L'avenir en berne

En parallèle du sommet « Choose France », le gouvernement français revoit le budget du pays quelques mois après le déclenchement de la guerre en Iran par Donald Trump. La recherche, l’enseignement supérieur et les investissements d’avenir sont les secteurs les plus touchés.

Alors qu’en fin d’année 2025 (comme l’année d’avant) le gouvernement a eu de la peine à faire voter son budget 2026, Sébastien Lecornu prévoit de le raboter, par décrets. Et les coupes sont importantes : 954 millions d’euros de crédits de paiement sont prévus, dont une partie importante prélevée dans le budget alloué à la recherche et à l’enseignement supérieur, mais aussi les « investissements d’avenir ».

De fait, le ministre des Comptes publics, David Amiel, avait annoncé le 21 avril dernier 6 milliards d’euros d’économies pour compenser le coût de la guerre au Moyen-Orient déclenchée par Donald Trump.

Des annonces attendues par les parlementaires

Mais un mois après, les parlementaires n’avaient pas reçu d’information sur la façon dont ces économies allaient être réalisées. Pour mettre la pression sur le gouvernement, les sénateurs Claude Raynal (PS) et Jean-François Husson (LR) lui ont envoyé une lettre, selon Le Monde, dans laquelle ils lui ont demandé de leur faire parvenir « les mesures de redressement envisagées, avec leur répartition par ministère et par action de politique publique, ainsi que le mode opératoire envisagé : gels de crédits, décret d’avance ou d’annulation de crédits, loi de finances rectificative, etc. » avant le 1ᵉʳ juin, c’est-à-dire aujourd’hui.

Une partie devrait venir de l’abandon du projet du gouvernement d’augmenter les exonérations de cotisations patronales via un décret. L’enveloppe de compensation de ces exonérations, qui s’élève déjà à 74 milliards d’euros, ne sera finalement pas augmentée des 2 milliards supplémentaires prévus suite à la hausse du SMIC (+ 2,4 %).

Mais le gouvernement prévoit aussi de couper dans le budget de ses ministères. Il l’a finalement fait savoir aux parlementaires en transmettant ce jeudi 28 mai aux commissions des Finances deux projets de décrets qu’a pu obtenir Public Sénat.

En tout, il prévoit de revenir sur 954 millions d’euros de crédits de paiement. Au premier plan se trouve le budget de l’enseignement supérieur, de la recherche et de l’Espace.

139 millions d’euros de coupes budgétaires pour l’enseignement supérieur et la recherche

Ainsi, les projets de décrets signés par David Amiel prévoient pour l’un [PDF] 70,235 millions d’euros et pour l’autre 68,854 millions d’euros pour l’autre [PDF] de crédits de paiement annulés concernant la recherche et l’enseignement supérieur, soit plus de 139 millions d’euros de coupes budgétaires.

Cela inclut 35,47 millions d’euros en moins pour les universités alors qu’une très grande partie d’entre elles sont déjà en déficit, leurs dotations ne leur permettant pas de compenser la hausse des charges. Fin décembre, l’Université de Lille annonçait un déficit de 45 millions d’euros dans son budget 2026.

Pour les autres institutions de recherche pluridisciplinaire, la baisse du budget prévu atteint 63,5 millions d’euros. En avril dernier, le PDG du CNRS, Antoine Petit avait déjà annoncé que son institution était sommée par le gouvernement de procéder à un tour de vis supplémentaire de 20 millions d’euros.

La recherche spatiale, domaine cher au ministre Philippe Baptiste qui a été président du CNES, n’est pas épargnée. Ainsi, les deux décrets prévoient que son budget soit amputé de 32,4 millions d’euros.

France 2030 est aussi touché

Enfin, les investissements du plan France 2030 – prévus en 2021 par Emmanuel Macron pour rattraper le retard de la France dans la recherche dans certains secteurs industriels – perdraient 100,38 millions d’euros de crédits. Ce plan sert, par exemple, au financement des recherches sur le quantique annoncées par le président de la République récemment ou celles sur les jumeaux numériques de territoire.

La « vraie priorité à l’enseignement supérieur et à la recherche » affichée par Philippe Baptiste lors du vote du budget initial semble loin. Présentés à l’Assemblée nationale et au Sénat la semaine dernière, les décrets doivent encore être publiés au Journal Officiel. Mais Sébastien Lecornu a déjà prévenu que, la guerre au Moyen-Orient se prolongeant, « les 6 milliards d’euros devront être remis à jour » avec une nouvelle estimation qui devrait arriver fin juin. « J’ai parié sur 10 milliards d’euros », a confié à nos confrères du Monde le président de la Commission des Finances à l’Assemblée nationale, Éric Coquerel (LFI).

L’entreprise californienne qui édite le navigateur du même nom se voit attaquée devant le tribunal judiciaire de Paris par l’Alliance de la presse d’information générale (Apig) et 53 groupes de presse français dont l’Équipe, Libération, Les Échos, Bayard ou encore Ouest-France.

Selon notre consœur des Échos qui a pu consulter l’assignation, celle-ci dénonce des actes de contrefaçon sur les fondements du droit voisin et du droit des marques.

Les éditeurs et l’Apig ont d’abord tenté une démarche de conciliation via la Sacem, mais elle n’a pas abouti. Plus en détail, ils visent notamment la reproduction et la communication au public, « massivement et sans aucune autorisation, [des] contenus issus des publications de presse ».

« Brave illustre non seulement la transformation des moteurs de recherche en moteurs de réponse, mais elle se targue de mettre à disposition de tout l’écosystème de l’IA des outils permettant d’entraîner des modèles ou de créer toutes sortes d’applications visant aux mêmes fins », affirme encore l’assignation.

Les entreprises de presse ainsi que l’Apig demandent une réparation à hauteur d’un peu plus de 80 millions d’euros. Contactée par les Echos, Brave n’a pas répondu.

En septembre dernier, l’Alliance, accompagnée du Syndicat des éditeurs de la presse magazine (SEPM), avait mis en demeure Common Crawl de retirer les sites de ses membres de son archivage.

À malin, malin ennemi ?

Le département de la Défense états-unien l’a confirmé : des militaires de son armée ont bien été ciblés en utilisant des données de géolocalisation obtenues via des courtiers de données.

Ça devait arriver. Sur le front, les militaires peuvent être ciblés avec l’utilisation de données obtenues par des courtiers en données qui les revendent sans se soucier de leur utilisation.

Le Commandement central des États-Unis (USCENTCOM), qui dépend du département de la Défense états-unien (DoD), a confirmé au sénateur démocrate de l’Oregon, Ron Wyden, qu’il « a reçu plusieurs signalements de menaces concernant l’exploitation par des adversaires de données de localisation commerciales afin de cibler ou de surveiller le personnel américain sur le terrain », révèle Reuters.

Dans cette lettre [PDF], l’USCENTCOM assure enjoindre « au personnel de désactiver la fonctionnalité de géolocalisation lorsqu’elle n’est pas nécessaire, de vérifier régulièrement les paramètres de confidentialité des appareils et des applications, et de limiter le partage public d’informations ».

Elle ajoute que « ces directives soulignent que la désactivation des fonctions de géolocalisation ne les rend pas toujours totalement inopérantes sur les produits commerciaux, ce qui oblige le personnel à mettre en œuvre des mesures de sécurité complètes pour les appareils, notamment la vérification des paramètres de confidentialité » et qu’elle impose « les contrôles de géolocalisation les plus restrictifs » à ses troupes engagées au Moyen-Orient depuis le 28 février dernier.

La question du tracking des militaires américains soulevée par des élus

Dans un courrier [PDF] envoyé au DoD, Ron Wyden et 13 autres sénateurs et membres du Congrès des États-Unis s’inquiètent qu’il « n’ait pas pris les mesures élémentaires nécessaires pour protéger le personnel militaire américain contre la grave menace que représentent, en matière de contre-espionnage et de protection des forces, la collecte et la vente de données personnelles, notamment les données de localisation des téléphones portables, par des courtiers en données » et l’accusent de ne pas avoir « mis en place les mesures de cyberdéfense de bon sens recommandées par les agences fédérales ».

« Les données de localisation à des fins commerciales peuvent servir à identifier les lieux où se rassemblent les troupes américaines ainsi que leurs habitudes de vie, informations que des adversaires pourraient exploiter pour mener des attaques ciblées, notamment à l’aide de missiles, de drones et de bombes placées en bord de route, ou à des fins de contre-espionnage », détaillent-ils. À Reuters, Ron Wyden a déclaré qu’il était temps de « commencer à considérer le secteur des technologies publicitaires comme une menace pour la sécurité nationale ».

Un tracking utilisé par les États-Unis depuis 2016

On sait pourtant depuis quelques années que les données des applications commerciales peuvent être utilisées pour localiser des personnes, et donc que l’identifiant publicitaire est une information très sensible qui doit être cachée au maximum d’éventuels ennemis. Ainsi, les données laissées par l’utilisation de Strava permettent de remonter la piste de personnes comme des agents des renseignements.

• Comment Strava permettait de remonter la piste d’agents des renseignements français et étrangers

Les États-Unis ne sont pas en reste pour la récolte de ce genre de données qui sont, au départ, utilisées pour le tracking publicitaire. On sait que l’ICE, leur service de l’immigration et des douanes, s’est confectionné un vaste jeu de données publiques et privées, achetées aussi bien auprès des géants numériques, de courtiers comme Thomson Reuters ou LexisNexis, que du gouvernement américain. Et les systèmes d’analyse et données collectées par Palantir sont utilisées par l’armée américaine, l’armée israélienne, l’OTAN ou encore la DGSI française pour améliorer leur ciblage sur le terrain.

Dans un article publié ce mardi 26 mai, le Wall Street Journal explique que le DoD a été informé par son sous-traitant PlanetRisk dès 2016 que ses employés avaient découvert qu’ils pouvaient suivre les opérations militaires américaines grâce à ce genre de données venant des smartphones des soldats américains.

Selon les sources de nos confrères, PlanetRisk était à l’époque en train de mettre au point un outil de surveillance pour suivre les réfugiés syriens qui fuyaient vers l’Europe et les États-Unis dans l’espoir de le vendre aux gouvernements de ces pays.

Pour cela, elle utilisait notamment des données de tracking provenant d’applications de météo, de jeux ou de rencontres. Dans les données collectées, l’entreprise a remarqué des données faisant le lien entre des bases militaires et une cimenterie syrienne, qui jusque-là n’était pas connue pour servir de zone de rassemblement des forces états-uniennes et leurs alliés.

PlanetRisk a ensuite aidé le Pentagone à utiliser les données de tracking jusqu’à lui permettre de surveiller les téléphones des membres de l’entourage du président russe Vladimir Poutine, comme le racontait Wired.

Effet cliquet

Votée ce mardi 26 mai au Sénat, la loi Ripost déposée par Laurent Nuñez entend pousser l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques jusqu’à la fin de l’année 2030 mais aussi en l’étendant à tous les bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation. Le texte doit encore repasser devant l’Assemblée nationale.

À peine la prolongation de l’expérimentation de la vidéosurveillance algorithmique aux Jeux olympiques validée jusqu’en 2027 par le Conseil constitutionnel, le Sénat vient de voter sa prolongation jusqu’en décembre 2030.

C’est par le texte que Laurent Nuñez a déposé en mars dernier, et connu sous le nom de Loi Ripost, que cette prolongation arrive. En janvier, les députés avaient voté une loi encadrant les JO de 2030 (proposée par la sénatrice Isabelle Florennes, Modem) prolongeant jusqu’au 31 décembre 2027 l’expérimentation de « vidéoprotection algorithmique » (VSA) prévue à l’origine à l’occasion des JO de 2024.

Prolongement jusqu’à fin 2030 sans tarder

Saisi par des députés de gauche, le Conseil constitutionnel avait émis en mars dernier des réserves sur le texte mais pas sur les dispositions concernant la VSA, considérant que « les dispositions contestées se bornent à reconduire, pour une durée limitée, l’expérimentation prévue par l’article 10 de la loi du 19 mai 2023 » et que « ces dispositions n’affectent, par elles-mêmes, ni le droit à un recours juridictionnel effectif, ni le droit au respect de la vie privée, ni la liberté d’aller et de venir ».

À l’époque, certains députés s’étaient étonnés de cette date de report qui ne correspond pas à l’année des prochains JO se passant en France. La ministre des Sports, Marina Ferrari, avait alors affirmé que « la prolongation de cette expérimentation [jusqu’à la fin 2027] permettra de mieux l’évaluer pour décider s’il convient de déployer l’outil en 2030 ».

• Aux JO de Paris, la vidéosurveillance algorithmique n’a servi à (presque) rien
• Faute de résultats, l’expérimentation de la vidéosurveillance algorithmique est prolongée

Finalement, le gouvernement n’a pas attendu cette expérimentation de l’expérimentation pour proposer un prolongement jusqu’à la fin 2030. Pendant les débats, Isabelle Florennes a salué « la prolongation de l’expérimentation de la vidéoprotection algorithmique, sur laquelle [elle avait] déposé une proposition de loi. Là encore, le Sénat peut s’appuyer sur ses propres travaux, en l’occurrence le rapport d’information de Mmes Françoise Dumont et Marie-Pierre de La Gontrie –  c’est une force ».

Extension aux bâtiments ou lieux ouverts au public et aux voies publiques

Mais le nouveau texte étend encore la portée de l’expérimentation à de nouveaux lieux. La précédente loi prévoyait l’utilisation de la VSA dans les lieux de manifestations sportives, récréatives ou culturelles et dans les gares et transports en commun. Ici, sont aussi inclus, les « bâtiments ou lieux ouverts au public, incluant les voies publiques de circulation, qui, par leur nature, sont de façon permanente ou en raison de circonstances exceptionnelles particulièrement exposés à ces risques et dont la liste est définie par arrêté du ministre chargé de l’intérieur, et à leurs abords ».

Les sénateurs de gauche ont essayé de s’y opposer. « On touche aux libertés individuelles. Monsieur le ministre, vous avez reconnu que c’était illégal, alors interdisez-la [en parlant de la la surveillance algorithmique] ! » s’est ainsi exclamé le sénateur Guy Benarroche (Les Écologistes), « créer une société de surveillance généralisée pour plus de sécurité nous paraît toujours autant ubuesque et dangereux. Notre groupe votera donc contre ce texte et ses fausses solutions à de vrais problèmes ». La droite sénatoriale majoritaire ne les a pas suivis.

Comme l’expliquent nos confrères de Public Sénat, le texte de la loi Ripost doit encore passer en deuxième lecture à l’Assemblée nationale et il pourrait encore subir un parcours houleux. Il n’y est d’ailleurs pas encore à l’ordre du jour.

Cinq ans plus tard

Cash Investigation révélait il y a cinq ans qu’IQVIA récupérait les données des clients de plus de 14 000 pharmacies sans qu’ils en soient toujours informés. La CNIL a décidé d’une amende de 5 millions d’euros suite à des contrôles, à cause de ces manquements mais aussi en raison de lacunes dans l’exercice des droits des clients et dans la sécurité des données.

En 2021, Cash Investigation s’intéressait à la question des données personnelles récoltées par IQVIA via de nombreuses pharmacies, sans que l’information ou le droit d’opposition des clients soit mis en œuvre. La CNIL avait autorisé en 2018 cette entreprise à constituer un entrepôt de données de santé, LRX, à des fins de recherche, d’étude et d’évaluation, alimenté par des données collectées auprès d’environ 14 000 pharmacies. Elle s’en expliquait à l’époque et promettait de mener des contrôles. Cinq ans après, l’autorité de protection des données arrive enfin à ses conclusions et a infligé 5 millions d’euros d’amende à IQVIA, explique son communiqué.

Les contrôles de la CNIL n’ont pas seulement visé le seul entrepôt de données de santé LRX mais aussi l’entrepôt EMR que la CNIL a autorisé en février 2021 (quelques mois donc avant la sortie de l’enquête de Cash Investigation). Celui-ci est alimenté par des données collectées auprès de 2 000 à 3 000 médecins, selon la délibération de la CNIL (environ 2 000 selon les déclarations de l’entreprise lors du contrôle de la CNIL, 3 000 selon une de ses plaquettes de pub consultée par l’autorité).

Le problème que pointait Cash Investigation concernant LRX, après constat dans 200 officines, était que les pharmaciens n’informaient pas leurs clients comme la loi les y oblige. Ceux-ci ne pouvaient donc s’opposer à la collecte et au traitement de leurs données.

Le rapporteur de la CNIL a fait le même constat auprès de quatre pharmacies parisiennes participant au panel LRX : « aucune d’entre elles ne délivrait ces informations ». Et il a estimé « qu’un manquement à l’article 14 du RGPD est constitué et qu’il est imputable à la société IQVIA en sa qualité de responsable de traitement ». La formation restreinte de la CNIL a validé qu’en tant que responsable du traitement, il appartient à IQVIA « de s’assurer du respect des obligations qui lui sont imposées par le RGPD, parmi lesquelles celle d’informer les personnes dont les données figurent au sein de l’entrepôt des traitements mis en œuvre, en application de l’article 14 du RGPD ».

La pseudonymisation n’évite pas les obligations face au RGPD

Pendant les investigations de la CNIL, IQVIA a soutenu, selon la délibération de l’autorité, que « les données des entrepôts LRX et EMR sont anonymes et que, dès lors, les obligations du RGPD et de la loi Informatique et Libertés sont inapplicables et les autorisations délivrées par la CNIL sont, de fait, devenues sans objet ». En effet, elle a considéré que, « compte tenu de la pseudonymisation des données figurant dans les entrepôts LRX et EMR, les moyens qui devraient être mis en œuvre par IQVIA pour réidentifier les personnes concernées seraient soit déraisonnables, soit illicites, et en conclut que les données en cause doivent être considérées comme n’étant pas, de son point de vue, des données à caractère personnel ».

L’autorité a considéré que cette pseudonymisation mise en place par IQVIA ne permet pas l’anonymisation des données. D’abord, elle pointe l’utilisation d’un identifiant unique. « S’agissant de l’entrepôt LRX, chaque client de pharmacie se voit ainsi attribuer un identifiant qui lui est propre, et qui est le même quelle que soit l’officine partenaire dans laquelle il se rend. Ce code, associé aux données de dispensation des produits, permet de regrouper l’ensemble des achats réalisés par un même client dans n’importe quelle pharmacie partenaire d’IQVIA », explique l’autorité. « S’agissant de l’entrepôt EMR, chaque patient dispose également d’un identifiant qui lui est propre pour un médecin donné. S’il n’est pas possible de corréler les données provenant de différents médecins pour un même patient, la société peut néanmoins suivre, à l’aide de ce code, le parcours de chaque patient au sein d’un même cabinet », ajoute-t-elle.

Elle explique aussi que les données incluent la localisation, « permettant de situer les patients par zones géographiques composées de regroupements de neuf pharmacies et de cinq médecins de la même spécialité ».

«Le fait que chaque patient dispose d’un code d’identification unique, auquel sont rattachées de nombreuses données telles que son âge, son sexe, l’ensemble des prescriptions dont il bénéficie ou encore sa situation géographique, afin de permettre à la société de suivre son parcours de soin dans le temps, a pour conséquence que celle-ci peut aisément isoler chaque individu et que les traitements en cause ne résistent pas au risque d’individualisation », estime l’autorité.

Celle-ci a aussi observé qu’IQVIA n’avait jamais contesté faire du traitement de données personnelles avant l’arrêt dit « SRB » rendu le 4 septembre 2025 par la Cour de justice de l’Union européenne. D’ailleurs l’entreprise avait sollicité (et obtenu) des autorisations de mise en œuvre un traitement automatisé de données à caractère personnel pour ces deux entrepôts.

Des études non autorisées sur ces données et un logiciel qui transmettait des données sans consentement

Mais l’autorité est allée un peu plus loin et en a profité pour vérifier que l’entreprise respectait bien ses obligations incluses dans les autorisations délivrées pour les deux entrepôts. Le rapporteur s’est aperçu qu’IQVIA avait réalisé des études sur ces données figurant dans l’entrepôt LRX pour son propre compte alors qu’elle n’en avait pas l’autorisation.

Lors de ses investigations, le rapporteur de la CNIL a aussi découvert qu’IQVIA avait fait développer par une autre entreprise un logiciel de gestion d’officine et que les modules d’extraction de données mis en place dans ce logiciel transmettaient «systématiquement au premier tiers de confiance [l’entreprise sous-traitante] les données des patients, et ce même pour les officines ne participant pas au panel LRX », ce qui constitue un manquement à l’article 25 du RGPD.

Si la CNIL a prononcé une amende de 5 millions d’euros pour l’ensemble de ces manquements, le rapporteur a considéré qu’« au regard des derniers éléments apportés par la société » une injonction « n’était plus nécessaire s’agissant des manquements relatifs à la sécurité et à la confidentialité des données » et l’autorité l’a suivi sans qu’on sache en détail les mesures qui ont été prises.

Mais concernant le reste, la CNIL a observé «que la société n’a, depuis l’engagement de la procédure, apporté aucun élément qui permettrait de considérer qu’elle a adopté ou même initié des mesures permettant d’assurer sa mise en conformité ». Ainsi elle a assorti sa décision d’une injonction et d’une astreinte de 10 000 euros par jour de retard à l’issue d’un délai de six mois suivant la notification de la délibération.

Comme à chaque délibération de la CNIL, IQVIA peut faire un recours devant le Conseil d’État dans un délai de deux mois à compter de sa notification.

Suite à la publication de notre article, IQVIA nous fait savoir qu’elle se réserve le droit de faire appel. « IQVIA s’engage à utiliser les données de manière responsable. Nous appliquons des standards élevés de protection au sein de nos systèmes et de nos processus. Toutes les données de santé utilisées pour nos études statistiques sont pseudonymisées via des tiers de confiance et des processus de chiffrement robustes. Ainsi, elles ne contiennent pas l’identité des personnes afin de respecter leur anonymat », affirme l’entreprise. Elle assure avoir coopéré avec la CNIL et que « les mesures de sécurité identifiées ont été mises en place et nous restons engagés à renforcer en continu notre dispositif de sécurité et de gouvernance ».

Biaisés par la Chine

La propagande chinoise influence le milieu de l’IA non seulement via les modèles que ses entreprises créent mais aussi via les données d’entrainement des autres modèles comme Claude Opus 4.7, gemini-3.1-pro ou GPT-5.5 sortis en 2026. Une étude montre qu’ils utilisent massivement la propagande chinoise comme données d’entrainement, et recrachent sans problème les mensonges du régime lorsqu’ils sont interrogés en chinois.

Quand est arrivé le modèle Deepseek R1 l’année dernière, on imaginait bien que les résultats de ce modèle seraient influencés par le gouvernement autoritaire chinois qui a le contrôle sur les paysages de la tech de son pays. Ainsi, on a pu rapidement constater une censure concernant les sujets sur Taïwan, la répression de la place de Tian’Anmen en 1989 ou sur Xi Jinping.

Mais qu’en est-il de l’influence de Pékin sur d’autres modèles qui ne sont pas créés par des entreprises dépendantes du pouvoir chinois ? Dans une étude publiée récemment dans la revue scientifique Nature, des chercheuses et chercheurs de plusieurs universités américaines montrent que l’État chinois a une influence importante de façon indirecte sur les résultats de modèles n’étant pas contrôlés par la Chine. L’étude est aussi accessible sur un site hébergé sur GitHub.

Ainsi, des modèles comme Claude Opus 4.7, gemini-3.1-pro ou GPT-5.5 sortis cette année sont toujours influencés sur les questions concernant la Chine quand ils sont utilisés avec des langues chinoises. Ils montrent même que l’influence de l’État chinois est croissante. Les auteurs ont découpé leurs travaux en six parties.

La propagande comme données d’entrainement

D’abord, dans une première étude, ils ont montré que les textes rédigés par le département de la propagande de la Chine apparaissent très fréquemment dans les ensembles de données multilingues courants utilisés pour entrainer les modèles.

Ils ont notamment étudié CulturaX, un sous-ensemble « nettoyé, immense et public » de Common Crawl destiné à « démocratiser les grands modèles de langage pour 167 langues ». « Par rapport à la moyenne générale, un pourcentage remarquablement élevé (3,28 à 23,98 %) des données d’entraînement mentionnant des dirigeants et des institutions politiques correspond à des textes manipulés par l’État », expliquent-ils concernant les documents en chinois contenus dans CulturaX.

Les modèles les plus récents régurgitent le plus la propagande chinoise

Ensuite, ils ont montré que les modèles commerciaux régurgitent des phrases venant de la propagande chinoise, ce qui montre qu’ils ont été entraînés dessus. En parallèle, ils ont vérifié qu’entrainer un modèle sur la propagande augmentait les réponses pro-autoritarisme, ce qu’on pouvait imaginer.

« Les modèles les plus récents et les plus puissants affichent des taux de mémorisation plus élevés », commentent les chercheurs. Ainsi, claude-opus-4.6, gpt-5.5 et claude-opus-4.7 régurgitent le plus de propagandes chinoises, même deepseek-v3.2 et deepseek-v4-pro sont battus :

Si les données d’entrainement des modèles semblent intégrer massivement de la propagande chinoise, quelle en est la conséquence sur les résultats ? Sans surprise, tous les modèles sont influencés. Évalués de façon automatique via un LLM, ils répondent tous davantage en adéquation avec la propagande chinoise quand ils sont interrogés en chinois qu’en anglais. Et encore une fois, c’est d’autant plus vrai que le modèle est récent : claude-opus-4.6, gpt-5.4, gpt-5.5, gemini-3.1-pro et claude-opus-4.7 sont particulièrement influencés.

Notons que les chercheurs mesurent ici un ratio entre l’alignement en chinois et en anglais avec la propagande chinoise. DeepSeek V4 Pro reprenant cette propagande aussi en anglais, son ratio est plus bas que les autres, mais ça ne veut pas dire qu’il relaie moins la propagande du régime en chinois.

Ils ont répliqué ce test sur des prompts d’utilisateurs réels faisant référence à Xi Jinping ou au Parti Communiste chinois issus du sous-ensemble en chinois de l’ensemble de données WildChat (un dataset sur l’utilisation de ChatGPT), de Baidu Zhidao Q&A (l’équivalent chinois de Yahoo Answers) et de Zhihu (l’équivalent chinois de Quora). «Tous les modèles commerciaux ont montré une opinion plus favorable à l’égard des dirigeants et des institutions chinois lorsque les questions étaient posées en chinois plutôt qu’en anglais », expliquent-ils.

La liberté de la presse d’autant plus importante

Enfin, dans leur étude, ils ont élargi le focus pour étudier une éventuelle généralisation à d’autres pays autoritaires. « Dans les 37 pays où une langue est dominante, les LLM alimentés par des requêtes dans la langue cible principalement utilisée dans le pays concerné produisent des réponses plus favorables au régime lorsque la liberté de la presse est faible. Les pays situés en haut du classement de la liberté de la presse ne présentent guère de différence par rapport à la référence en anglais, et dans certains cas, on observe même une légère corrélation négative, ce qui suggère que ce phénomène dépasse le cas de la Chine », expliquent-ils.

En espérant que ça ne les rend pas encore plus accessibles aux pirates

Dans le cadre de l’espace européen des données de santé, le Health data hub français vient de lancer deux outils concernant l’accès à ce genre de données : un répertoire qui permet de connaître les projets de recherche qui utilisent telle base de données et un catalogue qui donne des informations plus techniques pour y accéder.

La Plateforme des données de santé française (PDS ou en anglais HDH pour Health data hub) met en place des outils pour anticiper les futures exigences du règlement relatif à l’Espace européen des données de santé (EEDS) qui doit permettre de donner de la visibilité, de la lisibilité et de la transparence sur les données de santé disponibles en France et sur leur réutilisation.

• Scaleway remporte l’hébergement des données de santé à la place de Microsoft

Un appel d’offres européen de 24 millions d’euros

De plus en plus de données de santé sont récupérées, que ce soit par les industriels ou les hôpitaux, pour faire avancer la recherche. Depuis 2022, l’Europe bâtit petit à petit son projet d’Espace européen des données de santé qu’elle a formellement validé en février 2025 dans un règlement. « L’EEDS sera un élément clé de la création d’une Union de la santé européenne forte et résiliente », assurait ce texte. Si celui-ci « devrait être applicable à compter du 26 mars 2027 », plusieurs dispositions s’appliqueront à partir de 2029. En avril, la Commission a lancé un appel d’offres de 24 millions d’euros « pour soutenir les droits des citoyens et la réutilisation des données de santé dans le cadre de l’EEDS ».

Dans ce cadre, la Plateforme des données de santé française annonce prendre les devants en rendant disponible un répertoire national des bases de données de santé. Comme elle l’indique, le référencement dans ce répertoire national « s’inscrit dans une dynamique qui deviendra pleinement obligatoire à horizon 2029 ».

Un répertoire pour informer le plus grand nombre

Ce répertoire recense les bases de données autorisées par la CNIL et visées par ce règlement. Il est utile pour n’importe quelle personne qui voudrait se renseigner sur un projet de base de données de recherche, mais il permet aussi d’informer plus spécifiquement les personnes dont les données ont été collectées sur leurs utilisations et sur la procédure pour exercer ses droits d’accès, de rectification, d’opposition, d’effacement et de limitation. Elle permet aussi à des porteurs de projets de s’informer sur les coûts de redevance pour accéder à une base.

• Ce que contient le référentiel CNIL sur les entrepôts de données de santé

Par exemple, on peut connaître tous les détails concernant la Banque Nationale de Données Maladies Rares. Comme la plupart des bases de données répertoriées, celle-ci est disponible via l’entrepôt de la PDS, puisque celui-ci doit théoriquement servir de guichet unique. Mais ce n’est pas ce répertoire qui permet d’y accéder directement. Celui-ci permet de valoriser et rendre disponibles les données des projets « à l’échelle nationale et, demain, à l’échelle européenne ». Un formulaire hébergé sur demarche.numerique.gouv.fr permet de référencer son projet.

Un catalogue pour aller plus dans les détails

L’autre outil proposé par la PDS est un catalogue de meta-données. Celui-ci, ciblant plus les porteurs de projets (chercheurs, industriels, acteurs de santé,…), permet de rentrer plus en détail sur le projet et les données stockées dans la base. Ainsi, en reprenant l’exemple de la Banque Nationale de Données Maladies Rares, on peut connaitre l’objectif initial de la base, sa couverture géographique, etc… mais aussi les caractéristiques complètes de la base comme le nombre d’individus uniques qu’elle concerne ou même la structure des données :

Ainsi, le catalogue doit permettre à un porteur de projet de gagner du temps pour évaluer si une base de données peut lui être utile. Il facilite aussi l’identification et la réutilisation des bases françaises, qu’il documente selon le standard Health DCAT-AP.

Pour intégrer ce catalogue, la PDS propose un formulaire en ligne pour générer un fichier de métadonnées et un kit documentaire. Le code du catalogue est disponible en « marque blanche » pour permettre à d’autres organismes de déployer le leur en étant compatible avec l’Espace européen des données de santé.

La PDS permet, « en une seule saisie, un double référencement » dans ces deux nouveaux outils.

Le dauphin qui envoie des ondes libres

Flipper Device, le fabricant du Flipper Zero, gadget célèbre dans l’univers de la bidouille, du hack et du hardware, a annoncé hier le développement d’un nouvel outil, appelé « Flipper One ». Celui-ci, qui n’est pas une évolution du Zero, s’oriente plus vers une utilisation réseau. Si l’équipe a déjà bien avancé sur le projet, elle demande aussi de l’aide de la part de la communauté.

C’est en forme d’appel à la communauté que Pavel Zhovner, CEO de Flipper Device, a annoncé que son entreprise était en train de développer son nouvel outil/gadget : Flipper One. Dans un billet de blog titré « Flipper One : on a besoin de votre aide », il explique que Flipper One est un « projet sur lequel [ils travaillent] d’arrache-pied depuis des années et [qu’ils ont] repris plusieurs fois à partir de zéro ».

Le Flipper Zero, essentiellement conçu pour des utilisations autour de la sécurité, a été créé via une campagne Kickstarter en 2020 et n’a cessé de gagner en popularité. Au point qu’en 2024, le Brésil avait interdit sa vente et le Canada réfléchissait à faire de même pour contrer le vol de véhicules.

Les deux sont complémentaires

Mais comme nous le fait remarquer l’heureux possesseur d’un Flipper Zero, « le One n’est pas une évolution du Zero, ils sont complémentaires ».

Pavel Zhovner le confirme dans son billet de blog : « Flipper Zero et Flipper One sont deux projets totalement distincts, conçus pour des tâches différentes. Le moyen le plus simple de les appréhender est de les considérer en termes de couches réseau :

• Couche 0 — Protocoles de contrôle d’accès point à point hors ligne : NFC, RFID basse fréquence, radio Sub-1 GHz, infrarouge, protocoles filaires tels que iButton, UART, SPI, I²C. Basés sur un microcontrôleur à faible consommation.
• Couche 1 — Tout ce qui est connecté via IP : Wi-Fi, Ethernet, 5G et satellite. Il s’agit avant tout de mise en réseau, de transfert de données et de calcul haute performance. Fonctionne sur du matériel puissant et une boîte à outils Linux ouverte — une puissance de calcul suffisante pour gérer la radio logiciel (SDR) et de l’IA locale ».

On peut le vérifier dans les specs publiées sur le site de Flipper Device : si les deux outils ont des looks qui se ressemblent, les specs du One sont très différentes de celles du Zero, et pas seulement par le fait que le One est beaucoup plus gros.

Le One tourne sur deux processeurs (un CPU haute performance SoC RK3576 à 8 cœurs et un MCU compact à faible consommation Raspberry Pi RP2350 à deux cœurs), possède un rail d’antennes et même une interface GPIO.

On peut y connecter des modules via des interfaces PCI Express, USB 3.0 et SATA, ce qui peut par exemple permettre de brancher un module de SDR, un SDD ou un modem cellulaire, précise Pavel Zhovner. Encore une fois, le Flipper One est encore à l’état de projet et les spécifications peuvent encore changer.

Retrouver l’esprit du « personal computer »

Si cet outil réseau multifonction vous fait penser à un petit PC ou à un Raspberry Pi, c’est tout à fait normal. Pavel Zhovner a expliqué à Gizmodo que l’objectif de Flipper One était de corriger un bon nombre des inconvénients qui le dérangeaient dans les autres petits ordinateurs de ce type. Notamment, il pointe le problème, sur les Raspberry Pi, du câble d’alimentation spécifique.

Le projet tourne donc autour de l’ouverture, que ce soit au niveau du software comme du hardware. «Nous voulons créer une plateforme matérielle Linux véritablement ouverte : l’ordinateur ARM le mieux documenté, capable de fonctionner dès sa sortie de l’emballage avec n’importe quel noyau récent », explique-t-il dans son billet, côté hardware. « Prise en charge complète du noyau Linux principal, pas de blobs binaires, de pilotes fermés ni de micrologiciels propriétaires, pas de BSP (package de support de carte) verrouillé par un fournisseur », côté software.

L’équipe développe aussi un système d’exploitation dont le nom est Flipper OS, pour être original. Celui-ci s’appuie sur Debian et propose des « profils » de configuration qui permettent d’avoir des snapshots d’OS différents, avec différents paquets et paramètres préconfigurés. Il est possible de cloner, modifier un profil ou revenir à une copie vierge, comme un reset d’usine. L’idée est de se passer des galères d’installation avec micro SD qu’on peut rencontrer quand on utilise un Raspberry Pi.

Ils ont aussi ouvert un portail wiki avec toute la documentation du projet et de la façon dont on peut participer.

« Que vous soyez ingénieur, développeur, designer ou simplement un utilisateur passionné ayant des idées à partager, vous êtes les bienvenus pour participer au développement et contribuer à façonner Flipper One », explique Pavel Zhovner avec un lien pour rejoindre le projet. On peut aussi retrouver le projet sur GitHub et retrouver la maquette sur On Shape.

Des tests « récréatifs », vraiment ?

Le projet de loi SURE qui est en cours de lecture au parlement prévoit que la police scientifique puisse s’appuyer sur les données collectées par les entreprises étrangères de tests ADN « récréatifs ». Il étend aussi le périmètre des infractions entrainant l’inscription au FNAEG. « Un changement de paradigme éthique », selon la CNIL. En parallèle, des députés Renaissance ont proposé de légaliser les tests ADN « récréatifs » en France.

Gérald Darmanin l’annonçait en octobre dernier, le projet de loi dite SURE prévoit que la police technique et scientifique puisse s’appuyer sur les données collectées par les entreprises étrangères de tests ADN pour retrouver l’identité d’une personne dont elle a trouvé une trace génétique.

Ce texte « sur la justice criminelle et le respect des victimes », surnommé SURE pour « Sanction Utile, Rapide et Effective » par le ministère, prévoit aussi d’élargir les causes d’inscription au FNAEG, le Fichier national automatisé des empreintes génétiques.

Déposé en mars au Sénat par le garde des Sceaux, il a été voté par les sénateurs en première lecture le 14 avril dernier et doit maintenant passer devant les députés.

Les cold cases comme prétextes

Le garde des Sceaux s’est appuyé sur la résolution de « cold case » pour le médiatiser, évoquant l’affaire du « prédateur des bois ». Le FBI avait identifié « des personnes pouvant être des ascendants de l’auteur des faits », comme l’expliquait à l’AFP la procureure de la République de Paris, Laure Beccuau, en 2022. À l’époque, le juge d’instruction du tribunal judiciaire de Paris avait sollicité les autorités étatsuniennes « par le biais d’une commission rogatoire internationale aux fins d’analyse génétique ».

Ce ne sont pas que les « cold cases » qui seront concernés, mais également les enquêtes concernant le terrorisme, un meurtre, un assassinat, des actes de torture ou de barbarie, un viol, un enlèvement ou une séquestration.

L’article 3 du texte prévoit ainsi que « le juge des libertés et de la détention, sur requête du procureur de la République ou, après avis de ce magistrat, le juge d’instruction peut, par décision écrite et motivée, ordonner l’analyse d’une empreinte génétique établie à partir d’une trace biologique issue d’une personne inconnue et sa comparaison avec les données de bases de données génétiques établies hors du territoire de la République sur le fondement d’un droit étranger, aux fins de recherche de personnes pouvant être apparentées à la personne dont l’identification est recherchée ».

Accès aux données d’entreprises comme 23andMe pour pallier les limites du FNAEG

Des promesses qui tardent à se concrétiser

Les industriels français du secteur se réunissent pour pousser la Commission européenne à réaliser sa promesse d’investissement de 20 milliards d’euros dans cinq gigafactories IA à travers l’Europe.

Scaleway voit Orange, EDF, Ardian et Capgemini la rejoindre dans son consortium AION lancé en juin 2025 pour répondre à un futur appel d’offres de l’UE sur une gigafactory IA. AION prétendait réunir des « partenaires publics, privés et académiques pour bâtir une infrastructure IA puissante et souveraine en Europe ».

À l’époque, Bull (anciennement Eviden, qui a repris son nom d’origine en parallèle de son rachat par l’État français), VSORA, Kyutai (filiale aussi d’iliad et de CMA CGM), Sopra Steria, SiPearl, Artefact, ZML, Hugging Face et H company faisaient déjà partie du projet, avec le soutien de l’infrastructure publique de recherche GENCI et de l’Inria. Mais AION semble montrer les muscles alors qu’il attend impatiemment la publication de l’appel d’offres de l’UE.

L’idée est surtout de répondre à un futur appel d’offres de l’UE sur les 20 milliards d’euros dédiés à des « gigafactories » de l’IA que la présidente de la Commission, Ursula von der Leyen, avait annoncés en février 2025 à l’occasion du Sommet pour l’action sur l’IA.

Un financement européen qui se fait attendre

Elle avait promis le financement de quatre futures giga-usines d’IA dans l’ensemble de l’UE. La Commission et EuroHPC avaient lancé une consultation publique sur le sujet en avril 2025 et Scaleway avait créé AION pour y répondre. Depuis, la Commission parle plutôt de financer cinq projets sur le territoire de l’Union européenne en évoquant toujours le même investissement. Finalement, l’institution européenne expliquait avoir reçu « 76 manifestations d’intérêt proposant la création de gigafactories d’IA dans 16 États membres, sur 60 sites différents » et promettait « de lancer, au quatrième trimestre 2025, un appel à projets officiel pour la création de « gigafactories » d’IA dans l’UE ».

Mais, depuis, les 76 potentiels candidats n’ont toujours rien vu venir. L’annonce de l’arrivée d’Orange, EDF, Ardian et Capgemini dans AION a tout d’un appel du pied du secteur français à la Commission pour qu’elle n’oublie pas sa promesse faite à un moment où les annonces d’investissements fleurissaient. Scaleway et ses partenaires veulent montrer leurs ambitions et leur détermination, d’autant qu’un pays ne pourrait accueillir qu’un lauréat.

L’affichage d’un besoin de souveraineté aussi pour l’IA

« Il n’y en aura pas 27 [dans chaque pays membre], il faut qu’il y en ait une en France », a déclaré Damien Lucas, le directeur général de Scaleway. Les entreprises évoquent un investissement de 10 milliards d’euros (dont 4 milliards environ pour le groupe iliad) pour un projet qui devrait d’abord demander une puissance de 100 mégawatts à l’ouverture et affiche un besoin de 1 gigawatts à terme. De fait, il pourrait être réparti sur plusieurs sites comme celui de Montereau-Fault-Yonne, en Seine-et-Marne, où la filiale d’iliad, Opcore, développe un data center ou chez Orange et Verne, la filiale d’Ardian.

Benoît Gaillochet, responsable des infrastructures Europe chez Ardian, s’appuie aussi, dans le communiqué commun, sur le nucléaire français pour en faire une force du consortium : « Il est temps de bâtir ensemble une Europe de l’IA basée sur des infrastructures européennes de classe mondiale ancrée sur nos formidables capacités énergétiques décarbonées ».

Et les porteurs du projet surfent sur le sujet de la souveraineté : « Il est important de maîtriser l’IA en Europe. Des opérations critiques seront faites par des agents d’IA, il faudra pour les réaliser un endroit souverain et de confiance, immunisé contre les lois extraterritoriales américaines », affirme Jérôme Berger, directeur de la stratégie et du capital-investissement d’Orange.

Les partenaires espèrent que l’appel d’offres arrive à la fin du printemps et être le seul consortium à se présenter côté français. « L’équipe de France est prête », assure Jérôme Berger même si le consortium reste ouvert à d’autres ralliements.

Quand la souveraineté « s’exporte »

S’il est question d’une « équipe de France » avec une forte connotation de souveraineté, d’autres acteurs français ne sont pas aussi chauvins, C’est le cas de Thales qui s’est associé à Google pour monter S3ns, une offre désormais qualifiée SecNumCloud par l’ANSSI. Ce même Thales continue sur sa lancée et annonce un partenariat stratégique avec Google Cloud pour lancer un « nouveau cloud souverain en Allemagne ».

Le groupe français s’appuie dans sa communication sur « le succès de S3NS, la filiale de cloud de confiance de Thales en France et opératrice de sa première région de cloud souverain en Europe ».

« Pour répondre à la demande du marché allemand en solutions souveraines protégeant les données sensibles des lois extraterritoriales » et sa vision originale de la « souveraineté ». Une approche qui n’est pas sans rappeler celle d’OVHcloud qui met aussi en avant sa qualification SecNumCloud pour proposer des offres « qui peuvent être certifiables SecNumCloud » (sans l’être).

Numérique humanum est ? 🤔

Les sciences humaines et sociales ont fait leur virage numérique il y a déjà plusieurs années. En France, Huma-Num est l’une des structures qui permet à cette communauté scientifique d’héberger ses données en France et de pouvoir accéder à des outils numériques pour les traiter. Next a interrogé Olivier Baude, son directeur.

On parle beaucoup de souveraineté numérique et des difficultés, en France, pour mettre en place des infrastructures permettant d’héberger les données de nos institutions. En sciences humaines et sociales, l’infrastructure de recherche Huma-Num propose depuis 2013 aux personnels de recherche des outils pour les accompagner dans la gestion de leurs données.

Si l’infrastructure est physiquement hébergée et opérée au sein du centre de calcul de l’IN2P3 (Institut national de physique nucléaire et de physique des particules) du CNRS à Lyon, c’est bien l’équipe d’Huma-Num qui l’exploite on-premise. Environ 600 disques, 3 baies de stockage NAS d’une capacité totale de 1 200 To, 1 cluster distribué de 1,2 Po, une soixantaine de serveurs et 74 GPU NVIDIA permettent à la structure de fonctionner. Mais qu’y a-t-il derrière ? Next a voulu en savoir plus en interrogeant Olivier Baude, directeur de la structure depuis 2015.

>> Huma-Num, pour quoi faire et pour qui ?

C’est une infrastructure de recherche qui est dédiée à l’accompagnement des sciences humaines et sociales (SHS) dans leurs méthodes, et notamment celles liées au numérique, ce qui est assez nouveau dans le paysage. Le but d’Huma-Num est d’apporter un appui, un soutien et de s’investir dans les projets de recherche autour du numérique dans ces disciplines.

Elle s’adresse à toutes les actrices et acteurs de la recherche en sciences humaines et sociales, notamment en France mais également à l’international. Même si certains services sont restreints aux acteurs et actrices de l’Enseignement supérieur et recherche (ESR) français, d’autres sont ouverts à tout le monde, dans l’esprit d’une science internationale. On parle des chercheurs, enseignants-chercheurs, mais aussi des ingénieurs, des agents en appui de la recherche ou en documentation et en méthodes, des doctorants, des post-docs, etc., tout ça en SHS.

En une dizaine d’années, il y a une très forte progression du nombre d’utilisateurs des services d’Huma-Num : on compte ainsi aujourd’hui 30 000 comptes d’acteurs et actrices de la recherche qui les utilisent.

Nous travaillons avec d’autres infrastructures de recherche en SHS comme OpenEdition sur l’édition scientifique, Progedo sur les données quantitatives et la statistique publique, et aussi avec le CCSD-Hal et avec le centre de calcul de l’IN2P3. Il y a un maillage réel entre ces infrastructures.

>> Concrètement, que propose Huma-Num aux chercheurs en sciences humaines et sociales ?

Courage, fuyons !

L’entreprise derrière le gestionnaire de mots de passe a discrètement changé d’équipe dirigeante en début d’année. Depuis, certains termes ont disparu du site web de promotion de la solution open source, comme « inclusion » et « transparence » et même, temporairement, l’engagement de proposer une offre « toujours gratuite ».

Depuis le début de l’année, Bitwarden a fait quelques discrets changements dans son équipe dirigeante et sur son site web. Celles-ci inquiètent certains utilisateurs quant à la direction que prend le projet de gestionnaire de mots de passe open source : depuis 2021, il se démarquait de la concurrence en restant le dernier service d’ampleur à fournir gratuitement la synchronisation fixe/mobile.

• BitWarden : un gestionnaire de mots de passe qui se démarque de la concurrence

Changement discret d’équipe de direction

En effet, comme l’a repéré Fast Company vendredi 15 mai, l’ancien CEO, Michael Crandell, a laissé la place à Michael Sullivan mais le changement n’avait été annoncé publiquement que par le changement de statut de leurs deux comptes LinkedIn. Ainsi, Michael Crandell est passé à un rôle de simple « conseiller » pendant que Michael Sullivan est arrivé en tant que CEO en février dernier après avoir quitté le même poste chez insightsoftware, explique-t-il sur son profil LinkedIn. Il y ajoute qu’il « possède une solide expérience dans tous les aspects des fusions et acquisitions, notamment une expérience directe auprès de grandes sociétés de capital-investissement ».

Sur LinkedIn aussi, le responsable financier de l’entreprise depuis 2019, Stephen Morrison, indique avoir quitté ses fonctions en avril dernier. Il est remplacé par Michael Shenkman.

Kyle Spearrin, qui a créé le projet, reste CTO depuis 2016. Mais la stabilité du fondateur ne semble pas s’accompagner de celles des valeurs mises en avant par le projet. Ainsi, plusieurs pages du site web du projet ont été modifiées.

Notamment, la mention du « always free » (en français, « toujours gratuit ») accompagnant la présentation de l’offre pour une utilisation « personnelle » gratuite a été, un temps, supprimée.

Suite à la publication de l’article de nos confrères, cette mention est réapparue. Sur le subreddit consacré à Bitwarden, un employé de l’entreprise affirme que celle-ci a été réintégrée et que c’était « un simple oubli de la part de l’équipe marketing ». L’entreprise a affirmé à Fast Company qu’elle « restait déterminée à proposer une offre gratuite solide qui apporte une réelle valeur ajoutée aux particuliers ».

Une notion fluide du courage

Mais d’autres changements ont été apportés au site du projet. Ainsi, la page « carrière » affichait jusque-là des valeurs de « Gratitude, responsabilité, inclusion et transparence » rassemblées sous l’acronyme GRIT (qui veut aussi dire « courage » en anglais).

Mais ce GRIT a été transformé récemment en un moins courageux « Gratitude, responsabilité, innovation et confiance ».

Là aussi, la page a encore été modifiée pour remettre le terme de transparence dans la définition de la confiance et celui d’« environnement inclusif » dans celle de la « gratitude ».

Juste avant le changement de direction, l’entreprise avait discrètement annoncé dans un billet de blog l’augmentation de ses tarifs premium. Ceux-ci sont passés à 19,80 dollars par an, alors qu’ils étaient encore à 10 dollars par an en début d’année.

Vaultwarden comme alternative ?

Toutes ces modifications inquiètent quant à la direction du projet. Ainsi, certains expliquent avoir déjà migré vers la solution Vaultwarden qui permet d’auto-héberger son gestionnaire de mots de passe et encouragent à le faire tant que « les clients Bitwarden sont open source et l’API du serveur est publique ».

• [Tuto] Auto-héberger son gestionnaire de mots de passe avec Vaultwarden (Bitwarden)

Rappelons que Vaultwarden est compatible avec Bitwarden et peut donc accueillir directement les données qui y ont été stockées. Ajoutons aussi que le projet n’est « pas associé à Bitwarden » ou à l’entreprise, même si, selon la page GitHub, « l’un des mainteneurs actifs de Vaultwarden est employé par Bitwarden et est autorisé à contribuer au projet sur son temps libre. Ces contributions sont indépendantes de Bitwarden et examinées par d’autres mainteneurs ». Enfin, comme nous le disions, si Bitwarden est régulièrement audité, ce n’est pas le cas du projet Vaultwarden.

Suite à ces réactions, Mike Sullivan a, pour la première fois, pris la parole sur le blog de l’entreprise en tant que CEO. Il y assure que « l’open source est le fondement de tout ce que Bitwarden développe. La possibilité de vérifier le code, d’héberger soi-même ses données et de s’assurer de leur authenticité plutôt que de se contenter de croire en elles ne sont pas de simples atouts supplémentaires : ce sont les raisons pour lesquelles Bitwarden se distingue de toutes les autres solutions du secteur, et cela ne changera pas ». Il ajoute que l’engagement d’avoir une version gratuite de Bitwarden est « permanent ». Son billet ne revient par contre pas sur les notions de « transparence » et d’ « inclusivité » qui ne sont pas mentionnées.

Trop tard ?

Dans son rapport annuel, l’autorité française de protection des données constate un record de fuites de données en 2025 : 6 167 signalements lui ont été faits, une augmentation de 9,5 % en un an. La CNIL promet d’augmenter ses contrôles sur les manquements en matière de cybersécurité.

On pouvait s’en douter avec les multiples fuites de données évoquées ces derniers temps, mais la CNIL le confirme dans son rapport annuel : « la CNIL s’est vue en définitive notifiée de 6 167 violations en 2025, ce qui représente tout de même une hausse de 9,5 % par rapport à 2024 ». Pour 2024, l’autorité signalait l’année dernière avoir reçu 5 629 notifications de violation de données personnelles.

En mars dernier, le patron de l’ANSSI faisait déjà le constat que les « niveaux de menaces sont très significatifs » mais il ajoutait : « on n’est pas sur une explosion ou un raz-de-marée en 2025 ».

Encore une année record

« L’année 2024 établissait un record. Il a malheureusement été dépassé en 2025 avec presque 10 % de notifications supplémentaires », indique l’autorité de protection des données qui a publié ce rapport ce lundi 18 mai. Elle souligne observer trois tendances sur ces signalements de violations de données.

Ainsi, et « comme les années précédentes, le piratage continue d’être la nature d’incident la plus fréquemment déclarée ». La CNIL évoque notamment le vol de données depuis un compte utilisateur légitime, l’utilisation de rançongiciel, le phishing ou encore le credential stuffing (utilisation de bases de données de couples identifiant/mot de passe volées pour tester s’ils ont été utilisés ailleurs). Il atteint 50 % des signalements en 2025. Mais la fuite peut se faire aussi sans intention néfaste, ainsi 13 % des signalements concernent l’envoi de données personnelles à un mauvais destinataire, 7 % le vol ou la perte de matériel et de données et encore 7 % la publication non intentionnelle d’informations.

La deuxième tendance évoquée par la CNIL dans son rapport est le ciblage de certaines attaques. Sans nommer la solution en question, l’autorité explique notamment que « 2025 a notamment été marquée par une série de vols de données visant les entreprises clientes d’un éditeur de solution de CRM ». Elle ajoute qu’une série d’attaques a ciblé les fédérations sportives françaises.

• Tennis, spéléologie : nouvelles fuites de données chez les fédérations sportives

Enfin, elle signale l’augmentation des violations de données susceptibles de concerner plus d’un million de personnes : « il y en a eu une quarantaine en 2025 (une trentaine en 2024) ». Dans les chiffres du rapport de la CNIL, le secteur de l’administration publique se distingue : il représente 19 % des violations de données signalées à l’autorité. Rappelons, par exemple, la fuite de données concernant 1,6 million de comptes en décembre 2025, alors que l’agence avait déjà subi une fuite portant sur près de 37 millions de Français en 2024 qui lui a valu une amende de 5 millions d’euros.

En 2026, 50 % de ses contrôles et actions répressives de la CNIL aux manquements en matière de cybersécurité

Au Monde, la présidente de la CNIL, Marie-Laure Denis, affirme qu’une des conséquences des fuites de données collectées par l’administration publique est « l’altération du lien de confiance entre l’État et les citoyens, car l’État a une responsabilité particulière à l’égard des données des Français ».

En réaction à cette augmentation des signalements, l’autorité annonce augmenter, cette année, les contrôles sur la sécurité des données. « La CNIL consacrera 50 % de ses contrôles et actions répressives aux manquements en matière de cybersécurité », explique-t-elle dans son communiqué. La présidente de la CNIL indique à nos confrères du Monde qu’en 2025, « c’était entre un quart et un tiers ».

Elle indique, dans le rapport, qu’après avoir publié sa recommandation sur l’authentification multifacteur en mars 2025 [PDF], avoir « fortement incité les organismes gérant de grandes bases de données » à la mettre en place et leur avoir laissé un temps d’adaptation,« des contrôles seront réalisés tout au long de l’année 2026 ».

Répercussion budgétaire mécanique

Mais cet effort sur le contrôle de la sécurisation des données se répercutera mécaniquement sur les autres missions de l’autorité. Dans son rapport, la CNIL souligne encore qu’elle évolue dans « un contexte budgétaire contraint ». Elle y ajoute d’ailleurs qu’ « en 2026, la CNIL n’a obtenu aucune création de postes malgré ses besoins induits par un accroissement de sa charge sur les missions historiques et l’ajout de nouvelles compétences liées à plusieurs règlements européens, notamment en matière d’intelligence artificielle ».

Rappelons que ce n’est pas l’autorité qui perçoit le montant des amendes, il est versé au budget général de l’État. Récemment, le gouvernement a évoqué l’idée de les allouer à un nouveau fonds dédié à la modernisation des infrastructures numériques dans une logique assumée de « pollueur-payeur ».

Concernant les autres sujets, justement, la CNIL constate encore une hausse des plaintes qu’elle a reçues globalement. Ainsi, alors qu’« un record avait été établi en 2024, avec 17 772 plaintes reçues par la CNIL, en hausse de plus de 8 % par rapport à l’année précédente », l’autorité souligne qu’il a été battu en 2025 avec une augmentation « de plus de 10 % » avec un total de 20 150.

Dans son rapport, la CNIL souligne être intervenue « auprès de nombreux organismes pour leur rappeler la réglementation applicable concernant le recours à des dispositifs de télésurveillance d’épreuves d’examen et de vidéoprotection ».

Ainsi, elle évoque l’exemple de « plaintes relatives au projet envisagé par une université [sans la nommer dans le rapport] de procéder à des enregistrements vidéo et sonores des étudiants pendant des épreuves d’examen à distance ». Finalement, la présidente de la CNIL a « adressé un avertissement à l’université l’invitant à « revoir sa copie » avant la mise en place effective de ce projet, notamment sur l’impératif de réaliser une analyse d’impact, sur les risques du dispositif, et sur l’obligation de fournir une information précise aux personnes concernées ». Elle évoque aussi avoir rappelé à « plusieurs communes que les systèmes de vidéoprotection doivent être mis en œuvre conformément au code de la sécurité intérieure (CSI) et au RGPD ».

Dans son rapport, la CNIL rappelle aussi que « le FICOBA ne dépend plus de l’exercice des droits indirects géré par la CNIL », ce mécanisme qui permet d’« accéder aux informations vous concernant enregistrées dans certains fichiers publics ». Le Fichier des comptes bancaires « notamment utilisé par l’administration en cas de contrôle fiscal, est désormais en accès direct », explique l’autorité, « la démarche peut désormais s’effectuer depuis le site www.impots.gouv.fr. Ce changement de cadre permet une réaffectation des ressources pour les demandes relatives à d’autres fichiers.» En effet, la CNIL explique qu’elle a clôturé, en 2025, 32 262 dossiers d’exercice des droits indirects « dont 27 492 concernaient des demandes d’accès au Fichier national des comptes bancaires et assimilés (FICOBA) qui relevait de la CNIL jusqu’au 6 janvier 2025. »

L’autorité rappelle aussi dans son rapport le bilan qu’elle avait déjà fait en début d’année sur les 487 millions d’euros d’amende infligés en 2025, avec notamment celles contre Google et Shein qui totalisent à elles seules 475 millions.

L'IA is the new 42

Alors que les plateformes de paris en ligne sont de plus en plus pointées du doigt pour encourager les délits d’initiés, l’agence de régulation CFTC explique s’appuyer sur l’IA pour les détecter.

L’administration Trump commence à voir s’amonceler les critiques sur la non-régulation des plateformes de paris en ligne comme Polymarket et Kalshi. Elle y répond en mettant en avant son utilisation de l’IA pour la détection de potentiels délits d’initiés.

Début avril, sept membres démocrates du Congrès américain ont écrit à Michael Selig [PDF], le responsable de l’agence de régulation des bourses de commerce (Commodity Futures Trading Commission, CFTC). Ils s’inquiétaient « que les marchés prédictifs en soient venus à ressembler à un « Far West » sans aucune réglementation ».

« De récentes affaires très médiatisées d’allégations de délit d’initié sur des plateformes de marchés prédictifs concernant des actions du gouvernement américain — notamment l’intervention militaire au Venezuela et notre récente attaque contre l’Iran — ont alimenté les inquiétudes quant à l’insuffisance des contrôles exercés par la CFTC sur ces marchés en pleine expansion », ajoutaient-ils.

Deux semaines après, on apprenait l’arrestation d’un soldat états-unien dans le cadre du pari sur la chute de Maduro, qui lui avait permis d’empocher 430 000 dollars sur Polymarket. Mais ce pari est loin d’être le seul qui soulève des questions sur de possibles délits d’initiés.

Ainsi, le New York Times racontait la semaine dernière qu’un petit groupe de 13 personnes a parié un total de 140 000 dollars le 12 juin 2025 sur le fait qu’Israël allait bombarder l’Iran avant la fin de la semaine. Dans la nuit du 12 au 13 juin, Israël lançait une offensive qui déclenchera une guerre de douze jours. Le groupe de parieurs a empoché plus de 600 000 dollars de profit.

11 000 comptes suspicieux détectés par le New York Times

Le journal américain explique avoir repéré plus de 11 000 comptes suspicieux. Ceux-ci correspondent aux comptes qui, soit ont fait des paris risqués gagnants, des mises effectuées au bon moment par des comptes récemment ouverts, ainsi que des paris placés par des utilisateurs qui ne misent que sur quelques thèmes géopolitiques comme ceux-là sans jamais perdre, expliquent-ils, tout en ajoutant qu’en se basant seulement sur les données publiques trouvées sur Polymarket, « il est impossible de déterminer si ces utilisateurs étaient des initiés ayant accès à des informations non publiques ».

En plongeant dans les données, le New York Times a pu remarquer néanmoins que sept utilisateurs ont, par exemple, parié sur l’annonce d’un cessez-le-feu dans la guerre contre l’Iran le 7 avril quelques heures avant l’annonce par Donald Trump sur Truth Social, remportant en tout 1,4 million de dollars.

Les opérations militaires sont particulièrement sujettes à des paris suspects, explique l’association états-unienne Anti-Corruption Data Collective qui a récemment publié un rapport [PDF] sur le sujet. Notamment depuis le début de l’année 2026 :

L’IA à la rescousse

Face à ces différents éléments, l’administration Trump commence à réagir publiquement. Ainsi, Michael Selig a affirmé à Wired que son agence allait finalement recruter, alors que, comme la plupart des agences états-uniennes depuis le retour au pouvoir de Donald Trump, elle manque d’effectifs. Et, même si Elon Musk a quitté le DOGE depuis près d’un an, l’IA semble encore la solution apportée.

• Les proches d’Elon Musk veulent intégrer de l’IA dans l’informatique de l’État américain

« On a tellement de données », s’exclame-t-il devant nos confrères, « quand on les intègre dans l’IA, on obtient des informations très utiles. Cela peut nous aider à comprendre certaines choses, par exemple où il faudrait mener une enquête, ou quand il faudrait envoyer une assignation à un trader  ». L’agence explique, outre le développement d’outils internes, utiliser des outils comme Chainalysis, qui permet de faire des enquêtes sur les transactions de cryptomonnaies.

Michael Selig assure à nos confrères que l’agence est prête à affirmer sa compétence extraterritoriale sur des plateformes qui ne seraient pas installées aux États-Unis, tout en ajoutant ne l’envisager que dans « des circonstances extrêmes ». « Dans tout litige extraterritorial, notre autorité sera contestée, ce qui pourrait également nuire à notre capacité à intenter des poursuites à l’avenir », avoue-t-il, évoquant aussi la possibilité de s’en remettre à une autorité non états-unienne.

À inondation massive, solution massive

Alors que les plateformes de prépublications et éditeurs scientifiques sont inondés d’articles générés par IA, arXiv s’affiche plus sévère. Elle annonce une suspension d’un an pour celles et ceux qui soumettent des articles dont la génération n’a manifestement pas été vérifiée.

La plateforme pionnière de prépublication scientifique arXiv va suspendre pour un an tout chercheur qui aurait mis en ligne un article erroné et manifestement généré par IA.

« Si un article contient des preuves irréfutables indiquant que les auteurs n’ont pas vérifié les résultats générés par un grand modèle de langage (LLM), cela signifie que nous ne pouvons avoir confiance en quoi que ce soit contenu dans cet article », expliquait dans un thread sur X jeudi dernier Thomas Dietterich, le responsable adjoint de la plateforme.

Une année de suspension et un retour très balisé ensuite

Il ajoutait que l’équipe avait décidé d’une suspension d’un an de la plateforme pour tout auteur ayant signé un tel article. Après cette année de suspension, la plateforme acceptera les articles signés par cet auteur s’ils ont déjà été acceptés par une revue ou une conférence qui aura déjà effectué le filtre de relecture par les pairs. Autant dire que l’intérêt de mettre en ligne sur arXiv deviendra quasiment inexistant pour ces personnes.

« Notre code de conduite stipule qu’en apposant sa signature en tant qu’auteur d’un article, chaque auteur assume l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été élaboré », justifie-t-il.

Certains chercheurs comme l’économiste James D. Miller s’inquiètent du fait que tous les auteurs d’un article pourraient être sanctionnés : « Cela signifie-t-il donc que vous attendez de chaque auteur qu’il vérifie chaque référence et s’assure que chacune d’entre elles est authentique et exacte ? Que se passe-t-il si l’un des auteurs n’est pas en mesure de vérifier une référence parce que celle-ci est rédigée dans une langue qu’il ne maîtrise pas ou porte sur un sujet technique qu’il ne comprend pas, alors qu’un autre auteur de l’article en est capable ? », demande-t-il.

« Nous notons que les outils peuvent produire des résultats utiles et pertinents, mais aussi des erreurs ou des résultats trompeurs ; c’est pourquoi il est important de savoir quels outils ont été utilisés pour évaluer et interpréter les travaux scientifiques », expliquait le site dans sa politique de modération.

Et l’équipe d’arXiv y rappelait déjà à ses collègues « qu’en apposant leur signature en tant qu’auteur d’un article, ils assument chacun individuellement l’entière responsabilité de l’ensemble de son contenu, quelle que soit la manière dont celui-ci a été généré. Si des outils linguistiques d’IA générative produisent des propos inappropriés, du contenu plagié, du contenu biaisé, des erreurs, des fautes, des références erronées ou du contenu trompeur, et que ces résultats sont intégrés dans des travaux scientifiques, la responsabilité en incombe au(x) auteur(s) ».

Mais la masse d’articles contenant ce genre de problèmes est telle qu’arXiv semble avoir dû, si ce n’est relever la barre de la sanction, au moins la rendre publique.

Thomas Dietterich finit son thread en donnant quelques exemples de preuves indiscutables de ce genre d’utilisation : « références fantaisistes, méta-commentaires du LLM ( » voici un résumé de 200 mots ; souhaitez-vous que j’y apporte des modifications ? » ; « les données de ce tableau sont données à titre indicatif, complétez-le avec les chiffres réels issus de vos expériences ») ». Interrogé par 404 Media, il ajoute que la plateforme ne fera aucune exception à cette règle tout en ajoutant qu’une procédure d’appel existe et que les modérateurs de la plateforme doivent documenter clairement le signalement. Le responsable d’arXiv pour la discipline doit confirmer avant sanction.

Les revues et actes de conférences sont aussi inondés de genAI problématiques

Les plateformes de prépublication comme les revues scientifiques sont de plus en plus inondées d’articles générés par IA et non vérifiés. Récemment, une étude montrait que les actes des conférences scientifiques peuvent accueillir massivement des articles rédigés (ou générés par IA) dans le but de vendre aux chercheurs une place bien au chaud pour leur signature moyennant 11 à 400 dollars.

On peut aussi régulièrement repérer des articles scientifiques incluant des schémas fantaisistes générés par IA. Ainsi, on peut trouver, par exemple, cet article, publié en mars 2025 dans la revue Alexandria Engineering Journal éditée par Elsevier, censé présenter une modélisation mathématique de la mécanique cochléaire et des dysfonctionnements liés à la cochlée. On peut y trouver ce genre d’illustrations totalement fantaisistes et inappropriées :

L’article n’a actuellement pas encore été rétracté.

L’ACL prend aussi des mesures

Les plateformes de prépublication ne sont pas les seules à réagir. Ainsi, par exemple, les responsables de la conférence de l’Association for Computational Linguistics qui doit avoir lieu en juillet prochain ont dû publier une déclaration spécifique concernant le rejet d’articles contenant des références fantaisistes. L’organisation explique que beaucoup de propositions ont été rejetées dès le début pour ce genre de problème.

Mais elle ajoute que même après ces filtres, il y a eu des trous dans la raquette : « lors des derniers contrôles des versions finales des articles acceptés pour l’ACL 2026, nous avons identifié plus d’une centaine d’articles contenant des références à des publications inexistantes ». Et elle ajoute qu’« en conséquence, nous avons pris la décision de rejeter d’office ces articles acceptés afin de préserver la qualité et la fiabilité des actes du colloque ».

Un peu risqué, non ?

Google vient d’annoncer plusieurs nouveautés concernant la protection des utilisateurs. En coopération avec les deux ONG Reporters Sans Frontières et Amnesty International, l’entreprise a notamment mis en place un système de logs (optionnel) permettant de tracer les activités suspectes qui pourraient être la marque de l’intrusion de logiciels espions comme Pegasus.

Une nouvelle fonctionnalité mise en place par Google dans Android s’appelle « Intrusion Logging » Celle-ci fait partie du Mode Protection Avancée (en anglais, Android Advanced Protection Mode, AAPM) du système d’exploitation qui vise à renforcer la sécurité des appareils Android pour les « utilisateurs à risque », à savoir les défenseurs des droits humains, les militants, les journalistes et les dissidents qui pourraient être visés par des logiciels espions comme Pegasus ou Predator. Pour l’instant ce mode n’est disponible que sur les Pixel sous Android 16 et supérieur.

Google explique avoir développé Intrusion Logging « en collaboration avec Amnesty International et Reporters sans frontières, entre autres ».

Comme le rappelle Amnesty International, le Mode Protection Avancée met en place des protections supplémentaires contre d’éventuelles attaques. Ces protections peuvent varier selon la version d’Android mais le mode permet par exemple un verrouillage automatique si le smartphone est déconnecté de tout réseau ou si l’appareil détecte des mouvements trop rapides suggérant son vol, ou le redémarrage s’il reste verrouillé pendant trois jours.

Si ce mode est activé, Google Play Protect l’est aussi et toute installation d’application via une source inconnue est bloquée, rendant le passage par Google Play obligatoire.

Le mode inclut aussi le blocage du transfert de données par USB non autorisé précédemment si l’écran est verrouillé. Ainsi, l’extraction de données par des logiciels est rendue encore plus difficile. « Cela sera bientôt disponible sur davantage d’appareils Android », assure Google.

Système de logging très bavard, chiffré et stocké sur Google cloud

Mais l’ajout de l’ « Intrusion Logging » à ce mode permet à l’utilisateur d’activer, s’il le veut, un mode de journalisation de l’activité de son smartphone et de vérifier qu’un logiciel espion n’utilise pas certaines fonctionnalités sans qu’il s’en aperçoive.

Ainsi, par exemple, l’utilisateur peut vérifier si le téléphone a été déverrouillé par quelqu’un d’autre, s’il y a eu des utilisations suspectes de l’Android Debug Bridge (ADB) ou trouver la localisation d’un éventuel spyware.

Intrusion Logging suit aussi certaines informations de connexion et de DNS pour trouver des traces de communication avec une infrastructure qui pourraient être le signe d’une attaque Command and Control (C2), explique Amnesty :

« Ces logs sont particulièrement utiles car de nombreuses attaques sophistiquées 1-click reposent sur des redirections vers des pages leurres, qui entraînent des visites imperceptibles sur des sites web malveillants. Même si l’utilisateur ne remarque pas la redirection, la requête DNS et la tentative de connexion seront tout de même enregistrées et pourront être comparées à des indicateurs de compromission (IOC) connus. »

L’ONG assure que les logs sont chiffrés « à l’aide d’une clé générée par l’utilisateur avant d’être archivés en toute sécurité dans le compte Google de ce dernier. L’utilisateur peut ensuite accéder à ces journaux et les déchiffrer, mais ni Google ni aucun tiers non autorisé ne peut le faire ». Amnesty précise que « Par défaut, les journaux sont collectés une fois par jour et stockés sous forme chiffrée dans le cloud ».

Des limites et des risques

Dans son annonce, Amnesty pointe elle-même certaines limites de ce système. Comme on l’a déjà dit, AAPM n’est pour l’instant disponible que sur les appareils Google Pixel sous Android 16 et supérieur.

Il faut aussi que l’utilisateur ait lié son smartphone à un compte Google. Ajoutons que, les logs étant téléchargés sur le cloud de Google, l’utilisateur doit avoir une confiance importante dans le système de chiffrement mis en place par l’entreprise, car ces logs comportent énormément d’informations sensibles.

Et bien évidemment, le système doit être activé « avant qu’une attaque ne se produise (ou toute situation à haut risque susceptible d’y conduire), les logs ne peuvent pas être récupérés a posteriori ».

Le responsable du Security Lab d’Amnesty, Donncha Ó Cearbhaill, explique aussi à Cyberscoop que, pour l’instant, il est possible que les logs soient supprimés par les attaquants mais il ajoute que des mesures de protection devraient être ajoutées dans les prochaines versions pour l’éviter.

Il est toujours bon d'avoir un fusible

Le responsable de la filiale israélienne de Microsoft va quitter son poste après des révélations sorties l’année dernière sur l’accord entre l’unité 8200, agence de surveillance israélienne, et l’entreprise. Celui-ci a permis à Israël de mettre en place une surveillance numérique globale de la Cisjordanie et de Gaza.

Le directeur général de Microsoft Israël depuis 2022, Alon Haimovich, va quitter son poste. Selon le média israélien Globes, la filiale du géant étatsunien a annoncé son départ la semaine dernière.

Cette annonce fait suite au scandale déclenché par la révélation de la publication israélo-palestinienne + 972 Magazine, du magazine hébreu Local Call et du Guardian à propos d’un accord qui a permis le stockage de 11 500 To de données sur un cloud Azure créé en fonction des besoins spécifiques de l’armée israélienne qui voulait « tracer tout le monde, tout le temps ». C’était un vaste projet de surveillance de la population cisjordanienne étendu ensuite à Gaza et qui stockait et scannait leurs messages et appels.

Quelques jours après, des employés de Microsoft ont manifesté au siège américain de l’entreprise et certains, regroupé sous le nom No Azure for Apartheid appelaient leurs collègues « partout dans le monde » à « prendre la parole, quitter le travail, manifester et faire grève ». Deux membres de ce groupe ont ensuite été licenciés par Microsoft qui les accuse de l’effraction de bureaux lors de ces manifestations.

En parallèle, l’entreprise a annoncé avoir lancé un nouvel audit sur le recours de l’armée israélienne à Azure. Quelques semaines après, Microsoft a décidé de suspendre l’accès de ses services Azure à l’unité 8200, l’agence de surveillance israélienne qui utilisait le système pour la surveillance des palestiniens, en indiquant qu’elle avait enfreint ses conditions d’utilisation, qui interdisent l’utilisation de sa technologie pour faciliter la surveillance de masse.

Une pression publique qui a pesé sur le dos de Microsoft

Mais la pression publique sur Microsoft à propos de ce sujet n’est pas retombée complètement suite à cette décision. Selon Globes, la question a été abordée lors de l’assemblée générale annuelle des actionnaires en décembre dernier et des ONG comme Amnesty International et des militants européens ont continué à pointer le fait que des serveurs Azure situés en Europe avaient été utilisés par l’armée israélienne. Le fonds souverain Norvégien qui possède des actions dans Microsoft aurait aussi poussé à la publication d’un rapport sur « les risques liés à l’exercice de ses activités dans des pays où les violations des droits humains suscitent de vives inquiétudes » sans citer nommément Israël.

L’enquête initiale de nos confrères pointait aussi la relation entre le directeur exécutif de Microsoft Satya Nadella et le commandant de l’unité 8200 Yossi Sariel. Mais c’est donc finalement Alon Haimovich, directeur général de Microsoft Israël, qui quitte ses fonctions.

Le transfert des responsabilités de Microsoft Israël sur Microsoft France démenti

Ce départ sera effectif le 31 mai prochain, confirme l’entreprise dans un communiqué de presse qui n’évoque ni les révélations ni l’audit. Au contraire, Microsoft encense le responsable sous la responsabilité duquel « Microsoft Israël est devenu l’un des trois pays affichant la croissance la plus rapide au sein de son groupe de pays de référence au sein de l’entreprise, a franchi plusieurs étapes marquantes et a impulsé une transition vers le leadership en matière d’IA de pointe », soutient le communiqué.

Selon Globes, la direction mondiale de Microsoft aurait décidé de ne pas nommer de remplaçant à Alon Haimovich pour l’instant et la gestion de Microsoft Israël serait reprise par Microsoft France. Contactée par Next, celle-ci dément. De son côté, le communiqué de Microsoft publié sur le site de la région Europe, Moyen-Orient et Afrique affirme seulement que « Microsoft annoncera le successeur d’Alon en temps voulu ».

Des géants états-uniens qui travaillent avec le ministère de la Défense israélien, Microsoft est le seul à ne pas avoir signé de clause spéciale pour passer outre le contrôle d’autres États, contrairement à Google et Amazon, ce qui leur a permis d’obtenir en 2021 le contrat du « projet Nimbus » de refonte de l’infrastructure cloud de cette même armée. Selon des sources de Globes, Alon Haimovich a été nommé au poste de DG de Microsoft Israël pour essayer de conserver les contrats de Microsoft avec Israël comme ceux concernant les licences Office et Windows, malgré cela.

🙈🙈🙈

L’ONG Human Rights Watch pointe le laisser-faire de l’Europe concernant la vente des technologies de surveillance à des pays bien connus pour enfreindre les droits humains.

Selon un rapport de Human Rights Watch, l’Union européenne se montre incapable d’ « empêcher l’exportation de technologies de surveillance vers des pays qui bafouent les droits humains ».

La Commission européenne a mis en place, en 2021, un nouveau texte censé limiter l’exportation de technologies à double usage (technologies pouvant être utilisées à des fins civiles mais aussi militaires), et notamment les technologies de surveillance. Un peu plus tôt, des voix s’étaient élevées pour dénoncer un possible assouplissement des règles.

Human Rights Watch (HRW) a essayé d’obtenir des informations sur l’exportation de ce genre de systèmes de cybersurveillance en demandant aux autorités chargées de délivrer les licences prévues par le texte européen via les différents mécanismes encadrant la liberté d’accès aux documents administratifs dans chaque pays de l’UE comme la CADA en France. L’ONG pointe dans son rapport que l’Europe « détourne le regard » sur des ventes à des pays comme l’Azerbaïdjan ou le Rwanda.

La France, l’Allemagne, la Grèce, l’Italie et l’Espagne ne répondent pas

Mais, en premier lieu, elle note que « certains des plus grands exportateurs européens de matériel de cybersurveillance, à savoir la France, l’Allemagne, la Grèce, l’Italie et l’Espagne, ont rejeté [ses] demandes d’accès aux documents ou, dans un cas [la France], les ont ignorées ». De fait, très peu de pays ont répondu à l’ONG :

6 pays membres de l’Union (Bulgarie, Tchéquie, Danemark, Estonie, Finlande et Suède) ont renvoyé des données à HRW et 8 autres ont déclaré à l’ONG n’avoir signalé aucune exportation de matériel de cybersurveillance à la Commission européenne au cours des cinq dernières années. Les douze autres pays ont soit refusé soit ignoré la demande (la France donc).

L’ONG profite de son rapport pour rappeler le contexte de la mise en place du texte européen : « Quatre dirigeants de la société française alors connue sous le nom d’Amesys, devenue par la suite Nexa Technologies, ont été mis en examen en 2021 par un tribunal parisien pour « complicité d’actes de torture » liés au rôle joué par leur logiciel espion dans la facilitation de violations des droits de l’homme en Libye et en Égypte à la fin des années 2000 et au début des années 2010. Ces affaires sont toujours en cours, et les dirigeants ont nié les faits qui leur sont reprochés ».

• Surveillance de masse : la Cour d’appel valide la mise en examen d’Amesys/Nexa et de ses dirigeants

HRW souligne que « les informations dont dispose Human Rights Watch, bien qu’incomplètes, sont plus détaillées que celles publiées dans les rapports annuels de la Commission européenne ».

Des exportations problématiques via la Bulgarie, la République tchèque, le Danemark et la Pologne

Ainsi, l’ONG détaille les ventes de logiciels de cybersurveillance par la Bulgarie, la République tchèque, le Danemark, la Pologne, la Finlande et l’Estonie.

Pour cette dernière, les données récoltées par HRW indiquent des exportations vers la Suisse et l’Ukraine. Mais pour les 5 autres, la liste inclut des pays comme l’Azerbaïdjan pour la Bulgarie, le Rwanda pour la Pologne ou encore les Émirats arabes unis, l’Égypte et le Qatar pour la Finlande, par exemple.

« L’Azerbaïdjan, à l’instar d’autres gouvernements bénéficiaires, a depuis longtemps une pratique bien documentée de surveillance, qui conduit à des violations du droit à la vie privée et d’autres droits, en particulier à l’encontre des journalistes, des militants, ainsi que d’autres observateurs et voix critiques », rappellent l’ONG.

En Bulgarie, HRW pointe les activités de la société de surveillance Circles, une filiale de l’entreprise de logiciels espion plus connue NSO. Elle « commercialiserait un produit qui exploite des failles dans l’infrastructure internationale des télécommunications, ce qui, selon des chercheurs en sécurité, permet de localiser les utilisateurs de téléphones portables, d’intercepter leurs communications et, dans certains cas, d’infecter leurs appareils avec des logiciels espions ».

• NSO, l’éditeur du logiciel espion Pegasus, passe sous pavillon états-unien, et trumpien

« Selon certaines informations, Circles détenait une licence d’exportation depuis la Bulgarie qui a expiré en 2023, et les données publiques actuellement disponibles sur le site web du ministère bulgare de l’Économie et de l’Industrie indiquent que la société a obtenu des licences d’exportation depuis la Bulgarie pour la période 2023 - 2028 », explique l’ONG dans son rapport.

« Des technologies de surveillance européennes font l’objet de licences d’exportation vers des pays qui ont depuis longtemps, et de manière bien documentée, recours à des technologies similaires pour bafouer les droits humains, ce qui présente un risque sérieux qu’elles soient utilisées par ces gouvernements pour espionner des journalistes, des militants et d’autres voix critiques », réagit le chercheur Zach Campbell qui travaille à Human Rights Watch auprès de Bloomberg. « Il est évident que les institutions européennes, qui devraient contrôler ces exportations, ne le font pas. »

« La Commission européenne accorde une grande importance à la question des équipements de cybersurveillance, raison pour laquelle l’UE a considérablement renforcé les contrôles à l’exportation de ces équipements », affirme de son côté un porte-parole de l’institution interrogé par Bloomberg. Il ajoute cependant que les contrôles mis en œuvre par les États membres doivent être régulièrement mis à jour pour « s’adapter à l’évolution des risques et des menaces en matière de sécurité ».

Suite à la vague de deepfakes visant à dénuder des femmes perpétrée par des utilisateurs du réseau social X, xAI fait face en Europe à plusieurs enquêtes en cours, notamment ouvertes par la Commission de protection des données irlandaise (la Data Protection Commission, DPC), la Commission européenne et la justice française.

Mais l’entreprise d’Elon Musk semble vouloir jouer au jeu du chat et de la souris. Elle a discrètement changé plusieurs fois son point de contact officiel européen pour les utilisateurs voulant signaler d’éventuels problèmes liés au Digital Services Act. Le média Follow the Money a repéré une première adresse à Tallinn. Celle-ci était censée être celle d’EDSR (European Digital Services Representatives).

EDSR est un cabinet d’avocats situé à Bruxelles détenu en partie par Olivier Willocx, membre du Parlement de la région de Bruxelles-Capitale depuis 2024. Cette structure s’est notamment spécialisée dans l’accompagnement d’entreprises non européennes comme Telegram.

Cette adresse en Estonie a été ajoutée aux conditions d’utilisation de xAI peu de temps après l’ouverture de l’enquête de la DPC. Ainsi, en mars, on pouvait la retrouver sur la page des conditions d’utilisation alors que la page n’indiquait pas de tel point de contact en janvier dernier.

Follow the Money a voulu en savoir plus sur cette adresse et a pu constater physiquement qu’aucun bureau de EDSR ou xAI n’y figurait. Seule une boite aux lettres était installée à l’accueil alors que l’entreprise propriétaire du bâtiment indique à nos confrères ne pas louer de boîtes postales à des entreprises qui n’avaient pas de bureau dans l’immeuble et ne pas avoir conclu de contrat de location avec xAI ou EDSR.

Après avoir été contactée par Follow the Money, et sans donner aucune explication ni réponse, xAI a de nouveau changé l’adresse de contact, la situant dans un autre immeuble de la capitale de l’Estonie.

• X et Elon Musk visés par une information judiciaire en France

Le début d'une série ?

Ce 7 mai, une nouvelle faille dans le noyau Linux permettant d’obtenir les droits superutilisateur a été divulguée. Mais l’embargo sur sa découverte a été cassé par des tiers. Même si un moyen de l’endiguer a été disponible rapidement, les responsables de distributions Linux courent depuis pour proposer à leurs utilisateurs un noyau incluant un patch.

Ce week-end du 8 mai a été bien actif pour les administrateurs systèmes : un peu plus d’une semaine après la révélation de la faille Copy fail dans le noyau Linux, une autre vulnérabilité a été rendue publique le 7 mai dernier. Elle est maintenant décrite sous le nom de Dirty Frag.

Comme pour Copy fail, en l’exploitant, la faille permet une escalade des privilèges, c’est-à-dire qu’un utilisateur lambda d’une machine peut très facilement accéder aux droits d’accès superutilisateur et faire ce que bon lui semble. Encore faut-il avoir un compte sur la machine.

Embargo cassé

Cette faille a été détectée par le chercheur indépendant Hyunwoo Kim. Mais celui-ci n’avait pas prévu de diffuser l’information si tôt. Comme il l’a expliqué vendredi sur la liste de discussion oss-security, d’autres personnes ont outrepassé l’embargo fixé sur la divulgation de cette faille qui concerne la plupart des distributions Linux.

Ainsi, vendredi, au moment où il a posté le message, aucun patch n’existait et aucun numéro de vulnérabilité ne lui avait été affecté. Le seul moyen qu’il proposait pour endiguer son exploitation était de bloquer les modules dans lesquels le problème se trouvait via la commande :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Depuis, la communauté s’est affairée à mettre tout en place pour bloquer la faille. Ainsi, Hyunwoo Kim a créé un dépôt GitHub officiel sur le sujet pour décrire et c’est en fait deux CVE qui ont été créées : CVE-2026-43284 puis CVE-2026-43500. Le score de vulnérabilité de la seconde n’est pas encore fixé mais celui de CVE-2026-43284 est de 8,8. Comme pour Copy Fail, le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine et le score aurait été sans doute plus élevé si ça n’avait pas été le cas.

Une modification possible depuis 2017

Les deux vulnérabilités se situaient aussi, comme avec Copy Fail, dans la possibilité de modifier le page cache (celui de xfrm-ESP depuis 2017 pour la CVE-2026-43284 et celui de RxRPC depuis 2023 pour la CVE-2026-43500). Corrigées respectivement depuis le 5 et 10 mai dans les deux projets, Hyunwoo Kim souligne qu’ « en d’autres termes, la durée de vie effective de ces vulnérabilités est d’environ 9 ans ».

La similarité avec Copy fail n’est pas étonnante puisque Hyunwoo Kim explique que c’est la première faille qui a inspiré sa recherche d’autres du même type

Le chercheur donne aussi un PoC. À Next, nous avons testé sur un serveur dédié virtuel chez OVHCloud sur lequel est installé Ubuntu 25.04. Nous avons pu reproduire le comportement, ainsi n’importe quelle personne qui a un compte sur la machine peut devenir root et y faire ce qu’elle veut.

Dans sa documentation, avant de pouvoir déployer le correctif de votre distribution, Hyunwoo Kim propose la même façon d’endiguer le problème que dans son message sur la liste oss-security.

Comme l’explique Ubuntu sur son blog, celle-ci peut poser des problèmes si on utilise le protocole de VPN IPSec comme le logiciel strongSwan. C’est aussi le cas si on se sert du système d’archivage distribué AFS (Andrew File System) « ou d’une autre application utilisant RxRPC ».

Course pour patcher

Petit à petit, les responsables des distributions Linux déploient un correctif. C’est le cas pour certaines versions de Debian, par exemple. Mais, à cause du non respect de l’embargo, le déploiement n’était pas prêt lorsque la faille a été rendue publique. Sur un dépôt GitHub titré « Copy Fail 2: Electric Boogaloo », d’autres personnes ont publié des informations sur la faille en marge du travail de Hyunwoo Kim tout en le créditant.

Celui-ci explique avoir contacté l’équipe de sécurité du noyau Linux le 30 avril avec un exploit montrant les possibilités d’utilisation de la faille et que le chercheur Kuan-Ting Chen a travaillé en parallèle sur le problème. Celui-ci a proposé un patch le 4 mai sur la liste netdev et il a été intégré à la branche netdev le 7 mai. Hyunwoo Kim a ensuite informé les responsables des distributions Linux sur la linux-distros et un embargo de cinq jours a été fixé. Mais celui-ci a donc été cassé par un tiers, ce qui a précipité la mise en place d’une solution. Comme avec Copy Fail, les administrateurs systèmes se sont donc retrouvés avec des informations partielles sur le problème au moment de la divulgation.