Pwnd

Le groupe de pirates Lazarus, lié à l’état nord-coréen, a mis en place un système de piratage visant le monde de la cryptomonnaie, notamment en organisant de faux entretiens d’embauche et en poussant à l’installation de logiciels malveillants via des techniques de social engineering.

En octobre dernier, nous nous étions faits l’écho de la propagation d’une arnaque au recrutement qui cible les développeurs amateurs de crypto. Les soupçons se tournaient vers Lazarus, groupe de pirates nord-coréen auquel est aussi attribué l’immense vol de cryptoactifs, d’une valeur approchant 1,5 milliard de dollars, révélé en février dernier.

L’éditeur de logiciel de cybersécurité français Sekoia confirme dans un rapport que le groupe de pirates est à l’origine d’une campagne d’arnaque au recrutement de ce type. « Il utilise des sites web d’entretiens d’embauche légitimes pour exploiter la tactique ClickFix et installer des portes dérobées pour Windows et macOS », explique l’entreprise française.

Le ClickFix est une tactique d’ingénierie sociale qui « consiste à afficher de faux messages d’erreur dans les navigateurs web pour tromper les utilisateurs et les inciter à copier et à exécuter un code PowerShell malveillant donné, ce qui finit par infecter leurs systèmes », expliquait Sekoia en octobre dernier. Détectée en mai 2024, cette tactique est déjà qualifiée de « tristement célèbre » par Sekoia.

Windows et MacOS, deux variantes

Selon l’entreprise de sécurité, la chaine d’infection utilisée par Lazarus ciblerait les systèmes d’exploitation Windows et MacOS de deux façons différentes. Sur le premier, le groupe de pirates passerait par un script VBS puis un script NodeJS et sur le second via un script Bash puis le malware FrostyFerret pour récupérer le mot de passe système. Mais à la fin, ils utiliseraient un virus, nommé GolangGhost par Sekoia, écrit en GO. Ce code a déjà été partiellement étudié par les spécialistes de cybersécurité Sonatype et dmpdump. Sekoia explique que GolangGhost est prévu pour fonctionner sur Windows et macOS et permet de mettre en place une porte dérobée puis de voler des données via Chrome.

Sous MacOS, FrostyFerret affiche une fausse fenêtre indiquant que le navigateur web Chrome a besoin d’accéder à la caméra ou au microphone. Ensuite, le malware demande à l’utilisateur de saisir le mot de passe du système. Celui-ci est ensuite récupéré et envoyé vers un espace Dropbox.

Essentiellement des acteurs de la CeFi utilisés comme appâts

En analysant cette attaque, Sekoia a récupéré 184 invitations différentes pour des entretiens d’embauche. Parmi ces invitations, elle a trouvé 14 noms d’entreprises utilisés pour inciter la victime à compléter le processus de demande. Parmi elles, Coinbase est celle dont le nom est le plus utilisé par Lazarus pour attirer l’attention de ses proies :

Sekoia fait remarquer que 9 des 14 entreprises « proposent des services financiers centralisés (CeFi), c’est-à-dire des services financiers construits autour des crypto-monnaies qui s’appuient sur des intermédiaires, tels que des échanges et des plateformes de prêt, pour faciliter les transactions ». L’entreprise de sécurité rappelle que « ces plateformes sont dites « centralisées » car elles obligent les utilisateurs à faire confiance à une entité centrale pour gérer les fonds, traiter les transactions et assurer la sécurité ». Archblock est la seule plateforme de services financiers décentralisés (DeFi) détectée par Sekoia comme cible de Lazarus.

Lazarus vise des profils moins tech

Mais si les développeurs amateurs de crypto sont ciblés, l’analyse de Sekoia montre qu’ils ne sont ni les seuls, ni la principale cible. En effet, l’entreprise explique qu’ « il s’agit principalement de postes de responsables axés sur le développement commercial, la gestion des actifs, le développement de produits ou de spécialistes de la finance décentralisée ». Et elle explique que c’est un changement important s’agissant des attaques de Lazarus qui, jusque-là, « visaient principalement les développeurs et les ingénieurs en informatique ».

Sekoia livre une liste des faux sites d’entretiens que l’entreprise a détectés :

Aie confiance, crois en moi, que je puisse veiller sur toi

OpenAI et Anthropic viennent tous deux de lancer une offensive en direction du monde universitaire outre-Atlantique. Le premier choisit de rendre son abonnement ChatGPT Plus gratuit pour tous les étudiants aux États-Unis et au Canada jusqu’au mois de mai. Le second mise sur la création d’une offre dédiée, Claude for Education.

Les étudiants d’aujourd’hui sont les professionnels de demain, et cette logique, qui explique en partie pourquoi des éditeurs comme Microsoft courtisent le monde de l’éducation, n’a pas échappé aux ténors de l’intelligence artificielle générative, comme l’illustrent deux annonces quasi simultanées.

ChatGPT Plus gratuit pour les étudiants… pendant deux mois

La première émane d’OpenAI, qui vient de lancer une offre d’essai promotionnelle dédiée à son abonnement payant, ChatGPT Plus. L’entreprise dirigée par Sam Altman offre aux étudiants deux mois d’accès gratuits (valables jusqu’au 31 mai 2025), sous réserve qu’ils soient inscrits dans un établissement supérieur, aux États-Unis ou au Canada. Le statut d’étudiant sera vérifié au travers du système SheerID, indique OpenAI.

Il appartiendra ensuite aux étudiants ayant souscrit l’abonnement de résilier avant le 31 mai ou, à défaut de s’acquitter du montant de l’abonnement, soit 20 dollars par mois. « Votre abonnement se renouvelle automatiquement au tarif mensuel standard de ChatGPT Plus, sauf résiliation. Si vous ne souhaitez plus continuer, veuillez résilier avant la première date de facturation suivant la période promotionnelle », avertit l’éditeur.

OpenAI cible ici directement l’utilisateur final, alors que l’entreprise mène en parallèle une politique de conquête commerciale tournée vers les établissements supérieurs avec une offre dédiée, ChatGPT Edu, qui propose notamment des possibilités plus poussées en matière d’administration, de sécurité et de création d’agents personnalisés.

Anthropic lance Claude for Education

Concurrent d’OpenAI avec ses modèles Claude, Anthropic lance justement sa propre offensive en la matière. L’entreprise a en effet annoncé mercredi le lancement de Claude for Education, une offre qui vise à fournir aux établissements supérieurs un accès personnalisé à ses outils d’IA générative. Anthropic promet notamment une « nouvelle expérience Claude qui guide le processus de raisonnement des élèves plutôt que de fournir des réponses, contribuant ainsi à développer des compétences de pensée critique ».

En attendant de voir ce que recouvre cette dernière, Anthropic ne cache pas son ambition de contribuer à améliorer le taux de pénétration de ses IA parmi le public des étudiants. Le lancement de Claude for Education s’accompagne ainsi d’accords commerciaux avec plusieurs grands campus (Northeastern University à Boston, London School of Economics and Political Science (LSE), Champlain College au Canada), dont les étudiants accèderont gratuitement aux outils d’Anthropic.

La société présente également un programme d’étudiants ambassadeurs, à qui elle promet un accès privilégié à ses équipes, mais aussi une formule de crédits gratuits pour les étudiants qui souhaiteraient élaborer leurs projets d’étude grâce à Claude. Anthropic annonce par ailleurs rejoindre à cette occasion le consortium Internet2 et collaborer avec la ed tech américaine Instructure pour interfacer Claude avec la plateforme d’apprentissage Canvas LMS.

Études : les bénéfices de l’IA toujours contestés

« L’IA change ce que signifie être paré à l’emploi et, en tant qu’établissement tourné vers l’avenir, Champlain offre aux étudiants la possibilité d’utiliser l’IA afin qu’ils puissent être opérationnels dès l’obtention de leur diplôme », se réjouit Alex Hernandez, président du Champlain College, cité par Anthopic.

Si la capacité à utiliser l’IA générative, comprendre leurs atouts et se prémunir de leurs limites constitue assurément un atout, plusieurs études alertent déjà sur les risques associés à l’omniprésence de ces outils dans les cursus étudiants. Des chercheurs de Microsoft, en partenariat avec l’université de Carnegie Mellon, ont par exemple récemment conclu que l’utilisation de l’IA générative contribuait à une diminution de l’esprit critique.

Dans son Journal, le CNRS se pose des questions existentielles autour de la conscience : « Quand commence-t-elle et où finit-elle ? Comment la mesurer ? Et l’IA en est-elle douée ? ». De quoi ouvrir de nombreux débats…

L’article s’articule autour de cinq questions avec des réponses de plusieurs chercheurs, notamment Catherine Tallon-Baudry, (directrice de recherche CNRS au Laboratoire de neurosciences cognitives computationnelles à Paris) et Jean-Rémy Hochmann (directeur de recherche CNRS à l’Institut des sciences cognitives Marc-Jeannerod).

La question des intelligences artificielles est évidemment abordée par le CNRS : « une intelligence artificielle (IA) pourrait-elle, à terme, être consciente ? Si l’on définit la conscience uniquement par la capacité à traiter l’information et à raisonner, certaines intelligences artificielles pourraient déjà être considérées comme conscientes. Mais si la conscience implique nécessairement une dimension organique, subjective et sensible, alors les machines en sont encore très loin ».

D’après le Journal, les chercheurs suggèrent que, chez les humains, « les structures de base, cognitives et neuronales, qui permettent la conscience sont déjà en place très tôt, peut-être dès la naissance ». Mais la conscience est-elle seulement dans le cerveau ? Catherine Tallon-Baudry soutient l’idée que « la conscience résulte d’une interaction complexe entre le cerveau et le corps – un aspect souvent négligé par les théories classiques », explique le CNRS.

Quoi qu’il en soit, n’attendez pas une réponse tranchée (il faudrait déjà s’accorder sur le sens précis de la question et des mots utilisés). L’article termine par une autre question : « une intelligence artificielle pourrait-elle un jour devenir consciente ? ». Vous avez deux heures.

• La conscience, un mystère à décoder

DDoS généré pour IA

Pour entrainer et tenir à jour leurs intelligences artificielles, les crawlers des entreprises d’IA parcourent le web en permanence et sont suspectés de ne pas respecter les fameux robots.txt censés permettre leur blocage. Leur activité va jusqu’à mettre en péril des sites web de projets de logiciels libres ou toucher fortement les activités de Wikimédia.

Les entreprises qui ont mis en place des IA génératives comme OpenAI, Meta, Anthropic, Mistral ou encore Amazon, Google et Microsoft ont besoin d’indexer des contenus sur le web en permanence pour entrainer leurs grands modèles de langage (LLM), récupérer les nouvelles informations afin que leurs outils soient capables de répondre aux demandes de leurs utilisateurs.

Un trafic difficile à gérer, même pour la fondation Wikimédia

Mais en venant en permanence sur les sites web, ils ajoutent du trafic important à leur bande passante, au point de saturer certains. La fondation Wikimédia a publié un billet pour expliquer à quel point ces robots ont un impact sur ses projets : « Notre infrastructure est conçue pour supporter des pics soudains de trafic d’origine humaine lors d’événements très intéressants, mais le volume de trafic généré par les robots scrapeurs est sans précédent et présente des risques et des coûts croissants ».

En effet, ces entreprises récupèrent ces contenus à l’aide de « crawlers », des robots d’indexation, ou plutôt ici de récupération de données. OpenAI a officiellement donné le nom de son robot, GPTBot, en aout 2023, suscitant immédiatement la réaction de RSF qui a rapidement invité « tous les médias à configurer leurs sites pour éviter qu’OpenAI ne récupère leur contenu gratuitement ». C’est ce qu’ont fait beaucoup de sites web.

Un blocage pas si efficace

Pour cela, il « suffit » de lister dans le fichier robots.txt de son site les robots dont on ne veut pas. Mais, comme l’ont démontré récemment des chercheuses, certains robots récupèrent des informations de sites qui, pourtant, les ont ajoutés dans leurs listes. De plus, l’outil d’IA générative de Microsoft, Copilot, utilise BingBot, le robot d’indexation du moteur de recherche de l’entreprise. Un site qui voudrait bloquer l’IA de Microsoft ne serait plus indexé dans le moteur de recherche Bing.

Et, comme on l’a vu récemment, certains sites peuvent être visités 2 millions de fois par un bot en un trimestre. Il est déjà difficile pour des infrastructures comme celles de la Fondation Wikimédia de faire face à cet afflux « artificiel » pour gérer sa bande passante, mais ça l’est encore plus pour des projets qui ont moins de moyens.

Certains expriment leur ras-le-bol

Plusieurs responsables de projets de logiciels libres se sont plaints du problème, expliquait récemment ArsTechnica. Le développeur Xe Iaso a, par exemple, exprimé son ras-le-bol en janvier face au crawler d’Amazon : « À la personne qui gère AmazonBot, veuillez ajouter git.xeserv.us à votre liste de domaines bloqués. Si vous connaissez quelqu’un chez Amazon, merci de lui transmettre ce message et de lui demander de le transmettre à l’équipe d’AmazonBot » alors qu’il avait radicalement bloqué tous les robots dans son fichier robots.txt.

TheLibre.News a aussi recensé plusieurs infrastructures de logiciels libres touchés par ce problème. Le GitLab des développeurs de KDE a, par exemple, été touché par des crawlers ayant des IP détenues par Alibaba, ce qui l’a rendu temporairement inaccessible. L’un des administrateurs systèmes du projet Pagure de Fedora a, lui aussi, constaté un afflux massif de robots de récupération de données venant du Brésil. Il explique avoir décidé de bloquer temporairement toutes les IP brésiliennes pour en venir à bout tout en sachant bien que ce n’était pas une solution de long terme.

Gergely Orosz, qui publie la newsletter The Pragmatic Engineer, explique sur LinkedIn que le site d’un de ses projets personnels qui déclinait a reçu récemment un trafic important « lorsque le crawler AI de Meta et d’autres bots comme Imagesiftbot ont commencé à crawler le site sans réfléchir : ça a poussé le trafic à plus de 700Go par mois » alors qu’il était aux alentours de 100Go par mois un peu avant.

« Le site est hébergé sur Render où 500Go/mois sont inclus, au-delà c’est 30 $ pour 100Go. Ce mois-ci, je paie donc 90 $ pour l’entrainement de ces LLM », commente-t-il. Et lui aussi pointe que « l’ironie est que les robots – y compris Meta ! – ignorent manifestement le fichier robots.txt du site qui leur dit de « s’il vous plait, restez à l’écart » ».

Drew DeVault, le fondateur de la plateforme d’outils open source Source Hut, a publié un billet de blog le 17 mars dernier demandant aux entreprises d’IA génératives d’ « arrêter d’externaliser [leur] coûts directement sur [lui] ». « Au lieu de travailler sur nos priorités à SourceHut, j’ai passé entre 20 et 100 % de mon temps à atténuer les crawlers LLM hyper-agressifs », s’y lamente-t-il. Il explique que Source Hut subit des « dizaines de brèves pannes par semaine » et qu’il doit chercher tous les jours de nouvelles solutions pour ne pas voir la situation empirer. Le même jour, son entreprise expliquait que des crawlers de LLM continuaient à provoquer un DDoS sur SourceHut.

Des solutions pour piéger les crawlers d’IA

Elle expliquait avoir décidé de déployer Anubis pour essayer de bloquer les bots des entreprises d’IA. « Ce logiciel présente à certains utilisateurs un défi de preuve de travail qui est résolu par le navigateur de l’utilisateur à l’aide de JavaScript », explique SourceHut. C’est en fait une solution qu’a développée Xe Iaso après avoir publié son ras-le-bol.

D’autres solutions commencent à être développées, notamment en essayant de piéger les IA dans un labyrinthe de liens. Nepenthes, par exemple. Sa documentation explique que le logiciel « fonctionne en générant des séquences infinies de pages, chacune contenant des dizaines de liens, qui retournent simplement dans un piège ». Nepenthes ajoute des petits détails comme un délai ou une fausse apparence de fichiers statiques pour tromper le crawler.

De son côté, Cloudflare a aussi pensé à une solution de labyrinthe, explique-t-elle dans un billet de blog. Celle-ci « utilise du contenu généré par l’IA pour ralentir, embrouiller et gaspiller les ressources des AI Crawlers et d’autres robots qui ne respectent pas les directives « no crawl » ». L’entreprise, connue pour vendre des solutions pour augmenter la sécurité et les performances des sites internet, propose pour le moment à tous ses utilisateurs la possibilité d’activer gratuitement cette fonctionnalité.

exFAT est un système de fichier créé par Microsoft en 2006 pour les supports amovibles, particulièrement les cartes SD, avec un accent mis sur la gestion des métadonnées. Il s’agissait alors d’un système de fichiers propriétaire. Les spécifications ont finalement été ouvertes en 2019 et la propriété des brevets transférée à l’Open Invention Network. Ce n’est cependant pas une technologie ouverte.

• Systèmes de fichiers : FAT12 à 32 et exFAT, conçus pour le grand public

Son support dans Linux a toujours été bancal, malgré des améliorations notables de temps en temps. La version 6.15 du noyau devrait cependant donner un gros coup de fouet, notamment lors de la suppression de fichiers, quand l’option de montage « discard » est active. Cette dernière signifie qu’une opération informe le périphérique de stockage que les blocs sous-jacents ne sont plus utilisés. Supprimer un fichier envoie ainsi un signal pour passer ces blocs du statut « occupé » à « libre ».

C’est un ingénieur de Sony, Yuezhang Mo, qui a apporté la modification. Il explique ainsi qu’en mode discard, les clusters sont éliminés un par un quand l’utilisateur déclenche une suppression de fichiers. Plus le nombre et le poids des fichiers augmente, plus l’opération prend de temps. Au point que ce dernier peut devenir excessif et entrainer un plantage des composants logiciels impliqués, jusqu’au blocage parfois de la machine. Sa modification a donc consisté à permettre le traitement par lots des clusters impliqués, comme le rapporte notamment Phoronix.

Pour donner un ordre d’idée, la suppression d’un fichier unique de 80 Go prenait la bagatelle de 286 secondes, un temps que l’on peut considérer comme « fou ». Avec le noyau Linux 6.15, la même opération prend… 1,6 seconde.

Seul contre tous

Donald Trump a tenu parole, en annonçant, mercredi, de nouveaux droits de douane exceptionnels, censés favoriser selon lui la réindustrialisation des États-Unis. Si la sidération domine encore sur les marchés financiers, les réactions politiques ne se sont pas fait attendre. L’Europe et la France défendent déjà l’idée de contre-mesures, parmi lesquelles l’hypothèse d’une taxe GAFAM, appliquée sur les flux financiers des géants du numérique, risque de s’imposer comme une évidence.

L’incertitude a duré jusqu’aux dernières heures : jusqu’où Donald Trump allait-il mettre à exécution ses menaces de droits de douane ? Le président des États-Unis n’a finalement pas mis d’eau dans son vin. Il a annoncé mercredi, à l’occasion de ce qu’il qualifie de « Liberation Day », un jeu de mesures exceptionnelles, qui instaurent des droits de douane particulièrement lourds pour les marchandises importées aux États-Unis. La Chine et les autres pays de l’Asie manufacturière sont particulièrement touchés, tout comme l’Union européenne.

Outre une taxe plancher sur les importations de 10 %, valable pour tous les pays – une approche systématique qui conduit à introduire des droits de douane sur des archipels peuplés uniquement de manchots et d’oiseaux, Trump prévoit des droits de douane individualisés et réciproques plus élevés pour les pays avec lesquels les États-Unis entretiennent une balance commerciale déficitaire.

Présentés à grands renforts de tableaux pendant une conférence de presse, ces droits de douane se montent à 20 % pour l’Union européenne, 54 % pour la Chine (en intégrant les précédentes taxes de 20 % entrées en vigueur début mars), 32 % pour Taïwan, 24 % pour le Japon, 49 % pour le Cambodge ou 46 % pour le Vietnam, 48% pour le Laos, 47% pour Madagascar, 44% pour le Sri Lanka, etc.

Ils ne préjugent pas, par ailleurs, d’éventuelles taxes spécifiques, comme les 25 % désormais prélevés sur l’importation de véhicules produits en dehors des États-Unis.

Une méthodologie qui interroge

Outre les cas particuliers comme le Canada, le Mexique ou la Chine, pourquoi de telles variations entre, disons, le Vietnam et le Cambodge ? Après analyse des chiffres, l’économiste américain James Surowiecki a remarqué une corrélation entre le déficit commercial des États-Unis avec le pays concerné et le niveau de droits de douane appliqué. Une hypothèse qu’a partiellement confirmée le bureau du représentant américain au commerce (USPTR), en publiant, jeudi, l’équation ayant soi-disant présidé au calcul.

Si les modalités de ce calcul interrogent, c’est aussi parce que Donald Trump parle de droits de douane réciproques, comme si les États-Unis ne faisaient que réagir aux pressions commerciales que lui font subir les autres pays du monde. L’Europe est dans ce contexte accusée de taxer à hauteur de 39 % les importations venues de l’autre côté de l’Atlantique, mais d’où vient ce chiffre ?

De façon empirique, un journaliste de Wired vérifie, sur 182 des 185 pays concernés, l’hypothèse de Surowiecki : « pour chaque pays, ils ont simplement pris notre déficit commercial avec ce pays et l’ont divisé par les exportations de ce pays vers nous ». En 2024, l’Union européenne a, par exemple, exporté l’équivalent de 605 milliards de dollars vers les États-Unis, mais importé uniquement 370 milliards de dollars, soit une balance déficitaire de 236 milliards de dollars… qui représente 39 % de ce que les États-Unis ont consommé en provenance de l’Europe.

Quel impact sur le secteur de la tech ?

Jeudi matin, les marchés européens ont vu rouge, très rouge, et l’ouverture de Wall Street s’annonce difficile. Bien que Trump défende l’impact positif de ses mesures pour l’économie américaine, ces droits de douane risquent en effet de soulever de nombreuses difficultés pour les sociétés qui produisent ou s’approvisionnent dans le reste du monde. Apple, qui fabrique massivement en Asie (Chine, Inde, Vietnam) ou Amazon, dont les rayons virtuels débordent de produits manufacturés à l’étranger, figurent parmi les acteurs de premier plan les plus exposés.

Les répercussions à plus long terme sont toutefois difficiles à mesurer. D’abord, parce que l’économie de la tech repose sur une infinité d’interdépendances entre composants, technologies, logiciels et flux financiers mondialisés. Ensuite, parce que la manœuvre de Donald Trump recèle une part variable non négligeable.

« Ces droits de douane resteront en vigueur jusqu’à ce que le président Trump détermine que la menace posée par le déficit commercial et le traitement non réciproque sous-jacent est satisfaite, résolue ou atténuée », expose clairement la Maison blanche. Le président ne s’en cache pas : il cherche à faire pression sur les états comme sur les acteurs économiques, pour obtenir des mesures favorables à l’économie des États-Unis, et ramener sur son sol des investissements, des usines et des emplois.

Vers une guerre commerciale ?

Droits de douane contre droits de douane, l’hypothèse laisse supposer une hausse généralisée des prix avec, à la clé, un risque de récession de l’économie américaine, dont la consommation des ménages représente près de 70 %. Un risque assumé par Donald Trump. « Ce que nous faisons est grand, nous rapportons la richesse à l’Amérique, et il y aura une période de transition. Il faut du temps », déclarait-il le 9 mars dernier, au micro de NBC.

En attendant, une forme de riposte s’organise, même si les contours en sont encore flous. Ursula Von der Leyen, présidente de la Commission européenne, a rappelé jeudi matin que l’Union préparait déjà un lot de mesures visant à taxer les marchandises venues des États-Unis, en réponse aux droits de douane déjà instaurés par Donald Trump sur les produits contenant de l’acier et de l’aluminium. « Et nous nous préparons maintenant à de nouvelles contre-mesures pour protéger nos intérêts et nos entreprises si les négociations échouent », a-t-elle ajouté lors de sa déclaration.

Le retour d’une taxe GAFAM européenne ?

Il est toutefois probable que d’autres mesures, moins « réciproques », soient aussi envisagées, et l’hypothèse d’une taxe GAFAM suscite déjà, dans ce contexte, de premières déclarations. Elle apparaît en effet comme une mesure de rétorsion relativement évidente, du fait de la part prépondérante des services, et donc de l’économie numérique, dans la balance commerciale états-unienne. Un point que Donald Trump omet sciemment dans ses propres chiffres et déclarations, qui ne raisonnent que sur la base des biens matériels.

En 2023, l’Europe exportait par exemple 503 milliards d’euros de marchandises vers les États-Unis, et en importait 347 milliards d’euros. Or la situation s’inverse quand on regarde les services : l’Union européenne exportait l’équivalent de 319 milliards d’euros vers les États-Unis, alors que ces derniers génèraient 427 milliards d’euros à partir du marché européen. En matière de services, les États-Unis bénéficient donc d’un excédent commercial significatif vis à vis de l’Europe.

La France semble déjà pencher en faveur de l’idée d’une taxe GAFAM, comme l’a laissé entendre Sophie Primas, porte-parole du gouvernement, sur RTL. Rappelant le premier volet de la riposte européenne relative à l’aluminium et à l’acier, elle évoque un second volet, plus large, « probablement prêt à la fin du mois d’avril sur l’ensemble des produits et des services, et j’insiste bien sur les services, avec de nouveaux outils » réglementaires, dits anti-coercition.

• PLF 2025 : l’Assemblée adopte deux amendements pour taxer les GAFAM

Oui allo ? Alors je sais, vous avez sûrement…

En 2024, comme les années précédentes, le nombre de plaintes envoyées à l’Arcep est en hausse. Les alertes concernant la fibre optique sont sans surprise les plus importantes. Sur le mobile, on note aussi une explosion des spams téléphonique. Dans le même temps, l’Observatoire de la satisfaction client 2025 est aussi disponible.

L’Arcep (régulateur des télécoms) vient de publier le bilan annuel de sa plateforme J’alerte l’Arcep. Lancée fin 2017, elle permet à tout un chacun (particuliers et professionnels) de lui signaler un problème. « Les alertes recueillies permettent de suivre en temps réel les difficultés rencontrées par les utilisateurs, d’identifier les dysfonctionnements récurrents ou les pics d’alertes », explique l’Autorité.

En 2024, le gendarme des télécoms a reçu plus de « 57 000 [+ 8% par rapport à 2023, ndlr] alertes dont environ 49 000 directement sur la plateforme ». Sans surprise, « l’utilisation de j’alerte l’Arcep, en hausse constante, reflète les évolutions des problèmes rencontrés depuis 2018 ».

Le nombre d’alertes sur les réseaux hors fibre décroit (sauf un petit rebond en 2023), tandis que celui sur la fibre optique représente désormais plus de la moitié des signalements. On peut également voir (zone rose) une forte hausse des appels/messages non sollicités ou abusifs sur le mobile, nous allons y revenir.

Signalements : Free (en tête) vs les trois autres opérateurs

Au niveau des opérateurs, Free se démarque à la fois sur le fixe et sur le mobile, mais pas de la meilleure des manières :

« Les signalements reçus concernant les opérateurs Orange, SFR et Bouygues sont en baisse en 2024 et compris entre 75 et 100 pour 100 000 utilisateurs, ceux pour Free sont stables aux alentours de 150 pour 100 000 utilisateurs.

Sur le marché mobile, les signalements reçus concernant les opérateurs Bouygues, Orange et SFR sont plutôt stables depuis 3 ans et sont compris entre 5 et 10 pour 100 000 utilisateurs, ceux pour Free sont en hausse et sont compris entre 10 et 15 pour 100 000 utilisateurs ».

Satisfaction client : Free aussi en tête

Si Free arrive premier sur le nombre de signalements, l’opérateur est aussi en tête sur les notes de satisfaction attribuées par les utilisateurs au service client, avec 2,8/5. Bouygues Telecom et Orange sont deuxièmes avec 2,4/5 et SFR dernier avec 2,2 sur 5.

Autre indicateur : la satisfaction globale des abonnés à un réseau fixe et/ou mobile. Elle « est en légère hausse, pour l’ensemble des opérateurs, par rapport à l’année précédente ». Free est en tête avec 8,1 sur 10, Orange deuxième avec 8,0, Bouygues Telecom troisième avec 7,8 et SFR encore dernier avec 7,5.

« La satisfaction des utilisateurs vis-à-vis des opérateurs mobiles (notés 7,9/10 en moyenne) est
équivalente à celle vis-à-vis des fournisseurs d’accès à internet fixe (notés 7,8/10 en moyenne) », ajoute l’Arcep.

Le bilan complet de la satisfaction des utilisateurs vis-à-vis des opérateurs mobiles et Internet est disponible ici. Le document (PDF) fait pas moins de 111 pages. C’était un questionnaire en ligne auto-administré d’une quinzaine de minutes réalisé entre le 23 septembre et le 11 octobre sur un échantillon de 4 006 consommateurs âgés de 18 ans et plus.

Grogne sur les déploiements

Les alertes sur le fixe sont encore et toujours majoritaires avec 85,4%, contre 14,6 % pour le mobile. Néanmoins, « les signalements relatifs au marché fixe ont, pour la première fois depuis le début du lancement de la plateforme de « J’alerte », diminué en 2024 », avec presque deux points de moins.

Dans le détail, sur le fixe chez le grand public, le déploiement des réseaux et la qualité de services et du SAV représentent 94,7 % des signalements. Entre 2023 et 2024, il y a eu un fort mouvement : les plaintes sur les déploiements ont augmenté de presque 50 %, tandis que celles sur la qualité de service ont baissé de 67 %.

Spam téléphonique : explosion des alertes

Cela ne surprendra personne : « en 2024, le volume des signalements relatifs au phénomène d’usurpation de numéro a été multiplié par 16 passant approximativement de 500 alertes en 2023 à 8500 en 2024 ». L’Arcep note une forte fluctuation durant l’année, avec un pic au mois de septembre avec près de 1 500 alertes.

Au global, c’est l’ensemble de la catégorie des alertes liées aux appels et messages non sollicités ou abusifs qui est en très forte augmentation : de 2 029 alertes en 2023, l’Arcep en a reçu 10 973 en 2024, soit plus de cinq fois plus.

Quasiment tous les indicateurs sont en très forte hausse par rapport à 2023 si on se base sur le nombre d’alertes. Par exemple, le démarchage téléphonique abusif est passé de 1 094 à 1 517 alertes, mais ne représentent plus que 13,8 % de l’ensemble à cause de l’explosion du nombre d’usurpations de numéro.

Les opérateurs mettent en place des protections… encore partielles

La lutte s’est intensifiée fin 2024 et début 2025 avec le Mécanisme d’Authentification des Numéros (MAN) en place depuis 1ᵉʳ octobre sur le fixe et sur le mobile chez les quatre opérateurs depuis le début de l’année. Cela pourrait expliquer l’intensification de septembre, avec un dernier tour « d’honneur » ?

• La lutte contre le spoofing et les arnaques téléphoniques s’intensifie en France

Il faudra attendre le prochain observatoire pour juger d’éventuels effets sur le mobile, mais il reste un important trou dans le filet de protection du MAN, comme nous l’expliquions récemment : « les appels en roaming (depuis l’étranger) avec un numéro français ne sont pas concernés ».

Sur le graphique de droite ci-dessous, ne vous fiez pas uniquement à la longueur des barres qui représentent la répartition des alertes (en pourcentage), pas le nombre de signalements.

• Qui m’appelle ? Petit guide pratique contre la fraude téléphonique

Dirty space

Le rapport annuel de l’ESA sur l’environnement spatial alerte sur l’augmentation toujours plus importante du nombre de débris. Et l’orbite terrestre basse est de plus en plus encombrée. Pourtant, l’agence européenne constate une meilleure prise en compte des directives de réduction des débris spatiaux par les différents acteurs. Mais celle-ci va moins vite que l’augmentation du nombre de lancements.

L’ESA a publié son rapport annuel sur l’environnement spatial [PDF]. L’agence spatiale européenne y explique que le monde du spatial commence à prendre en compte le fait que « l’environnement orbital de la Terre est une ressource limitée » comme l’indiquait l’ONU en 2019 dans ses recommandations sur la durabilité de l’espace extra-atmosphérique.

Trop lents

Mais cette prise en compte est encore beaucoup trop lente. Nous augmentons moins rapidement le nombre d’objets en orbite autour de la Terre, mais nous l’augmentons toujours : « si la croissance exponentielle du nombre de nouvelles charges utiles s’est ralentie en 2024, le nombre de lancements a continué d’augmenter et, en termes de masse et de superficie, le nombre de lancements est toujours le plus élevé jamais enregistré jusqu’à présent ».

De la même façon, les directives établies pour pousser au désorbitage sont de mieux en mieux suivies mais ça ne va pas encore assez vite :

« Alors que l’adoption et le respect des pratiques de réduction des débris spatiaux au niveau mondial augmentent lentement, il est important de noter que la mise en œuvre réussie de l’un ou l’autre des seuils de durée de vie est encore trop faible pour garantir un environnement durable à long terme. Notamment, une partie de l’augmentation de l’adoption des mesures de réduction […] comme les rentrées contrôlées de corps de fusée ou les taux de réussite de l’élimination des charges utiles en orbite terrestre basse après la mission, est liée au déploiement et à la mise hors service de grandes fusées et d’engins spatiaux de grande taille », explique l’agence européenne.

Des politiques mises en place mais un futur incertain aux États-Unis

C’est d’ailleurs en ce sens qu’elle a augmenté ses exigences en 2023, avec un objectif « zéro débris » d’ici à 2030. L’ESA s’engageait à :

• limiter la quantité de débris spatiaux créés par les opérations normales ;
• réduire au minimum le risque de désintégration en orbite ;
• prévenir les collisions en orbite ;
• mettre en œuvre l’élimination après la mission.

Du côté américain, la FCC infligeait en 2023 sa première amende pour mauvais désorbitage. Mais la nouvelle administration Trump et la suppression de l’indépendance de l’agence américaine qui régule les satellites risquent de changer la donne.

Autant de débris que de satellites actifs sur l’orbite terrestre basse

« Le nombre de débris spatiaux en orbite continue d’augmenter rapidement. Environ 40 000 objets sont actuellement suivis par les réseaux de surveillance de l’espace, dont environ 11 000 sont des charges utiles actives », explique l’agence.

Elle ajoute qu’il y en a beaucoup en orbite qui pourraient causer des accidents : « le nombre réel de débris spatiaux d’une taille supérieure à 1 cm – suffisamment grands pour être capables de causer des dommages catastrophiques – est estimé à plus de 1,2 million, dont plus de 50 000 objets d’une taille supérieure à 10 cm ».

L’orbite terrestre basse est celle qui inquiète le plus l’agence. Elle fait remarquer qu’ « à environ 550 km d’altitude, le nombre de débris constituant une menace est aujourd’hui du même ordre de grandeur que celui des satellites actifs ».

Alors que Microsoft célèbrera vendredi 4 avril les cinquante ans de sa création en tant que société, Bill Gates est revenu cette semaine sur ce qui constitue sans doute l’épisode fondateur de son aventure entrepreneuriale : l’écriture avec Paul Allen, en un temps record, d’un interpréteur BASIC destiné à l’Altair 8800 de MITS (basé sur le CPU 8080 d’Intel).

• L’histoire de Windows : de MS-DOS à NT 3.x

Il a dans le même temps publié, pour la première fois, le code source de ce fameux interpréteur, le premier produit commercial vendu par les deux fondateurs de Microsoft : 150 pages de sorties d’imprimante scannées, qui révèlent (PDF) un code dûment commenté, écrit en seulement trente jours (et trente nuits) au printemps 1975.

« Avant Office, Windows 95, la Xbox ou l’IA, il y avait Altair BASIC », attaque joliment Bill Gates, avant de retracer plus en détail le déroulé des faits. D’abord, la découverte de cette nouvelle machine, l’Altair 8800, affichée en couverture du magazine Popular Electronics, qui augurait l’avènement d’une informatique personnelle. Puis cette idée en forme de défi, vendue sur papier à MITS, le fabricant de l’Altair : développer un interpréteur BASIC, capable d’offrir une alternative au langage assembleur de base de la machine. Sans accès direct à cette dernière, Gates et Allen durent utiliser un simulateur.

« Enfin, après de nombreuses nuits blanches, nous fûmes prêts à montrer notre interpréteur BASIC à Ed Roberts, le président de MITS. La démonstration se révéla un succès, et MITS accepta de nous acheter le logiciel. Ce fut un moment pivot pour Paul et moi. Altair BASIC devint le premier produit de notre nouvelle société, que nous avions décidé d’appeler Micro-soft (nous avons abandonné plus tard le tiret) », écrit Bill Gates.

Qualcomm vient d’annoncer le rachat de MovianAI Artificial Intelligence Application and Research JSC (alias MovianAI), l’ancienne division d’IA générative du conglomérat privé vietnamien Vingroup. Cette branche était dirigée par Hung Bui (il en était également le fondateur), un ancien de chez Google DeepMind où il a passé 16 mois comme chercheur.

« Cette acquisition souligne notre engagement à consacrer les ressources nécessaires à la R&D, ce qui fait de nous la force motrice de la prochaine vague d’innovation en matière d’IA », explique Jilei Hou, vice-président sénior de l’ingénierie chez Qualcomm.

Le montant de la transaction n’est pas précisé. Qualcomm ajoute que Hung Bui rejoindra ses effectifs, sans en dire davantage sur son poste. « Nous sommes prêts à contribuer à la mission de Qualcomm qui consiste à réaliser des avancées majeures dans la recherche fondamentale en intelligence artificielle et à les déployer dans tous les secteurs, notamment les smartphones, les ordinateurs, les véhicules assistés par informatique, etc. », explique-t-il.

Nintendo a dévoilé mercredi, lors d’une conférence diffusée en direct, les grandes lignes et les premiers jeux de sa future console hybride (mi portable, mi console de salon), la Switch 2. Son lancement est désormais officiellement programmé au 5 juin prochain, avec un prix de départ fixé à 469,99 euros et des précommandes ouvertes à partir du 8 avril.

Sur le plan matériel, Nintendo valide ou précise la plupart des éléments déjà évoqués en janvier, lors de la première confirmation officielle de la console. La Switch 2 conserve le même schéma de fonctionnement que celui du modèle originel (un écran central autonome, des manettes amovibles sur le côté, une station d’accueil pour relier l’ensemble à une TV).

Le fabricant japonais livre quelques premiers détails techniques : la Switch 2 s’articule autour d’un écran LCD (et non OLED) de 7,9 pouces, délivrant 1920 x 1080 pixels avec une fréquence d’affichage variable pouvant monter à 120 Hz et prise en charge du HDR10.

Une fois connectée en USB-C à son dock, ce dernier autorise, via HDMI, un affichage 3840 x 2160 (4K) à 60 images par seconde (fps). Pour aller chercher les 120 fps, il faudra basculer sur une résolution inférieure (1920 x 1080 ou 2560 x 1440).

Huit ans après la Switch première du nom, qui utilisait un dérivé de la puce Tegra, Nintendo reste fidèle à NVIDIA. La Switch 2 exploite une nouvelle fois un design personnalisé, dont les caractéristiques n’ont pas encore été dévoilées. La console bascule pour le reste sur 256 Go de stockage (contre 32 Go sur la première Switch et 64 Go sur sa variante OLED), avec Bluetooth et Wi-Fi 6, ou liaison réseau filaire via un port LAN quand elle est rangée sur son dock.

Nintendo évoque deux ports USB type-C (l’un sert à la connexion au dock, l’autre aux accessoires, les deux permettent la recharge) et un emplacement pour cartes microSD Express, format auquel seront distribués les jeux, jusqu’à 2 To. La console, qui pèse 401 grammes sans ses manettes et présente 13,9 mm d’épaisseur, dispose d’une batterie de 5 520 mAh qui autorise une autonomie théorique comprise entre « 2 et 6,5 heures ».

Les manettes Joy-Con, connectées en Bluetooth 3.0 et désormais dotées d’une attache magnétique, prennent un peu d’embonpoint. Elles inaugurent un capteur optique, permettant de les utiliser comme une souris d’ordinateur. Elles gagnent également un bouton C, dédié aux nouvelles fonctionnalités de discussion en jeu implémentées par Nintendo dans son environnement logiciel, baptisées GameChat. Entre autres accessoires, une caméra sera proposée en option, avec la promesse d’interactions au sein de certains jeux.

Du côté des jeux justement, c’est la grande offensive. Nintendo mise en premier lieu sur ses propres licences, à commencer par un nouvel épisode de Mario Kart, qui sera proposé avec la console en bundle au lancement, ou Donkey Kong Bananza, attendu pour mi-juillet. Entre nouveautés et rééditions, la firme convoque sans surprise ses licences les plus iconiques.

Elle y ajoute une forte dimension rétrocompatibilité, avec la prise en charge annoncée de la plupart des jeux Switch et l’ajout de jeux Gamecube au sein de l’abonnement Nintendo Switch Online.

Enfin, Nintendo promet pléthore de titres émanant d’éditeurs tiers, incluant de nombreux titres de premier plan (AAA), même et y compris popularisés par des plateformes concurrentes, PC ou consoles. Dans le lot figurent des jeux tels que Elden Ring, Cyberpunk 2077, Final Fantasy 7 Remake, Star Wars Outlaws, Fortnite, Hogwarts Legacy, EA Sports FC, etc. FromSoftware signera par ailleurs une exclusivité dédiée à la Switch 2, attendue pour 2026 : un jeu d’action ambiance vampire en monde ouvert avec dimension multijoueurs baptisé The Duskbloods.

Bref, un programme musclé, pour une console qui aura la lourde tâche de succéder à une Switch, première du nom, vendue à plus de 150 millions d’exemplaires dans le monde depuis son lancement en 2017.

👀

Si le client Thunderbird pour la gestion des e-mails est en perte de vitesse, l’équipe qui en a la charge a de grandes ambitions. Ainsi, une initiative nommée « Thunderbird Pro » évoque la création d’un bouquet de services, pour se battre plus frontalement avec des offres comme Gmail et Microsoft 365.

Depuis que le projet Thunderbird est revenu sous l‘égide de Mozilla, l’ancien client e-mail a rattrapé une partie de son retard. En plus des fonctions ajoutées, son interface a été modernisée via le projet Supernova, même si le logiciel garde une apparence « datée » pour une partie des utilisateurs. Thunderbird se prépare également pour les environnements mobiles, sur Android d’abord via le rachat de K-9. iOS est également concerné, mais le travail sera plus long, car l’équipe de développement ne dispose d’aucune base de départ.

Les webmails plus attractifs

Malgré ces efforts, Thunderbird est en perte de vitesse. « Thunderbird perd chaque jour des utilisateurs au profit d’écosystèmes riches qui sont à la fois des clients et des services, tels que Gmail et Office 365 », indique Ryan Sipes dans un message sur le groupe de planification de Thunderbird.

Pourquoi une telle perte ? On pourrait évoquer les offres plus complètes, les nombreux liens entre services, la possibilité de tout faire au même endroit, la pression des pairs, ou encore la vision très intégrée. De fait, Sipes évoque deux types de verrouillages : « durs », quand ils touchent des problèmes techniques (comme l’interopérabilité avec les clients tiers) et « doux » quand il s’agit de commodités et d’intégration.

Et pour cause, un compte Google ou Microsoft donne accès d’une traite à de nombreux services « gratuits ». En outre, le compte synchronisé permet de s’assurer que l’on verra la même chose sur tous les appareils. Thunderbird, en revanche, fait partie de la vieille école : il faut configurer le logiciel sur chaque ordinateur et ces réglages ne peuvent pas suivre les utilisateurs sur les plateformes mobiles.

La solution ? Un bouquet de services réunis sous la bannière « Thunderbird Pro ».

Thunderbird aura son propre bouquet de services

La vision présentée par Ryan Sipes est celle d’une offre de services en ligne rattachée à Thunderbird et portant l’étendard « Pro ». Pour l’instant, on en compte quatre.

Appointment est ainsi un outil de planification permettant d’envoyer des invitations. Les réponses données sont directement reprises et intégrées au calendrier. Le service est développé depuis environ un an et est actuellement disponible sous forme de bêta depuis son dépôt GitHub, même s’il n’est pas exploitable directement. Les personnes intéressées peuvent cependant l’installer sur un serveur, notamment via Docker.

Vient ensuite Thunderbird Send, qui est la « renaissance » de Firefox Send, de l’aveu même de l’équipe. Il s’agit donc d’un service permettant l’envoi de fichiers, reprenant le même principe, mais dont le code a profondément changé pour être modernisé. Le dépôt GitHub attenant a été ouvert la semaine dernière, avec là encore la possibilité d’aller examiner le code.

Assist sera un assistant IA. Ryan Sipes trace directement un parallèle avec la vision d’Apple. Ainsi, les requêtes seront idéalement traitées en local pour les appareils assez puissants. Dans le cas contraire, les développeurs veulent se servir de la fonction Confidential Computing de NVIDIA pour créer des instances temporaires et anonymes de calculs. Une approche retenue par Apple avec son Private Cloud, même si l’entreprise se sert de Mac pour l’instant et non de GPU NVIDIA. Assist serait purement optionnel et n’a pas encore de dépôt.

Thundermail, le webmail maison

Dernier service, et sans doute le plus important : Thundermail. Il sera le webmail accompagnant l’offre, le pendant en ligne de Thunderbird. Et pour répondre à la question qui vient immanquablement aux lèvres : oui, cela signifiera la création de comptes e-mails.

Selon Sipes, l’équipe expérimente la question « depuis un certain temps », sur la base d’un serveur e-mail existant nommé Stalwart. Ce dernier, en plus de gérer IMAP et POP3, a la particularité de supporter JMAP (JSON Meta Application Protocol). Ce dernier a été pensé pour prendre la relève d’IMAP, mais sa prise en charge reste relativement rare. JMAP est ouvert et normalisé, se veut plus rapide et sécurisé, et propose une approche modernisée capable de donner le change aux technologies propriétaires. On le trouve notamment dans les produits de Fastmail.

« Avec Thundermail, notre objectif est de créer une expérience de messagerie de nouvelle génération qui soit complètement, 100 % open source et construite par nous tous, nos contributeurs et la communauté plus large des contributeurs », affirme ainsi Ryan Sipes. Il ajoute cependant qu’il n’y aura pas de dépôt unique pour concentrer les travaux sur Thundermail. En revanche, certains pans de développement donneront lieu à des partages.

Si le travail a été lancé, le domaine n’a pas encore été choisi. Il s’agira probablement de thundermail.com ou de tb.pro. L’équipe a ouvert une page pour s’inscrire sur liste d’attente et participer à la bêta, bien qu’aucune date n’ait été indiquée.

Comment se différencier ?

Dans le descriptif, les notions d’ouverture et de valeur reviennent régulièrement. Dans un monde largement dominé par les offres de Google et Microsoft, il n’est pas certain en effet qu’un Thunderbird Pro soit réellement visible. D’autant que le projet Thunderbird a besoin d’argent et vit de dons. Mozilla ne lui en donne pas directement, même si la fondation aide le projet par ses infrastructures et autres ressources indirectes.

En conséquence, l’offre Thunderbird Pro sera payante. Dans un premier temps, elle sera offerte aux personnes ayant contribué régulièrement à Thunderbird. Puis des offres payantes seront proposées, même si aucun détail n’est donné. Il n’y a donc pas de fourchette de prix, et on ne sait pas non plus si Mozilla lancera une offre unique comprenant tous les services, ou si ces derniers pourront être choisis à la carte. Si le nombre d’abonnés est suffisant, une offre gratuite verra le jour avec des limitations, comme un espace moindre pour Send (notamment pour éviter les abus).

Pour Ryan Sipes, l’annonce de Thunderbird Pro est la « réalisation d’un rêve ». Il se dit « convaincu que tout cela aurait dû faire partie de l’univers Thunderbird il y a une dizaine d’années », mais qu’il « vaut mieux tard que jamais ». Il exprime des regrets, notamment sur l’importance que l’équipe accorde « aux logiciels libres, aux normes ouvertes, à la protection de la vie privée et au respect [des] utilisateurs », et que l’on ne retrouve pourtant pas dans les services en ligne. À cause de cette carence, Sipes estime que les internautes sont obligés de faire des compromis.

L’orientation générale serait donc le respect de la vie privée, les services étant prévus pour n’effectuer aucun traitement sur les données autres que ceux découlant des tâches déclenchées par les internautes. Des produits développés sur la base de technologies et normes ouvertes, pour combler le fossé avec les offres propriétaires.

Rien de décidé sur le chiffrement et l’emplacement des données

The Register s’est entretenu avec Ryan Sipes au sujet de Thunderbird Pro. Plusieurs informations intéressantes ont ainsi été données, notamment sur le chiffrement. La question est d’autant plus importante que Microsoft et plus récemment Google ont annoncé des simplifications en ce sens, mais il s’agit encore une fois de technologies propriétaires.

Selon Sipes, rien n’est encore décidé. Dans les tests, le chiffrement de bout en bout serait simple, mais se heurterait à la nécessité de fournir un système suffisamment simple et compréhensible aux internautes pour en assurer le succès. « Nous avons quelques idées, mais nous allons demander à notre communauté ce qu’elle pense être la meilleure approche », a ajouté Sipes.

Dans une optique de protéger au mieux les données, la question du stockage est encore ouverte. Elle est étudiée « très sérieusement ». À l’heure actuelle, l’infrastructure de test se situe dans l’Union européenne, mais ce choix ne préfigure pas du produit final. L’équipe réfléchit également à permettre de sélectionner soi-même la région dans laquelle entreposer ses données, à la manière de ce que proposent aux entreprises les grands acteurs du cloud.

Ils avaient dit "don't be evil"

Quelques jours après le « SignalGate », une enquête du Washington Post révèle que Michael Waltz, conseiller à la sécurité nationale de la Maison blanche, aurait utilisé son adresse Gmail pour orchestrer certaines de ses activités professionnelles. Il avait déjà été épinglé quelques jours plus tôt pour avoir laissé en accès public la liste de ses contacts sur l’application de paiement Venmo.

La Maison-Blanche n’en a manifestement pas tout à fait fini avec ses problématiques de shadow IT. Une enquête du Washington Post, publiée mardi 1er avril, affirme en effet que Michael Waltz, conseiller à la sécurité nationale du Président, a utilisé une messagerie commerciale, en l’occurrence un compte Gmail, pour échanger avec des membres de son équipe et d’autres représentants de l’administration Trump.

Des échanges liés à la sécurité nationale sur Gmail

Cette fois, il n’est pas question de préparatifs liés à une action militaire imminente, mais les échanges diffusés sur cette adresse personnelle présentent toutefois un réel enjeu de confidentialité, estime le Washington Post. « Un assistant senior de Waltz a utilisé [Gmail] pour des conversations hautement techniques avec des collègues d’autres agences gouvernementales impliquant des positions militaires sensibles et des systèmes d’armes de premier plan liés à un conflit en cours », écrit ainsi le quotidien américain.

Il affirme avoir eu accès à des captures d’écran illustrant cette utilisation de Gmail par ou au nom de Waltz. Le recours à une messagerie personnelle aurait également été confirmé par trois officiels de l’administration Trump, non cités. Le header des courriers envoyés au nom de Waltz révèle que ses destinataires utilisent, eux, des comptes de messagerie fournis par l’administration, note encore le Washington Post.

Négligence ou contournement délibéré ?

Dans le contexte de la Maison blanche, cette utilisation de Gmail soulèverait deux problèmes principaux, à commencer, bien sûr, par la question de la sécurité, puisque la messagerie ne garantit pas, par défaut, un chiffrement de bout en bout des échanges (Google vient d’ailleurs précisément d’annoncer l’introduction prochaine d’un chiffrement bout en bout simplifié à destination de sa clientèle entreprise).

Le second relève d’une exigence réglementaire : les officiels de l’administration états-unienne doivent utiliser les outils internes pour leur correspondance de façon à ce que cette dernière puisse être archivée, en vertu du Freedom of Information Act (FOIA). Brian Hughes, porte-parole de la sécurité nationale à la Maison-Blanche, récuse auprès du Washington Post l’hypothèse d’un contournement intentionnel de cette exigence, formulée par certains commentateurs sur les réseaux sociaux après l’épisode du SignalGate.

L’approche quelque peu laxiste de Waltz quant aux outils de communication commence toutefois à soulever des questions au sein du Bureau ovale, remarque par ailleurs le Wall Street Journal. Le quotidien économique rapporte ainsi, dans un article daté du 30 mars, que l’intéressé n’en serait pas à sa première boucle Signal. Il en aurait ainsi créé et animé plusieurs, autour de sujets aussi explosifs que le règlement du conflit entre l’Ukraine et la Russie, ou d’autres opérations militaires (non précisées).

Le précédent Venmo

Quelques jours plus tôt, Michael Waltz s’était déjà vu épingler par Wired. Le magazine explique comment il a découvert le compte Venmo (un service d’envoi d’argent en ligne appartenant à Paypal) du conseiller de Donald Trump, avec photo et liste de contacts accessibles publiquement. Le compte en question aurait été basculé en privé peu de temps après que les journalistes de Wired ont contacté la Maison blanche pour une demande de réaction.

Que Waltz utilise Venmo pour partager l’addition d’un restaurant avec ses amis n’est pas problématique en soi, mais Wired explique comment l’analyse des contacts directs du conseiller, puis l’étude de leurs propres réseaux, permet d’identifier des profils stratégiques ou d’établir des connexions entre personnalités de premier plan.

La découverte se révèle d’autant plus croustillante qu’il ne s’agit pas d’une première. En août 2024, Wired avait ainsi déjà découvert, et analysé, le réseau de contacts Venmo associé au compte de J. D. Vance, devenu depuis vice-président des États-Unis. L’exercice avait permis de révéler l’identité de certains des architectes du projet stratégique de Donald Trump et des artisans de sa campagne de réélection.

Cette nouvelle charge contre Michael Waltz intervient quelques jours après l’épisode du SignalGate, qui a défrayé la chronique fin mars. Un journaliste de The Atlantic avait alors révélé avoir été invité dans une conversation Signal réunissant la garde rapprochée de Donald Trump et dédiée aux préparatifs d’une attaque militaire au Yémen contre les Houthis. Les officiels concernés, de la Défense à la CIA, avaient ensuite cherché à minimiser la portée de l’incident, en déclarant notamment que les informations diffusées sur ce canal ne relevaient pas du secret défense. En réaction, le magazine américain a pris le parti de publier l’intégralité des échanges.

Simplicité ou sécurité ?

Google vient d’annoncer l’arrivée du chiffrement coté client dans Gmail. Cette fonction va dans un premier temps être proposée aux messageries internes des entreprises. Bien que l’apport de cette technologie soit toujours un pas en avant vers une meilleure sécurité, il ne s’agit pas stricto sensu d’un chiffrement de bout en bout.

Le 1^ᵉʳ avril, Gmail a fêté ses 21 ans. Ce qui était apparu initialement comme un poisson est devenu l’un des produits les plus emblématiques de Google. Hier soir, pour marquer l’évènement, la firme a annoncé une amélioration importante : l’arrivée du chiffrement de bout en bout, dans un format présenté comme simple à exploiter, sans nécessiter de gestion des certificats. Explications.

Le chiffrement de bout en bout vu par Google

Depuis hier soir, Gmail propose aux entreprises disposant de comptes professionnels payants une version bêta. À l’intérieur se trouve une nouveauté : la possibilité d’envoyer des e-mails « chiffrés de bout en bout » à d’autres membres de leur organisation via un système simplifié. Rappelons en effet que Gmail pouvait déjà le faire via S/MIME (Secure/Multipurpose Internet Mail Extensions), mais la configuration de ce dernier n’a rien de simple.

Il s’agit d’une première phase dans le plan de déploiement. Cette version bêta, limitée à un périmètre réduit, va permettre de tester le fonctionnement de ce nouveau chiffrement décrit comme E2EE (End-to-End Encryption). Dans le cas où la personne contactée fait partie de la même entreprise, le contenu du message est automatiquement chiffré. Côté destinataire, il est automatiquement déchiffré.

Comme on peut le voir dans la capture fournie par Google, il faut d’abord activer la fonction, via l’icône de cadenas située en haut à droite de la fenêtre de composition. En bas, un message apparait pour indiquer que l’ouverture de l’e-mail sur l’application mobile Gmail ou une autre plateforme de messagerie affichera un lien invitant à se connecter pour voir le contenu du message sur une version restreinte de Gmail. Le système rappelle le fonctionnement des partages de fichiers dans Google Docs et Sheets. Quand ce système de chiffrement est utilisé, il se substitue à S/MIME.

Durant une deuxième phase, qui commencera dans quelques semaines, le système sera étendu à l’ensemble des adresses Gmail, mais toujours pour les entreprises uniquement. Plus tard dans l’année, sans plus de précision pour l’instant, il pourra être appliqué aux envois vers toutes les plateformes. On retrouvera alors la présentation sous forme d’invitation à se connecter pour lire le message. À noter que si le ou la destinataire de l’e-mail a configuré S/MIME et n’est pas sur Gmail, ce dernier se servira de S/MIME pour envoyer le courrier, comme il le faisait déjà.

Google peu satisfaite du système actuel

L’entreprise rappelle les bienfaits du chiffrement, mais note qu’il est trop souvent complexe à mettre en place. « Alors que de plus en plus d’organisations ont des besoins réels en matière de courrier électronique E2EE, peu d’entre elles disposent des ressources nécessaires pour mettre en œuvre S/MIME », affirme Google.

La société indique ainsi que les entreprises intéressées par le chiffrement de bout en bout font alors face à la complexité de gestion des certificats, qu’il faut notamment déployer auprès de chaque personne dans l’entreprise. Côté grand public, il faut avoir activé S/MIME soi-même et vérifier que les destinataires l’ont fait également, « puis se soumettre aux tracas de l’échange de certificats avant de pouvoir échanger des courriels chiffrés ». Google, qui met bien sûr en avant la simplicité de son approche, évoque les nombreuses « frustrations » qui en découlent.

« Cette capacité, qui ne demande qu’un minimum d’efforts de la part des équipes informatiques et des utilisateurs finaux, fait abstraction de la complexité informatique traditionnelle et de l’expérience utilisateur médiocre des solutions existantes, tout en préservant la souveraineté des données, la confidentialité et les contrôles de sécurité », claironne ainsi Google.

Du chiffrement côté client

La solution de Google est effectivement de considérer l’e-mail comme un document stocké dans Google Drive. Les administrateurs peuvent alors appliquer des règles supplémentaires, par exemple en exigeant que l’ensemble des destinataires externes passent par la version restreinte de Gmail pour lire le contenu, même s’ils ne sont pas eux-mêmes utilisateurs de Gmail.

Pour gérer plus simplement le chiffrement de bout en bout, Google a choisi Client Side Encryption (CSE). La technologie n’est pas nouvelle : la firme la fournit déjà depuis quelques années aux éditions Enterprise Plus, Education Standard et Education Plus de son Workspace. Comme indiqué sur la page du CSE, les données sont chiffrées côté client avant leur envoi, supprimant la possibilité de les lire pour les intermédiaires, y compris Google. Les organisations l’utilisant peuvent fournir leurs propres clés. C’est sur ce paramètre que les administrateurs peuvent agir, en forçant CSE pour l’ensemble des membres de l’organisation.

Attention toutefois : bien que l’on parle de chiffrement de bout en bout, ce n’est pas 100 % vrai. CSE chiffre bien les données avant leur envoi, mais les clés sont gérées de manière centralisée par l’équipe d’administration, qu’elles soient générées par le service ou fournies directement par l’organisation. Traduction, les administrateurs seront en mesure de voir le contenu des e-mails.

Peu importe pour Google, qui parle surtout de simplification et d’élimination des frictions. Cette solution de chiffrement ne sera d’ailleurs pas activée par défaut et est présentée comme un moyen supplémentaire d’augmenter la sécurité des échanges.

Une question de confiance

Au-delà de la confiance qu’une entreprise peut accorder à ce type de système, la solution retenue par Google interroge : les destinataires utilisant d’autres plateformes vont-ils faire confiance à ces e-mails ?

La question est loin d’être anodine, car le message ne sera pas directement affiché. Si vous recevez un tel courrier, vous verrez simplement quelques lignes d’explications sur le contexte et un bouton vous invitant à cliquer pour aller lire le contenu. Or, ce fonctionnement en rappelle un autre : les tentatives d’hameçonnage.

Google a conscience que sa solution peut ne pas inspirer confiance. Si vous utilisez par exemple Outlook.com sans avoir mis en place S/MIME, vous verrez ce type de message, avec l’invitation à cliquer. Google a « prévu le coup » : dans le texte, un passage explique qu’il est conseillé de ne cliquer que si vous avez une entière confiance en l’expéditeur. Mais même ainsi, il est possible qu’une partie des destinataires suppriment le courriel sans vraiment lire l’avertissement, tant le contenu pourrait ressembler à une tentative de phishing.

Et si ce déploiement semble familier, c’est que Microsoft a déployé exactement la même capacité en janvier, nommée Purview Message Encryption. Le fonctionnement, réservé aux entreprises abonnées à la formule E5, est identique, avec une lecture directe des courriels tant que l’on reste dans Outlook, mais affiche un lien sur les autres plateformes. Et même si Google applique la même stratégie que Microsoft dans ce domaine, les deux systèmes sont bien sûrs incompatibles.

Michael Waltz, le conseiller à la sécurité de Donald Trump, n’a en tout cas pas attendu l’arrivée du CSE pour se servir de Gmail dans des échanges gouvernementaux, comme l’a révélé hier le Washington Post. Nous reviendrons plus en détail sur ce sujet plus tard dans la journée.

Lorsque des brouillages et/ou des perturbations sont rencontrés par des opérateurs, ils peuvent demander l’ouverture d’une enquête auprès de l’ANFR. Des agents se déplacent alors sur place, et l’Agence nationale des fréquences en profite parfois pour raconter ces histoires (qui se terminent bien). Il y a quelques mois, l’ANFR expliquait par exemple comment des étiquettes RFID (passives) arrivaient à perturber des antennes 3G/4G.

Aujourd’hui, il est de nouveau question de téléphonie mobile, mais en 5G, avec une antenne dysfonctionnelle à Alençon (61) à cause d’un brouillage. Pourquoi seulement la 5G ? À cause du TDD (time division duplexing) bien évidemment.

TDD vs FDD : de la 2G à la 5G les technologies ont évolué

Pour rappel, de la 2G à la 4G en France, la séparation entre l’envoi et la réception des données reposait sur un découpage en fréquences appelé FDD, pour frequency domain duplexing. Sur la bande allouée à l’opérateur, une partie est utilisée pour le téléchargement, une autre pour l’upload, avec une « bande centrale » pour assurer la séparation et éviter les perturbations.

• 5G : l’ANSES revient sur l’exposition aux ondes et les interactions avec le vivant

Pour des appels audio, c’est très efficace comme partage puisque les échanges sont à peu prés les mêmes dans les deux sens. Par contre pour accéder à Internet, c’est différent : le gros du trafic est généralement dans le sens descendant. « Or, il est impossible de modifier le sens affecté à chaque voie sans réallouer les fréquences attribuées aux opérateurs ; d’où un usage moins efficace du spectre disponible à mesure que l’usage descendant s’intensifie », explique l’ANFR.

En 5G, le découpage change : on passe du FDD au TDD. Cette fois-ci la fréquence est la même dans les deux sens, la séparation se fait avec une division temporelle : « À intervalles réguliers, après une pause très brève, le sens s’inverse », entre download et upload.

Un besoin de précision de l’ordre de la microseconde

L’utilisation du spectre est donc améliorée avec la possibilité de « jouer » sur les intervalles temporels, mais il y a une contrepartie : « le fonctionnement du TDD nécessite néanmoins une gestion du temps très rigoureuse ». Le temps de trajet d’une trame (c’est elle qui contient les données) est de « quelques microsecondes, mais il faut pouvoir les décompter avec précision ».

Maintenant, imaginez que plusieurs antennes fonctionnent dans la même zone : « étant donné le volume de trafic intense dans les sens montant puis descendant qui circule constamment sur des bandes de fréquences proches, il est important que les antennes soient synchronisées ». Si une antenne envoie des signaux vers les smartphones pendant qu’une voisine est en mode upload, « elle ne pourrait plus entendre ses terminaux, car rendue sourde par la puissance rayonnée par la première antenne ».

La synchronisation est donc primordiale, y compris quand les antennes « sont exploitées par des opérateurs concurrents ». Pour donner quelques chiffres, l’ANFR explique que le mode TDD nécessite une synchronisation précise de tous les réseaux mobiles, « avec une tolérance inférieure à 1,5 µs (microseconde) ».

Les horloges atomiques des satellites « GPS » à la rescousse

Les antennes relais disposent évidemment d’une horloge interne, mais la précision n’est pas suffisante et elle dépasse rapidement les 1,5 µs. Il faut donc trouver une source capable de proposer une excellente précision, partout sur le territoire. Il n’y a pas à chercher bien loin : levez les yeux au ciel et la solution apparait : les satellites Global Navigation Satellite System (GNSS). Deux exemples : le GPS américain et Galileo européen.

Vous ne le saviez peut-être pas, mais tous les satellites GNSS embarquent des horloges atomiques de très haute précision… qui ont d’ailleurs donné quelques sueurs froides à l’Agence spatiale européenne sur Galileo) On parle de données PNT pour « position, navigation et temps ». Pour fonctionner correctement avec ses petits camarades, chaque station de base 5G en TDD est équipée d’un récepteur GNSS.

Un brouillage de 8 h à 00 h

Revenons au brouillage du jour sur une antenne 5G : « entre 8 heures et minuit, presque tous les jours, le nombre de satellites vus par ce récepteur passait brusquement d’une dizaine à zéro, provoquant ainsi la perte de la synchronisation ». Un comble pour une antenne immobile.

L’enquête commence. Avant de se rendre sur place, les agents vérifient qu’il n’y a pas de brouillage de grande envergure (même si on peut se douter qu’en pareille situation les alertes auraient été plus nombreuses). Sur une station à 18 kilomètres de l’antenne, rien à signaler sur la réception des signaux GNSS.

Sur place, au pied du site de l’opérateur, les agents de l’ANFR font de nouveau chou blanc : aucun brouillage n’est détecté. Alors qu’ils sont au pied du pylône, ils demandent confirmation : au même instant, il y a sans aucun doute possible une perturbation en cours sur le récepteur.

Le récepteur était saturé par les antennes relais

La solution est finalement trouvée : le récepteur GPS de l’opérateur n’est pas brouillé, mais saturé. L’antenne du récepteur se trouve « dans une zone de champs forts dûs aux multiples opérateurs colocalisés sur le même pylône. Or, un récepteur GPS n’apprécie guère ce type d’environnement, car il se doit d’être très sensible. Et pour cause : il doit extraire du bruit ambiant des signaux GPS qui arrivent de l’espace avec un niveau très faible, environ un million de fois plus faible que le signal qui sort d’un téléphone mobile ».

Cela colle aux observations : le signal est coupé aux heures d’utilisation maximales de la téléphonie mobile (du matin au soir), il s’atténuait certains jours fériés et le brouillage ne cessait finalement que la nuit.

La densification des sites radioélectriques

Une observation rapide confirme : le récepteur GNSS est « au faîte de l’antenne, dangereusement entouré de plusieurs émetteurs ». La résolution du problème était des plus simples : le récepteur a été repositionné plus bas sur le pylône. Tout est alors rentré dans l’ordre.

« Cette enquête montre que la densification des sites radioélectriques peut provoquer des interactions entre les différents équipements radio qui y sont installés », explique l’Agence nationale des fréquences en guise de conclusion.

Le guide, coécrit par l’ANSSI et la DINUM permet « de comprendre et de détailler la démarche permettant aux organisations d’homologuer leurs systèmes d’information ». Mais de quoi parle-t-on exactement ? Une homologation de sécurité est « un acte formel qui engage l’autorité qui la prononce ».

L’Agence rappelle que ce passage est « rendu obligatoire par un grand nombre de textes officiels est appelée « décision d’homologation » ». Et pour bien comprendre les enjeux, elle ajoute que « dans certains pays, le principe d’homologation existe et peut-être appelé « accréditation » ou « autorisation » ».

Ce guide s’adresse donc « à toutes les personnes devant réaliser, porter ou accompagner une démarche d’homologation ». L’ANSSI ajoute qu’une homologation n’est pas permanente et « doit être reconduite au maximum tous les trois ans ».

Quatre documents sont mis en ligne. Le gros morceau est le guide de 88 pages, accompagné de trois fiches méthodes, notamment une pour les décideurs, afin de leur rappeler les enjeux et les bénéfices… mais aussi certainement donner des billes aux responsables informatiques qui chercheraient à convaincre leur patron.

« Ice cream truck in NYC » (« camion de glace à New-york ») : par ce jeu de mot relevant de l’algospeak (langage inventé pour contourner la modération des plateformes), une internaute états-unienne signale à ses followers avoir repéré des agents de l’Immigration and Customs Enforcement (ICE).

Comme de nombreux autres usagers de TikTok, Reddit, YouTube ou X, elle participe à l’effort collectif renforcé ces dernières semaines pour éviter à toute personne immigrée, légalement ou non, les déportations ordonnées par Donald Trump et quelquefois menées en dehors des cadres légaux.

Si le phénomène n’est pas neuf, le Washington Post relève une multiplication par cinq des discussions relatives à l’ICE sur X, Reddit et YouTube depuis début mars.

De nombreuses fausses informations se glissent parmi les alertes. Des soutiens de la démarche de déportation promue par Trump ont aussi mis à mal certains réseaux d’alertes – le compte Instagram Libs of Reddit a par exemple publié le nom, le visage et l’adresse du modérateur de r/LaMigra, un subreddit dédié au partage d’informations sur la localisation des agents de l’ICE.

Cela n’a pas empêché les efforts de suivi des agents de se multiplier en ligne, prenant quelquefois la forme de cartographies collectives, comme dans le cas de People over Papers. Si le projet est devenu viral sur TikTok, explique sa créatrice au quotidien états-unien, « c’est parce qu’il répond à un réel besoin ».

Elle aussi a été visée par des violences numériques : le 14 février, le compte très suivi Libs of TikTok a partagé son nom et son handle à son public, déclarant qu’elle aidait des criminels à échapper aux forces de l’ordre.

Circulez y'a rien à voir

Depuis dix jours, un pirate affirme détenir un jeu de données relatives à 6 millions de clients Oracle, suite à une intrusion sur les serveurs d’authentification de l’éditeur. En dépit des allégations concordantes de plusieurs experts en cybersécurité, la société nie avoir été victime d’un piratage. Pendant que des clients inquiets déclenchent un recours collectf visant Oracle en justice, un second incident de cybersécurité, lié cette fois à Oracle Health, déclenche une enquête du FBI…

Un internaute de Floride a lancé lundi un recours collectif contre Oracle, au motif que l’éditeur n’aurait pas correctement réagi suite à une intrusion dans ses systèmes informatiques. La procédure, enregistrée le 31 mars auprès d’un tribunal du Texas (PDF), accuse Oracle d’avoir fait preuve de négligence, mais aussi d’avoir manqué à son devoir fiduciaire. De quoi motiver, d’après le plaignant, le versement de copieux dommages et intérêts, comme souvent en pareille affaire.

Une brèche de sécurité à 6 millions de lignes

Derrière cette procédure, qui pourrait paraître anecdotique au pays de la class action, réside un incident de sécurité dont l’ampleur exacte reste à déterminer. L’affaire démarre le 20 mars dernier, avec la publication, sur un forum spécialisé, d’une annonce proposant à la vente un fichier soi-disant composé des données de 6 millions d’utilisateurs des services d’authentification (SSO) et d’annuaires (LDAP) du cloud public d’Oracle.

Le pirate, qui affirme par ailleurs avoir mis la main sur des clés privées, des certificats et des mots de passe, publie la liste des sociétés clientes dont il détiendrait des données, et met en ligne un échantillon supposé de son larcin.

Dès le lendemain, Oracle nie toute brèche de sécurité, en des termes catégoriques. « Les informations d’identification publiées ne concernent pas Oracle Cloud. Aucun client Oracle Cloud n’a subi de violation ni perdu de données », affirme un porte-parole de l’éditeur au site The Register. En réponse, le pirate se vante d’avoir réussi à placer un fichier texte contenant son adresse e-mail sur un serveur de connexion Oracle Cloud. Il présente, en guise de preuve, un enregistrement du fichier réalisé par l’intermédiaire de la Wayback Machine, daté du 1ᵉʳ mars.

Les dénégations d’Oracle mises à mal par des analyses tierces

Quelques jours plus tard, l’attaquant trouve un nouveau relais. Alon Gal, directeur technique de la société israélienne de cyber-intelligence Hudson Rock, affirme avoir eu la possibilité de vérifier, auprès de ses clients, la validité des données contenues dans un échantillon de quelque 10 000 enregistrements rendus publics par le pirate. Le 25 mars, il déclare sur LinkedIn que trois de ses clients ont confirmé qu’il s’agissait bien de données issues d’environnements de production hébergés sur le cloud d’Oracle. L’un d’eux estime toutefois qu’il s’agit de données anciennes, datant de fin 2023.

Un autre acteur spécialisé, CloudSEK, conclut lui aussi à la véracité probable de la fuite le 25 mars, sur la base du même échantillon de 10 000 lignes. Le volume et la structure des informations divulguées rendent leur fabrication extrêmement difficile, ce qui renforce la crédibilité de la violation, écrit-il. CloudSEK remarque par ailleurs des indices concordants qui tendent à confirmer qu’il s’agissait bien de données de production (par opposition à un environnement de test), et que certaines d’entre elles sont bien liées à des mécaniques d’authentification.

Le média spécialisé Bleeping Computer est lui aussi entré en contact avec le pirate. Ses propres vérifications, menées auprès d’entreprises mentionnées dans les données consultées, accréditent la thèse d’un vrai vol de données. En étudiant de plus près le serveur sur lequel l’attaquant a déposé son adresse e-mail en guise de preuve, CloudSEK remarque deux autres phénomènes suspects.

Tentative discrète de damage control ?

Le serveur concerné aurait d’abord hébergé une instance de Fusion Middleware 11 g, une ancienne version de la plateforme applicative d’Oracle, dont le composant d’authentification souffre précisément d’une vulnérabilité documentée à partir de 2022. L’éditeur américain aurait ensuite placé hors ligne le serveur en question, puis formulé une demande de suppression de la « preuve » hébergée par le pirate sur Internet Archive.

Pour le chercheur en cybersécurité Kevin Beaumont, ces deux manœuvres seraient le signe qu’Oracle cherche à faire disparaître les traces de l’incident. Il affirme par ailleurs, sans amener d’élément probant attestant la réalité de ses allégations, qu’Oracle aurait entrepris de basculer certains des services concernés sous l’étiquette Oracle Classic (dédiée aux produits les plus anciens) pour cette dernière porte l’incident, et non la marque vedette Oracle Cloud.

« Oracle tente de rédiger des déclarations autour d’Oracle Cloud et d’utiliser des mots très spécifiques pour éviter toute responsabilité. Ce n’est pas bien. Oracle doit communiquer clairement, ouvertement et publiquement sur ce qui s’est passé, l’impact que cela peut avoir sur les clients, et la façon dont ils traitent le sujet », s’insurge-t-il.

En attendant une éventuelle réaction officielle de l’éditeur, le pirate a diffusé mardi, auprès d’Alon Gal, une vidéo dans laquelle il contacte le support chat d’Oracle, soi-disant par l’intermédiaire d’un compte client qu’il aurait donc été en mesure d’usurper.

Une autre fuite concerne Oracle Health

Oracle répondra-t-il officiellement à ces allégations ? L’éditeur américain doit dans le même temps gérer un autre incident de sécurité, lié cette fois à son SaaS Oracle Health, dédié à la gestion des dossiers médicaux informatisés. La solution était initialement éditée par un éditeur spécialisé baptisé Cerner, jusqu’au rachat de ce dernier par la firme de Larry Ellison, en 2022, pour 28 milliards de dollars.

Dans un courrier adressé à certains clients, Oracle aurait signalé avoir été victime, le 20 février dernier, d’une intrusion au niveau des derniers serveurs de Cerner qui n’avaient pas encore été migrés vers Oracle Cloud. Les données accédées auraient été répliquées vers un serveur distant, et « pourraient », selon Oracle, contenir des informations liées aux patients.

D’après Bloomberg, le FBI aurait ouvert une enquête au sujet de cette potentielle fuite de données, dont le périmètre exact n’a pas été communiqué. Le média évoque une attaque motivée par la volonté de faire payer une rançon aux entreprises médicales clientes d’Oracle Health.

Libérés de la liberté de choisir

L’entreprise compte verrouiller encore un peu plus la création de compte sur Windows 11, pour rendre obligatoire le compte Microsoft. La dernière préversion du système bloque ainsi l’utilisation d’une méthode courante pour contourner cette étape. Mais ce court-circuit a déjà son propre court-circuit.

L’année dernière, Microsoft avait expliqué pourquoi un compte maison était si important pour Windows 11. Il déverrouille de nombreuses fonctions, dont la synchronisation des fichiers, des paramètres et autres, l’intégration de Microsoft 365, la sauvegarde des licences et de certaines clés de chiffrement, etc.

Problème, une partie des utilisateurs préfère utiliser un compte local. Tout le monde ne court pas après la synchronisation des informations. Ou, pour être plus précis, la synchronisation par Microsoft, avec le stockage des données personnelles chez l’éditeur américain. Pendant longtemps, les Windows ont permis la création d’un compte local. Mais Windows 11 a commencé à serrer la vis, avec des méthodes de contournement, comme la coupure de la connexion internet pendant la première configuration du système.

Nouveau tour de vis

Dans un billet, Microsoft a présenté récemment les préversions 26200.5516 et 26120.3653, respectivement pour les canaux Dev et Beta. Les nouveautés présentées sont nombreuses : recherche sémantique pour les PC Copilot+ équipés de processeurs AMD et Intel, récapitulatif écrit pour le Narrateur, ou encore des améliorations pour l’écran d’erreur vert en cas de redémarrage forcé, le Copilot et la fenêtre de partage.

Mais parmi les changements, on trouve également le blocage du contournement par BypassNRO. Les deux listes incluent en effet le message suivant : « Nous supprimons le script bypassnro.cmd de la version de base afin d’améliorer la sécurité et l’expérience utilisateur de Windows 11. Ce changement garantit que tous les utilisateurs sortent de la configuration avec une connectivité Internet et un compte Microsoft ».

Cette commande pouvait être utilisée depuis une invite de commande (Maj + F10) pendant la première configuration de la machine, après installation du système. Il suffisait alors d’entrer « oobe\bypassnro » pour contourner l’exigence d’un compte Microsoft, autorisant la création d’un compte local. Le script créait une clé dans la base de registre.

Contourner le contournement

Si Microsoft a bloqué le script pendant l’installation des préversions, la clé de registre peut toujours être créée. La méthode consiste à déclencher directement l’opération par la ligne de commande, même si cette dernière est nettement plus longue à écrire que le simple script bypassnro.cmd.

Il faut saisir deux commandes :

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE /v BypassNRO /t REG_DWORD /d 1 /f

shutdown /r /t 0

Si la ligne de commande vous semble trop rébarbative, il est également possible de le faire à la souris dans l’éditeur de registre. Pour cela, depuis l’invite de commande (toujours Maj + F10), entrez « regedit » et validez. Rendez-vous dans HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion, puis créez la clé OOBE si elle n’existe pas. Là, dans ce dossier, créer une valeur DWORD 32 bits nommée « BypassNRO » et affectez lui la valeur 1. Il faudra ensuite redémarrer la machine.

Attention toutefois, Microsoft pourrait également bloquer cette possibilité. Le changement étant apparu dans des préversions, il serait simple pour l’éditeur d’insérer un nouveau blocage dans les prochaines semaines.

Ajoutons également que ce « bypass » reste fonctionnel sur les révisions stables de Windows 11, y compris la dernière 24H2.

Enfin, une autre méthode est apparue il y a six mois environ, comme relevé par Neowin notamment. Elle passe par l’utilisation de la console de développement juste avant de choisir une deuxième disposition pour le clavier pendant l’assistant de première configuration. Bien que la méthode soit clairement expliquée sur un dépôt GitHub, elle n’a pas fonctionné chez nous sur une installation neuve de Windows 11 24H2, malgré de multiples tentatives.

Notez qu’en passant par l’utilitaire Rufus, il reste possible pour l’instant de créer une clé d’installation Windows 11 sans le verrouillage sur le compte Microsoft. Pour mémoire, ce même utilitaire peut aussi être utilisé pour désactiver la vérification de la présence de la puce TPM 2.0, comme nous l’indiquions en février.

• Windows 11 : quatre méthodes pour contourner TPM 2.0

Flock 2.0 pour vous servir

Vous en rêviez ? Next vous propose un nouvel outil : avec un simple prompt, générez des images dans le « style des dessins de Flock ». Là encore, nous avons mis à contribution l’IA générative, mais en local. Explications.

Quand Flock a vu la semaine dernière des images « style Ghibli » générées par l’intelligence artificielle d’OpenAI, il était assez dubitatif. Mais il s’est vite rendu compte du potentiel de cette fonctionnalité, d’autant qu’elle a été reprise à tour de bras par des internautes et politiciens, sans plus de réflexion que « c’est beau ».

Bref, il veut croquer sa part du gâteau et Next pourrait de son côté profiter d’une belle exposition médiatique. Un combo gagnant-gagnant ?

Autant prendre les devants, avec une IA maison

Il a donc décidé de prendre les devants et de se lancer, avec l’aide de l’IA générative. Comme nous l’expliquions récemment, il utilisait déjà un peu l’IA, mais il passe clairement une nouvelle étape… sans doute un peu poussé par Sébastien qui s’en sert largement pour développer des extensions et d’autres applications.

Ce n’est pas tout. Flock dresse un constat triste, mais réaliste de la situation : il y a des chances que des IA génératives se nourrissent déjà de son travail, bien que l’indexation de nos contenus ne soit pas autorisée par notre fichier robots.txt. Ce dernier n’engage malheureusement que ceux qui y croient et veulent bien jouer le jeu. « Il est important de comprendre qu’il ne s’agit là que d’une indication sur ce que doivent faire les robots bienveillants, ce n’est en aucun cas un élément de sécurité. En effet, certains robots ignorent ce fichier », rappelle à juste titre Wikipédia.

On a fait chauffer les serveurs de moji

Il a donc profité d’une réunion d’équipe pour lancer une idée : que Next propose des dessins dans le « style Flock » aux lecteurs. Une fonctionnalité qui serait évidemment réservée à nos abonnés.

Sans attendre, on se lance, d’autant que moji dispose d’un datacenter, avec des serveurs et des GPU que nous pouvons utiliser pour divers projets. L’investissement pour Next est quasi nul, autant en profiter sans attendre ! Pour la phase d’entrainement, nous avons utilisé près de 3 000 dessins de Flock sur nos serveurs, et il nous a fourni près de 5 000 brouillons supplémentaires, tous réalisés pour Next.

• Retrouvez tous les dessins de Flock

Il faut bien le reconnaitre : c’est encore un peu juste pour arriver à un résultat parfait, mais c’est déjà largement exploitable pour une première version. L’outil est donc en bêta pour le moment. Nous le laissons ouvert à tous pour le moment, afin d’avoir un maximum de retours avant de le finaliser.

Un outil en bêta, accessible à tous pour l’instant

Pendant ce temps, l’IA génère des dessins supplémentaires de Flock. Ils serviront ensuite à réaliser une seconde phase d’apprentissage sur la base de dessins plus nombreux. Tous les GPU n’étant pas encore disponibles pour la génération d’images, le résultat peut mettre jusqu’à une trentaine de secondes à s’afficher. Patience donc.

En attendant, prenez ce nouvel outil en main, testez et faites-nous part de vos retours !