USA vs Chine : S05E04

Énième épisode dans la série États-Unis vs Chine. Le gouvernement américain aurait davantage fermé les vannes sur les exportations de puces vers Huawei. Les deux pays se livrent une guerre froide sur fonds de sécurité nationale depuis maintenant plusieurs années.

2019 – 2024 : la guerre froide continue

Pour rappel, Huawei a été placé sur liste noire par les États-Unis suite à la signature d’un décret par Donald Trump en mai 2019. Il était alors question d’interdire aux groupes américains de faire des affaires avec le chinois Huawei. Des risques sur la sécurité nationale étaient mis en avant. « Les entreprises américaines peuvent vendre leur équipement à Huawei […] Nous parlons là d’équipement qui ne pose pas de grand problème de sécurité nationale », précisait alors le président des États-Unis.

Fin 2022, la guerre froide continuait de plus belle avec l’interdiction d’exporter les produits « hautes performances » pour l’IA, la défense, les supercalculateurs, les équipements pour fabriquer des semi-conducteurs, etc. Les USA souhaitaient ainsi garder leur avance technologique. De son côté, la Chine a un plan pour se débarrasser des technologies américaines. Elle a même banni AMD, Intel et Microsoft de ses administrations.

• Les États-Unis bloquent les exportations de semi-conducteurs et de puces vers la Chine
• Guerre froide technologique : la Chine bannit AMD, Intel et Windows de ses administrations

Un jeu du chat et de la souris s’est mis en place, notamment du côté des GPU NVIDIA. Malgré l’embargo, la Chine continuait à s’en procurer en ce début d’année, tandis que des GPU spéciaux pour la Chine était proposée par NVIDIA, afin de pouvoir continuer à en vendre.

Nouveau tour de vis de l‘administration Biden

C’est dans un marché déjà bien verrouillé que le gouvernement de Biden a révoqué les licences d’exportation permettant à Intel et Qualcomm de continué à fournir certains semi-conducteurs à Huawei, révèle le Financial Times. Cette décision du ministère américain du Commerce entraverait la fourniture de puces pour les ordinateurs portables et les téléphones mobiles de Huawei, précisent des personnes au fait de la situation.

Le discours est un peu toujours le même : « Nous évaluons en permanence la manière dont nos contrôles peuvent protéger au mieux notre sécurité nationale et nos intérêts en matière de politique étrangère, en tenant compte de l’évolution constante des menaces et du paysage technologique », a déclaré un porte-parole du ministère. « Dans le cadre de ce processus, comme nous l’avons fait par le passé, nous révoquons parfois des licences d’exportation ».

Cette décision intervient alors que les États-Unis s’alarment de la capacité de Huawei à développer ses propres puces en dépit des contrôles à l’exportation mis en place depuis 2022, souligne le FT. Lorsque la secrétaire d’État au commerce, Gina Raimondo, s’est rendue en Chine l’année dernière, Huawei avait en effet présenté son smartphone Mate 60 Pro, dont les performances avaient surpris les experts.

Marco Rubio, vice-président républicain de la commission sénatoriale du renseignement, et Elise Stefanik, quatrième républicaine de la Chambre des représentants, avaient demandé le mois dernier à Mme Raimondo de révoquer les licences de Huawei après l’apparition d’informations selon lesquelles le groupe basé à Shenzhen avait construit des ordinateurs portables utilisant des puces d’Intel. C’est le cas du dernier Matebook avec un Core-i9 13900H.

Un discours bien rodé depuis des années

Le mois dernier, le FT avait également rapporté que les États-Unis poussaient leurs alliés en Europe et en Asie à renforcer les restrictions sur les exportations de technologies liées aux puces vers la Chine, en raison des inquiétudes croissantes concernant Huawei. Là encore, c’est une rengaine qui revient régulièrement sur le devant de la scène depuis des années.

« Les États-Unis ont trop étendu le concept de sécurité intérieure, politisé les questions économiques et commerciales, abusé des mesures de contrôle à l’export et adopté à plusieurs reprises des sanctions et des mesures de répression déraisonnables contre des entreprises chinoises spécifiques », a réagi un porte-parole du ministère chinois du Commerce dans un communiqué, relève de son côté l’AFP.

Le porte-parole a aussi averti que « la Chine prendrait toutes les mesures nécessaires pour sauvegarder fermement les droits et les intérêts légitimes des entreprises chinoises ». En plus de bannir certaines entreprises américaines de ses administrations, la Chine restreint les exportations en matériaux rares indispensables à la création des puces.

• « Guerre » des semi-conducteurs et matériaux critiques : la Chine restreint les exportations, Bruxelles s’inquiète

L’AFP relève que les sanctions américaines ont forcé le géant chinois des télécoms à se recentrer sur des secteurs comme les logiciels, les appareils connectés, l’informatique d’entreprise, mais aussi les voitures électriques, avec sa marque Aito.

Réactions d’Intel et Qualcomm

Intel et Qualcomm ont réagi à leur manière à cette nouvelle vague de restriction. Dans un document transmis à la SEC, Intel explique que « le 7 mai 2024, le département du Commerce des États-Unis a informé Intel Corporation qu’il révoquait certaines licences d’exportation d’articles de consommation à un client en Chine, avec effet immédiat. Par conséquent, la société s’attend à ce que le chiffre d’affaires du deuxième trimestre 2024 reste dans la fourchette initiale de 12,5 à 13,5 milliards de dollars, mais en dessous du point médian ».

Il y a quelques jours, Qualcomm avait pris les devants (.pdf) : « nous disposons actuellement de licences d’exportation du ministère américain du Commerce qui nous permettent de vendre à Huawei des produits, notamment pour la 4G et le Wi-Fi, mais pas pour la 5G. Des reportages récents ont indiqué que le ministère du Commerce envisageait de ne pas accorder de nouvelles licences de vente à Huawei ». La prévision semble donc s’être réalisée.

« De plus, Huawei a récemment lancé de nouveaux appareils compatibles 5G utilisant des puces maison. Même si nous avons continué à vendre des produits à Huawei sous nos licences, nous ne prévoyons pas de revenus provenant de chez Huawei au-delà de l’année civile en cours ».

La suite au prochain épisode…

Catch me if you can

Dans le procès qui oppose l’organisation américaine Authors Guild à OpenAI, des documents descellés révèlent que l’entreprise de Sam Altman a affirmé à la FTC avoir détruit toutes ses copies des jeux de données contenant des milliers de livres sur lesquels elle a entrainé ses grands modèles de langage. Pour l’Authors Guild, OpenAI a détruit une preuve directe du contenu copyrighté qu’elle a utilisé pour entrainer ses modèles.

OpenAI ne voulait pas que ces documents soient publiés. Mais finalement, la justice américaine n’a pas suivi l’avis de l’entreprise. Ils proviennent d’un des multiples procès intentés contre OpenAI pour violation de copyright lors de l’entrainement de ses modèles de langage. Ces documents révèlent que l’entreprise a détruit des jeux de données visés par la plainte, comme l’a découvert Business Insider.

Plainte de nombreux auteurs américains

Simple, basique

Le BASIC est un langage de programmation que les moins jeunes connaissent certainement, voire qu’ils ont étudié à l’école pour certains (j’en fais partie, cela ne me rajeunit pas…). Ce projet universitaire, qui réunit à la fois un langage de programmation et la notion de temps partagé, vient de fêter ses 60 ans. On remonte donc soixante ans en arrière…

Il y a quelques jours, le BASIC fêtait ses 60 ans : « à 4 heures du matin, le 1er mai 1964, dans le sous-sol du College Hall, le professeur John G. Kemeny et un étudiant programmeur [Thomas E. Kurtz, ndlr] tapaient simultanément RUN sur les terminaux voisins », explique le Dartmouth College, une université privée du nord-est des États-Unis, où s’est déroulé cette première.

Pour vous resituer un peu, c’est aussi dans les années 60 que Douglas Engelbart a inventé la souris. Internet n’existait pas, et ARPANET n’est arrivé que cinq ans plus tard, en octobre 1969, avec le premier paquet de données qui transitait entre une université et une entreprise.

• Internet : retour sur 50 ans d’une folle histoire

« Premier système de partage de temps à usage général »

C‘est vraiment vous le produit

« Un gigantesque réseau de faux sites de vente de vêtements, administré de Chine, a escroqué plus de 170 000 personnes rien qu’en France ces quatre dernières années. Des documents internes révèlent son fonctionnement », indique une enquête du Monde, en partenariat avec Die Zeit et The Guardian.

75 000 faux sites marchands, 800 000 commandes

L’entreprise de sécurité informatique allemande SR Labs a partagé avec eux une fuite de plusieurs gigaoctets de documents émanant d’une organisation criminelle chinoise. Baptisée « BogusBazaar » par SR Labs, elle aurait mis en ligne plus de 75 000 faux sites marchands en quatre ans (dont 22 500 seraient encore actifs), enregistrant plus de 850 000 commandes dans plus de 200 pays, pour un préjudice s’élevant à plusieurs dizaines de millions d’euros.

En 2023, la société italienne de cybersécurité Yarix, filiale du groupe Var, avait déjà identifié un réseau d’environ 13 000 faux sites marchands, principalement de vêtements et de chaussures, mais aussi de jouets ou de meubles, tous liés à un même opérateur, qu’elle avait baptisé « FashionMirror ».

Un système « largement automatisé »…

Les modes d’emploi obtenus par SRLabs, et rédigés par les escrocs, invitent leurs employés à repérer les sites web ayant bénéficié d’un bon référencement et dont les noms de domaine n’ont pas été renouvelés, afin de les racheter. Un système « largement automatisé » qui leur permet ensuite de créer « en quelques minutes » un site marchand recopiant le contenu de sites authentiques.

Avec, parfois, de grossières erreurs de traduction, comme « chaud vente » pour « hot sales », ou « expédition politique » à la place de « politique d’expédition ».

Cette pratique est de plus en plus répandue et ne concerne pas que les sites de vente en ligne. Lors d’une conférence à l’Afnic, un intervenant expliquait que les noms de domaines de nouveau disponibles sur le marché vont être « rachetés par des tiers qui vont mettre en place des faux sites administratifs ».

• Les abus sur les noms de domaine toujours plus nombreux et sophistiqués

… avec un modèle « similaire à celui des franchises »

Pour en revenir à notre affaire, ces « petites mains » seraient employées par des entreprises chinoises, « dûment déclarées » et se présentant comme des sociétés de développement Web, et payés « environ 500 euros par mois à l’embauche, soit le double du salaire minimal local, pour un poste au bas de l’échelle ».

« C’est un modèle similaire à celui des franchises, explique Matthias Marx, chercheur en sécurité informatique pour SR Labs, qui a analysé en profondeur les documents. Il y a une équipe centrale, chargée de développer les logiciels et les interfaces, et qui fournit un soutien technique au fonctionnement du réseau. Les franchisés, eux, gèrent au jour le jour le fonctionnement des faux magasins. »

« Notre hypothèse est que cette [organisation] est liée au crime organisé, explique Diego Marson, responsable sécurité du groupe Var. Le nombre de sites, les montants en jeu… Tout cela nécessite l’utilisation de “mules” pour transférer l’argent. On constate par ailleurs que ce groupe réinvestit les sommes dérobées pour développer sa plate-forme. »

Une grande partie des faux sites est par ailleurs hébergée par des entreprises états-uniennes, dont EGIhosting et Eonix corporation, et protégés contre les attaques par Cloudflare qui, sollicité par Le Monde, les a rendus inaccessibles.

Comme nous l’ont signalé plusieurs lecteurs de Next, Dell a envoyé un email à certains de ses clients pour leur annoncer qu’un « incident » avait eu lieu sur l’un des portails de l’entreprise. Celui-ci serait lié aux achats auprès de Dell.

Selon Dell, des informations clients ont été divulguées et « notamment » les :

• Nom
• Adresse physique
• Les informations de commande et de matériel Dell, y compris l’étiquette de service, la description de l’article, la date de commande et les informations de garantie associées.

L’entreprise s’empresse de préciser que « les informations concernées ne comprennent pas les informations financières ou de paiement, l’adresse e-mail, le numéro de téléphone ou toute information extrêmement sensible sur les clients ».

Dell a confirmé l’information auprès de nos collègues de The Register. Mais le fabricant de matériel informatique ne donne pas d’information sur le nombre de clients touchés par cet « incident ».

Si l’entreprise renvoie dans son email vers un article de conseils généraux sur les scams téléphoniques, elle n’a pas publié de billet spécifique sur la fuite en question. Cela pose un problème pour le client potentiellement touché qui ne peut vérifier l’information sur une source officielle de Dell.

Cette annonce coïncide avec la publication fin avril par le Daily Dark Web d’un article rapportant la vente d’une base de données de 49 millions de clients de Dell comportant « les noms complets, les adresses, les villes, les régions, les codes postaux, les pays, les étiquettes de service uniques à 7 chiffres des systèmes, les dates d’expédition des systèmes (début de la garantie), les plans de garantie, les numéros de série (pour les moniteurs), les numéros de client Dell et les numéros de commande Dell ».

Alors qu’Apple occupait une bonne partie de l’espace médiatique avec ses nouveaux iPad et sa puce M4 (nous y reviendrons), Google a lancé son nouveau smartphone « d’entrée de gamme » : le Pixel 8a. Comptez 549 euros tout de même.

Google indique que « son nouvel écran [6,1 pouces, OLED, 1080 x 2400, ndlr] Actua est 40 % plus lumineux que celui du Pixel 7a » et profite d’un taux de rafraichissement de 120 Hz. Le smartphone dispose d’un capteur photo de 64 Mpx et d’un objectif ultra grand-angle de 13 Mpx.

Comme les Pixel 8 et 8 Pro, le Pixel 8a est équipé d’une puce Tensor G3 de Google. 8 Go de LPDDR5x et 128 ou 256 Go de stockage sont de la partie. On retrouve du Wi-Fi 6E, du Bluetooth 5.3, de la 5G, du NFC… Toutes les caractéristiques techniques sont disponibles par ici.

Le fabricant met en avant les « outils fondés sur l’IA pour tirer le meilleur parti de vos photos et vidéos ». Il y a notamment la « retouche magique », la « gomme magique audio », la fonction « entourer pour chercher ». Il y a aussi les « audiomoj » pour vos conversations audio.

Le Pixel 8a sera disponible à partir du 14 mai, pour 549 euros. Google annonce « sept ans de support logiciel, y compris les mises à jour de sécurité et les mises à jour Android ».

IBM vient de publier une famille de huit nouveaux grands modèles de langage nommée Granite. Celle-ci a la particularité de se concentrer sur les tâches liées au code : générer du code, corriger des bugs, expliquer et documenter le code.

Les huit modèles (de 3 à 34 milliards de paramètres) sont distribués sous licence Apache 2.0. Dans leur article expliquant la création de ces grands modèles de langage, les chercheurs d’IBM indiquent qu’ils ont été entraînés sur les jeux de données de code Github Code Clean et StarCoderdata mais aussi « des dépôts de code publics sur GitHub et des problèmes signalés [ndt : issues en anglais] supplémentaires » dont le jeu de données n’est pas clairement connu.

Dans les tests de comparaison qu’ils ont effectués, les chercheurs montrent que le modèle Granite-8B devance ses concurrents « ouverts » :

À la fin de l’article sont listés les langages sur lesquels la famille Granite peut être utilisée :

ABAP, Ada, Agda, Alloy, ANTLR, AppleScript, Arduino, ASP, Assembly, Augeas, Awk, Batchfile, Bison, Bluespec, C, C-sharp, C++, Clojure, CMake, COBOL, CoffeeScript, Common-Lisp, CSS, Cucumber, Cuda, Cython, Dart, Dockerfile, Eagle, Elixir, Elm, Emacs-Lisp, Erlang, F-sharp, FORTRAN, GLSL, GO, Gradle, GraphQL, Groovy, Haskell, Haxe, HCL, HTML, Idris, Isabelle, Java, Java-Server-Pages, JavaScript, JSON, JSON5, JSONiq, JSONLD, JSX, Julia, Jupyter, Kotlin, Lean, Literate-Agda, Literate-CoffeeScript, Literate-Haskell, Lua, Makefile, Maple, Markdown, Mathematica, Matlab, Objective-C++, OCaml, OpenCL, Pascal, Perl, PHP, PowerShell, Prolog, Protocol-Buffer, Python, Python-traceback, R, Racket, RDoc, Restructuredtext, RHTML, RMarkdown, Ruby, Rust, SAS, Scala, Scheme, Shell, Smalltalk, Solidity, SPARQL, SQL, Stan, Standard-ML, Stata, Swift, SystemVerilog, Tcl, Tcsh, Tex, Thrift, Twig, TypeScript, Verilog, VHDL, Visual-Basic, Vue, Web-Ontology-Language, WebAssembly, XML, XSLT, Yacc, YAML, Zig.

La pile d'IA déborde

L’entreprise qui gère le site web de questions/réponses sur les sujets d’informatique vient de signer un accord commercial avec OpenAI, après avoir signé avec Google fin février. Entre fournir des données d’entraînement et être envahi de contenus créés par IA générative, la ligne de crête est particulièrement fine pour Stack Overflow.

Lundi 6 mai, Stack Overflow a annoncé avoir signé un contrat avec OpenAI pour l’utilisation des contenus postés par les utilisateurs de son site web pour entraîner les grands modèles de langage de l’entreprise d’IA génératives. Fin février, l’entreprise avait signé un contrat semblable avec Google pour l’entraînement des modèles Gemini pour Google Cloud.

Concrètement, les deux entreprises d’IA auront accès à la nouvelle API de Stack Overflow, nommée de manière peu originale « OverflowAPI ». On n’en saura pas beaucoup plus concernant les deux contrats dont les montants n’ont pas été rendus publics.

Ces contrats d’accès à l’API du site ne sont pas exclusifs, mais l’accès à l’API de Stack Overflow est payant et contrôlé. Stack Overflow met d’ailleurs un bouton « Devenir un partenaire » en évidence sur la page de son API qui mène à un formulaire de demande d’accès qui ne permet pas d’accéder directement au service. Il faut attendre que l’entreprise reprenne contact pour en savoir plus.

Position paradoxale

Comme l’a repéré David Libeau, la préfecture de Paris a publié (pdf) lundi 6 mai un arrêté autorisant la RATP à expérimenter dans les stations Nanterre Préfecture et La Défense Grande Arche son dispositif de vidéosurveillance algorithmique pendant une semaine, du mardi 7 mai 2024 à 08h00 au mardi 14 mai 2024 à 08h00. L’arrêté est donc publié seulement 24h avant le début des opérations.

La RATP veut utiliser les concerts de Taylor Swift qui auront lieu à la salle du Paris La Défense Arena (les 9, 10, 11 et 12 mai) comme moment de test grandeur nature pour son outil de traitement algorithmique dénommé « Cityvision » et développé par la société Wintics.

Sur sa page de politique générale de confidentialité, l’entreprise de transport indiquait que la période d’expérimentation serait du 09 mai au 12 mai (les jours des concerts de l’artiste mais aussi « intégrant une phase de conception (sans usage opérationnel) du 29/04/2024 au 11/05/2024 ».

La préfecture lui a donc autorisé une plage d’expérimentation plus importante que prévu.

• Vidéosurveillance algorithmique : la Quadrature du Net dépose plainte devant la CNIL

En février, JeGX publiait la version 2.0 de son application pour analyser les performances et la stabilité de votre GPU (avec un stress intense). La version 2.3 a été mise en ligne hier.

• FurMark 2 est disponible pour mettre votre carte graphique en PLS (Windows ou Linux)

Les notes de version parlent de petits changements comme l’ajout de la vitesse du ventilateur dans la section GPU monitoring. Il y a bien évidemment aussi les traditionnelles corrections de bugs.

Mais on retrouve surtout la prise en charge d’un nouveau système : Raspberry Pi OS (64-bit, arm64/aarch64). Cette version a été compilée sur Debian 11 avec GLIBC 2.31.

JeGX en profite pour donner deux résultats : « Sur le Raspberry Pi 4, FurMark 2 fonctionne à 1 FPS (résolution : 1024×640). Le nouveau matériel du Raspberry Pi 5 est beaucoup plus rapide : on atteint 4 FPS (toujours à 1024×640) ».

« J’ai essayé de supprimer les dépendances de Raspberry Pi et j’espère que cette version fonctionnera sur d’autres plates-formes arm64/aarch64 », ajoute-t-il.

• Télécharger FurMark 2

On pourrait presque croire à un gag. Cinq ans après le premier vol non habité, Boeing devait envoyer cette nuit ses premiers astronautes dans l’espace, direction la Station spatiale internationale. La tentative a été annulée « en raison d’un problème de soupape sur l’étage supérieur du lanceur », explique le constructeur.

• Starliner de Boeing devrait (enfin) décoller ce soir, avec deux astronautes

La décision a été prise par le fabricant de la fusée : « United Launch Alliance (ULA), avec l’accord de Boeing et de la NASA, a annulé le lancement un peu plus de deux heures avant l’heure de décollage initialement prévue pour l’essai en vol de l’équipage CST-100 Starliner ». Les astronautes de la NASA Butch Wilmore et Suni Williams sont sortis de la capsule et sont retournés dans leurs quartiers.

Les analyses sont en cours pour « bien comprendre le problème et déterminer les mesures correctives ». TechCrunch rappelle que des dates de secours sont prévues les 7, 10 et 11 mai, mais encore faut-il que le souci soit identifié et corrigé.

Pour la NASA, la date de lancement ne sera pas avant le 10 mai : ” Ce délai permet aux équipes de compléter l’analyse des données sur une vanne de régulation de pression du réservoir d’oxygène liquide de l’étage supérieur Centaur de la fusée Atlas V, et déterminer s’il est nécessaire de la remplacer ”

Chang’ez de face

C’est fait. Après des années de préparation, la sonde chinoise Chang’e 6 fait route vers la Lune. Elle se posera sur la face cachée avec deux missions importantes. Analyser le radon et récupérer 2 kg de matériaux pour les rapporter sur Terre.

La Chine multiplie les missions en direction de la Lune depuis plusieurs années. On pense notamment à Chang’e 4 qui s’est posé sur la face cachée de la Lune en 2019. Puis à Chang’e 5 qui a permis à la Chine de récupérer des échantillons lunaires.

• Il y a 5 ans, la sonde Chang’e 4 se posait sur la face cachée de la Lune
• Chang’e 5 : la Chine récupère les échantillons lunaires, la mission est un succès sur toute la ligne

Vendredi, c’est la mission Chang’ 6 qui a décollé de la base de Wenchang (île de Hainan) à bord d’une fusée Longue Marche-5. Le voyage « va durer 4 ou 5 jours jusqu’à l’orbite lunaire, avant de se poser près du pôle Sud de la Lune début juin » (2 juin pour être précis, vers 10 heures du matin heure locale lunaire), explique le CNES. C’est plus exactement le bassin Aitken, mesurant 2500 km de diamètre, qui est visé.

Un replay du lancement est disponible par ici.

DORN aura 48h pour étudier le radon

La France est partenaire de la Chine dans cette mission. Elle a fourni l’instrument DORN (Detection of Outgassing RadoN). Ce nom est également en hommage au physicien, Friedrich Dorn, ayant découvert le radon.

Il a été conçu et réalisé (pendant quatre ans) à l’Institut de recherche en astrophysique et planétologie, sous la maîtrise d’ouvrage du CNES et en collaboration notamment avec le CNRS. « Après un demi-siècle, DORN marque le retour de la France à la surface de la Lune », explique Francis Rocard (planétologue, responsable des programmes d’exploration du système solaire au CNES) dans The Conversation.

Sa mission est « d’étudier le radon, un gaz produit de façon continue dans le sol lunaire ». Les mesures vont se faire en orbite, mais aussi sur place. L’instrument aura peu de temps pour le faire. « DORN s’activera alors pour 48h : la quantité d’énergie disponible est limitée et l’atterrisseur doit réaliser plusieurs missions », explique le CNES. Le bassin Aitken a un avantage certain : « Avec ses 10 km de profondeur, il représente la région lunaire où l’altitude est la plus basse et l’épaisseur de la croûte parmi les plus fines ».

Du radon à « la présence de glace d’eau aux pôles »

« En résumé DORN va étudier le dégazage lunaire et le transport des gaz dans le régolithe (et donc contraindre les propriétés thermophysiques du régolithe qui les contrôlent), leur transport dans l’exosphère, le transport de la poussière du régolithe et remonter à la teneur en uranium dans le sol », ajoute Francis Rocard. Il rappelle que le Radon a déjà été détecté autour de la Lune par les missions Apollo 15 et 16 (1971-1972), Lunar Prospector (1998-1999) et la sonde japonaise Kaguya (2007-2009).

Pour le CNES, « comprendre le transport du radon sur la Lune, c’est aussi toucher du doigt le transport des molécules d’eau et appréhender la présence de glace d’eau aux pôles de la Lune ».

L’IRAP (Institut de Recherche en Astrophysique et Planétologie) rappelle que, sur Terre, le radon et ses descendants radioactifs sont utilisés « comme traceurs et géo-chronomètres des échanges entre lithosphère, hydrosphère et atmosphère, et comme traceurs du mouvement des fluides (eau et masses d’air) qui les transportent ».

Ramener 2 kg sur Terre

La mission doit aussi permettre de rapporter près de deux kg d’échantillons lunaires sur Terre. Si la mission est un succès, ce sera une première depuis la face cachée de la Lune : « Une capsule redécollera ensuite de notre satellite naturel avec 2kg d’échantillons lunaires à son bord – les premiers échantillons prélevés sur la face cachée. Ils seront transférés à un orbiteur, jusque-là en attente en orbite autour de la Lune, qui les rapportera dans le nord de la Chine une vingtaine de jours plus tard ».

Francis Rocard explique que les échantillons « pourront aussi être analysés en laboratoire et ces analyses pourront être comparées à ce que DORN aura mesuré directement dans l’environnement lunaire ».

La suite se prépare, avec une station lunaire

La suite du programme est déjà connue, comme le rappelle Le Monde : « Chang’e-7 devra explorer le pôle Sud lunaire à la recherche d’eau [en 2026, ndlr], tandis que Chang’e-8 tentera d’établir la faisabilité technique de la construction d’une base lunaire, Pékin affirmant qu’un “modèle de base” sera achevé d’ici à 2030 ».

Francis Rocard y va aussi de son analyse : « Au-delà, la Chine annonce vouloir développer une station de recherche automatisée au pôle Sud (ILRS) ouverte à la coopération internationale et qui serait à terme visitable par des taïkonautes ».

Lors de notre prise en mains en juin dernier, le gestionnaire de mots de passe de Proton manquait franchement de certaines fonctionnalités pourtant basiques. En plus d’une application Windows il y a quelques semaines, Proton vient enfin d’en ajouter, après de longs mois d’attente.

• Notre prise en main de Proton Pass, un produit bien fini mais encore jeune

Citons pour commencer le Password Health qui permet de savoir si « vous avez des mots de passe faibles ou réutilisés qui doivent être mis à jour », une fonctionnalité des plus basiques. Autre nouveauté : l’application vous indiquera les applications où vous pourrez activer l’authentification à deux facteurs, si ce n’est pas encore fait.

Les clients de la formule gratuite bénéficient de ces deux nouvelles fonctionnalités. Pour ceux qui payent un abonnement (1,99 dollar par mois), deux autres services sont ajoutés.

Tout d’abord, le Dark Web Monitoring qui va vérifier sur le Net si des données de « vos adresses Proton, vos alias de messagerie et jusqu’à 10 adresses e-mail personnalisées ont été divulguées ». Le cas échéant, une alerte vous sera envoyée. Cette fonctionnalité est déployée progressivement jusqu’au 10 mai.

Enfin, Proton Sentinel, une fonctionnalité lancée l’année dernière, qui « utilise l’IA et des analystes humains pour détecter et bloquer les attaques de piratage de compte » est intégré dans Pass Monitor.

Dirty dancing

Dirty Stream agite le Net depuis quelques jours. Il faut dire que cette « faille » fait les gros titres à coups de milliards de smartphones Android touchés. Suivant comment les applications sont programmées, elles peuvent se laisser berner par un pirate qui peut écraser des fichiers pour en prendre le contrôle. Inutile de paniquer pour autant, des correctifs sont déployés.

La semaine dernière, Microsoft a publié un billet de blog pour présenter Dirty Stream, présenté comme un « modèle de vulnérabilité courant dans les applications Android ». Les risques sont réels puisque cela peut aller jusqu’à l’exécution de code arbitraire et au vol de jetons d’identification, deux situations très dangereuses.

Avant de paniquer, un point important : Microsoft a prévenu les développeurs bien en avance afin de pouvoir corriger le tir. C’est notamment le cas des applications de gestionnaire de fichier de Xiaomi et WPS Office. Elles ont été mises à jour dès le mois de février, bien avant la publication de ce bulletin d’alerte. Microsoft s’est également rapproché de Google, qui a mis en ligne une page sur son site dédié aux développeurs Android (et une autre ici) afin de prévenir les développeurs et leur proposer des protections à mettre en place.

Content Provider : gare à l’implémentation

Mais de quoi s’agit-il exactement ? Microsoft commence par un rappel sur le fonctionnement du système d’exploitation : « Android impose l’isolation en attribuant à chaque application son propre espace dédié pour le stockage des données et la mémoire. Pour faciliter le partage des données et des fichiers, Android propose un composant appelé Content Provider, qui agit comme une interface pour gérer et exposer les données aux autres applications, de manière sécurisée ».

Utilisé correctement, le Content Provider est décrit par Microsoft comme « une solution fiable ». Mais, comme souvent, une implémentation « inappropriée peut introduire des vulnérabilités qui pourraient permettre de contourner les restrictions de lecture/écriture dans le répertoire personnel d’une application ».

On est donc face à un cas malheureusement assez classique où il faut distinguer le protocole ou la fonctionnalité de son implémentation (c’est-à-dire sa mise en œuvre de manière pratique) dans les applications. Comme on a pu le voir par le passé (ici, là et encore ici ou là… et ce n’est que la partie visible de l’iceberg), il peut y avoir une grande différence entre les deux.

On vous épargne le fonctionnement précis du Content Provider (détaillé ici par Google), mais il arrive que des applications « ne valident pas le contenu du fichier qu’elle reçoive et, ce qui est le plus inquiétant, utilisent le nom de fichier fourni » par l’application qui envoie les données. Ce fichier est alors stocké dans le répertoire de données interne de l’application ciblée. Voyez-vous venir le risque ?

Remplacer des fichiers par ceux des pirates

Avec des noms de fichier taillés sur mesure, l’application d’un pirate peut donc remplacer les fichiers clés de l’application cible et ainsi en prendre le contrôle. Dans tous les cas, l’impact varie en fonction des applications et de leur mise en œuvre.

« Par exemple, il est très courant que les applications Android lisent les paramètres de leur serveur à partir du répertoire shared_prefs. Dans de tels cas, l’application malveillante peut écraser ces paramètres, ce qui l’oblige à communiquer avec un serveur contrôlé par l’attaquant et à envoyer les jetons d’identification de l’utilisateur ou d’autres informations sensibles », explique Microsoft. Ce serait un peu comme si une application pouvait venir remplacer n’importe quel fichier sur votre ordinateur…

Microsoft en ajoute une couche : « Dans le pire des cas (et ce n’est pas si rare), l’application vulnérable peut charger des bibliothèques natives à partir de son répertoire de données dédié (par opposition au répertoire /data/app-lib, plus sécurisé, où les bibliothèques sont protégées contre toute modification). Dans ce cas, l’application malveillante peut écraser une bibliothèque avec du code malveillant, qui est alors exécuté lors du chargement ».

Dans le cas du gestionnaire de fichier de Xiaomi, cette technique a permis d’exécuter du code « arbitraire avec l’ID utilisateur et les autorisations du gestionnaire de fichiers ». On vous laisse imaginer le boulevard que cela ouvre au pirate, qui peut ainsi contrôler l’application et accéder à l’ensemble des fichiers ou presque.

Google confirme et donne des « astuces »

Google confirme les risques sur cette page : « Si un pirate informatique parvient à écraser les fichiers d’une application, cela peut entraîner l’exécution de code malveillant (en écrasant le code de l’application) ou sinon, permettre la modification du comportement de l’application (par exemple, en écrasant les préférences partagées de l’application ou d’autres fichiers de configuration) ».

Au-delà des applications mises à jour, d’autres peuvent encore être vulnérables. Microsoft et Google proposent donc des méthodes pour éviter de tomber dans ce piège.

« La solution la plus sûre consiste à ignorer complètement le nom renvoyé par l’application lors de la mise en cache du contenu. Certaines des approches les plus robustes que nous avons rencontrées utilisent des noms générés aléatoirement, de sorte que, même dans le cas où le contenu d’un flux entrant est mal formé, il n’altère pas l’application ». Une autre solution serait d’enregistrer les fichiers dans un répertoire dédié.

Mille milliards de mille sabords

Terminons avec un mot sur l’emballement autour de cette affaire. On entend souvent parler de milliards de terminaux affectés, ce n’est pas aussi simple. Microsoft explique avoir « identifié plusieurs applications vulnérables dans le Google Play Store qui représentaient plus de quatre milliards d’installations ». Quatre milliards d’installations (dont plus d’un milliard pour la seule application de Xiaomi) ne signifie pas que quatre milliards de smartphones sont touchés, loin de là.

La question est aussi de savoir si on doit parler d‘une mauvaise gestion des données du côté des développeurs qui laissent des données de leur application se faire écraser par des fichiers externes, ou bien d’une faille d’Android qui laisse ce genre d’action passer, peu importe ce qu’en disent les applications.

Cela fait maintenant près de quatre ans que la fondation éponyme propose son Raspberry Pi 4 en version Compute Module. Il reprend le gros des caractéristiques de la v4 du Single Board Computer (SBC), dont son SoC Broadcom BCM2711.

Mais ce Compute module 4 introduisait un nouveau format, avec une connectique différente. Par la suite, un Compute Module 4S a été proposé, en reprenant le format SO-DIMM du Compute Module 3(+), afin de permettre une évolution à ceux qui le souhaitent.

• Raspberry Pi : le Compute Module 3+ disponible avec ou sans eMMC, dès 25 dollars – Next

Le Compute Module 4S était uniquement proposé avec 1 Go de mémoire, mais de nouvelles variantes sont désormais disponibles, avec 2, 4 ou 8 Go de mémoire. La fondation annonce au passage que la production de son Compute Module 4S sera assurée « au moins jusqu’en janvier 2034 ».

Le tarif varie de 25 dollars (1 Go de mémoire, pas d’eMMC) à 75 dollars pour 8 Go et 32 Go respectivement. Raspberry Pi propose le product brief et une fiche technique.

Maintenant qu’Ubuntu 24.04 LTS est disponible, Canonical se penche sur la suite, comme l’indique Neowin. La prochaine version majeure portera donc le numéro 24.10. Elle est baptisée Oracular Oriole et, comme son numéro l’indique, sortira en octobre.

• Ubuntu 24.04 LTS se profile comme une version majeure, le tour des nouveautés

La première grande étape arrivera le 15 août avec le gel des fonctionnalités et des importations depuis Debian. Ce sera au tour de l’interface utilisateur le 5 septembre. Quelques jours plus tard, la bêta sera finalisée et mise en ligne le 19 septembre, si tout va bien.

Il faudra attendre le 10 octobre pour la version finale. Contrairement à la 24.04, il ne s’agit pas d’une version LTS supportée pendant cinq ans, mais pendant neuf mois seulement, jusqu’en juillet 2025. Mais une nouvelle version sort tous les six mois (en avril et octobre), il suffit d’y passer pour continuer à recevoir les mises à jour. Les LTS sont mises en ligne tous les deux ans.

Phoronix explique que « les développeurs d’Ubuntu sont plus libres d’innover dans ces cycles. Ubuntu 24.10 sera vraisemblablement sur le noyau Linux ~6.11, le bureau GNOME 47, le compilateur GCC 14.1 ».

Atos est en difficulté financière, ce n’est pas un secret. Les propositions se succèdent depuis quelques semaines. Airbus était en piste pour racheter les activités de cybersécurité, mais le projet a finalement été abandonné. Il y a peu, le ministre Bruno Le Maire manifestait son intérêt « pour acquérir toutes les activités souveraines d’Atos ». Thales laissait la porte ouverte pour reprendre une petite partie d’Atos (celle sur la défense et la sécurité).

Dans un communiqué de presse, Atos fait le point. La société annonce qu’elle a reçu « quatre propositions de restructuration financière reçues dans le cadre de la procédure de conciliation en cours ». Elles proviennent d’un « groupe de porteurs d’obligations et de banques faisant partie du groupe de banques de la société », d’EP Equity Investment (contrôlée par Daniel Kretinsky en partenariat avec Attestor Limited), de Onepoint (contrôlée par David Layani en consortium avec Butler Industries) et de Bain Capital.

Quatre propositions, une déjà laissée de côté

Cette dernière est laissée de côté, car la proposition « ne répondait pas aux objectifs […] de prendre en compte l’ensemble [du] périmètre » d’Atos. Les discussions avec les trois autres continuent afin de « parvenir à un accord de restructuration financière qui soit dans le meilleur intérêt social » de la société, c’est-à-dire des employés, clients, fournisseurs, créditeurs, actionnaires…

Atos travaillera avec ses créanciers pour « sélectionner d’ici le 31 mai 2024 une solution de restructuration financière qui sera acceptable pour eux et cohérente avec les paramètres financiers de la société, afin de parvenir à un accord final de restructuration financière d’ici juillet 2024 ».

L’entreprise prévient que cela impliquera des « changements radicaux dans la structure de capital de la société et une émission significative de nouveaux titres de capital qui entraînera une dilution massive des actionnaires existants d’Atos SE ».

L’État toujours en piste pour récupérer une partie d’Atos

Concernant la proposition de Bruno Le Maire, Atos confirme avoir reçu une « lettre d’intention non-engageante reçue de l’État français », mais précise que « les propositions reçues le 3 mai sont compatibles » avec cette dernière.

Ainsi, l’entreprise « a engagé des discussions avec l’Agence des participations de l’Etat français (APE) concernant son intention d’acquérir 100 % des activités d’Advanced Computing, de Mission-Critical Systems et de Cybersecurity Products de la division BDS (Big Data & Cybersécurité) d’Atos SE ».

Après un petit bond ce matin à l’ouverture de la bourse, le cours de l’action d’Atos est revenu à 2,08 euros. L’action a pour rappel baissé de 70 % depuis le début de l’année et de plus de 90 % depuis juin 2022.

Faire plus avec moins ?

La répression des fraudes vient de publier son bilan pour 2023 : les signalements sur SignalConso sont en hausse, tandis que le nombre d’injonctions explose littéralement. Pour 2024, la DGCCRF prévoit de se pencher sur la sécurité des produits vendus sur internet, les influenceurs, le drop-shipping, les véhicules électriques, l’éco-conception, la vente d’occasion…

Comme tout bon bilan qui se respecte, la DGCCRF commence par quelques chiffres. Sur ses effectifs pour commencer : elle comptait 2 907 agents en 2023, contre 2 885 en 2022, soit une petite hausse de 22 agents sur un an. C’est toutefois moins que les 2 912 agents de 2021.

« Nous avons exercé une surveillance assez large du marché, avec une pression de contrôle des acteurs économiques, mais surtout que nous avons renforcé nos actions de ciblages et d’enquêtes sur les fraudes les plus graves, et donc de sanctions sur les fraudes les plus graves », explique Sarah Lacoche (directrice générale de la DGCCRF) dans son discours introductif.

273 120 signalements, 140 230 sur les boutiques en ligne

En 2023, 273 120 signalements ont été enregistrés sur la plateforme SignalConso, dont « 70 % ont été lus par les professionnels concernés qui y ont répondu à 88 % ». C’est plus qu’en 2022 où 267 300 signalements étaient enregistrés, contre 148 590 en 2021 et 47 456 en 2020.

Cela fait maintenant près de cinq ans que la première mission Starliner décollait direction la Station spatiale internationale. Aucun astronaute n’était alors à bord, il s’agissait de tester la capsule habitable qui devait concurrencer Crew Dragon de SpaceX.

• Retour sur le succès (ou l’échec) partiel de la capsule spatiale habitable Starliner de Boeing

Boeing a ensuite enchainé les déboires, jusqu’au mois de mai 2022 lorsque la capsule Starliner s’était enfin arrimée à l’ISS. Le voyage ne s’est pas exactement passé comme prévu, même s’il s’est bien terminé et a été considéré comme un succès.

Il y a eu des pannes sur deux des douze moteurs de la capsule, causées par une chute de pression. La capsule a aussi été confrontée à un souci de contrôle de la température et le mécanisme d’amarrage qui a dû être déployé deux fois.

• La capsule habitable Starliner s’est (enfin) arrimée à l’ISS… malgré quelques couacs

On ne compte plus les retards, pour des raisons diverses et variées. En juin dernier, Boeing découvrait des attaches des parachutes moins résistantes que prévu et du ruban adhésif inflammable. « Boeing a décidé à l’unanimité qu’il fallait apporter des correctifs. Nous avons décidé de suspendre les préparatifs de la mission CFT », expliquait le constructeur.

Quoi qu’il en soit, on arrive donc à la mission du jour, la première avec des astronautes à bord. Ils sont deux anciens de la NASA : Butch Wilmore et Suni Williams. La capsule est installée sur une fusée Atlas V d’United Launch Alliance (ULA). Le décollage est prévu cette nuit, à 4:34 heure française.

Starliner doit permettre à l’Agence spatiale américaine de disposer de deux capsules permettant d’envoyer des humains dans la Station spatiale internationale. Pour le moment, SpaceX est la seule à pouvoir le faire, si on laisse de côté la capsule Soyouz russe.