Dimanche, allez voter !

Hier, la soirée était chargée avec le résultat des élections européennes – dominées par le Rassemblement national (RN) avec 31,37 % des voix (les résultats au niveau européen se trouvent par ici) – et l’annonce dans la foulée de la dissolution de l’Assemblée nationale. Un pouvoir dont dispose le président de la République.

Il n’avait pas été utilisé depuis 1997, lorsque Jacques Chirac avait dissous l’Assemblée nationale. Cela avait abouti à une cohabitation, avec Lionel Jospin comme Premier ministre. C’est maintenant l’enjeu de ces élections législatives : élire les députés, puis par ricochet désigner le Premier ministre. Il est nommé par le président, mais doit appartenir au groupe majoritaire.

Tout d’abord, un rappel sur les délais. L’article 12 de la Constitution stipule que, après une dissolution, « les élections générales ont lieu vingt jours au moins et quarante jours au plus après la dissolution ». On est donc dans la fourchette basse, mais dans la fourchette quand même.

Code électoral vs Constitution

Sur X, Jean-Jacques Urvoas (ex-garde des Sceaux et professeur de droit public) expliquait dimanche soir que les dates choisies étaient « curieuses ». Il citait le Code électoral qui explique que les déclarations de candidatures doivent être déposées « à la préfecture au plus tard à 18 heures le quatrième vendredi précédant le jour du scrutin ».

Un délai qui repousserait le premier tour au 7 juillet, alors qu’il est programmé pour le 30 juin. Très tôt lundi matin, il ajoutait que, « après recherche l’art. 12 de la Constitution écrase l’art L157 comme l’a jugé le Conseil Constitutionnel décision no 88-5 ELEC du 4 juin 1988 ».

« C’est donc le décret de convocation des électeurs qui règlera la question du délai de dépôt des candidatures pour les prochaines législatives », décret qui est désormais en ligne (n° 2024-527 du 9 juin) et apporte quelques précisions sur le déroulement des faits.

Le décret fixe les détails

On commence par un rappel du calendrier : « Les électeurs sont convoqués le dimanche 30 juin 2024 » et, « par dérogation aux dispositions de l’alinéa précédent, les électeurs sont convoqués le samedi 29 juin 2024 à Saint-Pierre-et-Miquelon, à Saint-Barthélemy, à Saint-Martin, en Guadeloupe, en Martinique, en Guyane, en Polynésie française et dans les bureaux de vote ouverts par les ambassades et postes consulaires situés sur le continent américain ». Le second tour se déroulera le 7 juillet, ou le 6 juillet pour les dérogations.

Il est précisé que « les déclarations de candidatures seront reçues par le représentant de l’État à partir du mercredi 12 et jusqu’au dimanche 16 juin 2024 à 18 heures (heure légale locale) ». Pour le second tour, les déclarations seront à déposer à partir de la publication des résultats et jusqu’au mardi 2 juillet 2024 à 18h. La campagne électorale débutera dans la foulée, soit à partir du « lundi 17 juin 2024 à zéro heure ».

Pas d’inscription sur les listes, vote électronique

Le décret ne permet par contre pas de s’inscrire sur les listes électorales : « L’élection aura lieu à partir des listes électorales et des listes électorales consulaires extraites du répertoire électoral unique et à jour des tableaux prévus aux articles R. 13 et R.14 du Code électoral telles qu’arrêtées à la date du présent décret ». Une exception : « Toutefois, en Nouvelle-Calédonie, l’élection aura lieu à partir des listes électorales arrêtées le 29 février 2024 ».

Vous pouvez vérifier votre situation électorale sur cette page. Pour une procuration, c’est par là que ça se passe.

L’Article 10 précise que « le vote par voie électronique pour l’élection des députés des Français établis hors de France est ouvert le mardi précédant la date du scrutin, à 12 heures, et clos le jeudi précédant le scrutin, à 12 heures ».

L’Arcom commence son décompte demain matin

De son côté, l’Arcom explique que, « compte tenu de la brièveté de cette campagne, [l’autorité] appelle les éditeurs à une particulière vigilance quant au respect des règles en vigueur ». Elle leur demande de commencer les décomptes liés à l’élection à compter de ce mardi 11 juin 2024, dès 6h.

« Le principe de l’équité s’applique pendant toute la période précédant le scrutin. Afin de corriger d’éventuels déséquilibres des temps de parole dans les délais impartis, les médias audiovisuels devront transmettre les relevés à l’Arcom deux fois par semaine à compter du 17 juin 2024 pour ce qui concerne le premier tour », précise enfin l’Autorité.

Ia pas d'entrainement

L’éditeur de Photoshop et de Lightroom a changé ses conditions d’utilisation en février dernier. Mais des utilisateurs anglophones ont repéré dans ce texte qu’Adobe leur demandait d’accepter l’utilisation de « méthodes automatiques » pour « accéder, voir et écouter » leurs contenus. Après plusieurs messages massivement diffusés sur les réseaux sociaux, l’entreprise dément utiliser les données de ses utilisateurs pour entrainer ses modèles d’IA.

Adobe a changé ses conditions d’utilisation en février dernier en modifiant notamment la sous-section « Notre accès à votre Contenu » de la partie concernant la « Confidentialité ». Comme souvent maintenant, l’entreprise conditionne l’utilisation de ses services à l’acceptation des nouvelles conditions.

Si, jusque-là, celles-ci n’avaient pas fait réagir, la semaine dernière, des internautes anglophones et hispanophones ont tiqué sur plusieurs phrases. Ils interprétaient ces modifications comme le fait qu’Adobe se donner la possibilité d’entrainer ses IA sur leurs contenus, et notamment ceux stockés dans « Creative Cloud » et « Document Cloud ».

So am I reading this, right? @Adobe @Photoshop

I can't use Photoshop unless I'm okay with you having full access to anything I create with it, INCLUDING NDA work? pic.twitter.com/ZYbnFCMlkE

— Sam Santala (@SamSantala) June 5, 2024

I just got an update on @Adobe terms of service saying they'll have irestric acess to eveything I use, upload or download with their services for Machine Learning;

This means every copywrighted material I have in my possession is being used by Adobe AI Model pic.twitter.com/DHk4wk755Q

— thiagocrocha.bsky.social (@Thiagocrocha_) June 4, 2024

Il faut dire qu’Adobe a injecté beaucoup d’IA dans ces outils ces derniers temps en lançant officiellement Firefly.

Comme de nombreux outils actuellement, Firefly utilise l’IA générative. Elle permet, par exemple, d’ajouter des objets dans une image rien qu’avec un prompt ou d’étendre une image en générant une continuité hors cadre original.

Méfiance et tournure confuse

Mais pour tout ça, il faut bien entrainer les IA avec une base de données massives. Et quoi de plus simple et de plus efficace que d'utiliser les données directement disponibles sur le Cloud d'Adobe ? Des utilisateurs suspicieux ont donc eu peur que la modification des conditions d'utilisation intervenue en février dernier le permette à l'entreprise, et ils ont été relayés par plusieurs médias comme The Register ou Venture Beat. D'autant que le texte modifié en anglais n'est pas des plus clairs : « nous pouvons accéder, visualiser ou écouter votre contenu (défini dans la section 4.1 (Contenu) ci-dessous) par des méthodes automatisées et manuelles, mais uniquement de manière limitée et dans les limites autorisées par la loi » explique-t-il. Et dans la même sous-section, Adobe ajoute « nos systèmes automatisés peuvent analyser votre Contenu et les Polices Client Creative Cloud (définies dans la section 3.10 (Polices Client Creative Cloud) ci-dessous) à l'aide de techniques telles que le machine learning afin d'améliorer nos Services et nos Logiciels ainsi que l'expérience utilisateur. Des informations sur la manière dont Adobe utilise l'apprentissage automatique sont disponibles ici ». La mention du machine learning dans la section de l'accès aux contenus des utilisateurs peut effectivement faire penser qu'Adobe se donne la permission d'utiliser les images créées par ses utilisateurs pour entrainer ses IA. Mais la section 4.1 à laquelle fait référence le texte modifié plus haut évoque plutôt le fait de vérifier que les contenus respectent bien les conditions d'utilisation justement :

« Nous ne révisons pas l’ensemble du Contenu chargé sur les Services et dans les Logiciels, mais nous pouvons utiliser des technologies, des fournisseurs, ou des processus disponibles, y compris manuellement, pour filtrer certains types de contenus non autorisés (pédosexuels, par exemple) ou tout autre contenu ou comportement délictueux (des activités révélant un pourriel ou un hameçonnage, ou des mots-clés indiquant que du contenu réservé aux adultes a été publié en dehors du mur de protection contre le contenu pour adultes) ».

Clarifions

Adobe a dû publier un billet de blog pour « clarifier » sa « clarification » de ses conditions d'utilisation : « pour être clair, Adobe exige une licence limitée pour accéder au contenu uniquement dans le but d'exploiter ou d'améliorer les services et les logiciels et pour faire respecter nos conditions et se conformer à la loi, par exemple pour se protéger contre les contenus abusifs ». L'entreprise ajoute qu' « Adobe n'entraine pas les modèles d'IA Firefly Gen sur le contenu des clients » et qu'elle « ne s'appropriera jamais le travail d'un client ». Elle publie aussi la différence entre les anciennes et nouvelles conditions d'utilisation pour montrer sa bonne foi, que l'on peut aller vérifier via la fonction diff proposée par archive.org :

Il serait pertinent qu'au-delà de ce billet, Adobe change ses conditions d'utilisation pour ajouter ce genre de phrases et rassurer ses utilisateurs. Cela dit, dans la version française de ces conditions d'utilisation, Adobe utilise une tournure un peu plus claire : « nous ne pourrons accéder à votre Contenu (défini à l’article 4.1 (Contenu) ci-dessous), le regarder ou l’écouter par le biais de processus automatisés et manuels que de manière restreinte et uniquement dans les limites autorisées par la loi ».

Pas d’échappement, pas de pot

Une importante faille de sécurité a été découverte dans plusieurs versions de PHP sous Windows, où l’exploitation est jugée triviale. Les personnes ayant installé un serveur avec XAMPP sont encouragées à modifier leur configuration, aucune nouvelle version n’étant pour l’instant disponible.

La vulnérabilité, estampillée CVE-2024-4577, affecte toutes les versions de PHP fonctionnant sur Windows. Elle concerne les versions 8.3 avant 8.3.8, 8.2 avant 8.2.20 et 8.1 avant 8.1.29. Toutes les moutures du langage sont touchées, y compris les plus anciennes. Les branches 8.0, 7 et 5 sont ainsi impactées, mais ne sont plus entretenues.

La faille a été découverte par Orange Tsai, chercheur en sécurité chez DevCore. Elle réside dans la conjonction d’un problème de vérification dans PHP et du fonctionnement d’un mécanisme de Windows, nommé best-fit. Ce dernier est responsable de la conversion du codage des caractères.

Pour un simple trait d’union invisible

Pour comprendre le fonctionnement de la faille, expliquons d’abord le concept d’échappement. Ce processus permet de convertir une partie des entrées utilisateur pour en retirer tout ce qui pourrait être interprété de travers. Cas classique, les symboles < et >, convertis dans leur équivalent en hexadécimal, afin de ne pas créer par inadvertance des balises web, selon l’utilisation.

Dans le cas de Best Fit, certains caractères ne sont pas échappés. Le trait d’union conditionnel (ou virtuel) est ainsi cité. Il s’agit d’un caractère invisible servant à indiquer où un mot a le droit d’être coupé pour créer un trait d’union. C’est ce type de caractère que l’on trouve parfois dans des noms de domaines pour afficher un nom paraissant légitime, mais renvoyant vers un faux site. Best Fit modifie notamment la valeur du trait d’union conditionnel (0xAD) en trait d’union classique (0x2D).

Pour le mode CGI uniquement

PHP peut fonctionner dans plusieurs modes. Seul le mode CGI est concerné par la faille, alors même qu’il a été conçu pour la sécurité, l’interprétation du code se faisant dans un processus distinct.

« Il s’avère que, dans le cadre du traitement d’Unicode, PHP applique ce que l’on appelle une correspondance « best fit », et suppose que, lorsque l’utilisateur a saisi un trait d’union virtuel, il avait en fait l’intention de saisir un véritable trait d’union, et l’interprète en tant que tel. C’est là que réside notre vulnérabilité. Si nous fournissons à un gestionnaire CGI un trait d’union virtuel (0xAD), le gestionnaire CGI ne ressentira pas le besoin de l’échapper, et le transmettra à PHP », pointent les chercheurs de WatchTowr.

Vous devinez la suite : PHP va l’interpréter comme un vrai trait d’union. Un changement simple en apparence, mais déterminant, le trait d’union servant à introduire des arguments dans les commandes.

Les chercheurs soulignent que le mécanisme est « remarquablement similaire » à une vieille faille de PHP en 2012. L’équipe de développement ne semble pas avoir pensé à Best Fit sous Windows, permettant de reprendre les codes d’exploitation d’il y a 12 ans et d’y apporter quelques modifications pour les faire fonctionner. Il s’agit d’une attaque par injection d’arguments, comme en 2012.

Une faille critique, avec quelques conditions

La faille est critique, dans le sens où une installation vulnérable peut être utilisée pour déclencher une exécution de code arbitraire à distance, sans intervention de l’utilisateur. En pratique, il faut quand même que quelques conditions soient réunies.

Par défaut, PHP n’est pas installé sur Windows. Pour qu’il le soit, il faut avoir installé un serveur, comme XAMPP, cité par les chercheurs. Il faut en outre que PHP fonctionne en mode CGI, un usage devenu minoritaire (largement remplacé par FastCGI). Mais attention, exposer le binaire PHP (php.exe ou php-cgi.exe) dans un dossier accessible au serveur web permet aussi l’exploitation de la faille. C’est malheureusement la configuration par défaut de XAMPP, qui n’est plus mis à jour depuis plus d’un an.

Les chercheurs ont par ailleurs attesté l’exploitation de la faille – tout en donnant la méthode – sur les versions chinoises (traditionnel et simplifié) et japonaise de Windows. Ils disent ne pas savoir si l’exploitation peut se faire sur d’autres variantes linguistiques. Ils ajoutent avoir été confrontés à une trop grande variation des configurations, d’autant qu’il n’est pas simple, depuis l’extérieur, de savoir dans quelle langue un système est configuré.

Toutes les personnes ayant un serveur PHP sont invitées à vérifier sa configuration et à installer la version plus récente de PHP.

Les pirates sont vite partis à l’assaut

Révélée vendredi avec de nombreuses précisions par DevCore, la faille a rapidement fait l’objet d’une recherche active de victimes. C’est ce qu’a indiqué la Shadowserver Foundation dès vendredi après-midi.

L’exploitation est simple à réaliser et les pirates peuvent tabler sur l’installation par défaut de XAMPP (qui n’est pas censé être utilisé en production, s’agissant avant tout d’un environnement de test) pour exposer les binaires PHP. La situation pour les systèmes Windows dans d’autres langues que celles testées par DevCore n’est pas claire, mais rien ne s’oppose – en théorie – à une exploitation sur tout type de configuration.

C’est donc ce soir qu’Apple présentera ses nouveautés sur la partie logicielle. Il sera question des nouvelles versions des systèmes d’exploitation pour les smartphones (iOS), les tablettes (iPadOS) et les ordinateurs (macOS). Sauf surprise de dernière minute, ce seront respectivement les versions iOS et iPadOS 18, ainsi que MacOS 15.

Apple devrait aussi se lancer pleinement dans l’intelligence artificielle, avec du retard sur ses camarades et concurrents. L’entreprise livre généralement des produits finis et bien intégrés (parfois, c’est loupé, le lancement de Plans peut en témoigner), les annonces du jour seront donc à surveiller de près.

Des rumeurs insistantes font état d’un nouveau gestionnaire de mot de passe, d’une nouvelle version « 2.0 » de Siri, etc. Dernières suppositions en date, un mode sombre pour les icônes des applications et la possibilité de passer par Face ID pour valider le lancement d’une application.

Il arrive aussi parfois que des annonces sur le matériel soient faites, notamment avec la puce M2 et un nouveau MacBook Air en 2022, ainsi que le casque de réalité mixte Vision Pro en 2023. Réponses dans quelques heures à peine.

La conférence est à suivre sur Apple TV, sur le site d’Apple ou sur YouTube.

La fonction existe dans WhatsApp depuis deux ans. Elle permet de fédérer de grands groupes de personnes autour de thématiques communes, comme les résidents d’un quartier, les parents d’élèves d’une école, etc.

Cette fois, Meta déploie la fonction sur Messenger, signale TechCrunch. Mais là où WhatsApp réclamait le numéro de téléphone, Messenger fonctionne sur la base des amis (et amis d’amis) sur Facebook. En outre, les invitations sont émises sous forme de liens partageables.

Jusqu’à 5 000 personnes peuvent rejoindre une communauté sur Messenger. Chacune est munie d’un accueil présentant l’espace de conversation. Les administrateurs du groupe peuvent également y placer des publications, mises à jour et autres informations.

Une communauté permet le rassemblement de plusieurs groupes de conversations. Les administrateurs doivent garder en mémoire que toute personne acceptée peut voir l’intégralité des échanges qu’elle rejoint. Une fois une communauté créée, il est possible de créer d’autres groupes, en fonction des thématiques spécifiques à aborder.

Y’a-t-il un Copilot dans l’avion ?

Les PC Copilot+ vont arriver dès le 18 juin avec un SoC Qualcomm. Des machines avec des processeurs AMD Strix et Intel Lunar Lake sont également au programme. Microsoft garde toutefois le silence sur la période de lancement. AMD espère fin 2024, Intel ne se prononce pas.

Il y a trois semaines, Microsoft officialisait une nouvelle gamme de produits : les PC Copilot+. Il s’agit de machines orientées intelligence artificielle (comme c’est original) et des fonctions intégrées dans Windows 11.

L’une d’entre elles – Recall – fait couler beaucoup d’encre, et on découvre de nouveaux dangers régulièrement. Microsoft vient d’ailleurs de faire machine arrière.

• Machine arrière : Windows Recall devient opt-in et renforce sa sécurité

Mais que faut-il pour appartenir à la gamme Copilot+ et quand pourrons-nous en profiter ? Le sujet n’est pas simple puisque Microsoft n’y répond pas directement.

Microsoft Qualcomm et vice-versa

L’entreprise s’est entichée de Qualcomm pour ce lancement : « Microsoft associe la série Snapdragon X à la puissance de Copilot+ ». Il en est de même pour les trois variantes de la puce X Elite de chez Qualcomm toujours.

Alex Katouzian, (responsable mobile, compute & XR chez Qualcomm) nous promet au passage monts et merveilles : « capacités d’IA révolutionnaires qui redéfinissent l’expérience informatique personnelle, le tout avec des performances de pointe et une autonomie de plusieurs jours ». À confirmer lors de tests, d’autant que Qualcomm a déjà fait part le passé des promesses dans le monde du portable, sans grand succès jusqu’à présent.

NVIDIA veut sa part du gâteau

Dès l’annonce de Copilot+, on se demandait si des machines avec un autre CPU pourraient être « certifiées » et profiter des nouvelles fonctionnalités. La réponse est arrivée par NVIDIA lors de sa keynote du Computex. On pourrait la résumer par « oui, mais… ».

En parlant des nouveaux ordinateurs portables RTX AI, le fabricant de carte graphique l’affirme sans détours : « Ces PC Windows 11 AI recevront une mise à jour gratuite des expériences Copilot+ PC lorsqu’elle sera disponible ».

• NVIDIA : IA, IA, GPU Rubin, IA, IA, SFF-Ready, IA, IA…

Microsoft veut du NPU, mais est-il obligatoire ?

Dans son communiqué, Microsoft explique que les « nouveaux Copilot+ PC reposent sur une architecture repensée qui tire pleinement parti de la puissance conjuguée du CPU, du GPU et désormais du NPU (Neural Processing Unit ou unité de traitement neuronal) ». Cela tombe bien, les machines dont parle NVIDIA seront équipées d’un processeur AMD Strix, avec NPU.

Rappelons que les cartes graphiques font largement mieux que les NPU, et depuis longtemps. Microsoft semble néanmoins bien plus attachée à la présence d’un NPU pour le traitement des données liées à l’intelligence artificielle, qu’à celle d’une carte graphique.

Des PC Copilot+ avec AMD « d’ici fin 2024 » ?

AMD emboite le pas à NVIDIA avec l’annonce de ses Ryzen AI 300 avec NPU intégré. Le Texan affirme que ces nouveaux processeurs « sont prêts pour Copilot+ », et même qu’ils « dépassent les exigences de Copilot+ AI PC ». À The Verge, AMD apporte une précision temporelle, du bout des lèvres : « Nous prévoyons d’avoir des expériences Copilot+ d’ici fin 2024 ».

Au détour d’un graphique, on apprend que, selon AMD, le minimum requis pour les « expériences Copilot+ » est de 40 TOPS. En mai, lors de son annonce, Microsoft expliquait que les machines Copilot+ seraient « capables d’effectuer plus de 40 TOPS », sans préciser que c’était un minimum requis.

• AMD : Zen 5 à tous les étages (Ryzen AI, 9000, Epyc), roadmap des GPU Instinct jusqu’en 2026

Copilot+ PC avec Lunar Lake d’Intel : oui, mais quand ?

Toujours au Computex, c’était ensuite au tour d’Intel de présenter ses processeurs Lunar Lake, avec eux aussi un NPU pour l’IA : « Lunar Lake bénéficiera des expériences Copilot+, comme Recall, via une mise à jour lorsqu’elle sera disponible ». Aucune date n’a été précisée.

Bref, AMD, Intel et NVIDIA se positionnent sur la « marque » Copilot+, mais sans donner aucune indication précise, si ce n’est qu’il faut patienter et que « cela va arriver… ». Il ne faut pas attendre d’éclaircissement de la part de Microsoft, qui n’a pas souhaité répondre à nos questions, pas plus qu’à celles de plusieurs de nos confrères américains.

• Intel présente Lunar Lake (CPU, GPU, NPU), lance ses Xeon 6 E-core et Gaudi 3 pour l’IA

Microsoft l’affirme : des mises à jour gratuites arrivent

« Les ordinateurs Intel Lunar Lake et AMD Strix sont des PC Windows 11 AI qui répondent à nos exigences matérielles Copilot+ PC. Nous travaillons en étroite collaboration avec Intel et AMD pour offrir des expériences PC Copilot+ via des mises à jour gratuites, lorsqu’elles sont disponibles », se contente d’expliquer James Howell, directeur marketing de Microsoft.

Pourquoi un tel décalage temporel entre les Copilot+ PC avec un SoC Qualcomm et ceux avec un CPU AMD ou Intel ? À défaut d’information fiable, on peut seulement faire des suppositions : contrat d’exclusivité avec Qualcomm, adaptations nécessaires pour l’architecture x86, etc.

Il pourrait s’agir simplement de la mise à jour 24H2 pour Windows 11, qui doit arriver l’automne. Elle est présente sur les PC Copilot+, mais demande plus de préparation pour le parc x86. Elle était d’ailleurs disponible dans le canal de test Release Preview (le plus stable), mais en a été retirée. Microsoft n’a pas expliqué pourquoi, précisant uniquement qu’elle serait de retour dans quelques semaines.

Quoi qu’il en soit, les premiers Copilot+ PC sont attendus pour le 18 juin, avec un SoC Qualcomm. Il y aura évidemment les nouvelles Surface de Microsoft, mais aussi des machines chez Acer, Asus, Dell, HP, Lenovo et Samsung. D’autres suivront très certainement durant l’été, puis à la rentrée, etc.

Une étude du Pew Research Center, repérée par Meta-Media, le service de veille numérique de France Télévisions, relève que 38 % des pages web existantes en 2013 ne sont plus accessibles dix ans plus tard, contre 8 % des pages qui existaient en 2023 :

« Un quart des pages web qui ont existé à un moment donné entre 2013 et 2023 ne sont plus accessibles depuis octobre 2023. Dans la plupart des cas, cela est dû au fait qu’une page individuelle a été supprimée ou retirée d’un site web par ailleurs fonctionnel. »

Cette analyse des « liens morts » (« link rot », en anglais), reposant sur un examen des liens apparaissant sur les sites gouvernementaux et les sites d’information, ainsi que dans la section Références des pages Wikipédia au printemps 2023, révèle en outre que :

• 5 % des liens sur les sites d’actualités n’étaient plus accessibles, et 23 % des pages examinées contenaient au moins un lien brisé ;
• 11 % de toutes les références liées à Wikipédia ne sont plus accessibles, et 54 % des pages de Wikipedia contenant au moins un lien dans leur section Références pointent vers une page qui n’existe plus ;
• au moins 14 % des pages gouvernementales, et 21 % des pages web des administrations publiques, contenaient au moins un lien brisé ;
• 23 % des pages web d’actualités contiennent au moins un lien brisé, de même que 21 % des pages web de sites gouvernementaux ;
• 25 % de toutes les pages collectées de 2013 à 2023 n’étaient plus accessibles en octobre 2023 : 16 % des pages sont inaccessibles individuellement mais proviennent d’un domaine de niveau racine par ailleurs fonctionnel ; les 9 % restants sont inaccessibles parce que l’ensemble de leur domaine racine n’est plus fonctionnel.

L’examen d’un échantillon d’utilisateurs de Twitter indique par ailleurs que près d’un tweet sur cinq (18 %) n’est plus visible publiquement sur le site quelques mois seulement après avoir été publié. Dans 60 % de ces cas, le compte qui a publié le tweet à l’origine a été rendu privé, suspendu ou entièrement supprimé.

Dans les 40 % restants, le titulaire du compte a supprimé le tweet, mais le compte lui-même existe toujours :

• 1 % des tweets sont supprimés en moins d’une heure
• 3 % en l’espace d’un jour
• 10 % en l’espace d’une semaine
• 15 % en l’espace d’un mois

« Considère ça comme un divorce »

Alors que la polémique enflait sur Recall, jugée intrusive et dangereuse, Microsoft fait machine arrière. Le choix sera clairement donné pendant la configuration de l’ordinateur. La société ajoute en outre des mécanismes de sécurité qui auraient dû être présents dès le départ.

C’est peu dire que la présentation de la fonction Recall (Retrouver) aura fait réagir. Spécifique aux PC Copilot+ et à ses « bonus » IA, elle consiste à prendre régulièrement des captures d’écran. Les images sont analysées, afin qu’une recherche permette de retrouver quand et comment une information a été utilisée. Flock y a même consacré une bande dessinée dont il a le secret.

• #Flock : Total RECALL me maybe

L’idée partait d’un bon sentiment, avec l’objectif de pouvoir toujours remettre la main sur un site, un document, une discussion ou autre. Cependant, comme nous l’avions signalé, elle permettait un véritable pillage des données personnelles. Dès lors qu’une autre personne pouvait s’installer devant l’ordinateur, elle pouvait récupérer tout l’historique de l’utilisateur sur plusieurs mois.

Le problème est d’autant plus important que le mécanisme agit aussi bien sur les actions personnelles que celles reçues d’autres personnes. Vous discutez sur Signal, WhatsApp, Messenger, Telegram, par email ou sur un site de rencontre ? Recall en garde des traces. Les correspondants ne sont pas prévenus. D’autres ont signalé les ravages que peut entrainer la fonction avec des proches abusifs.

L’activation de Recall se fera par un choix

On s’en doutait devant l’ampleur des critiques : Microsoft a annoncé la bascule sur un modèle « opt in » pour Recall. L’assistant de configuration de Windows 11 pouvant être mis à jour dès la connexion internet établie, une nouvelle version sera disponible pour le lancement des PC Copilot+. On y trouvera un choix clair sur la fonction :

La capture, publiée par Microsoft, montre l’obligation de faire un choix. Nous nous étions justement interrogés sur ce point, car une bonne partie de l’assistant est consacrée à l’activation de fonctions, aucun choix n’étant sélectionné par défaut. Pourquoi Recall n’avait-il pas eu le même traitement ? L’éditeur a fini par aligner Recall sur le reste.

Le nouveau panneau a l’avantage de mieux présenter la fonction. Il explique son intérêt, mentionne que Microsoft n’accède pas aux captures et que l’on peut contrôler ce que Recall analyse.

Plusieurs mesures de sécurité supplémentaire

Outre le contrôle, Microsoft ajoute plusieurs mécanismes pour verrouiller davantage les informations enregistrées par Recall. La fonction ne brillait pas par la protection des informations très sensibles. Elle les stockait dans une simple base SQLite, enregistrée dans un sous-dossier d’AppData. L’expert en cybersécurité Kevin Beaumont avait même montré qu’on pouvait les récupérer assez facilement depuis un autre compte sur le même PC.

On trouve trois ajouts principaux. D’une part, l’activation de Windows Hello devient obligatoire pour utiliser Recall. Hello est pour rappel la fonction chapeautant tout ce qui touche à l’ouverture sécurisée de session, notamment avec la biométrie.

D’autre part, Windows Hello se manifestera lors de tout accès aux informations recueillies par Recall. Une preuve de présence donc, là où il suffisait à quelqu’un de s’assoir face à un PC Copilot+ pour plonger dans l’historique complet des activités de son utilisateur.

Enfin, plusieurs « couches supplémentaires de protection des données » ont été ajoutées. Un chiffrement à la volée d’abord, via Windows Hello ESS (Enhanced Sign-in Security). Les captures créées par Recall ne seront donc accessibles que si l’utilisateur est dument authentifié. En outre, la base de données de l’index de recherche sera, elle aussi, chiffrée.

De sérieux problèmes à la conception

Pourquoi ne pas avoir mis en place ces mécanismes dès le départ ? La question est évidente au vu des multiples scénarios problématiques apparus dans les quelques jours qui ont suivi la présentation. Elle est d’autant plus prégnante que Satya Nadella, PDG de l’entreprise, avait fait circuler un mémo auprès des employés pour réitérer l’importance de la sécurité, même si elle se faisait au détriment des fonctionnalités.

Recall ne sera techniquement proposé au départ que sous forme de préversion. Cela ne devrait cependant pas compter : obliger l’utilisateur à choisir aurait dû être un réflexe. Tout comme le chiffrement des données. Tout comme l’authentification obligatoire.

Microsoft joue gros avec ce type de mécanisme. La société veut prouver que l’IA peut rendre mille services. Avec Recall, elle a surtout prouvé que le pouvoir de l’IA peut entrainer des catastrophes quand elle n’est pas pensée avec soin. Comme le cloud, ces fonctions ne peuvent être couronnées de succès que si le public a confiance. Mieux vaut éviter qu’une telle bourde se reproduise, d’autant qu’une deuxième vague de PC Copilot+ serait en préparation pour la fin de l’été.

L’affaire servira en tout cas de leçon à Google, qui réfléchit également à intégrer ce type de fonction dans ses Chromebook.

« Grâce à notre perturbation continue de LockBit, nous disposons désormais de plus de 7 000 clés de déchiffrement et nous pouvons aider les victimes à récupérer leurs données », a déclaré Bryan Vorndran, directeur adjoint de la division Cyber du FBI, rapporte BleepingComputer.

Lors du démantèlement de l’infrastructure de LockBit, en février, les autorités avaient saisi 34 serveurs contenant alors plus de 2 500 clés de déchiffrement du rançongiciel russophone. Elles estimaient que le gang et ses affiliés avaient récolté jusqu’à 1 milliard de dollars en rançons suite à 7 000 attaques visant des organisations du monde entier entre juin 2022 et février 2024.

• Le créateur du rançongiciel LockBit serait un Russe de 31 ans
• Quelles traces relient Dmitry Khoroshev au rançongiciel LockBit ?

En dépit des efforts des forces de l’ordre pour mettre fin à ses activités, LockBit est toujours actif. L’Hôpital de Cannes Simone Veil a ainsi révélé mi-avril avoir fait l’objet d’une cyberattaque, et annoncé qu’il refusait de payer la rançon exigée par LockBit3.0, relève BleepingComputer :

« Dans le cas d’une fuite de données appartenant potentiellement à l’hôpital, nous communiquerons à nos patients et aux parties prenantes, après un examen détaillé des fichiers susceptibles d’avoir été exfiltrés, la nature des informations volées. »

Non contentes d’avoir révélé l’identité de son chef de gang, un ressortissant russe de 31 ans nommé Dmitry Yuryevich Khoroshev, les autorités ont également arrêté et inculpé plusieurs de ses membres, dont Mikhail Vasiliev en novembre 2022, Mikhail Pavlovich Matveev en mai 2023, Ruslan Magomedovich Astamirov en juin, Artur Sungatov et Ivan Gennadievich Kondratiev en février 2024.

Le département d’État américain offre désormais 10 millions de dollars pour toute information qui conduirait à l’arrestation ou à la condamnation des dirigeants de LockBit, ainsi qu’une récompense supplémentaire de 5 millions de dollars pour toute information conduisant à l’arrestation des affiliés du ransomware LockBit.

Microsoft organisait ce week-end son Xbox Games Showcase 2024, avec une ribambelle de nouveaux jeux annoncés. On y retrouve des licences phares comme Call of Duty, Diablo, Doom, Indiana Jones, etc. Nous n’allons pas nous attarder sur la partie logicielle, détaillée dans ce billet de blog.

La société a du nouveau aussi sur la partie matérielle, avec trois consoles. La nouveauté la plus marquante est sans aucun doute une première Xbox Series X en version all-digital, c’est-à-dire sans lecteur optique, avec 1 To de SSD. Elle sera vendue « dans certains marchés » pour 499,99 euros.

Microsoft propose également une autre Xbox Series X, avec 2 To de stockage cette fois et un lecteur Blu-ray, pour 649,99 euros. Terminons avec une Xbox Series S de 1 To et un châssis blanc. Elle est vendue 349,99 euros, le même tarif que sa grande sœur (Series S, 1 To) en noir lancée l’année dernière.

Google signe la fin de la récréation sur sa boutique, dans l’optique de mettre fin à la vague d’applications de type IA permettant de générer des contenus normalement interdits. Les conditions d’utilisation de la boutique sont maintenant plus sévères, avec expulsion en cas d’enfreinte.

Les contenus sexuels et violents, notamment, ne doivent pas pouvoir être générés depuis une application faisant appel à l’IA. Une publicité pour l’application ne doit pas non plus aborder ces capacités, qu’elles soient ou non présentes dans le produit.

TechCrunch relève par exemple qu’aux États-Unis, des élèves se servent de ce genre d’application pour générer de faux nus, utilisés à des fins d’intimidation et de harcèlement. 404 Media avait de son côté observé des publicités sur Instagram pour des applications qui se prétendaient capables, elles aussi, de générer des faux nus.

À cette interdiction, que Google veut stricte, l’entreprise en ajoute une autre : ces applications doivent intégrer un mécanisme pour signaler les abus. Même chose s’il existe une section pour les commentaires. Enfin, Google recommande aux développeurs de documenter les tests réalisés, car elle peut les réclamer lors de la validation.

Selon le New York Times, le gouvernement américain et la Federal Trade Commission (FTC) se sont coordonnés pour lancer plusieurs enquêtes sur d’éventuelles pratiques anticoncurrentielles dans le milieu de l’IA.

Le ministère de la Justice Américain va se concentrer sur les comportements du concepteur de GPU NVIDIA et vérifier qu’il n’a pas violé les lois antitrust américaines.

De son côté, la FTC va analyser la conduite d’OpenAI et de Microsoft et notamment l’investissement de 13 milliards de dollars du second dans le premier.

« Pendant des mois, Nvidia, Microsoft et OpenAI ont largement échappé à la surveillance réglementaire du gouvernement de Biden », commente le journal américain.

L’agence indépendante avait déjà lancé des enquêtes en juillet 2023 et en janvier 2024 sur OpenAI et plus globalement sur les liens entre les grandes entreprises du numérique et les nouvelles startups de l’IA.

Le New York Times cite une interview de Lina Khan, présidente de la FTC, réalisée en février dernier. Elle y déclarait à propos de la régulation de l’IA que l’agence essayait de repérer « les problèmes potentiels dès le début plutôt que des années et des années plus tard, lorsque les problèmes sont profondément ancrés et beaucoup plus difficiles à rectifier ».

Le journal remarque cependant que « les États-Unis sont en retard sur l’Europe en matière de réglementation de l’intelligence artificielle ».

The Verge a découvert qu’un certain nombre de produits récents d’Apple ont une puce radio compatible Thread.

Ce protocole réseau sert à constituer des réseaux maillés basse consommation (IPv6 et 6LoWPAN). Il fonctionne en se basant sur des routeurs de périphérie, qui peuvent alors servir de ponts. Il est souvent confondu avec Matter, avec lequel il peut fonctionner. Dans les grandes lignes, Thread établit un réseau matériel, Matter est une couche logicielle.

La découverte de The Verge est valable pour les nouveaux iPad lancés récemment ainsi que tous les Mac équipés de puces M3 (et leurs déclinaisons). En clair, tout produit sorti depuis septembre dernier. Les iPhone 15 Pro sont officiellement compatibles.

Cette capacité n’est pas indiquée dans les fiches techniques des appareils. Nos confrères ont trouvé mention de cette compatibilité dans des rapports de la FCC (Federal Communications Commission).

Apple compte peut-être profiter de sa WWDC la semaine prochaine pour évoquer le sujet, par exemple via des fonctions spécifiques à iOS 18 et macOS 15.

Lumos Maxima !

Dans le cadre du plan d’investissement France 2030, le gouvernement, le CEA et le CNRS viennent de donner le coup d’envoi officiel d’un « ambitieux programme de recherche pour explorer la lumière de manière inédite ». Un des axes concerne les carburants solaires.

Il s’agit d’un nouveau PEPR (Programmes et équipements prioritaires de recherche) baptisé LUMA (Lumière-Matière) dont le but est d’« exploiter les propriétés de la lumière pour explorer et contrôler de nombreux systèmes physicochimiques et biologiques ».

Le projet vient d’être officiellement lancé (même s’il existe depuis longtemps) avec un financement de 40,38 millions d’euros sur sept ans, dans le cadre de France 2030. Il est co-piloté par le CEA et le CNRS. 1 000 chercheurs sont mobilisés et 28 universités impliquées.

De vastes débouchés

Les débouchés potentiels sont nombreux, comme l’explique le CNRS : traitement et stockage de l’information, matériaux durables (chimie verte, recyclage, écoconception), exploitation énergétique (solaire) et photomédicaments (méthodes non-invasives, thérapie photodynamique, traitement du cancer).

Attention à ne pas mettre la charrue avant les bœufs : on parle de recherche fondamentale, pas de remède miracle à court terme. Catalin Miron (directeur de recherche CEA et co-dirigeant de ce projet), précise d’ailleurs qu’il s’agit d’un « PEPR exploratoire, qui anime donc de la recherche amont », on n’est pas dans une phase d’industrialisation, mais de recherche pure.

Le centre de recherche en profite pour affirmer que la France est le leader international dans la valorisation des interactions lumière-matière avec pas moins de cinq prix Nobel depuis 2016 : Jean-Pierre Sauvage (2016), Gérard Mourou (2018), Alain Aspect (2022), Pierre Agostini et Anne L’Huillier (2023 tous les deux). Pour le ministère de la Recherche, la France doit « maintenir et consolider son positionnement, à la fois académique et industriel ».

Photoscience intelligente, technologies vertes et protection

Trois axes de développement sont mis en avant avec LUMA :

• Photons for Green, « qui vise à l’émergence de nouvelles technologies « vertes » haute performance pour l’énergie et l’industrie de demain ». Il est notamment question de « la conversion efficiente de l’énergie solaire en énergie chimique, en produisant des carburants solaires ».
• Light for Protection vise de son côté à « utiliser la lumière pour une meilleure préservation de la santé, de l’environnement ou des objets de notre patrimoine ». L’enjeu n’est rien de moins que de diagnostiquer et soigner grâce à la lumière.
• Enfin, Smart Photoscience ambitionne de « décrypter des systèmes et des dynamiques complexes en chimie, physique, biologie, pour les faire fonctionner par des processus de photo-activation sophistiqués ».

Le programme propose aussi des actions ciblées de recherche, sélectionnées via un appel à manifestations d’intérêt. Quatre axes de développement sont mis en avant : la chiralité, la photochimie et les matériaux, l’énergie et l’environnement, la santé. Des appels à projets collaboratifs sont également dans les cartons.

Deux révolutions scientifiques et techniques

L’année dernière, Rémi Métivier justifiait ce projet par deux « révolutions scientifiques et techniques majeures, survenues ces dernières années », offrant de « nouvelles perspectives quant à l’utilisation de la lumière ».

La première vient du contrôle de la lumière : « Nous avons accès à des sources lumineuses très performantes, notamment avec des lasers à impulsions ultra-courtes (femtoseconde ou attoseconde) ». LUMA s’intéressera à la structuration de la matière « aux échelles ultimes de temps et d’espace (attoseconde et nanomètre) ».

On parlait récemment de l’attoseconde : c’est un milliardième de milliardième de seconde (10⁻¹⁸ seconde). À titre d’exemple : « il y a autant d’attosecondes dans une seconde que de secondes depuis le Big Bang ».

• Attoseconde : au CNRS, « la physique à la conquête de l’infiniment bref »

La seconde « révolution » concerne la maitrise par les scientifiques de la conception et de l’assemblage « complexe de molécules aux propriétés complémentaires ». Cela ouvre la voie à « des matériaux organiques et hybrides de nouvelle génération, capables de capturer et d’utiliser la lumière de façon intelligente et performante ».

Concernant le solaire, Rémi Métivier (directeur de recherche CNRS et co-dirigeant du PEPR), explique que nous « avons besoin de résoudre des questions fondamentales telles que l’augmentation de l’efficacité, de la conversion lumineuse ou encore la durabilité des dispositifs que nous concevons ».

Minute papillon, c’est quoi des « carburants solaires » ?

Revenons quelques instants sur les carburants solaires. Engie rappelle qu’il s’agit de « combustibles fabriqués à partir de substances courantes comme l’eau et le dioxyde de carbone grâce à l’énergie de la lumière solaire, utilisée soit par récupération de chaleur soit par génération de charge électrique ».

On peut ainsi produire de l’hydrogène à partir de l’eau (H₂O), mais aussi du gaz de synthèse, du méthane/méthanol et d’autres « carburants » à partir de CO₂ ou de CO₂ + H₂O.

Dans une interview à Newstank, Catalin Miron détaille les attentes sur ce point : « L’idée est de capturer le CO₂ de l’atmosphère pour produire des carburants chimiques pouvant être stockés. Nous pensons avec LUMA pouvoir passer de l’échelle du centimètre au mètre carré pour les cellules de ces dispositifs. Ces recherches pourront aussi apporter des réponses concrètes aux besoins de la société ».

Le gestionnaire de mots de passe maison a désormais une application autonome pour toutes les plateformes majeures. Des versions Mac et Linux viennent en effet d’apparaître, aux côtés de celles pour Windows, Android, iOS et Chrome OS (celle-ci via Android).

Proton en profite pour fournir une extension pour Safari, en plus de celles existant pour les navigateurs sur base Chromium et Firefox.

La version Linux est compatible avec toutes les distributions de type Debian ou RedHat, dont Ubuntu, Fedora ou encore CentOS.

Des améliorations seront bientôt proposées aux versions Mac et Linux dans les semaines à venir. Par exemple, la prise en charge de TouchID pour les Mac compatibles. Sous Linux, une prochaine mouture deviendra compatible avec les mécanismes d’authentification et les API correspondantes.

L’objectif est le même à chaque fois : permettre le déverrouillage du coffre-fort avec la biométrie, le compte utilisateur et « toute autre méthode prise en charge par Linux Pluggable Authentication Modules (Linux PAM) ».

Bon an, mal an, la capsule habitable de Boeing est arrivée à la Station spatiale internationale et s’est arrimée. Après des années de retard, des reports de dernières minutes, des fuites d’hélium dans l’espace et des pannes de propulseurs, les deux astronautes sont arrivés sains et saufs dans l’ISS.

Comme le rapporte Spacenews, le rendez-vous s’est fait avec plus d’une heure de retard car « jusqu’à cinq propulseurs du système de pilotage par jets de gaz (RCS) se sont mis hors service pendant les différentes phases de l’approche du vaisseau spatial ».

Hugs all around! The Expedition 71 crew greets Butch Wilmore and @Astro_Suni aboard @Space_Station after #Starliner docked at 1:34 p.m. ET on June 6. pic.twitter.com/wQZAYy2LGH

— Boeing Space (@BoeingSpace) June 6, 2024

Le temps de procéder aux vérifications et de remettre une partie des propulseurs en service, la capsule est restée en dehors de la zone d’exclusion de la Station, à plus de 200 mètres. « Les responsables de la NASA et de Boeing ont déclaré qu’ils avaient pu remettre quatre des cinq propulseurs en marche », et ainsi reprendre la phase d’approche, expliquent nos confrères.

Plus surprenant, ce problème, avait déjà été rencontré lors du vol d’essai sans équipage Orbital Flight Test 2 (OFT-2) en mai 2022. Cela concernait les propulseurs au même endroit du module de service. « Nous ne comprenons pas vraiment pourquoi cela se produit », reconnait Steve Stich, responsable du programme d’équipage commercial de la NASA.

Il ajoute que le problème vient moins des propulseurs eux-mêmes que du logiciel qui les contrôle et des données reçues. Mark Nappi, vice-président de Boeing et responsable du programme d’équipage commercial, confirme que les propulseurs fonctionnent bien – la preuve, ils ont pu être rallumés, explique-t-il. « Ce sont les conditions que nous avons mises dans le logiciel qui indiquent d’une manière ou d’une autre que le propulseur doit être désactivé ».

Steve Stich ajoute enfin qu’une quatrième fuite d’hélium a été trouvée après que la capsule est arrivée à l’ISS. Elle est plus petite que les trois autres. Mark Nappi n’exclut pas que les fuites aient une cause profonde commune, qui reste donc à déterminer.

Quoi qu’il en soit, pour le responsable de Boeing, les deux problèmes sur le véhicule « sont des problèmes assez mineurs à régler, vraiment ». L’entreprise met en avant la liste des tests validés par cette mission.

Malgré les fuites, la capsule aurait largement assez d’hélium pour revenir sur Terre dans une semaine.

Le premier vol de Starship a déjà plus d’un an et s’était soldé par une explosion après trois minutes de vol. Lors du second vol en novembre dernier, la séparation a bien eu lieu, mais le test a ensuite été brutalement interrompu par une explosion. Lors du troisième essai, Starship a réussi à se mettre en orbite, mais ce n’était pas encore ça sur le retour de la fusée.

• Starship a décollé puis explosé
• SpaceX : le monstre Starship décolle et effectue sa séparation, mais le premier étage explose
• SpaceX a réussi à mettre StarShip en orbite

Avec son quatrième vol, SpaceX réalise un carton plein, ou presque. En tout cas, les deux principaux objectifs sont remplis : le retour du premier étage après un peu plus de sept minutes, puis du second étage au bout d’une heure, sans exploser et avec la bonne position dans les deux cas.

On peut voir sur la vidéo de lancement qu’un des 33 moteurs Raptor n’a pas fonctionné, ce qui n’a pas empêché la fusée de décoller.

La séparation entre les deux étages s’est correctement faite. Super Heavy (premier étage) est ensuite venu se « poser » à la surface de l’eau, avec l’aide de trois moteurs pour ralentir la chute. Pas de barge cette fois-ci, mais c’était prévu ainsi.

SpaceX explique avoir profité de ce lancement pour réaliser quelques tests de résistance sur l’étage supérieur Starship. Deux tuiles du bouclier ont par exemple été enlevées pour mesurer la température à ces endroits.

« Malgré la perte de nombreuses tuiles et un volet endommagé, Starship a réussi à atterrir en douceur dans l’océan ! », se réjouit Elon Musk. Il ajoute qu’une tentative de récupération du booster aura lieu lors du prochain lancement. Bill Nelson, administrateur de la NASA, félicite aussi SpaceX pour cet essai.

Watch Starship's fourth flight test https://t.co/SjpjscHoUB

— SpaceX (@SpaceX) June 4, 2024

Des cochonneries devant la porte

Apple n’est « officiellement » plus en tête sur le support logiciel de ses smartphones. Forcée de concrétiser une information sur laquelle elle ne s’était jamais exprimée, l’entreprise table sur un minimum de cinq ans. Google, forte de l’annonce de ses Pixel 8, caracole désormais. Mais la réalité du marché est nettement plus trouble.

Voilà bien des années que Next revient sur l’un des thèmes qui lui tient à cœur : le support logiciel des appareils, et plus particulièrement celui des smartphones.

Dans ce domaine, Apple a été pendant longtemps en tête, voire un « modèle ». Aucun iPhone n’a jamais été supporté moins de cinq ans, aidé par le fait que l’entreprise maitrise à la fois le matériel et le logiciel, contrairement à Android et sa ribambelle de constructeurs. Une période valable d’ailleurs pour les mises à jour majeures d’iOS. La période de support pour les seules mises à jour de sécurité est d’un ou deux ans plus longue. Mais les temps changent.

Apple, Google et Samsung dans un bateau

Mais qu’est-ce qui a changé au juste ? À l’automne dernier, Google a d’abord présenté son Pixel 8 et sa déclinaison Pro. Outre les caractéristiques techniques et les exclusivités logicielles des téléphones maison, Google a surpris tout le monde en annonçant un support de sept ans. Pas seulement des correctifs de sécurité, mais bien sept ans de mises à jour majeures d’Android.

Nous avons été enthousiasmés par cette annonce. Et pour cause : dans le monde Android, de nombreux appareils d’entrée ou même de moyenne gamme ne dépassent pas les trois ou quatre ans. Bien trop peu. Google a donc voulu montrer l’exemple. La sortie du Pixel 8a n’y a rien changé, car lui aussi a ses sept ans de mises à jour d’Android. Parallèlement, Google a affirmé que les pièces détachées pour les réparations seraient disponibles pendant la même durée.

En janvier, la présentation de la gamme S24 s’est accompagnée, elle aussi, par une annonce identique : sept ans de mises à jour majeures pour Android. Jusqu’aux S23, cette période était de cinq ans. Il s’agissait là encore d’un bond important. Tous les ordinateurs ne peuvent pas en dire autant, y compris certains Mac.

Apple confirme un support de « cinq ans minimum »

L’annonce du Pixel 8 n’était pas passée inaperçue. À la faveur cependant d’un changement réglementaire au Royaume-Uni, la comparaison s’installe. Le Product Security and Telecommunications Infrastructure Bill, ou PSTI, impose en effet plusieurs mesures, dont l’interdiction des mots de passe par défaut et des obligations de transparence. Parmi ces dernières, celle d’indiquer précisément la durée de support logiciel pour les produits connectés à internet, smartphones en tête.

C’est dans ce contexte qu’Apple a révélé, au sein d’une déclaration de conformité au gouvernement britannique, que cette durée était de « cinq ans minimum à compter de la première date de commercialisation » pour ses iPhone.

Dave Kleidermacher, vice-président de l’ingénierie chez Google, a immédiatement réagi :

« Pendant des années, l’iPhone a eu la réputation d’avoir une durée de vie de support plus longue que celle d’Android. Pourtant, Apple ne s’est jamais engagée à offrir une durée de vie minimale à l’achat. Grâce à la réglementation PSTI du gouvernement britannique […], Apple a finalement publié un engagement de durée d’achat – cinq ans – deux ans DE MOINS que les produits phares de Google (Pixel) et de Samsung »

Temps mort

Techniquement, la déclaration de Dave Kleidermacher est juste. Il ajoute cependant :

« Les consommateurs méritent de connaître les durées de vie minimales du support de sécurité pour leurs appareils électroniques grand public au moment de l’achat, et bravo au gouvernement britannique pour avoir imposé cette transparence. Apple a le mérite de fournir des mises à jour de sécurité pendant plus de 5 ans, et ce depuis longtemps. Mais il est temps de reconnaître qu’iOS n’offre plus les meilleures durées de vie en matière de sécurité dans l’industrie des smartphones. C’est Android qui le fait ».

Rappelons quand même quelques éléments de contexte. D’une part, c’est la première fois que des appareils Android sont supportés aussi longtemps, à l’exception (très) notable et logique du Fairphone 5. Et les seuls appareils supportés sont les Pixel 8 (tous les modèles) et la gamme Galaxy S24 de Samsung. Il s’agit donc de haut de gamme, voire de très haut de gamme, pour des appareils comme le Pixel 8 Pro ou le Galaxy S24 Ultra.

D’autre part, Apple parle d’un support minimal de cinq ans. En pratique, de nombreux appareils ont été mis à jour pendant six ou sept ans, comme le rappellent nos confrères d’iGeneration. Il est arrivé également à Apple de diffuser des mises à jour de sécurité pour des appareils qui n’étaient plus censés en recevoir. En janvier par exemple, pour les iPhone 6s, 7, SE, 8 et X, des appareils ayant entre 7 et 9 ans. L’iPhone XR, sorti en 2018, tourne actuellement sous iOS 17.5, soit la dernière révision du système. Le Pixel 4a, sorti il y a quatre ans, n’aura pas droit à Android 15.

Enfin, cette période de cinq ans minimum est valable pour l’ensemble des modèles, pas uniquement les derniers ou le haut de gamme. Mais Apple ne fait pas non plus d’entrée de gamme, du moins pas de smartphone à moins de 200 euros, alors qu’ils sont légion sur Android. Un marché que Google a largement contribué à créer.

Les smartphones, ces produits jetables

Que des entreprises prennent enfin au sérieux un critère aussi important est une très bonne raison de se réjouir. Un support logiciel limité expose non seulement la clientèle aux dangers d’un système d’exploitation laissé sans correctifs de sécurité, mais engendre une consommation accrue de ressources.

Les smartphones sont encore trop souvent considérés comme des produits presque jetables. Les constructeurs en font leur beurre, la plupart des gammes étant renouvelées chaque année. Et chaque année, il faut trouver des raisons de motiver cette même clientèle à changer d’appareil. Limiter les mises à jour d’Android – et donc l’arrivée de fonctions majeures – était un moyen parmi d’autres. C’est néanmoins moins vrai depuis plusieurs années, car les versions se succèdent sans gros changements pour les utilisateurs.

Google et Samsung sont les premiers gros fabricants à proposer sept ans pour leurs appareils. Mais il faut encore que la pratique s’étende et fasse tache d’huile. Consciente que ses « partenaires » ne jouent pas le jeu, Google passe certaines mises à jour importantes par le Play Store. Mais même ainsi, cela ne règle pas tous les soucis et tous les fabricants doivent jouer le jeu.

Le grand cirque va devoir prendre fin

D’autre part, l’Europe s’apprête à sonner la fin de la récréation. Le 20 juin entrera en vigueur une extension du règlement sur l’économie circulaire. Elle introduira notamment la note de réparation et l’obligation de transparence sur certains aspects. Surtout, elle obligera les constructeurs à proposer des mises à jour logicielles pendant au moins cinq ans après mise sur le marché. Ce qui signifie en pratique six ou sept ans de mises à jour dans la plupart des cas.

Attention, on parle bien de mises à jour de sécurité. Dans l’absolu, rien ne forcera les constructeurs à proposer de nouvelles versions majeures de leur système. Mais l’important concerne bien la sécurité, afin qu’un appareil gardé durant plusieurs années continue d’être protégé. D’autant que le règlement concernera l’intégralité des appareils mis sur le marché après cette date (le changement n’est pas rétroactif).

Il est probable que cette bascule aura un impact important sur la manière dont les constructeurs mettent des appareils sur le marché. L’entretien s’avérant mathématiquement plus couteux, l’une des voies serait le resserrement des gammes et donc la réduction du nombre de modèles proposés. Mais il n’est pas certain que cette perspective enchante particulièrement les entreprises : la durabilité n’est pas toujours retenue comme argument fort dans les stratégies commerciales.

Schrems vs Meta, a neverending story

L’association autrichienne noyb a déposé 11 plaintes contre Meta auprès d’autant d’autorités chargées de la protection des données en Europe, dont la CNIL. Elle demande à la multinationale d’arrêter immédiatement l’utilisation abusive des données personnelles des utilisateurs de Facebook et Instagram pour l’entrainement de ses IA tel que le prévoit sa nouvelle « Politique de confidentialité ».

L’association de Max Schrems a annoncé avoir déposé 11 plaintes en Europe (en Autriche, Belgique, France, Allemagne, Grèce, Italie, Irlande, Pays-Bas, Norvège, Pologne et Espagne) contre la nouvelle politique de confidentialité de Facebook et Instagram mise en place par Meta, concernant l’utilisation de toutes les données des utilisateurs pour entrainer les IA de la multinationale.

Depuis fin mai, les utilisateurs européens de ces réseaux sociaux ont reçu un email dont le sujet est « nous mettons à jour notre Politique de confidentialité à mesure que nous développons l’IA de Meta ». Ce message indique qu’à partir du 26 juin 2024, l’entreprise s’appuiera désormais sur la base légale des « intérêts légitimes » de Meta pour utiliser les informations de ses utilisateurs « pour développer et améliorer l’IA de Meta ».

Cette décision de Meta a fait réagir certains utilisateurs de ses réseaux sociaux où on a pu voir des chaînes de protestation se mettre en place :

Un formulaire dissuasif

Plus clairement, l’entreprise s’autorise à partir de cette date à utiliser les données (contenus publiés mais aussi données personnelles) de ses utilisateurs collectées depuis la création de leurs comptes pour entrainer ses intelligences artificielles. Un seul moyen d’y échapper : cliquer sur le lien situé au milieu du message expliquant que « cela signifie que vous avez le droit de vous opposer à l’utilisation de vos informations à ces fins » et remplir le formulaire auquel il renvoie.

Et encore, Meta y demande d’ « expliquer l’incidence de ce traitement sur vous » et suggère donc qu’elle pourrait refuser d’accéder à la demande. « Alors qu’en théorie, l’opt-out pourrait être mis en œuvre de telle sorte qu’il ne nécessite qu’un seul clic (comme le bouton « se désinscrire » dans les newsletters), Meta rend extrêmement compliqué le fait de s’y opposer, même pour des raisons personnelles », s’indigne noyb dans son communiqué.

L’association estime aussi que « bien que le choix logique soit celui d’un consentement explicite (opt-in), Meta prétend à nouveau qu’elle a un « intérêt légitime » qui l’emporte sur les droits fondamentaux des utilisateurs ».

noyb rappelle que l’entreprise a déjà voulu s’appuyer sur son « intérêt légitime » pour utiliser les données personnelles de ses utilisateurs pour mettre en place son système de publicités ciblées, mais que la Cour de justice de l’Union européenne a rejeté l’utilisation de cette base légale.

Meta utilise aussi une phrase très vague et très générale pour signaler ce qu’elle s’autorise à faire : « l’IA chez Meta est notre collection de fonctionnalités et d’expériences d’IA générative, comme les outils de création IA et Meta AI, ainsi que les modèles qui les alimentent ». Telle que nous la comprenons, l’entreprise s’autorise à utiliser ces données pour entrainer toutes ses IA.

Dans ses plaintes, noyb accuse Meta d’avoir « pris toutes les mesures nécessaires pour dissuader les personnes concernées d’exercer leur droit de choisir », et de ne pas avoir donné les informations nécessaires à ses utilisateurs.

Aucun intérêt légitime

Elle y estime tout bonnement que Meta « n’a aucun « intérêt légitime » qui prévaut sur les intérêts » des plaignants qu’elle accompagne et « aucune autre base légale pour traiter des quantités aussi importantes de données à caractère personnel pour des finalités totalement indéterminées ».

Elle pointe le fait que l’entreprise « tente en réalité d’obtenir l’autorisation de traiter des données à caractère personnel pour des moyens techniques larges et non définis (« technologie d’intelligence artificielle ») sans jamais préciser la finalité du traitement en vertu de l’Article 5(1)(b) du RGPD ».

Données mises à la disposition de n’importe quel « tiers »

Elle ajoute que l’entreprise n’est même pas « en mesure de différencier correctement entre les personnes concernées pour lesquelles elle peut s’appuyer sur une base légale pour traiter les données à caractère personnel et les autres personnes concernées pour lesquelles une telle base légale n’existe pas ». De même, elle lui reproche de ne pas être capable de faire la différence « entre les données à caractère personnel qui relèvent de l’Article 9 du RGPD [qui pose une interdiction de principe des traitements relatifs à l’origine raciale ou ethnique, aux opinions politiques, convictions religieuses ou philosophiques ou à l’appartenance syndicale, ndlr] et les autres données qui n’en relèvent pas ».

Enfin, l’association pointe le fait que « Meta déclare elle-même que le traitement des données à caractère personnel est irréversible et qu’elle n’est pas en mesure de respecter le « droit à l’oubli » ».

Pour Max Schrems, « Meta dit en substance qu’elle peut utiliser « n’importe quelle donnée provenant de n’importe quelle source pour n’importe quel usage et la mettre à la disposition de n’importe qui dans le monde », à condition que ce soit par le biais d’une « technologie d’intelligence artificielle ». Cela est clairement non conforme au RGPD. L’expression « technologie d’IA » est extrêmement large. Tout comme « l’utilisation de vos données dans des bases de données », il n’y a pas de limite légale réelle ».

Il ajoute que « Meta précise également que les données des utilisateurs peuvent être mises à la disposition de n’importe quel « tiers », c’est-à-dire n’importe qui dans le monde ».

Accord avec l’autorité irlandaise

Interrogée par le média irlandais The Journal, l’autorité de protection irlandaise DPC dont dépend Meta (son siège européen étant à Dublin) a expliqué que l’entreprise a retardé le lancement de cette nouvelle politique de confidentialité « à la suite d’un certain nombre de demandes de la DPC qui ont été traitées ».

L’autorité irlandaise indique que « Meta affiche maintenant une notification dans sa barre de navigation, a ajouté des mesures de transparence supplémentaires (des articles dans le « AI privacy center ») et un mécanisme dédié d’opposition ». Enfin, l’autorité insiste sur le fait d’avoir obtenu que Meta attende quatre semaines entre la notification aux utilisateurs et la date du premier entrainement avec ces données.

Elle ajoute que Meta l’a assurée « que seules les données personnelles des utilisateurs basés dans l’UE (posts et non commentaires) partagées publiquement sur Instagram et Facebook au moment de l’entrainement seront utilisées et que cela n’inclura pas les données personnelles provenant de comptes appartenant à des utilisateurs de moins de 18 ans ».

Pour noyb, cela signifie que « cette violation flagrante du RGPD est (de nouveau) basée sur un « accord » avec la DPC. Celle-ci a déjà conclu un accord avec Meta qui a permis à l’entreprise de contourner le RGPD – et qui s’est soldé par une amende de 395 millions d’euros contre Meta après que le Conseil européen de la protection des données (EDPB) a annulé la décision de la DPC irlandaise ».

Interrogée par email par Next, Meta n’a pas encore répondu à nos questions.