Circulez y'a rien à voir

Depuis dix jours, un pirate affirme détenir un jeu de données relatives à 6 millions de clients Oracle, suite à une intrusion sur les serveurs d’authentification de l’éditeur. En dépit des allégations concordantes de plusieurs experts en cybersécurité, la société nie avoir été victime d’un piratage. Pendant que des clients inquiets déclenchent un recours collectf visant Oracle en justice, un second incident de cybersécurité, lié cette fois à Oracle Health, déclenche une enquête du FBI…

Un internaute de Floride a lancé lundi un recours collectif contre Oracle, au motif que l’éditeur n’aurait pas correctement réagi suite à une intrusion dans ses systèmes informatiques. La procédure, enregistrée le 31 mars auprès d’un tribunal du Texas (PDF), accuse Oracle d’avoir fait preuve de négligence, mais aussi d’avoir manqué à son devoir fiduciaire. De quoi motiver, d’après le plaignant, le versement de copieux dommages et intérêts, comme souvent en pareille affaire.

Une brèche de sécurité à 6 millions de lignes

Derrière cette procédure, qui pourrait paraître anecdotique au pays de la class action, réside un incident de sécurité dont l’ampleur exacte reste à déterminer. L’affaire démarre le 20 mars dernier, avec la publication, sur un forum spécialisé, d’une annonce proposant à la vente un fichier soi-disant composé des données de 6 millions d’utilisateurs des services d’authentification (SSO) et d’annuaires (LDAP) du cloud public d’Oracle.

Le pirate, qui affirme par ailleurs avoir mis la main sur des clés privées, des certificats et des mots de passe, publie la liste des sociétés clientes dont il détiendrait des données, et met en ligne un échantillon supposé de son larcin.

Dès le lendemain, Oracle nie toute brèche de sécurité, en des termes catégoriques. « Les informations d’identification publiées ne concernent pas Oracle Cloud. Aucun client Oracle Cloud n’a subi de violation ni perdu de données », affirme un porte-parole de l’éditeur au site The Register. En réponse, le pirate se vante d’avoir réussi à placer un fichier texte contenant son adresse e-mail sur un serveur de connexion Oracle Cloud. Il présente, en guise de preuve, un enregistrement du fichier réalisé par l’intermédiaire de la Wayback Machine, daté du 1ᵉʳ mars.

Les dénégations d’Oracle mises à mal par des analyses tierces

Quelques jours plus tard, l’attaquant trouve un nouveau relais. Alon Gal, directeur technique de la société israélienne de cyber-intelligence Hudson Rock, affirme avoir eu la possibilité de vérifier, auprès de ses clients, la validité des données contenues dans un échantillon de quelque 10 000 enregistrements rendus publics par le pirate. Le 25 mars, il déclare sur LinkedIn que trois de ses clients ont confirmé qu’il s’agissait bien de données issues d’environnements de production hébergés sur le cloud d’Oracle. L’un d’eux estime toutefois qu’il s’agit de données anciennes, datant de fin 2023.

Un autre acteur spécialisé, CloudSEK, conclut lui aussi à la véracité probable de la fuite le 25 mars, sur la base du même échantillon de 10 000 lignes. Le volume et la structure des informations divulguées rendent leur fabrication extrêmement difficile, ce qui renforce la crédibilité de la violation, écrit-il. CloudSEK remarque par ailleurs des indices concordants qui tendent à confirmer qu’il s’agissait bien de données de production (par opposition à un environnement de test), et que certaines d’entre elles sont bien liées à des mécaniques d’authentification.

Le média spécialisé Bleeping Computer est lui aussi entré en contact avec le pirate. Ses propres vérifications, menées auprès d’entreprises mentionnées dans les données consultées, accréditent la thèse d’un vrai vol de données. En étudiant de plus près le serveur sur lequel l’attaquant a déposé son adresse e-mail en guise de preuve, CloudSEK remarque deux autres phénomènes suspects.

Tentative discrète de damage control ?

Le serveur concerné aurait d’abord hébergé une instance de Fusion Middleware 11 g, une ancienne version de la plateforme applicative d’Oracle, dont le composant d’authentification souffre précisément d’une vulnérabilité documentée à partir de 2022. L’éditeur américain aurait ensuite placé hors ligne le serveur en question, puis formulé une demande de suppression de la « preuve » hébergée par le pirate sur Internet Archive.

Pour le chercheur en cybersécurité Kevin Beaumont, ces deux manœuvres seraient le signe qu’Oracle cherche à faire disparaître les traces de l’incident. Il affirme par ailleurs, sans amener d’élément probant attestant la réalité de ses allégations, qu’Oracle aurait entrepris de basculer certains des services concernés sous l’étiquette Oracle Classic (dédiée aux produits les plus anciens) pour cette dernière porte l’incident, et non la marque vedette Oracle Cloud.

« Oracle tente de rédiger des déclarations autour d’Oracle Cloud et d’utiliser des mots très spécifiques pour éviter toute responsabilité. Ce n’est pas bien. Oracle doit communiquer clairement, ouvertement et publiquement sur ce qui s’est passé, l’impact que cela peut avoir sur les clients, et la façon dont ils traitent le sujet », s’insurge-t-il.

En attendant une éventuelle réaction officielle de l’éditeur, le pirate a diffusé mardi, auprès d’Alon Gal, une vidéo dans laquelle il contacte le support chat d’Oracle, soi-disant par l’intermédiaire d’un compte client qu’il aurait donc été en mesure d’usurper.

Une autre fuite concerne Oracle Health

Oracle répondra-t-il officiellement à ces allégations ? L’éditeur américain doit dans le même temps gérer un autre incident de sécurité, lié cette fois à son SaaS Oracle Health, dédié à la gestion des dossiers médicaux informatisés. La solution était initialement éditée par un éditeur spécialisé baptisé Cerner, jusqu’au rachat de ce dernier par la firme de Larry Ellison, en 2022, pour 28 milliards de dollars.

Dans un courrier adressé à certains clients, Oracle aurait signalé avoir été victime, le 20 février dernier, d’une intrusion au niveau des derniers serveurs de Cerner qui n’avaient pas encore été migrés vers Oracle Cloud. Les données accédées auraient été répliquées vers un serveur distant, et « pourraient », selon Oracle, contenir des informations liées aux patients.

D’après Bloomberg, le FBI aurait ouvert une enquête au sujet de cette potentielle fuite de données, dont le périmètre exact n’a pas été communiqué. Le média évoque une attaque motivée par la volonté de faire payer une rançon aux entreprises médicales clientes d’Oracle Health.

Libérés de la liberté de choisir

L’entreprise compte verrouiller encore un peu plus la création de compte sur Windows 11, pour rendre obligatoire le compte Microsoft. La dernière préversion du système bloque ainsi l’utilisation d’une méthode courante pour contourner cette étape. Mais ce court-circuit a déjà son propre court-circuit.

L’année dernière, Microsoft avait expliqué pourquoi un compte maison était si important pour Windows 11. Il déverrouille de nombreuses fonctions, dont la synchronisation des fichiers, des paramètres et autres, l’intégration de Microsoft 365, la sauvegarde des licences et de certaines clés de chiffrement, etc.

Problème, une partie des utilisateurs préfère utiliser un compte local. Tout le monde ne court pas après la synchronisation des informations. Ou, pour être plus précis, la synchronisation par Microsoft, avec le stockage des données personnelles chez l’éditeur américain. Pendant longtemps, les Windows ont permis la création d’un compte local. Mais Windows 11 a commencé à serrer la vis, avec des méthodes de contournement, comme la coupure de la connexion internet pendant la première configuration du système.

Nouveau tour de vis

Dans un billet, Microsoft a présenté récemment les préversions 26200.5516 et 26120.3653, respectivement pour les canaux Dev et Beta. Les nouveautés présentées sont nombreuses : recherche sémantique pour les PC Copilot+ équipés de processeurs AMD et Intel, récapitulatif écrit pour le Narrateur, ou encore des améliorations pour l’écran d’erreur vert en cas de redémarrage forcé, le Copilot et la fenêtre de partage.

Mais parmi les changements, on trouve également le blocage du contournement par BypassNRO. Les deux listes incluent en effet le message suivant : « Nous supprimons le script bypassnro.cmd de la version de base afin d’améliorer la sécurité et l’expérience utilisateur de Windows 11. Ce changement garantit que tous les utilisateurs sortent de la configuration avec une connectivité Internet et un compte Microsoft ».

Cette commande pouvait être utilisée depuis une invite de commande (Maj + F10) pendant la première configuration de la machine, après installation du système. Il suffisait alors d’entrer « oobe\bypassnro » pour contourner l’exigence d’un compte Microsoft, autorisant la création d’un compte local. Le script créait une clé dans la base de registre.

Contourner le contournement

Si Microsoft a bloqué le script pendant l’installation des préversions, la clé de registre peut toujours être créée. La méthode consiste à déclencher directement l’opération par la ligne de commande, même si cette dernière est nettement plus longue à écrire que le simple script bypassnro.cmd.

Il faut saisir deux commandes :

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE /v BypassNRO /t REG_DWORD /d 1 /f

shutdown /r /t 0

Si la ligne de commande vous semble trop rébarbative, il est également possible de le faire à la souris dans l’éditeur de registre. Pour cela, depuis l’invite de commande (toujours Maj + F10), entrez « regedit » et validez. Rendez-vous dans HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion, puis créez la clé OOBE si elle n’existe pas. Là, dans ce dossier, créer une valeur DWORD 32 bits nommée « BypassNRO » et affectez lui la valeur 1. Il faudra ensuite redémarrer la machine.

Attention toutefois, Microsoft pourrait également bloquer cette possibilité. Le changement étant apparu dans des préversions, il serait simple pour l’éditeur d’insérer un nouveau blocage dans les prochaines semaines.

Ajoutons également que ce « bypass » reste fonctionnel sur les révisions stables de Windows 11, y compris la dernière 24H2.

Enfin, une autre méthode est apparue il y a six mois environ, comme relevé par Neowin notamment. Elle passe par l’utilisation de la console de développement juste avant de choisir une deuxième disposition pour le clavier pendant l’assistant de première configuration. Bien que la méthode soit clairement expliquée sur un dépôt GitHub, elle n’a pas fonctionné chez nous sur une installation neuve de Windows 11 24H2, malgré de multiples tentatives.

Notez qu’en passant par l’utilitaire Rufus, il reste possible pour l’instant de créer une clé d’installation Windows 11 sans le verrouillage sur le compte Microsoft. Pour mémoire, ce même utilitaire peut aussi être utilisé pour désactiver la vérification de la présence de la puce TPM 2.0, comme nous l’indiquions en février.

• Windows 11 : quatre méthodes pour contourner TPM 2.0

Flock 2.0 pour vous servir

Vous en rêviez ? Next vous propose un nouvel outil : avec un simple prompt, générez des images dans le « style des dessins de Flock ». Là encore, nous avons mis à contribution l’IA générative, mais en local. Explications.

Quand Flock a vu la semaine dernière des images « style Ghibli » générées par l’intelligence artificielle d’OpenAI, il était assez dubitatif. Mais il s’est vite rendu compte du potentiel de cette fonctionnalité, d’autant qu’elle a été reprise à tour de bras par des internautes et politiciens, sans plus de réflexion que « c’est beau ».

Bref, il veut croquer sa part du gâteau et Next pourrait de son côté profiter d’une belle exposition médiatique. Un combo gagnant-gagnant ?

Autant prendre les devants, avec une IA maison

Il a donc décidé de prendre les devants et de se lancer, avec l’aide de l’IA générative. Comme nous l’expliquions récemment, il utilisait déjà un peu l’IA, mais il passe clairement une nouvelle étape… sans doute un peu poussé par Sébastien qui s’en sert largement pour développer des extensions et d’autres applications.

Ce n’est pas tout. Flock dresse un constat triste, mais réaliste de la situation : il y a des chances que des IA génératives se nourrissent déjà de son travail, bien que l’indexation de nos contenus ne soit pas autorisée par notre fichier robots.txt. Ce dernier n’engage malheureusement que ceux qui y croient et veulent bien jouer le jeu. « Il est important de comprendre qu’il ne s’agit là que d’une indication sur ce que doivent faire les robots bienveillants, ce n’est en aucun cas un élément de sécurité. En effet, certains robots ignorent ce fichier », rappelle à juste titre Wikipédia.

On a fait chauffer les serveurs de moji

Il a donc profité d’une réunion d’équipe pour lancer une idée : que Next propose des dessins dans le « style Flock » aux lecteurs. Une fonctionnalité qui serait évidemment réservée à nos abonnés.

Sans attendre, on se lance, d’autant que moji dispose d’un datacenter, avec des serveurs et des GPU que nous pouvons utiliser pour divers projets. L’investissement pour Next est quasi nul, autant en profiter sans attendre ! Pour la phase d’entrainement, nous avons utilisé près de 3 000 dessins de Flock sur nos serveurs, et il nous a fourni près de 5 000 brouillons supplémentaires, tous réalisés pour Next.

• Retrouvez tous les dessins de Flock

Il faut bien le reconnaitre : c’est encore un peu juste pour arriver à un résultat parfait, mais c’est déjà largement exploitable pour une première version. L’outil est donc en bêta pour le moment. Nous le laissons ouvert à tous pour le moment, afin d’avoir un maximum de retours avant de le finaliser.

Un outil en bêta, accessible à tous pour l’instant

Pendant ce temps, l’IA génère des dessins supplémentaires de Flock. Ils serviront ensuite à réaliser une seconde phase d’apprentissage sur la base de dessins plus nombreux. Tous les GPU n’étant pas encore disponibles pour la génération d’images, le résultat peut mettre jusqu’à une trentaine de secondes à s’afficher. Patience donc.

En attendant, prenez ce nouvel outil en main, testez et faites-nous part de vos retours !

Democracy

Le Conseil d’État déclare illégal le blocage de TikTok imposé à la Calédonie en mai 2024. Il précise les conditions dans lesquelles une telle suspension pourrait être légale.

En pleines émeutes de contestation du projet gouvernemental de dégel électoral, en Nouvelle-Calédonie, le gouvernement avait déclaré l’état d’urgence et suspendu l’accès à TikTok. À partir du 15 mai 2024 à 20 heures et pendant deux semaines, le réseau social n’était plus accessible depuis la collectivité d’outre-mer.

La Quadrature du Net, la Ligue des droits de l’homme, ainsi que des particuliers avaient rapidement attaqué la décision de blocage en justice, le qualifiant de « coup inédit et particulièrement grave à la liberté d’expression en ligne ». Ce 1ᵉʳ avril, le Conseil d’État a rendu sa décision, dans laquelle il annule le blocage de TikTok.

Il souligne notamment que l’autorité administrative ne peut normalement interrompre un tel service « que si la loi le prévoit compte tenu des atteintes qu’une telle mesure porte aux droits et libertés (notamment liberté d’expression, libre communication des pensées et des opinions, droit à la vie privée et familiale, liberté du commerce et de l’industrie). »

• Blocage de TikTok en Nouvelle-Calédonie : quels sont les enjeux ?

Trois conditions à la suspension

Au passage, l’institution précise les conditions dans lesquelles un Premier ministre pourrait légalement interrompre « provisoirement » l’accès à un réseau social, « même si la loi ne le prévoit pas ». Ces conditions sont au nombre de trois.

La suspension peut être décidée « si la survenue de circonstances exceptionnelles la rend indispensable ». Elle ne peut l’être « qu’à titre provisoire », à condition « qu’aucun moyen technique ne permette de prendre immédiatement des mesures alternatives moins attentatoires aux droits et libertés que l’interruption totale du service pour l’ensemble de ses utilisateurs ». Enfin, cette suspension ne peut être mise en œuvre que « pour une durée n’excédant pas celle requise pour rechercher et mettre en œuvre ces mesures alternatives ».

• VIGINUM décrypte les liens entre un dictateur de l’ex-URSS et des indépendantistes d’outre-mer

Durée indéterminée

En l’occurrence, si le Conseil d’État admet que la situation en Nouvelle-Calédonie relevait bien des « circonstances exceptionnelles », dans la mesure où les émeutes ont entraîné des décès et des atteintes aux personnes et aux biens « d’une particulière gravité », il souligne que la suspension de TikTok décidée par le Premier ministre d’alors, Gabriel Attal, l’a été sans indication de durée, et « sans subordonner son maintien à l’impossibilité de mettre en œuvre des mesures alternatives ».

Le Conseil d’État juge ce blocage illégal, car ayant porté « une atteinte disproportionnée aux droits et libertés invoqués par les requérants ».

Diffusée le 20 mars, une fausse vidéo du Figaro a rencontré un écho inédit sur les réseaux X et TikTok. Alors qu’Emmanuel Macron et Vladimir Poutine s’opposent, la vidéo affirme que « 71 % des Français sont convaincus que leur vie serait meilleure si le président français était Poutine ».

Le logo, la charte éditoriale… la vidéo est en tout point similaire à une production du Figaro, mais tout est faux, comme le soulignera le journaliste en charge des réseaux sociaux du Figaro Jean-Baptiste Semerdjian.

Copier des médias installés pour diffuser de la désinformation, le modus operandi est typique de l’opération Matriochka, qui sévit depuis un an et demi dans l’espace informationnel français.

• Guerre hybride : Viginum revient sur trois ans d’ingérence russe au sujet de l’Ukraine

Mais le projet d’opposants russes Bot Blocker (@antibot4navalny / @antibot4navalny.bsky.social), qui œuvre régulièrement à documenter ces opérations, relève ici une spécificité : la réponse d’un internaute réel, trompé par la vidéo, est rapidement devenue plus virale que la publication initiale du faux.

En effet, « pour la première fois, la réponse d’un utilisateur en tant que telle a été amplifiée par les robots Matrioshka, alors qu’auparavant, ils se concentraient exclusivement sur les faux visuels qu’ils créaient eux-mêmes », indique @antibot4navalny.

En pratique, les bots liés aux comptes pilotant l’opération sont allés démultiplier l’audience de publication d’internautes légitimes sur Telegram, TikTok et Twitter, pour augmenter la portée de leurs réactions, entrainant à leur suite d’autres internautes légitimes.

• Désinformation : comment Viginum lutte contre les ingérences numériques étrangères


Nouvelle mouture pour la suite d’outils. Le plus gros apport de cette version 0.90 est la version 2 de Run, désormais renommé Command Palette (ou Palette de commandes). La palette fonctionne comme ce que l’on connait dans d’autres applications, comme Visual Studio Code. Son interface a été enrichie, son système d’extensions retravaillé et un accent particulier a été mis sur les performances.

Le Color Picker, qui permet de sélectionner la couleur d’un pixel n’importe où dans l’écran, a été remanié sous le capot. .NET WPF remplace ainsi WPFUI, ce qui doit apporter une meilleure compatibilité à l’outil et un support amélioré des thèmes.

Parmi les autres nouveautés, on peut citer également la possibilité d’effacer directement un fichier dans Peek (Aperçu), le support des variables dans les noms de fichiers dans New+, la correction de plusieurs bugs dans FancyZones, ainsi qu’une autre pour Espaces de travail, qui ne parvenait parfois pas à capturer certaines applications minimisées.

La mise à jour est disponible depuis la fenêtre principale des PowerToys. Pour les personnes qui voudraient essayer la suite d’outils (bien pratique), l’installeur se récupère depuis le Microsoft Store ou le dépôt GitHub associé. Rappelons que ces applications sont open source (licence MIT).

OpenAI a formalisé un nouveau tour de table à hauteur de 40 milliards de dollars, amenés principalement par Softbank. Pour conclure sa levée de fonds, la société doit cependant achever sa bascule vers un modèle « for profit ». Sam Altman annonce en parallèle la sortie prochaine d’un modèle à poids ouverts, une démarche qu’OpenAI n’avait pas engagée depuis 2019.

Un tour de table à 40 milliards de dollars, calculé sur la base d’une valorisation d’entreprise désormais estimée à 300 milliards de dollars  : OpenAI a annoncé lundi ce qui devrait devenir la plus importante levée de fonds jamais réalisée par une entreprise de la tech. Cette manne doit permettre à l’entreprise de « repousser encore plus loin les frontières de la recherche en IA, faire évoluer notre infrastructure de calcul et fournir des outils de plus en plus puissants aux 500 millions de personnes qui utilisent ChatGPT chaque semaine », affirme-t-elle dans un bref communiqué.

Une levée de fonds assortie de conditions

Le groupe japonais Softbank représente le principal contributeur à ce tour de table, qui sera cependant réalisé en deux temps, et soumis à plusieurs conditions suspensives. Le premier round, programmé pour le mois d’avril, porte sur une enveloppe de 10 milliards de dollars.

Le second round est quant à lui attendu pour fin 2025 ou début 2026, et peut atteindre 30 milliards de dollars si et seulement si OpenAI parvient à boucler la restructuration de son capital, pour parvenir à devenir une entité commerciale classique, sans limitation liée à sa composante non-profit (sans but lucratif) historique.

La société dirigée par Sam Altman repose aujourd’hui sur une structure dite « capped profit », dont les bénéfices sont plafonnés (l’excédent devant, statutairement, remonter vers la structure à but non lucratif). OpenAI travaille depuis des mois à l’évolution de sa gouvernance, précisément pour répondre aux exigences de Softbank et préparer ce tour de table.

Sur cette deuxième phase, Softbank prévoit de laisser de la place à de potentiels co-investisseurs, à hauteur de 10 milliards de dollars. D’après CNBC, le tour de table inclurait Microsoft, soutien historique d’OpenAI, ainsi que les fonds Coatue, Altimeter Capital et Thrive Capital. Une partie des fonds levés aurait vocation à alimenter la contribution d’OpenAI au projet Stargate, qui ambitionne pour mémoire de fédérer 500 milliards de dollars pour construire des infrastructures dédiées à l’IA aux États-Unis.

Sam Altman annonce un modèle à poids ouverts

OpenAI a, en parallèle, lancé un appel à contributions en direction des développeurs, pour recueillir leurs suggestions relatives à un futur modèle de langage à poids ouvert. La page dédiée propose un formulaire via lequel l’entreprise demande quels sont les modèles ouverts avec lequel la personne a déjà travaillé, et quelles seraient ses attentes quant à un modèle open-weight signé OpenAI.

« Nous prévoyons de publier notre premier modèle de langage à poids ouvert depuis GPT-2. Nous y réfléchissons depuis longtemps mais d’autres priorités ont pris le pas. Maintenant, cela nous semble important de le faire », commente Sam Altman sur X. Il annonce que des événements dédiés aux développeurs seront organisés prochainement, d’abord à San Francisco, puis en Europe et en Asie, pour recueillir les retours de la communauté et présenter les premiers prototypes.

« Nous sommes impatients de voir ce que les développeurs construiront et comment les grandes entreprises et les gouvernements l’utiliseront là où ils préfèrent exécuter eux-mêmes un modèle », se réjouit-il encore. À ce stade, OpenAI ne livre aucune information précise quant à la nature exacte de ce futur modèle. L’engagement porte simplement sur l’ouverture des poids, c’est-à-dire les paramètres définis au cours de l’entraînement qui conditionnent l’exécution du modèle.

• IA générative : quels modèles sont vraiment ouverts

C’est un projet financé par le plan d’investissement France2030, avec 50 millions d’euros sur sept ans. Il est piloté par le CEA et le CNRS. Il « vise à accélérer le développement de supraconducteurs à haute température pour répondre aux défis énergétiques et sociétaux de demain, grâce notamment à l’énergie de fusion ».

Si la fission nucléaire consiste à casser un noyau atomique pour créer de l’énergie, la fusion associe deux noyaux légers pour en faire un plus lourd. C’est le type de réaction que l’on retrouve au cœur des étoiles.

• Fission et fusion nucléaire : de quoi parle-t-on et comment ça marche

Attention à ne pas vous laisser avoir par la « haute température critique », il s’agit de 80 kelvins soit - 193 °C, mais on est loin des 4 kelvins (- 269 °C) des supraconducteurs traditionnels. Les supraconducteurs ont des « propriétés électriques et magnétiques particulières, qui les rendent aptes à supporter des courants d’intensité très élevée », explique le CNRS. Mais aussi sans perte, ajoute le CEA.

Ces matériaux pourraient être cruciaux en fusion nucléaire, mais ils « présenteraient également un grand potentiel dans de nouvelles applications comme la production d’électricité éolienne, le transfert d’électricité ou la mobilité lourde bas-carbone (avions, bateaux) ».

Le programme de recherche s’articule autour de trois axes : « développer les briques technologiques des supraconducteurs haute température critique, démontrer leur fiabilité technologique à grande échelle autour d’un démonstrateur d’électro-aimant d’envergure, et explorer les applications de rupture, en particulier les centrales de fusion compactes électrogènes ».

Mainframe

Le DOGE veut migrer les systèmes de la Sécurité sociale des États-Unis en quelques mois. Ces derniers sont codés en COBOL, un langage ancien et désormais peu programmé, mais réputé pour sa robustesse.

Le « département de l’efficacité gouvernementale » des États-Unis (DOGE) est en train de constituer une équipe pour migrer l’intégralité des systèmes de la Sécurité Social locale en quelques mois. L’idée : se défaire des langages de programmation anciens sur lesquels ces systèmes reposent.

Le risque, comme le rapporte Wired : menacer l’intégrité de la totalité de l’architecture, et les allocations perçues par des dizaines de millions de personnes au passage. En pratique, le fidèle d’Elon Musk Steve Davis travaille déjà à sortir les systèmes de leur dépendance au langage COBOL.

COBOL : 66 bougies

À la suite des censures opérées par le gouvernement Trump, au moins un des sites qui saluait le travail de Grace Hopper est désormais hors ligne. Mais c’est bien cette docteure en mathématiques devenue informaticienne dans la Marine états-unienne qui a créé en 1959, avec les équipes du consortium sur les langages de systèmes de données (CODASYL), le COBOL (Common business oriented language). Comme son nom l’indique, il s’agissait de fournir un langage commun aux applications professionnelles.

Dans les vingt années qui suivent, le COBOL, standardisé en 1968, est adopté dans les administrations, le secteur bancaire, l’aviation, et ailleurs. 66 ans plus tard (et deux ans après sa dernière mise à jour ISO/IEC 1989:2023), il a été délaissé au profit de langages plus simples à manier pour quantités d’applications. Il garde toutefois de fidèles adeptes dans des secteurs critiques, dont les banques ou les administrations (y compris nos impôts ou notre Caisse d’Allocations familiales). En 2020, 80 % des transactions interpersonnelles réalisées aux États-Unis reposaient sur du COBOL, d’après Wealthsimple Magazine.

Les raisons du maintien du langage sont doubles : des enjeux de sécurité et de performance – COBOL a notamment été créé pour gérer rapidement de très grosses sommes de « transactions » – et son usage même, qui concerne généralement des applications centrales, vouées à rester en place une fois créées.

Le problème que cela pose : la pénurie de connaisseurs du COBOL force certaines entreprises à sortir d’anciens programmeurs de leur retraite pour les aider à faire évoluer leurs systèmes. Pour se représenter l’enjeu, des personnes qui sortaient du lycée en 1969 et devenaient programmeuses de COBOL partaient généralement à la retraite à la fin des années 2000, une fois la soixantaine atteinte.

5 ans pour le précédent projet de migration

C’est pour toutes ces raisons que le projet du DOGE soulève des questions. Auprès de Wired, de nombreux experts soulignent qu’une migration de l’ampleur prévue serait, de toutes manières, un projet énorme et risqué – l’infrastructure de la Sécurité sociale contient plus de 60 millions de lignes de codes en COBOL. Sa logique interne – c’est-à-dire les procédés qui fournissent des codes de Sécurité sociale, gèrent les paiements et calculent les montants à verser – est elle-même écrite en COBOL.

Dans le contexte actuel, la Sécurité sociale états-unienne est déjà sous pression : visée par des accusations de fraudes par Elon Musk lui-même – dont plusieurs des allégations se sont néanmoins prouvées, au mieux, trompeuses –, l’institution est spécifiquement visée par d’intenses coupes budgétaires. Depuis quelques semaines, son site web se retrouve fréquemment hors ligne, et l’attente téléphonique s’allonge, au point que le Washington Post parle de « chaos ».

Surtout, de précédents projets de migration ont déjà été envisagés, et la tâche s’avérait alors bien plus ardue qu’un projet de quelques mois. En 2017, l’agence avait elle-même annoncé un projet de remplacement de son système cœur, pour lequel elle cherchait des financements de centaines de millions de dollars. La durée annoncée du chantier, remplacé par des projets plus orientés vers le public en raison de la pandémie, était de cinq ans.

Et puis vient la question de l’efficacité, comme le détaille le journaliste Clive Thompson. Si des acteurs bancaires ou administratifs maintiennent leurs activités en COBOL malgré son ancienneté, c’est bien qu’ils ont pesé les risques. Le langage, on l’a dit, est très rapide. Par ailleurs, un nouveau système créé en quelques mois pour la Sécurité sociale a toutes les chances d’être plein de bugs, donc de planter en de multiples endroits. L’ancienneté du COBOL, en la matière, joue en sa faveur : au fil des décennies, les programmeurs ont eu le temps de débuger régulièrement.

Chez Next, on aimerait bien discuter avec des mainteneurs de mainframes et autres adeptes de COBOL français ou européens. Des contacts à nous recommander ?

Trop de consentement tue le consentement

L’Autorité de la concurrence a condamné Apple à une amende de 150 millions d’euros en raison de son dispositif App Tracking Transparency (ATT). Elle considère que cet écran, qui demande à l’utilisateur s’il accepte la collecte de ses données personnelles lors de l’installation d’une application, porte préjudice aux mécaniques de consentement implémentées par les éditeurs tiers dans leurs propres interfaces. Les représentants du monde de la publicité et les éditeurs de services en ligne saluent la décision.

Imposer un consentement supplémentaire aux éditeurs tiers quand un seul suffit au regard de la loi constitue une forme d’abus de position dominante, estime l’Autorité de la concurrence. Dans une décision rendue le 28 mars dernier, elle condamne Apple à 150 millions d’euros, en raison de la mise en œuvre du dispositif App Tracking Transparency (ATT) au sein de son App Store entre avril 2021 et juillet 2023. « L’Autorité adjoint à cette sanction pécuniaire une obligation pour Apple de publication du résumé de la décision sur son site internet pendant une durée de sept jours consécutifs », précise-t-elle encore.

ATT : un consentement préjudiciable aux éditeurs tiers ?

Introduit au printemps 2021 avec iOS 14.5, après avoir été annoncé à l’été 2020, l’App Tracking Transparency est le dispositif par lequel Apple demande à l’utilisateur s’il accepte que son appareil iOS communique son identifiant dédié au ciblage publicitaire (le code IDFA, pour Identifier for Advertisers) à un éditeur tiers.

En pratique, il prend la forme d’un écran de recueil du consentement, qui s’affiche après l’installation d’une application téléchargée sur l’App Store. « Autoriser (l’application) à suivre vos activités dans les apps et sur les sites Web d’autres sociétés ? », demande cet écran. Deux options sont proposées : « Demander à l’app de ne pas me suivre » et « Autoriser ».

Le dispositif avait été attaqué dès 2020, avant même son déploiement effectif, au travers d’une action entamée devant l’Autorité de la concurrence par une coalition d’éditeurs de services en ligne et d’acteurs du monde de la publicité.

Ces derniers dénonçaient alors le caractère asymétrique de l’écran ATT : « il ne s’applique qu’aux situations dans lesquelles un éditeur serait amené à partager des données avec ses fournisseurs de services publicitaires autres qu’Apple. Ce dernier se réservant le droit de détenir, collecter et utiliser les données sans devoir recueillir un consentement supplémentaire pour ses activités publicitaires ».

« Les saisissantes reprochaient principalement à Apple d’imposer aux éditeurs d’applications de manière inéquitable une sollicitation superfétatoire et non conforme au RGPD et ePrivacy, tout en s’affranchissant de ces mêmes restrictions, favorisant ainsi son propre écosystème fermé, ses propres applications et ses services publicitaires », résument lundi les plaignants dans un communiqué commun.

Alliance Digitale, le Syndicat des Régies Internet (SRI), l’Union des entreprises de conseil et d’achat média (Udecam) et le Groupement des éditeurs et services en ligne (Geste) y saluent une « victoire importante », pour un écosystème dont les modèles économiques et les revenus auraient été « gravement affectés par l’ATT ».

L’Autorité de la concurrence n’a pas encore publié le texte intégral de la décision, mais elle en commente la teneur dans un communiqué.

Deux consentements ne valent pas mieux qu’un

Elle y remarque que l’ATT n’est pas nécessaire au regard de la loi dans la mesure où il ne permet pas « le recueil d’un consentement valable au regard du droit applicable tel qu’il résulte, notamment de la loi Informatique et Libertés ».

Dans ce contexte, Apple reste « libre d’édicter des règles de protection des consommateurs supplémentaires à celles imposées par la réglementation », souligne le gendarme de la concurrence. À condition toutefois que cet objectif légitime soit mis en œuvre dans le respect du droit de la concurrence, compte tenu de la position dominante de l’entreprise sur le marché de la distribution d’applications à destination des terminaux iOS.

Or, décrit l’Autorité, les modalités de fonctionnement de l’ATT « compliquent artificiellement le parcours des utilisateurs d’applications tierces et faussent la neutralité du dispositif au détriment des petits éditeurs se finançant par la publicité ».

« En effet, si le refus d’une opération de traçage publicitaire ne doit être effectué qu’une fois, l’acceptation d’une telle opération doit, quant à elle, toujours être confirmée une seconde fois par l’utilisateur », précise encore l’Autorité. Selon elle, cette asymétrie empêcherait « le recueil d’un consentement éclairé que l’ATT est pourtant censé favoriser ». Si l’utilisateur refuse le transfert de ses données au niveau de l’ATT, le consentement obtenu par l’éditeur au niveau de sa propre plateforme de gestion n’aura en effet aucune valeur.

La CNIL suggère une fusion des autorisations

Sollicitée pour avis, la CNIL remarque quant à elle que « la sollicitation ATT pourrait aisément, sous réserve de quelques modifications, servir également à recueillir les consentements requis par la loi française et le RGPD ». Autrement dit, Apple pourrait modifier son dispositif de façon à ne proposer qu’un unique panneau de consentement, valable aussi bien au niveau d’iOS qu’au sein de l’application tierce.

L’Autorité prend par ailleurs en compte dans sa décision l’asymétrie de traitement constatée entre les services publicitaires d’Apple et ceux des éditeurs tiers. Jusqu’à iOS 15, la firme de Cupertino n’utilisait en effet pas l’ATT pour ses propres applications, ce qui lui avait déjà valu une condamnation de la part de la CNIL en janvier 2023.

Si elles saluent la décision, les organisations plaignantes regrettent que l’Autorité de la concurrence n’ait imposé aucune modification du dispositif à Apple. « Par conséquent, si aucun changement n’est apporté dans les prochaines semaines, l’illégalité persiste », affirment-elles, demandant la suspension immédiate d’ATT en attente des modifications nécessaires.

« Bien que nous soyons déçus par la décision d’aujourd’hui, l’Autorité de la concurrence française n’a pas exigé de changements spécifiques à l’App Tracking Transparency », remarque de son côté Apple, dans une réaction reproduite par l’AFP.

Le sujet n’a sans doute pas fini de faire des vagues. Mi-février, l’Autorité de la concurrence allemande a elle aussi estimé dans un avis préliminaire que le dispositif ATT présentait un caractère abusif et anticoncurrentiel. Comme en France, elle avait été saisie par un consortium de médias et d’acteurs de la publicité en ligne.

« Le vent se lève, il faut tenter de vivre »

Des politiques ont surfé sur la vague d’images générées par IA au style très proche de celui de Hayao Miyazaki, utilisé par OpenAI pour faire la promotion de son nouveau modèle. Du RN à Renaissance en passant par LFI, plusieurs s’en sont aussi servi pour leur propre promotion, celle d’autres personnalités de leurs mouvements ou d’actions politiques.

Des personnalités politiques ont diffusé en fin de semaine dernière des portraits d’eux-mêmes ou des illustrations de communication politique surfant sur la vague d’images générées par le modèle 4o Image Generation d’OpenAI. Elles reprenaient le style de Hayao Miyazaki et de ses collègues du studio Ghibli.

• Pour la promotion de ses modèles, OpenAI se sert du style du réalisateur anti-IA Miyazaki

L’incarnation de la Protection Civile par une image générée par une IA

Ainsi, Emmanuel Macron a publié samedi soir sur Twitter, un message sur la Protection Civile. Mais, pour illustrer les 32 000 bénévoles qui « veillent, secourent, forment et protègent » et à qui il adresse la phrase « vous incarnez le faire Nation et la Fraternité », le président de la République a préféré illustrer cette « incarnation » par une image générée par IA reprenant un style manga.

Gabriel Attal avec un mouton, Manon Aubry le poing levé ou Marine Le Pen sur le perron de l’Élysée

D’autres personnalités politiques ont, en fin de semaine, publié sur leurs réseaux sociaux des images de ce style : l’ancienne porte-parole du gouvernement et députée Renaissance Prisca Thevenot, et le Secrétaire général du même parti, Gabriel Attal, n’ont pas résisté à l’autopromotion.

Manon Aubry a, elle aussi, publié sur son compte Instagram des images la mettant en scène, dont l’une avec le leader de son mouvement, Jean-Luc Mélenchon. Mais finalement, la députée européenne LFI a peu de temps après supprimé ces images de son compte, alors que des utilisateurs du réseau social critiquaient cette utilisation. Le même week-end, le think tank Institut La Boétie de LFI proposait un colloque intitulé « L’intelligence artificielle, un nouveau champ de batailles ».

Du côté du RN, le député Alexandre Sabatou, qui se présente sur son compte X « pour une IA française et souveraine », a publié mardi 26 sur Twitter une image du même style mettant en scène Marine Le Pen montant les marches du perron de l’Élysée. C’était avant que Marine Le Pen soit condamnée pour détournement de fonds publics à deux ans de prison ferme et cinq ans d’inéligibilité avec application immédiate dans l’affaire des assistants européens du FN.

« Inconséquence des politiques »

Pour la correspondante au Japon de Libération, Karyn Nishimura, cette vague de communication exprime une « étrange inconséquence des politiques français postant des pseudo-images Ghibli générées via OpenAI ». Karyn Nishimura a, elle, bel et bien été l’héroïne du manga « Ivre du Japon », publié par son mari et auteur de mangas J.P. Nishi.

Pour Karyn Nishimura, « la question est éthique plus que juridique ». Elle dénonce le fait qu’OpenAI « ne voit aucun problème moral à entraîner sans vergogne son IA avec des œuvres de renom pour mieux commercialiser sa technique » mais aussi « que des personnalités politiques trahissent leur devoir en adressant aux artistes déjà démoralisés le pire des messages : « On peut se passer de vous, qui plus est avec des outils qui pillent votre travail. » ».

Finalement, après avoir laissé entendre que son entreprise maitrisait très bien la communication autour de cette vague d’images, Sam Altman a encore joué sur le storytelling d’un usage dépassant ses attentes. Après avoir tweeté un message demandant aux utilisateurs de se calmer, il a restreint la génération d’images aux comptes payants de son chatbot. Il a ainsi fait baisser, par la même occasion, la vague d’images au style Ghibli qui aura déferlé sur les réseaux sociaux pendant une semaine.

et le respect bon sang ?

[Mise à jour ] : Exceptionnellement, la rédaction décide de rendre la rubrique hebdomadaire de Flock disponible à tous nos lecteurs, même ceux qui ne sont pas encore abonnés. Au regard de l’actualité concernant Open Ai et le Studio Ghibli et par cette libération de ce contenu, nous voulons rappeler que si l’intelligence artificielle sait copier, elle n’a toujours pas craqué les concepts mis en évidence par Bergson : l’humour artificiel n’est pas encore au goût du jour. Enjoy !

Ah mes chers amis, nous voilà envahis par la connerie et c’est un véritable piège qui se referme sur nous. Si ça peut vous rassurer, c’est un phénomène mondial et personne n’y échappe. Se faire des ennemis à l’autre bout du monde ou à la maison, les lister, montrer les muscles en retour, considérer leur prochain comme de la matière première à business lucratif, d’une façon ou d’une autre, pas besoin de sortir les pincettes : ce n’est plus une épine dans le pied quand on n’a pas le cul sorti des ronces. Pour ça, il faudrait replacer le cerveau au-dessus du bulbe et miser sur la recherche de savoir et sagesse : la cour des comptes nous dira que c’est pas gagné. Allez, on en aura bien profité. Bon weekend !

Xiaofeng Wang, un informaticien spécialisé depuis vingt ans dans la cryptographie, la cybersécurité et la protection de la vie privée a disparu des radars. 


Ses comptes et téléphones professionnels ont été supprimés par son employeur, l’université de l’Indiana.

L’université a aussi supprimé toutes les informations relatives à sa femme Nianli Ma, qui travaillait comme analyste système principale et programmeuse au département des Library Technologies. 


Le FBI s’est par ailleurs rendu à leur domicile le 28 mars, sans que les raisons n’en soient connues, rapporte Ars Technica.

« Nous avons mené des opérations de maintien de l’ordre, autorisées par le tribunal, dans des domiciles de Bloomington et de Carmel, a confirmé une porte-parole du bureau du FBI à Indianapolis, auprès d’une radio locale. Nous n’avons aucun autre commentaire à faire pour le moment. »

Xiaofeng Wang était doyen associé de la recherche à la Luddy School of Informatics, Computing and Engineering de l’université de l’Indiana, et fellow de l’Institute of Electrical and Electronics Engineers et de l’American Association for the Advancement of Science.

Il a par ailleurs signé de nombreux articles de recherche en cryptographie, sécurité des systèmes, protection des données et protection des données génomiques.

Ce week-end, plusieurs des collègues du couple ont déclaré leur inquiétude sur les réseaux sociaux, et leur incompréhension de voir toutes les informations qui leur étaient relatives disparaître du site de leur employeur.

Lancer, exploser, apprendre, répéter

La fusée Spectrum a décollé hier soir du nord de la Norvège. Elle n’a pas atteint l’espace et a explosé 30 secondes après son décollage. Son fabricant Isar Aerospace et le port spatial d’Andøya parlent d’un « succès ». Le temps est maintenant à l’analyse des données, avant de procéder à de nouveaux essais.

Hier, la société allemande Isar Aerospace faisait décoller pour la première fois sa fusée Spectrum, depuis la base norvégienne de l’île d’Andøya. Elle est située à l’intérieur du cercle polaire, au nord des îles Lofoten, une position idéale pour lancer des satellites sur des orbites polaires ou héliosynchrones.

Une orbite polaire (basse altitude) survole chaque jour la surface complète de la terre. Elle peut être héliosynchrone, les satellites observant alors toujours chaque région du globe à la même heure locale solaire. Pour en savoir plus sur ces deux orbites, vous pouvez lire notre dossier sur Ariane 6.

• Ariane 6 : vers l’infini et au-delà ?

« Peu importe jusqu’où nous irons »

De son côté, Isar Aerospace, acteur du new space européen, a été sélectionné par l’Agence spatiale européenne dans le cadre du programme Boost!.

Le 14 mars, l’entreprise recevait le feu vert de la Norwegian Civil Aviation Authority (NCAA) pour son premier vol d’essai. Le 17 mars, Isar Aerospace expliquait que « l’objectif de ce premier test du lanceur est de collecter autant de données et d’expérience que possible ». L’entreprise ajoutait que sa fusée avait été « conçue, développée et construite presque entièrement en interne ».

Baptisée « Going Full Spectrum », cette première mission d’Isar Aerospace ne disposait d’aucune charge utile de partenaires. L’espoir d’atteindre l’orbite était assez faible : « Notre objectif est de tester chaque composant et système du lanceur […] Peu importe jusqu’où nous irons avec ce vol d’essai », affirmait Alexandre Dalloneau, vice-président de la société, avant le lancement.

Même son de cloche quelques jours avant le lancement de la part de Daniel Metzler (CEO et co-fondateur d’Isar Aerospace) : « Nous ne nous attendons pas à atteindre l’orbite avec ce test. En réalité, aucune entreprise n’a encore réussi à placer son tout premier lanceur orbital en orbite. SpaceX a eu besoin de quatre tentatives, mais nous voulons aller plus vite », expliquait-il à l’AFP.

30 secondes de vol avant une explosion

Une diffusion officielle et en direct du lancement était au programme. Si la fusée a décollé correctement, elle s’est retournée après seulement 30 secondes de vol avant de venir s’écraser dans l’eau avec une belle explosion à la clé. La base d’Andøya parlait poliment d’un « incident » sur les réseaux sociaux, ajoutant que « la gestion de crise a été activée ».

Andøya s’est ensuite fendu d’un communiqué, depuis retiré mais toujours visible sur Webarchive : « le vol d’essai a été interrompu par le port spatial d’Andøya, conformément à nos procédures de sécurité […] Le lanceur s’est écrasé dans la mer. Personne n’a été blessé et les travaux d’évaluation des dommages environnementaux et matériels sont en cours ». Dans le vocabulaire de SpaceX, on parlerait de Rapid Unscheduled Disassembly (RUD).

« Notre premier vol d’essai a répondu à toutes nos attentes »

« Pour le port spatial d’Andøya et Isar Aerospace, ce vol d’essai a été un succès. Toutes les procédures et tous les systèmes ont été validés, et nous sommes impatients de planifier la prochaine tentative de lancement », ajoutait le communiqué désormais passé dans les oubliettes.

Chez Isar Aerospace aussi, on utilise à plusieurs reprises le mot « succès » pour parler de cette mission : « Le véhicule a quitté avec succès la rampe de lancement, a été arrêté à T+30 secondes et est tombé directement dans la mer de manière contrôlée ». La rampe de lancement du port spatial d’Andøya est « intacte ».

Daniel Metzler, CEO et co-fondateur d’Isar Aerospace se félicite aussi : « Notre premier vol d’essai a répondu à toutes nos attentes et a été un franc succès. Nous avons décollé sans encombre, avons effectué 30 secondes de vol et avons même pu valider notre système de terminaison de vol ». Quelques jours avant le lancement, il expliquait à l’AFP que « trente secondes de vol seraient déjà un vrai succès ».

Bülent Altan, président d’Isar Aerospace et ancien dirigeant de SpaceX, y va aussi de son analyse : « Comme je l’ai déjà expérimenté, il faut normalement quelques tentatives pour atteindre l’orbite, mais après le vol d’essai d’aujourd’hui, je suis très confiant qu’Isar Aerospace sera l’un des plus rapides à le faire ».

Isar Aerospace prévoit jusqu’à 40 lanceurs Spectrum par an

Dans un message sur X, accompagné d’un résumé vidéo de sa première mission, décrit la suite des événements : « Lancer, apprendre, répéter ». On y voit le lanceur décoller puis terminer sa courte vie dans une explosion dans la mer de Norvège.

Forte de son « succès », la société se tourne vers l’avenir : « Les lanceurs pour les deuxième et troisième vols du Spectrum d’Isar Aerospace sont déjà en production ». Elle ajoute que dans son usine de Munich (Allemagne), elle « sera en mesure de produire jusqu’à 40 lanceurs Spectrum par an à l’avenir ».

Le SignalGate a d’heureuses conséquences pour Signal. L’application de messagerie sécurisée a été utilisée par plusieurs membres éminents du gouvernement américain pour discuter d’un plan d’attaque au Yémen. Michael Waltz, conseiller à la sécurité de Donald Trump, a cependant invité par erreur un journaliste dans la conversation. Le contenu de la conversation a été publié par The Atlantic depuis.

Même si la Maison-Blanche minimise depuis l’incident, la bourde reste monumentale. Comme on l’a vu en fin de semaine dernière, l’évènement a beaucoup attiré l’attention sur Signal. Une médiatisation pas toujours bienveillante et qui a poussé la fondation à prendre la parole, pour expliquer comment fonctionne sa plateforme. On a également vu sa présidente, Meredith Whittaker remettre quelques pendules à l’heure dans les comparaisons avec WhatsApp.

À Wired, la fondation a indiqué en fin de semaine dernière que le nombre quotidien de téléchargements avait doublé. Il s’agirait de la plus forte augmentation jamais constatée par Signal en 11 ans d’existence. « Dans l’histoire de Signal, c’est le moment où la croissance aux États-Unis a été la plus forte, et de loin. C’est époustouflant, même pour nous », a ainsi déclaré Jun Harada, responsable croissance et partenaires à la fondation Signal.

Signal ne fournit aucun chiffre précis, mais ajoute que l’explosion a commencé juste après la publication de The Atlantic. Mieux, les chiffres se maintiendraient depuis. Wired cite les chiffres de Sensor Tower, qui vont dans le sens des déclarations de Signal, avec un boum de 105 % des téléchargements d’une semaine sur l’autre, et de 150 % par rapport à une semaine moyenne en 2024. Dans le reste du monde, l’augmentation serait d’environ 21 %.

Dans un communiqué, l’Inserm rappelle que « la mort subite d’origine cardiaque est responsable de plus de 5 millions de décès à travers le monde ». Dans un bon nombre de cas, cela arrive « sans signe précurseur identifiable », parfois sur des individus sans antécédents connu de maladie cardiaque.

C’est là que l’intelligence artificielle entre en jeu : elle « pourrait permettre de mieux anticiper les arythmies, des troubles inexpliqués du rythme du cœur dont les formes les plus sévères peuvent provoquer un arrêt cardiaque fatal ». C’est en tout cas le sens d’une étude entre des chercheurs de l’Inserm et de l’Université Paris Cité et de l’AP-HP, « en collaboration avec des chercheurs américains ».

Ils ont développé un réseau de neurones et l’ont entrainé avec « plusieurs millions d’heures de battements du cœur grâce aux données de 240 000 électrocardiogrammes ambulatoires recueillies dans six pays (États-Unis, France, Royaume-Uni, Afrique du Sud, Inde et République tchèque) ». Les algorithmes ont identifié de « nouveaux signaux faibles annonçant un risque d’arythmie ».

Les premiers résultats sont encourageants : le réseau de neurones « est encore en phase d’évaluation, mais, dans le cadre de cette étude, il a montré qu’il était capable de détecter les patients à risque dans 70 % des cas, et les patients sans risque dans 99,9 % des cas ».

« Jusqu’à présent, nous essayions d’identifier les patients à risque sur le moyen et long terme, mais nous étions incapables de prédire ce qui pouvait se passer dans les minutes, les heures ou les jours précédant un arrêt cardiaque. Aujourd’hui, grâce à l’intelligence artificielle, nous sommes capables de prédire ces événements à très court terme et, potentiellement, d’agir avant qu’il ne soit trop tard », explique Eloi Marijon, directeur de recherche à l’Inserm au sein du laboratoire Paris.

L’Inserm se projette dans le futur : « cet algorithme pourrait servir à surveiller les patients à risque à l’hôpital. À condition d’affiner ses performances, il pourrait aussi être intégré à des dispositifs comme les holters ambulatoires qui mesurent la pression artérielle pour mettre en évidence les risques d’hypertension, voire à des montres connectées ».

Souplesse avec nos données

L’autorité de protection des données revendique promouvoir « un juste équilibre entre la voie répressive et l’accompagnement ». En ce sens, elle indique qu’elle publiera en 2025 des documents destinés à aider les professionnels dans leur mise en conformité au RGPD concernant notamment l’IA, la santé, le consentement multi terminaux et les pixels espion.

La CNIL l’a déjà dit, elle veut une « innovation responsable » et n’envisage pas son rôle comme une autorité de répression : elle le martèle depuis longtemps, elle veut promouvoir « un juste équilibre entre la voie répressive et l’accompagnement ».

• IA vs RGPD : la CNIL veut une « innovation responsable »

Pour cela, elle crée régulièrement des documents dits « de droit souple » : des référentiels, des recommandations, des lignes directrices, des guides pratiques, etc. Pour 2025, l’autorité annonce concentrer ces contenus « de droit souple » sur quelques thématiques connues à l’avance « pour que les professionnels concernés puissent se préparer aux concertations ou aux consultations à venir », explique-t-elle.

Encore et toujours l’IA

D’abord, et ça n’étonnera que les personnes qui ne se sont pas connectées à Internet depuis trois ans, elle veut poursuivre ses travaux « de clarification afin d’aider les professionnels à concilier innovation et respect des droits des personnes pour un développement innovant et responsable de leurs systèmes d’IA ». Bref, l’autorité va proposer des fiches sur la bonne façon de citer l’intérêt légitime dans les CGU des modèles d’IA pour être en règle avec le RGPD. Elle proposera aussi des fiches sur leur sécurisation et leur annotation.

Elle va aussi publier des conseils concernant le déploiement des IA dans le secteur de l’éducation, du travail et des collectivités locales.

Sous-traitants, assouplir l’utilisation des données de santé et clarification sur l’octroi de crédit

Pour aider les entreprises à faire respecter le RGPD par leurs sous-traitants, l’autorité construit plusieurs référentiels. La CNIL espère que les entreprises s’en saisiront et qu’elle n’aura donc pas à enquêter puis sanctionner ensuite. C’est pourtant un sujet déjà ancien et l’autorité a déjà dû infliger des amendes à des entreprises comme Darty, Infogreffe ou encore Pap.fr pour négligence auprès de leurs sous-traitants. Elle a mis en place une consultation publique sur le sujet qu’elle a clôturée fin février et va maintenant construire la version définitive de son référentiel.

La CNIL veut aussi mettre à jour ses référentiels sur les traitements de données de santé. Alors qu’elle exige actuellement une demande d’autorisation préalable auprès d’elle, l’autorité affirme vouloir modifier son parcours concernant le traitement de ces données en s’appuyant sur la base d’une déclaration de conformité. Elle explique vouloir s’adapter aux demandes des acteurs et aux pratiques professionnelles dans le secteur de la recherche en santé exprimées lors de la consultation publique qu’elle a menée en 2024.

L’autorité planifie aussi de publier un référentiel sur l’octroi de crédit par les banques, alors que celles-ci s’appuient de plus en plus sur des algorithmes utilisant les données de leurs (futurs) clients pour prendre leurs décisions.

Enfin deux référentiels sur la conservation des données sont au planning de cette année pour les activités commerciales et marketing et pour celles des ressources humaines.

Le consentement se fait-il pour tous les terminaux utilisés ?

L’autorité affiche sa volonté de renforcer ses textes de recommandation sur le consentement multi terminaux. En effet, la multiplication des appareils pour chaque utilisateur fait qu’on peut très régulièrement être connecté avec un même compte sur différents appareils. Mais, est-ce qu’en acceptant des conditions sur l’un d’eux (comme le dépôt de cookies), on les accepte sur tous ? Est-ce qu’en me logguant sur mon téléphone personnel, je donne le même consentement qu’en le faisant sur mon ordinateur professionnel ? Questions intéressantes auxquelles l’autorité veut s’atteler.

La CNIL veut aussi profiter de l’année 2025 pour publier un projet de recommandation concernant l’utilisation des pixels dans les courriels « dont l’usage est en forte croissance ». « L’objectif est de préciser les cas dans lesquels le consentement est nécessaire et guider les acteurs sur les modalités de son recueil », indique-t-elle.

Protéger les séniors et se pencher sur les dashcams

Elle veut aussi cibler le champ de l’économie des séniors, marché très « porteur » mais qui demande attention car le public peut être plus vulnérable. « La nature des données traitées et le ciblage en fonction de l’âge, notamment, soulèvent d’importants enjeux en matière de protection des données », affirme l’autorité.

Enfin, la CNIL veut se pencher sur les dashcams, les caméras embarquées dans les véhicules mis en place par certains automobilistes pour constituer des preuves en cas d’accident, lutter contre le vol ou diffuser des images spectaculaires sur les réseaux sociaux. Le « club conformité » mis en place par l’autorité et dédié aux acteurs du véhicule connecté et de la mobilité doit proposer des recommandations sur l’utilisation des ces caméras.

Lancé la semaine dernière, le modèle Gemini 2.5 Pro Experimental représente la dernière offensive de l’éditeur dans le domaine de l’IA générative. Il s’agit d’un modèle de « raisonnement », capable de s’arrêter après chaque étape du processus de réponse pour examiner la précision des informations. Ces modèles sont plus précis et se trompent moins, surtout en mathématiques et en développement, mais ils sont plus longs à répondre.

Les modèles de raisonnement coutant plus cher à faire fonctionner, ils sont souvent réservés aux abonnements payants ou alors mettent du temps à être proposés au grand public gratuitement. Mais – surprise ! – Google a décidé que tout le monde devait avoir son Gemini 2.5 Pro Experimental.

L’annonce a été faite sur X samedi, avec une disponibilité du modèle sur la version web. Hier, Google annoncé que le déploiement avait aussi commencé sur les applications mobiles. L’entreprise n’a fourni aucune date ni fenêtre. Sur nos smartphones, l’application Gemini ne proposait pas encore Gemini 2.5 Pro.

Cela ne signifie pas pour autant que les utilisateurs gratuits peuvent utiliser le nouveau modèle de raisonnement autant qu’ils le souhaitent. L’usage est limité (on ne sait pas exactement dans quelle mesure), l’abonnement Gemini Advanced faisant sauter ces limites, en plus de fournir un contexte d’un million de jetons.

Cette manne financière s’inscrit dans le cadre du programme pour une Europe numérique (DIGITAL) qui s’étend sur les deux prochaines années. Il est « axé sur le déploiement de l’intelligence artificielle (IA) et son adoption par les entreprises et l’administration publique, le cloud et les données, la cyberrésilience et les compétences numériques ».

La Commission donne quelques pistes prioritaires : « améliorer la disponibilité et l’accessibilité des applications d’IA génératives », améliorer « la résilience et la sécurité des infrastructures critiques, y compris les hôpitaux et les câbles sous-marins », développer « les capacités des établissements d’enseignement et de formation de l’UE ».

En creux, évidemment, la question de l’autonomie et de la souveraineté, comme l’explique Henna Virkkunen (vice-présidente exécutive chargée de la souveraineté technologique, de la sécurité et de la démocratie) : « Pour garantir la souveraineté technologique européenne, il faut d’abord investir dans les technologies de pointe et permettre aux citoyens d’améliorer leurs compétences numériques ». Le prochain appel à projets dans le cadre du Digital Europe Programme (DIGITAL) sera lancé en avril.

Suite au rachat de VMware par Broadcom (pour 61 milliards de dollars), les conditions d’utilisation des produits de l’éditeur ont largement évolué, au grand dam des utilisateurs : suppressions de produits, disparition des licences perpétuelles, regroupement, prix des abonnements…

• VMware by Broadcom : une situation tendue, l’Europe s’en mêle

Un nouveau changement a été annoncé par le distributeur Arrow à ses clients, avec une mise en place à partir du 10 avril : le nombre de cœurs minimum pour les licences VMware passe de 16 à 72. Si vous avez une machine avec un seul CPU de huit cœurs, la licence sera la même qu’avec deux bi-CPU de 16 cœurs (72 au total). Le minimum de facturation était auparavant de 16, soit quatre fois moins.

« En parallèle de cette évolution, le message ajoute une autre mauvaise nouvelle, cette fois-ci pour les clients qui n’auraient pas renouvelé leur contrat à la date anniversaire. Ils se verront appliqués des pénalités pouvant représenter 20 % du prix de la première année de souscription et seront appliquées rétroactivement », ajoute le Monde Informatique.

Enfin, Broadcom ajoute que les mises à jour des produits ne seront plus accessibles via une adresse publique, mais via des URL uniques pour chaque client (avec des jetons d’identification). Tous les détails se trouvent sur les instructions de mise à jour de la configuration des téléchargements authentifiés VCF.