La bibliothèque Python Xinference, qui permet d’utiliser facilement différents modèles d’IA localement, a été ciblée. Résultat : les versions 2.6.0 à 2.6.2 sont compromises et exposent plusieurs identifiants de connexion comme les clés SSH ou les secrets .env.
Une nouvelle fois, la supply chain d’une bibliothèque utilisée par les développeurs recourant à des modèles d’IA a été compromise. En mars, c’était le scanner de vulnérabilité Trivy qui était visé puis l’application LiteLLM. Axios avait ensuite été touché. Maintenant, c’est le tour de Xorbits Inference connu aussi sous le nom de Xinference.
Cette bibliothèque permet aux développeurs de passer d’un modèle à un autre en une seule ligne de code et de sélectionner des modèles open source qui conviennent le mieux pour la voix, du multimodal, qu’ils soient sur leur ordinateur ou dans le cloud.
Mais une attaque a été détectée par un utilisateur de XInference. L’équipe de chercheurs de l’entreprise de sécurité JFrog a analysé la compromission de Xinference dans PyPI (Python Package Index), le dépôt officiel des paquets Python. Pour eux, c’est signé du même acteur que celle effectuée contre Trivy, TeamPCP, même si son compte X réfute.
Récupération de tous les secrets possibles, traitement spécial pour AWS
JFrog explique que l’attaque n’utilise pas de technique de typo-squatting ou de faux paquets. C’est bel et bien les vrais paquets de Xinference distribués via PyPI qui ont été touchés et qui comportent des trojans. La méthode utilisée par les pirates pour diffuser des paquets piégés via PyPI n’est pas indiquée par les développeurs ; il faut se contenter d’un « Oui, nous sommes attaqués, nous venons de retirer ces versions » il y a 12 heures.
Une fois installés, ils ciblent directement les mot de passe et secrets des développeurs comme les clés SSH et TLS privées, les identifiants Git, AWS, les fichiers de configuration d’environnement de l’ordinateur, de mails et de bases de données, de Docker et Kubernetes, de VPN, les jetons de gestionnaire de paquets, ainsi que les portefeuilles de cryptomonnaies. Tout est enregistré dans une archive « love.tar.gz ».
Dans le cas d’AWS, le code malveillant va directement se connecter sur le compte via les secrets dérobés. Il ne fait donc pas seulement que récupérer des « clés », dans le cas d’Amazon elles sont directement utilisées sur place pour voler d’autres secrets avant de partir (via une fonction def aws_req).
« Si vous avez installé ou utilisé les versions 2.6.0 à 2.6.2 de xinference, considérez que l’hôte a été compromis », alarme JFrog. La dernière version officielle (et saine) est actuellement la 2.5.0. Attention, sur PyPI les versions 2.6.0, 2.6.1 et 2.6.2 sont uniquement « remisées » et donc toujours accessibles et téléchargeables dans l’historique des versions PyPI.
L’entreprise de cybersécurité explique que le code malveillant se trouve dans le fichier __init__.py, ce qui lui permet de se lancer dès l’import du paquet, que ce soit via un import de la bibliothèque, au démarrage en ligne de commande ou comme un service, via l’utilisation d’une bibliothèque dépendant de ce paquet.
Le piratage se fait via du code Python encodé en base64 (pour le cacher un peu aux yeux des utilisateurs) dans le fichier transmis à un sous-processus. Un nouvel interpréteur Python appelé via popen permet de désactiver les sorties stdout, stderr et d’exécuter le contenu malveillant sans que l’utilisateur ne s’en rende compte. Celui-ci commence par le commentaire « # hacked by teampcp ».
JFrog ne s’appuie pas que sur celui-ci pour attribuer le piratage à la même équipe que celle qui s’est attaquée à liteLLM.Les chercheurs affirment que la structure de l’attaque est « similaire ». Un autre code en base64 exfiltre les données via une requête POST après les avoir compressées dans un dossier temporaire.
L’entreprise liste cependant quelques différences avec le piratage de liteLLM dans ce tableau :
Sur la machine, toutes les données confidentielles sont exposées à un risque
Pour celles et ceux qui auraient installé une de ces versions de Xinference, JFrog conseille d’isoler le plus rapidement possible les hôtes affectés des réseaux sensibles et de vérifier s’il y a du trafic sortant ou des requêtes DNS vers whereisitat[.]lucyatemysuperbox[.]space. « Tout hôte ayant importé le paquet pourrait avoir subi une fuite de données », rappelle l’entreprise. « Vous devez partir du principe que toutes les données confidentielles stockées sur la machine sont exposées à un risque » et donc faire une rotation de tous les secrets qui ont pu être ciblés.
Enfin, après un audit vérifiant qu’il n’y a eu aucun accès non autorisé, JFrog explique qu’il est possible de se débarrasser du problème en désinstallant la version problématique de Xinference car aucun mécanisme de persistance n’est mis en place.
L’installation de Claude Desktop entraîne la création, sur la machine hôte, de manifestes pré-autorisant la communication entre le client logiciel et les extensions de navigateur dédiées à Chrome. Ce mécanisme, dont l’utilisateur n’est pas informé, soulève des questions de conformité et de sécurité selon le consultant qui l’a découvert.
Non contente de contraindre certains utilisateurs à une vérification d’identité, Anthropic se montrerait-elle un peu laxiste vis-à-vis des permissions données à la version desktop du client Claude ? C’est l’hypothèse soulevée par Alexander Hanff, consultant spécialisé dans les enjeux de vie privée en ligne. Dans un long billet de blog publié le 18 avril et relayé, notamment, par The Register deux jours plus tard, il s’émeut qu’Anthropic « installe secrètement un spyware [sur votre machine] quand vous installez Claude Desktop ».
Découverte fortuite d’un json dédié à Claude
Au hasard d’un projet personnel mené sur son MacBook, Alexander Hanff décrit comment il est tombé sur un fichier émanant d’Anthropic et associé à Claude, dans l’un des dossiers de configuration de son navigateur Web, Brave. Baptisé com.anthropic.claude_browser_extension.json, le fichier révèle un pan de code de quelques lignes, qui comprend notamment trois clés destinées à l’identification de trois extensions Chrome et visant à faire de ces dernières des sources autorisées (allowed_origins) en vue d’interagir avec le navigateur.
Nous avons entrepris d’installer l’image de Claude Desktop sur une machine équipée de macOS, afin de voir si nous reproduisions cette découverte. Une rapide recherche, conduite via le terminal dans la foulée de l’installation, nous a permis de localiser le fichier .json concerné et d’en consulter le code, conforme à ce qu’a publié Alexander Hanff le 18 avril. Comme lui, nous constatons d’ailleurs que ce fichier, décrit comme un manifeste « Claude Browser Extension Native Host » est présent non seulement pour nos navigateurs courants, mais aussi pour des logiciels qui ne sont pas installés sur la machine.
Anthropic demande bien d’accepter les conditions d’utilisation de son logiciel au cours du processus, et un consentement lié aux cookies est affiché au premier lancement du client Claude, mais jamais il n’est fait mention, de façon explicite, d’une quelconque autorisation donnée au niveau des navigateurs web.
Nous avons reproduit ce comportement sur une machine équipée de Windows 11. L’installation de Claude Desktop fait en effet apparaître, dès le premier lancement, de nouvelles clés de registre dans le répertoire des navigateurs installés, avec renvoi vers un .json identique. À ses côtés, on note la présence d’un exécutable de type chrome-native-host.exe, alors qu’aucune extension Anthropic n’a jamais été installée sur la machine.
Nous avons pu reproduire le comportement dénoncé sur Windows – capture Next
Un manifeste de « messagerie native »
À quoi peut donc bien servir ce fichier ? La plupart des navigateurs permettent la déclaration d’un manifeste de messagerie native (Native Messaging en VO), qui va créer une sorte de pont (bridge) entre une extension Web et une application installée en local sur la machine.
« Ceci permet que des applications natives puissent fournir un service à des extensions sans avoir besoin d’être atteignables via internet. Un exemple typique est le gestionnaire de mots de passe : l’application native s’occupe du stockage et du chiffrement des mots de passe et communique avec l’extension afin de remplir les formulaires web », illustre Mozilla dans sa documentation développeurs.
Dans le cas d’Anthropic, l’application Claude (Desktop ou Code) peut être amenée à communiquer avec un navigateur pour certaines fonctions d’automatisation (IA agentique). De la même façon, on peut appeler les binaires de l’application Claude depuis l’extension. On suppose donc que l’éditeur prépare le terrain, en positionnant, dès l’installation, les manifestes qui serviront à faire le pont avec le navigateur de l’utilisateur.
La méthode n’est pas du goût d’Alexander Hanff :
« Je n’ai installé aucune extension Anthropic pour mon navigateur. Je n’ai jamais installé d’extension Claude pour des raisons de confidentialité et de sécurité. J’ai installé Claude Desktop, l’application Mac, il y a quelque temps. C’est le seul élément sur cet ordinateur qui aurait pu créer ce fichier. Claude Desktop a accédé à Brave, un navigateur d’un fournisseur totalement différent, et a enregistré une porte dérobée pour une extension que je ne possède pas. »
Un problème de sécurité ?
Admettons avec lui que le procédé est un peu cavalier – un lieu commun dans l’univers de l’IA générative. Pour le consultant, elle soulève aussi un véritable problème de sécurité. Documentation d’Anthropic sur Claude Code with Chrome à l’appui, il remarque que quand une extension reliée par ce pont avec l’application installée en local, tout agent exécuté par le modèle accède à des droits équivalents à ceux de l’utilisateur enregistré sur la machine.
« Le pont s’exécute en dehors du bac à sable du navigateur avec un niveau de privilèges équivalent à l’utilisateur, et les hôtes de messagerie native n’apparaissent dans aucun processus macOS standard ou interface utilisateur d’autorisation, ils sont invoqués par le navigateur et communiquent via stdio. »
Pour appuyer sa critique, Hanff rappelle que, de l’aveu même d’Anthropic, l’utilisation de Claude in Chrome n’est pas anodine. En août dernier, lors de l’annonce de la mise à disposition en bêta de son extension pour Chrome, l’entreprise indiquait en effet que son composant était vulnérable à l’injection de prompt, c’est-à-dire l’envoi de commandes malveillantes susceptibles d’entraîner une action non sollicitée sur la machine hôte.
« Un exemple d’attaque réussie – avant la mise en place de nos nouvelles défenses – consistait en un courriel malveillant prétendant que, pour des raisons de sécurité, des courriels devaient être supprimés. Lors du traitement de la boîte de réception, Claude a suivi ces instructions et supprimé les courriels de l’utilisateur sans confirmation », écrivait alors Anthropic. L’entreprise ajoutait que sans ses nouvelles mesures de protection, sa red team avait réussi 23,6 % de ses attaques par injection.
Native Messaging n’est pas exempt de défauts
« La fonctionnalité préinstallée silencieusement sur l’ordinateur portable de chaque utilisateur ayant déjà exécuté Claude.app est, selon les propres mesures d’Anthropic, vulnérable à une injection de code environ une fois sur quatre. », en conclut Alexander Hanff.
S’il est vrai que la connexion d’une application AI à un navigateur soulève un risque d’attaque par injection de prompt sur la machine, la conclusion se révèle peut-être un peu hâtive : toutes les installations de Claude desktop sur Mac n’en sont pas pour autant vulnérables puisqu’il faut encore que l’extension associée soit installée pour que le pont opère.
Autrement dit, les vrais vecteurs d’attaque ne seraient pas le manifeste proprement dit, mais plutôt l’exécutable installé en local, ou les extensions autorisées par ledit manifeste.
On peut en revanche aller dans le sens d’Alexander Hanff en soulignant que Native Messaging en tant que tel n’est pas absolument exempt de défaut du point de vue de la sécurité. En 2024, des recherches conduites autour de l’implémentation de l’extension 1Password sur Chromium ont par exemple montré qu’il était possible de s’immiscer dans le protocole (attaque de type man in the middle), faute de vérification au moment d’enclencher la réponse des binaires aux demandes de l’extension.
À l’époque, le sujet n’avait pas été considéré comme critique, notamment parce que, pour être exploitée, cette vulnérabilité supposait que le code responsable de l’attaque et la cible tournent sous le même compte utilisateur. Corrigée tout de même au nom du principe de précaution chez Chromium, mais aussi chez 1Password et Firefox, elle se révèle aujourd’hui sous un jour plus sensible.
De façon plus anecdotique, on remarque que le comportement de ce composant chrome-native-host a donné lieu à un rapport de bug en janvier dernier sur le Github de Claude Code. À l’époque, ce n’était pas l’éventuel caractère intrusif de la démarche qui motivait la discussion, mais plutôt un conflit entre les .json dédiés respectivement à Claude Code et Claude Desktop.
Une infraction à la directive e-Privacy ?
Plus qu’une réelle faille de sécurité, il reste en revanche un comportement que l’on est en droit de qualifier de suspect, puisqu’il n’est pas annoncé. Hanff va plus loin, en affirmant qu’avec cet ajout sous-marin, Anthropic enfreint plusieurs lois, dont la fameuse directive européenne e-Privacy de 2002.
« Je tiens à être franc. Il s’agit d’une pratique douteuse. De plus, à mon avis professionnel, c’est une violation directe de l’article 5, paragraphe 3, de la directive 2002/58/CE, ainsi que de nombreuses lois relatives à l’accès et à l’utilisation abusive des ordinateurs (généralement du droit pénal), à une échelle suffisamment importante pour avoir des conséquences, chez un fournisseur qui a déployé des efforts considérables pour se forger une image de laboratoire d’IA soucieux de la sécurité. »
L’article concerné (voir texte intégral), qui motive les bandeaux de consentement sur le web ou la récente recommandation de la Cnil sur les pixels espion dans les emails, dispose pour mémoire qu’un acteur n’est autorisé à stocker ou accéder à des informations sur la machine de l’utilisateur qu’après consentement éclairé de ce dernier. Le texte tolère toutefois une exception pour finalités « strictement nécessaires à la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur ».
La justice considèrerait-elle la création d’un pont Native Messaging comme nécessaire, alors que l’application Claude a vocation à fonctionner sans lien direct avec le navigateur ? Plutôt que d’attendre de voir ce qu’en pense la justice, le consultant suggère à Anthropic de supprimer ce pont, ou a minima de conditionner la création des manifestes à un consentement explicite. « Si ce n’est pas le cas, nous saurons ce que vaut réellement la politique d’Anthropic en matière de sécurité publique », lâche-t-il pour conclure.
S’il est tentant d’user de la commande rm pour évacuer ces .json non sollicités, leur suppression ne sera que de courte durée, puisque les fichiers sont recréés à chaque nouveau lancement de l’application Claude.
La nouvelle gamme Matter de produits domotiques IKEA s’intègre désormais avec la plateforme SmartThings de Samsung. Les ampoules, capteurs et télécommandes du géant suédois de l’ameublement en kit peuvent donc, en théorie, être pilotés depuis l’application de Samsung et fonctionner main dans la main avec les autres appareils connectés enregistrés dans l’app.
En novembre dernier, IKEA remettait les compteurs de sa stratégie domotique à zéro, en dévoilant une toute nouvelle gamme de produits compatibles avec Matter. Plus d’une vingtaine de références, des ampoules de toutes formes et couleurs, en passant par des capteurs de mouvement, de qualité de l’air, d’humidité ou de fuite d’eau, sans oublier des télécommandes en veux-tu, en voilà.
Le tout s’accompagne d’un pont certifié Matter pour contrôler non seulement ces produits, mais aussi ceux d’autres marques compatibles avec le protocole domotique commun qu’une bonne partie de l’industrie, regroupée au sein de la Connectivity Standards Alliance (CSA) cherche à imposer depuis 2022. L’objectif est d’en terminer avec les différentes chapelles incompatibles entre elles, pour faciliter la vie du consommateur et faire avancer le marché… comme xkcd l’a si bien résumé en trois cases.
Une belle idée sur le papier, qui a toujours du mal à se concrétiser malgré les mises à jour régulières du standard. La prise en charge de Matter diffère en effet en fonction des fabricants, certains étant plus avancés que d’autres.
Beaucoup avaient l’espoir que la venue d’IKEA dans la grande famille Matter allait finalement provoquer le déclic que le secteur attendait. Malheureusement le lancement de la gamme a été marqué par des bugs embarrassants : jumelage aléatoire, connexions compliquée… L’espoir faisant vivre, Samsung a annoncé le support des produits Matter d’IKEA dans sa plateforme SmartThings.
Auparavant, connecter les appareils d’IKEA avec SmartThings nécessitait les deux ponts des constructeurs. Ce n’est maintenant plus utile, seul le hub SmartThings est nécessaire. Tous les produits IKEA peuvent être contrôlés depuis l’application SmartThings, qui centralise et gère l’automatisation des appareils compatibles (Hue, Eve, Ring, Nuki…).
Magie noire ou progrès technologique, la frontière est parfois difficile à définir. Image : Samsung
SmartThings étant compatible avec le standard Matter et avec le protocole réseau basse consommation Thread, il devrait donc supporter naturellement les produits IKEA. Il a manifestement fallu un peu de travail supplémentaire pour y parvenir. Plusieurs « cycles de validation » ont été nécessaires pour « améliorer la stabilité de la connexion » ; les deux partenaires ont également planché sur une « expérience utilisateur dédiée dans l’application SmartThings pour assurer une compatibilité complète ». Pas si simple de Matter tout ce petit monde.
Quoi qu’il en soit, l’utilisateur devrait (soyons prudents) être en mesure d’intégrer les appareils IKEA dans ses routines SmartThings, en compagnie des produits domotiques d’autres fabricants. Ils fonctionneront également avec les électroménagers Samsung, ainsi que les téléviseurs du groupe.
Le robot tondeuse Mammotion LUBA 2 AWD 5000X dispose d’une connexion 4G, Wi-Fi et Bluetooth, tout en étant bardé de capteurs, notamment avec son « système de positionnement et de navigation NetRTK + Vision IA à double caméra ». Il est vendu plus de 2 000 euros.
Il exploite donc le système RTK (Real Time Kinematic) qui, rappelle l’ANFR, « améliore la précision des signaux GNSS (GPS, Galileo…) grâce à une base fixe transmettant des corrections au centimètre près, utile pour éviter que le robot ne déborde chez le voisin ou sur la route ». Cette coupe au centimètre a des conséquences inattendues : des brouillages un peu partout en France.
La base RTK du robot utilise en effet la bande de fréquence 863–870 MHz, également utilisée par le réseau bas-débit LoRa. Jusque-là, rien d’exceptionnel car cette bande est « libre » : elle peut être utilisée sans licence, contrairement aux fréquences de la téléphonie mobile par exemple. Mais attention, libre cela ne veut pas dire que c’est le « far west » et que tout le monde fait ce qu’il veut.
Les fabricants doivent en effet respecter des conditions techniques strictes sur la puissance et le temps d’émission, par exemple. Selon la décision 2023 - 1412 de l’Arcep et le tableau national de répartition des bandes de fréquences (TNRBF, pdf de 314 pages), le temps d’émission est limité à 1 %. Problème, le module RTK de la tondeuse était bien loin de cette limite et « était décidément beaucoup trop bavard : il émettait dans la bande 868–868,6 MHz près de 40 % du temps ».
Ce robot tondeuse n’était pas un cas isolé : « plus de 120 plaintes concernant le réseau LoRa ont été traitées entre 2024 et 2025, rendant indispensable une solution durable ». Le distributeur français de la tondeuse a déployé une mise à jour logicielle afin de réduire l’occupation excessive de la bande, « mais ces ajustements apparaissaient insuffisants ».
L’Agence nationale des fréquences change de braquet. Si la lutte contre les brouillages permet de régler des cas individuels, « la diffusion dans tout le pays d’un appareil produisant des brouillages systématiques relève, elle, de la procédure de surveillance du marché, afin d’éliminer le trouble à sa source ». Une nouvelle procédure est enclenchée.
Un robot est prélevé chez un revendeur et analysé. Sans surprise, « l’appareil ne respectait toujours pas les obligations de mise sur le marché, notamment les conditions techniques d’utilisation de la bande 863–870 MHz ». Le responsable des produits, Shenzhen Mammotion Innovation Co, est alors contacté et une mise à jour du firmware est déployée – la V1.14.1.2 – et diffusée automatiquement. L’ANFR confirme que le souci est réglé.
« Sans mise à jour, l’appareil peut continuer à émettre de manière non conforme, exposant l’utilisateur au risque de brouillage et aux sanctions du Code des postes et communications électroniques — c’est-à-dire jusqu’à 30 000 € d’amende et 6 mois d’emprisonnement », rappelle enfin l’ANFR.
Les moindres faits et gestes des employés de Meta sur leurs ordinateurs vont être surveillés de près. Pas pour leur refourguer de la pub ciblée (ni pour les espionner, assure le groupe), mais pour entraîner des modèles IA.
Les mouvements de curseur des souris, les clics et les frappes clavier vont être observés de très près chez Meta. Des mémos récupérés par Reuters confirment le lancement d’un nouvel outil, Model Capability Initiative (MCI), dans les ordinateurs des employés de l’entreprise. Il va non seulement enregistrer toutes les interactions avec les sites web et les applications utilisés par les employés, mais aussi réaliser des captures d’écran de temps en temps.
MCI ne sera pas utilisé pour fliquer les employés ou vérifier leur productivité, promet l’entreprise. Et des garde-fous auraient été mis en place pour protéger les « contenus sensibles », sans plus de précision. L’objet de cet outil est d’améliorer les modèles IA de Meta, là où ils montrent de sérieuses lacunes : ils peinent en effet à reproduire la manière dont les humains interagissent avec les ordinateurs. Sélection d’une option dans un menu déroulant, utilisation de raccourcis clavier… Tout cela peut être utile pour les agents qui prennent la main sur les ordinateurs de leurs utilisateurs.
« La vision que nous construisons est celle d’un environnement où nos agents réalisent l’essentiel du travail, et où notre rôle consiste à les diriger, les évaluer et les aider à s’améliorer », écrit Andrew Bosworth, le directeur technique de Meta. Ces agents IA doivent être en mesure « d’identifier automatiquement les moments où nous avons ressenti le besoin d’intervenir, afin de faire mieux la fois suivante ».
Les données collectées par MCI feront partie des sources utilisées pour améliorer ces agents. Reste que cette initiative risque bien de se casser le nez dans l’Union européenne, en vertu entre autres du RGPD et des réglementations locales. En Italie, la surveillance électronique de la productivité des employés est illégale.
En France, le Code civil dispose que chacun a droit au respect de sa vie privée, y compris dans le cadre de l’entreprise sous la subordination de l’employeur. Ce dernier a cependant le droit d’accéder au matériel informatique mis à disposition des salariés, mais il doit non seulement informer les employés, mais consulter également le comité d’entreprise et le comité social et économique en préalable de la mise en œuvre.
La CNIL a par ailleurs rappelé que les dispositifs de surveillance doivent être « strictement proportionnés à l’objectif suivi » et surtout, ils ne peuvent pas servir à des fins de surveillance permanente. Les keyloggers sont nommément cités comme des outils à ne pas utiliser.
Depuis la semaine dernière, Anthropic réclame à des abonnés une vérification de leur identité, qui doivent fournir une pièce d’identité officielle avec photo. Cette exigence concerne « certains cas d’usage », comme l’indique la société sans trop en dire. Mais il semble bien qu’il s’agisse d’une mesure pour bloquer les requêtes venant de pays perçus comme des adversaires des États-Unis, comme la Chine, la Russie ou encore la Corée du Nord.
OpenAI a une politique similaire : officiellement, ChatGPT est disponible dans certains pays et pas dans d’autres. Chez ces derniers, l’accès au bot peut être bloqué. Les trois pays cités ci-dessus ne font d’ailleurs pas partie de la liste. Mais OpenAI n’a pas (encore ?) mis en place de vérification de l’identité.
La demande de vérification de l’identité de Claude. Image : @Kai
Anthropic invoque auprès du site The Information des raisons de sécurité nationale pour ne pas proposer d’accès commercial à Claude en Chine. « Notre équipe chargée des garde-fous applique activement ces règles […] Nous prenons des mesures contre les comptes en infraction », explique l’entreprise. Pour le moment, la vérification ne concerne pas tous les résidents chinois, mais elle commence à faire sentir ses effets chez les startups qui ont bâti leur activité autour de Claude.
La nature trouvant toujours un chemin, des petits malins vendent déjà des pièces d’identité étrangères pour les entreprises interdites de Claude. Des vendeurs sur Idle Fish, la marketplace entre particuliers du groupe Alibaba, ont immédiatement commencé à proposer des solutions de contournement comme par exemple des comptes Claude Code préenregistrés, ou un accès à des comptes Claude existants.
Ce blocage, s’il devait perdurer, pourrait cependant avoir les mêmes effets que les restrictions d’importation de composants américains les plus puissants en Chine. Les constructeurs locaux, poussés par les autorités du pays, cravachent pour concevoir leurs propres composants, à l’image de Huawei et de Baidu.
Privée d’accès à Claude, la Chine accélère aussi le développement de ses propres modèles, comme on l’a vu début 2025 avec l’apparition fracassante de DeepSeek dans le paysage de l’IA.
L’ordinateur portable laptop 13 de Framework passe en version « Pro » avec des changements à tous les étages… sauf sur deux points : modularité et rétrocompatibilité. Le fabricant annonce aussi un adaptateur OCuLink (une norme du PCI-SIG) pour brancher des périphériques PCIe externes, notamment des cartes graphiques classiques.
Laptop 13 Pro : « refonte complète » et écran tactile… toujours rétrocompatible
Le fabricant proposait déjà un modèle de 13 pouces (qui en est à sa septième génération), mais cette version est présentée comme « une refonte complète » basée sur les retours des clients, tout en étant « rétrocompatible avec les générations précédentes » du Laptop 13. Une vidéo de comparaison entre les deux a été mise en ligne. Framework revendique un indice de réparabilité de 9,7 sur 10.
Il dispose d’un châssis en aluminium avec, pour la première fois, un « écran avec une consommation d’énergie optimisée et la prise en charge du tactile ». La définition est de 2 880 x 1 920 pixels, le taux de rafraichissement variable entre 30 à 120 Hz et la luminosité de 700 nits.
La machine est animée par les processeurs Intel Core Series 3 avec de la mémoire au format LPCAMM2 LPDDR5X (jusqu’à 64 Go). La batterie affiche une capacité de 74Wh et permet de tenir 20 heures en regardant des vidéos Netflix, selon le constructeur. Un lecteur d’empreintes (compatible avec Windows Hello et libfprint sous Linux) est aussi présent. Tous les détails se trouvent par ici.
« Il s’agit toujours d’un ordinateur portable Framework, ce qui signifie qu’il est réparable, évolutif, personnalisable et que vous pouvez en faire ce que vous voulez », affirme le fabricant. La rétrocompatibilité est assurée, le fabricant propose un guide de compatibilité entre les Framework Laptop 13 et 13 Pro.
Les clients avec un Laptop 13 d’ancienne génération peuvent passer à la carte mère du Pro, à l’écran tactile, changer le châssis, etc. Parfois, un kit d’adaptation est nécessaire, notamment pour la batterie ou les haut-parleurs par exemple. Le nouvel écran est proposé seul à 335 euros (expédition en juillet), tandis que la carte mère du 13 Pro avec un Core Ultra 5 325 est à 509 euros (899 euros pour le Core Ultra X7 358H) par exemple. Pour le reste, direction la marketplace officielle.
Les tarifs débutent à 1 349 euros pour un Core Ultra 5 325 ou 1 799 euros avec un Ultra X7 358H. Il existe aussi en version AMD avec un Ryzen AI 7 350 à partir de 1 579 euros ou un Ryzen AI 9 HX 370 dès 1 859 euros. Pour personnaliser le portable Framework 13 Pro et la connectique, c’est par ici. Les expéditions sont prévues à partir du mois de juin.
Framework promet « une expérience Linux de premier ordre »
Il reste 67% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Des fédérations sportives, des institutions, des boutiques en ligne… HexDex pirate tout ce qu’il peut et propose ensuite les données à la vente sur des forums. Il a été interpellé par les autorités françaises, en Vendée. Son matériel informatique a été saisi au passage.
Selon plusieurs de nos confrères (notamment Franceinfo, le Parisien et l’AFP), « un homme de 21 ans, soupçonné d’être le pirate informatique HexDex, à l’origine de la publication de nombreuses bases de données volées dans l’Hexagone, a été interpellé lundi 20 avril en Vendée ».
Des dizaines d’exfiltrations de données pour « l’appât du gain »
Le parquet avait ouvert une enquête pour atteintes à un système de traitement automatisé de données suite à une centaine de signalements d’exfiltration de données à partir de décembre 2025 (rappelons que 2025 était déjà une année bien chargée).
Elles étaient revendiquées pour une bonne partie d’entre elles par un pirate sous le pseudo « Hexdex ». Il publiait ses « exploits » sur des forums biens connus des hackers, pirates et autres acteurs de la cybersécurité. Les fuites dont il s’attribuait le « mérite » avaient fait le tour des médias.
Elles concernaient notamment plus d’une dizaine de fédérations sportives, le système d’information sur les armes du ministère de l’Intérieur (SIA), l’Agence Nationale de la Cohésion des Territoires (ANCT), Choisir le service public gouv, etc.
Sur la plateforme Pastebin, HexDex avait répertorié l’ensemble de ses revendications, qui s’approchent de la quarantaine. De plus, il y a quelques semaines, il avait expliqué à Zataz qu’il se considérait « simplement comme quelqu’un qui gagne de l’argent illégalement et qui ressent une montée d’adrénaline à chaque intrusion ». Il ne cachait pas sa motivation première : « L’appât du gain ». Il s’est donc depuis fait rattraper par la Pat’ Patrouille.
Interpelé alors « qu’il s’apprêtait à publier d’autres données »
« HexDex a été identifié comme étant un homme né en août 2004 », il « a été interpellé lundi 20 avril 2026, en Vendée, alors même qu’il s’apprêtait à publier d’autres données », indique le parquet de Paris cité par Franceinfo. Toujours selon nos confrères, il « a reconnu l’utilisation de ce pseudonyme […] Son compte sur Darkforum a été saisi, ainsi que son matériel informatique, qui devra être exploité ».
Sur le message publié par les autorités via le profil de HexDex, on peut lire que ce profil « a été saisi par la Brigade de lutte contre la cybercriminalité de la préfecture de police de Paris et la section cyber – J3 du parquet de Paris ». Il est aussi précisé « travail en cours ! ».
De l'implication dans le réel de conversations artificielles
En avril 2025, Phoenix Ikner, 20 ans, a consulté le chatbot d’OpenAI sur l’opportunité de la fusillade à l’université de l’État de Floride dont il est suspecté d’être le principal auteur. Le procureur général de l’État a annoncé lancer une enquête criminelle pour savoir si l’entreprise avait une responsabilité juridique dans cette affaire.
Après l’encouragement au suicide d’un adolescent, ou à un meurtre, OpenAI et son chatbot sont accusés d’avoir aidé à la planification d’une fusillade proche des locaux d’un syndicat étudiant sur le campus de l’université de Floride.
Le 17 avril 2025, Phoenix Ikner, 20 ans, fils d’une policière, a déclenché une fusillade devant les locaux d’un syndicat étudiant sur le campus de l’université de l’État de Floride, faisant deux morts et six blessés, comme l’expliquait à l’époque USA Today.
Ce mardi 21 avril, le procureur général de l’État James Uthmeier a annoncé avoir lancé une enquête visant le rôle de ChatGPT et de son éditeur OpenAI dans cette tuerie. « La décision d’ouvrir une enquête fait suite à un premier examen, par les procureurs, des historiques de conversation entre ChatGPT et Phoenix Ikner, l’auteur de la fusillade survenue l’année dernière à l’université d’État de Floride », explique son communiqué de presse.
« Si ChatGPT était une personne, elle serait poursuivie pour meurtre »
Quelques jours plus tôt, le média local WTXL expliquait que les enquêteurs analysaient les logs des discussions de Phoenix Ikner avec le chatbot. Le jour de la fusillade, il aurait notamment demandé à ChatGPT comment le pays réagirait s’il y avait une fusillade dans cette université, quand la dernière fusillade avait eu lieu, quel nombre de victimes permet d’attirer l’attention des médias et si trois était suffisant.
Le chatbot aurait répondu qu’une fusillade avec trois victimes ou plus « ferait très certainement l’objet d’une couverture médiatique nationale ». Enfin, il aurait demandé à quelle heure les locaux du syndicat étudiant de l’université accueillaient le plus de monde.
« La Floride montre la voie en matière de lutte contre l’utilisation de l’IA dans le cadre d’activités criminelles, et si ChatGPT était une personne, elle serait poursuivie pour meurtre », affirme le procureur général de l’État James Uthmeier dans son communiqué :
« Cette enquête pénale permettra de déterminer si OpenAI engage sa responsabilité pénale pour les agissements de ChatGPT lors de la fusillade survenue l’année dernière à l’université d’État de Floride. »
« Ce n’est pas parce qu’il s’agit d’un chatbot basé sur l’IA qu’il n’y a pas de responsabilité pénale », a-t-il déclaré lors de sa conférence de presse sur le sujet, selon Politico :
« Nous allons donc examiner qui savait quoi, qui a conçu quoi, ou qui aurait dû agir. Et s’il apparaît clairement que certaines personnes savaient que ce genre de comportements dangereux pouvait se produire, que ce genre d’événements tragiques et malheureux pouvait se produire, et qu’elles ont néanmoins privilégié le profit, qu’elles ont néanmoins laissé cette entreprise poursuivre ses activités, alors ces personnes devront rendre des comptes. »
De potentielles responsabilités pénales pour des responsables de l’entreprise
Pour l’enquête, son équipe a demandé à OpenAI de lui fournir de multiples informations sur les sécurités mises en place sur son chatbot concernant ce genre d’événement. Ainsi, l’entreprise doit notamment leur fournir toutes les informations sur les mesures internes concernant les menaces proférées par des utilisateurs à l’encontre d’autrui, à l’encontre d’eux-mêmes et concernant la coopération de l’entreprise avec la police pour signaler des crimes (au passé, futur ou présent).
Le procureur général demande aussi à l’entreprise de lui fournir un organigramme de ses responsables ainsi que la liste de tous les employés travaillant sur ChatGPT lors de différentes dates clés pour l’enquête.
Lors de sa conférence de presse, James Uthmeier a expliqué que l’éventuelle responsabilité pénale contre une entreprise constituerait une première dans le domaine juridique, rapporte le New York Times. Mais il ne s’interdit pas de viser des personnes physiques liées à l’entreprise lors de son enquête : « des êtres humains auraient pu intervenir dans la conception, la gestion et le fonctionnement » de ChatGPT, au point où cela pourrait « engager leur responsabilité pénale ».
« La fusillade de masse qui s’est produite l’année dernière à l’université d’État de Floride a été une tragédie, mais ChatGPT n’est pas responsable de ce crime odieux », indique le communiqué d’OpenAI sur le sujet transmis au New York Times.
« Dans ce cas précis, ChatGPT a fourni des réponses factuelles à des questions en s’appuyant sur des informations largement disponibles dans des sources publiques sur Internet, et n’a ni encouragé ni favorisé aucune activité illégale ou préjudiciable », ajoute l’entreprise.
SpaceX, désormais rapprochée de l’entreprise d’intelligence artificielle xAI, a annoncé la signature d’un partenariat avec l’éditeur de l’environnement de développement Cursor. Le deal prévoit une option d’achat à 60 milliards de dollars d’ici la fin de l’année.
Non contente de préparer la plus grande introduction en bourse de l’histoire, SpaceX vient de signer un partenariat avec l’entreprise éditrice de Cursor, un environnement de développement logiciel (IDE) basé sur l’intelligence artificielle. L’accord, résumé en un tweet, doit selon SpaceX permettre aux deux entreprises de « travailler en étroite collaboration pour créer la meilleure IA au monde pour le codage et le travail intellectuel ».
SpaceX évoque l’utilisation, par Cursor, des capacités d’entraînement du million de puces H100 de son supercalculateur Colossus, pour « construire les modèles les plus utiles au monde ». En échange, l’entreprise d’Elon Musk disposera d’un « produit de pointe et d’un réseau de distribution performant auprès d’ingénieurs logiciels experts ».
Annonce de SpaceX postée sur X le 22 avril – capture d’écran
Plus concrètement ? Les modalités précises de l’accord n’ont pas été détaillées, mais on comprend que Cursor a vocation à utiliser les infrastructures de xAI pour entraîner son propre modèle Composer, lancé fin 2025. En échange, xAI met la main sur une activité en fort développement, et se dote dans le même temps d’un produit populaire capable de rivaliser avec Claude Code d’Anthropic ou Codex d’OpenAI.
Dans ce contexte, Cursor accorde à SpaceX le droit de l’acquérir pour 60 milliards de dollars d’ici la fin de l’année. À défaut de transaction finalisée, SpaceX verserait à Cursor 10 milliards de dollars d’indemnités.
Cursor, l’IDE nativement tourné vers l’IA
Initialement conçu comme un fork de VS Code (Microsoft), Cursor se présente pour mémoire comme un environnement de développement nativement IA, mais destiné aux développeurs professionnels ou avertis.
La logique n’est pas celle du vibe coding (création semi-automatisée d’une application avec peu ou pas de compétences techniques), mais plutôt celle de l’usine logicielle : le développeur exploite des agents qui écrivent le code, exécutent les tests, préparent les déploiements, etc., au sein d’un environnement dont il est censé garder la maitrise.
Cursor 3, sorti début avril 2026, renforce cette dimension usine à agents, en permettant par exemple de gérer au sein d’une même interface des agents exécutés en local avec des modèles hébergés sur des infrastructures distantes ou des LLM commerciaux.
Historiquement, Cursor se voulait agnostique au niveau des modèles : son interface et l’abonnement associé permettent d’exploiter tous les produits courants du marché (OpenAI, Anthropic, etc.), avec un orchestrateur capable d’aller chercher le bon modèle pour la bonne tâche, à la façon de ce que propose un produit comme OpenRouter.
Fin 2025, Cursor a musclé son jeu avec la publication de Composer, son premier modèle agentique pour le code. Passé en version 1.5 en février, puis en version 2 en mars dernier, Composer revendique des performances supérieures à celles des modèles plus généralistes (Gemini, Claude, ChatGPT, etc.) sur les missions liées au code. Et Cursor a logiquement besoin de tenir son rang face aux progrès continus affichés par les modèles concurrents.
« Nous voulions aller beaucoup plus loin dans nos efforts d’entraînement, mais nous étions limités par les capacités de calcul. Grâce à ce partenariat, notre équipe s’appuiera sur l’infrastructure Colossus de xAI pour accroître considérablement les capacités de nos modèles. », affirme à ce niveau l’équipe de Cursor.
Une option de rachat sur fond de levée de fonds
Que ferait précisément xAI de Cursor si cette option d’achat à 60 milliards de dollars était exercée ? Difficile à dire à ce stade. En attendant de juger sur pièce, le deal annoncé par SpaceX interfère avec un processus de levée de fonds qui semblait déjà bien engagé.
CNBC révélait dimanche 19 avril que Cursor était en plein tour de table, avec l’ambition de réunir 2 milliards de dollars d’argent frais, sur une valorisation à 50 milliards de dollars, calculée avant recapitalisation. L’opération aurait notamment associé Andreessen Horowitz, NVIDIA et Thrive Capital, déjà actionnaires de Cursor.
Cette cinquième levée de fonds post-amorçage (série E) serait intervenue six mois après la précédente (série D) : en novembre 2025, Cursor avait annoncé avoir réuni 2,3 milliards de dollars, sur une valorisation (incluant les montants levés) de 29,3 milliards de dollars. À l’époque, Cursor indiquait avoir dépassé 1 milliard de dollars de chiffre d’affaires annualisé.
Les 60 milliards de dollars indiqués par SpaceX constitueraient un premium par rapport aux montants évoqués par la presse, mais l’horizon de réalisation, fixé « plus tard dans l’année » ne prend pas en compte l’évolution possible de la valorisation de Cursor.
Le deal ira-t-il à son terme ? Dans un contexte d’introduction en bourse pour SpaceX, le simple fait de montrer que les investissements pharaoniques de xAI dans les supercalculateurs Colossus trouvent des débouchés commerciaux est peut-être un signal largement suffisant pour justifier le versement de 10 milliards de dollars d’indemnités…
L’Ofcom, le régulateur britannique des télécommunications, vient de lancer ce mardi 21 avril une enquête contre Telegram après avoir reçu des preuves montrant que des utilisateurs de la plateforme ont partagé des contenus pédocriminels.
Illustration : Flock
Dans son communiqué, l’Ofcom explique s’appuyer sur la nouvelle loi dite « Online Safety Act 2023 », et vouloir vérifier que la plateforme de messagerie se conforme bien à ces nouvelles obligations.
Le régulateur a été prévenu par le Centre canadien de protection de l’enfance, une organisation caritative qui concentre une partie de ses actions sur le sujet de la lutte contre le partage d’images de ce type sur Internet. « Nous avons décidé d’ouvrir une enquête afin de déterminer si Telegram a manqué, ou manque actuellement, à ses obligations en matière de contenus illicites », explique l’Ofcom.
À Reuters, Telegram nie « catégoriquement » ces accusations et affirme avoir « virtuellement éliminé » la diffusion publique de ce genre de contenus en utilisant des algorithmes de détection depuis 2018. L’agence de presse fait remarquer que Telegram a récemment reçu une amende en Australie pour avoir tardé à répondre à des questions sur la mise en place de ce genre de mesures.
« Nous sommes surpris par cette enquête et craignons qu’elle ne s’inscrive dans le cadre d’une offensive plus large contre les plateformes en ligne qui défendent la liberté d’expression et le droit à la vie privée », ajoute la plateforme.
« Nous partageons les inquiétudes selon lesquelles des réseaux d’acteurs malveillants opèrent au sein de l’écosystème de Telegram, et que les mesures prises ne sont pas suffisantes pour empêcher la diffusion d’images d’abus sexuels sur mineurs connues et détectées », explique à Reuters l’association britannique Internet Watch Foundation.
En début d’année, suite au scandale des générations de deepfakes sur Grok, l’Ofcom a lancé une enquête sur l’utilisation de cette IA et de X pour générer et partager des images de personnes dénudées et des images sexualisées d’enfants.
C’est un des premiers résultats concrets de Mythos : Mozilla a annoncé que la version 150 de Firefox contient des correctifs pour la bagatelle de 271 vulnérabilités repérées par le nouveau modèle d’Anthropic. Malgré la montagne de travail que cela représente, « les défenseurs ont finalement une chance de l’emporter », affirme Mozilla.
La fondation Mozilla fait partie de la quarantaine d’entreprises et d’organisations qui ont accès à l’aperçu de Claude Mythos, le modèle IA le plus ambitieux d’Anthropic. Un modèle distribué via le projet Glasswing, conçu d’abord pour repérer les failles de sécurité dans les logiciels. Les premiers résultats concernant Firefox sont pour le moins significatifs.
L’intégration d’IA dans Firefox a souvent été mal perçue par de nombreux utilisateurs, à tel point que le navigateur a intégré un bouton pour désactiver d’un coup toutes ces fonctions. Du point de vue de la sécurité cependant, les développeurs n’ont pas hésité à faire appel à Anthropic. Mozilla s’était ainsi servi de Claude Opus 4.6 pour détecter les vulnérabilités dans le navigateur, avec comme résultat 22 failles corrigées dans Firefox 148. Mais avec Mythos, on passe à une toute autre échelle : Firefox 150, qui est livré cette semaine, corrige rien moins que 271 failles, identifiées durant l’évolution initiale du modèle. De quoi provoquer un « vertige », écrit Bobby Holley, le directeur technique de Firefox.
L’ère des failles « zero-day » est-elle révolue ?
« Pour une cible bien sécurisée, une seule vulnérabilité de ce type aurait suffi à déclencher une alerte maximale en 2025 », poursuit-il. « Alors en voir surgir autant à la fois laisse planer un doute : est-il seulement encore possible de suivre le rythme ? ». Le dirigeant préfère voir le verre à moitié plein, il explique qu’il a fallu changer les priorités et se focaliser sur les correctifs. Il admet aussi que le travail n’est pas terminé, et il affirme qu’avec Mythos, les défenseurs ont maintenant « une chance de l’emporter, de manière décisive ».
« Les attaquants bénéficient d’un avantage asymétrique, puisqu’il leur suffit d’exploiter une seule brèche», alors que les défenseurs doivent couvrir une surface d’attaque qui n’est certes pas infinie, mais suffisamment étendue pour laisser des trous dans la raquette. Les développeurs de Firefox ne peuvent pas se permettre de « réécrire des décennies de code en C++ ».
D’où le recours à Mythos, qui est capable de couvrir « l’ensemble du champ des bugs susceptibles d’introduire des vulnérabilités », poursuit Bobby Holley. Pendant des années, Firefox (et d’autres organisations) s’est reposé sur une combinaison de méthodes automatisées et d’examens manuels en interne comme en externe pour détecter et boucher les failles. Mais voilà, ces outils sont aussi à disposition des attaquants. « Si vous étiez un acteur malveillant prêt à investir des millions de dollars pour découvrir une faille, cela restait toujours possible », indique-t-il, « notre objectif était de faire grimper ce coût au maximum ».
À ce stade, Firefox n’a pu identifier « aucune catégorie ni aucun niveau de complexité de vulnérabilité » que des humains peuvent repérer et que Mythos ne saurait détecter. Un satisfecit donc, mais Bobby Holley ne croit pas que les futurs modèles IA trouveront des failles qui échapperaient à notre compréhension actuelle. Firefox est conçu de telle manière que les humains peuvent vérifier la validité du code, même s’il est complexe. Pouvoir ne veut cependant pas dire que c’est le cas…
Il reconnait tout de même les risques que porte l’IA dans la compréhension humaine du code. Très enthousiaste, il en conclut que « nous entrons dans un monde où il devient enfin possible d’identifier » toutes les failles.
Lors de la présentation du projet Glasswing, Anthropic avait affirmé que le modèle avait déjà détecté « des milliers de vulnérabilités critiques », dans tous les systèmes d’exploitation et navigateurs web. Cette mouture de Mythos n’a pas vocation à être proposée au grand public, mais l’objectif reste de déployer des modèles « de classe Mythos » à grande échelle.
Outre une palanquée de correctifs, cette version 150 de Firefox apporte aussi son lot de nouvelles fonctions et d’améliorations. On y trouvera ainsi la possibilité d’ouvrir un lien dans une fenêtre scindée (Split View) d’un clic droit sur le lien en question. Il est aussi possible d’effectuer une recherche parmi les onglets ouverts lors de la création d’une fenêtre Split View, et d’inverser leur position avec une nouvelle option dans le menu contextuel.
Autre nouveauté intéressante : le partage de plusieurs onglets en une seule étape. Après les avoir sélectionnés, le menu contextuel du clic droit proposera une option de partage pour coller les liens des onglets dans d’autres apps. Relevons aussi le coup d’accélérateur pour l’éditeur PDF intégré, qui permet de réorganiser, copier, coller, supprimer et exporter des pages dans un document PDF.
Bonne nouvelle pour les utilisateurs Windows : les web apps Firefox sont désormais disponibles s’ils ont installé le navigateur depuis le Microsoft Store. Le VPN intégré est désormais accessible depuis le Canada, en plus de la France et d’une poignée d’autres pays.
À partir des prochaines versions majeures de ses systèmes d’exploitation, Apple resserrera la sécurité réseau. Les administrateurs sont dès à présent appelés à tester les configurations pour éviter de casser les connexions à partir des appareils du constructeur.
Les organisations qui utilisent des iPhone, iPad, Mac, Apple Watch, Apple TV ou Vision Pro vont devoir réaliser des audits pour les serveurs utilisés dans un environnement d’entreprise et les infrastructures de gestion des appareils. À partir de (probablement) iOS 27 et macOS 27, ces terminaux pourraient tout simplement ne plus pouvoir s’y connecter, prévient Apple dans une nouvelle fiche d’assistance à l’attention des admins IT.
Au moment du lancement des nouvelles versions des systèmes d’exploitation, à partir de l’automne prochain, tous les serveurs devront être au minimum sous TLS 1.2 avec des configurations de sécurité conformes aux exigences d’Apple. TLS, ou Transport Layer Security, est un protocole de chiffrement pour sécuriser les communications entre un client (un navigateur, une app) et un serveur. TLS peut donc chiffrer les données échangées, vérifier l’identité du serveur via un certificat, et garantir l’intégrité des données.
Actuellement, l’accès à des serveurs fonctionnant avec des versions plus anciennes et moins sécurisées de TLS est toléré par les OS d’Apple, mais l’opération peut occasionner des messages d’alerte. Dans quelques mois, ces configurations deviendront bloquantes. Et cela ne concerne pas que Safari ou des applications. Tous les processus système sont concernés : MDM (gestion de flotte), installation d’apps et profil de configuration, mises à jour, enrôlement des appareils. Les environnements d’entreprise sont donc concernés au premier chef.
C’est pourquoi Apple exigera l’utilisation de TLS 1.2 (qui date déjà de 2008), tout en recommandant TLS 1.3. Les serveurs sous TLS 1.2 doivent au minimum prendre en charge plusieurs mécanismes de sécurité, notamment des algorithmes d’échanges de clé (ECDHE), des suites de chiffrement (AES-GCM, SHA-256…) et des extensions comme l’EMS. Pour rappel, les principaux navigateurs (y compris Safari) ont déjà abandonné TLS 1.0 et 1.1 depuis 2020.
Les administrateurs réseau vont devoir se retrousser les manches et inspecter l’accès réseau sur des appareils fonctionnant sous les versions 26.4 de leurs OS. Apple fournit un profil de diagnostic pour générer des journaux détaillant les connexions non conformes. Cela leur permettra de déterminer les problèmes dans leurs infrastructures, et de mettre en œuvre une solution.
Ce travail, qui s’annonce long et fastidieux, permettra au bout du compte d’éviter les interceptions (attaque de type man in the middle), de supprimer les failles connues dans les vieux protocoles, et d’imposer les configurations les plus robustes possible.
« Trop cher » : c’était le verdict d’Asha Sharma, la nouvelle dirigeante de Microsoft Gaming, à propos du Game Pass dont les prix s’étaient envolés l’an dernier. La remplaçante de Phil Spencer passe des mots aux actes en baissant plusieurs tarifs de l’abonnement des jeux vidéo.
Ce n’est pas courant : un service en ligne réduit ses prix. Il s’agit du Game Pass, l’offre de Microsoft pour accéder à un catalogue de jeux vidéo sur Xbox, PC et dans le cloud. La formule Ultimate passe de 26,99 euros à 20,99 euros, soit une baisse de 22 %. Le PC Game Pass perd lui 13 %, à 12,99 euros.
Les prix des autres offres ne changent pas : Game Pass Essential, qui avait augmenté de 2 euros, reste à 8,99 euros. La formule Premium reste fixée à 12,99 euros. En octobre dernier, Microsoft avait procédé à une augmentation douloureuse des tarifs pour son service, notamment pour Ultimate. Certes, la formule la plus attractive revenait auparavant à 17,99 euros, et même à 14,99 euros avant la précédente augmentation de juillet 2024 (autres temps, autres mœurs…).
La nouvelle grille tarifaire du Game Pass. Capture d’écran
Le nouveau prix de 20,99 euros reste donc toujours un peu difficile à avaler, mais on s’éloigne du seuil psychologique des 30 euros. Si cette baisse ne se réalise pas au détriment des avantages du Game Pass, Microsoft annonce dans la foulée que les futurs épisodes de Call of Duty – dont le prochain attendu cet automne – ne seront plus livrés dans les formules Ultimate et PC Game Pass le même jour que leurs sorties.
Les blockbusters d’Activision attendront les fêtes de l’année suivante, soit un peu plus de 12 mois, avant d’être disponibles sur le Game Pass. Les jeux déjà présents au catalogue demeurent disponibles. « Il n’existe pas de modèle unique qui convienne à tout le monde, mais ce changement répond à de nombreux retours que nous avons reçus jusqu’à présent », explique l’entreprise.
La présence de Call of Duty dans l’offre Game Pass était la raison pour laquelle les prix du service avaient flambé en 2025. La stratégie du « day one » pour les nouveaux opus du jeu de tir aurait représenté un manque à gagner de 300 millions de dollars rien qu’en 2024.
Ces changements sont l’une des premières décisions fortes d’Asha Sharma, la directrice générale de Microsoft Gaming depuis fin février. Dans un mémo interne, elle estimait que le Game Pass était devenu « trop cher ». Sur le plus long terme, elle veut un système « plus flexible ».
Connexion
