L’agence américaine NOAA, qui a en charge notamment des données sur le climat et la météorologie, s’apprête à supprimer une quantité importante de sites internet via une simple annulation d’un contrat avec des hébergeurs cloud.

De nombreux sites de la NOAA, l’agence d’observation océanique et atmosphérique qui s’occupe aussi des données météorologiques aux États-Unis, vont sans doute devenir inaccessible dès ce week-end. En cause ? Un contrat de prestations d’hébergement dans divers cloud a été annulé par sa direction, selon Bloomberg.

Cette agence est, comme de nombreuses agences fédérales américaines et notamment les agences scientifiques, visée par le DOGE et l’administration de Donald Trump depuis son retour au pouvoir. Elle s’est déjà séparée de certains de ses locaux et par deux fois d’une partie de son personnel.

• DOGE : une nouvelle déferlante désorganise les agences scientifiques américaines

Elle semble aussi particulièrement visée pour son rôle extrêmement important dans l’information sur le climat et la météorologie. Bloomberg explique qu’un contrat signé pour l’ensemble du bureau de la recherche océanique et atmosphérique de l’agence a été visé pour une « résiliation anticipée », selon des documents internes que le média a pu consulter.

Les services d’Amazon, de Google et de WordPress sur le point d’être coupés

« En conséquence, la quasi-totalité des sites web externes dépendant des services d’Amazon, de Google et de WordPress sont sur le point de disparaître tôt samedi matin à Washington, effaçant ainsi de la vue du public l’essentiel du travail de l’unité, qui comprend la recherche en sciences du climat et de l’environnement », explique notre consœur Lauren Rosenthal. La NOAA n’a pas répondu à sa demande de commentaire.

Cette information fait mouche avec une alerte lancée sur le forum du projet Safeguarding Research & Culture. Celui-ci émane de la volonté de certains chercheurs, notamment l’historien allemand Henrik Schönemann de l’université de Humboldt à Berlin, de créer « une infrastructure alternative pour l’archivage et la diffusion du patrimoine culturel et des connaissances scientifiques ». L’alerte concerne une cinquantaine de sites de la NOAA et on y retrouve rien de moins que le site de l’agence dédié à la recherche : https://research.noaa.gov/.

« Ce qui est prévu d’être supprimé, ce sont les services basés sur AWS pour la NOAA », expliquent les chercheurs, évoquant une mise hors-ligne dès ce vendredi soir. Mais des questions se posent aussi sur les données ouvertes hébergées elles aussi sur AWS.

Selon une note interne obtenue par Bloomberg, la résiliation du contrat pourrait aussi affecter d’autres activités de recherche de l’agence : le laboratoire qui surveille les tempêtes « sévères » pour le pays (le National Severe Storms Laboratory) et celui chargé de l’innovation en climatologie (le Earth Prediction Innovation Center) utilisent des services de cloud computing externes pour un système de prévisions météorologiques à grande échelle.

Le réseau national de l’agence menacé aussi

Les chercheurs de l’agence ont d’autres raisons d’être préoccupés : deux autres contrats arrivent à leurs fins concernant le support de N-Wave, son réseau national qui « s’étend sur toute la zone contiguë des États-Unis jusqu’à l’Alaska et Hawaï, atteignant les sites de terrain éloignés, les grands campus, les centres de données et les installations de supercalculateurs ». Ils sont déjà sous le coup d’une extension très brève de cinq jours qui doit se terminer samedi pour l’un et lundi pour l’autre, selon Bloomberg.

Amazon a présenté hier soir une fonction nommée « Buy for me », destinée à simplifier encore un peu plus les achats. Contrairement à d’autres agents IA que l’on a pu voir jusqu’à présent, notamment chez Opera, il n’est pas question cette fois d’écrire une demande et de laisser l’intégralité du processus de découverte et d’achat à un agent.

• C’est quoi l’IA agentique ?

Cette fonction, disponible en bêta pour un petit groupe de personnes aux États-Unis, a un périmètre nettement plus restreint. Comme l’indique Amazon dans son billet, « Buy for me » veut simplifier les achats pour des produits présentés par la boutique Amazon, mais disponibles depuis d’autres, notamment les sites officiels des entreprises concernées.

La fonction, présente dans les applications Android et iOS, s’affiche sous forme d’un bouton dédié, accompagnant certains résultats. S’il est actionné par l’internaute, il lance une procédure d’achat sur le site officiel du fabricant, de manière automatisée.

Mais si cette fonction est plus restreinte dans ses cas d’usage, elle demande une grande confiance en Amazon. Car contrairement à ce que l’on a déjà pu voir, c’est toute la procédure d’achat qui se retrouve gérée par l’agent, y compris le paiement. Ce qui suppose que l’IA accède aux informations de la carte bancaire. L’achat est considéré comme externe. « La livraison, les retours et les échanges, ainsi que le service client sont gérés par la boutique de la marque », précise Amazon.

Le géant du commerce en ligne précise dans son billet que ces opérations sont chiffrées et qu’il n’accède pas aux données des autres sites. Il affirme qu’il ne tient aucun historique de ces actions et qu’il s’agit simplement d’apporter une commodité. En outre, la présence de cette fonction sur des produits se fait à la demande des fabricants et Amazon assure que les clients peuvent observer toutes les étapes d’un processus décrit comme « transparent ». Le tout repose sur Amazon Bedrock et utilise le modèle Nova maison, ainsi que les modèles Claude d’Anthropic (dont la version 3.7 est sortie fin février), sans plus de précision.

« Gagner la confiance est la pierre angulaire du succès des agents d’IA », déclare Amazon dans son billet. À voir désormais si la clientèle se laissera séduire par un processus automatisé impliquant des informations bancaires. Ajoutons que ce n’est pas la première fois qu’Amazon tente ce type d’approche automatisée. En 2018, nous avions ainsi testé la commande de pizza via Alexa, avec des résultats particulièrement décevants.

L’éléphant dans la pièce

Il n’y a pas que les datacenters qui façonnent le monde à cause de leur consommation électrique. La climatisation aussi est fortement consommatrice d’électricité… et cela ne va pas aller en s’arrangeant.

L’arrivée de l’IA générative a bousculé le numérique et soulève de nombreuses questions (droit d’auteur, éthique, biais, hallucinations…). Se pose aussi la question de l’empreinte écologique de datacenter toujours plus gros, partout dans le monde, avec des GPU toujours plus puissants.

La douce/triste « folie » de l’IA générative

Le tout avec une consommation électrique toujours plus importante, sur des zones bien précises. L’augmentation de la densité électrique par baie et l’expansion des datacenters posent d’ailleurs des contraintes sur le choix de l’emplacement physique alloué à ces derniers.

• En France, on a de l’électricité pour les datacenters, mais…

Avec les images et les vidéos de l’IA générative, on passe encore dans une autre dimension. Les chiffres de l’utilisation des IA peuvent donner le tournis, preuve en est encore récemment avec un tweet de Brad Lightcap (COO d’OpenAI) : « Première semaine de folie pour les images dans ChatGPT : plus de 130 millions d’utilisateurs ont généré plus de 700 millions (!) d’images ». Il se garde d’ailleurs bien de détailler l’empreinte environnementale d’une telle utilisation.

Bientôt 1 000 TWh pour les datacenters ?

Dans un rapport publié fin 2024, l’Agence internationale de l’énergie atomique (IAEA, sous l’égide de l’ONU) expliquait que « les datacenters avaient consommé environ 460 TWh d’électricité en 2022. Cette consommation pourrait s’élever à plus de 1 000 TWh d’ici 2026, soit plus d’un tiers de l’électricité produite par les centrales nucléaires du monde entier l’année dernière, et à peu près l’équivalent de la consommation d’électricité du Japon ». À titre de comparaison, en 2023, la consommation d’électricité en France était de 445,4 TWh.

L’Agence donne quelques chiffres d’anticipation. En Chine, la demande devrait doubler pour atteindre 400 TWh en 2030. En Irlande, la consommation des datacenters (5,3 TWh) représentait 17 % du total du pays et devrait atteindre 32 % d’ici fin 2026. Elle ajoute au passage que la consommation cumulée d’Amazon, Microsoft, Google et Meta « a plus que doublé entre 2017 et 2021 pour s’établir à environ 72 térawattheures (TWh) ».

Par exemple, pour Meta, la consommation des datacenters était de 14,975 TWh en 2023, contre 6,966 TWh en 2020. Elle a donc quasiment doublé en trois ans.

« On devrait parler davantage de climatisation »…

Dans un article publié sur MIT Review, Casey Crownhart (journaliste spécialisée sur le climat et l’énergie) explique que l’on « devrait parler davantage de climatisation ». Elle met cette problématique (bien moins médiatisée) en balance avec la consommation des datacenters largement plus présente dans les débats. Avec ce sous-titre volontairement provocateur : « oubliez les datacenters, la climatisation est la véritable bête noire »

Elle commence par rappeler le cercle vicieux de la climatisation et du réchauffement climatique : « À mesure que les températures augmentent, le besoin en refroidissement augmente. De plus en plus de centrales électriques à combustibles fossiles sont alors mises en service pour répondre à cette demande, augmentant ainsi la température de la planète ».

…qui représente 2 000 TWh, et plus 5 000 TWh en 2050 ?

Selon une étude publiée mi-2024 par l’organisation à but non lucratif Our World in Data (qui travaille en partenariat avec l’université d’Oxford), sur l’année 2022 « la climatisation représentait 7 % de l’électricité mondiale et 3 % des émissions de carbone ». Sur la base d’une consommation mondiale de 29 000 TWh en 2022, la climatisation représenterait un peu plus de 2 000 TWh. À mettre en face des 460 TWh des datacenters.

Selon une projection de l’Agence internationale de l’énergie (IEA, une organisation internationale fondée à l’OCDE), le nombre de climatiseurs devrait fortement augmenter dans les années à venir. De 2 milliards d’unités à la fin des années 2010, elle prévoit près de 3 milliards en 2030 et plus de 5 milliards en 2050. À ce moment-là, la consommation électrique pourrait grimper entre 3 500 et 5 000 TWh.

La Chine dope la croissance, l’Europe n’est pas en reste

Comme le rappelle Le Monde, les évolutions sont variables selon les continents : « Le nombre de ménages africains équipés en climatisation n’a enregistré qu’une très faible hausse au cours des vingt dernières années, passant de 4 % à 6 % aujourd’hui. Dopée par la Chine, l’Asie a en revanche vu son taux d’équipement exploser de 19 % à 47 % sur la même période ». En Europe, la proportion de ménages équipés d’une climatisation pourrait doubler et atteindre 40 % (55 % en France) d’ici 2050.

Les climatiseurs, contrairement aux datacenters, ont tendance à s’allumer à peu près en même temps dans une zone. « Dans certaines régions des États-Unis, par exemple, les climatiseurs peuvent représenter plus de 70 % de la demande d’énergie résidentielle aux moments où le réseau est le plus sollicité », affirme Casey Crownhart. Les climatiseurs sont répartis un peu partout alors que les datacenters concentrent la consommation en certains points précis (nécessitant des lignes dédiées). Signalons aussi que certains datacenters ont recours à la climatisation.

Notre consœur termine quand même par une bonne nouvelle : « nous assistons à des innovations dans la technologie de refroidissement ». Elle explique que certains proposent par exemple un stockage de l’énergie pour se recharger lorsque l’énergie est disponible à bas coût, et de nouvelles technologies de refroidissement. Cela ne suffira certainement pas à combler la hausse prévue de la consommation de la climatisation.

Encore une bonne intention ?

Ces derniers temps, on parle beaucoup d’une initiative baptisée « EU OS ». Il s’agirait d’une distribution Linux développée par l’Union européenne pour ses propres besoins. EU OS n’est cependant pas un système existant, ni même un projet de l’Union.

EU OS est un nom générique, choisi à dessein par Robert Riemann, auteur de l’initiative. Ce physicien et informaticien travaille actuellement dans l’équipe du Contrôleur européen de la protection des données (CEPD), un organe indépendant établi par le Règlement général sur la protection des données (RGPD) pour veiller à son application cohérente au sein de l’Union. Riemann est en quelque sorte aux premières loges sur les questions de souveraineté numérique.

Son initiative est centrée sur ce thème. Elle est personnelle – dans le sens où elle n’émane pas officiellement d’une instance européenne – mais est conçue pour attirer l’attention. Elle est en outre suffisamment étoffée dans sa vision pour interroger les éventuelles bonnes volontés. Même si certains choix peuvent sembler curieux, voire bloquants.

De quoi parle-t-on ?

EU OS est présenté comme un projet. L’auteur est cependant transparent sur les objectifs : c’est un proof-of-concept (démonstration de faisabilité) visant à explorer l’idée d’un système d’exploitation souverain pour les instances publiques de l’Union européenne. Comme Robert Riemann l’indique, EU OS « n’est techniquement pas un nouveau système d’exploitation »

Les motivations à lancer un tel projet ne manquent pas, selon lui. L’expression « argent public – code public » est au cœur de sa démarche. L’investissement public doit ainsi profiter au plus grand nombre, l’argent des contribuables ne devant pas servir à payer des licences de produits propriétaires. Il estime que les « effets de synergie » permettront des économies puisqu’il ne sera plus question de payer des coûts de licence par siège.

Il est également beaucoup question d’indépendance. D’abord, à l’égard des entreprises du privé, qui ne pourraient plus dicter leurs conditions. Ensuite sur la manière dont les migrations sont envisagées, sur le logiciel comme sur le matériel. Bien que le cas ne soit pas nommé, il est probable que la fin de vie de Windows 10 serve ici d’exemple emblématique du problème pointé. Un organisme public pourra ainsi choisir quand et comment migrer.

Bien sûr, l’ouverture du code est centrale, permettant à chacun de se lancer dans sa propre analyse. Même chose pour l’utilisation de normes ouvertes. L’initiative bénéficierait aussi de la communauté mondiale du logiciel libre.

La faisabilité d’accord, mais sur quelle base ?

Le site du projet rappelle que ce type d’initiative n’a rien de nouveau, même si l’aventure n’a encore jamais été tentée au niveau européen. La distribution française Gendbuntu, basée sur Ubuntu et utilisée par la gendarmerie française, est citée en exemple. D’autres sont citées, comme LiMux à Munich, mais dont l’aventure s’est terminée en 2017, quand la municipalité a décidé de revenir à Windows.+ 1 Linux est également dans la liste, distribution développée par le land allemand Schleswig-Holstein, de même qu’Astra Linux pour la Russie et Kylin pour la Chine. Pour l’auteur de l’initiative, c’est la preuve évidente qu’un déploiement de Linux à grande échelle n’a rien d’impossible.

Et pour l’Europe, que propose Robert Riemann ? Une base Fedora accompagnée de l’environnement KDE. Le choix a de quoi surprendre : quitte à viser la souveraineté et donc l’indépendance, pourquoi promouvoir une distribution qui, si elle est effectivement libre, est le laboratoire à ciel ouvert de Red Hat, une société américaine ?

• La souveraineté numérique face à la réalité du terrain

Robert Riemann s’en explique dans une FAQ. De 2007 à 2024, il a lui-même utilisé openSUSE, distribution soutenue par SUSE, une société allemande. Il indique également s’être servi de Debian au département universitaire, et de Scientific Linux dans un département de recherche. Pour son utilisation personnelle, il s’est penché en 2024 sur openSUSE Kalpa, mais a finalement choisi une variante spécifique de Fedora : Kinoite.

Kinoite, dont nous avons déjà parlé, est un système Linux immuable. Il estime que cet aspect du système est essentiel dans le cadre d’une distribution publique, car elle permet une sécurité accrue et offre une plus grande fiabilité dans la gestion des mises à jour. Les images déployées peuvent être signées, avec possibilité de contrôler finement ce qui est installé et quand.

Le choix de Fedora tient compte d’un ensemble de paramètres, dont l’utilisation de rpm-ostree, un système hybride images/paquets. On le retrouve dans des distributions immuables basées sur Fedora comme les spins Atomic, CentOS Stream, Alma Linux et Rocky Linux. Robert Riemann dit également avoir reçu des conseils de la communauté, du CERN, de la Commission européenne, du centre allemand pour la souveraineté numérique ou encore d’openSUSE (qui en a d’ailleurs fait un billet de blog le 26 mars).

Des spécifications précises

Ce billet est intéressant, car l’équipe y estime le projet EU OS comme « mature » par son approche et la liste des caractéristiques. Le choix de Fedora Kinoite est à la fois considéré comme argumenté et présentant des risques. Pour openSUSE, il serait plus judicieux de prendre tout de suite en compte des alternatives comme Aeon (GNOME) ou sa propre distribution Kalpa, qui poursuit les mêmes objectifs que Kinoite. Le critère commun ? L’immuabilité.

Sur le site d’EU OS, d’autres spécifications sont d’ailleurs données. Il faut pouvoir par exemple proposer des dossiers synchronisés, qu’ils soient partagés ou spécifiques à l’utilisateur. Une attention particulière doit être portée à la gestion des e-mails et calendriers. Ce peut être à travers le tandem KOrganizer-Kmail (donc KDE), Thunderbird ou un webmail comme OpenExchange.

Parmi les autres spécifications, il y a également l’intégration avec des services d’impression, une gestion des mots de passe avec intégration dans le navigateur, un outil de compression multiformat (7zip est proposé), la possibilité de déployer des applications depuis un catalogue (comme Flathub), une gestion centralisée des appareils (notamment pour le traitement des correctifs), une intégration avec un service d’annuaire, un déploiement automatique des certificats personnalisés, un système automatisé pour les sauvegardes, la prise en charge du chiffrement intégral du disque, la compatibilité avec SELinux, et ainsi de suite.

La liste est longue, d’autant qu’elle contient aussi des exigences non fonctionnelles. Elles concernent surtout la philosophie du projet, avec des conséquences concrètes sur la sécurité. Par exemple, le caractère open source du projet ou l’utilisation de méthodes DevOps modernes, « pour des constructions reproductibles ». Le système doit répondre aux besoins de l’Union européenne et doit pouvoir fonctionner sur du matériel datant de Windows 7.

Et, bien sûr, EU OS doit prendre en compte dès le départ l’ensemble des cadres juridiques européens pertinents et normes associées : RGPD, NIS 2, Cyber Resilience Act, ISO 27001. SecNumCloud, la certification de l’ANSSI, est même mentionnée, « si applicable ».

• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat

Un vieux sujet

Il semble que l’ouverture du dépôt GitLab associé ait été faite aux alentours de Noël dernier. Pourquoi à ce moment-là ? Une question de contexte, sans doute, entre les dernières élections européennes et la pétition lancée en novembre dernier pour faire réagir les instances européennes.

Cette pétition, enregistrée sur le site du Parlement européen, enjoignait l’Europe à se doter de sa propre distribution souveraine. Les avantages d’une telle solution étaient considérés comme « évidents », comme l’indépendance, les économies réalisées, la transparence du processus, la sécurité associée, etc. Pour en finir avec la dépendance aux solutions propriétaires. Sujet relancé en France ces derniers temps, notamment avec le contrat signé par Polytechnique avec Microsoft.

• L’école Polytechnique veut migrer sur Microsoft 365 et déclenche un tollé

Pour autant, comme nous le rappelait alors l’ingénieur Stéphane Bortzmeyer, la souveraineté par le système d’exploitation est un vieux sujet, sans que rien n’ait jamais vraiment bougé au niveau étatique. Et ce, malgré des réussites comme la migration de la gendarmerie française vers une version modifiée d’Ubuntu pour 70 000 postes.

L’initiative, cette fois, émane d’une personne clairement identifiée et ayant une expérience réelle avec le monde Linux. Le site donne de nombreux détails et pose une vision claire. Dans un contexte de guerre commerciale ouverte avec les États-Unis, déclenchée par le gouvernement américain via des droits de douane massifs, le projet est à suivre de près. Sinon, il aura eu le mérite de donner un aperçu plus précis de ce que devrait être une distribution européenne.

L’acquisition de 50 % du capital d’OpCore par le fonds d’infrastructure français InfraVia est désormais finalisée. « À travers ce partenariat, le Groupe iliad et Infravia vont doter OpCore d’une structure financière à même de libérer ses perspectives d’hypercroissance par le développement de nouveaux datacenters de plusieurs centaines de mégawatts en France et en Europe. Plusieurs projets de construction sont déjà en cours », indiquent les deux entreprises, déjà partenaires de longue date dans les investissements autour de la fibre, dans un communiqué commun.

L’opération, initialement annoncée le 4 décembre dernier, valorise l’entreprise à hauteur de 860 millions d’euros. Elle confère à OpCore (anciennement Scaleway Datacenter) une structure financière et un accès à de nouveaux fonds propres qui doivent permettre à l’entreprise d’aller plus facilement lever de la dette bancaire pour financer la création de ses futurs centres de données. Elle permet dans le même temps à iliad de réduire son endettement, sans perdre le contrôle d’une activité considérée comme stratégique.

« Nous allons investir avec notre partenaire InfraVia 2,5 milliards d’euros dans notre plateforme de datacenters OpCore pour devenir la première plateforme indépendante européenne », promettait à cette occasion Thomas Reynaud, directeur général du groupe iliad.

En France, OpCore revendique à ce stade plus de 50 MW de capacités opérées à ce jour sur cinq datacenters en région parisienne, ainsi que deux en région lyonnaise et un en région marseillaise, commercialisés sous la marque Free Pro.

Pwnd

Le groupe de pirates Lazarus, lié à l’état nord-coréen, a mis en place un système de piratage visant le monde de la cryptomonnaie, notamment en organisant de faux entretiens d’embauche et en poussant à l’installation de logiciels malveillants via des techniques de social engineering.

En octobre dernier, nous nous étions faits l’écho de la propagation d’une arnaque au recrutement qui cible les développeurs amateurs de crypto. Les soupçons se tournaient vers Lazarus, groupe de pirates nord-coréen auquel est aussi attribué l’immense vol de cryptoactifs, d’une valeur approchant 1,5 milliard de dollars, révélé en février dernier.

L’éditeur de logiciel de cybersécurité français Sekoia confirme dans un rapport que le groupe de pirates est à l’origine d’une campagne d’arnaque au recrutement de ce type. « Il utilise des sites web d’entretiens d’embauche légitimes pour exploiter la tactique ClickFix et installer des portes dérobées pour Windows et macOS », explique l’entreprise française.

Le ClickFix est une tactique d’ingénierie sociale qui « consiste à afficher de faux messages d’erreur dans les navigateurs web pour tromper les utilisateurs et les inciter à copier et à exécuter un code PowerShell malveillant donné, ce qui finit par infecter leurs systèmes », expliquait Sekoia en octobre dernier. Détectée en mai 2024, cette tactique est déjà qualifiée de « tristement célèbre » par Sekoia.

Windows et MacOS, deux variantes

Selon l’entreprise de sécurité, la chaine d’infection utilisée par Lazarus ciblerait les systèmes d’exploitation Windows et MacOS de deux façons différentes. Sur le premier, le groupe de pirates passerait par un script VBS puis un script NodeJS et sur le second via un script Bash puis le malware FrostyFerret pour récupérer le mot de passe système. Mais à la fin, ils utiliseraient un virus, nommé GolangGhost par Sekoia, écrit en GO. Ce code a déjà été partiellement étudié par les spécialistes de cybersécurité Sonatype et dmpdump. Sekoia explique que GolangGhost est prévu pour fonctionner sur Windows et macOS et permet de mettre en place une porte dérobée puis de voler des données via Chrome.

Sous MacOS, FrostyFerret affiche une fausse fenêtre indiquant que le navigateur web Chrome a besoin d’accéder à la caméra ou au microphone. Ensuite, le malware demande à l’utilisateur de saisir le mot de passe du système. Celui-ci est ensuite récupéré et envoyé vers un espace Dropbox.

Essentiellement des acteurs de la CeFi utilisés comme appâts

En analysant cette attaque, Sekoia a récupéré 184 invitations différentes pour des entretiens d’embauche. Parmi ces invitations, elle a trouvé 14 noms d’entreprises utilisés pour inciter la victime à compléter le processus de demande. Parmi elles, Coinbase est celle dont le nom est le plus utilisé par Lazarus pour attirer l’attention de ses proies :

Sekoia fait remarquer que 9 des 14 entreprises « proposent des services financiers centralisés (CeFi), c’est-à-dire des services financiers construits autour des crypto-monnaies qui s’appuient sur des intermédiaires, tels que des échanges et des plateformes de prêt, pour faciliter les transactions ». L’entreprise de sécurité rappelle que « ces plateformes sont dites « centralisées » car elles obligent les utilisateurs à faire confiance à une entité centrale pour gérer les fonds, traiter les transactions et assurer la sécurité ». Archblock est la seule plateforme de services financiers décentralisés (DeFi) détectée par Sekoia comme cible de Lazarus.

Lazarus vise des profils moins tech

Mais si les développeurs amateurs de crypto sont ciblés, l’analyse de Sekoia montre qu’ils ne sont ni les seuls, ni la principale cible. En effet, l’entreprise explique qu’ « il s’agit principalement de postes de responsables axés sur le développement commercial, la gestion des actifs, le développement de produits ou de spécialistes de la finance décentralisée ». Et elle explique que c’est un changement important s’agissant des attaques de Lazarus qui, jusque-là, « visaient principalement les développeurs et les ingénieurs en informatique ».

Sekoia livre une liste des faux sites d’entretiens que l’entreprise a détectés :

Aie confiance, crois en moi, que je puisse veiller sur toi

OpenAI et Anthropic viennent tous deux de lancer une offensive en direction du monde universitaire outre-Atlantique. Le premier choisit de rendre son abonnement ChatGPT Plus gratuit pour tous les étudiants aux États-Unis et au Canada jusqu’au mois de mai. Le second mise sur la création d’une offre dédiée, Claude for Education.

Les étudiants d’aujourd’hui sont les professionnels de demain, et cette logique, qui explique en partie pourquoi des éditeurs comme Microsoft courtisent le monde de l’éducation, n’a pas échappé aux ténors de l’intelligence artificielle générative, comme l’illustrent deux annonces quasi simultanées.

ChatGPT Plus gratuit pour les étudiants… pendant deux mois

La première émane d’OpenAI, qui vient de lancer une offre d’essai promotionnelle dédiée à son abonnement payant, ChatGPT Plus. L’entreprise dirigée par Sam Altman offre aux étudiants deux mois d’accès gratuits (valables jusqu’au 31 mai 2025), sous réserve qu’ils soient inscrits dans un établissement supérieur, aux États-Unis ou au Canada. Le statut d’étudiant sera vérifié au travers du système SheerID, indique OpenAI.

Il appartiendra ensuite aux étudiants ayant souscrit l’abonnement de résilier avant le 31 mai ou, à défaut de s’acquitter du montant de l’abonnement, soit 20 dollars par mois. « Votre abonnement se renouvelle automatiquement au tarif mensuel standard de ChatGPT Plus, sauf résiliation. Si vous ne souhaitez plus continuer, veuillez résilier avant la première date de facturation suivant la période promotionnelle », avertit l’éditeur.

OpenAI cible ici directement l’utilisateur final, alors que l’entreprise mène en parallèle une politique de conquête commerciale tournée vers les établissements supérieurs avec une offre dédiée, ChatGPT Edu, qui propose notamment des possibilités plus poussées en matière d’administration, de sécurité et de création d’agents personnalisés.

Anthropic lance Claude for Education

Concurrent d’OpenAI avec ses modèles Claude, Anthropic lance justement sa propre offensive en la matière. L’entreprise a en effet annoncé mercredi le lancement de Claude for Education, une offre qui vise à fournir aux établissements supérieurs un accès personnalisé à ses outils d’IA générative. Anthropic promet notamment une « nouvelle expérience Claude qui guide le processus de raisonnement des élèves plutôt que de fournir des réponses, contribuant ainsi à développer des compétences de pensée critique ».

En attendant de voir ce que recouvre cette dernière, Anthropic ne cache pas son ambition de contribuer à améliorer le taux de pénétration de ses IA parmi le public des étudiants. Le lancement de Claude for Education s’accompagne ainsi d’accords commerciaux avec plusieurs grands campus (Northeastern University à Boston, London School of Economics and Political Science (LSE), Champlain College au Canada), dont les étudiants accèderont gratuitement aux outils d’Anthropic.

La société présente également un programme d’étudiants ambassadeurs, à qui elle promet un accès privilégié à ses équipes, mais aussi une formule de crédits gratuits pour les étudiants qui souhaiteraient élaborer leurs projets d’étude grâce à Claude. Anthropic annonce par ailleurs rejoindre à cette occasion le consortium Internet2 et collaborer avec la ed tech américaine Instructure pour interfacer Claude avec la plateforme d’apprentissage Canvas LMS.

Études : les bénéfices de l’IA toujours contestés

« L’IA change ce que signifie être paré à l’emploi et, en tant qu’établissement tourné vers l’avenir, Champlain offre aux étudiants la possibilité d’utiliser l’IA afin qu’ils puissent être opérationnels dès l’obtention de leur diplôme », se réjouit Alex Hernandez, président du Champlain College, cité par Anthopic.

Si la capacité à utiliser l’IA générative, comprendre leurs atouts et se prémunir de leurs limites constitue assurément un atout, plusieurs études alertent déjà sur les risques associés à l’omniprésence de ces outils dans les cursus étudiants. Des chercheurs de Microsoft, en partenariat avec l’université de Carnegie Mellon, ont par exemple récemment conclu que l’utilisation de l’IA générative contribuait à une diminution de l’esprit critique.

Dans son Journal, le CNRS se pose des questions existentielles autour de la conscience : « Quand commence-t-elle et où finit-elle ? Comment la mesurer ? Et l’IA en est-elle douée ? ». De quoi ouvrir de nombreux débats…

L’article s’articule autour de cinq questions avec des réponses de plusieurs chercheurs, notamment Catherine Tallon-Baudry, (directrice de recherche CNRS au Laboratoire de neurosciences cognitives computationnelles à Paris) et Jean-Rémy Hochmann (directeur de recherche CNRS à l’Institut des sciences cognitives Marc-Jeannerod).

La question des intelligences artificielles est évidemment abordée par le CNRS : « une intelligence artificielle (IA) pourrait-elle, à terme, être consciente ? Si l’on définit la conscience uniquement par la capacité à traiter l’information et à raisonner, certaines intelligences artificielles pourraient déjà être considérées comme conscientes. Mais si la conscience implique nécessairement une dimension organique, subjective et sensible, alors les machines en sont encore très loin ».

D’après le Journal, les chercheurs suggèrent que, chez les humains, « les structures de base, cognitives et neuronales, qui permettent la conscience sont déjà en place très tôt, peut-être dès la naissance ». Mais la conscience est-elle seulement dans le cerveau ? Catherine Tallon-Baudry soutient l’idée que « la conscience résulte d’une interaction complexe entre le cerveau et le corps – un aspect souvent négligé par les théories classiques », explique le CNRS.

Quoi qu’il en soit, n’attendez pas une réponse tranchée (il faudrait déjà s’accorder sur le sens précis de la question et des mots utilisés). L’article termine par une autre question : « une intelligence artificielle pourrait-elle un jour devenir consciente ? ». Vous avez deux heures.

• La conscience, un mystère à décoder

DDoS généré pour IA

Pour entrainer et tenir à jour leurs intelligences artificielles, les crawlers des entreprises d’IA parcourent le web en permanence et sont suspectés de ne pas respecter les fameux robots.txt censés permettre leur blocage. Leur activité va jusqu’à mettre en péril des sites web de projets de logiciels libres ou toucher fortement les activités de Wikimédia.

Les entreprises qui ont mis en place des IA génératives comme OpenAI, Meta, Anthropic, Mistral ou encore Amazon, Google et Microsoft ont besoin d’indexer des contenus sur le web en permanence pour entrainer leurs grands modèles de langage (LLM), récupérer les nouvelles informations afin que leurs outils soient capables de répondre aux demandes de leurs utilisateurs.

Un trafic difficile à gérer, même pour la fondation Wikimédia

Mais en venant en permanence sur les sites web, ils ajoutent du trafic important à leur bande passante, au point de saturer certains. La fondation Wikimédia a publié un billet pour expliquer à quel point ces robots ont un impact sur ses projets : « Notre infrastructure est conçue pour supporter des pics soudains de trafic d’origine humaine lors d’événements très intéressants, mais le volume de trafic généré par les robots scrapeurs est sans précédent et présente des risques et des coûts croissants ».

En effet, ces entreprises récupèrent ces contenus à l’aide de « crawlers », des robots d’indexation, ou plutôt ici de récupération de données. OpenAI a officiellement donné le nom de son robot, GPTBot, en aout 2023, suscitant immédiatement la réaction de RSF qui a rapidement invité « tous les médias à configurer leurs sites pour éviter qu’OpenAI ne récupère leur contenu gratuitement ». C’est ce qu’ont fait beaucoup de sites web.

Un blocage pas si efficace

Pour cela, il « suffit » de lister dans le fichier robots.txt de son site les robots dont on ne veut pas. Mais, comme l’ont démontré récemment des chercheuses, certains robots récupèrent des informations de sites qui, pourtant, les ont ajoutés dans leurs listes. De plus, l’outil d’IA générative de Microsoft, Copilot, utilise BingBot, le robot d’indexation du moteur de recherche de l’entreprise. Un site qui voudrait bloquer l’IA de Microsoft ne serait plus indexé dans le moteur de recherche Bing.

Et, comme on l’a vu récemment, certains sites peuvent être visités 2 millions de fois par un bot en un trimestre. Il est déjà difficile pour des infrastructures comme celles de la Fondation Wikimédia de faire face à cet afflux « artificiel » pour gérer sa bande passante, mais ça l’est encore plus pour des projets qui ont moins de moyens.

Certains expriment leur ras-le-bol

Plusieurs responsables de projets de logiciels libres se sont plaints du problème, expliquait récemment ArsTechnica. Le développeur Xe Iaso a, par exemple, exprimé son ras-le-bol en janvier face au crawler d’Amazon : « À la personne qui gère AmazonBot, veuillez ajouter git.xeserv.us à votre liste de domaines bloqués. Si vous connaissez quelqu’un chez Amazon, merci de lui transmettre ce message et de lui demander de le transmettre à l’équipe d’AmazonBot » alors qu’il avait radicalement bloqué tous les robots dans son fichier robots.txt.

TheLibre.News a aussi recensé plusieurs infrastructures de logiciels libres touchés par ce problème. Le GitLab des développeurs de KDE a, par exemple, été touché par des crawlers ayant des IP détenues par Alibaba, ce qui l’a rendu temporairement inaccessible. L’un des administrateurs systèmes du projet Pagure de Fedora a, lui aussi, constaté un afflux massif de robots de récupération de données venant du Brésil. Il explique avoir décidé de bloquer temporairement toutes les IP brésiliennes pour en venir à bout tout en sachant bien que ce n’était pas une solution de long terme.

Gergely Orosz, qui publie la newsletter The Pragmatic Engineer, explique sur LinkedIn que le site d’un de ses projets personnels qui déclinait a reçu récemment un trafic important « lorsque le crawler AI de Meta et d’autres bots comme Imagesiftbot ont commencé à crawler le site sans réfléchir : ça a poussé le trafic à plus de 700Go par mois » alors qu’il était aux alentours de 100Go par mois un peu avant.

« Le site est hébergé sur Render où 500Go/mois sont inclus, au-delà c’est 30 $ pour 100Go. Ce mois-ci, je paie donc 90 $ pour l’entrainement de ces LLM », commente-t-il. Et lui aussi pointe que « l’ironie est que les robots – y compris Meta ! – ignorent manifestement le fichier robots.txt du site qui leur dit de « s’il vous plait, restez à l’écart » ».

Drew DeVault, le fondateur de la plateforme d’outils open source Source Hut, a publié un billet de blog le 17 mars dernier demandant aux entreprises d’IA génératives d’ « arrêter d’externaliser [leur] coûts directement sur [lui] ». « Au lieu de travailler sur nos priorités à SourceHut, j’ai passé entre 20 et 100 % de mon temps à atténuer les crawlers LLM hyper-agressifs », s’y lamente-t-il. Il explique que Source Hut subit des « dizaines de brèves pannes par semaine » et qu’il doit chercher tous les jours de nouvelles solutions pour ne pas voir la situation empirer. Le même jour, son entreprise expliquait que des crawlers de LLM continuaient à provoquer un DDoS sur SourceHut.

Des solutions pour piéger les crawlers d’IA

Elle expliquait avoir décidé de déployer Anubis pour essayer de bloquer les bots des entreprises d’IA. « Ce logiciel présente à certains utilisateurs un défi de preuve de travail qui est résolu par le navigateur de l’utilisateur à l’aide de JavaScript », explique SourceHut. C’est en fait une solution qu’a développée Xe Iaso après avoir publié son ras-le-bol.

D’autres solutions commencent à être développées, notamment en essayant de piéger les IA dans un labyrinthe de liens. Nepenthes, par exemple. Sa documentation explique que le logiciel « fonctionne en générant des séquences infinies de pages, chacune contenant des dizaines de liens, qui retournent simplement dans un piège ». Nepenthes ajoute des petits détails comme un délai ou une fausse apparence de fichiers statiques pour tromper le crawler.

De son côté, Cloudflare a aussi pensé à une solution de labyrinthe, explique-t-elle dans un billet de blog. Celle-ci « utilise du contenu généré par l’IA pour ralentir, embrouiller et gaspiller les ressources des AI Crawlers et d’autres robots qui ne respectent pas les directives « no crawl » ». L’entreprise, connue pour vendre des solutions pour augmenter la sécurité et les performances des sites internet, propose pour le moment à tous ses utilisateurs la possibilité d’activer gratuitement cette fonctionnalité.

exFAT est un système de fichier créé par Microsoft en 2006 pour les supports amovibles, particulièrement les cartes SD, avec un accent mis sur la gestion des métadonnées. Il s’agissait alors d’un système de fichiers propriétaire. Les spécifications ont finalement été ouvertes en 2019 et la propriété des brevets transférée à l’Open Invention Network. Ce n’est cependant pas une technologie ouverte.

• Systèmes de fichiers : FAT12 à 32 et exFAT, conçus pour le grand public

Son support dans Linux a toujours été bancal, malgré des améliorations notables de temps en temps. La version 6.15 du noyau devrait cependant donner un gros coup de fouet, notamment lors de la suppression de fichiers, quand l’option de montage « discard » est active. Cette dernière signifie qu’une opération informe le périphérique de stockage que les blocs sous-jacents ne sont plus utilisés. Supprimer un fichier envoie ainsi un signal pour passer ces blocs du statut « occupé » à « libre ».

C’est un ingénieur de Sony, Yuezhang Mo, qui a apporté la modification. Il explique ainsi qu’en mode discard, les clusters sont éliminés un par un quand l’utilisateur déclenche une suppression de fichiers. Plus le nombre et le poids des fichiers augmente, plus l’opération prend de temps. Au point que ce dernier peut devenir excessif et entrainer un plantage des composants logiciels impliqués, jusqu’au blocage parfois de la machine. Sa modification a donc consisté à permettre le traitement par lots des clusters impliqués, comme le rapporte notamment Phoronix.

Pour donner un ordre d’idée, la suppression d’un fichier unique de 80 Go prenait la bagatelle de 286 secondes, un temps que l’on peut considérer comme « fou ». Avec le noyau Linux 6.15, la même opération prend… 1,6 seconde.

Seul contre tous

Donald Trump a tenu parole, en annonçant, mercredi, de nouveaux droits de douane exceptionnels, censés favoriser selon lui la réindustrialisation des États-Unis. Si la sidération domine encore sur les marchés financiers, les réactions politiques ne se sont pas fait attendre. L’Europe et la France défendent déjà l’idée de contre-mesures, parmi lesquelles l’hypothèse d’une taxe GAFAM, appliquée sur les flux financiers des géants du numérique, risque de s’imposer comme une évidence.

L’incertitude a duré jusqu’aux dernières heures : jusqu’où Donald Trump allait-il mettre à exécution ses menaces de droits de douane ? Le président des États-Unis n’a finalement pas mis d’eau dans son vin. Il a annoncé mercredi, à l’occasion de ce qu’il qualifie de « Liberation Day », un jeu de mesures exceptionnelles, qui instaurent des droits de douane particulièrement lourds pour les marchandises importées aux États-Unis. La Chine et les autres pays de l’Asie manufacturière sont particulièrement touchés, tout comme l’Union européenne.

Outre une taxe plancher sur les importations de 10 %, valable pour tous les pays – une approche systématique qui conduit à introduire des droits de douane sur des archipels peuplés uniquement de manchots et d’oiseaux, Trump prévoit des droits de douane individualisés et réciproques plus élevés pour les pays avec lesquels les États-Unis entretiennent une balance commerciale déficitaire.

Présentés à grands renforts de tableaux pendant une conférence de presse, ces droits de douane se montent à 20 % pour l’Union européenne, 54 % pour la Chine (en intégrant les précédentes taxes de 20 % entrées en vigueur début mars), 32 % pour Taïwan, 24 % pour le Japon, 49 % pour le Cambodge ou 46 % pour le Vietnam, 48% pour le Laos, 47% pour Madagascar, 44% pour le Sri Lanka, etc.

Ils ne préjugent pas, par ailleurs, d’éventuelles taxes spécifiques, comme les 25 % désormais prélevés sur l’importation de véhicules produits en dehors des États-Unis.

Une méthodologie qui interroge

Outre les cas particuliers comme le Canada, le Mexique ou la Chine, pourquoi de telles variations entre, disons, le Vietnam et le Cambodge ? Après analyse des chiffres, l’économiste américain James Surowiecki a remarqué une corrélation entre le déficit commercial des États-Unis avec le pays concerné et le niveau de droits de douane appliqué. Une hypothèse qu’a partiellement confirmée le bureau du représentant américain au commerce (USPTR), en publiant, jeudi, l’équation ayant soi-disant présidé au calcul.

Si les modalités de ce calcul interrogent, c’est aussi parce que Donald Trump parle de droits de douane réciproques, comme si les États-Unis ne faisaient que réagir aux pressions commerciales que lui font subir les autres pays du monde. L’Europe est dans ce contexte accusée de taxer à hauteur de 39 % les importations venues de l’autre côté de l’Atlantique, mais d’où vient ce chiffre ?

De façon empirique, un journaliste de Wired vérifie, sur 182 des 185 pays concernés, l’hypothèse de Surowiecki : « pour chaque pays, ils ont simplement pris notre déficit commercial avec ce pays et l’ont divisé par les exportations de ce pays vers nous ». En 2024, l’Union européenne a, par exemple, exporté l’équivalent de 605 milliards de dollars vers les États-Unis, mais importé uniquement 370 milliards de dollars, soit une balance déficitaire de 236 milliards de dollars… qui représente 39 % de ce que les États-Unis ont consommé en provenance de l’Europe.

Quel impact sur le secteur de la tech ?

Jeudi matin, les marchés européens ont vu rouge, très rouge, et l’ouverture de Wall Street s’annonce difficile. Bien que Trump défende l’impact positif de ses mesures pour l’économie américaine, ces droits de douane risquent en effet de soulever de nombreuses difficultés pour les sociétés qui produisent ou s’approvisionnent dans le reste du monde. Apple, qui fabrique massivement en Asie (Chine, Inde, Vietnam) ou Amazon, dont les rayons virtuels débordent de produits manufacturés à l’étranger, figurent parmi les acteurs de premier plan les plus exposés.

Les répercussions à plus long terme sont toutefois difficiles à mesurer. D’abord, parce que l’économie de la tech repose sur une infinité d’interdépendances entre composants, technologies, logiciels et flux financiers mondialisés. Ensuite, parce que la manœuvre de Donald Trump recèle une part variable non négligeable.

« Ces droits de douane resteront en vigueur jusqu’à ce que le président Trump détermine que la menace posée par le déficit commercial et le traitement non réciproque sous-jacent est satisfaite, résolue ou atténuée », expose clairement la Maison blanche. Le président ne s’en cache pas : il cherche à faire pression sur les états comme sur les acteurs économiques, pour obtenir des mesures favorables à l’économie des États-Unis, et ramener sur son sol des investissements, des usines et des emplois.

Vers une guerre commerciale ?

Droits de douane contre droits de douane, l’hypothèse laisse supposer une hausse généralisée des prix avec, à la clé, un risque de récession de l’économie américaine, dont la consommation des ménages représente près de 70 %. Un risque assumé par Donald Trump. « Ce que nous faisons est grand, nous rapportons la richesse à l’Amérique, et il y aura une période de transition. Il faut du temps », déclarait-il le 9 mars dernier, au micro de NBC.

En attendant, une forme de riposte s’organise, même si les contours en sont encore flous. Ursula Von der Leyen, présidente de la Commission européenne, a rappelé jeudi matin que l’Union préparait déjà un lot de mesures visant à taxer les marchandises venues des États-Unis, en réponse aux droits de douane déjà instaurés par Donald Trump sur les produits contenant de l’acier et de l’aluminium. « Et nous nous préparons maintenant à de nouvelles contre-mesures pour protéger nos intérêts et nos entreprises si les négociations échouent », a-t-elle ajouté lors de sa déclaration.

Le retour d’une taxe GAFAM européenne ?

Il est toutefois probable que d’autres mesures, moins « réciproques », soient aussi envisagées, et l’hypothèse d’une taxe GAFAM suscite déjà, dans ce contexte, de premières déclarations. Elle apparaît en effet comme une mesure de rétorsion relativement évidente, du fait de la part prépondérante des services, et donc de l’économie numérique, dans la balance commerciale états-unienne. Un point que Donald Trump omet sciemment dans ses propres chiffres et déclarations, qui ne raisonnent que sur la base des biens matériels.

En 2023, l’Europe exportait par exemple 503 milliards d’euros de marchandises vers les États-Unis, et en importait 347 milliards d’euros. Or la situation s’inverse quand on regarde les services : l’Union européenne exportait l’équivalent de 319 milliards d’euros vers les États-Unis, alors que ces derniers génèraient 427 milliards d’euros à partir du marché européen. En matière de services, les États-Unis bénéficient donc d’un excédent commercial significatif vis à vis de l’Europe.

La France semble déjà pencher en faveur de l’idée d’une taxe GAFAM, comme l’a laissé entendre Sophie Primas, porte-parole du gouvernement, sur RTL. Rappelant le premier volet de la riposte européenne relative à l’aluminium et à l’acier, elle évoque un second volet, plus large, « probablement prêt à la fin du mois d’avril sur l’ensemble des produits et des services, et j’insiste bien sur les services, avec de nouveaux outils » réglementaires, dits anti-coercition.

• PLF 2025 : l’Assemblée adopte deux amendements pour taxer les GAFAM

Oui allo ? Alors je sais, vous avez sûrement…

En 2024, comme les années précédentes, le nombre de plaintes envoyées à l’Arcep est en hausse. Les alertes concernant la fibre optique sont sans surprise les plus importantes. Sur le mobile, on note aussi une explosion des spams téléphonique. Dans le même temps, l’Observatoire de la satisfaction client 2025 est aussi disponible.

L’Arcep (régulateur des télécoms) vient de publier le bilan annuel de sa plateforme J’alerte l’Arcep. Lancée fin 2017, elle permet à tout un chacun (particuliers et professionnels) de lui signaler un problème. « Les alertes recueillies permettent de suivre en temps réel les difficultés rencontrées par les utilisateurs, d’identifier les dysfonctionnements récurrents ou les pics d’alertes », explique l’Autorité.

En 2024, le gendarme des télécoms a reçu plus de « 57 000 [+ 8% par rapport à 2023, ndlr] alertes dont environ 49 000 directement sur la plateforme ». Sans surprise, « l’utilisation de j’alerte l’Arcep, en hausse constante, reflète les évolutions des problèmes rencontrés depuis 2018 ».

Le nombre d’alertes sur les réseaux hors fibre décroit (sauf un petit rebond en 2023), tandis que celui sur la fibre optique représente désormais plus de la moitié des signalements. On peut également voir (zone rose) une forte hausse des appels/messages non sollicités ou abusifs sur le mobile, nous allons y revenir.

Signalements : Free (en tête) vs les trois autres opérateurs

Au niveau des opérateurs, Free se démarque à la fois sur le fixe et sur le mobile, mais pas de la meilleure des manières :

« Les signalements reçus concernant les opérateurs Orange, SFR et Bouygues sont en baisse en 2024 et compris entre 75 et 100 pour 100 000 utilisateurs, ceux pour Free sont stables aux alentours de 150 pour 100 000 utilisateurs.

Sur le marché mobile, les signalements reçus concernant les opérateurs Bouygues, Orange et SFR sont plutôt stables depuis 3 ans et sont compris entre 5 et 10 pour 100 000 utilisateurs, ceux pour Free sont en hausse et sont compris entre 10 et 15 pour 100 000 utilisateurs ».

Satisfaction client : Free aussi en tête

Si Free arrive premier sur le nombre de signalements, l’opérateur est aussi en tête sur les notes de satisfaction attribuées par les utilisateurs au service client, avec 2,8/5. Bouygues Telecom et Orange sont deuxièmes avec 2,4/5 et SFR dernier avec 2,2 sur 5.

Autre indicateur : la satisfaction globale des abonnés à un réseau fixe et/ou mobile. Elle « est en légère hausse, pour l’ensemble des opérateurs, par rapport à l’année précédente ». Free est en tête avec 8,1 sur 10, Orange deuxième avec 8,0, Bouygues Telecom troisième avec 7,8 et SFR encore dernier avec 7,5.

« La satisfaction des utilisateurs vis-à-vis des opérateurs mobiles (notés 7,9/10 en moyenne) est
équivalente à celle vis-à-vis des fournisseurs d’accès à internet fixe (notés 7,8/10 en moyenne) », ajoute l’Arcep.

Le bilan complet de la satisfaction des utilisateurs vis-à-vis des opérateurs mobiles et Internet est disponible ici. Le document (PDF) fait pas moins de 111 pages. C’était un questionnaire en ligne auto-administré d’une quinzaine de minutes réalisé entre le 23 septembre et le 11 octobre sur un échantillon de 4 006 consommateurs âgés de 18 ans et plus.

Grogne sur les déploiements

Les alertes sur le fixe sont encore et toujours majoritaires avec 85,4%, contre 14,6 % pour le mobile. Néanmoins, « les signalements relatifs au marché fixe ont, pour la première fois depuis le début du lancement de la plateforme de « J’alerte », diminué en 2024 », avec presque deux points de moins.

Dans le détail, sur le fixe chez le grand public, le déploiement des réseaux et la qualité de services et du SAV représentent 94,7 % des signalements. Entre 2023 et 2024, il y a eu un fort mouvement : les plaintes sur les déploiements ont augmenté de presque 50 %, tandis que celles sur la qualité de service ont baissé de 67 %.

Spam téléphonique : explosion des alertes

Cela ne surprendra personne : « en 2024, le volume des signalements relatifs au phénomène d’usurpation de numéro a été multiplié par 16 passant approximativement de 500 alertes en 2023 à 8500 en 2024 ». L’Arcep note une forte fluctuation durant l’année, avec un pic au mois de septembre avec près de 1 500 alertes.

Au global, c’est l’ensemble de la catégorie des alertes liées aux appels et messages non sollicités ou abusifs qui est en très forte augmentation : de 2 029 alertes en 2023, l’Arcep en a reçu 10 973 en 2024, soit plus de cinq fois plus.

Quasiment tous les indicateurs sont en très forte hausse par rapport à 2023 si on se base sur le nombre d’alertes. Par exemple, le démarchage téléphonique abusif est passé de 1 094 à 1 517 alertes, mais ne représentent plus que 13,8 % de l’ensemble à cause de l’explosion du nombre d’usurpations de numéro.

Les opérateurs mettent en place des protections… encore partielles

La lutte s’est intensifiée fin 2024 et début 2025 avec le Mécanisme d’Authentification des Numéros (MAN) en place depuis 1ᵉʳ octobre sur le fixe et sur le mobile chez les quatre opérateurs depuis le début de l’année. Cela pourrait expliquer l’intensification de septembre, avec un dernier tour « d’honneur » ?

• La lutte contre le spoofing et les arnaques téléphoniques s’intensifie en France

Il faudra attendre le prochain observatoire pour juger d’éventuels effets sur le mobile, mais il reste un important trou dans le filet de protection du MAN, comme nous l’expliquions récemment : « les appels en roaming (depuis l’étranger) avec un numéro français ne sont pas concernés ».

Sur le graphique de droite ci-dessous, ne vous fiez pas uniquement à la longueur des barres qui représentent la répartition des alertes (en pourcentage), pas le nombre de signalements.

• Qui m’appelle ? Petit guide pratique contre la fraude téléphonique

Dirty space

Le rapport annuel de l’ESA sur l’environnement spatial alerte sur l’augmentation toujours plus importante du nombre de débris. Et l’orbite terrestre basse est de plus en plus encombrée. Pourtant, l’agence européenne constate une meilleure prise en compte des directives de réduction des débris spatiaux par les différents acteurs. Mais celle-ci va moins vite que l’augmentation du nombre de lancements.

L’ESA a publié son rapport annuel sur l’environnement spatial [PDF]. L’agence spatiale européenne y explique que le monde du spatial commence à prendre en compte le fait que « l’environnement orbital de la Terre est une ressource limitée » comme l’indiquait l’ONU en 2019 dans ses recommandations sur la durabilité de l’espace extra-atmosphérique.

Trop lents

Mais cette prise en compte est encore beaucoup trop lente. Nous augmentons moins rapidement le nombre d’objets en orbite autour de la Terre, mais nous l’augmentons toujours : « si la croissance exponentielle du nombre de nouvelles charges utiles s’est ralentie en 2024, le nombre de lancements a continué d’augmenter et, en termes de masse et de superficie, le nombre de lancements est toujours le plus élevé jamais enregistré jusqu’à présent ».

De la même façon, les directives établies pour pousser au désorbitage sont de mieux en mieux suivies mais ça ne va pas encore assez vite :

« Alors que l’adoption et le respect des pratiques de réduction des débris spatiaux au niveau mondial augmentent lentement, il est important de noter que la mise en œuvre réussie de l’un ou l’autre des seuils de durée de vie est encore trop faible pour garantir un environnement durable à long terme. Notamment, une partie de l’augmentation de l’adoption des mesures de réduction […] comme les rentrées contrôlées de corps de fusée ou les taux de réussite de l’élimination des charges utiles en orbite terrestre basse après la mission, est liée au déploiement et à la mise hors service de grandes fusées et d’engins spatiaux de grande taille », explique l’agence européenne.

Des politiques mises en place mais un futur incertain aux États-Unis

C’est d’ailleurs en ce sens qu’elle a augmenté ses exigences en 2023, avec un objectif « zéro débris » d’ici à 2030. L’ESA s’engageait à :

• limiter la quantité de débris spatiaux créés par les opérations normales ;
• réduire au minimum le risque de désintégration en orbite ;
• prévenir les collisions en orbite ;
• mettre en œuvre l’élimination après la mission.

Du côté américain, la FCC infligeait en 2023 sa première amende pour mauvais désorbitage. Mais la nouvelle administration Trump et la suppression de l’indépendance de l’agence américaine qui régule les satellites risquent de changer la donne.

Autant de débris que de satellites actifs sur l’orbite terrestre basse

« Le nombre de débris spatiaux en orbite continue d’augmenter rapidement. Environ 40 000 objets sont actuellement suivis par les réseaux de surveillance de l’espace, dont environ 11 000 sont des charges utiles actives », explique l’agence.

Elle ajoute qu’il y en a beaucoup en orbite qui pourraient causer des accidents : « le nombre réel de débris spatiaux d’une taille supérieure à 1 cm – suffisamment grands pour être capables de causer des dommages catastrophiques – est estimé à plus de 1,2 million, dont plus de 50 000 objets d’une taille supérieure à 10 cm ».

L’orbite terrestre basse est celle qui inquiète le plus l’agence. Elle fait remarquer qu’ « à environ 550 km d’altitude, le nombre de débris constituant une menace est aujourd’hui du même ordre de grandeur que celui des satellites actifs ».

Alors que Microsoft célèbrera vendredi 4 avril les cinquante ans de sa création en tant que société, Bill Gates est revenu cette semaine sur ce qui constitue sans doute l’épisode fondateur de son aventure entrepreneuriale : l’écriture avec Paul Allen, en un temps record, d’un interpréteur BASIC destiné à l’Altair 8800 de MITS (basé sur le CPU 8080 d’Intel).

• L’histoire de Windows : de MS-DOS à NT 3.x

Il a dans le même temps publié, pour la première fois, le code source de ce fameux interpréteur, le premier produit commercial vendu par les deux fondateurs de Microsoft : 150 pages de sorties d’imprimante scannées, qui révèlent (PDF) un code dûment commenté, écrit en seulement trente jours (et trente nuits) au printemps 1975.

« Avant Office, Windows 95, la Xbox ou l’IA, il y avait Altair BASIC », attaque joliment Bill Gates, avant de retracer plus en détail le déroulé des faits. D’abord, la découverte de cette nouvelle machine, l’Altair 8800, affichée en couverture du magazine Popular Electronics, qui augurait l’avènement d’une informatique personnelle. Puis cette idée en forme de défi, vendue sur papier à MITS, le fabricant de l’Altair : développer un interpréteur BASIC, capable d’offrir une alternative au langage assembleur de base de la machine. Sans accès direct à cette dernière, Gates et Allen durent utiliser un simulateur.

« Enfin, après de nombreuses nuits blanches, nous fûmes prêts à montrer notre interpréteur BASIC à Ed Roberts, le président de MITS. La démonstration se révéla un succès, et MITS accepta de nous acheter le logiciel. Ce fut un moment pivot pour Paul et moi. Altair BASIC devint le premier produit de notre nouvelle société, que nous avions décidé d’appeler Micro-soft (nous avons abandonné plus tard le tiret) », écrit Bill Gates.

Qualcomm vient d’annoncer le rachat de MovianAI Artificial Intelligence Application and Research JSC (alias MovianAI), l’ancienne division d’IA générative du conglomérat privé vietnamien Vingroup. Cette branche était dirigée par Hung Bui (il en était également le fondateur), un ancien de chez Google DeepMind où il a passé 16 mois comme chercheur.

« Cette acquisition souligne notre engagement à consacrer les ressources nécessaires à la R&D, ce qui fait de nous la force motrice de la prochaine vague d’innovation en matière d’IA », explique Jilei Hou, vice-président sénior de l’ingénierie chez Qualcomm.

Le montant de la transaction n’est pas précisé. Qualcomm ajoute que Hung Bui rejoindra ses effectifs, sans en dire davantage sur son poste. « Nous sommes prêts à contribuer à la mission de Qualcomm qui consiste à réaliser des avancées majeures dans la recherche fondamentale en intelligence artificielle et à les déployer dans tous les secteurs, notamment les smartphones, les ordinateurs, les véhicules assistés par informatique, etc. », explique-t-il.

Nintendo a dévoilé mercredi, lors d’une conférence diffusée en direct, les grandes lignes et les premiers jeux de sa future console hybride (mi portable, mi console de salon), la Switch 2. Son lancement est désormais officiellement programmé au 5 juin prochain, avec un prix de départ fixé à 469,99 euros et des précommandes ouvertes à partir du 8 avril.

Sur le plan matériel, Nintendo valide ou précise la plupart des éléments déjà évoqués en janvier, lors de la première confirmation officielle de la console. La Switch 2 conserve le même schéma de fonctionnement que celui du modèle originel (un écran central autonome, des manettes amovibles sur le côté, une station d’accueil pour relier l’ensemble à une TV).

Le fabricant japonais livre quelques premiers détails techniques : la Switch 2 s’articule autour d’un écran LCD (et non OLED) de 7,9 pouces, délivrant 1920 x 1080 pixels avec une fréquence d’affichage variable pouvant monter à 120 Hz et prise en charge du HDR10.

Une fois connectée en USB-C à son dock, ce dernier autorise, via HDMI, un affichage 3840 x 2160 (4K) à 60 images par seconde (fps). Pour aller chercher les 120 fps, il faudra basculer sur une résolution inférieure (1920 x 1080 ou 2560 x 1440).

Huit ans après la Switch première du nom, qui utilisait un dérivé de la puce Tegra, Nintendo reste fidèle à NVIDIA. La Switch 2 exploite une nouvelle fois un design personnalisé, dont les caractéristiques n’ont pas encore été dévoilées. La console bascule pour le reste sur 256 Go de stockage (contre 32 Go sur la première Switch et 64 Go sur sa variante OLED), avec Bluetooth et Wi-Fi 6, ou liaison réseau filaire via un port LAN quand elle est rangée sur son dock.

Nintendo évoque deux ports USB type-C (l’un sert à la connexion au dock, l’autre aux accessoires, les deux permettent la recharge) et un emplacement pour cartes microSD Express, format auquel seront distribués les jeux, jusqu’à 2 To. La console, qui pèse 401 grammes sans ses manettes et présente 13,9 mm d’épaisseur, dispose d’une batterie de 5 520 mAh qui autorise une autonomie théorique comprise entre « 2 et 6,5 heures ».

Les manettes Joy-Con, connectées en Bluetooth 3.0 et désormais dotées d’une attache magnétique, prennent un peu d’embonpoint. Elles inaugurent un capteur optique, permettant de les utiliser comme une souris d’ordinateur. Elles gagnent également un bouton C, dédié aux nouvelles fonctionnalités de discussion en jeu implémentées par Nintendo dans son environnement logiciel, baptisées GameChat. Entre autres accessoires, une caméra sera proposée en option, avec la promesse d’interactions au sein de certains jeux.

Du côté des jeux justement, c’est la grande offensive. Nintendo mise en premier lieu sur ses propres licences, à commencer par un nouvel épisode de Mario Kart, qui sera proposé avec la console en bundle au lancement, ou Donkey Kong Bananza, attendu pour mi-juillet. Entre nouveautés et rééditions, la firme convoque sans surprise ses licences les plus iconiques.

Elle y ajoute une forte dimension rétrocompatibilité, avec la prise en charge annoncée de la plupart des jeux Switch et l’ajout de jeux Gamecube au sein de l’abonnement Nintendo Switch Online.

Enfin, Nintendo promet pléthore de titres émanant d’éditeurs tiers, incluant de nombreux titres de premier plan (AAA), même et y compris popularisés par des plateformes concurrentes, PC ou consoles. Dans le lot figurent des jeux tels que Elden Ring, Cyberpunk 2077, Final Fantasy 7 Remake, Star Wars Outlaws, Fortnite, Hogwarts Legacy, EA Sports FC, etc. FromSoftware signera par ailleurs une exclusivité dédiée à la Switch 2, attendue pour 2026 : un jeu d’action ambiance vampire en monde ouvert avec dimension multijoueurs baptisé The Duskbloods.

Bref, un programme musclé, pour une console qui aura la lourde tâche de succéder à une Switch, première du nom, vendue à plus de 150 millions d’exemplaires dans le monde depuis son lancement en 2017.

👀

Si le client Thunderbird pour la gestion des e-mails est en perte de vitesse, l’équipe qui en a la charge a de grandes ambitions. Ainsi, une initiative nommée « Thunderbird Pro » évoque la création d’un bouquet de services, pour se battre plus frontalement avec des offres comme Gmail et Microsoft 365.

Depuis que le projet Thunderbird est revenu sous l‘égide de Mozilla, l’ancien client e-mail a rattrapé une partie de son retard. En plus des fonctions ajoutées, son interface a été modernisée via le projet Supernova, même si le logiciel garde une apparence « datée » pour une partie des utilisateurs. Thunderbird se prépare également pour les environnements mobiles, sur Android d’abord via le rachat de K-9. iOS est également concerné, mais le travail sera plus long, car l’équipe de développement ne dispose d’aucune base de départ.

Les webmails plus attractifs

Malgré ces efforts, Thunderbird est en perte de vitesse. « Thunderbird perd chaque jour des utilisateurs au profit d’écosystèmes riches qui sont à la fois des clients et des services, tels que Gmail et Office 365 », indique Ryan Sipes dans un message sur le groupe de planification de Thunderbird.

Pourquoi une telle perte ? On pourrait évoquer les offres plus complètes, les nombreux liens entre services, la possibilité de tout faire au même endroit, la pression des pairs, ou encore la vision très intégrée. De fait, Sipes évoque deux types de verrouillages : « durs », quand ils touchent des problèmes techniques (comme l’interopérabilité avec les clients tiers) et « doux » quand il s’agit de commodités et d’intégration.

Et pour cause, un compte Google ou Microsoft donne accès d’une traite à de nombreux services « gratuits ». En outre, le compte synchronisé permet de s’assurer que l’on verra la même chose sur tous les appareils. Thunderbird, en revanche, fait partie de la vieille école : il faut configurer le logiciel sur chaque ordinateur et ces réglages ne peuvent pas suivre les utilisateurs sur les plateformes mobiles.

La solution ? Un bouquet de services réunis sous la bannière « Thunderbird Pro ».

Thunderbird aura son propre bouquet de services

La vision présentée par Ryan Sipes est celle d’une offre de services en ligne rattachée à Thunderbird et portant l’étendard « Pro ». Pour l’instant, on en compte quatre.

Appointment est ainsi un outil de planification permettant d’envoyer des invitations. Les réponses données sont directement reprises et intégrées au calendrier. Le service est développé depuis environ un an et est actuellement disponible sous forme de bêta depuis son dépôt GitHub, même s’il n’est pas exploitable directement. Les personnes intéressées peuvent cependant l’installer sur un serveur, notamment via Docker.

Vient ensuite Thunderbird Send, qui est la « renaissance » de Firefox Send, de l’aveu même de l’équipe. Il s’agit donc d’un service permettant l’envoi de fichiers, reprenant le même principe, mais dont le code a profondément changé pour être modernisé. Le dépôt GitHub attenant a été ouvert la semaine dernière, avec là encore la possibilité d’aller examiner le code.

Assist sera un assistant IA. Ryan Sipes trace directement un parallèle avec la vision d’Apple. Ainsi, les requêtes seront idéalement traitées en local pour les appareils assez puissants. Dans le cas contraire, les développeurs veulent se servir de la fonction Confidential Computing de NVIDIA pour créer des instances temporaires et anonymes de calculs. Une approche retenue par Apple avec son Private Cloud, même si l’entreprise se sert de Mac pour l’instant et non de GPU NVIDIA. Assist serait purement optionnel et n’a pas encore de dépôt.

Thundermail, le webmail maison

Dernier service, et sans doute le plus important : Thundermail. Il sera le webmail accompagnant l’offre, le pendant en ligne de Thunderbird. Et pour répondre à la question qui vient immanquablement aux lèvres : oui, cela signifiera la création de comptes e-mails.

Selon Sipes, l’équipe expérimente la question « depuis un certain temps », sur la base d’un serveur e-mail existant nommé Stalwart. Ce dernier, en plus de gérer IMAP et POP3, a la particularité de supporter JMAP (JSON Meta Application Protocol). Ce dernier a été pensé pour prendre la relève d’IMAP, mais sa prise en charge reste relativement rare. JMAP est ouvert et normalisé, se veut plus rapide et sécurisé, et propose une approche modernisée capable de donner le change aux technologies propriétaires. On le trouve notamment dans les produits de Fastmail.

« Avec Thundermail, notre objectif est de créer une expérience de messagerie de nouvelle génération qui soit complètement, 100 % open source et construite par nous tous, nos contributeurs et la communauté plus large des contributeurs », affirme ainsi Ryan Sipes. Il ajoute cependant qu’il n’y aura pas de dépôt unique pour concentrer les travaux sur Thundermail. En revanche, certains pans de développement donneront lieu à des partages.

Si le travail a été lancé, le domaine n’a pas encore été choisi. Il s’agira probablement de thundermail.com ou de tb.pro. L’équipe a ouvert une page pour s’inscrire sur liste d’attente et participer à la bêta, bien qu’aucune date n’ait été indiquée.

Comment se différencier ?

Dans le descriptif, les notions d’ouverture et de valeur reviennent régulièrement. Dans un monde largement dominé par les offres de Google et Microsoft, il n’est pas certain en effet qu’un Thunderbird Pro soit réellement visible. D’autant que le projet Thunderbird a besoin d’argent et vit de dons. Mozilla ne lui en donne pas directement, même si la fondation aide le projet par ses infrastructures et autres ressources indirectes.

En conséquence, l’offre Thunderbird Pro sera payante. Dans un premier temps, elle sera offerte aux personnes ayant contribué régulièrement à Thunderbird. Puis des offres payantes seront proposées, même si aucun détail n’est donné. Il n’y a donc pas de fourchette de prix, et on ne sait pas non plus si Mozilla lancera une offre unique comprenant tous les services, ou si ces derniers pourront être choisis à la carte. Si le nombre d’abonnés est suffisant, une offre gratuite verra le jour avec des limitations, comme un espace moindre pour Send (notamment pour éviter les abus).

Pour Ryan Sipes, l’annonce de Thunderbird Pro est la « réalisation d’un rêve ». Il se dit « convaincu que tout cela aurait dû faire partie de l’univers Thunderbird il y a une dizaine d’années », mais qu’il « vaut mieux tard que jamais ». Il exprime des regrets, notamment sur l’importance que l’équipe accorde « aux logiciels libres, aux normes ouvertes, à la protection de la vie privée et au respect [des] utilisateurs », et que l’on ne retrouve pourtant pas dans les services en ligne. À cause de cette carence, Sipes estime que les internautes sont obligés de faire des compromis.

L’orientation générale serait donc le respect de la vie privée, les services étant prévus pour n’effectuer aucun traitement sur les données autres que ceux découlant des tâches déclenchées par les internautes. Des produits développés sur la base de technologies et normes ouvertes, pour combler le fossé avec les offres propriétaires.

Rien de décidé sur le chiffrement et l’emplacement des données

The Register s’est entretenu avec Ryan Sipes au sujet de Thunderbird Pro. Plusieurs informations intéressantes ont ainsi été données, notamment sur le chiffrement. La question est d’autant plus importante que Microsoft et plus récemment Google ont annoncé des simplifications en ce sens, mais il s’agit encore une fois de technologies propriétaires.

Selon Sipes, rien n’est encore décidé. Dans les tests, le chiffrement de bout en bout serait simple, mais se heurterait à la nécessité de fournir un système suffisamment simple et compréhensible aux internautes pour en assurer le succès. « Nous avons quelques idées, mais nous allons demander à notre communauté ce qu’elle pense être la meilleure approche », a ajouté Sipes.

Dans une optique de protéger au mieux les données, la question du stockage est encore ouverte. Elle est étudiée « très sérieusement ». À l’heure actuelle, l’infrastructure de test se situe dans l’Union européenne, mais ce choix ne préfigure pas du produit final. L’équipe réfléchit également à permettre de sélectionner soi-même la région dans laquelle entreposer ses données, à la manière de ce que proposent aux entreprises les grands acteurs du cloud.

Ils avaient dit "don't be evil"

Quelques jours après le « SignalGate », une enquête du Washington Post révèle que Michael Waltz, conseiller à la sécurité nationale de la Maison blanche, aurait utilisé son adresse Gmail pour orchestrer certaines de ses activités professionnelles. Il avait déjà été épinglé quelques jours plus tôt pour avoir laissé en accès public la liste de ses contacts sur l’application de paiement Venmo.

La Maison-Blanche n’en a manifestement pas tout à fait fini avec ses problématiques de shadow IT. Une enquête du Washington Post, publiée mardi 1er avril, affirme en effet que Michael Waltz, conseiller à la sécurité nationale du Président, a utilisé une messagerie commerciale, en l’occurrence un compte Gmail, pour échanger avec des membres de son équipe et d’autres représentants de l’administration Trump.

Des échanges liés à la sécurité nationale sur Gmail

Cette fois, il n’est pas question de préparatifs liés à une action militaire imminente, mais les échanges diffusés sur cette adresse personnelle présentent toutefois un réel enjeu de confidentialité, estime le Washington Post. « Un assistant senior de Waltz a utilisé [Gmail] pour des conversations hautement techniques avec des collègues d’autres agences gouvernementales impliquant des positions militaires sensibles et des systèmes d’armes de premier plan liés à un conflit en cours », écrit ainsi le quotidien américain.

Il affirme avoir eu accès à des captures d’écran illustrant cette utilisation de Gmail par ou au nom de Waltz. Le recours à une messagerie personnelle aurait également été confirmé par trois officiels de l’administration Trump, non cités. Le header des courriers envoyés au nom de Waltz révèle que ses destinataires utilisent, eux, des comptes de messagerie fournis par l’administration, note encore le Washington Post.

Négligence ou contournement délibéré ?

Dans le contexte de la Maison blanche, cette utilisation de Gmail soulèverait deux problèmes principaux, à commencer, bien sûr, par la question de la sécurité, puisque la messagerie ne garantit pas, par défaut, un chiffrement de bout en bout des échanges (Google vient d’ailleurs précisément d’annoncer l’introduction prochaine d’un chiffrement bout en bout simplifié à destination de sa clientèle entreprise).

Le second relève d’une exigence réglementaire : les officiels de l’administration états-unienne doivent utiliser les outils internes pour leur correspondance de façon à ce que cette dernière puisse être archivée, en vertu du Freedom of Information Act (FOIA). Brian Hughes, porte-parole de la sécurité nationale à la Maison-Blanche, récuse auprès du Washington Post l’hypothèse d’un contournement intentionnel de cette exigence, formulée par certains commentateurs sur les réseaux sociaux après l’épisode du SignalGate.

L’approche quelque peu laxiste de Waltz quant aux outils de communication commence toutefois à soulever des questions au sein du Bureau ovale, remarque par ailleurs le Wall Street Journal. Le quotidien économique rapporte ainsi, dans un article daté du 30 mars, que l’intéressé n’en serait pas à sa première boucle Signal. Il en aurait ainsi créé et animé plusieurs, autour de sujets aussi explosifs que le règlement du conflit entre l’Ukraine et la Russie, ou d’autres opérations militaires (non précisées).

Le précédent Venmo

Quelques jours plus tôt, Michael Waltz s’était déjà vu épingler par Wired. Le magazine explique comment il a découvert le compte Venmo (un service d’envoi d’argent en ligne appartenant à Paypal) du conseiller de Donald Trump, avec photo et liste de contacts accessibles publiquement. Le compte en question aurait été basculé en privé peu de temps après que les journalistes de Wired ont contacté la Maison blanche pour une demande de réaction.

Que Waltz utilise Venmo pour partager l’addition d’un restaurant avec ses amis n’est pas problématique en soi, mais Wired explique comment l’analyse des contacts directs du conseiller, puis l’étude de leurs propres réseaux, permet d’identifier des profils stratégiques ou d’établir des connexions entre personnalités de premier plan.

La découverte se révèle d’autant plus croustillante qu’il ne s’agit pas d’une première. En août 2024, Wired avait ainsi déjà découvert, et analysé, le réseau de contacts Venmo associé au compte de J. D. Vance, devenu depuis vice-président des États-Unis. L’exercice avait permis de révéler l’identité de certains des architectes du projet stratégique de Donald Trump et des artisans de sa campagne de réélection.

Cette nouvelle charge contre Michael Waltz intervient quelques jours après l’épisode du SignalGate, qui a défrayé la chronique fin mars. Un journaliste de The Atlantic avait alors révélé avoir été invité dans une conversation Signal réunissant la garde rapprochée de Donald Trump et dédiée aux préparatifs d’une attaque militaire au Yémen contre les Houthis. Les officiels concernés, de la Défense à la CIA, avaient ensuite cherché à minimiser la portée de l’incident, en déclarant notamment que les informations diffusées sur ce canal ne relevaient pas du secret défense. En réaction, le magazine américain a pris le parti de publier l’intégralité des échanges.

Simplicité ou sécurité ?

Google vient d’annoncer l’arrivée du chiffrement coté client dans Gmail. Cette fonction va dans un premier temps être proposée aux messageries internes des entreprises. Bien que l’apport de cette technologie soit toujours un pas en avant vers une meilleure sécurité, il ne s’agit pas stricto sensu d’un chiffrement de bout en bout.

Le 1^ᵉʳ avril, Gmail a fêté ses 21 ans. Ce qui était apparu initialement comme un poisson est devenu l’un des produits les plus emblématiques de Google. Hier soir, pour marquer l’évènement, la firme a annoncé une amélioration importante : l’arrivée du chiffrement de bout en bout, dans un format présenté comme simple à exploiter, sans nécessiter de gestion des certificats. Explications.

Le chiffrement de bout en bout vu par Google

Depuis hier soir, Gmail propose aux entreprises disposant de comptes professionnels payants une version bêta. À l’intérieur se trouve une nouveauté : la possibilité d’envoyer des e-mails « chiffrés de bout en bout » à d’autres membres de leur organisation via un système simplifié. Rappelons en effet que Gmail pouvait déjà le faire via S/MIME (Secure/Multipurpose Internet Mail Extensions), mais la configuration de ce dernier n’a rien de simple.

Il s’agit d’une première phase dans le plan de déploiement. Cette version bêta, limitée à un périmètre réduit, va permettre de tester le fonctionnement de ce nouveau chiffrement décrit comme E2EE (End-to-End Encryption). Dans le cas où la personne contactée fait partie de la même entreprise, le contenu du message est automatiquement chiffré. Côté destinataire, il est automatiquement déchiffré.

Comme on peut le voir dans la capture fournie par Google, il faut d’abord activer la fonction, via l’icône de cadenas située en haut à droite de la fenêtre de composition. En bas, un message apparait pour indiquer que l’ouverture de l’e-mail sur l’application mobile Gmail ou une autre plateforme de messagerie affichera un lien invitant à se connecter pour voir le contenu du message sur une version restreinte de Gmail. Le système rappelle le fonctionnement des partages de fichiers dans Google Docs et Sheets. Quand ce système de chiffrement est utilisé, il se substitue à S/MIME.

Durant une deuxième phase, qui commencera dans quelques semaines, le système sera étendu à l’ensemble des adresses Gmail, mais toujours pour les entreprises uniquement. Plus tard dans l’année, sans plus de précision pour l’instant, il pourra être appliqué aux envois vers toutes les plateformes. On retrouvera alors la présentation sous forme d’invitation à se connecter pour lire le message. À noter que si le ou la destinataire de l’e-mail a configuré S/MIME et n’est pas sur Gmail, ce dernier se servira de S/MIME pour envoyer le courrier, comme il le faisait déjà.

Google peu satisfaite du système actuel

L’entreprise rappelle les bienfaits du chiffrement, mais note qu’il est trop souvent complexe à mettre en place. « Alors que de plus en plus d’organisations ont des besoins réels en matière de courrier électronique E2EE, peu d’entre elles disposent des ressources nécessaires pour mettre en œuvre S/MIME », affirme Google.

La société indique ainsi que les entreprises intéressées par le chiffrement de bout en bout font alors face à la complexité de gestion des certificats, qu’il faut notamment déployer auprès de chaque personne dans l’entreprise. Côté grand public, il faut avoir activé S/MIME soi-même et vérifier que les destinataires l’ont fait également, « puis se soumettre aux tracas de l’échange de certificats avant de pouvoir échanger des courriels chiffrés ». Google, qui met bien sûr en avant la simplicité de son approche, évoque les nombreuses « frustrations » qui en découlent.

« Cette capacité, qui ne demande qu’un minimum d’efforts de la part des équipes informatiques et des utilisateurs finaux, fait abstraction de la complexité informatique traditionnelle et de l’expérience utilisateur médiocre des solutions existantes, tout en préservant la souveraineté des données, la confidentialité et les contrôles de sécurité », claironne ainsi Google.

Du chiffrement côté client

La solution de Google est effectivement de considérer l’e-mail comme un document stocké dans Google Drive. Les administrateurs peuvent alors appliquer des règles supplémentaires, par exemple en exigeant que l’ensemble des destinataires externes passent par la version restreinte de Gmail pour lire le contenu, même s’ils ne sont pas eux-mêmes utilisateurs de Gmail.

Pour gérer plus simplement le chiffrement de bout en bout, Google a choisi Client Side Encryption (CSE). La technologie n’est pas nouvelle : la firme la fournit déjà depuis quelques années aux éditions Enterprise Plus, Education Standard et Education Plus de son Workspace. Comme indiqué sur la page du CSE, les données sont chiffrées côté client avant leur envoi, supprimant la possibilité de les lire pour les intermédiaires, y compris Google. Les organisations l’utilisant peuvent fournir leurs propres clés. C’est sur ce paramètre que les administrateurs peuvent agir, en forçant CSE pour l’ensemble des membres de l’organisation.

Attention toutefois : bien que l’on parle de chiffrement de bout en bout, ce n’est pas 100 % vrai. CSE chiffre bien les données avant leur envoi, mais les clés sont gérées de manière centralisée par l’équipe d’administration, qu’elles soient générées par le service ou fournies directement par l’organisation. Traduction, les administrateurs seront en mesure de voir le contenu des e-mails.

Peu importe pour Google, qui parle surtout de simplification et d’élimination des frictions. Cette solution de chiffrement ne sera d’ailleurs pas activée par défaut et est présentée comme un moyen supplémentaire d’augmenter la sécurité des échanges.

Une question de confiance

Au-delà de la confiance qu’une entreprise peut accorder à ce type de système, la solution retenue par Google interroge : les destinataires utilisant d’autres plateformes vont-ils faire confiance à ces e-mails ?

La question est loin d’être anodine, car le message ne sera pas directement affiché. Si vous recevez un tel courrier, vous verrez simplement quelques lignes d’explications sur le contexte et un bouton vous invitant à cliquer pour aller lire le contenu. Or, ce fonctionnement en rappelle un autre : les tentatives d’hameçonnage.

Google a conscience que sa solution peut ne pas inspirer confiance. Si vous utilisez par exemple Outlook.com sans avoir mis en place S/MIME, vous verrez ce type de message, avec l’invitation à cliquer. Google a « prévu le coup » : dans le texte, un passage explique qu’il est conseillé de ne cliquer que si vous avez une entière confiance en l’expéditeur. Mais même ainsi, il est possible qu’une partie des destinataires suppriment le courriel sans vraiment lire l’avertissement, tant le contenu pourrait ressembler à une tentative de phishing.

Et si ce déploiement semble familier, c’est que Microsoft a déployé exactement la même capacité en janvier, nommée Purview Message Encryption. Le fonctionnement, réservé aux entreprises abonnées à la formule E5, est identique, avec une lecture directe des courriels tant que l’on reste dans Outlook, mais affiche un lien sur les autres plateformes. Et même si Google applique la même stratégie que Microsoft dans ce domaine, les deux systèmes sont bien sûrs incompatibles.

Michael Waltz, le conseiller à la sécurité de Donald Trump, n’a en tout cas pas attendu l’arrivée du CSE pour se servir de Gmail dans des échanges gouvernementaux, comme l’a révélé hier le Washington Post. Nous reviendrons plus en détail sur ce sujet plus tard dans la journée.

Lorsque des brouillages et/ou des perturbations sont rencontrés par des opérateurs, ils peuvent demander l’ouverture d’une enquête auprès de l’ANFR. Des agents se déplacent alors sur place, et l’Agence nationale des fréquences en profite parfois pour raconter ces histoires (qui se terminent bien). Il y a quelques mois, l’ANFR expliquait par exemple comment des étiquettes RFID (passives) arrivaient à perturber des antennes 3G/4G.

Aujourd’hui, il est de nouveau question de téléphonie mobile, mais en 5G, avec une antenne dysfonctionnelle à Alençon (61) à cause d’un brouillage. Pourquoi seulement la 5G ? À cause du TDD (time division duplexing) bien évidemment.

TDD vs FDD : de la 2G à la 5G les technologies ont évolué

Pour rappel, de la 2G à la 4G en France, la séparation entre l’envoi et la réception des données reposait sur un découpage en fréquences appelé FDD, pour frequency domain duplexing. Sur la bande allouée à l’opérateur, une partie est utilisée pour le téléchargement, une autre pour l’upload, avec une « bande centrale » pour assurer la séparation et éviter les perturbations.

• 5G : l’ANSES revient sur l’exposition aux ondes et les interactions avec le vivant

Pour des appels audio, c’est très efficace comme partage puisque les échanges sont à peu prés les mêmes dans les deux sens. Par contre pour accéder à Internet, c’est différent : le gros du trafic est généralement dans le sens descendant. « Or, il est impossible de modifier le sens affecté à chaque voie sans réallouer les fréquences attribuées aux opérateurs ; d’où un usage moins efficace du spectre disponible à mesure que l’usage descendant s’intensifie », explique l’ANFR.

En 5G, le découpage change : on passe du FDD au TDD. Cette fois-ci la fréquence est la même dans les deux sens, la séparation se fait avec une division temporelle : « À intervalles réguliers, après une pause très brève, le sens s’inverse », entre download et upload.

Un besoin de précision de l’ordre de la microseconde

L’utilisation du spectre est donc améliorée avec la possibilité de « jouer » sur les intervalles temporels, mais il y a une contrepartie : « le fonctionnement du TDD nécessite néanmoins une gestion du temps très rigoureuse ». Le temps de trajet d’une trame (c’est elle qui contient les données) est de « quelques microsecondes, mais il faut pouvoir les décompter avec précision ».

Maintenant, imaginez que plusieurs antennes fonctionnent dans la même zone : « étant donné le volume de trafic intense dans les sens montant puis descendant qui circule constamment sur des bandes de fréquences proches, il est important que les antennes soient synchronisées ». Si une antenne envoie des signaux vers les smartphones pendant qu’une voisine est en mode upload, « elle ne pourrait plus entendre ses terminaux, car rendue sourde par la puissance rayonnée par la première antenne ».

La synchronisation est donc primordiale, y compris quand les antennes « sont exploitées par des opérateurs concurrents ». Pour donner quelques chiffres, l’ANFR explique que le mode TDD nécessite une synchronisation précise de tous les réseaux mobiles, « avec une tolérance inférieure à 1,5 µs (microseconde) ».

Les horloges atomiques des satellites « GPS » à la rescousse

Les antennes relais disposent évidemment d’une horloge interne, mais la précision n’est pas suffisante et elle dépasse rapidement les 1,5 µs. Il faut donc trouver une source capable de proposer une excellente précision, partout sur le territoire. Il n’y a pas à chercher bien loin : levez les yeux au ciel et la solution apparait : les satellites Global Navigation Satellite System (GNSS). Deux exemples : le GPS américain et Galileo européen.

Vous ne le saviez peut-être pas, mais tous les satellites GNSS embarquent des horloges atomiques de très haute précision… qui ont d’ailleurs donné quelques sueurs froides à l’Agence spatiale européenne sur Galileo) On parle de données PNT pour « position, navigation et temps ». Pour fonctionner correctement avec ses petits camarades, chaque station de base 5G en TDD est équipée d’un récepteur GNSS.

Un brouillage de 8 h à 00 h

Revenons au brouillage du jour sur une antenne 5G : « entre 8 heures et minuit, presque tous les jours, le nombre de satellites vus par ce récepteur passait brusquement d’une dizaine à zéro, provoquant ainsi la perte de la synchronisation ». Un comble pour une antenne immobile.

L’enquête commence. Avant de se rendre sur place, les agents vérifient qu’il n’y a pas de brouillage de grande envergure (même si on peut se douter qu’en pareille situation les alertes auraient été plus nombreuses). Sur une station à 18 kilomètres de l’antenne, rien à signaler sur la réception des signaux GNSS.

Sur place, au pied du site de l’opérateur, les agents de l’ANFR font de nouveau chou blanc : aucun brouillage n’est détecté. Alors qu’ils sont au pied du pylône, ils demandent confirmation : au même instant, il y a sans aucun doute possible une perturbation en cours sur le récepteur.

Le récepteur était saturé par les antennes relais

La solution est finalement trouvée : le récepteur GPS de l’opérateur n’est pas brouillé, mais saturé. L’antenne du récepteur se trouve « dans une zone de champs forts dûs aux multiples opérateurs colocalisés sur le même pylône. Or, un récepteur GPS n’apprécie guère ce type d’environnement, car il se doit d’être très sensible. Et pour cause : il doit extraire du bruit ambiant des signaux GPS qui arrivent de l’espace avec un niveau très faible, environ un million de fois plus faible que le signal qui sort d’un téléphone mobile ».

Cela colle aux observations : le signal est coupé aux heures d’utilisation maximales de la téléphonie mobile (du matin au soir), il s’atténuait certains jours fériés et le brouillage ne cessait finalement que la nuit.

La densification des sites radioélectriques

Une observation rapide confirme : le récepteur GNSS est « au faîte de l’antenne, dangereusement entouré de plusieurs émetteurs ». La résolution du problème était des plus simples : le récepteur a été repositionné plus bas sur le pylône. Tout est alors rentré dans l’ordre.

« Cette enquête montre que la densification des sites radioélectriques peut provoquer des interactions entre les différents équipements radio qui y sont installés », explique l’Agence nationale des fréquences en guise de conclusion.