Auditer les protocoles ne suffit pas

Des chercheurs et chercheuses ont repéré deux failles dans l’application Signal. Leurs exploitations permettaient d’insérer des messages dans des conversations entre individus ou de groupes. Elles ont été corrigées.

En septembre dernier, des chercheurs et chercheuses de l’École polytechnique fédérale de Zurich et du Max Planck Institute allemand ont signalé deux failles à l’équipe de Signal. Leurs exploitations n’étaient pas triviales, mais combinées, et permettaient d’insérer des messages dans une conversation. Depuis, l’application a été patchée mais les chercheurs appellent à un audit plus complet de l’application.

Signal a profondément changé l’univers des messageries en boostant l’usage de protocoles de chiffrement robustes, comme le reconnaissent les trois chercheurs Kenneth G. Paterson, Kien Tuong Truong et la chercheuse Noemi Terzo. Libsignal est une bibliothèque d’algorithmes et de protocoles de cryptographie utilisée dans de nombreux projets.

En 2016, WhatsApp finalisait l’intégration du protocole de chiffrement imaginé par les équipes de Signal. Et en 2023, Signal adaptait son protocole pour résister à de futures attaques via des ordinateurs quantiques, qui auront des capacités de calcul beaucoup plus importantes. Quelques mois plus tard, Apple suivait.

Une première faille dans l’implémentation de la pseudonymisation de Signal

Mais les trois chercheurs ont creusé un peu l’implémentation des différents protocoles dans l’application de Signal. Et ils ont trouvé une première faille dans la mise en place de la pseudonymisation annoncée officiellement en 2024 dans la version Android et Desktop de l’application, expliquent-ils dans un article mis en ligne sur la plateforme de prépublication spécialisée Cryptology ePrint Archive.

• Signal passe au nom d’utilisateur et cache le numéro de téléphone

Inintelligence artificielle

Dans un procès remettant en cause les suppressions de financements décidées l’année dernière par l’administration Trump, on découvre que le DOGE a pris ces décisions via de simples prompts dans ChatGPT.

L’année dernière, l’administration Trump a confié le démantèlement d’une grande partie des agences de la recherche américaine au DOGE, conduit à l’époque par Elon Musk. Plusieurs sociétés savantes américaines ont attaqué en justice les décisions prises au nom de la National Endowment for the Humanities (NEH), l’agence américaine de financement des recherches en sciences sociales. Celles-ci dénoncent le fait que plus de 1 400 programmes de recherche, représentant un montant total de 100 millions de dollars, ont été annulés en utilisant une simple question à ChatGPT.

« Les éléments suivants ont-ils un rapport avec D.E.I. [les politiques de Diversité, équité et inclusion, ndlr] ? Réponds de manière factuelle en moins de 120 caractères. Commence par « Oui » ou « Non » ». Voilà le prompt que les jeunes recrues du DOGE utilisaient pour sélectionner les projets de financements à annuler au sein de la NEH, explique le New York Times.

• L’administration Trump efface et censure au moins 200 mots, dont injustice et pollution

Cela faisait suite à l’un des premiers décrets pris par Donald Trump après le jour de son investiture, dans lequel le dirigeant états-unien ciblait précisément comme « illégaux » tous les programmes de « diversité, équité et inclusion ». Les salariés de l’agence avaient déjà discriminé les projets de recherche en plusieurs catégories. Mais le DOGE, en prenant les rênes comme il l’a fait pour d’autres agences comme la National Science Foundation ou la National Oceanic and Atmospheric Administration, n’en a pas tenu compte.

• DOGE : la FAA, la NASA et la FDA visées pendant qu’une IA à base de Grok est en préparation

Au lieu de ça, « Les deux membres du DOGE ont utilisé ChatGPT pour identifier les subventions associées à un point de vue contraire et supposé dangereux : la promotion de la « DEI » », explique le texte de la plainte [PDF], cosignée par plusieurs sociétés savantes.

Des projets non financés parce qu’ils parlaient de minorités

Les deux agents du DOGE, Justin Fox et Nate Cavanaugh n’avaient aucune formation en sciences humaines et sociales avant d’effectuer cette mission de sélection de financement de la recherche dans ces domaines pour le DOGE.

Leur prompt leur a donné des réponses toutes faites pour supprimer des financements de projets scientifiques qui étaient en place, parfois depuis des années. Ainsi, comme on peut le voir dans cette liste [PDF], un projet de réunion des archives consacrées aux langues autochtones en Alaska risquait, selon ChatGPT, de « promouvoir l’inclusion et la diversité des points de vue ».

Mais on peut voir aussi que le financement d’un projet de film sur le sociologue W.E.B du Bois, premier Afro-américain a obtenir un doctorat aux États-Unis, a été supprimé parce que ChatGPT a généré une réponse affirmant que « la biographie, l’activisme et les écrits de W.E.B. Du Bois contribuent à la compréhension des contextes historiques et sociaux liés à la politique de Diversité, équité et inclusion » et répondant donc « oui » au classement dans des sujets étiquetés « DEI ».

De la même manière, le projet d’un documentaire sur des femmes juives réduites en esclavage pendant la Shoah a été estampillé DEI par ChatGPT car il aurait « amplifié les voix marginalisées ».

Un documentaire sur le Massacre de Colfax, qui vit une milice blanche tuer 150 anciens esclaves libérés, a aussi été stoppé. Sur celui-ci, dans sa déposition publiée sur YouTube par l’American Historical Association, l’une des co-plaignantes, Justin Fox justifie le choix en affirmant que le projet de documentaire « se concentre sur une seule race. Il n’est pas pour le bénéfice de l’humanité ».

Si ce sont ces deux agents du DOGE qui ont sélectionné avec ChatGPT les financements à supprimer, l’un des responsables de l’agence, Michael McDonald, a bien validé la liste suivant la volonté de l’administration Trump de « faire table rase », comme il l’a expliqué lors de l’enquête.

La meilleure publicité pour la nécessité d’une éducation aux sciences humaines ?

« Le principe selon lequel la connaissance de l’histoire, de la littérature, de la religion, de la philosophie et des arts est nécessaire pour maintenir une nation forte et résiliente a poussé le Congrès à créer la NEH », a déclaré dans un communiqué Joy Connolly, la présidente de l’American Council of Learned Societies, l’une des sociétés savantes qui ont entamé ce procès :

« Notre action en justice révèle le mépris de cette administration pour ce principe et pour l’investissement public dans la recherche pour le bien commun. L’utilisation par les employés du DOGE de ChatGPT pour identifier les subventions « inutiles » est peut-être la meilleure publicité pour la nécessité d’une éducation aux sciences humaines, qui développe les compétences en matière de pensée critique. »

Interrogés par le New York Times, ni Michael McDonald, ni Justin Fox, ni Nate Cavanaugh, ni le National Endowment for the Humanities n’ont répondu.

Rappelons qu’en 2023, Bruno Bonnell, secrétaire général pour l’investissement en France, rêvait, lui, d’une IA pour présélectionner les projets de recherche pour les financements de France 2030.

• L’IA pour attribuer des financements de recherche ?

Dans un billet de blog, la CEO de Bluesky explique qu’elle abandonne la tête de l’entreprise. Jay Graber a rejoint Bluesky en 2019 alors que le réseau social n’était qu’un projet et a été à la tête de l’entreprise dès sa création officielle en 2021.

La responsable du réseau social, qui réunit un peu plus de 43 millions d’utilisateurs, affirme que l’entreprise a désormais besoin d’une personne qui se concentre sur la croissance et la performance pendant que elle « retourne à ce que [elle fait] le mieux : construire de nouvelles choses ».

Jay Graber a un profil très technique d’ingénieure logiciel et est arrivée dans l’équipe de Bluesky pour travailler sur le framework décentralisé du réseau social. Elle ne quitte pas l’entreprise et va occuper le poste de directrice de l’innovation, qui n’existait pas jusque-là au sein de Bluesky.

Dans son billet, elle annonce passer la main, pour une période d’intérim, à Toni Schneider, ancien CEO d’Automattic (de 2006 à 2014) et toujours partenaire dans la société de capital-risque True Ventures.

Dans un billet de blog, Toni Schneider affirme qu’il était sceptique sur la réussite d’un réseau social décentralisé, mais « Bluesky a changé cela. Après avoir entendu leur vision et, plus important encore, découvert l’architecture qu’ils avaient mise en place (le protocole AT), je suis devenu un adepte ». Pour lui, son rôle sera de « contribuer à mettre en place la prochaine phase de croissance de Bluesky », tout en expliquant qu’il n’abandonne pas son rôle chez True Ventures.