Suite à la vague de deepfakes visant à dénuder des femmes perpétrée par des utilisateurs du réseau social X, xAI fait face en Europe à plusieurs enquêtes en cours, notamment ouvertes par la Commission de protection des données irlandaise (la Data Protection Commission, DPC), la Commission européenne et la justice française.

Mais l’entreprise d’Elon Musk semble vouloir jouer au jeu du chat et de la souris. Elle a discrètement changé plusieurs fois son point de contact officiel européen pour les utilisateurs voulant signaler d’éventuels problèmes liés au Digital Services Act. Le média Follow the Money a repéré une première adresse à Tallinn. Celle-ci était censée être celle d’EDSR (European Digital Services Representatives).

EDSR est un cabinet d’avocats situé à Bruxelles détenu en partie par Olivier Willocx, membre du Parlement de la région de Bruxelles-Capitale depuis 2024. Cette structure s’est notamment spécialisée dans l’accompagnement d’entreprises non européennes comme Telegram.

Cette adresse en Estonie a été ajoutée aux conditions d’utilisation de xAI peu de temps après l’ouverture de l’enquête de la DPC. Ainsi, en mars, on pouvait la retrouver sur la page des conditions d’utilisation alors que la page n’indiquait pas de tel point de contact en janvier dernier.

Follow the Money a voulu en savoir plus sur cette adresse et a pu constater physiquement qu’aucun bureau de EDSR ou xAI n’y figurait. Seule une boite aux lettres était installée à l’accueil alors que l’entreprise propriétaire du bâtiment indique à nos confrères ne pas louer de boîtes postales à des entreprises qui n’avaient pas de bureau dans l’immeuble et ne pas avoir conclu de contrat de location avec xAI ou EDSR.

Après avoir été contactée par Follow the Money, et sans donner aucune explication ni réponse, xAI a de nouveau changé l’adresse de contact, la situant dans un autre immeuble de la capitale de l’Estonie.

• X et Elon Musk visés par une information judiciaire en France

Le groupe SoftBank s’apprêterait à dévoiler un plan à 100 milliards de dollars pour doter la France de nouveaux centres de données. C’est du moins le projet qu’aurait monté Masayoshi Son, patron du conglomérat japonais, après une rencontre avec Emmanuel Macron.

Lors de sa visite au Japon fin mars, Emmanuel Macron a fait la tournée des popotes auprès des responsables politiques et des grands acteurs de l’économie de l’archipel. Parmi eux, Masayoshi Son, directeur général de SoftBank, opérateur télécom, fournisseur de services en ligne et surtout mastodonte des investissements tous azimuts. Selon Bloomberg, le président français lui aurait proposé d’établir des infrastructures IA dans l’Hexagone.

L’investisseur aurait été intrigué par cette approche provenant d’un chef d’État, alors qu’il est plus souvent sollicité par des dirigeants d’entreprise. Depuis, il étudierait sérieusement le projet et aurait même évoqué auprès de proches du dossier la possibilité de mettre jusqu’à 100 milliards de dollars sur la table. Gardons la tête froide : le montant final pourrait être beaucoup moins élevé. 

Ce d’autant que SoftBank a déjà fort à faire avec ses autres projets, dont l’initiative Stargate avec OpenAI, Oracle et le fonds émirati MGX — un investissement à 500 milliards qui semble presque modeste face aux plus de 700 milliards avancés par Microsoft, Meta, Amazon et Alphabet pour cette année. 

• Dopés par l’IA, les géants du cloud projettent 700 milliards $ d’investissements en 2026

SoftBank s’est également engagée à investir plus de 60 milliards dans OpenAI pour en obtenir 13 % du capital et travaille de près avec la startup IA sur de nombreux projets.

La liste des investissements (réels et potentiels) de Masayoshi Son est très longue, de nombreux milliards promis n’ont toujours pas été concrétisés. Le projet français pourrait être dévoilé à l’occasion du sommet Choose France, le 19 mai. Les détails restent encore flous et la portée de l’annonce peut encore évoluer. 

En février 2025, à l’occasion d’un sommet pour l’action sur l’IA, Emmanuel Macron avait déjà annoncé 109 milliards d’euros d’investissements « dans les prochaines années », soit « l’équivalent pour la France de ce que les États-Unis ont annoncé avec “Stargate” », avait-il affirmé. Pour attirer les entreprises IA, le locataire de l’Élysée met en avant les capacités nucléaires de la France qui donnent aux centres de données « l’énergie la plus décarbonée d’Europe ».

• IA : Emmanuel Macron annonce une centaine de milliards pour la Porte des étoiles française

L’Union européenne a décroché son billet pour GPT-5.5-Cyber, le grand modèle de langage d’OpenAI spécialisé dans la cybersécurité. En revanche, les discussions se poursuivent avec Anthropic pour obtenir un accès à Mythos.

L’UE court après les LLM américains spécialisés dans la cybersécurité. Pour l’un d’entre eux, GPT-5.5-Cyber, c’est chose faite : la Commission européenne a confirmé l’accès au modèle de langage d’OpenAI. « Nous saluons la transparence d’OpenAI et sa volonté de donner à la Commission un accès à son nouveau modèle », s’est réjoui Thomas Regnier, le porte-parole à la souveraineté technologique. « Cela nous permettra de suivre de très près le déploiement de ce modèle, mais aussi de traiter plus directement certaines préoccupations en matière de sécurité. »

OpenAI est allé frapper à la porte de la Commission pour leur proposer un accès au modèle. Ce n’est que le début de la collaboration, la Commission doit par exemple déterminer qui pourra travailler sur GPT-5.5-Cyber au sein de l’UE. Plusieurs organisations pourraient y prétendre : la DG Connect (direction générale des réseaux de communication, du contenu et des technologies), l’AI Office (centre d’expertise pour l’IA), l’agence de cybersécurité Enisa… « Une étape après l’autre : nous discutons d’abord avec l’entreprise. Ensuite, nous verrons évidemment quelles seront les prochaines étapes », ajoute le porte-parole.

« Les laboratoires d’IA comme le nôtre ne devraient pas être les seuls arbitres de la cybersécurité », déclare George Osborne, responsable d’OpenAI for Countries. « La résilience repose sur des partenaires de confiance travaillant ensemble ». Les capacités de GPT-5.5-Cyber doivent être « accessibles aux nombreux défenseurs européens, et pas seulement à quelques-uns », ajoute-t-il en rappelant l’existence du plan d’action européen d’OpenAI pour la cybersécurité.

La déclinaison cyber de GPT‑5.5 est disponible depuis le 7 mai, dans un « aperçu limité » réservé aux « défenseurs chargés de sécuriser les infrastructures critiques », explique OpenAI. L’entreprise a élargi son programme TAC (Trusted Access for Cyber) au mois d’avril avec le lancement de GPT-5.4-Cyber ; il faut montrer patte blanche pour entrer dans le club, les partenaires étant vérifiés et approuvés par l’entreprise.

L’UE reste en revanche privée de Mythos. Thomas Regnier a indiqué qu’il y avait « un niveau d’engagement » avec Anthropic, « nous avons eu quatre ou cinq réunions avec l’entreprise ». Les discussions semblent aller bon train mais pour le moment, « nous ne sommes pas au même niveau [qu’avec OpenAI] ». Bruxelles salue « l’approche proactive adoptée par OpenAI, y compris sa volonté de nous donner accès au modèle », et voudrait bien que ça soit le cas avec Anthropic également.

• Mythos : l’Europe tenue à l’écart du modèle IA le plus ambitieux du moment

C'est open

Derrière le bras de fer qui oppose la Chine et les États-Unis dans l’accès aux semi-conducteurs, la Chine séduit un nombre croissant d’entreprises et d’institutions avec ses modèles open source.

Quel est le modèle d’IA générative le plus utilisé au monde ? Si l’on en croit Open Router (qui se présente comme « la première place de marché pour les LLM »), ce sont deux modèles chinois qui menaient la danse ces deux dernières semaines : la version gratuite d’Hy3, du géant Tencent, et le modèle open source Kimi K2.6 de la start-up Moonshot.

Anthropic n’arrive qu’en troisième et quatrième position avec Claude Sonnet 4.6 et Claude Opus 4.7, suivi de diverses versions de DeepSeek et de Gemini (Google). Pendant que les dirigeants politiques et économiques occidentaux se focalisent sur les modèles géants des principaux acteurs états-uniens, la Chine mène sa danse grâce à un tout autre modèle de fabrication de systèmes d’IA : de l’open source, à plus faible coût que chez son concurrent occidental.

• La Chine a déposé 70 % des 54 000 brevets en matière d’intelligence artificielle générative

Quand bien même les États-Unis restreignent l’accès de la Chine aux processeurs les plus avancés, le pays multiplie les modèles d’IA certes appuyés sur des technologies moins récentes, mais dont le fonctionnement est aussi nettement moins onéreux, indique Agathe Demarais, directrice du programme géoéconomie et technologie de l’European Council on Foreign Relations, dans Foreign Policy.

À 4 $ environ le million de tokens générés, Kimi revient ainsi six à huit fois moins cher que le recours à Opus 4.7 ou à GPT-5.5. Une variation certes négligeable pour l’internaute moyen, mais qui prend tout son sens lorsqu’elle est observée depuis le point de vue d’entreprises susceptibles de faire tourner des centaines d’agents d’IA.

Kimi, Deepseek, Ryu 4… faites votre choix

Créé par Moonshot AI, société fondée en 2023 à Pékin, Kimi rejoint les résultats des leaders états-uniens du secteur depuis plusieurs mois. Un succès qui s’ajoute à celui de plusieurs autres leaders locaux du secteur, dont chaque progrès sonne comme un coup de semonce pour le leadership technologique états-unien. En mars, Anthropic s’était d’ailleurs plainte que DeepSeek, Moonshot et MiniMax avaient recouru à des comptes frauduleux pour extraire à grande échelle les capacités de son modèle Claude.

Rivalisant avec le dernier modèle d’Open AI GPT 5.5, la quatrième version de DeepSeek a été conçue pour ne fonctionner que sur des technologies chinoises, et Huawei a indiqué avoir travaillé en étroite collaboration avec son constructeur. Une logique qui n’est pas sans inquiéter le patron de Nvidia. Portée par la start-up chinoise du même nom, la première version de DeepSeek avait fait l’effet d’une déflagration sur le marché de l’IA dès sa sortie, début 2025.

• Chine : Huawei et Baidu accélèrent sur les puces dédiées à l’IA

Autres modèles notables, ceux des géants Tencent et Alibaba. Plus ramassé que son prédécesseur avec 295 milliards de paramètres (contre 400 milliards pour Hy2), le dernier modèle de Tencent Hy3 se hisse depuis la fin avril en haut de plusieurs benchmarks. Chez Alibaba, Qwen comptait en mars pour plus de 50 % des téléchargements mondiaux de systèmes d’IA open source, avec près d’un milliard de téléchargements cumulés.

Déployé directement dans des services de la vie courante en Chine, comme les plateformes de e-commerce Taobao et Tmall, l’outil est par ailleurs plébiscité par des institutions publiques. En novembre, le gouvernement de Singapour indiquait par exemple renoncer à Llama de Meta et se tourner vers Qwen pour construire son modèle d’IA souverain.

Nouvel incontournable des standards mondiaux

Ce déploiement de modèles open source constitue une évolution de la stratégie des « Nouvelles routes de la soie » (Belt and Road Initiative, BRI) portée par Pékin. Si celle-ci impliquait traditionnellement que des sociétés chinoises déploient des projets d’infrastructures complets à des pays étrangers pour les mettre dans son orbite, la diffusion de modèles d’IA open source suit une logique similaire tout en rendant l’infrastructure invisible et gratuite (le coût des serveurs et de l’électricité qui leur est nécessaire étant porté par les pays qui adoptent ces technologies).

Cela rend le déploiement d’IA chinoise plus simple que celui de ports, de rails ou d’autres infrastructures matérielles, tout en la rendant peu à peu incontournable, expose Agathe Demarais. À long terme, une telle logique pourrait la rendre indispensable dans l’établissement des standards mondiaux relatifs à l’IA.

• En dix ans, la Chine a nettement développé son indépendance technologique

Dans la mesure où la plupart des économies occidentales sont déjà coincées dans le modèle états-unien, cette lutte pour les standards mondiaux se jouera avant tout du côté des économies émergentes. Les coûts d’entraînement des modèles chinois, la possibilité d’entraîner les modèles avec des données spécifiques à chaque pays plutôt que sur une base pré-entraînée sur des données occidentales, ou encore le dédain croissant envers les États-Unis pourraient les pousser vers les technologies chinoises.

La piste créerait un autre type de dépendance technologique. Lorsqu’il est auto-hébergé, DeepSeek persiste ainsi à donner des réponses alignées avec les thèses du gouvernement chinois sur certaines thématiques sensibles, notamment sur la « Grande muraille numérique » locale. Pour autant, ces technologies pourraient devenir pour certains le pari le plus sûr, alors que le gouvernement états-unien prend un visage foncièrement imprévisible, ce qui permettrait à la Chine de se construire une influence durable.

• DeepSeek : la recherche chinoise paradoxalement boostée par les restrictions américaines

Une URL, et tout devient accessible

Plus besoin de connaissances en HTML ou en JavaScript pour développer des web apps : il suffit de la décrire à une des plateformes de vibe coding qui se partagent un marché florissant. Mais la sécurité est le parent pauvre de cette pratique.

Les apps générées par IA publiées sur internet sont souvent peu sécurisées. Red Access, une entreprise spécialisée dans la sécurité dans le nuage, et son cofondateur Dor Zvi ont analysé des milliers de web apps créées avec des outils comme Lovable, Replit, Base44 et Netlify. Le résultat fait froid dans le dos : plus de 5 000 d’entre elles ne présentent aucune authentification ni véritable sécurité.

La simplicité c’est bien, la sécurité c’est mieux

Il suffit de trouver l’URL du site web pour accéder aux données de ces applications. D’autres n’opposaient comme résistance que des barrières faciles à franchir, comme l’obligation de se connecter avec une adresse email. Environ 40 % de ces web apps exposent des données sensibles, des documents confidentiels ou des historiques de conversation entre clients et chatbots. Dor Zvi tire la sonnette d’alarme chez Wired :

« Des organisations se retrouvent à divulguer des données privées via des applications créées avec le vibe coding. C’est l’un des plus grands cas de fuite où des personnes exposent des informations d’entreprise ou d’autres données sensibles à n’importe qui dans le monde. »

Parmi les trouvailles de l’équipe de Red Access : des plannings d’hôpitaux avec des informations personnelles sur des médecins, les achats publicitaires d’une entreprise, une présentation de lancement commercial, les registres de cargaisons d’une société de transport… Dans certains cas, Dor Zvi aurait pu obtenir les privilèges admin de certaines de ces apps en ligne — et même supprimer des comptes administrateurs.

Les plateformes de vibe coding permettent aux utilisateurs d’héberger leurs web apps directement sur leurs propres domaines. Pour mettre la main dessus, les chercheurs ont simplement utilisé Google ou Bing. Ils ont également trouvé plusieurs sites d’hameçonnage reproduisant ceux de grandes entreprises, créés et hébergés chez Lovable.

« Certains utilisateurs ont publié sur le web des applications qui auraient dû rester privées », explique Amjad Masad, le directeur général de Replit. « Qu’une application publique soit accessible sur internet est donc un comportement attendu. Les paramètres de confidentialité peuvent être modifiés à tout moment en un clic. » Rappelant l’existence d’outils de sécurité sur sa plateforme, le dirigeant s’engage à basculer les applications en mode privé et à informer les utilisateurs, si Red Access décide de lui transmettre une liste de ces derniers.

Masad reproche au passage le délai très court donné par la société de cybersécurité : « moins de 24 heures » avant de rendre l’affaire publique, ce qui n’a guère laissé de temps à Replit pour s’organiser. Le 6 mai, Replit annonçait que tous les utilisateurs du service, gratuit comme payant, peuvent publier leurs apps en mode privé. Une fonction qui était réservée auparavant aux clients Pro et Enterprise.

La responsabilité des plateformes

Chez Lovable, on indique également que les utilisateurs ont des outils de sécurité à leur disposition, « mais la manière dont une application est configurée relève au final de la responsabilité de son créateur ». Même discours du côté de Base44 : « Désactiver ces contrôles [de sécurité] est une action volontaire et simple, que n’importe quel utilisateur peut effectuer ». Une web app rendue publique est « un choix de configuration de l’utilisateur, et pas une faille de la plateforme ».

• Étoile montante du vibe coding, Lovable lève 330 millions de dollars

Base44 rappelle aussi qu’il est très simple de générer des données ressemblant à des vraies. Malgré tout, le risque d’exposer des informations confidentielles via des web apps vibe-codées reste réel. Ces outils sont utilisés par des utilisateurs n’ayant pas nécessairement le bagage technique suffisant pour sécuriser leurs données en ligne. 

« N’importe qui dans une entreprise peut générer une application à tout moment, sans passer par un cycle de développement standard ni par le moindre contrôle de sécurité », prévient Dor Zvi. Les plateformes ont une responsabilité ici, celle de mettre en place des garde-fous pour éviter un tsunami potentiel de fuites de données.

• Comment l’IA générative change-t-elle le métier de programmeur ?

La France Insoumise (LFI) a informé certains de ses adhérents ou sympathisants d’un vol de données personnelles survenu au niveau de ses outils internes. Elle y indique avoir été victime d’une attaque cybercriminelle susceptible d’avoir conduit à l’exposition d’informations telles que le nom et prénom, l’adresse email, l’adresse postale, les « informations de profil » et la « participation à certains groupes ou événements ».

Le parti politique ne précise pas le canal par lequel a été réalisée l’attaque, mais les informations personnelles évoquées, notamment l’allusion aux groupes ou événements, suggèrent qu’il pourrait s’agir du site actionpopulaire.fr, la plateforme via laquelle LFI propose à ses sympathisants d’organiser leurs actions de terrain.

Cette allusion aux groupes semble également cohérente avec les revendications publiées par un internaute le 7 mai dernier sur un forum spécialisé. Celui-ci affirmait avoir réalisé un dump (une copie) du site actionpopulaire.fr, qui lui donnerait accès à 120 000 emails uniques, 20 000 numéros de téléphone, un nombre non précisé d’adresses physiques, ainsi qu’aux messages et échanges réalisés par l’intermédiaire de la plateforme.

Outre les messages individuels adressés aux victimes potentielles, LFI a communiqué de façon plus large auprès de ses sympathisants. Signé par Manuel Bompard et diffusé, notamment, sur les canaux Discord du parti, le message admet une fuite, mais ne corrobore pas les allégations du pirate supposé :

« Nous sommes encore en train d’investiguer pour préciser les conséquences de ces attaques. Il semble qu’en effet des données liées à certaines personnes ont pu être compromises. En revanche, contrairement à ce qui a été indiqué sur les réseaux sociaux, il ne s’agit ni du fichier de tou·tes les utilisateur·rices d’Action populaire, ni des signataires sur le site de soutien de la campagne présidentielle. »

Le coordinateur du parti confirme par ailleurs qu’une plainte va être déposée, outre l’alerte transmise à la CNIL et à l’ANSSI. « De manière générale, dans le contexte de généralisation de piratages de données ayant par exemple visé des institutions publiques, nous invitons tou·tes les camarades à faire preuve de la plus grande vigilance dans les messages qu’elles et ils pourraient recevoir sur leurs coordonnées personnelles », écrit encore le parti, avant d’appeler aux habituels conseils de vigilance.

La divulgation de cette attaque intervient alors que le leader du parti, Jean-Luc Mélenchon, a annoncé dimanche 3 mai, au 20 heures de TF1, sa candidature à l’élection présidentielle de 2027. Le dépôt GitHub dédié au code d’actionpopulaire.fr témoigne quant à lui d’une forte accélération du volume de commits depuis le 23 avril dernier.

• Noms, emails, adresses IP… le nouveau site de Sarah Knafo était une véritable passoire

Rappelons que d’un point de vue réglementaire, les informations qui révèlent l’orientation politique relèvent de ce que le RGPD qualifie, dans son article 9, de « données sensibles ».

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?

Le début d'une série ?

Ce 7 mai, une nouvelle faille dans le noyau Linux permettant d’obtenir les droits superutilisateur a été divulguée. Mais l’embargo sur sa découverte a été cassé par des tiers. Même si un moyen de l’endiguer a été disponible rapidement, les responsables de distributions Linux courent depuis pour proposer à leurs utilisateurs un noyau incluant un patch.

Ce week-end du 8 mai a été bien actif pour les administrateurs systèmes : un peu plus d’une semaine après la révélation de la faille Copy fail dans le noyau Linux, une autre vulnérabilité a été rendue publique le 7 mai dernier. Elle est maintenant décrite sous le nom de Dirty Frag.

Comme pour Copy fail, en l’exploitant, la faille permet une escalade des privilèges, c’est-à-dire qu’un utilisateur lambda d’une machine peut très facilement accéder aux droits d’accès superutilisateur et faire ce que bon lui semble. Encore faut-il avoir un compte sur la machine.

Embargo cassé

Cette faille a été détectée par le chercheur indépendant Hyunwoo Kim. Mais celui-ci n’avait pas prévu de diffuser l’information si tôt. Comme il l’a expliqué vendredi sur la liste de discussion oss-security, d’autres personnes ont outrepassé l’embargo fixé sur la divulgation de cette faille qui concerne la plupart des distributions Linux.

Ainsi, vendredi, au moment où il a posté le message, aucun patch n’existait et aucun numéro de vulnérabilité ne lui avait été affecté. Le seul moyen qu’il proposait pour endiguer son exploitation était de bloquer les modules dans lesquels le problème se trouvait via la commande :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Depuis, la communauté s’est affairée à mettre tout en place pour bloquer la faille. Ainsi, Hyunwoo Kim a créé un dépôt GitHub officiel sur le sujet pour décrire et c’est en fait deux CVE qui ont été créées : CVE-2026-43284 puis CVE-2026-43500. Le score de vulnérabilité de la seconde n’est pas encore fixé mais celui de CVE-2026-43284 est de 8,8. Comme pour Copy Fail, le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine et le score aurait été sans doute plus élevé si ça n’avait pas été le cas.

Une modification possible depuis 2017

Les deux vulnérabilités se situaient aussi, comme avec Copy Fail, dans la possibilité de modifier le page cache (celui de xfrm-ESP depuis 2017 pour la CVE-2026-43284 et celui de RxRPC depuis 2023 pour la CVE-2026-43500). Corrigées respectivement depuis le 5 et 10 mai dans les deux projets, Hyunwoo Kim souligne qu’ « en d’autres termes, la durée de vie effective de ces vulnérabilités est d’environ 9 ans ».

La similarité avec Copy fail n’est pas étonnante puisque Hyunwoo Kim explique que c’est la première faille qui a inspiré sa recherche d’autres du même type

Le chercheur donne aussi un PoC. À Next, nous avons testé sur un serveur dédié virtuel chez OVHCloud sur lequel est installé Ubuntu 25.04. Nous avons pu reproduire le comportement, ainsi n’importe quelle personne qui a un compte sur la machine peut devenir root et y faire ce qu’elle veut.

Dans sa documentation, avant de pouvoir déployer le correctif de votre distribution, Hyunwoo Kim propose la même façon d’endiguer le problème que dans son message sur la liste oss-security.

Comme l’explique Ubuntu sur son blog, celle-ci peut poser des problèmes si on utilise le protocole de VPN IPSec comme le logiciel strongSwan. C’est aussi le cas si on se sert du système d’archivage distribué AFS (Andrew File System) « ou d’une autre application utilisant RxRPC ».

Course pour patcher

Petit à petit, les responsables des distributions Linux déploient un correctif. C’est le cas pour certaines versions de Debian, par exemple. Mais, à cause du non respect de l’embargo, le déploiement n’était pas prêt lorsque la faille a été rendue publique. Sur un dépôt GitHub titré « Copy Fail 2: Electric Boogaloo », d’autres personnes ont publié des informations sur la faille en marge du travail de Hyunwoo Kim tout en le créditant.

Celui-ci explique avoir contacté l’équipe de sécurité du noyau Linux le 30 avril avec un exploit montrant les possibilités d’utilisation de la faille et que le chercheur Kuan-Ting Chen a travaillé en parallèle sur le problème. Celui-ci a proposé un patch le 4 mai sur la liste netdev et il a été intégré à la branche netdev le 7 mai. Hyunwoo Kim a ensuite informé les responsables des distributions Linux sur la linux-distros et un embargo de cinq jours a été fixé. Mais celui-ci a donc été cassé par un tiers, ce qui a précipité la mise en place d’une solution. Comme avec Copy Fail, les administrateurs systèmes se sont donc retrouvés avec des informations partielles sur le problème au moment de la divulgation.

Firefox sous perfusion de Mythos

Firefox sert désormais de laboratoire grandeur nature pour éprouver de nouveaux outils de cybersécurité assistés par IA. En avril, Mozilla a corrigé la bagatelle de 423 vulnérabilités, la majorité ayant été débusquée par Mythos.

Mozilla ne tarit décidément pas d’éloges sur les capacités de Mythos à détecter des bugs et des failles de sécurité dans Firefox. En avril, des correctifs ont permis de corriger 423 vulnérabilités : les 271 bugs dans Firefox 150 déjà annoncés qui proviennent des analyses de Mythos, plus 41 bugs signalés par des chercheurs externes, et 111 découverts en interne avec d’autres méthodes. À comparer avec les 76 correctifs du mois de mars.

Une chose a changé dans l’utilisation des LLM par les développeurs de Firefox. Les tests réalisés ces dernières années avec GPT-4 ou Sonnet 3.5 s’avéraient certes prometteurs, mais au bout du compte « le taux élevé de faux positifs les rendait impraticables à grande échelle », écrivent Brian Grinstead, Christian Holler et Frederik Braun de Mozilla. Le mode opératoire était relativement classique : demander au modèle d’analyser du code jugé sensible pour repérer d’éventuelles vulnérabilités.

Des agents qui traquent les bugs

Les modèles agentiques ont changé la donne, soulignent-ils : « Ces systèmes peuvent trouver de véritables bugs et écarter les hypothèses impossibles à reproduire ». Claude Opus 4.6 a permis de mettre au point un « harnais agentique » qui interagit avec l’environnement de développement : il peut exécuter du code, vérifier si la faille existe réellement et générer des cas de test qu’il est possible de reproduire.

En substance, le LLM formule une hypothèse et tente lui-même de la valider. De quoi identifier « une quantité impressionnante de vulnérabilités jusque-là inconnues ». Les ingénieurs de Mozilla ont affiné et ajusté le comportement du modèle, et lorsque les résultats ont été jugés suffisamment bons, ils ont parallélisé les tâches sur plusieurs machines virtuelles éphémères. 

Le LLM n’est qu’une partie de ce Meccano de sécurité. L’infrastructure au complet inclut aussi la gestion du cycle de vie des vulnérabilités : orchestration, validation, triage, intégration avec d’autres outils internes. Ce « harnais », qui reste très spécifique au projet, peut ensuite fonctionner avec d’autres LLM, comme l’aperçu de Mythos. « Le système devient simultanément meilleur pour repérer des bugs potentiels, créer des cas de test de preuve de concept pour les démontrer, et expliquer précisément leur mécanisme ainsi que leur impact », indique Mozilla.

Ce travail de fond pour créer un pipeline autour des modèles de langage et les capacités accrues de ces derniers ont permis d’accélérer la détection et le développement de correctifs. « Il y a encore quelques mois, les rapports de bugs de sécurité générés par IA envoyés aux projets open source étaient surtout connus pour être du bruit inutile », rappellent les ingénieurs. Trier le bon grain de l’ivraie était chronophage : « il est simple et peu coûteux de demander à un LLM de trouver un « problème » dans du code, mais il est long et coûteux de vérifier puis de répondre à ces signalements. »

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ?

Tout a changé avec les nouveaux LLM plus puissants, et l’amélioration des techniques permettant d’exploiter ces modèles. C’est un cas d’usage spécifique pour Firefox qui peut ne pas s’adapter à d’autres organisations. 

L’IA n’écrit pas les correctifs

Brian Grinstead apporte un éclairage intéressant chez TechCrunch. Si l’équipe de Firefox utilise les LLM pour repérer des failles, les correctifs sont toujours écrits par des humains malgré les progrès des outils de développement assistés par IA. « Pour les bugs dont nous parlons dans ce billet, chaque correctif a été écrit par un ingénieur puis relu par un autre », explique-t-il.

Les développeurs demandent tout de même à l’IA de proposer des correctifs pour chaque bug, mais le code qu’elle produit ne peut pas être déployé tel quel. Il sert surtout de base de travail, car « nous n’avons pas constaté que cela pouvait être automatisé ».

Mozilla est suffisamment confiant pour partager 12 bugs corrigés sans attendre les plusieurs mois habituels avant une divulgation publique, « compte tenu du niveau d’intérêt extraordinaire suscité par ce sujet et de l’urgence des mesures à prendre dans l’ensemble de l’écosystème logiciel ». Ces bugs, qui permettent des échappements de sandbox, doivent être combinés à d’autres exploits pour compromettre Firefox.

« Nous n’avons pas encore découvert tous les bugs latents présents dans Firefox, mais nous sommes très satisfaits de la trajectoire actuelle », conclut le billet. La prochaine étape pour Mozilla est d’intégrer le système directement dans la chaîne de développement du navigateur : chaque nouveau correctif envoyé par un développeur pourrait être automatiquement analysé par le pipeline IA, ce qui permettrait de détecter les bugs quasiment au moment où ils sont intégrés dans le code de Firefox.

Sur le sujet de l’impact de l’IA sur le monde de la cybersécurité, illustré notamment par le phénomène médiatique Mythos, voir notre récent dossier :

• https://next.ink/234550/la-cybersecurite-est-une-priorite-geopolitique-pas-un-probleme-technique-1-3/
• https://next.ink/234918/anthropic-et-la-strategie-marketing-de-la-peur-autour-de-sa-nouvelle-ia-mythos-2-3/
• https://next.ink/232344/comment-survivre-a-la-deferlante-a-venir-des-vulnerabilites-identifiees-par-ia-3-3/

L’avantage des SSD sur les disques durs magnétiques traditionnels en matière de densité trouve une nouvelle incarnation éloquente avec l’annonce de la gamme 6600 ION NVMe de Micron : le fabricant états-unien décline en effet cette dernière sur des capacités de 30, 61, 122 et 245 To, le tout dans une enveloppe correspondant à celle du format 2,5 pouces utilisé sur les marchés grand public.

Ici, il n’est cependant pas question d’équiper des PC pour joueurs ou des stations de travail. Ces SSD, qui se déclinent en formats U.2 (15 mm d’épaisseur), E3.S 1T (7,5 mm) et E3.L, sont destinés au monde des datacenters, où ils permettent d’atteindre des capacités de stockage record à l’échelle de la baie ou du rack. Micron revendique ainsi 4,9 Po sur un U (à raison de 40 SSD au format U.2), ce qui permet d’envisager d’intégrer 176,9 Po sur un rack.

Dans sa fiche produit (PDF), Micron met cette promesse de densité et la consommation électrique associée en face de ce qu’autorisent les disques durs magnétiques. Le fabricant de mémoire revendique ainsi une densité 5,6 fois supérieure à celle des disques durs 44 To qui commencent à être disponibles. Côté consommation, il affiche 30 watts par SSD, soit 8,2 To par watt, qu’il compare aux 10 watts avalés par un disque 44 To. L’efficacité serait donc ici 1,9 fois supérieure.

Sans surprise, Micron se garde bien de donner la moindre indication quant au prix de ces nouveaux modèles, dont le lancement intervient sur fond de tensions persistantes sur le marché de la mémoire (vive ou Flash). Rappelons que le groupe a pris la décision fin 2025 de mettre un terme à sa marque grand public Crucial même s’il affirme ne pas vouloir totalement délaisser le consommateur final.

• Le marché de la mémoire vive face au(x) mur(s) de l’IA

Si ce n'est toi, c'est donc ton frère

Victime d’un piratage, le site officiel de JDownloader a pendant 48 heures distribué un malware en lieu et place du fichier d’installation proposé pour Windows et Linux. L’équipe en charge du projet affirme que seuls les liens de téléchargement ont été modifiés : les binaires du logiciel et l’infrastructure sous-jacente n’auraient pas été touchés. Les internautes ayant téléchargé l’utilitaire entre le 6 et le 7 mai sont toutefois invités à la prudence.

Très populaire chez les adeptes du « direct download », du fait de sa capacité à lever les restrictions sur les téléchargements gratuits, l’utilitaire JDownloader a été victime d’un incident de sécurité les 6 et 7 mai dernier. C’est plus précisément le site officiel du logiciel qui a été affecté par une attaque de type supply chain (chaîne d’approvisionnement) : pendant 48 heures environ, certains des liens de téléchargement affichés sur le site ont pointé vers un malware et non vers les binaires légitimes du client.

Des liens modifiés au niveau du CMS

L’équipe en charge du projet indique que deux liens ont été affectés : l’option « Download Alternative Installer » proposée pour Windows, et l’URL pointant vers l’installateur en ligne de commande pour Linux. « Nos packages d’installation originaux n’ont pas été modifiés ; seuls les liens de téléchargement publiés ici pointent vers des fichiers erronés. Les fichiers binaires de l’installateur restent hébergés sur des serveurs externes, comme d’habitude », promet JDownloader dans un billet dédié.

L’incident y est retracé de façon chronologique. D’après l’équipe, les assaillants auraient d’abord procédé à une première modification sur une page peu exposée du site, le 5 mai dans la soirée, avant d’insérer les deux liens piégés sur la page principale dédiée au téléchargement, le 6 mai aux alentours de deux heures du matin (heure de Paris).

Les auteurs du projet ont sonné le branle-bas de combat le 7 mai vers 19 heures, suite à l’alerte lancée par un internaute sur Reddit. « Des téléchargements suspects et des alertes ont été détectés ; le problème a été confirmé et une procédure de gestion d’incident a été lancée. Le serveur a été arrêté à 17h24 UTC [19h24 heure de Paris] », décrit-elle. Le site est ensuite resté hors ligne à des fins de nettoyage et de contrôle, jusqu’à sa remise en route dans la nuit du 8 au 9 mai.

Vérifier la légitimité du fichier téléchargé

C’est au niveau du CMS (gestionnaire de contenus, le « moteur » du site Web) que serait intervenue l’intrusion. Le code de JDownloader, et les mécaniques de mise à jour « in-app » n’ont de ce fait pas été affectées, assure l’équipe : « Chaque mise à jour installée via le système intégré de l’application est signée par RSA et vérifiée par cryptographie. Ce canal est indépendant des liens de téléchargement du site web qui ont été manipulés. »

Reste à accompagner les internautes exposés à un fichier compromis. Sous Windows, l’équipe invite à contrôler la signature du client téléchargé (clic droit, propriétés, signatures numériques). Si l’écran affiche AppWork GmbH, le fichier peut être considéré comme légitime. Elle propose également un tableau récapitulatif des différentes versions du client, avec leur taille exacte et le checksum associé.

En cas de fichier téléchargé, puis exécuté, JDownloader invite à la réinstallation complète du système d’exploitation, et à la modification préventive de tous les identifiants susceptibles d’avoir été stockés sur la machine.

Les attaques de la supply chain se multiplient

D’après Thomas Klemenc de Malcat, le fichier distribué par les pirates contient bien l’installeur de JDownloader, associé à une charge malveillante de type RAT (Remote Access Trojan) écrite en Python. Bleeping Computer remarque un comportement similaire sous Linux, où la charge s’installe de façon persistante et dissimule son activité grâce à l’outil d’obfuscation Pyarmor.

Ce nouvel incident illustre la tendance qui consiste à attaquer non pas un logiciel, mais sa chaîne d’approvisionnement. Parfois, c’est le site Web qui sert de vecteur, comme ici ou dans le cas de la mésaventure survenue à l’éditeur de CPU-Z. Bon nombre d’attaques se concentrent également sur la distribution de composants open source populaires, comme l’illustre une alerte lancée le 5 mai dernier sur Daemon Tools, ainsi que les épisodes récents relatifs à Axios ou Trivy.

L'IA fait grimper les prix des consoles

Explosion des prix de la mémoire, guerre en Iran, tarifs douaniers… La situation économique est pour le moins compliquée pour les constructeurs de consoles (et pour le portefeuille des joueurs). Nintendo va augmenter les prix de la Switch 2, Sony vend beaucoup moins de PS5.

Les nuages noirs pointent à l’horizon pour les consoliers. Nintendo a annoncé une hausse des prix de ses consoles partout dans le monde à compter du 1er septembre. En Europe, la Switch 2 passera ainsi à 499,99 euros (+ 30 euros), et aux États-Unis la hausse sera de 50 dollars (499,99 dollars), soit des augmentations de respectivement + 6 % et 11 %.

Hausse des prix de la Switch 2

C’est au Japon où la flambée sera particulièrement sensible, et ce dès le 25 mai :+ 20 % pour la Switch 2 ou encore + 33 % pour la Switch 1… Sur le marché domestique de Nintendo, la Switch 2 est proposée dans une livrée spécifique qui ne fonctionne qu’en japonais ; elle coûte bien moins cher qu’ailleurs à 49 980 yens, soit environ 270 euros. Elle reviendra à 59 980 yens, ce qui reste toujours bien plus abordable qu’en Europe (environ 325 euros). L’entreprise a encore un peu de souplesse pour aligner les prix japonais avec ceux du reste du monde.

Nintendo n’a pas vraiment d’autre choix que de prendre en compte « l’évolution des conditions du marché » et « les perspectives de l’activité à l’échelle mondiale ». La situation est particulièrement compliquée pour le petit artisan de Kyoto : la Switch 2 a été lancée en juin 2025, et même si la première année a été particulièrement convaincante pour la nouvelle console hybride (19,86 millions d’unités écoulées), ce n’est qu’une partie de l’équation. La console sert évidemment de support aux jeux : pour vendre un maximum de jeux, il faut qu’un maximum de consoles soient en circulation.

Nintendo marche sur une ligne de crête. Ses marges de manœuvre sont aussi fines que sa marge brute. Le lancement de la Switch 2 a certes dopé les revenus de l’entreprise, mais pas nécessairement sa rentabilité : la marge brute a en effet fondu, passant de 61 % durant l’exercice fiscal 2025, à 39,3 % pour 2026. Le poids du matériel est bien plus important dans les ventes globales, puisque les consoles ont représenté 66,7 % des ventes, contre 43,7 % un an plus tôt.

Les consoles rapportent moins que les jeux et les services, et le constructeur souligne par ailleurs que la Switch 2 dégage une marge inférieure à celle de la première Switch. Mécaniquement, la rentabilité en prend un coup. Et dans un monde où les composants sont toujours plus chers, la seule solution est d’augmenter les prix. Mais la hausse doit être suffisamment contenue pour ne pas repousser complètement les clients potentiels. Car maintenant que les fans de la première heure sont servis, il faut convaincre les familles que le petit dernier a absolument besoin d’une Switch 2 alors que sa Switch 1 est encore parfaitement fonctionnelle.

Six ans après avoir amorcé la transition des processeurs Intel vers ses propres puces dans les Mac, Apple s’apprêterait à travailler de nouveau avec le fondeur américain. Les deux entreprises se seraient accordées pour lancer la production de puces destinées à des appareils du constructeur.

Avec 200 millions d’iPhone vendus chaque année et des dizaines de millions de Mac et d’iPad, Apple a d’énormes besoins en composants électroniques. En ce qui concerne les puces qui motorisent ses produits, le constructeur fait appel aux capacités de production de TSMC mais un nouveau fournisseur pourrait bien faire son apparition à l’horizon : Intel. Après des « discussions intenses » qui ont duré plus d’un an, les deux entreprises auraient scellé un accord préliminaire, selon le Wall Street Journal.

L’indiscrétion ne va pas jusqu’à préciser quels appareils Apple seront équipés de puces Intel. De même, on ignore la finesse de gravure de ces puces même s’il est probable que le constructeur jette son dévolu sur le procédé 14A, le plus avancé du fondeur. Mais pour Apple comme pour Intel, cet accord tombe à pic.

Apple a longtemps été le premier client de TSMC, ce qui lui permettait de dicter les orientations et l’activité du géant taïwanais. C’est moins le cas aujourd’hui, la demande du secteur de l’IA est telle que c’est devenu le principal moteur de la croissance de TSMC. NVIDIA devrait ainsi prendre la première place dans le carnet de commandes de l’entreprise cette année, selon Tim Culpan.

Avoir sous la main un autre fournisseur est donc une opportunité intéressante pour Apple, qui sait mieux que personne négocier les prix les plus bas. Et pour Intel, c’est également une bonne affaire : depuis l’arrivée de Lip-Bu Tan l’an dernier à la tête du groupe en mars 2025, il fait des pieds et mains pour attirer de nouveaux clients. Avec un succès indéniable : NVIDIA et Tesla ont signé pour produire des puces dans les usines Intel. Et le tour d’Apple semble tout proche.

• Lip-Bu Tan annonce une « remise à plat » d’Intel

Intel, qui était alors au bord du gouffre, a bénéficié d’un gros coup de pouce de l’administration Trump. Le gouvernement s’est porté acquéreur de 9,9 % du capital du groupe, rompant au passage avec l’habituelle politique de laissez-faire économique américaine. Le WSJ rapporte que Donald Trump aurait personnellement fait l’article d’Intel auprès de Tim Cook, un familier de la Maison Blanche.

Le retour de puces fabriquées par Intel dans des produits Apple serait en tout cas un joli pied de nez de l’histoire, même s’il n’est pas question d’abandonner l’architecture ARM pour revenir au x86. En 2006, le constructeur de Cupertino intégrait les processeurs Intel dans ses Mac avant de commencer à s’en débarrasser à partir de 2020, pour les remplacer par des puces de sa conception. Une transition qui s’est achevée en 2023 avec le premier (et ultime : Apple ne le propose plus aucune tour à la vente) Mac Pro tournant sur du silicium Apple.

Gym Tonic 2.0

Le Fitbit Air est un nouveau bracelet de suivi de l’activité physique et sportive. Sans écran et relativement abordable, c’est un cheval de Troie vers le nouveau coach IA sur abonnement de Google.

Retour aux fondamentaux pour Fitbit. En 2012, le fabricant lançait un de ses premiers bracelets de suivi grand public, un simple moniteur d’activité porté au poignet. Ses successeurs ont connu un succès tel que le nom « Fitbit » est devenu synonyme de ce type de produit. L’entreprise a ensuite diversifié son catalogue avec des montres connectées et des bracelets équipés d’écran. 

Un bracelet à oublier au poignet

En 2021, Google se porte acquéreur de Fitbit et décide de déshabiller Pierre pour habiller Paul : les fonctionnalités et les algorithmes développées par Fitbit renforcent l’écosystème Google, notamment la famille Pixel Watch. Mais de son côté, la marque autrefois emblématique, perd peu à peu de son lustre sans toutefois rejoindre le fameux « cimetière Google ».

Le géant du web n’a pas complètement remisé Fitbit au placard : la marque a en effet lancé un tout nouveau produit original… enfin presque, puisqu’il rappelle les premiers temps de l’entreprise. Le Fitbit Air est en effet un module de suivi de l’activité, sans écran, qui se glisse dans un bracelet. Le boîtier, épais de 8,3 mm, pèse 5,2 grammes. Conçu en polycarbonate, il embarque un cardiofréquencemètre, des capteurs de saturation en oxygène (SpO2), un capteur de température qui mesure la température de la peau, ainsi qu’un moteur vibrant.

Ainsi armé, le Fitbit Air va relever la fréquence cardiaque (et même repérer les signaux de fibrillation auriculaire), compter le nombre de pas et les distances parcourues, mesurer la qualité du sommeil, détecter automatiquement un entraînement. Le module saura aussi vibrer au poignet pour vous réveiller. La batterie devrait assurer une autonomie jusqu’à 7 jours.

Le coach qui sait tout

Pour 99,99 euros, le Fitbit Air se situe plutôt dans la bonne moyenne de prix pour ce genre de produits (le Polar Loop, lui aussi sans écran, est vendu 180 euros). Mais ce qui distingue ce bracelet d’un autre, c’est — évidemment, pourrait-on dire — la présence envahissante de l’IA générative et de Gemini. L’appareil remplit des fonctions basiques gratuitement, mais les utilisateurs qui voudront aller plus loin sont fortement invités à souscrire à un abonnement Coach Google Health.

Ce service a été dévoilé en octobre dernier, et il est disponible depuis sous la forme d’un aperçu public. Le lancement du Fitbit Air est son baptême du feu auprès du consommateur. Facturé 8,99 euros par mois, il est inclut dans les formules AI Pro et Ultra de Google.

Le porteur du Fitbit Air (ou d’une Pixel Watch) peut poser des questions à un bot santé, obtenir des programmes de remise en forme personnalisés en fonction de son style de vie, des infos plus détaillées sur le sommeil (tant il est vrai que cette mesure brute n’est pas très utile), une bibliothèque d’entraînements et de séances de pleine conscience, et « des informations proactives » sur le bien-être. Le coach peut par exemple remarquer que la variabilité de fréquence cardiaque s’est améliorée.

Le coach est accessible dans l’application mobile Android et iOS Google Health, qui remplacera l’app Fitbit (déshabiller Pierre…). Ce modèle « bracelet + IA sur abonnement » ne sort pas de nulle part : il a fait le succès de l’offre Whoop. Google se positionne donc sur ce marché du suivi de la santé facturé mensuellement, avant que d’autres ne se lancent à leur tour (tous les yeux sont tournés vers Apple).

Les fournisseurs IA s’intéressent également à la santé, comme on l’a vu en début d’année avec ChatGPT Santé. Mais le coach de Google a un avantage : il accède à une montagne de données mises à jour chaque jour par le bracelet, ce qui devrait lui éviter quelques uns des écueils des nouveaux LLM santé.

• En santé, les erreurs par omissions des LLM sont nombreuses et dangereuses