement à cette provocation manifeste. « Le meilleur troll jamais vu sur Steam. Tellement de racistes qui se dévoilent sur Steam. C’est à mourir de rire », écrit l’un d’eux.

Six jours après le début de la polémique et alors qu’une pétition adressée à Gabe Newell vient de voir le jour pour demander le retrait du jeu, silence radio du côté de Valve.

Valve peine à faire respecter ses propres règles

Les lignes de conduite de la plateforme Steam interdisent pourtant explicitement le « contenu ouvertement offensant ou publié dans l’intention de choquer ou de répugner le public ». Officiellement, elles condamnent aussi tout ce qui relève d’un « discours haineux, c’est-à-dire un discours qui encourage la haine, la violence ou la discrimination à l’encontre d’un groupe de personnes en se basant sur leur origine ethnique, leur religion, leur sexe, leur âge, leur handicap ou leur orientation sexuelle ».

En 2018, alors que le volume de nouveaux jeux publiés sur Steam augmentait dans des proportions significatives, la plateforme s’était engagée à nettoyer les écuries d’Augias en ciblant notamment les jeux relevant du troll pur et simple. « À l’heure où nous écrivons ceci, les trolls trouvent de nouvelles façons d’être détestables. Mais ce que ces personnes ont en commun, c’est que faire des efforts de bonne volonté pour réaliser et vendre vraiment des jeux à quelqu’un ne les intéresse pas. Quand les motivations d’un développeur ne sont pas celles-là, c’est probablement un troll. », écrivait Valve à l’époque. Huit ans plus tard, force est de constater que Steam a toujours du mal à ajuster les curseurs de sa modération.

Fin 2025, la plateforme avait refusé la publication de Horses, un « jeu » inspiré de l’expérience de Milgram, qui incitait le joueur à déclencher des actes de torture dignes d’un snuff movie. À la même période, Valve a été accusé d’avoir bloqué le jeu de carte Flick Solitaire de la version russe de Steam à la demande de Moscou, au motif que les visuels contenaient des éléments mettant en avant la culture queer. Au-delà de la validation, ou non, des jeux sur la plateforme, la modération de Steam est régulièrement critiquée sur les aspects communautaires de la plateforme, notamment au niveau des commentaires des joueurs et des systèmes de notation.

Bis repetita placent

L’assurance santé Alan a alerté samedi les adhérents de ses entreprises clientes d’une fuite de sécurité survenue au niveau d’Almerys, son prestataire de tiers-payant. L’incident est susceptible d’avoir exposé état civil, numéro de sécurité sociale et numéro de contrat de l’assureur. Alan assure cependant que ses propres systèmes sont intacts et que les données de paiement, mots de passe et informations de santé ne sont pas concernés.

Nouvelle affaire sensible en vue dans le monde de la santé : l’assurance Alan, auréolée de son statut de licorne et d’une récente levée de fonds de 100 millions d’euros, a commencé à signaler par email aux employés des entreprises clientes de ses services d’un incident de sécurité susceptible d’avoir exposé des données personnelles.

« Vendredi 22 mai, notre prestataire en charge du tiers-payant (Almerys) nous a informés d’un incident de sécurité ayant touché leur plateforme », indique l’assurance, qui a également publié une notice d’information sur son site.

État civil et numéros de sécurité sociale en fuite

L’incident en question a notamment exposé les données d’état-civil des adhérents (nom, prénom, date et rang de naissance), le numéro de sécurité sociale, le numéro de contrat, et les dates de début et de fin de couverture.

Les informations bancaires, informations de contact, mots de passe et informations de santé (notamment soins ou remboursements) ne sont en revanche pas concernées par l’incident et sont toujours en sécurité.

Alan affirme en revanche n’avoir subi aucune intrusion au niveau de ses propres systèmes. « Votre espace personnel Alan est toujours accessible et sécurisé depuis votre application, et la gestion de vos remboursements continue sans interruption d’activité », écrit l’entreprise.

Côté Almerys, la découverte de l’incident a motivé la coupure du site de prise en charge (destiné aux transmissions). « En conséquence, les professionnels de santé (optique, audio, hôpitaux) peuvent rencontrer des difficultés pour soumettre des demandes de prise en charge pour les affiliés Alan », avertit l’assurance.

À ce stade, Alan communique de façon préventive, expliquant ne pas avoir encore la liste détaillée des personnes ou comptes concernés par la fuite. En attendant une information individuelle plus précise, l’assurance santé appelle clients et adhérents à la vigilance, notamment face à des communications suspectes évoquant la santé ou se revendiquant d’établissements et organismes du secteur.

« Nous avons immédiatement notifié l’ACPR (autorité de régulation des assurances), et nous préparons également une notification à la Cnil », écrit Alan.

15 millions de numéros de sécu dans la nature ?

« L’incident serait dû à une intrusion frauduleuse sur le site de prise en charge d’Almerys », avance Alan. Le prestataire concerné n’a pas encore communiqué publiquement sur le sujet.

Cette alerte intervient deux jours après qu’un pirate a revendiqué une attaque réussie sur Almerys, et affirmé, le 21 mai dernier sur un forum spécialisé, proposer à la vente un fichier de 44 millions de lignes contenant notamment 15,45 millions de numéros de sécurité sociale uniques. « Souvent, tous les membres d’une même famille sont liés à un seul numéro de sécurité sociale, ce qui permet un accès complet aux informations familiales », vante le pirate.

Rien ne permet toutefois à ce stade d’entériner la portée réelle de cette nouvelle exfiltration. On se souvient en effet que la plateforme a déjà connu un incident de sécurité majeur début 2024, en même temps que son homologue et concurrent Viamedis. Cette double fuite concernait à l’époque « plus de 33 millions de personnes » d’après la Cnil. L’affaire avait motivé l’ouverture d’une enquête par le parquet de Paris. Deux ans plus tard, ce nouvel incident dont la portée réelle reste encore inconnue confirme que la chaîne de gestion des données de santé éveille toujours les appétits délictueux…

Take-Two Interactive, maison mère de Rockstar, a rassuré aussi bien les joueurs que les investisseurs en confirmant, jeudi 21 mai, la date de sortie programmée du prochain opus de la série Grand Theft Auto. Sauf accident sur la dernière ligne droite, le très attendu GTA VI devrait ainsi venir à la rencontre de son public à compter du 19 novembre 2026.

Rappelons que Take-Two et Rockstar ont officiellement annoncé et présenté GTA VI fin 2023 au moyen d’un premier trailer. Le jeu était alors annoncé pour novembre 2025, un timing évidemment choisi pour capitaliser au maximum sur la période des fêtes de fin d’année. Le jeu a par la suite été repoussé à deux reprises, d’abord au mois de mai 2026, puis à l’automne, avec la date du 19 novembre 2026 déjà avancée en novembre dernier.

Que Rockstar maintienne cette date programmée à six mois de l’échéance est perçu comme un gage de confiance pour Take-Two, qui n’hésite pas à pronostiquer un impact significatif sur ses résultats financiers au cours des prochains trimestres.

« Nous sommes convaincus que l’exercice 2027 établira de nouveaux records de performance opérationnelle, grâce au lancement de Grand Theft Auto 6 le 19 novembre et à une excellente exécution de nos stratégies sur l’ensemble de notre portefeuille », écrit le CEO Strauss Zelnick dans le communiqué d’annonce des résultats financiers du groupe pour le quatrième trimestre de son exercice fiscal 2026 (clos au 31 mars dernier).

Pour son exercice 2026, Take-Two revendique 6,72 milliards de dollars de net bookings (réservations nettes, l’indicateur qui fait office de chiffre d’affaires dans le monde du jeu vidéo, où la distribution indirecte induit des décalages). Pour l’exercice 2027, qui couvre donc la période allant du 1er avril 2026 au 1er avril 2027, il envisage des net bookings compris entre 8 et 8,2 milliards de dollars.

Le calendrier des sorties des différents studios maison (Rockstar, 2K Games, Zynga) recèle d’autres titres à bon potentiel commercial (NBA 2K27 est par exemple attendu pour septembre 2026), mais le nouveau GTA devrait sans surprise constituer la principale locomotive de la croissance attendue. La série est en effet devenue une véritable vache à lait pour Rockstar et Take-Two.

GTA V, lancé en 2013 (tout de même !) comptabilise aujourd’hui 225 millions de ventes, indique Take-Two, et l’abonnement lancé en 2022 (Grand Theft Auto Online) continue à alimenter la machine. Les documents extraits des serveurs de Rockstar lors de l’attaque revendiquée par ShinyHunters, en avril dernier, avaient ainsi révélé que GTA Online a engrangé près de 500 millions de dollars entre septembre 2025 et avril 2026, soit en moyenne 9,6 millions de dollars par semaine.

Rockstar n’a pour l’instant pas communiqué sur l’éventuel abonnement qui pourrait être associé à GTA 6. La campagne marketing visant à préparer le lancement devrait débuter dans le courant de l’été.

Starlink a commencé à informer ses abonnés français d’une hausse de prix à venir sur le montant de ses abonnements, qui sera appliquée au 20 juin prochain. Elle se répercute également dès à présent sur les nouveaux clients.

Les trois forfaits résidentiels passent ainsi à respectivement 35, 45 et 65 euros par mois, alors que les offres refondues en mars dernier s’établissaient à 29, 39 et 59 euros par mois. Le mode veille, qui n’est plus proposé aux nouveaux clients, voit quant à lui son tarif doubler pour les abonnés existants, passant de 5 à 10 euros par mois.

« La forte demande pour Starlink reflète la valeur que les clients continuent d’accorder au service. Cette mise à jour permet de poursuivre les améliorations et les investissements dans des produits et services performants et accessibles, alors que les coûts opérationnels mondiaux continuent d’augmenter », justifie l’opérateur dans l’e-mail envoyé à ses clients existants.

La hausse ne concerne pas que la France. Aux États-Unis, les trois offres résidentielles voient elles aussi leur prix augmenter. Les trois paliers tarifaires en vigueur (50, 80, 120 dollars par mois) augmentent ainsi de 5 à 10 dollars pour s’établir à 55, 85 et 130 dollars par mois.

Cette hausse de prix intervient alors que SpaceX, maison mère de Starlink, vient de déposer le document d’enregistrement préalable à son introduction en bourse. Or ce dernier révèle que parmi les différentes composantes du nouvel ensemble constitué par SpaceX, xAI et X, l’activité Connectivité est la seule à afficher un compte d’exploitation positif, avec une rentabilité particulièrement élevée pour le secteur, sur la base d’un parc mondial de 10,3 millions de clients au 31 mars dernier. Difficile dans ce contexte de ne pas supposer que ces derniers sont mis à contribution pour enjoliver la mariée.

• Ce que révèlent les comptes de SpaceX à l’aube de son introduction en bourse

Plus rond, plus coloré, et plus facile à personnaliser : Firefox devrait faire l’objet d’une refonte d’interface dans le courant de l’année. Mozilla a donné un avant-goût de son travail de design en cours, surnommé projet Nova en interne, dans un billet daté du 21 mai : « Nous souhaitons offrir une base plus cohérente à Firefox : un navigateur plus épuré, plus convivial, plus rapide et plus adaptable ».

En pratique ? Les premières captures d’écran diffusées par Mozilla ne bouleversent pas l’expérience, mais elles montrent des onglets et des éléments d’interface aux bords arrondis. Le profil utilisateur et le menu Réglages sont déportés au niveau de la barre d’onglets, de façon à laisser plus de place à la barre d’adresses et aux raccourcis vers les extensions ou les fonctions embarquées, à l’image du récent VPN gratuit lancé par la fondation.

Mozilla promet par ailleurs que cette refonte simplifiera, d’un point de vue ergonomique, les options de navigation, de création de groupes, ou de vue partagée entre les différents onglets. Elle s’engage également à rétablir un mode compact. « On nous a dit que ça nous manquait, et on a écouté. Si vous voulez des commandes de navigateur aussi épurées que possible, [ce mode] est fait pour vous. »

Les réglages liés à la vie privée (options pour limiter le suivi publicitaire par exemple, dont vous ne risquez pas d’avoir besoin sur Next ;-)) devraient également être clarifiés. Mozilla annonce enfin de nouvelles options de personnalisation graphiques : thèmes, fonds d’écran, choix de couleur sur les éléments d’interface notamment.

L’effort se porte dans un premier temps sur la version desktop du navigateur, mais Firefox mobile devrait également à terme voir son design harmonisé avec ces nouveaux préceptes. Les plus curieux pourront tester l’interface Nova en conditions réelles en activant le paramètre browser.nova.enabled au sein d’une des dernières Nightly (versions de test potentiellement instables) du navigateur.

Parmi les alternatives disponibles sur le marché, Vivaldi vient de passer en version 8.0 avec là aussi un travail réalisé sur l’interface et la personnalisation.

Comme lors du précédent changement de version, c’est autour de l’interface que se concentrent les nouveautés de Vivaldi 8.0, publié jeudi 21 mai par l’éditeur norvégien. Il en parle comme de sa « plus grande refonte de design à ce jour » et promet des éléments désormais « unifiés » au sein d’un même ensemble plus lisse.

« Nous avons abordé l’interface de Vivaldi moins comme une collection de composants que comme un système en couches. Auparavant, ces couches (onglets, barres d’outils, panneaux et contenu) présentaient des séparations subtiles. C’était utile, mais aussi un peu fragmenté. Avec l’unification de l’interface, ces frontières sont supprimées », explique Jon von Tetzchner, CEO de Vivaldi, dans un billet d’annonce.

C’est au travers des nouveaux thèmes (au nombre de six, sans compter les contributions de la communauté) que s’incarne le mieux ce changement. L’habillage graphique englobe en effet l’intégralité des éléments d’interface, là où la version précédente laissait effectivement apparaître une forme de zonage, ou des démarcations, entre les éléments de navigation, les onglets, les actions contextuelles, etc.

« Les fonds d’écran ressemblent moins à de la décoration qu’à une partie de l’environnement, surtout lorsqu’ils sont combinés avec la translucidité et le flou. Du point de vue du système, cela réduit la complexité. Moins de couches, moins d’exceptions et une base plus cohérente sur laquelle s’appuyer », fait remarquer Jon von Tetzchner.

Cette dimension liée à la personnalisation transparait également dans les nouvelles options d’agencement proposées au premier lancement du navigateur puis accessibles depuis les options (Réglages / Apparence / Dispositions prédéfinies). L’utilisateur se voit ainsi proposer six configurations par défaut qui régissent l’emplacement des onglets et de la barre d’adresse, ainsi qu’un mode « Masquage automatique » qui fait disparaître les éléments d’interface dès que la souris les quitte pour obtenir un rendu plein écran. Sur le plan fonctionnel, Vivaldi conserve sans surprise toutes les options de gestion des onglets qui font son succès.

Vivaldi 8.0 est dès à présent disponible au téléchargement pour Windows, MacOS et Linux. Les utilisateurs d’une version antérieure devraient rapidement basculer vers la nouvelle version si l’option de mise à jour automatique est activée dans leurs réglages.

Rocket is on the lanchpad

SpaceX a déposé mercredi le document préliminaire à son introduction en bourse, qui révèle pour la première fois les comptes de l’entreprise, à défaut de préciser la valorisation recherchée à l’issue de l’opération. Ces derniers soulignent l’extrême rentabilité de Starlink, mais aussi le poids croissant des investissements dans l’IA orchestrés au nom de X et xAI. Ils confirment enfin qu’Elon Musk prévoit de garder un contrôle total sur le groupe.

Cette fois, c’est la bonne : depuis son nouveau siège du Texas, SpaceX a déposé mercredi après-midi auprès du gendarme états-unien de la bourse le document d’enregistrement préalable à son introduction en bourse. Ce document, dit Form-S1, est important à double titre. D’abord, parce qu’il lève le voile sur les conditions prévues par SpaceX pour cette ouverture du capital aux marchés. Ensuite, parce qu’il permet d’enfin obtenir des éléments tangibles sur la santé financière de l’entreprise, son chiffre d’affaires et la rentabilité de ses différentes composantes.

Il manque toutefois une information parmi les plus importantes : les modalités exactes de l’introduction en bourse, la part de capital proposée aux investisseurs, et la valorisation envisagée par l’entreprise. Ce sont ces informations, pour l’instant laissées en blanc dans le S-1, qui permettront de déterminer la somme que SpaceX espère lever grâce à cette opération.

Elon Musk garde un contrôle total sur son entreprise

Une chose est sûre : Musk, connu pour être un véritable control freak, s’est assuré de garder la mainmise sur le devenir de SpaceX. Le capital de l’entreprise va, pour ce faire, être divisé en deux classes d’actions. Les actions de classe A, proposées au marché, donnent un droit de vote simple à leurs détenteurs, mais une part significative (non précisée) du capital sera dirigée vers des actions de classe B, qui donnent quant à elles dix votes par titre, mais aussi des droits supplémentaires pour tout ce qui touche à l’élection des membres du conseil d’administration de l’entreprise. Or Elon Musk sera le principal détenteur de ces actions « bonifiées », et détiendra dans les faits 85,1 % des droits de vote, contre 93 % avant l’opération. De ce fait, c’est toujours à lui que reviendra le pouvoir de décision (a minima tant qu’il conserve cette majorité), comme l’écrit explicitement SpaceX :

« En tant que détenteur de la majorité de nos actions ordinaires de catégorie B, M. Musk pourra élire, révoquer ou pourvoir à tout poste vacant parmi les administrateurs de catégorie B. De plus, tant qu’il détiendra plus de 50 % des droits de vote de nos actions ordinaires, M. Musk contrôlera le pouvoir de vote relatif à la sélection de notre conseil d’administration. Par conséquent, M. Musk aura le pouvoir d’influencer l’issue des décisions nécessitant l’approbation des actionnaires, notamment l’élection de tous nos administrateurs, et de contrôler nos activités et affaires. »

L’introduction en bourse va donc donner la possibilité aux investisseurs (particuliers mais surtout institutionnels) de s’exposer financièrement à SpaceX, mais sans contrôle direct.

Garde suisse

L’hébergeur suisse Infomaniak fait évoluer sa gouvernance en transférant la majorité de ses droits de vote à une fondation d’utilité publique. Le mouvement est présenté comme une façon de garantir l’indépendance de l’entreprise tout en lui donnant les moyens de se développer, y compris en accueillant de nouveaux investisseurs.

Actionnaire majoritaire historique d’Infomaniak, son fondateur Boris Siegenthaler a transféré le 13 mai dernier une part significative de ses droits de vote à une nouvelle instance : une fondation d’utilité publique à but non lucratif (statuts en PDF).

En pratique, la nouvelle fondation détient désormais 65 % des droits de vote liés à la gouvernance de l’entreprise, tandis que les 35 % restants sont conservés par le fondateur et 36 salariés actionnaires. La répartition précédente était de 75 % de droits de vote pour Boris Siegenthaler, et de 25 % pour les salariés.

Accueillir des investisseurs sans compromettre l’indépendance

« Avec la majorité des droits de vote, on contrôle une société. On peut tout changer. Tout défaire. Il fallait un point d’ancrage qui ne dépende plus d’une seule personne », explique l’entreprise dans un billet de blog dédié. Les droits de vote en question sont transférés sous la forme d’actions spéciales, non cessibles. Elles ne donnent en revanche aucun contrôle direct sur la marche opérationnelle de l’entreprise, qui reste pilotée par son équipe dirigeante actuelle.

Elles garantissent par ailleurs que la fondation reste majoritaire même en cas d’entrée de nouveaux investisseurs au capital. « Aucun investisseur, présent ou futur, ne pourra altérer l’ADN, la mission ou l’indépendance de l’entreprise. L’entreprise peut accélérer son développement et accueillir, en toute sécurité, les ressources nécessaires à sa croissance, sans jamais compromettre les engagements pris envers ses clients », affirme à ce niveau Infomaniak. La société annonce à ce niveau l’arrivée d’investisseurs « alignés sur ses valeurs » dans les prochains mois, « pour développer un cloud souverain à l’échelle européenne, dans un contexte où la souveraineté numérique est un enjeu stratégique ».

La fondation, qui bénéficie de certains avantages fiscaux selon le droit suisse, se finance quant à elle grâce à une participation susceptible de monter à 5 % des bénéfices de l’entreprise. Ses statuts prévoient qu’elle utilise ses moyens pour des projets de soutien au numérique éthique, à l’éducation, à la transition énergétique et à la protection de l’environnement.

Infomaniak présente cette évolution comme « un geste irrévocable et rare en Europe, qui place l’entreprise hors de portée de tout rachat et qui grave son ADN dans le marbre ». Son compatriote Proton avait défriché le sujet pour ses dix ans en 2024. En France, le groupe Pierre Fabre est l’un des pionniers de ce modèle de transmission vers une fondation actionnaire, également étudié par le rochelais Lea Nature. La démarche est en revanche inédite dans le monde du cloud.

• Infomaniak, nouvel acteur sur la scène des chatbots avec Euria

Is BitLocker the new TrueCrypt ?

Un chercheur indépendant a publié la preuve de concept d’une faille qui permet de lire le contenu d’un disque dur chiffré avec BitLocker à partir d’une simple clé USB. La vulnérabilité semble exploiter la façon dont l’environnement de récupération Windows lit les journaux de transaction NTFS d’un volume externe. L’auteur de la découverte y voit une démarche intentionnelle.

Baptisée YellowKey par son auteur, la faille est à la fois simple à mettre en oeuvre, puisqu’il suffit de disposer d’une clé USB piégée et d’un accès physique à la machine, et particulièrement problématique, puisqu’elle compromet BitLocker, le dispositif de chiffrement censé garantir la confidentialité des informations stockées sur les périphériques de stockage d’un environnement Windows.

Une faille présentée comme une porte dérobée

Mise en ligne le 12 mai dernier sur GitHub, la preuve de concept prend la forme d’un dossier « FsTx » à copier sur une clé USB. L’attaquant doit ensuite se tourner vers une machine Windows chiffrée via BitLocker, brancher la clé USB, puis démarrer en déclenchant l’environnement de récupération (WinRE). « Si vous avez tout fait correctement, un shell s’ouvrira avec un accès illimité au volume protégé par BitLocker », affirme l’auteur, qui se fait appeler Nightmare-Eclipse.

Via cette fenêtre en ligne de commandes (cmd.exe), le contenu du disque devient donc accessible sans qu’il ait été nécessaire d’entrer la clé de récupération BitLocker habituellement exigée au cours du processus. Plusieurs chercheurs en sécurité, dont Will Dormann et Kevin Beaumont, indiquent avoir réussi à reproduire la manœuvre. Ils confirment donc l’existence de la faille, même s’ils en relativisent certains aspects.

« Je viens de faire un petit test rapide et oui, ça fonctionne. En gros, BitLocker possède une porte dérobée », résume notamment Kevin Beaumont sur Mastodon. Nightmare-Eclipse souscrit aussi à l’hypothèse de la porte dérobée (backdoor) dans le Readme de sa preuve de concept :

« Pourquoi dirais-je qu’il s’agit d’une porte dérobée ? Le composant responsable de ce bug est introuvable (même sur Internet) sauf dans l’image WinRE. Ce qui est troublant, c’est que ce même composant, portant le même nom, est également présent dans une installation Windows normale, mais sans les fonctionnalités qui permettent de contourner BitLocker. Pourquoi ? Je ne vois aucune autre explication que celle d’une intention délibérée. »

L’actualité récente a sans doute de quoi étayer les théories du complot : l’information selon laquelle Microsoft pouvait transmettre aux autorités des clés BitLocker en réponse à une ordonnance judiciaire quand ces dernières étaient stockées sur ses serveurs a par exemple refait surface en début d’année. Ici, la faille ne fonctionne que si les clés sont stockées localement, au niveau de la puce TPM (Trusted Platform Module). Cette porte dérobée serait-elle donc la solution trouvée par Microsoft pour circonvenir les utilisateurs qui ne font pas confiance au cloud ? Rien à ce stade ne permet de l’affirmer.

L’histoire de BitLocker, développé depuis 2004 et introduit deux ans plus tard avec Windows Vista, a révélé de nombreuses vulnérabilités au fil des années, dont un contournement présenté début 2025 et réalisé, là aussi, à partir d’une clé USB, même si la charge se révélait alors plus complexe que la preuve de concept YellowKey.

La sécurité de Windows entachée de plusieurs failles zero-day

Pour Will Dormann, la vulnérabilité pourrait être liée au mode transactionnel de NTFS, et à la façon dont ce dernier permet à un répertoire situé sur un support externe de modifier le contenu d’un autre volume lors de sa lecture.

Si son analyse se vérifiait, la faille ne signifierait pas nécessairement que le chiffrement dans le couple BitLocker / TPM est intrinsèquement défaillant, mais plutôt que Windows recèle un défaut compromettant l’intégrité de sa mise en œuvre. « Ce processus garantit (modulo les failles du TPM) que le disque ne sera déchiffrable que sur l’ordinateur d’origine exécutant le système d’exploitation d’origine. Il ne garantit cependant pas que ce dernier n’accordera pas ultérieurement un accès root à quiconque saisirait un « cheat code », ce qui est précisément le cas ici », estime un lecteur de Hackernews.

Sur un blog sous pseudonyme, l’auteur de la découverte corrobore que la direction est bonne sans entrer plus précisément dans les détails techniques. Il affirme aussi disposer d’une autre preuve de concept qui serait susceptible d’invalider les méthodes de protection évoquées par Dormann ou Beaumont dans leurs analyses, notamment le fait d’associer le chiffrement BitLocker à un code PIN.

Il témoigne par ailleurs d’un ressentiment certain à l’égard de Microsoft. D’après la description qu’il en fait dans son premier message public, ce ressentiment semble lié à la façon dont les équipes de l’éditeur ont réagi lors de la gestion d’une précédente faille de sécurité découverte par ses soins en avril dernier. Baptisée Bluehammer et elle aussi partagée sur GitHub, elle ciblait Windows Defender et permettait une élévation de privilèges sous Windows. « Microsoft a choisi d’aggraver la situation au lieu de la régler comme des adultes. Ils ont eu recours à toutes les manœuvres puériles possibles. Ma patience a des limites et vous faites payer tout le monde », écrit notamment Nightmare-Eclipse, qui promet par ailleurs disposer de munitions supplémentaires dans sa vendetta contre l’éditeur.

La publication de YellowKey s’est d’ailleurs accompagnée de celle d’un autre exploit, GreenPlasma, puis de la découverte fortuite de MiniPlasma, une zero-day d’autant plus embarrassante qu’elle reprend les termes d’une vulnérabilité mise au jour en 2020 par James Forshaw du Google Project Zero (qui pour l’anecdote s’était déjà illustré dans la découverte des vulnérabilités de TrueCrypt il y a dix ans). « Après enquête, il s’avère que le même problème signalé à Microsoft par Google Project Zero est toujours présent, et non corrigé », affirme Nightmare-Eclipse.

Microsoft, qui vient de livrer sa traditionnelle fournée mensuelle de correctifs de sécurité à l’occasion du patch tuesday, n’a pour l’instant pas réagi publiquement à ces failles.

Sony a annoncé lundi une hausse de prix imminente pour les versions 1 mois et 3 mois de l’abonnement PlayStation Plus. Mise en œuvre à partir du 20 mai, la hausse épargne temporairement les joueurs déjà abonnés : elle ne concerne que les nouveaux souscripteurs, sauf en Inde et en Turquie, « à moins que l’abonnement existant ne soit modifié ou ne prenne fin ».

Décidée « en raison des conditions actuelles du marché », sans plus de précisions, la hausse fait passer l’abonnement PlayStation Plus 1 mois de 8,99 à 9,99 euros (+ 11,12 %), tandis que l’abonnement 3 mois prend trois euros et passe donc de 24,99 à 27,99 euros (+ 12 %).

Signalée par l’intermédiaire d’un message sur X, la hausse ne semble pas concerner à ce stade la formule 12 mois, facturée 71,99 euros. Cela laisse supposer une volonté d’entraîner les joueurs vers la formule de longue durée, qui garantit un revenu immédiat plus important, même si elle diminue le chiffre d’affaires potentiel sur la durée en cas de rétention.

Rappelons que Sony a augmenté fin mars de 100 euros le prix des différentes versions de la PS5, là encore au nom des conditions de marché.

Plus laconique, tu meurs : un communiqué commun signé des quatre principaux opérateurs téléphoniques français a annoncé vendredi le report de la date de fin attendue pour les négociations liées au rachat de SFR par ses trois concurrents.

« Le groupe Altice France avait accordé au consortium une période d’exclusivité initiale jusqu’au 15 mai 2026. Les parties poursuivent leurs discussions constructives et, dans ce contexte, Altice France a accepté de prolonger la période d’exclusivité jusqu’au 5 juin 2026. »

Ces trois semaines supplémentaires doivent donc permettre à Bouygues Telecom, Free et Orange de finaliser le montage de la proposition formulée à Patrick Drahi et à son groupe, Altice. Les négociations restent à ce stade engagées sur la base du montant formulé par les trois acquéreurs potentiels le 17 avril dernier, à savoir 20,35 milliards d’euros pour le rachat de l’essentiel des actifs liés à SFR et Altice France.

La construction du montage en question serait ralentie par sa « complexité juridique folle », indique au Monde une source proche du dossier.

Rappelons que selon les termes de l’offre formulée le 17 avril, la répartition du prix et de la valeur globale de l’opération serait de l’ordre de 42% pour Bouygues Telecom, 31% pour Free et 27% pour Orange.

Dans le détail, les trois opérateurs se partageraient les activités et la clientèle grand public (dite B2C). Bouygues Telecom mettrait la main sur tout le volet entreprise (dit B2B). Enfin, « les autres actifs et ressources (notamment les infrastructures et les fréquences) seraient partagés entre Bouygues Telecom, Free-Groupe iliad et Orange, à l’exception du réseau mobile de SFR en zone non dense qui serait repris par Bouygues Telecom ».

En cas d’accord au terme de la période de négociations, la complexité de ce découpage induirait une période de transition pendant laquelle la structure SFR pourrait perdurer, sous gouvernance de ses trois nouveaux propriétaires, avant démantèlement effectif.

Hasard du calendrier, c’est également vendredi 15 mai que le fournisseur d’accès à Internet associatif Franciliens.net a formulé sa propre proposition relative à l’avenir de SFR, associée à une offre de rachat pour l’euro symbolique.

« Le point premier de notre projet est de mettre en œuvre des évolutions de la forme juridique de l’entreprise pour faire une place de premier plan dans les instances dirigeantes de l’opérateur à ses salariés, afin qu’ils et elles puissent devenir acteur des choix stratégiques », clame le FAI citoyen qui en appelle à la droiture de l’actuel propriétaire de SFR :

« Nous affirmons que si le succès de Patrick Drahi tel qu’évoqué par les journaux et les magazines est bien vrai, les montants de la vente de SFR ne lui sont pas nécessaires, et que la seule chose qui reste à conquérir pour un homme qui possède déjà une île dans les Caraïbes est la stature morale que l’acceptation de notre offre pourrait lui valoir. »

Protégé par les négociations exclusives déjà engagées, Altice France n’a pas (encore ?) répondu à cette nouvelle proposition.

• Vente de SFR : le poker menteur a débuté ! On vous explique tous les enjeux.

J’vais pas surfer aujourd’hui… j’ai l’impression que l’océan ne me veut pas

La récente participation de Peter Thiel au tour de table de la startup spécialisée Panthalassa relance l’intérêt autour de l’énergie houlomotrice pour alimenter des datacenters. Si l’idée d’exploiter cette nouvelle énergie renouvelable se révèle particulièrement séduisante sur le papier, sa mise en oeuvre à grande échelle soulève encore de nombreuses questions.

Il fallait bien s’attaquer à l’océan pour essayer d’étancher la soif inextinguible des datacenters en électricité. Panthalassa, une entreprise basée à Portland (Oregon) et constituée en 2016 sous forme d’entreprise à but lucratif, mais à mission (statut dit Public Benefit Corporation), a annoncé le 4 mai dernier avoir réuni 140 millions de dollars pour tester, dès 2026, un « nœud » de calcul informatique « autonome et flottant » dédié à de l’inférence IA.

Panthalassa, qui revendique une équipe d’ingénieurs venus d’horizons très variés, s’enorgueillit du soutien financier d’investisseurs en vue. Cette série B (deuxième levée de fonds après l’amorçage) est en effet emmenée par Peter Thiel (Palantir, entre autres), avec la participation de nombreux fonds en vue dans la Valley. D’après le Financial Times, l’opération valoriserait l’entreprise aux alentours de 1 milliard de dollars.

Un « node » plongé dans l’eau et connecté par satellite

Panthalassa compte déjà deux prototypes à son actif, Ocean-1 et Ocean-2, qui selon ses dires lui ont permis de valider la viabilité technique et financière de son modèle. L’entreprise, qui revendique 120 employés, a imaginé un dispositif baptisé « node » (noeud), qui prend la forme d’un bouchon flotteur d’environ 65 mètres de long et surmonté par une sphère d’environ 50 mètres de diamètre.

Au gré des vagues, l’eau sort de la colonne en suivant un circuit qui lui permet de faire tourner une turbine, laquelle produit de l’électricité. La sphère située au sommet fait office de réservoir tampon, pour garantir que la turbine tourne en continu, quelle que soit la période de la houle. L’air qu’elle contient assure quant à lui la flottaison de l’ensemble.

Jusqu’ici, l’entreprise utilisait ses prototypes comme des barrages flottants, reliés à la terre. Avec son prochain prototype, baptisé Ocean-3, elle ambitionne un fonctionnement autonome : la structure serait équipée de puces dédiées à l’inférence IA, directement alimentées par l’énergie houlomotrice, et refroidies par l’océan. Le tout serait doté d’un système de propulsion autonome (pour compenser la dérive liée aux courants) et d’une connexion satellite pour la transmission des données nécessaires aux calculs.

Une énergie à l’intermittence limitée

Outre son caractère encore inexploité, le principal intérêt de la houle serait son caractère peu intermittent. Garth Sheldon-Coulson, cofondateur, explique sur le site de l’un de ses investisseurs viser une production sensible 90 % du temps, contre 30 ou 40 % pour l’éolien et 25 % pour le photovoltaïque.

La mécanique mise en œuvre serait en outre relativement simple (similaire à une centrale à gaz pour ce qui est des matériaux et des coûts de fabrication). De ce fait, l’entreprise affirme pouvoir envisager un coût de production de l’ordre de 0,02 dollar du kWh, soit 20 dollars du MWh.

Panthalassa revendique de ce fait une énergie plus abordable que l’ensemble des sources de production courante, à commencer par les renouvelables. Le baromètre LCOE (Levelized cost of energy) de Lazard, qui fait partie des indicateurs courants dans le monde de l’investissement, confirme le principe général, puisque l’éolien est affiché à 37 dollars du MWh, contre 38 dollars du MWh pour le photovoltaïque. La comparaison suppose toutefois que Panthalassa tienne sa promesse, sans même parler du stockage nécessaire pour pallier le reliquat d’absence de production.

L’exploitation de tels systèmes autonomes en pleine mer (c’est-à-dire loin des côtes, indispensable pour bénéficier d’une houle quasi constante) soulève par ailleurs ses propres défis, dont la résolution risque de renchérir le coût de chaque unité de production, sans même parler des limites liées à l’exploitation en pleine mer de puces IA (latence, bande passante etc.). Bref, la partie n’est pas gagnée d’avance, ce qui n’empêche pas Panthalassa d’imaginer, déjà, parsemer les mers de ses nodes flottants.

« Pour un milliard de dollars environ, on peut construire une usine capable de produire un gigawatt de nœuds par an, expliquait Garth en juin 2025. La structure est d’une simplicité enfantine, et on peut produire ces unités en masse depuis une seule usine côtière, en fabriquant la même chose à l’infini, ce qui permet de réaliser des économies d’échelle considérables. »

Outre l’inférence, Panthalassa imagine également des débouchés dans la transformation d’énergie, notamment via la production d’hydrogène vert.

D’autres acteurs étudient la houle

Si les projecteurs médiatiques se braquent vers Panthalassa, qui surfe habilement sur la problématique des besoins en énergie associés à l’IA, l’entreprise n’est pas la seule à s’intéresser sérieusement à la houle. Le fonctionnement de son node n’est d’ailleurs pas radicalement différent des stations flottantes développées par la société suédoise CorPower Ocean, dont les financeurs ne viennent pas du monde de la tech, mais précisément de celui de l’énergie. L’entreprise a ainsi annoncé en juillet 2025 avoir sécurisé 118 millions d’euros auprès d’industriels du secteur, dont le français GTT (spécialisé dans le transport naval et le confinement de gaz naturel liquéfié).

Elle aussi s’attend à surfer pleinement sur la vague de l’énergie houlomotrice grâce à ses premiers prototypes déployés au large du Portugal, et de premiers engagements commerciaux passés au Royaume-Uni pour une unité test de 5 MW. Sur son site, l’entreprise estime le potentiel houlomoteur à quelque 1,8 TW d’énergie renouvelable.

Plus modestement, les Bordelais se souviennent peut-être d’avoir observé, il y a quelques années, une petite installation chargée de produire de l’électricité à partir du courant de la Garonne. Élaborée par l’entreprise Seaturns, elle aussi préfigurait des installations houlomotrices de plus forte puissance qui, là aussi, prennent le chemin de l’industrialisation.

En mars dernier, la société girondine a ainsi annoncé avoir remporté un appel à projets pilote porté par Maurice, qui va lui permettre de déployer un parc de 2 MW de générateurs alimentés par les vagues, en attendant un autre démonstrateur prévu à Bordeaux. Son dispositif adopte un fonctionnement différent, puisqu’il repose sur un cylindre horizontal ayant vocation, au moins pour l’instant, à être raccordé au réseau terrestre.

Au-delà de la simple production d’énergie, plusieurs acteurs de premier plan, aux États-Unis comme en Chine, rêvent d’immerger leurs datacenters, à défaut de les envoyer dans l’espace…

• https://next.ink/207532/les-datacenters-colonisent-les-fonds-marins-et-lespace/

Babyphone de Troie

Un Français a découvert début mars que le fournisseur chinois qui équipe des dizaines de modèles de caméras IP et babyphones vendus sur Amazon, Fnac, Cdiscount ou en marque blanche chez les opérateurs mobiles disposait d’un accès direct aux images de centaines de milliers d’appareils, au travers d’une infrastructure ouverte aux quatre vents. Deux mois plus tard, il publie l’ensemble de ses découvertes, qui dressent un tableau particulièrement inquiétant, et laissent supposer une utilisation à grande échelle des alertes émises par les caméras en question.

Quel meilleur cheval de Troie qu’un appareil dédié à la sécurité ? Le Français Sammy Azdoufal, développeur qui se présente comme spécialiste IA, a découvert début mars que plusieurs centaines de références de caméras IP, babyphones et autres accessoires dédiés à la surveillance domestique étaient susceptibles de présenter des failles béantes exposant les images capturées, et donc l’intimité des foyers concernés. En cause ? Une entreprise chinoise baptisée Meari, qui vend ses produits ou ses services principalement en marque blanche à des tiers.

Ces derniers distribuent ensuite les produits finaux concernés soit sous leurs propres couleurs, au travers notamment des places de marché de grands noms tels que Amazon, Fnac, Darty ou Cdiscount, mais aussi chez les opérateurs téléphoniques ou les acteurs de la télésurveillance, en marque blanche, à l’image du brésilien Intelbras.

Au total, le développeur affirme, liste à l’appui, avoir pu établir un lien direct entre Meari et 378 références distinctes de caméras, distribuées dans au moins 15 pays. Surtout, il explique à Next avoir pu directement compter plus de 1,1 million d’appareils vulnérables se connecter, en clair, aux serveurs de Meari, sur une simple période de 24 heures. « Si j’avais laissé tourner mon script une semaine, le volume d’appareils aurait sans doute été bien plus conséquent », estime-t-il.

Deux mois après sa découverte initiale, l’équipementier chinois est censé avoir sécurisé son backend, mais de nombreux comportements problématiques subsistent. « Disons que si j’avais un enfant, je n’achèterais pas une caméra équipée par Meari », résume Sammy Azdoufal.

Le précédent DJI

Si son nom vous dit quelque chose, c’est peut-être parce que l’intéressé n’en est pas à son coup d’essai. Mi-février, le développeur a eu les honneurs de la presse mondiale : il révèle avoir découvert de façon fortuite une faille de sécurité majeure affectant des milliers de robots aspirateurs DJI, alors qu’il bidouillait le sien pour voir s’il était possible de le commander à distance avec une manette de PS5.

Via cette porte dérobée, il devient en mesure de prendre le contrôle d’un robot aspirateur de son choix et donc d’accéder aux images que transmet le robot, simplement à l’aide de son numéro de série. Reproduite et racontée dans le détail par The Verge, sa découverte aboutit sur une conclusion effrayante : la prise de contrôle est possible parce que les robots de la marque communiquent en clair avec les serveurs MQTT de DJI, et que l’accès à ces derniers n’est pas dûment sécurisé.

Le 6 mars dernier, DJI a confirmé un problème de sécurité. Le constructeur a alors annoncé avoir corrigé une vulnérabilité au niveau de son infrastructure et évoqué, sans les nommer, la contribution de deux chercheurs indépendants. Sammy Azdoufal a de son côté indiqué avoir reçu la promesse d’un virement de 30 000 dollars dans le cadre du programme bug bounty de la marque.

Une application Android un peu trop bavarde

Ses travaux relatifs à Meari partent eux aussi d’une découverte fortuite, survenue le 2 mars dernier, avant même le dénouement de l’affaire DJI. « Je parlais de cette histoire d’aspirateur avec une collègue, elle m’explique qu’elle a acheté un babyphone sur Amazon, et se demande si c’est sûr de l’utiliser pour sa fille », nous raconte Sammy Azdoufal, contacté début mars. L’appareil fait partie des références premier prix vendues sur la plateforme.

Il ne dispose pas d’un environnement logiciel à ses couleurs mais fait appel à Cloudedge, une application « hub » dédiée aux objets connectés. En étudiant le code de l’application, le développeur découvre « plein de choses qui ne vont pas », dont des routes en clair vers des brokers MQTT : « J’essaie de me connecter pour voir, et là ça fonctionne ».

Avant d’aller plus loin, un petit point de vocabulaire s’impose peut-être. Dans le monde de l’Internet des objets (IoT), MQTT est un protocole de messagerie en étoile, qui sous-tend les échanges entre un serveur central (le broker MQTT dont il est question ici), et deux acteurs dont les rôles peuvent permuter : l’expéditeur (par exemple la caméra IP) et le destinataire (l’application mobile utilisée par son propriétaire). Quand votre caméra IP détecte un mouvement, elle envoie une alerte au broker MQTT, qui la relaie ensuite vers l’application mobile installée sur votre téléphone.

Dans le cas de l’application CloudEdge, nous avons pu vérifier début mars les affirmations de Sammy Azdoufal sur la base du client Android distribué via Google Play, et tout particulièrement la présence, en clair dans le code, d’une URL pointant vers la console d’administration du backend de Meari.

Le développeur pousse son investigation plus avant. « Après quelques tests, je me rends compte qu’ils ont laissé le mot de passe par défaut ». Une fois passée cette porte béante, « je réalise qu’il n’y a pas de vérification de la propriété par appareil, en m’abonnant à un broker je peux donc voir tout le monde ».

Dit autrement, une fois connecté au serveur, il est en mesure d’en observer l’activité, et par exemple d’y brancher le script grâce auquel il affirme avoir comptabilisé plus d’un million d’appareils connectés et donc vulnérables. Il indique également avoir pu accéder au CMS (l’outil de gestion du site Web) de Meari, utilisé notamment par les clients de l’entreprise pour gérer leurs propres flottes d’appareils ou leurs propres applications en marque blanche.

Errare microsoftum est

Microsoft prépare la mise en place d’une fonction intégrée à Windows Update capable de procéder à la récupération d’un pilote matériel si celui-ci n’offre pas le niveau de performances attendu. Cette récupération « initiée par le cloud » pourrait être déployée d’ici le mois de septembre.

S’il est indéniable que le processus des mises à jour de Windows 11 a souffert de quelques problèmes de contrôle qualité ces derniers mois, il faut reconnaître que les dysfonctionnements qui surviennent parfois lors d’une mise à jour ne sont pas toujours à mettre au crédit de Microsoft. Il n’est en effet pas rare que des problèmes de performance ou des plantages soient dus à la mise à jour d’un pilote matériel, dont la nouvelle version crée par exemple un conflit inédit sur la machine hôte.

On arguera légitimement que c’est précisément le rôle du contrôle qualité que d’éviter ces problèmes, mais nul n’étant infaillible, Microsoft vient d’annoncer la mise en place prochaine d’un dispositif automatisé de « récupération » de pilotes (recovery, soit une restauration vers une version fonctionnelle), initiée depuis ses serveurs, en cas de problème identifié pendant la phase de distribution d’une mise à jour.

Un retour à meilleure fortune déclenché à distance

Microsoft rappelle le fonctionnement du circuit de distribution actuel :

« Aujourd’hui, lorsqu’un pilote publié via Windows Update présente des problèmes de qualité après sa distribution, la solution repose soit sur le fournisseur de matériel qui soumet un pilote mis à jour, soit sur l’utilisateur final qui désinstalle manuellement le pilote problématique. Il en résulte un risque que des appareils restent avec un pilote de mauvaise qualité pendant une période prolongée ».

Le nouveau système vise à accélérer la réponse en cas de problème, et surtout à la rendre transparente pour l’utilisateur final.

« Grâce à la récupération de pilotes initiée par le cloud, Microsoft peut désormais déclencher une action de récupération directement depuis le centre de développement matériel et restaurer un pilote problématique à une version fonctionnelle antérieure via le pipeline Windows Update. Cette opération s’effectue par des mises à jour coordonnées de la pile de pilotes PnP [plug and play]et des services de déploiement et de publication des pilotes. »

Blocage préventif

Initiée par Microsoft, la récupération se fait donc soit sur la dernière version fonctionnelle, soit sur la meilleure alternative générique connue. Sur le papier, la réponse est élégante, mais son efficacité réelle va dépendre de la capacité de l’éditeur à détecter suffisamment tôt qu’un pilote dont le déploiement a été approuvé pose finalement des problèmes. C’est d’ailleurs tout l’objet du processus de déploiement progressif des pilotes et de ses différentes étapes de validation.

Microsoft explique par ailleurs introduire une protection supplémentaire au niveau de ce dispositif, avec la création d’une liste de blocage préventif des binaires ayant déjà posé des problèmes de fiabilité. « À l’avenir, si une soumission de signature contient un fichier figurant sur la liste de blocage de publication, elle sera rejetée avant la signature du pilote. Les partenaires recevront un message d’erreur identifiant le fichier problématique afin qu’ils puissent prendre les mesures correctives nécessaires », décrit l’éditeur.

La liste de blocage est censée entrer en vigueur courant mai 2026. La fonction de récupération de pilotes va quant à elle faire l’objet de tests entre mai et août, avant un déploiement programmé pour septembre 2026.

Rappelons que la fiabilité des pilotes sur Windows 11 est un sujet au long cours pour Microsoft. Il a notamment motivé le renforcement des conditions de validation WHCP (Windows Hardware Compatibility Program), un ménage dans les anciens pilotes, ainsi qu’une bascule encouragée (mais pas évidente) vers des pilotes écrits en Rust.