CPUID, l’éditeur des utilitaires CPU-Z et HWMonitor, a été victime d’un hack ayant permis à des malandrins de distribuer un cheval de Troie à la place de ces deux outils. Les liens de téléchargement officiels ont été modifiés pour pointer vers des fichiers malveillants. L’attaque a eu lieu entre les 9 et 10 avril. La situation est désormais sous contrôle.

Ces deux logiciels comptent des millions d’utilisateurs. CPU-Z est un outil d’identification des composants d’un PC, HWMonitor surveille les capteurs (température, ventilos, etc.). Ceux qui ont eu le malheur de télécharger ces utilitaires durant l’attaque se sont retrouvés avec une variante malveillante de HWiNFO, un outil de diagnostic créé par un autre développeur.

Le logiciel piégé, baptisé « HWiNFO_Monitor_Setup », installe un malware d’origine russe depuis un nom de domaine compromis, détaille vx-underground. Il agit de manière progressive en plusieurs étapes pour ne pas éveiller les soupçons, exécute ses actions directement dans la mémoire vive en évitant d’écrire sur le disque du PC, et utilise des techniques d’évasion pour échapper aux antivirus et aux systèmes de détection. 

Le fichier compressé de l’application vérolée est tout de même identifié par une vingtaine d’antivirus, qui le classent comme un cheval de Troie ou un infostealer. Samuel Demeulemeester, alias Doc Teraboule, le développeur derrière CPU-Z et HWMonitor, a assuré que la faille avait été identifiée et corrigée. 

Si l’enquête est toujours en cours, il semble qu’une fonction secondaire (une API annexe) a été compromise « pendant environ six heures entre le 9 et le 10 avril ». Doc TB précise à Next que les liens vers le fichier vérolé sont restés en ligne sur le site de CPUID entre 2 h et 8 h (heure française). Seules les dernières versions de CPU-Z et HWMonitor proposées sous la forme d’un fichier compressé .ZIP ont été touchés, pas les .EXE. Il précise aussi que l’app malveillante n’étant pas signée, elle déclenchait donc Windows Defender immédiatement à l’extraction. De quoi limiter l’impact de l’infection.

Important aussi à avoir en tête : les fichiers hébergés sur le serveur de CPUID n’ont pas été compromis, uniquement les liens du site web. Les mises à jour automatiques des logiciels n’ont pas été touchées. Concernant l’attaque en elle-même, son envergure était a priori prévue pour être plus importante encore, puisque les pirates sont parvenus à compromettre les clés TLS privées en exploitant une faille Apache (les certificats compromis ont été révoqués).

Le développeur, toujours à pied d’œuvre, a pu réagir rapidement grâce aux experts en sécurité (et Reddit !) qui lui ont donné un coup de main.

• Après Trivy, Axios : une attaque chirurgicale et violente de la supply chain

Faire dire ce qu‘on fait. et essayer de faire ce qu’on a fait dire

« Moi aussi, moi aussi, moi aussi » ! C’est la première réaction que nous avons eue face aux récentes « fuites » des plans d’OpenAI pour contrer Mythos d’Anthropic. L’entreprise de Sam Altman veut marquer sa différence sur deux plans – la puissance de calcul et les performances – tout en copiant Anthropic avec un nouveau palier intermédiaire à 100 euros par mois.

Anthropic roi de la com’ sur Claude ?

Anthropic sait jouer avec les médias – certains diraient manipuler –, c’est une certitude. Nous l’avons d’ailleurs longuement expliqué dans une précédente actualité sur les annonces « sensationnelles » des derniers mois et la « fuite » de plusieurs milliers de documents sur Mythos.

La fuite de Claude Code était différente puisqu’elle ne fait pas seulement le jeu d’Anthropic mais aussi celui de ses concurrents qui peuvent étudier de près le fonctionnement de l’IA générative. Cette fois-ci, Anthropic avait tenté en vain de faire retirer le code source, alors qu’elle surfait gentiment sur la fuite de Mythos. Deux salles, deux ambiances.

• Anthropic : entre annonces et Mythos
• Anthropic dévoile Mythos, son modèle d’IA chasseur de failles… réservé à certains
• Anthropic face à la fuite de Claude Code : tout comprendre en trois questions

Revenons justement à Mythos, annoncé officiellement quelques jours après la fuite. Pas de grosses surprises, principalement la confirmation des informations qui avaient été mises en ligne quelques jours auparavant, à savoir que le modèle est tellement « puissant », selon Anthropic évidemment, qu’il n’est proposé qu’à une poignée de partenaires triés sur le volet. L’entreprise accompagne son annonce d’un long document de 244 pages traitant notamment des performances et des tests de Mythos.

OpenAI contre-attaque, en deux temps

Meta gêné aux entournures. Le géant des réseaux sociaux a nettoyé Facebook, Instagram, Threads et Messenger de dizaines de publicités pour des firmes d’avocats proposant leurs services… contre Meta. Fin mars, l’entreprise et YouTube étaient condamnés par une cour californienne à verser un total de 6 millions de dollars à une jeune plaignante souffrant de troubles de la santé mentale suite à son usage de leurs services.

Il a été démontré que Meta et YouTube avaient mis en place des fonctions visant à créer une dépendance à leurs plateformes. Les deux groupes ont annoncé faire appel, mais tout de même : cette décision de justice pourrait faire jurisprudence.

On a même parlé d’un moment « big tobacco » pour ces réseaux sociaux, en référence à ces grands procès des années 90 qui ont établi la responsabilité des fabricants de cigarettes, non seulement pour les dégâts provoqués par leurs produits sur la santé, mais aussi pour les mécanismes d’addiction qu’ils avaient eux-mêmes contribué à mettre en place.

Évidemment, la comparaison n’est pas flatteuse et Meta ne veut absolument pas être pris dans cette nasse. Les appels confirmeront ou infirmeront la décision judiciaire, mais sans attendre, les avocats spécialisés dans les litiges cherchent à en tirer profit. Des publicités ont ainsi commencé à fleurir sur les réseaux sociaux du groupe, pour recruter de nouveaux plaignants en vue de constituer des actions collectives. Ces procédures (« class actions ») peuvent déboucher sur des indemnisations substantielles, synonymes d’honoraires substantiels.

Dans une de ces pubs repérées par Axios, on peut lire : « Anxiété. Dépression. Dépendance. Automutilation. Ce ne sont pas de simples phases de l’adolescence — ce sont des symptômes liés à l’addiction des enfants aux réseaux sociaux. Les plateformes le savaient et ont continué à cibler les plus jeunes malgré tout. » Meta n’a pas apprécié, et a supprimé ces réclames. Quelques-unes seraient toujours actives, mais l’entreprise veille au grain.

Meta s’appuie sur une clause de ses conditions d’utilisation qui lui permet de supprimer des contenus « si nous estimons que c’est raisonnablement nécessaire pour prévenir ou limiter une utilisation abusive de nos services ou des conséquences juridiques ou réglementaires défavorables pour Meta ».

Un porte-parole confirme que l’entreprise supprimera les publicités visant à recruter des plaignants sur la base de cette décision de justice. « Nous ne permettrons pas à des avocats spécialisés dans les litiges de tirer profit de nos plateformes tout en affirmant qu’elles sont nocives. »

L’Agence nationale des fréquences (ANFR) a demandé à deux fabricants d’équipements réseau de rappeler un routeur Wi-Fi commercialisé sur le sol français en raison de manquements constatés au niveau des conditions d’utilisation du spectre radio dans la bande des 5 GHz.

Les deux appareils concernés sont le routeur Mantbox 52 15S de Mikrotik et le Wavlink Aerial HD6 AX1800. Les deux sociétés qui les commercialisent sont formellement invitées à retirer les références correspondantes du marché, et à rappeler les routeurs déjà vendus. L’ANFR rappelle qu’en l’absence de réponse adaptée de la part du fabricant, il incombe au distributeur de prendre lui-même les mesures de retrait et de rappel nécessaires.

L’ANFR ne précise pas la nature exacte des manquements constatés, mais donne un indice sur ses motivations : « L’utilisation de la bande 5 GHz repose notamment sur la mise en œuvre de mécanismes de partage du spectre visant à garantir la coexistence entre différents services et applications. Leur non-respect est susceptible de provoquer des brouillages préjudiciables, en particulier vis-à-vis de systèmes sensibles comme les radars météorologiques. »

Les deux routeurs concernés sont des appareils destinés au marché entreprise, et adaptés à une installation en extérieur. Le Mikrotik mANTBox 52 15 s est considéré comme en fin de vie par son fabricant.

• « Alerte pelleteuse » : des engins de chantiers brouillaient… la téléphonie mobile

La Wii est un Mac comme un autre, la preuve : la vénérable console de Nintendo peut faire tourner Mac OS X ! Il n’y avait fondamentalement aucun obstacle insurmontable, il suffisait « juste » de plonger les mains dans le cambouis très profondément. Bryan Keller, développeur de son état, avait cette envie depuis l’université, en 2013. Mais difficile de se lancer dans un tel projet sans une solide motivation (et un peu de temps devant soi).

Le déclic est arrivé l’an dernier, lorsqu’il a appris que Windows NT avait été porté sur la Wii. La console est ouverte à la bidouille : Linux et NetBSD peuvent ainsi fonctionner dessus. Porter Mac OS X (10.0 Cheetah, la première version du système d’exploitation de 2001) n’était pas, sur le papier, complètement farfelu. Après tout, la Wii tourne avec un processeur PowerPC 750CL, une évolution du PowerPC 750CXe utilisé dans l’iBook G3 et présent dans certains modèles d’iMac G3.

Côté logiciel, Mac OS X repose sur un cœur open source (Darwin) dont les composants peuvent être modifiés pour permettre aux éléments propriétaires, comme le Finder, le Dock et les apps d’Apple, de tourner sans avoir à les modifier. Sur la Wii, une partie du travail a été mâché grâce au jailbreak de la console.

Il a fallu ensuite se plonger dans les spécificités matérielles de la console, comme par exemple Hollywood. Ce système-sur-puce intègre un coprocesseur ARM pour que le processeur de la Wii puisse communiquer avec son GPU, la carte SD, le stockage, le Wi-Fi, le Bluetooth, etc. Bryan Keller a développé un pilote pour Hollywood, mais aussi pour le lecteur de carte SD afin de booter sur Mac OS X.

Une fois ces bases posées, le système tentait bien de lancer l’interface graphique de Mac OS X, mais sans pilote adapté, impossible d’afficher quoi que ce soit correctement. Le composant WindowServer, chargé de gérer l’affichage, refusait tout simplement de fonctionner. Le bidouilleur a dû s’attaquer à un élément fondamental : le framebuffer. C’est une zone de mémoire vive contenant les données de chaque pixel affiché à l’écran. Faute de pilote compatible avec le matériel de la Wii, il a donc fallu en écrire un de toutes pièces pour permettre à Mac OS X d’afficher son interface.

On vous passe les autres péripéties techniques qui ont occupé Bryan Keller de longues heures (jours/semaines). Le résultat est là : Mac OS X tourne donc sur une Wii, qui prend même en charge un clavier et une souris via son port USB. « Il y a quelque chose de profondément satisfaisant dans le fait de réussir quelque chose dont on n’était même pas sûr, au départ, que ce soit possible », explique-t-il.

Pour les amateurs qui voudraient s’occuper le temps d’un week-end, le développeur a publié tout l’attirail logiciel de sa solution wiiMac sur GitHub.

Role model

L’État affiche ses ambitions en matière de souveraineté numérique, avec une première décision aux accents symboliques : la Dinum, sa direction interministérielle du numérique, se prépare à passer de Windows à Linux sur ses postes de travail. Elle coordonnera par ailleurs les travaux préparatoires des ministères et opérateurs publics, auxquels est confiée la mission de formaliser leur plan de réduction des dépendances extra-européennes d’ici l’automne.

Après les paroles, place aux actes ? Dans la foulée de son plan d’action dédié à la cybersécurité des établissements publics, l’État a dressé jeudi un panorama de ses nouveaux engagements en matière de « souveraineté numérique », présentée comme une réduction des « dépendances extra-européennes ».

Synthétisés dans un communiqué, ces engagements s’ouvrent par une première décision : la direction interministérielle du numérique (Dinum) va ainsi basculer ses postes de travail de Windows vers Linux.

La distribution retenue n’a pas été précisée, mais la Dinum développe en propre un projet de système d’exploitation sécurisé, basé sur NixOS et baptisé Sécurix. « Grace à NixOS, ce modèle de PC sécurisé est ré-instantiable pour des cas d’usages variables: poste multi-agent, poste multi-niveaux, poste en intranet seulement, etc. avec des équipes différentes, des souches de VPN différents », décrit le projet. Reste à voir si le logiciel, actuellement au stade de l’alpha et sans support proposé à date, est considéré comme suffisamment robuste pour un déploiement en production ?

En attendant, avec 234 agents inscrits à l’effectif, cette migration revêt une dimension essentiellement symbolique, mais elle se veut le signal d’une impulsion concrète, que la Dinum devra s’efforcer de faire infuser dans les différents ministères et opérateurs publics.

Des plans d’action dans chaque ministère d’ici l’automne

Elle est en effet chargée de coordonner un « plan interministériel de réduction des dépendances extra-européennes », dans le cadre duquel chaque établissement concerné doit formaliser son propre plan d’action d’ici l’automne. Les axes de travail évoqués sont les suivants : « poste de travail, outils collaboratifs, anti-virus, intelligence artificielle, bases de données, virtualisation, équipements réseau ».

« Ces plans d’action permettront de donner de la visibilité quant aux besoins de l’État à la filière industrielle du numérique, qui dispose d’atouts majeurs qu’il convient de valoriser par la commande publique », promettent les services de la Dinum. Une forme de gage de confiance par rapport aux attentes exprimées par les acteurs français du logiciel et du service informatique, mais aussi une réponse indirecte aux virulentes critiques émises en octobre 2025 par la Cour des comptes.

Cette dernière fustigeait notamment le manque de coordination entre les différents services de l’État, la sous-utilisation des clouds interministériels déjà déployés et l’absence d’une réelle stratégie chiffrée (en sens financier) en matière de souveraineté numérique.

En attendant de juger sur pièce des plans d’action attendus pour l’automne, la méthode adoptée se veut une réponse à la problématique soulevée en matière de coordination. Les annonces gouvernementales font d’ailleurs suite à un séminaire interministériel qui a également associé des opérateurs publics et privés. Avec des échanges fructueux, selon la Dinum :

« Le séminaire a permis de lancer une nouvelle méthode pour sortir des dépendances en formant des coalitions inédites associant ministères, grands opérateurs publics et acteurs privés. Cette démarche vise à fédérer les énergies publiques et privées autour de projets précis, en s’appuyant notamment sur les communs numériques et les standards d’interopérabilité (initiatives Open-Interop, OpenBuro). »

Il appartiendra par ailleurs à la direction des achats de l’État (DAE) de cartographier les dépendances aux solutions extra-européennes, pour « affiner » un objectif chiffré de réduction qui n’a, pour l’instant, pas été communiqué.

L’Assurance maladie adopte certains services de LaSuite

Ses postes de travail tournent toujours sous Windows, mais la Caisse nationale d’assurance maladie a annoncé le 1^er avril dernier le déploiement prochain de certains services issus de LaSuite auprès de ses 80 000 agents. Rappelons que LaSuite, ou la Suite numérique, est un ensemble d’outils et de services développés en interne par la Dinum, en open source et à destination des établissements publics.

« La convention signée aujourd’hui marque une nouvelle étape : elle prévoit le développement de fonctionnalités spécifiques aux besoins de l’Assurance Maladie, une intégration renforcée de LaSuite dans les processus métiers de la Cnam, ainsi qu’une contribution active de la Cnam à la feuille de route technique de la solution », indiquait alors l’organisme, sans préciser le périmètre exact de la migration.

Dans sa communication du 9 avril, la Dinum évoque quant à elle trois des outils du socle numérique interministériel : l’application de messagerie Tchap , le service Visio (dont l’usage est censé être généralisé à l’intégralité des agents de l’État d’ici 2027) et l’outil France Transfert.

Reste à voir ce que décidera la Cnam pour le reste de ses outils, et dans quelle mesure les solutions intégrées à LaSuite seront susceptibles d’entraîner le décommissionnement de technologies extra-européennes. Aujourd’hui, la Cnam exploite par exemple Exchange et Sharepoint (Microsoft), avec un hébergement assuré en propre, protégé par des solutions Proofpoint (US) et Trend Micro (Japon).

• Municipales : « passer aux logiciels libres, c’est faisable, on l’a fait », mais…

Si c’est gratuit… c’est ?

Google et Oracle proposent des VM gratuites, sans limite de durée. Elles sont chiches en caractéristiques techniques, mais c’est largement suffisant pour installer un gestionnaire de mots de passe comme Vaultwarden, et ainsi en profiter gratuitement. Next vous explique les conditions et détaille la procédure.

Nous avons déjà présenté plusieurs hébergeurs proposant des VPS (d’autres arrivent) pour une poignée d’euros par mois, de quoi disposer d’un petit serveur à moindre coût pour héberger quelques projets. Nous avons aussi mis en ligne un tuto pour renforcer la sécurité face aux milliers d’attaques que subissent les machines chaque jour.

• [Test] VPS pas cher (5 euros) : Ionos fait la différence avec des vCore AMD EPYC
• [Test] VPS pas cher (5 euros) : LWS utilise la virtualisation LXC(FS) et impose des bridages
• [Test] VPS pas cher (5 euros) : OVHcloud, la force tranquille, équilibrée et très stable
• [Test] VPS pas cher (5 euros) : Hetzner n’est ni bon ni mauvais, dans la moyenne (basse)

Du gratuit qui peut durer… mais aussi prendre fin

Mais il existe aussi des offres gratuites. Oui, vraiment gratuites dans le sens où elles n’ont pas une durée ou un montant prédéfini. Attention, cela ne veut pas dire pour autant qu’elles seront éternellement gratuites, les conditions peuvent évoluer et changer.

Scaleway, par exemple, proposait pendant des années 75 Go de stockage objet gratuitement (de quoi héberger gratuitement un site statique), avant de changer son fusil d’épaule fin 2023 pour monter jusqu’à 750 Go… mais pendant 90 jours seulement.

Dans le domaine des VPS, Google et Oracle proposent tous les deux des machines virtuelles gratuites. Il y a quelques points communs, notamment l’absence de support technique (les forums communautaires restent accessibles), mais les caractéristiques techniques et conditions d’utilisation sont bien différentes entre les deux. Oracle est le plus strict et se réserve notamment le droit de récupérer des instances qu’il juge « inactives ». On vous explique.

Google Free Tier avec une instance de VM e2-micro gratuite

Après le commerce en ligne et le cloud computing, Amazon pourrait-il devenir un vendeur de puces, et donc un concurrent direct de NVIDIA ? L’hypothèse est explicitement évoquée par Andy Jassy, CEO d’Amazon, dans sa lettre annuelle aux actionnaires, publiée le 9 avril.

Il y décrit comment les semiconducteurs sont devenus une activité de premier plan pour le groupe, avec un impact financier loin d’être anecdotique, même s’il ne transparait pas directement dans le compte de résultat. Les puces conçues par Amazon sont en effet aujourd’hui destinées, de façon quasi exclusives, aux datacenters et services Amazon, à commencer par Bedrock. Elles n’en représentent pas moins, selon Jassy, une activité supérieure à 20 milliards de dollars sur 2025, avec une croissance annuelle à trois chiffres.

« Si notre activité de puces était indépendante et vendait les puces produites cette année à AWS et à d’autres tiers (comme le font d’autres leaders du marché), notre chiffre d’affaires annuel avoisinerait les 50 milliards de dollars, écrit Andy Jassy, avant d’ouvrir la porte à une possible mise sur le marché : La demande pour nos puces est telle qu’il est fort probable que nous en vendions des racks entiers à des tiers à l’avenir. »

Le CEO illustre à dessein son propos en rappelant l’expérience déjà acquise avec ses processeurs Graviton, lancés en 2018. « Dans le domaine des processeurs, la quasi-totalité des charges de travail s’exécutait sur des puces Intel jusqu’à l’invention de Graviton en 2018. Graviton, qui offre un rapport prix/performances jusqu’à 40 % supérieur à celui des autres processeurs x86, est désormais largement utilisé par 98 % des 1 000 principaux clients EC2 ».

Les puces Trainium 3 annoncées fin 2025 et les futures Trainium 4 connaitraient des trajectoires similaires. Andy Jassy affirme ainsi que la production de Trainium 3 est déjà quasi intégralement vendue en interne, et qu’une part significative du contingent Trainium 4 est déjà réservée, alors que la production de masse n’est attendue que d’ici 18 mois.

Si l’interne reste présenté comme la priorité numéro un, Amazon n’exclut donc pas de mettre ses puces directement sur le marché, ce qui serait à la fois une façon de s’ouvrir un nouveau marché et d’améliorer ses économies d’échelle. Une stratégie déjà envisagée par Google : le moteur de recherche a en effet commencé à proposer ses TPU à des acteurs tiers du cloud computing tels que Crusoe, CoreWeave ou Fluidstack. La vente devient ainsi une alternative au modèle traditionnel de location de ressources qui constitue le socle des offres AWS ou GCP.

L’arrivée d’Amazon sur le marché de la fourniture de composants dédiés à l’IA serait une pierre lancée dans le jardin de l’actuel leader du marché. « Nous entretenons un partenariat solide avec NVIDIA, nous aurons toujours des clients qui choisissent d’utiliser des solutions NVIDIA et nous continuerons à faire d’AWS la plateforme de choix pour exécuter des solutions NVIDIA. Cependant, les clients recherchent un meilleur rapport prix/performances. Nous avons déjà connu cette situation. » prévient Andy Jassy.

Mastodon a donné jeudi un avant-goût de la prochaine fonctionnalité phare de sa version 4.6, pensée principalement pour accompagner les nouveaux utilisateurs dans leur découverte du fédivers : les Collections. Ouvertement inspirées des « starter packs » proposées par Bluesky, ces collections ont vocation à réunir au sein d’une même enveloppe un ensemble de comptes à suivre.

L’implémentation se veut cependant plus fine que celle adoptée par Bluesky : Mastodon prévoit en effet un système permettant à l’internaute de consulter les Collections auxquelles son compte a été ajouté et éventuellement d’en disparaitre, sans avoir à bloquer la personne qui en est à l’origine. Mastodon fait par ailleurs le choix de limiter ses Collections à 25 comptes, sans s’interdire d’étendre cette limite plus tard.

« Sur Mastodon, les Collections continueront de privilégier la qualité à la quantité. Nous pensons que des Collections plus petites permettront de réduire les comportements de spam parfois observés sur Bluesky (où les Packs de démarrage sont limités à 150 comptes) », commente Imani Joy, responsable du design dans la nouvelle équipe qui préside aux destinées du projet, selon qui la bonne formule se situe sans doute quelque part entre 25 et 80 comptes par liste. « Cette fourchette reste large, et nous avons choisi de commencer par la limite inférieure car il est techniquement beaucoup plus simple de l’augmenter ultérieurement que de la réduire ».

Avec ces Collections, Mastodon offre donc la possibilité de partager publiquement une sélection de comptes à suivre, là où les « listes » disponibles de longue date sont à usage privé, et le resteront vraisemblablement. « De nombreuses personnes ont demandé des listes publiques et partageables, mais nous ne disposons pas actuellement de l’infrastructure nécessaire pour développer un système d’une telle envergure », indique Imani Joy.

Les Collections peuvent à ce stade être partagées publiquement via un lien, mais il n’est pas encore prévu de les rendre accessibles via la recherche ou les outils de découverte. À terme, elles devraient toutefois être proposées comme outils de suggestion aux administrateurs d’instance.

Mastodon indique par ailleurs préférer ne pas proposer, pour l’instant, de bouton permettant de suivre automatiquement tous les comptes d’une Collection. « Nous envisageons cette possibilité, mais nous souhaitons l’aborder avec prudence. Nous avons constaté que certains utilisateurs de Bluesky s’abonnaient massivement à des comptes issus de packs de démarrage obsolètes, pour ensuite se retrouver avec un flux d’actualités de qualité médiocre ».

La version 4.6 est en cours de déploiement sur l’instance mastodon.social, et fera l’objet d’une diffusion plus large dans les prochaines semaines.

• Renaud Chaput : « Si nos politiques étudiaient le sujet, ils viendraient sur Mastodon »

Little Snitch est un utilitaire bien connu des utilisateurs de Mac. L’outil surveille et contrôle les connexions sortantes des applications installées sur sa machine. La première version remonte à 2003, ce qui ne rajeunira personne, et les mises à jour régulières distribuées par le studio autrichien Objective Development ont achevé d’en faire un logiciel essentiel sur la plateforme. C’est donc une petite surprise de voir débouler une version Linux ! Cette mouture est en fait la conséquence d’un besoin personnel du développeur Christian Starkjohann, qui a migré sur Linux et qui s’est senti « tout nu » sans Little Snitch.

Comme sur Mac, Little Snitch sur Linux révèle l’activité réseau des applications, et donne à l’utilisateur la possibilité d’agir, c’est-à-dire de bloquer la connexion si elle n’a pas été autorisée. L’application permet de voir la manière dont les logiciels interagissent avec les serveurs, et lesquels. On a également l’accès à l’historique du trafic ainsi que des volumes des données échangées.

Avec l’aide de listes de blocage, Little Snitch est en mesure de bloquer d’un coup des catégories de trafic indésirable. Ces listes peuvent être téléchargées depuis des sources distantes, et le logiciel se charge de les mettre à jour automatiquement. Attention cependant, le format .lsrules de la version macOS n’est pas compatible. L’utilisateur a aussi la possibilité de créer ses propres règles pour cibler un processus ou un port spécifique. 

Le logiciel peut être configuré pour réclamer une authentification préalable de l’utilisateur, pour éviter toute manipulation malintentionnée. Les développeurs soulignent que sur Linux, Little Snitch est conçu pour la confidentialité, mais pas pour la sécurité contrairement à la version Mac qui offre de solides garanties dans ce domaine.

La base sur laquelle repose le logiciel est eBPF, un mécanisme du noyau analysant les flux réseau qui impose des contraintes strictes en termes de stockage et de complexité des programmes. Quand le trafic est important, le suivi des connexions perd en fiabilité et certaines informations ne peuvent être reconstituées qu’approximativement, explique le studio. Sur Mac, il est possible d’inspecter les paquets pour réaliser les associations d’une manière plus fiable.

L’interface de Little Snitch est une web app (le logiciel en lui-même est développé en Rust). Un choix qui peut paraitre curieux pour un tel outil, mais qui permet de surveiller les connexions réseau d’un serveur Linux distant à partir de n’importe quel appareil. L’application a trois composants : le programme du noyau eBPF et l’interface web sont disponibles en open source sur GitHub, le démon est quant à lui propriétaire. Mais il est autorisé de l’utiliser et de le redistribuer gratuitement.

Linux ne manque pas d’outils de surveillance des connexions réseau, à l’image d’OpenSnitch, sans oublier les outils en ligne de commande. Mais comme sur Mac, Little Snitch facilite la vie des utilisateurs qui auront sous les yeux une seule interface pour observer le trafic réseau, et pour le bloquer le cas échéant. Le logiciel, compatible avec le noyau 6.12 de Linux et au-delà, est gratuit et il le restera pour toujours, promet Objective Development.

Retour vers le futur, en version 32 bits

Au bout de 49 jours, 17 heures, 2 minutes et 47 secondes, un Mac resté allumé tout ce temps commencera à perdre sa connexion réseau. La seule solution ? Le redémarrage de l’ordinateur. En cause : un problème d’horloge interne…

Une « bombe à retardement », c’est ainsi que Photon, un service qui connecte des agents IA à iMessage d’Apple, qualifie sa découverte sur Mac. L’image est parlante, mais un rien exagérée car il suffit d’un redémarrage pour que tout revienne à la normale. Néanmoins, cette « date d’expiration » peut représenter un sérieux problème dans les organisations qui ont besoin de faire tourner des Mac en continu.

Une horloge interne en panique

Le noyau XNU de macOS en charge des ressources du Mac, s’appuie sur un compteur interne pour suivre le temps dans la gestion des connexions réseau, sous la forme d’un entier non signé sur 32 bits. Il peut donc contenir des valeurs allant de 0 à 4 294 967 295 (2³²). Si on se sert d’un entier non signé de 32 bits pour compter le temps en millisecondes, le compteur peut donc aller jusqu’à 4  294  967 secondes, soit 49 jours, 17 heures, 2 minutes et 47 secondes. Au-delà ? Ça dépend des cas : retour à zéro, plantage…

• Les nombres en informatique : entiers, virgule flottante, simple et double précision (FP32/64), Tensor Float (TF32)…

Photon a découvert que sur Mac, une vérification mal conçue dans le noyau empêche le système de reconnaître correctement ce basculement après les 49 jours, 17 heures… Tant que le compteur peut augmenter, tout fonctionne normalement. Mais quand il atteint sa limite et repart de zéro, la machine se grippe. macOS considère alors, à tort, que le nouveau temps est « inférieur » à l’ancien et refuse de l’enregistrer.

Le sujet n’est pas nouveau et largement documenté. On le trouve par exemple dans le bug de l’an 2038 sur Linux. Un petit changement sur Debian depuis la version 13 a permis de résoudre le souci : la distribution utilise le format 64 bits (au lieu de 32 bits), de quoi repousser l’échéance de… 292 milliards d’années. Si on remonte dans le temps à l’époque de Windows 95, certains se souviendront peut-être que le système plantait aussi après 49,7 jours d’utilisation.

Résultat, l’horloge TCP reste figée à sa dernière valeur valide. Tous les mécanismes qui dépendent du temps, à l’image de la suppression des connexions fermées, cessent de fonctionner normalement. Il en va ainsi des ressources réseau qui dépendent des connexions TCP : elles s’accumulent jusqu’à saturation, ce qui rend impossible l’ouverture de nouvelles connexions.

Le redémarrage, ultime solution pour l’instant

Photon s’est rendu compte du problème en surveillant sa flotte de Mac qui font tourner plusieurs services iMessage. Des machines qui fonctionnent 24/7 et ne redémarrent qu’en cas de nécessité absolue. Plusieurs de ces Mac ont cessé d’établir de nouvelles connexions TCP 49,7 jours après leur dernier redémarrage.

« Les pings continuaient de fonctionner. Les connexions existantes restaient actives. Mais toute tentative nécessitant l’ouverture d’un nouveau socket TCP échouait », écrit le service. Seule solution : un redémarrage. Cela concerne donc les Mac fonctionnant en continu pendant plus de 49 jours et 17 heures sans redémarrer et qui ont une activité réseau TCP (tous les Mac connectés, au fond). 

Selon Tidbits, il semblerait que le bug soit circonscrit à macOS Tahoe, la dernière version du système d’exploitation (macOS 26). Les précédentes moutures de l’OS ne seraient pas affectées, ce qui explique pourquoi le problème n’a jamais été remonté auparavant. Photon de son côté laisse entendre que le bug pourrait remonter à Catalina… Apple ne s’est pour le moment pas exprimé.

Par ailleurs, un Mac en veille devrait aussi repousser l’échéance fatale. De plus, sur un ordinateur peu sollicité, l’épuisement des ports peut aussi mettre beaucoup plus de temps pour devenir perceptible. Pour le grand public, ce n’est pas nécessairement un bug handicapant : même si l’habitude d’éteindre son ordinateur tous les soirs en partant du bureau s’est perdue, il arrive tout de même assez régulièrement de devoir redémarrer sa machine. Ne serait-ce que pour installer une mise à jour du système.

Pour savoir depuis quand un Mac est allumé, il suffit de saisir la commande uptime dans un Terminal :

Ce compteur défectueux posera davantage de problème dans des environnements professionnels, comme c’est le cas chez Photon mais aussi dans des entreprises qui se servent de Mac Pro ou de Mac Studio pour des tâches très longues (rendu, compilation, simulation…) ou au sein de structures hébergeant des Mac en colocation administrés à distance.

Ou encore dans les fermes de Mac mini pour le partage de calcul ou les infrastructures de test. Néanmoins, ces services évitent de faire tourner leurs serveurs Mac avec la version la plus à jour de macOS, pour des questions de sécurité et de fiabilité. Il n’empêche qu’il s’agit tout de même là d’un bug qu’Apple serait avisée de corriger rapidement.

Amazon ferme la porte de sa bibliothèque aux anciens Kindle. Les liseuses et les tablettes Kindle Fire sorties avant 2012 ne pourront plus accéder à la boutique de livres numériques à compter du 20 mai. Les bouquins déjà stockés sur ces appareils continueront d’être lisibles, mais il ne sera plus possible d’en acheter et télécharger de nouveaux.

Ces appareils se transformeront donc petit à petit en presse-papiers de luxe, ce d’autant qu’en cas de problème, une réinitialisation dans les paramètres d’usine rendra la liseuse ou la tablette complètement inutilisable. Il en ira de même si on a le malheur de retirer son compte de la liseuse : on ne pourra plus s’y reconnecter. Sur les Kindle Fire, les services autres que l’achat de contenus resteront fonctionnels.

L’obsolescence programmée de ces appareils concerne le Kindle de première génération, celui sorti en 2007, les Kindle DX/DX Graphite (2009/2010), le Kindle Keyboard (2010), les Kindle 4 et Kindle Touch (2011), ainsi que les Kindle 5 et Kindle Paperwhite 1ère génération (2012). Du côté des tablettes, sont touchées les Kindle Fire 1re et 2e génération (2011), Kindle Fire HD 7 et 8,9 (2012).

• [Écosystème 6/7] Démonter, remonter, recycler

L’entreprise se justifie auprès d’Engadget : « Ces modèles ont été pris en charge pendant au moins 14 ans – certains jusqu’à 18 ans – mais la technologie a énormément évolué depuis… » Selon Amazon, la fermeture définitive du Kindle Store touchera 3 % des utilisateurs actuels. Pour faire passer la pilule, l’entreprise va contacter ces lecteurs en leur proposant une remise de 20 % sur une sélection de nouveaux modèles, ainsi qu’un crédit pour acheter des livres.

Si les tablettes d’Amazon ne sont pas forcément les plus durables du marché, les liseuses du constructeur sont des terminaux solides qui peuvent encore rendre bien des services. Ne plus pouvoir accéder à de nouveaux livres sur ces appareils – ce qui est leur seule et unique fonction – est pour le moins malheureux. Mais pas si étonnant au vu de la politique de verrouillage d’Amazon. Ainsi, depuis le 26 février 2025, la fonction de téléchargement et de transfert via USB depuis le site web du commerçant n’existe plus.

Celle-ci permettait de transférer par USB des livres Kindle (AZW3, KFX) téléchargés sur son ordinateur vers une liseuse de la marque. Amazon avançait des raisons de sécurité, en précisant que les nouveaux contenus pourront toujours être envoyés par Wi-Fi (un composant dont les Kindle ont été privés jusqu’en 2010 et le Kindle Keyboard).

On peut toujours transférer des fichiers sur une liseuse Kindle, y compris des PDF et des ePub, avec l’outil Send to Kindle, disponible sous forme d’application (à utiliser avec un câble USB) ou en ligne. Mais la limite est de 200 Mo. Le célèbre logiciel Calibre peut aussi être d’un précieux secours pour transférer des livres sur les Kindle ainsi qu’un grand nombre d’autres appareils.

Les possesseurs d’anciens Kindle qui ne veulent plus s’embêter à jongler avec les formats propriétaires et les verrous logiciels ont l’embarras du choix pour aller voir ailleurs. Les liseuses concurrentes des Kindle sont légion et, à l’instar des modèles de Kobo ou de PocketBook, les constructeurs affichent clairement leur soutien à des écosystèmes plus ouverts.