Fin janvier, dans les premières heures suivant son investiture, Donald Trump signait un décret pour accorder 75 jours afin de mettre en place la vente ou l’interdiction de TikTok. Le 47ᵉ président des États-Unis vient d’accorder de nouveau 75 jours à la plateforme.

Il affirme que son administration a « fait d’énormes progrès » dans ce dossier, mais qu’un accord « nécessite plus de travail pour s’assurer que toutes les approbations nécessaires sont signées ». « Nous espérons continuer à travailler de bonne foi avec la Chine, qui, je le comprends, n’est pas très satisfaite de nos tarifs réciproques », ajoute le président. La Chine a pour rappel répondu du tac au tac avec 34 % de taxe sur les importations des États-Unis.

• Les droits de douane Trump relancent l’hypothèse d’une taxe GAFAM européenne

« Nous ne voulons pas que TikTok disparaisse », réaffirme Donald Trump. Plusieurs personnalités et sociétés sont sur les rangs, résume le Parisien : « le « Project Liberty » de l’entrepreneur Frank McCourt, propriétaire de l’Olympique de Marseille, le youtubeur MrBeast ». Citons également Perplexity AI, Amazon, Blackstone, Microsoft, Walmart…

La version 3.0 du gestionnaire de paquets APT est désormais disponible. Annoncée par le projet Debian, elle propose une nouvelle interface se voulant nettement plus lisible que celle disponible jusqu’à présent.

APT 3.0 se distingue en particulier par son affichage en colonnes et son utilisation des couleurs. En rouge, par exemple, toutes les suppressions, et en vert les ajouts. La barre de progression est elle aussi révisée, avec un fonctionnement plus souple et l’utilisation d’Unicode.

La nouvelle mouture ne revoit pas que sa lisibilité. On y trouve de nouvelles fonctions, comme un solveur permettant de revenir à des versions stables des paquets (via –solver), un autoremove plus efficace, le support de –target-release, une option –comment pour l’historique, la prise en charge des miroirs non compressés pour les miroirs partiels, le calcul correct de la taille du noyau dans /boot, le remplacement de GnuTLS et gcrypt par OpenSSL, ou encore le support des transactions et du comptage des mises à jour pour pkgDepCache.

On se souvient qu’APT 3.0 était présent dans Ubuntu 24.10, mais il s’agissait d’une préversion. Cette version finale devrait être graduellement disponible sur toutes les distributions basées sur Debian et Ubuntu. APT 3.0 sera présent dans Debian 13 et Ubuntu 25.04.

• Ubuntu 25.04 : une version solide derrière un calme apparent

Nouvelle mouture pour la distribution Linux centrée sur la sécurité et la vie privée. Une version 6.14.1 qui peut surprendre, car la 6.14 n’a pas été publiée. L’équipe de développement s’en explique dans un billet, indiquant qu’un problème important a été découvert à la dernière minute, nécessitant un correctif.

Tails 6.14.1 se distingue surtout par un changement notable dans le navigateur Tor Browser. La technologie de confinement utilisée pour la sécurité est désormais plus souple. Ainsi, plutôt que de limiter l’écriture des fichiers dans le seul dossier Téléchargements et la lecture à quelques répertoires, les accès peuvent se faire maintenant sur l’ensemble des dossiers.

L’équipe indique que cette amélioration est permise par XDG Desktop Portal, qui fournit un accès à des fonctions standards d’un système comme les fenêtres de dialogue pour les fichiers, le presse-papiers ou encore l’ouverture des liens. Dans le cas présent, ce framework est utilisé pour Flatpak au sein de Tails, autorisant un « relâchement » du confinement opéré par AppArmor.

La nouvelle version corrige également deux problèmes d’accessibilité dans Tor Browser, qui empêchaient d’utiliser les fonctions de texte et de curseurs agrandis.

L’agence américaine NOAA, qui a en charge notamment des données sur le climat et la météorologie, s’apprête à supprimer une quantité importante de sites internet via une simple annulation d’un contrat avec des hébergeurs cloud.

Mise à jour du 7 avril : alors que la menace d’une disparition de plusieurs sites de la NOAA planait le week-end dernier, ceux-ci sont encore disponibles. L’agence a finalement affirmé à Bloomberg qu’ « il n’y aura pas d’interruption de service » et que « tous les sites de recherche de la NOAA resteront en ligne ». Selon Axios, l’arrêt du contrat avec AWS a été repoussé au 31 juillet 2025, ce qui doit permettre à l’agence de trouver une solution de repli.

Article originel publié le 4 avril à 17h28 :

De nombreux sites de la NOAA, l’agence d’observation océanique et atmosphérique qui s’occupe aussi des données météorologiques aux États-Unis, vont sans doute devenir inaccessibles dès ce week-end. En cause ? Un contrat de prestations d’hébergement dans divers cloud a été annulé par sa direction, selon Bloomberg.

Cette agence est, comme de nombreuses agences fédérales américaines et notamment les agences scientifiques, visée par le DOGE et l’administration de Donald Trump depuis son retour au pouvoir. Elle s’est déjà séparée de certains de ses locaux et par deux fois d’une partie de son personnel.

• DOGE : une nouvelle déferlante désorganise les agences scientifiques américaines

Elle semble aussi particulièrement visée pour son rôle extrêmement important dans l’information sur le climat et la météorologie. Bloomberg explique qu’un contrat signé pour l’ensemble du bureau de la recherche océanique et atmosphérique de l’agence a été visé pour une « résiliation anticipée », selon des documents internes que le média a pu consulter.

Les services d’Amazon, de Google et de WordPress sur le point d’être coupés

« En conséquence, la quasi-totalité des sites web externes dépendant des services d’Amazon, de Google et de WordPress sont sur le point de disparaître tôt samedi matin à Washington, effaçant ainsi de la vue du public l’essentiel du travail de l’unité, qui comprend la recherche en sciences du climat et de l’environnement », explique notre consœur Lauren Rosenthal. La NOAA n’a pas répondu à sa demande de commentaire.

Cette information fait mouche avec une alerte lancée sur le forum du projet Safeguarding Research & Culture. Celui-ci émane de la volonté de certains chercheurs, notamment l’historien allemand Henrik Schönemann de l’université de Humboldt à Berlin, de créer « une infrastructure alternative pour l’archivage et la diffusion du patrimoine culturel et des connaissances scientifiques ». L’alerte concerne une cinquantaine de sites de la NOAA et on y retrouve rien de moins que le site de l’agence dédié à la recherche : https://research.noaa.gov/.

« Ce qui est prévu d’être supprimé, ce sont les services basés sur AWS pour la NOAA », expliquent les chercheurs, évoquant une mise hors-ligne dès ce vendredi soir. Mais des questions se posent aussi sur les données ouvertes hébergées elles aussi sur AWS.

Selon une note interne obtenue par Bloomberg, la résiliation du contrat pourrait aussi affecter d’autres activités de recherche de l’agence : le laboratoire qui surveille les tempêtes « violentes » pour le pays (le National Severe Storms Laboratory) et celui chargé de l’innovation en climatologie (le Earth Prediction Innovation Center) utilisent des services de cloud computing externes pour un système de prévisions météorologiques à grande échelle.

Le réseau national de l’agence menacé aussi

Les chercheurs de l’agence ont d’autres raisons d’être préoccupés : deux autres contrats arrivent à leur fin concernant le support de N-Wave, son réseau national qui « s’étend sur toute la zone contiguë des États-Unis jusqu’à l’Alaska et Hawaï, atteignant les sites de terrain éloignés, les grands campus, les centres de données et les installations de supercalculateurs ». Ils sont déjà sous le coup d’une extension très brève de cinq jours qui doit se terminer samedi pour l’un et lundi pour l’autre, selon Bloomberg.

Amazon a présenté hier soir une fonction nommée « Buy for me », destinée à simplifier encore un peu plus les achats. Contrairement à d’autres agents IA que l’on a pu voir jusqu’à présent, notamment chez Opera, il n’est pas question cette fois d’écrire une demande et de laisser l’intégralité du processus de découverte et d’achat à un agent.

• C’est quoi l’IA agentique ?

Cette fonction, disponible en bêta pour un petit groupe de personnes aux États-Unis, a un périmètre nettement plus restreint. Comme l’indique Amazon dans son billet, « Buy for me » veut simplifier les achats pour des produits présentés par la boutique Amazon, mais disponibles depuis d’autres, notamment les sites officiels des entreprises concernées.

La fonction, présente dans les applications Android et iOS, s’affiche sous forme d’un bouton dédié, accompagnant certains résultats. S’il est actionné par l’internaute, il lance une procédure d’achat sur le site officiel du fabricant, de manière automatisée.

Mais si cette fonction est plus restreinte dans ses cas d’usage, elle demande une grande confiance en Amazon. Car contrairement à ce que l’on a déjà pu voir, c’est toute la procédure d’achat qui se retrouve gérée par l’agent, y compris le paiement. Ce qui suppose que l’IA accède aux informations de la carte bancaire. L’achat est considéré comme externe. « La livraison, les retours et les échanges, ainsi que le service client sont gérés par la boutique de la marque », précise Amazon.

Le géant du commerce en ligne précise dans son billet que ces opérations sont chiffrées et qu’il n’accède pas aux données des autres sites. Il affirme qu’il ne tient aucun historique de ces actions et qu’il s’agit simplement d’apporter une commodité. En outre, la présence de cette fonction sur des produits se fait à la demande des fabricants et Amazon assure que les clients peuvent observer toutes les étapes d’un processus décrit comme « transparent ». Le tout repose sur Amazon Bedrock et utilise le modèle Nova maison, ainsi que les modèles Claude d’Anthropic (dont la version 3.7 est sortie fin février), sans plus de précision.

« Gagner la confiance est la pierre angulaire du succès des agents d’IA », déclare Amazon dans son billet. À voir désormais si la clientèle se laissera séduire par un processus automatisé impliquant des informations bancaires. Ajoutons que ce n’est pas la première fois qu’Amazon tente ce type d’approche automatisée. En 2018, nous avions ainsi testé la commande de pizza via Alexa, avec des résultats particulièrement décevants.

L’éléphant dans la pièce

Il n’y a pas que les datacenters qui façonnent le monde à cause de leur consommation électrique. La climatisation aussi est fortement consommatrice d’électricité… et cela ne va pas aller en s’arrangeant.

L’arrivée de l’IA générative a bousculé le numérique et soulève de nombreuses questions (droit d’auteur, éthique, biais, hallucinations…). Se pose aussi la question de l’empreinte écologique de datacenters toujours plus gros, partout dans le monde, avec des GPU toujours plus puissants.

La douce/triste « folie » de l’IA générative

Le tout avec une consommation électrique toujours plus importante, sur des zones bien précises. L’augmentation de la densité électrique par baie et l’expansion des datacenters posent d’ailleurs des contraintes sur le choix de l’emplacement physique alloué à ces derniers.

• En France, on a de l’électricité pour les datacenters, mais…

Avec les images et les vidéos de l’IA générative, on passe encore dans une autre dimension. Les chiffres de l’utilisation des IA peuvent donner le tournis, preuve en est encore récemment avec un tweet de Brad Lightcap (COO d’OpenAI) : « Première semaine de folie pour les images dans ChatGPT : plus de 130 millions d’utilisateurs ont généré plus de 700 millions (!) d’images ». Il se garde d’ailleurs bien de détailler l’empreinte environnementale d’une telle utilisation.

Bientôt 1 000 TWh pour les datacenters ?

Dans un rapport publié fin 2024, l’Agence internationale de l’énergie atomique (IAEA, sous l’égide de l’ONU) expliquait que « les datacenters avaient consommé environ 460 TWh d’électricité en 2022. Cette consommation pourrait s’élever à plus de 1 000 TWh d’ici 2026, soit plus d’un tiers de l’électricité produite par les centrales nucléaires du monde entier l’année dernière, et à peu près l’équivalent de la consommation d’électricité du Japon ». À titre de comparaison, en 2023, la consommation d’électricité en France était de 445,4 TWh.

L’Agence donne quelques chiffres d’anticipation. En Chine, la demande devrait doubler pour atteindre 400 TWh en 2030. En Irlande, la consommation des datacenters (5,3 TWh) représentait 17 % du total du pays et devrait atteindre 32 % d’ici fin 2026. Elle ajoute au passage que la consommation cumulée d’Amazon, Microsoft, Google et Meta « a plus que doublé entre 2017 et 2021 pour s’établir à environ 72 térawattheures (TWh) ».

Par exemple, pour Meta, la consommation des datacenters était de 14,975 TWh en 2023, contre 6,966 TWh en 2020. Elle a donc quasiment doublé en trois ans.

« On devrait parler davantage de climatisation »…

Dans un article publié sur MIT Review, Casey Crownhart (journaliste spécialisée sur le climat et l’énergie) explique que l’on « devrait parler davantage de climatisation ». Elle met cette problématique (bien moins médiatisée) en balance avec la consommation des datacenters largement plus présente dans les débats. Avec ce sous-titre volontairement provocateur : « oubliez les datacenters, la climatisation est la véritable bête noire »

Elle commence par rappeler le cercle vicieux de la climatisation et du réchauffement climatique : « À mesure que les températures augmentent, le besoin en refroidissement augmente. De plus en plus de centrales électriques à combustibles fossiles sont alors mises en service pour répondre à cette demande, augmentant ainsi la température de la planète ».

…qui représente 2 000 TWh, et plus 5 000 TWh en 2050 ?

Selon une étude publiée mi-2024 par l’organisation à but non lucratif Our World in Data (qui travaille en partenariat avec l’université d’Oxford), sur l’année 2022 « la climatisation représentait 7 % de l’électricité mondiale et 3 % des émissions de carbone ». Sur la base d’une consommation mondiale de 29 000 TWh en 2022, la climatisation représenterait un peu plus de 2 000 TWh. À mettre en face des 460 TWh des datacenters.

Selon une projection de l’Agence internationale de l’énergie (IEA, une organisation internationale fondée à l’OCDE), le nombre de climatiseurs devrait fortement augmenter dans les années à venir. De 2 milliards d’unités à la fin des années 2010, elle prévoit près de 3 milliards en 2030 et plus de 5 milliards en 2050. À ce moment-là, la consommation électrique pourrait grimper entre 3 500 et 5 000 TWh.

La Chine dope la croissance, l’Europe n’est pas en reste

Comme le rappelle Le Monde, les évolutions sont variables selon les continents : « Le nombre de ménages africains équipés en climatisation n’a enregistré qu’une très faible hausse au cours des vingt dernières années, passant de 4 % à 6 % aujourd’hui. Dopée par la Chine, l’Asie a en revanche vu son taux d’équipement exploser de 19 % à 47 % sur la même période ». En Europe, la proportion de ménages équipés d’une climatisation pourrait doubler et atteindre 40 % (55 % en France) d’ici 2050.

Les climatiseurs, contrairement aux datacenters, ont tendance à s’allumer à peu près en même temps dans une zone. « Dans certaines régions des États-Unis, par exemple, les climatiseurs peuvent représenter plus de 70 % de la demande d’énergie résidentielle aux moments où le réseau est le plus sollicité », affirme Casey Crownhart. Les climatiseurs sont répartis un peu partout alors que les datacenters concentrent la consommation en certains points précis (nécessitant des lignes dédiées). Signalons aussi que certains datacenters ont recours à la climatisation.

Notre consœur termine quand même par une bonne nouvelle : « nous assistons à des innovations dans la technologie de refroidissement ». Elle explique que certains proposent par exemple un stockage de l’énergie pour se recharger lorsque l’énergie est disponible à bas coût, et de nouvelles technologies de refroidissement. Cela ne suffira certainement pas à combler la hausse prévue de la consommation de la climatisation.

Encore une bonne intention ?

Ces derniers temps, on parle beaucoup d’une initiative baptisée « EU OS ». Il s’agirait d’une distribution Linux développée par l’Union européenne pour ses propres besoins. EU OS n’est cependant pas un système existant, ni même un projet de l’Union.

EU OS est un nom générique, choisi à dessein par Robert Riemann, auteur de l’initiative. Ce physicien et informaticien travaille actuellement dans l’équipe du Contrôleur européen de la protection des données (CEPD), un organe indépendant établi par le Règlement général sur la protection des données (RGPD) pour veiller à son application cohérente au sein de l’Union. Riemann est en quelque sorte aux premières loges sur les questions de souveraineté numérique.

Son initiative est centrée sur ce thème. Elle est personnelle – dans le sens où elle n’émane pas officiellement d’une instance européenne – mais est conçue pour attirer l’attention. Elle est en outre suffisamment étoffée dans sa vision pour interroger les éventuelles bonnes volontés. Même si certains choix peuvent sembler curieux, voire bloquants.

De quoi parle-t-on ?

EU OS est présenté comme un projet. L’auteur est cependant transparent sur les objectifs : c’est un proof-of-concept (démonstration de faisabilité) visant à explorer l’idée d’un système d’exploitation souverain pour les instances publiques de l’Union européenne. Comme Robert Riemann l’indique, EU OS « n’est techniquement pas un nouveau système d’exploitation »

Les motivations à lancer un tel projet ne manquent pas, selon lui. L’expression « argent public – code public » est au cœur de sa démarche. L’investissement public doit ainsi profiter au plus grand nombre, l’argent des contribuables ne devant pas servir à payer des licences de produits propriétaires. Il estime que les « effets de synergie » permettront des économies puisqu’il ne sera plus question de payer des coûts de licence par siège.

Il est également beaucoup question d’indépendance. D’abord, à l’égard des entreprises du privé, qui ne pourraient plus dicter leurs conditions. Ensuite sur la manière dont les migrations sont envisagées, sur le logiciel comme sur le matériel. Bien que le cas ne soit pas nommé, il est probable que la fin de vie de Windows 10 serve ici d’exemple emblématique du problème pointé. Un organisme public pourra ainsi choisir quand et comment migrer.

Bien sûr, l’ouverture du code est centrale, permettant à chacun de se lancer dans sa propre analyse. Même chose pour l’utilisation de normes ouvertes. L’initiative bénéficierait aussi de la communauté mondiale du logiciel libre.

La faisabilité d’accord, mais sur quelle base ?

Le site du projet rappelle que ce type d’initiative n’a rien de nouveau, même si l’aventure n’a encore jamais été tentée au niveau européen. La distribution française Gendbuntu, basée sur Ubuntu et utilisée par la gendarmerie française, est citée en exemple. D’autres sont citées, comme LiMux à Munich, mais dont l’aventure s’est terminée en 2017, quand la municipalité a décidé de revenir à Windows.+ 1 Linux est également dans la liste, distribution développée par le land allemand Schleswig-Holstein, de même qu’Astra Linux pour la Russie et Kylin pour la Chine. Pour l’auteur de l’initiative, c’est la preuve évidente qu’un déploiement de Linux à grande échelle n’a rien d’impossible.

Et pour l’Europe, que propose Robert Riemann ? Une base Fedora accompagnée de l’environnement KDE. Le choix a de quoi surprendre : quitte à viser la souveraineté et donc l’indépendance, pourquoi promouvoir une distribution qui, si elle est effectivement libre, est le laboratoire à ciel ouvert de Red Hat, une société américaine ?

• La souveraineté numérique face à la réalité du terrain

Robert Riemann s’en explique dans une FAQ. De 2007 à 2024, il a lui-même utilisé openSUSE, distribution soutenue par SUSE, une société allemande. Il indique également s’être servi de Debian au département universitaire, et de Scientific Linux dans un département de recherche. Pour son utilisation personnelle, il s’est penché en 2024 sur openSUSE Kalpa, mais a finalement choisi une variante spécifique de Fedora : Kinoite.

Kinoite, dont nous avons déjà parlé, est un système Linux immuable. Il estime que cet aspect du système est essentiel dans le cadre d’une distribution publique, car elle permet une sécurité accrue et offre une plus grande fiabilité dans la gestion des mises à jour. Les images déployées peuvent être signées, avec possibilité de contrôler finement ce qui est installé et quand.

Le choix de Fedora tient compte d’un ensemble de paramètres, dont l’utilisation de rpm-ostree, un système hybride images/paquets. On le retrouve dans des distributions immuables basées sur Fedora comme les spins Atomic, CentOS Stream, Alma Linux et Rocky Linux. Robert Riemann dit également avoir reçu des conseils de la communauté, du CERN, de la Commission européenne, du centre allemand pour la souveraineté numérique ou encore d’openSUSE (qui en a d’ailleurs fait un billet de blog le 26 mars).

Des spécifications précises

Ce billet est intéressant, car l’équipe y estime le projet EU OS comme « mature » par son approche et la liste des caractéristiques. Le choix de Fedora Kinoite est à la fois considéré comme argumenté et présentant des risques. Pour openSUSE, il serait plus judicieux de prendre tout de suite en compte des alternatives comme Aeon (GNOME) ou sa propre distribution Kalpa, qui poursuit les mêmes objectifs que Kinoite. Le critère commun ? L’immuabilité.

Sur le site d’EU OS, d’autres spécifications sont d’ailleurs données. Il faut pouvoir par exemple proposer des dossiers synchronisés, qu’ils soient partagés ou spécifiques à l’utilisateur. Une attention particulière doit être portée à la gestion des e-mails et calendriers. Ce peut être à travers le tandem KOrganizer-Kmail (donc KDE), Thunderbird ou un webmail comme OpenExchange.

Parmi les autres spécifications, il y a également l’intégration avec des services d’impression, une gestion des mots de passe avec intégration dans le navigateur, un outil de compression multiformat (7zip est proposé), la possibilité de déployer des applications depuis un catalogue (comme Flathub), une gestion centralisée des appareils (notamment pour le traitement des correctifs), une intégration avec un service d’annuaire, un déploiement automatique des certificats personnalisés, un système automatisé pour les sauvegardes, la prise en charge du chiffrement intégral du disque, la compatibilité avec SELinux, et ainsi de suite.

La liste est longue, d’autant qu’elle contient aussi des exigences non fonctionnelles. Elles concernent surtout la philosophie du projet, avec des conséquences concrètes sur la sécurité. Par exemple, le caractère open source du projet ou l’utilisation de méthodes DevOps modernes, « pour des constructions reproductibles ». Le système doit répondre aux besoins de l’Union européenne et doit pouvoir fonctionner sur du matériel datant de Windows 7.

Et, bien sûr, EU OS doit prendre en compte dès le départ l’ensemble des cadres juridiques européens pertinents et normes associées : RGPD, NIS 2, Cyber Resilience Act, ISO 27001. SecNumCloud, la certification de l’ANSSI, est même mentionnée, « si applicable ».

• Cybersécurité : la transposition des directives NIS2, DORA et REC passe le Sénat

Un vieux sujet

Il semble que l’ouverture du dépôt GitLab associé ait été faite aux alentours de Noël dernier. Pourquoi à ce moment-là ? Une question de contexte, sans doute, entre les dernières élections européennes et la pétition lancée en novembre dernier pour faire réagir les instances européennes.

Cette pétition, enregistrée sur le site du Parlement européen, enjoignait l’Europe à se doter de sa propre distribution souveraine. Les avantages d’une telle solution étaient considérés comme « évidents », comme l’indépendance, les économies réalisées, la transparence du processus, la sécurité associée, etc. Pour en finir avec la dépendance aux solutions propriétaires. Sujet relancé en France ces derniers temps, notamment avec le contrat signé par Polytechnique avec Microsoft.

• L’école Polytechnique veut migrer sur Microsoft 365 et déclenche un tollé

Pour autant, comme nous le rappelait alors l’ingénieur Stéphane Bortzmeyer, la souveraineté par le système d’exploitation est un vieux sujet, sans que rien n’ait jamais vraiment bougé au niveau étatique. Et ce, malgré des réussites comme la migration de la gendarmerie française vers une version modifiée d’Ubuntu pour 70 000 postes.

L’initiative, cette fois, émane d’une personne clairement identifiée et ayant une expérience réelle avec le monde Linux. Le site donne de nombreux détails et pose une vision claire. Dans un contexte de guerre commerciale ouverte avec les États-Unis, déclenchée par le gouvernement américain via des droits de douane massifs, le projet est à suivre de près. Sinon, il aura eu le mérite de donner un aperçu plus précis de ce que devrait être une distribution européenne.

L’acquisition de 50 % du capital d’OpCore par le fonds d’infrastructure français InfraVia est désormais finalisée. « À travers ce partenariat, le Groupe iliad et Infravia vont doter OpCore d’une structure financière à même de libérer ses perspectives d’hypercroissance par le développement de nouveaux datacenters de plusieurs centaines de mégawatts en France et en Europe. Plusieurs projets de construction sont déjà en cours », indiquent les deux entreprises, déjà partenaires de longue date dans les investissements autour de la fibre, dans un communiqué commun.

L’opération, initialement annoncée le 4 décembre dernier, valorise l’entreprise à hauteur de 860 millions d’euros. Elle confère à OpCore (anciennement Scaleway Datacenter) une structure financière et un accès à de nouveaux fonds propres qui doivent permettre à l’entreprise d’aller plus facilement lever de la dette bancaire pour financer la création de ses futurs centres de données. Elle permet dans le même temps à iliad de réduire son endettement, sans perdre le contrôle d’une activité considérée comme stratégique.

« Nous allons investir avec notre partenaire InfraVia 2,5 milliards d’euros dans notre plateforme de datacenters OpCore pour devenir la première plateforme indépendante européenne », promettait à cette occasion Thomas Reynaud, directeur général du groupe iliad.

En France, OpCore revendique à ce stade plus de 50 MW de capacités opérées à ce jour sur cinq datacenters en région parisienne, ainsi que deux en région lyonnaise et un en région marseillaise, commercialisés sous la marque Free Pro.

Pwnd

Le groupe de pirates Lazarus, lié à l’état nord-coréen, a mis en place un système de piratage visant le monde de la cryptomonnaie, notamment en organisant de faux entretiens d’embauche et en poussant à l’installation de logiciels malveillants via des techniques de social engineering.

En octobre dernier, nous nous étions faits l’écho de la propagation d’une arnaque au recrutement qui cible les développeurs amateurs de crypto. Les soupçons se tournaient vers Lazarus, groupe de pirates nord-coréen auquel est aussi attribué l’immense vol de cryptoactifs, d’une valeur approchant 1,5 milliard de dollars, révélé en février dernier.

L’éditeur de logiciel de cybersécurité français Sekoia confirme dans un rapport que le groupe de pirates est à l’origine d’une campagne d’arnaque au recrutement de ce type. « Il utilise des sites web d’entretiens d’embauche légitimes pour exploiter la tactique ClickFix et installer des portes dérobées pour Windows et macOS », explique l’entreprise française.

Le ClickFix est une tactique d’ingénierie sociale qui « consiste à afficher de faux messages d’erreur dans les navigateurs web pour tromper les utilisateurs et les inciter à copier et à exécuter un code PowerShell malveillant donné, ce qui finit par infecter leurs systèmes », expliquait Sekoia en octobre dernier. Détectée en mai 2024, cette tactique est déjà qualifiée de « tristement célèbre » par Sekoia.

Windows et MacOS, deux variantes

Selon l’entreprise de sécurité, la chaine d’infection utilisée par Lazarus ciblerait les systèmes d’exploitation Windows et MacOS de deux façons différentes. Sur le premier, le groupe de pirates passerait par un script VBS puis un script NodeJS et sur le second via un script Bash puis le malware FrostyFerret pour récupérer le mot de passe système. Mais à la fin, ils utiliseraient un virus, nommé GolangGhost par Sekoia, écrit en GO. Ce code a déjà été partiellement étudié par les spécialistes de cybersécurité Sonatype et dmpdump. Sekoia explique que GolangGhost est prévu pour fonctionner sur Windows et macOS et permet de mettre en place une porte dérobée puis de voler des données via Chrome.

Sous MacOS, FrostyFerret affiche une fausse fenêtre indiquant que le navigateur web Chrome a besoin d’accéder à la caméra ou au microphone. Ensuite, le malware demande à l’utilisateur de saisir le mot de passe du système. Celui-ci est ensuite récupéré et envoyé vers un espace Dropbox.

Essentiellement des acteurs de la CeFi utilisés comme appâts

En analysant cette attaque, Sekoia a récupéré 184 invitations différentes pour des entretiens d’embauche. Parmi ces invitations, elle a trouvé 14 noms d’entreprises utilisés pour inciter la victime à compléter le processus de demande. Parmi elles, Coinbase est celle dont le nom est le plus utilisé par Lazarus pour attirer l’attention de ses proies :

Sekoia fait remarquer que 9 des 14 entreprises « proposent des services financiers centralisés (CeFi), c’est-à-dire des services financiers construits autour des crypto-monnaies qui s’appuient sur des intermédiaires, tels que des échanges et des plateformes de prêt, pour faciliter les transactions ». L’entreprise de sécurité rappelle que « ces plateformes sont dites « centralisées » car elles obligent les utilisateurs à faire confiance à une entité centrale pour gérer les fonds, traiter les transactions et assurer la sécurité ». Archblock est la seule plateforme de services financiers décentralisés (DeFi) détectée par Sekoia comme cible de Lazarus.

Lazarus vise des profils moins tech

Mais si les développeurs amateurs de crypto sont ciblés, l’analyse de Sekoia montre qu’ils ne sont ni les seuls, ni la principale cible. En effet, l’entreprise explique qu’ « il s’agit principalement de postes de responsables axés sur le développement commercial, la gestion des actifs, le développement de produits ou de spécialistes de la finance décentralisée ». Et elle explique que c’est un changement important s’agissant des attaques de Lazarus qui, jusque-là, « visaient principalement les développeurs et les ingénieurs en informatique ».

Sekoia livre une liste des faux sites d’entretiens que l’entreprise a détectés :

Aie confiance, crois en moi, que je puisse veiller sur toi

OpenAI et Anthropic viennent tous deux de lancer une offensive en direction du monde universitaire outre-Atlantique. Le premier choisit de rendre son abonnement ChatGPT Plus gratuit pour tous les étudiants aux États-Unis et au Canada jusqu’au mois de mai. Le second mise sur la création d’une offre dédiée, Claude for Education.

Les étudiants d’aujourd’hui sont les professionnels de demain, et cette logique, qui explique en partie pourquoi des éditeurs comme Microsoft courtisent le monde de l’éducation, n’a pas échappé aux ténors de l’intelligence artificielle générative, comme l’illustrent deux annonces quasi simultanées.

ChatGPT Plus gratuit pour les étudiants… pendant deux mois

La première émane d’OpenAI, qui vient de lancer une offre d’essai promotionnelle dédiée à son abonnement payant, ChatGPT Plus. L’entreprise dirigée par Sam Altman offre aux étudiants deux mois d’accès gratuits (valables jusqu’au 31 mai 2025), sous réserve qu’ils soient inscrits dans un établissement supérieur, aux États-Unis ou au Canada. Le statut d’étudiant sera vérifié au travers du système SheerID, indique OpenAI.

Il appartiendra ensuite aux étudiants ayant souscrit l’abonnement de résilier avant le 31 mai ou, à défaut de s’acquitter du montant de l’abonnement, soit 20 dollars par mois. « Votre abonnement se renouvelle automatiquement au tarif mensuel standard de ChatGPT Plus, sauf résiliation. Si vous ne souhaitez plus continuer, veuillez résilier avant la première date de facturation suivant la période promotionnelle », avertit l’éditeur.

OpenAI cible ici directement l’utilisateur final, alors que l’entreprise mène en parallèle une politique de conquête commerciale tournée vers les établissements supérieurs avec une offre dédiée, ChatGPT Edu, qui propose notamment des possibilités plus poussées en matière d’administration, de sécurité et de création d’agents personnalisés.

Anthropic lance Claude for Education

Concurrent d’OpenAI avec ses modèles Claude, Anthropic lance justement sa propre offensive en la matière. L’entreprise a en effet annoncé mercredi le lancement de Claude for Education, une offre qui vise à fournir aux établissements supérieurs un accès personnalisé à ses outils d’IA générative. Anthropic promet notamment une « nouvelle expérience Claude qui guide le processus de raisonnement des élèves plutôt que de fournir des réponses, contribuant ainsi à développer des compétences de pensée critique ».

En attendant de voir ce que recouvre cette dernière, Anthropic ne cache pas son ambition de contribuer à améliorer le taux de pénétration de ses IA parmi le public des étudiants. Le lancement de Claude for Education s’accompagne ainsi d’accords commerciaux avec plusieurs grands campus (Northeastern University à Boston, London School of Economics and Political Science (LSE), Champlain College au Canada), dont les étudiants accèderont gratuitement aux outils d’Anthropic.

La société présente également un programme d’étudiants ambassadeurs, à qui elle promet un accès privilégié à ses équipes, mais aussi une formule de crédits gratuits pour les étudiants qui souhaiteraient élaborer leurs projets d’étude grâce à Claude. Anthropic annonce par ailleurs rejoindre à cette occasion le consortium Internet2 et collaborer avec la ed tech américaine Instructure pour interfacer Claude avec la plateforme d’apprentissage Canvas LMS.

Études : les bénéfices de l’IA toujours contestés

« L’IA change ce que signifie être paré à l’emploi et, en tant qu’établissement tourné vers l’avenir, Champlain offre aux étudiants la possibilité d’utiliser l’IA afin qu’ils puissent être opérationnels dès l’obtention de leur diplôme », se réjouit Alex Hernandez, président du Champlain College, cité par Anthopic.

Si la capacité à utiliser l’IA générative, comprendre leurs atouts et se prémunir de leurs limites constitue assurément un atout, plusieurs études alertent déjà sur les risques associés à l’omniprésence de ces outils dans les cursus étudiants. Des chercheurs de Microsoft, en partenariat avec l’université de Carnegie Mellon, ont par exemple récemment conclu que l’utilisation de l’IA générative contribuait à une diminution de l’esprit critique.

Dans son Journal, le CNRS se pose des questions existentielles autour de la conscience : « Quand commence-t-elle et où finit-elle ? Comment la mesurer ? Et l’IA en est-elle douée ? ». De quoi ouvrir de nombreux débats…

L’article s’articule autour de cinq questions avec des réponses de plusieurs chercheurs, notamment Catherine Tallon-Baudry, (directrice de recherche CNRS au Laboratoire de neurosciences cognitives computationnelles à Paris) et Jean-Rémy Hochmann (directeur de recherche CNRS à l’Institut des sciences cognitives Marc-Jeannerod).

La question des intelligences artificielles est évidemment abordée par le CNRS : « une intelligence artificielle (IA) pourrait-elle, à terme, être consciente ? Si l’on définit la conscience uniquement par la capacité à traiter l’information et à raisonner, certaines intelligences artificielles pourraient déjà être considérées comme conscientes. Mais si la conscience implique nécessairement une dimension organique, subjective et sensible, alors les machines en sont encore très loin ».

D’après le Journal, les chercheurs suggèrent que, chez les humains, « les structures de base, cognitives et neuronales, qui permettent la conscience sont déjà en place très tôt, peut-être dès la naissance ». Mais la conscience est-elle seulement dans le cerveau ? Catherine Tallon-Baudry soutient l’idée que « la conscience résulte d’une interaction complexe entre le cerveau et le corps – un aspect souvent négligé par les théories classiques », explique le CNRS.

Quoi qu’il en soit, n’attendez pas une réponse tranchée (il faudrait déjà s’accorder sur le sens précis de la question et des mots utilisés). L’article termine par une autre question : « une intelligence artificielle pourrait-elle un jour devenir consciente ? ». Vous avez deux heures.

• La conscience, un mystère à décoder

DDoS généré pour IA

Pour entrainer et tenir à jour leurs intelligences artificielles, les crawlers des entreprises d’IA parcourent le web en permanence et sont suspectés de ne pas respecter les fameux robots.txt censés permettre leur blocage. Leur activité va jusqu’à mettre en péril des sites web de projets de logiciels libres ou toucher fortement les activités de Wikimédia.

Les entreprises qui ont mis en place des IA génératives comme OpenAI, Meta, Anthropic, Mistral ou encore Amazon, Google et Microsoft ont besoin d’indexer des contenus sur le web en permanence pour entrainer leurs grands modèles de langage (LLM), récupérer les nouvelles informations afin que leurs outils soient capables de répondre aux demandes de leurs utilisateurs.

Un trafic difficile à gérer, même pour la fondation Wikimédia

Mais en venant en permanence sur les sites web, ils ajoutent du trafic important à leur bande passante, au point de saturer certains. La fondation Wikimédia a publié un billet pour expliquer à quel point ces robots ont un impact sur ses projets : « Notre infrastructure est conçue pour supporter des pics soudains de trafic d’origine humaine lors d’événements très intéressants, mais le volume de trafic généré par les robots scrapeurs est sans précédent et présente des risques et des coûts croissants ».

En effet, ces entreprises récupèrent ces contenus à l’aide de « crawlers », des robots d’indexation, ou plutôt ici de récupération de données. OpenAI a officiellement donné le nom de son robot, GPTBot, en aout 2023, suscitant immédiatement la réaction de RSF qui a rapidement invité « tous les médias à configurer leurs sites pour éviter qu’OpenAI ne récupère leur contenu gratuitement ». C’est ce qu’ont fait beaucoup de sites web.

Un blocage pas si efficace

Pour cela, il « suffit » de lister dans le fichier robots.txt de son site les robots dont on ne veut pas. Mais, comme l’ont démontré récemment des chercheuses, certains robots récupèrent des informations de sites qui, pourtant, les ont ajoutés dans leurs listes. De plus, l’outil d’IA générative de Microsoft, Copilot, utilise BingBot, le robot d’indexation du moteur de recherche de l’entreprise. Un site qui voudrait bloquer l’IA de Microsoft ne serait plus indexé dans le moteur de recherche Bing.

Et, comme on l’a vu récemment, certains sites peuvent être visités 2 millions de fois par un bot en un trimestre. Il est déjà difficile pour des infrastructures comme celles de la Fondation Wikimédia de faire face à cet afflux « artificiel » pour gérer sa bande passante, mais ça l’est encore plus pour des projets qui ont moins de moyens.

Certains expriment leur ras-le-bol

Plusieurs responsables de projets de logiciels libres se sont plaints du problème, expliquait récemment ArsTechnica. Le développeur Xe Iaso a, par exemple, exprimé son ras-le-bol en janvier face au crawler d’Amazon : « À la personne qui gère AmazonBot, veuillez ajouter git.xeserv.us à votre liste de domaines bloqués. Si vous connaissez quelqu’un chez Amazon, merci de lui transmettre ce message et de lui demander de le transmettre à l’équipe d’AmazonBot » alors qu’il avait radicalement bloqué tous les robots dans son fichier robots.txt.

TheLibre.News a aussi recensé plusieurs infrastructures de logiciels libres touchés par ce problème. Le GitLab des développeurs de KDE a, par exemple, été touché par des crawlers ayant des IP détenues par Alibaba, ce qui l’a rendu temporairement inaccessible. L’un des administrateurs systèmes du projet Pagure de Fedora a, lui aussi, constaté un afflux massif de robots de récupération de données venant du Brésil. Il explique avoir décidé de bloquer temporairement toutes les IP brésiliennes pour en venir à bout tout en sachant bien que ce n’était pas une solution de long terme.

Gergely Orosz, qui publie la newsletter The Pragmatic Engineer, explique sur LinkedIn que le site d’un de ses projets personnels qui déclinait a reçu récemment un trafic important « lorsque le crawler AI de Meta et d’autres bots comme Imagesiftbot ont commencé à crawler le site sans réfléchir : ça a poussé le trafic à plus de 700Go par mois » alors qu’il était aux alentours de 100Go par mois un peu avant.

« Le site est hébergé sur Render où 500Go/mois sont inclus, au-delà c’est 30 $ pour 100Go. Ce mois-ci, je paie donc 90 $ pour l’entrainement de ces LLM », commente-t-il. Et lui aussi pointe que « l’ironie est que les robots – y compris Meta ! – ignorent manifestement le fichier robots.txt du site qui leur dit de « s’il vous plait, restez à l’écart » ».

Drew DeVault, le fondateur de la plateforme d’outils open source Source Hut, a publié un billet de blog le 17 mars dernier demandant aux entreprises d’IA génératives d’ « arrêter d’externaliser [leur] coûts directement sur [lui] ». « Au lieu de travailler sur nos priorités à SourceHut, j’ai passé entre 20 et 100 % de mon temps à atténuer les crawlers LLM hyper-agressifs », s’y lamente-t-il. Il explique que Source Hut subit des « dizaines de brèves pannes par semaine » et qu’il doit chercher tous les jours de nouvelles solutions pour ne pas voir la situation empirer. Le même jour, son entreprise expliquait que des crawlers de LLM continuaient à provoquer un DDoS sur SourceHut.

Des solutions pour piéger les crawlers d’IA

Elle expliquait avoir décidé de déployer Anubis pour essayer de bloquer les bots des entreprises d’IA. « Ce logiciel présente à certains utilisateurs un défi de preuve de travail qui est résolu par le navigateur de l’utilisateur à l’aide de JavaScript », explique SourceHut. C’est en fait une solution qu’a développée Xe Iaso après avoir publié son ras-le-bol.

D’autres solutions commencent à être développées, notamment en essayant de piéger les IA dans un labyrinthe de liens. Nepenthes, par exemple. Sa documentation explique que le logiciel « fonctionne en générant des séquences infinies de pages, chacune contenant des dizaines de liens, qui retournent simplement dans un piège ». Nepenthes ajoute des petits détails comme un délai ou une fausse apparence de fichiers statiques pour tromper le crawler.

De son côté, Cloudflare a aussi pensé à une solution de labyrinthe, explique-t-elle dans un billet de blog. Celle-ci « utilise du contenu généré par l’IA pour ralentir, embrouiller et gaspiller les ressources des AI Crawlers et d’autres robots qui ne respectent pas les directives « no crawl » ». L’entreprise, connue pour vendre des solutions pour augmenter la sécurité et les performances des sites internet, propose pour le moment à tous ses utilisateurs la possibilité d’activer gratuitement cette fonctionnalité.

exFAT est un système de fichier créé par Microsoft en 2006 pour les supports amovibles, particulièrement les cartes SD, avec un accent mis sur la gestion des métadonnées. Il s’agissait alors d’un système de fichiers propriétaire. Les spécifications ont finalement été ouvertes en 2019 et la propriété des brevets transférée à l’Open Invention Network. Ce n’est cependant pas une technologie ouverte.

• Systèmes de fichiers : FAT12 à 32 et exFAT, conçus pour le grand public

Son support dans Linux a toujours été bancal, malgré des améliorations notables de temps en temps. La version 6.15 du noyau devrait cependant donner un gros coup de fouet, notamment lors de la suppression de fichiers, quand l’option de montage « discard » est active. Cette dernière signifie qu’une opération informe le périphérique de stockage que les blocs sous-jacents ne sont plus utilisés. Supprimer un fichier envoie ainsi un signal pour passer ces blocs du statut « occupé » à « libre ».

C’est un ingénieur de Sony, Yuezhang Mo, qui a apporté la modification. Il explique ainsi qu’en mode discard, les clusters sont éliminés un par un quand l’utilisateur déclenche une suppression de fichiers. Plus le nombre et le poids des fichiers augmente, plus l’opération prend de temps. Au point que ce dernier peut devenir excessif et entrainer un plantage des composants logiciels impliqués, jusqu’au blocage parfois de la machine. Sa modification a donc consisté à permettre le traitement par lots des clusters impliqués, comme le rapporte notamment Phoronix.

Pour donner un ordre d’idée, la suppression d’un fichier unique de 80 Go prenait la bagatelle de 286 secondes, un temps que l’on peut considérer comme « fou ». Avec le noyau Linux 6.15, la même opération prend… 1,6 seconde.

Seul contre tous

Donald Trump a tenu parole, en annonçant, mercredi, de nouveaux droits de douane exceptionnels, censés favoriser selon lui la réindustrialisation des États-Unis. Si la sidération domine encore sur les marchés financiers, les réactions politiques ne se sont pas fait attendre. L’Europe et la France défendent déjà l’idée de contre-mesures, parmi lesquelles l’hypothèse d’une taxe GAFAM, appliquée sur les flux financiers des géants du numérique, risque de s’imposer comme une évidence.

L’incertitude a duré jusqu’aux dernières heures : jusqu’où Donald Trump allait-il mettre à exécution ses menaces de droits de douane ? Le président des États-Unis n’a finalement pas mis d’eau dans son vin. Il a annoncé mercredi, à l’occasion de ce qu’il qualifie de « Liberation Day », un jeu de mesures exceptionnelles, qui instaurent des droits de douane particulièrement lourds pour les marchandises importées aux États-Unis. La Chine et les autres pays de l’Asie manufacturière sont particulièrement touchés, tout comme l’Union européenne.

Outre une taxe plancher sur les importations de 10 %, valable pour tous les pays – une approche systématique qui conduit à introduire des droits de douane sur des archipels peuplés uniquement de manchots et d’oiseaux, Trump prévoit des droits de douane individualisés et réciproques plus élevés pour les pays avec lesquels les États-Unis entretiennent une balance commerciale déficitaire.

Présentés à grands renforts de tableaux pendant une conférence de presse, ces droits de douane se montent à 20 % pour l’Union européenne, 54 % pour la Chine (en intégrant les précédentes taxes de 20 % entrées en vigueur début mars), 32 % pour Taïwan, 24 % pour le Japon, 49 % pour le Cambodge ou 46 % pour le Vietnam, 48% pour le Laos, 47% pour Madagascar, 44% pour le Sri Lanka, etc.

Ils ne préjugent pas, par ailleurs, d’éventuelles taxes spécifiques, comme les 25 % désormais prélevés sur l’importation de véhicules produits en dehors des États-Unis.

Une méthodologie qui interroge

Outre les cas particuliers comme le Canada, le Mexique ou la Chine, pourquoi de telles variations entre, disons, le Vietnam et le Cambodge ? Après analyse des chiffres, l’économiste américain James Surowiecki a remarqué une corrélation entre le déficit commercial des États-Unis avec le pays concerné et le niveau de droits de douane appliqué. Une hypothèse qu’a partiellement confirmée le bureau du représentant américain au commerce (USPTR), en publiant, jeudi, l’équation ayant soi-disant présidé au calcul.

Si les modalités de ce calcul interrogent, c’est aussi parce que Donald Trump parle de droits de douane réciproques, comme si les États-Unis ne faisaient que réagir aux pressions commerciales que lui font subir les autres pays du monde. L’Europe est dans ce contexte accusée de taxer à hauteur de 39 % les importations venues de l’autre côté de l’Atlantique, mais d’où vient ce chiffre ?

De façon empirique, un journaliste de Wired vérifie, sur 182 des 185 pays concernés, l’hypothèse de Surowiecki : « pour chaque pays, ils ont simplement pris notre déficit commercial avec ce pays et l’ont divisé par les exportations de ce pays vers nous ». En 2024, l’Union européenne a, par exemple, exporté l’équivalent de 605 milliards de dollars vers les États-Unis, mais importé uniquement 370 milliards de dollars, soit une balance déficitaire de 236 milliards de dollars… qui représente 39 % de ce que les États-Unis ont consommé en provenance de l’Europe.

Quel impact sur le secteur de la tech ?

Jeudi matin, les marchés européens ont vu rouge, très rouge, et l’ouverture de Wall Street s’annonce difficile. Bien que Trump défende l’impact positif de ses mesures pour l’économie américaine, ces droits de douane risquent en effet de soulever de nombreuses difficultés pour les sociétés qui produisent ou s’approvisionnent dans le reste du monde. Apple, qui fabrique massivement en Asie (Chine, Inde, Vietnam) ou Amazon, dont les rayons virtuels débordent de produits manufacturés à l’étranger, figurent parmi les acteurs de premier plan les plus exposés.

Les répercussions à plus long terme sont toutefois difficiles à mesurer. D’abord, parce que l’économie de la tech repose sur une infinité d’interdépendances entre composants, technologies, logiciels et flux financiers mondialisés. Ensuite, parce que la manœuvre de Donald Trump recèle une part variable non négligeable.

« Ces droits de douane resteront en vigueur jusqu’à ce que le président Trump détermine que la menace posée par le déficit commercial et le traitement non réciproque sous-jacent est satisfaite, résolue ou atténuée », expose clairement la Maison blanche. Le président ne s’en cache pas : il cherche à faire pression sur les états comme sur les acteurs économiques, pour obtenir des mesures favorables à l’économie des États-Unis, et ramener sur son sol des investissements, des usines et des emplois.

Vers une guerre commerciale ?

Droits de douane contre droits de douane, l’hypothèse laisse supposer une hausse généralisée des prix avec, à la clé, un risque de récession de l’économie américaine, dont la consommation des ménages représente près de 70 %. Un risque assumé par Donald Trump. « Ce que nous faisons est grand, nous rapportons la richesse à l’Amérique, et il y aura une période de transition. Il faut du temps », déclarait-il le 9 mars dernier, au micro de NBC.

En attendant, une forme de riposte s’organise, même si les contours en sont encore flous. Ursula Von der Leyen, présidente de la Commission européenne, a rappelé jeudi matin que l’Union préparait déjà un lot de mesures visant à taxer les marchandises venues des États-Unis, en réponse aux droits de douane déjà instaurés par Donald Trump sur les produits contenant de l’acier et de l’aluminium. « Et nous nous préparons maintenant à de nouvelles contre-mesures pour protéger nos intérêts et nos entreprises si les négociations échouent », a-t-elle ajouté lors de sa déclaration.

Le retour d’une taxe GAFAM européenne ?

Il est toutefois probable que d’autres mesures, moins « réciproques », soient aussi envisagées, et l’hypothèse d’une taxe GAFAM suscite déjà, dans ce contexte, de premières déclarations. Elle apparaît en effet comme une mesure de rétorsion relativement évidente, du fait de la part prépondérante des services, et donc de l’économie numérique, dans la balance commerciale états-unienne. Un point que Donald Trump omet sciemment dans ses propres chiffres et déclarations, qui ne raisonnent que sur la base des biens matériels.

En 2023, l’Europe exportait par exemple 503 milliards d’euros de marchandises vers les États-Unis, et en importait 347 milliards d’euros. Or la situation s’inverse quand on regarde les services : l’Union européenne exportait l’équivalent de 319 milliards d’euros vers les États-Unis, alors que ces derniers génèraient 427 milliards d’euros à partir du marché européen. En matière de services, les États-Unis bénéficient donc d’un excédent commercial significatif vis à vis de l’Europe.

La France semble déjà pencher en faveur de l’idée d’une taxe GAFAM, comme l’a laissé entendre Sophie Primas, porte-parole du gouvernement, sur RTL. Rappelant le premier volet de la riposte européenne relative à l’aluminium et à l’acier, elle évoque un second volet, plus large, « probablement prêt à la fin du mois d’avril sur l’ensemble des produits et des services, et j’insiste bien sur les services, avec de nouveaux outils » réglementaires, dits anti-coercition.

• PLF 2025 : l’Assemblée adopte deux amendements pour taxer les GAFAM

Oui allo ? Alors je sais, vous avez sûrement…

En 2024, comme les années précédentes, le nombre de plaintes envoyées à l’Arcep est en hausse. Les alertes concernant la fibre optique sont sans surprise les plus importantes. Sur le mobile, on note aussi une explosion des spams téléphonique. Dans le même temps, l’Observatoire de la satisfaction client 2025 est aussi disponible.

L’Arcep (régulateur des télécoms) vient de publier le bilan annuel de sa plateforme J’alerte l’Arcep. Lancée fin 2017, elle permet à tout un chacun (particuliers et professionnels) de lui signaler un problème. « Les alertes recueillies permettent de suivre en temps réel les difficultés rencontrées par les utilisateurs, d’identifier les dysfonctionnements récurrents ou les pics d’alertes », explique l’Autorité.

En 2024, le gendarme des télécoms a reçu plus de « 57 000 [+ 8% par rapport à 2023, ndlr] alertes dont environ 49 000 directement sur la plateforme ». Sans surprise, « l’utilisation de j’alerte l’Arcep, en hausse constante, reflète les évolutions des problèmes rencontrés depuis 2018 ».

Le nombre d’alertes sur les réseaux hors fibre décroit (sauf un petit rebond en 2023), tandis que celui sur la fibre optique représente désormais plus de la moitié des signalements. On peut également voir (zone rose) une forte hausse des appels/messages non sollicités ou abusifs sur le mobile, nous allons y revenir.

Signalements : Free (en tête) vs les trois autres opérateurs

Au niveau des opérateurs, Free se démarque à la fois sur le fixe et sur le mobile, mais pas de la meilleure des manières :

« Les signalements reçus concernant les opérateurs Orange, SFR et Bouygues sont en baisse en 2024 et compris entre 75 et 100 pour 100 000 utilisateurs, ceux pour Free sont stables aux alentours de 150 pour 100 000 utilisateurs.

Sur le marché mobile, les signalements reçus concernant les opérateurs Bouygues, Orange et SFR sont plutôt stables depuis 3 ans et sont compris entre 5 et 10 pour 100 000 utilisateurs, ceux pour Free sont en hausse et sont compris entre 10 et 15 pour 100 000 utilisateurs ».

Satisfaction client : Free aussi en tête

Si Free arrive premier sur le nombre de signalements, l’opérateur est aussi en tête sur les notes de satisfaction attribuées par les utilisateurs au service client, avec 2,8/5. Bouygues Telecom et Orange sont deuxièmes avec 2,4/5 et SFR dernier avec 2,2 sur 5.

Autre indicateur : la satisfaction globale des abonnés à un réseau fixe et/ou mobile. Elle « est en légère hausse, pour l’ensemble des opérateurs, par rapport à l’année précédente ». Free est en tête avec 8,1 sur 10, Orange deuxième avec 8,0, Bouygues Telecom troisième avec 7,8 et SFR encore dernier avec 7,5.

« La satisfaction des utilisateurs vis-à-vis des opérateurs mobiles (notés 7,9/10 en moyenne) est
équivalente à celle vis-à-vis des fournisseurs d’accès à internet fixe (notés 7,8/10 en moyenne) », ajoute l’Arcep.

Le bilan complet de la satisfaction des utilisateurs vis-à-vis des opérateurs mobiles et Internet est disponible ici. Le document (PDF) fait pas moins de 111 pages. C’était un questionnaire en ligne auto-administré d’une quinzaine de minutes réalisé entre le 23 septembre et le 11 octobre sur un échantillon de 4 006 consommateurs âgés de 18 ans et plus.

Grogne sur les déploiements

Les alertes sur le fixe sont encore et toujours majoritaires avec 85,4%, contre 14,6 % pour le mobile. Néanmoins, « les signalements relatifs au marché fixe ont, pour la première fois depuis le début du lancement de la plateforme de « J’alerte », diminué en 2024 », avec presque deux points de moins.

Dans le détail, sur le fixe chez le grand public, le déploiement des réseaux et la qualité de services et du SAV représentent 94,7 % des signalements. Entre 2023 et 2024, il y a eu un fort mouvement : les plaintes sur les déploiements ont augmenté de presque 50 %, tandis que celles sur la qualité de service ont baissé de 67 %.

Spam téléphonique : explosion des alertes

Cela ne surprendra personne : « en 2024, le volume des signalements relatifs au phénomène d’usurpation de numéro a été multiplié par 16 passant approximativement de 500 alertes en 2023 à 8500 en 2024 ». L’Arcep note une forte fluctuation durant l’année, avec un pic au mois de septembre avec près de 1 500 alertes.

Au global, c’est l’ensemble de la catégorie des alertes liées aux appels et messages non sollicités ou abusifs qui est en très forte augmentation : de 2 029 alertes en 2023, l’Arcep en a reçu 10 973 en 2024, soit plus de cinq fois plus.

Quasiment tous les indicateurs sont en très forte hausse par rapport à 2023 si on se base sur le nombre d’alertes. Par exemple, le démarchage téléphonique abusif est passé de 1 094 à 1 517 alertes, mais ne représentent plus que 13,8 % de l’ensemble à cause de l’explosion du nombre d’usurpations de numéro.

Les opérateurs mettent en place des protections… encore partielles

La lutte s’est intensifiée fin 2024 et début 2025 avec le Mécanisme d’Authentification des Numéros (MAN) en place depuis 1ᵉʳ octobre sur le fixe et sur le mobile chez les quatre opérateurs depuis le début de l’année. Cela pourrait expliquer l’intensification de septembre, avec un dernier tour « d’honneur » ?

• La lutte contre le spoofing et les arnaques téléphoniques s’intensifie en France

Il faudra attendre le prochain observatoire pour juger d’éventuels effets sur le mobile, mais il reste un important trou dans le filet de protection du MAN, comme nous l’expliquions récemment : « les appels en roaming (depuis l’étranger) avec un numéro français ne sont pas concernés ».

Sur le graphique de droite ci-dessous, ne vous fiez pas uniquement à la longueur des barres qui représentent la répartition des alertes (en pourcentage), pas le nombre de signalements.

• Qui m’appelle ? Petit guide pratique contre la fraude téléphonique

Dirty space

Le rapport annuel de l’ESA sur l’environnement spatial alerte sur l’augmentation toujours plus importante du nombre de débris. Et l’orbite terrestre basse est de plus en plus encombrée. Pourtant, l’agence européenne constate une meilleure prise en compte des directives de réduction des débris spatiaux par les différents acteurs. Mais celle-ci va moins vite que l’augmentation du nombre de lancements.

L’ESA a publié son rapport annuel sur l’environnement spatial [PDF]. L’agence spatiale européenne y explique que le monde du spatial commence à prendre en compte le fait que « l’environnement orbital de la Terre est une ressource limitée » comme l’indiquait l’ONU en 2019 dans ses recommandations sur la durabilité de l’espace extra-atmosphérique.

Trop lents

Mais cette prise en compte est encore beaucoup trop lente. Nous augmentons moins rapidement le nombre d’objets en orbite autour de la Terre, mais nous l’augmentons toujours : « si la croissance exponentielle du nombre de nouvelles charges utiles s’est ralentie en 2024, le nombre de lancements a continué d’augmenter et, en termes de masse et de superficie, le nombre de lancements est toujours le plus élevé jamais enregistré jusqu’à présent ».

De la même façon, les directives établies pour pousser au désorbitage sont de mieux en mieux suivies mais ça ne va pas encore assez vite :

« Alors que l’adoption et le respect des pratiques de réduction des débris spatiaux au niveau mondial augmentent lentement, il est important de noter que la mise en œuvre réussie de l’un ou l’autre des seuils de durée de vie est encore trop faible pour garantir un environnement durable à long terme. Notamment, une partie de l’augmentation de l’adoption des mesures de réduction […] comme les rentrées contrôlées de corps de fusée ou les taux de réussite de l’élimination des charges utiles en orbite terrestre basse après la mission, est liée au déploiement et à la mise hors service de grandes fusées et d’engins spatiaux de grande taille », explique l’agence européenne.

Des politiques mises en place mais un futur incertain aux États-Unis

C’est d’ailleurs en ce sens qu’elle a augmenté ses exigences en 2023, avec un objectif « zéro débris » d’ici à 2030. L’ESA s’engageait à :

• limiter la quantité de débris spatiaux créés par les opérations normales ;
• réduire au minimum le risque de désintégration en orbite ;
• prévenir les collisions en orbite ;
• mettre en œuvre l’élimination après la mission.

Du côté américain, la FCC infligeait en 2023 sa première amende pour mauvais désorbitage. Mais la nouvelle administration Trump et la suppression de l’indépendance de l’agence américaine qui régule les satellites risquent de changer la donne.

Autant de débris que de satellites actifs sur l’orbite terrestre basse

« Le nombre de débris spatiaux en orbite continue d’augmenter rapidement. Environ 40 000 objets sont actuellement suivis par les réseaux de surveillance de l’espace, dont environ 11 000 sont des charges utiles actives », explique l’agence.

Elle ajoute qu’il y en a beaucoup en orbite qui pourraient causer des accidents : « le nombre réel de débris spatiaux d’une taille supérieure à 1 cm – suffisamment grands pour être capables de causer des dommages catastrophiques – est estimé à plus de 1,2 million, dont plus de 50 000 objets d’une taille supérieure à 10 cm ».

L’orbite terrestre basse est celle qui inquiète le plus l’agence. Elle fait remarquer qu’ « à environ 550 km d’altitude, le nombre de débris constituant une menace est aujourd’hui du même ordre de grandeur que celui des satellites actifs ».

Alors que Microsoft célèbrera vendredi 4 avril les cinquante ans de sa création en tant que société, Bill Gates est revenu cette semaine sur ce qui constitue sans doute l’épisode fondateur de son aventure entrepreneuriale : l’écriture avec Paul Allen, en un temps record, d’un interpréteur BASIC destiné à l’Altair 8800 de MITS (basé sur le CPU 8080 d’Intel).

• L’histoire de Windows : de MS-DOS à NT 3.x

Il a dans le même temps publié, pour la première fois, le code source de ce fameux interpréteur, le premier produit commercial vendu par les deux fondateurs de Microsoft : 150 pages de sorties d’imprimante scannées, qui révèlent (PDF) un code dûment commenté, écrit en seulement trente jours (et trente nuits) au printemps 1975.

« Avant Office, Windows 95, la Xbox ou l’IA, il y avait Altair BASIC », attaque joliment Bill Gates, avant de retracer plus en détail le déroulé des faits. D’abord, la découverte de cette nouvelle machine, l’Altair 8800, affichée en couverture du magazine Popular Electronics, qui augurait l’avènement d’une informatique personnelle. Puis cette idée en forme de défi, vendue sur papier à MITS, le fabricant de l’Altair : développer un interpréteur BASIC, capable d’offrir une alternative au langage assembleur de base de la machine. Sans accès direct à cette dernière, Gates et Allen durent utiliser un simulateur.

« Enfin, après de nombreuses nuits blanches, nous fûmes prêts à montrer notre interpréteur BASIC à Ed Roberts, le président de MITS. La démonstration se révéla un succès, et MITS accepta de nous acheter le logiciel. Ce fut un moment pivot pour Paul et moi. Altair BASIC devint le premier produit de notre nouvelle société, que nous avions décidé d’appeler Micro-soft (nous avons abandonné plus tard le tiret) », écrit Bill Gates.

Qualcomm vient d’annoncer le rachat de MovianAI Artificial Intelligence Application and Research JSC (alias MovianAI), l’ancienne division d’IA générative du conglomérat privé vietnamien Vingroup. Cette branche était dirigée par Hung Bui (il en était également le fondateur), un ancien de chez Google DeepMind où il a passé 16 mois comme chercheur.

« Cette acquisition souligne notre engagement à consacrer les ressources nécessaires à la R&D, ce qui fait de nous la force motrice de la prochaine vague d’innovation en matière d’IA », explique Jilei Hou, vice-président sénior de l’ingénierie chez Qualcomm.

Le montant de la transaction n’est pas précisé. Qualcomm ajoute que Hung Bui rejoindra ses effectifs, sans en dire davantage sur son poste. « Nous sommes prêts à contribuer à la mission de Qualcomm qui consiste à réaliser des avancées majeures dans la recherche fondamentale en intelligence artificielle et à les déployer dans tous les secteurs, notamment les smartphones, les ordinateurs, les véhicules assistés par informatique, etc. », explique-t-il.

Nintendo a dévoilé mercredi, lors d’une conférence diffusée en direct, les grandes lignes et les premiers jeux de sa future console hybride (mi portable, mi console de salon), la Switch 2. Son lancement est désormais officiellement programmé au 5 juin prochain, avec un prix de départ fixé à 469,99 euros et des précommandes ouvertes à partir du 8 avril.

Sur le plan matériel, Nintendo valide ou précise la plupart des éléments déjà évoqués en janvier, lors de la première confirmation officielle de la console. La Switch 2 conserve le même schéma de fonctionnement que celui du modèle originel (un écran central autonome, des manettes amovibles sur le côté, une station d’accueil pour relier l’ensemble à une TV).

Le fabricant japonais livre quelques premiers détails techniques : la Switch 2 s’articule autour d’un écran LCD (et non OLED) de 7,9 pouces, délivrant 1920 x 1080 pixels avec une fréquence d’affichage variable pouvant monter à 120 Hz et prise en charge du HDR10.

Une fois connectée en USB-C à son dock, ce dernier autorise, via HDMI, un affichage 3840 x 2160 (4K) à 60 images par seconde (fps). Pour aller chercher les 120 fps, il faudra basculer sur une résolution inférieure (1920 x 1080 ou 2560 x 1440).

Huit ans après la Switch première du nom, qui utilisait un dérivé de la puce Tegra, Nintendo reste fidèle à NVIDIA. La Switch 2 exploite une nouvelle fois un design personnalisé, dont les caractéristiques n’ont pas encore été dévoilées. La console bascule pour le reste sur 256 Go de stockage (contre 32 Go sur la première Switch et 64 Go sur sa variante OLED), avec Bluetooth et Wi-Fi 6, ou liaison réseau filaire via un port LAN quand elle est rangée sur son dock.

Nintendo évoque deux ports USB type-C (l’un sert à la connexion au dock, l’autre aux accessoires, les deux permettent la recharge) et un emplacement pour cartes microSD Express, format auquel seront distribués les jeux, jusqu’à 2 To. La console, qui pèse 401 grammes sans ses manettes et présente 13,9 mm d’épaisseur, dispose d’une batterie de 5 520 mAh qui autorise une autonomie théorique comprise entre « 2 et 6,5 heures ».

Les manettes Joy-Con, connectées en Bluetooth 3.0 et désormais dotées d’une attache magnétique, prennent un peu d’embonpoint. Elles inaugurent un capteur optique, permettant de les utiliser comme une souris d’ordinateur. Elles gagnent également un bouton C, dédié aux nouvelles fonctionnalités de discussion en jeu implémentées par Nintendo dans son environnement logiciel, baptisées GameChat. Entre autres accessoires, une caméra sera proposée en option, avec la promesse d’interactions au sein de certains jeux.

Du côté des jeux justement, c’est la grande offensive. Nintendo mise en premier lieu sur ses propres licences, à commencer par un nouvel épisode de Mario Kart, qui sera proposé avec la console en bundle au lancement, ou Donkey Kong Bananza, attendu pour mi-juillet. Entre nouveautés et rééditions, la firme convoque sans surprise ses licences les plus iconiques.

Elle y ajoute une forte dimension rétrocompatibilité, avec la prise en charge annoncée de la plupart des jeux Switch et l’ajout de jeux Gamecube au sein de l’abonnement Nintendo Switch Online.

Enfin, Nintendo promet pléthore de titres émanant d’éditeurs tiers, incluant de nombreux titres de premier plan (AAA), même et y compris popularisés par des plateformes concurrentes, PC ou consoles. Dans le lot figurent des jeux tels que Elden Ring, Cyberpunk 2077, Final Fantasy 7 Remake, Star Wars Outlaws, Fortnite, Hogwarts Legacy, EA Sports FC, etc. FromSoftware signera par ailleurs une exclusivité dédiée à la Switch 2, attendue pour 2026 : un jeu d’action ambiance vampire en monde ouvert avec dimension multijoueurs baptisé The Duskbloods.

Bref, un programme musclé, pour une console qui aura la lourde tâche de succéder à une Switch, première du nom, vendue à plus de 150 millions d’exemplaires dans le monde depuis son lancement en 2017.

👀

Si le client Thunderbird pour la gestion des e-mails est en perte de vitesse, l’équipe qui en a la charge a de grandes ambitions. Ainsi, une initiative nommée « Thunderbird Pro » évoque la création d’un bouquet de services, pour se battre plus frontalement avec des offres comme Gmail et Microsoft 365.

Depuis que le projet Thunderbird est revenu sous l‘égide de Mozilla, l’ancien client e-mail a rattrapé une partie de son retard. En plus des fonctions ajoutées, son interface a été modernisée via le projet Supernova, même si le logiciel garde une apparence « datée » pour une partie des utilisateurs. Thunderbird se prépare également pour les environnements mobiles, sur Android d’abord via le rachat de K-9. iOS est également concerné, mais le travail sera plus long, car l’équipe de développement ne dispose d’aucune base de départ.

Les webmails plus attractifs

Malgré ces efforts, Thunderbird est en perte de vitesse. « Thunderbird perd chaque jour des utilisateurs au profit d’écosystèmes riches qui sont à la fois des clients et des services, tels que Gmail et Office 365 », indique Ryan Sipes dans un message sur le groupe de planification de Thunderbird.

Pourquoi une telle perte ? On pourrait évoquer les offres plus complètes, les nombreux liens entre services, la possibilité de tout faire au même endroit, la pression des pairs, ou encore la vision très intégrée. De fait, Sipes évoque deux types de verrouillages : « durs », quand ils touchent des problèmes techniques (comme l’interopérabilité avec les clients tiers) et « doux » quand il s’agit de commodités et d’intégration.

Et pour cause, un compte Google ou Microsoft donne accès d’une traite à de nombreux services « gratuits ». En outre, le compte synchronisé permet de s’assurer que l’on verra la même chose sur tous les appareils. Thunderbird, en revanche, fait partie de la vieille école : il faut configurer le logiciel sur chaque ordinateur et ces réglages ne peuvent pas suivre les utilisateurs sur les plateformes mobiles.

La solution ? Un bouquet de services réunis sous la bannière « Thunderbird Pro ».

Thunderbird aura son propre bouquet de services

La vision présentée par Ryan Sipes est celle d’une offre de services en ligne rattachée à Thunderbird et portant l’étendard « Pro ». Pour l’instant, on en compte quatre.

Appointment est ainsi un outil de planification permettant d’envoyer des invitations. Les réponses données sont directement reprises et intégrées au calendrier. Le service est développé depuis environ un an et est actuellement disponible sous forme de bêta depuis son dépôt GitHub, même s’il n’est pas exploitable directement. Les personnes intéressées peuvent cependant l’installer sur un serveur, notamment via Docker.

Vient ensuite Thunderbird Send, qui est la « renaissance » de Firefox Send, de l’aveu même de l’équipe. Il s’agit donc d’un service permettant l’envoi de fichiers, reprenant le même principe, mais dont le code a profondément changé pour être modernisé. Le dépôt GitHub attenant a été ouvert la semaine dernière, avec là encore la possibilité d’aller examiner le code.

Assist sera un assistant IA. Ryan Sipes trace directement un parallèle avec la vision d’Apple. Ainsi, les requêtes seront idéalement traitées en local pour les appareils assez puissants. Dans le cas contraire, les développeurs veulent se servir de la fonction Confidential Computing de NVIDIA pour créer des instances temporaires et anonymes de calculs. Une approche retenue par Apple avec son Private Cloud, même si l’entreprise se sert de Mac pour l’instant et non de GPU NVIDIA. Assist serait purement optionnel et n’a pas encore de dépôt.

Thundermail, le webmail maison

Dernier service, et sans doute le plus important : Thundermail. Il sera le webmail accompagnant l’offre, le pendant en ligne de Thunderbird. Et pour répondre à la question qui vient immanquablement aux lèvres : oui, cela signifiera la création de comptes e-mails.

Selon Sipes, l’équipe expérimente la question « depuis un certain temps », sur la base d’un serveur e-mail existant nommé Stalwart. Ce dernier, en plus de gérer IMAP et POP3, a la particularité de supporter JMAP (JSON Meta Application Protocol). Ce dernier a été pensé pour prendre la relève d’IMAP, mais sa prise en charge reste relativement rare. JMAP est ouvert et normalisé, se veut plus rapide et sécurisé, et propose une approche modernisée capable de donner le change aux technologies propriétaires. On le trouve notamment dans les produits de Fastmail.

« Avec Thundermail, notre objectif est de créer une expérience de messagerie de nouvelle génération qui soit complètement, 100 % open source et construite par nous tous, nos contributeurs et la communauté plus large des contributeurs », affirme ainsi Ryan Sipes. Il ajoute cependant qu’il n’y aura pas de dépôt unique pour concentrer les travaux sur Thundermail. En revanche, certains pans de développement donneront lieu à des partages.

Si le travail a été lancé, le domaine n’a pas encore été choisi. Il s’agira probablement de thundermail.com ou de tb.pro. L’équipe a ouvert une page pour s’inscrire sur liste d’attente et participer à la bêta, bien qu’aucune date n’ait été indiquée.

Comment se différencier ?

Dans le descriptif, les notions d’ouverture et de valeur reviennent régulièrement. Dans un monde largement dominé par les offres de Google et Microsoft, il n’est pas certain en effet qu’un Thunderbird Pro soit réellement visible. D’autant que le projet Thunderbird a besoin d’argent et vit de dons. Mozilla ne lui en donne pas directement, même si la fondation aide le projet par ses infrastructures et autres ressources indirectes.

En conséquence, l’offre Thunderbird Pro sera payante. Dans un premier temps, elle sera offerte aux personnes ayant contribué régulièrement à Thunderbird. Puis des offres payantes seront proposées, même si aucun détail n’est donné. Il n’y a donc pas de fourchette de prix, et on ne sait pas non plus si Mozilla lancera une offre unique comprenant tous les services, ou si ces derniers pourront être choisis à la carte. Si le nombre d’abonnés est suffisant, une offre gratuite verra le jour avec des limitations, comme un espace moindre pour Send (notamment pour éviter les abus).

Pour Ryan Sipes, l’annonce de Thunderbird Pro est la « réalisation d’un rêve ». Il se dit « convaincu que tout cela aurait dû faire partie de l’univers Thunderbird il y a une dizaine d’années », mais qu’il « vaut mieux tard que jamais ». Il exprime des regrets, notamment sur l’importance que l’équipe accorde « aux logiciels libres, aux normes ouvertes, à la protection de la vie privée et au respect [des] utilisateurs », et que l’on ne retrouve pourtant pas dans les services en ligne. À cause de cette carence, Sipes estime que les internautes sont obligés de faire des compromis.

L’orientation générale serait donc le respect de la vie privée, les services étant prévus pour n’effectuer aucun traitement sur les données autres que ceux découlant des tâches déclenchées par les internautes. Des produits développés sur la base de technologies et normes ouvertes, pour combler le fossé avec les offres propriétaires.

Rien de décidé sur le chiffrement et l’emplacement des données

The Register s’est entretenu avec Ryan Sipes au sujet de Thunderbird Pro. Plusieurs informations intéressantes ont ainsi été données, notamment sur le chiffrement. La question est d’autant plus importante que Microsoft et plus récemment Google ont annoncé des simplifications en ce sens, mais il s’agit encore une fois de technologies propriétaires.

Selon Sipes, rien n’est encore décidé. Dans les tests, le chiffrement de bout en bout serait simple, mais se heurterait à la nécessité de fournir un système suffisamment simple et compréhensible aux internautes pour en assurer le succès. « Nous avons quelques idées, mais nous allons demander à notre communauté ce qu’elle pense être la meilleure approche », a ajouté Sipes.

Dans une optique de protéger au mieux les données, la question du stockage est encore ouverte. Elle est étudiée « très sérieusement ». À l’heure actuelle, l’infrastructure de test se situe dans l’Union européenne, mais ce choix ne préfigure pas du produit final. L’équipe réfléchit également à permettre de sélectionner soi-même la région dans laquelle entreposer ses données, à la manière de ce que proposent aux entreprises les grands acteurs du cloud.

Ils avaient dit "don't be evil"

Quelques jours après le « SignalGate », une enquête du Washington Post révèle que Michael Waltz, conseiller à la sécurité nationale de la Maison blanche, aurait utilisé son adresse Gmail pour orchestrer certaines de ses activités professionnelles. Il avait déjà été épinglé quelques jours plus tôt pour avoir laissé en accès public la liste de ses contacts sur l’application de paiement Venmo.

La Maison-Blanche n’en a manifestement pas tout à fait fini avec ses problématiques de shadow IT. Une enquête du Washington Post, publiée mardi 1er avril, affirme en effet que Michael Waltz, conseiller à la sécurité nationale du Président, a utilisé une messagerie commerciale, en l’occurrence un compte Gmail, pour échanger avec des membres de son équipe et d’autres représentants de l’administration Trump.

Des échanges liés à la sécurité nationale sur Gmail

Cette fois, il n’est pas question de préparatifs liés à une action militaire imminente, mais les échanges diffusés sur cette adresse personnelle présentent toutefois un réel enjeu de confidentialité, estime le Washington Post. « Un assistant senior de Waltz a utilisé [Gmail] pour des conversations hautement techniques avec des collègues d’autres agences gouvernementales impliquant des positions militaires sensibles et des systèmes d’armes de premier plan liés à un conflit en cours », écrit ainsi le quotidien américain.

Il affirme avoir eu accès à des captures d’écran illustrant cette utilisation de Gmail par ou au nom de Waltz. Le recours à une messagerie personnelle aurait également été confirmé par trois officiels de l’administration Trump, non cités. Le header des courriers envoyés au nom de Waltz révèle que ses destinataires utilisent, eux, des comptes de messagerie fournis par l’administration, note encore le Washington Post.

Négligence ou contournement délibéré ?

Dans le contexte de la Maison blanche, cette utilisation de Gmail soulèverait deux problèmes principaux, à commencer, bien sûr, par la question de la sécurité, puisque la messagerie ne garantit pas, par défaut, un chiffrement de bout en bout des échanges (Google vient d’ailleurs précisément d’annoncer l’introduction prochaine d’un chiffrement bout en bout simplifié à destination de sa clientèle entreprise).

Le second relève d’une exigence réglementaire : les officiels de l’administration états-unienne doivent utiliser les outils internes pour leur correspondance de façon à ce que cette dernière puisse être archivée, en vertu du Freedom of Information Act (FOIA). Brian Hughes, porte-parole de la sécurité nationale à la Maison-Blanche, récuse auprès du Washington Post l’hypothèse d’un contournement intentionnel de cette exigence, formulée par certains commentateurs sur les réseaux sociaux après l’épisode du SignalGate.

L’approche quelque peu laxiste de Waltz quant aux outils de communication commence toutefois à soulever des questions au sein du Bureau ovale, remarque par ailleurs le Wall Street Journal. Le quotidien économique rapporte ainsi, dans un article daté du 30 mars, que l’intéressé n’en serait pas à sa première boucle Signal. Il en aurait ainsi créé et animé plusieurs, autour de sujets aussi explosifs que le règlement du conflit entre l’Ukraine et la Russie, ou d’autres opérations militaires (non précisées).

Le précédent Venmo

Quelques jours plus tôt, Michael Waltz s’était déjà vu épingler par Wired. Le magazine explique comment il a découvert le compte Venmo (un service d’envoi d’argent en ligne appartenant à Paypal) du conseiller de Donald Trump, avec photo et liste de contacts accessibles publiquement. Le compte en question aurait été basculé en privé peu de temps après que les journalistes de Wired ont contacté la Maison blanche pour une demande de réaction.

Que Waltz utilise Venmo pour partager l’addition d’un restaurant avec ses amis n’est pas problématique en soi, mais Wired explique comment l’analyse des contacts directs du conseiller, puis l’étude de leurs propres réseaux, permet d’identifier des profils stratégiques ou d’établir des connexions entre personnalités de premier plan.

La découverte se révèle d’autant plus croustillante qu’il ne s’agit pas d’une première. En août 2024, Wired avait ainsi déjà découvert, et analysé, le réseau de contacts Venmo associé au compte de J. D. Vance, devenu depuis vice-président des États-Unis. L’exercice avait permis de révéler l’identité de certains des architectes du projet stratégique de Donald Trump et des artisans de sa campagne de réélection.

Cette nouvelle charge contre Michael Waltz intervient quelques jours après l’épisode du SignalGate, qui a défrayé la chronique fin mars. Un journaliste de The Atlantic avait alors révélé avoir été invité dans une conversation Signal réunissant la garde rapprochée de Donald Trump et dédiée aux préparatifs d’une attaque militaire au Yémen contre les Houthis. Les officiels concernés, de la Défense à la CIA, avaient ensuite cherché à minimiser la portée de l’incident, en déclarant notamment que les informations diffusées sur ce canal ne relevaient pas du secret défense. En réaction, le magazine américain a pris le parti de publier l’intégralité des échanges.

Simplicité ou sécurité ?

Google vient d’annoncer l’arrivée du chiffrement coté client dans Gmail. Cette fonction va dans un premier temps être proposée aux messageries internes des entreprises. Bien que l’apport de cette technologie soit toujours un pas en avant vers une meilleure sécurité, il ne s’agit pas stricto sensu d’un chiffrement de bout en bout.

Le 1^ᵉʳ avril, Gmail a fêté ses 21 ans. Ce qui était apparu initialement comme un poisson est devenu l’un des produits les plus emblématiques de Google. Hier soir, pour marquer l’évènement, la firme a annoncé une amélioration importante : l’arrivée du chiffrement de bout en bout, dans un format présenté comme simple à exploiter, sans nécessiter de gestion des certificats. Explications.

Le chiffrement de bout en bout vu par Google

Depuis hier soir, Gmail propose aux entreprises disposant de comptes professionnels payants une version bêta. À l’intérieur se trouve une nouveauté : la possibilité d’envoyer des e-mails « chiffrés de bout en bout » à d’autres membres de leur organisation via un système simplifié. Rappelons en effet que Gmail pouvait déjà le faire via S/MIME (Secure/Multipurpose Internet Mail Extensions), mais la configuration de ce dernier n’a rien de simple.

Il s’agit d’une première phase dans le plan de déploiement. Cette version bêta, limitée à un périmètre réduit, va permettre de tester le fonctionnement de ce nouveau chiffrement décrit comme E2EE (End-to-End Encryption). Dans le cas où la personne contactée fait partie de la même entreprise, le contenu du message est automatiquement chiffré. Côté destinataire, il est automatiquement déchiffré.

Comme on peut le voir dans la capture fournie par Google, il faut d’abord activer la fonction, via l’icône de cadenas située en haut à droite de la fenêtre de composition. En bas, un message apparait pour indiquer que l’ouverture de l’e-mail sur l’application mobile Gmail ou une autre plateforme de messagerie affichera un lien invitant à se connecter pour voir le contenu du message sur une version restreinte de Gmail. Le système rappelle le fonctionnement des partages de fichiers dans Google Docs et Sheets. Quand ce système de chiffrement est utilisé, il se substitue à S/MIME.

Durant une deuxième phase, qui commencera dans quelques semaines, le système sera étendu à l’ensemble des adresses Gmail, mais toujours pour les entreprises uniquement. Plus tard dans l’année, sans plus de précision pour l’instant, il pourra être appliqué aux envois vers toutes les plateformes. On retrouvera alors la présentation sous forme d’invitation à se connecter pour lire le message. À noter que si le ou la destinataire de l’e-mail a configuré S/MIME et n’est pas sur Gmail, ce dernier se servira de S/MIME pour envoyer le courrier, comme il le faisait déjà.

Google peu satisfaite du système actuel

L’entreprise rappelle les bienfaits du chiffrement, mais note qu’il est trop souvent complexe à mettre en place. « Alors que de plus en plus d’organisations ont des besoins réels en matière de courrier électronique E2EE, peu d’entre elles disposent des ressources nécessaires pour mettre en œuvre S/MIME », affirme Google.

La société indique ainsi que les entreprises intéressées par le chiffrement de bout en bout font alors face à la complexité de gestion des certificats, qu’il faut notamment déployer auprès de chaque personne dans l’entreprise. Côté grand public, il faut avoir activé S/MIME soi-même et vérifier que les destinataires l’ont fait également, « puis se soumettre aux tracas de l’échange de certificats avant de pouvoir échanger des courriels chiffrés ». Google, qui met bien sûr en avant la simplicité de son approche, évoque les nombreuses « frustrations » qui en découlent.

« Cette capacité, qui ne demande qu’un minimum d’efforts de la part des équipes informatiques et des utilisateurs finaux, fait abstraction de la complexité informatique traditionnelle et de l’expérience utilisateur médiocre des solutions existantes, tout en préservant la souveraineté des données, la confidentialité et les contrôles de sécurité », claironne ainsi Google.

Du chiffrement côté client

La solution de Google est effectivement de considérer l’e-mail comme un document stocké dans Google Drive. Les administrateurs peuvent alors appliquer des règles supplémentaires, par exemple en exigeant que l’ensemble des destinataires externes passent par la version restreinte de Gmail pour lire le contenu, même s’ils ne sont pas eux-mêmes utilisateurs de Gmail.

Pour gérer plus simplement le chiffrement de bout en bout, Google a choisi Client Side Encryption (CSE). La technologie n’est pas nouvelle : la firme la fournit déjà depuis quelques années aux éditions Enterprise Plus, Education Standard et Education Plus de son Workspace. Comme indiqué sur la page du CSE, les données sont chiffrées côté client avant leur envoi, supprimant la possibilité de les lire pour les intermédiaires, y compris Google. Les organisations l’utilisant peuvent fournir leurs propres clés. C’est sur ce paramètre que les administrateurs peuvent agir, en forçant CSE pour l’ensemble des membres de l’organisation.

Attention toutefois : bien que l’on parle de chiffrement de bout en bout, ce n’est pas 100 % vrai. CSE chiffre bien les données avant leur envoi, mais les clés sont gérées de manière centralisée par l’équipe d’administration, qu’elles soient générées par le service ou fournies directement par l’organisation. Traduction, les administrateurs seront en mesure de voir le contenu des e-mails.

Peu importe pour Google, qui parle surtout de simplification et d’élimination des frictions. Cette solution de chiffrement ne sera d’ailleurs pas activée par défaut et est présentée comme un moyen supplémentaire d’augmenter la sécurité des échanges.

Une question de confiance

Au-delà de la confiance qu’une entreprise peut accorder à ce type de système, la solution retenue par Google interroge : les destinataires utilisant d’autres plateformes vont-ils faire confiance à ces e-mails ?

La question est loin d’être anodine, car le message ne sera pas directement affiché. Si vous recevez un tel courrier, vous verrez simplement quelques lignes d’explications sur le contexte et un bouton vous invitant à cliquer pour aller lire le contenu. Or, ce fonctionnement en rappelle un autre : les tentatives d’hameçonnage.

Google a conscience que sa solution peut ne pas inspirer confiance. Si vous utilisez par exemple Outlook.com sans avoir mis en place S/MIME, vous verrez ce type de message, avec l’invitation à cliquer. Google a « prévu le coup » : dans le texte, un passage explique qu’il est conseillé de ne cliquer que si vous avez une entière confiance en l’expéditeur. Mais même ainsi, il est possible qu’une partie des destinataires suppriment le courriel sans vraiment lire l’avertissement, tant le contenu pourrait ressembler à une tentative de phishing.

Et si ce déploiement semble familier, c’est que Microsoft a déployé exactement la même capacité en janvier, nommée Purview Message Encryption. Le fonctionnement, réservé aux entreprises abonnées à la formule E5, est identique, avec une lecture directe des courriels tant que l’on reste dans Outlook, mais affiche un lien sur les autres plateformes. Et même si Google applique la même stratégie que Microsoft dans ce domaine, les deux systèmes sont bien sûrs incompatibles.

Michael Waltz, le conseiller à la sécurité de Donald Trump, n’a en tout cas pas attendu l’arrivée du CSE pour se servir de Gmail dans des échanges gouvernementaux, comme l’a révélé hier le Washington Post. Nous reviendrons plus en détail sur ce sujet plus tard dans la journée.

Lorsque des brouillages et/ou des perturbations sont rencontrés par des opérateurs, ils peuvent demander l’ouverture d’une enquête auprès de l’ANFR. Des agents se déplacent alors sur place, et l’Agence nationale des fréquences en profite parfois pour raconter ces histoires (qui se terminent bien). Il y a quelques mois, l’ANFR expliquait par exemple comment des étiquettes RFID (passives) arrivaient à perturber des antennes 3G/4G.

Aujourd’hui, il est de nouveau question de téléphonie mobile, mais en 5G, avec une antenne dysfonctionnelle à Alençon (61) à cause d’un brouillage. Pourquoi seulement la 5G ? À cause du TDD (time division duplexing) bien évidemment.

TDD vs FDD : de la 2G à la 5G les technologies ont évolué

Pour rappel, de la 2G à la 4G en France, la séparation entre l’envoi et la réception des données reposait sur un découpage en fréquences appelé FDD, pour frequency domain duplexing. Sur la bande allouée à l’opérateur, une partie est utilisée pour le téléchargement, une autre pour l’upload, avec une « bande centrale » pour assurer la séparation et éviter les perturbations.

• 5G : l’ANSES revient sur l’exposition aux ondes et les interactions avec le vivant

Pour des appels audio, c’est très efficace comme partage puisque les échanges sont à peu prés les mêmes dans les deux sens. Par contre pour accéder à Internet, c’est différent : le gros du trafic est généralement dans le sens descendant. « Or, il est impossible de modifier le sens affecté à chaque voie sans réallouer les fréquences attribuées aux opérateurs ; d’où un usage moins efficace du spectre disponible à mesure que l’usage descendant s’intensifie », explique l’ANFR.

En 5G, le découpage change : on passe du FDD au TDD. Cette fois-ci la fréquence est la même dans les deux sens, la séparation se fait avec une division temporelle : « À intervalles réguliers, après une pause très brève, le sens s’inverse », entre download et upload.

Un besoin de précision de l’ordre de la microseconde

L’utilisation du spectre est donc améliorée avec la possibilité de « jouer » sur les intervalles temporels, mais il y a une contrepartie : « le fonctionnement du TDD nécessite néanmoins une gestion du temps très rigoureuse ». Le temps de trajet d’une trame (c’est elle qui contient les données) est de « quelques microsecondes, mais il faut pouvoir les décompter avec précision ».

Maintenant, imaginez que plusieurs antennes fonctionnent dans la même zone : « étant donné le volume de trafic intense dans les sens montant puis descendant qui circule constamment sur des bandes de fréquences proches, il est important que les antennes soient synchronisées ». Si une antenne envoie des signaux vers les smartphones pendant qu’une voisine est en mode upload, « elle ne pourrait plus entendre ses terminaux, car rendue sourde par la puissance rayonnée par la première antenne ».

La synchronisation est donc primordiale, y compris quand les antennes « sont exploitées par des opérateurs concurrents ». Pour donner quelques chiffres, l’ANFR explique que le mode TDD nécessite une synchronisation précise de tous les réseaux mobiles, « avec une tolérance inférieure à 1,5 µs (microseconde) ».

Les horloges atomiques des satellites « GPS » à la rescousse

Les antennes relais disposent évidemment d’une horloge interne, mais la précision n’est pas suffisante et elle dépasse rapidement les 1,5 µs. Il faut donc trouver une source capable de proposer une excellente précision, partout sur le territoire. Il n’y a pas à chercher bien loin : levez les yeux au ciel et la solution apparait : les satellites Global Navigation Satellite System (GNSS). Deux exemples : le GPS américain et Galileo européen.

Vous ne le saviez peut-être pas, mais tous les satellites GNSS embarquent des horloges atomiques de très haute précision… qui ont d’ailleurs donné quelques sueurs froides à l’Agence spatiale européenne sur Galileo) On parle de données PNT pour « position, navigation et temps ». Pour fonctionner correctement avec ses petits camarades, chaque station de base 5G en TDD est équipée d’un récepteur GNSS.

Un brouillage de 8 h à 00 h

Revenons au brouillage du jour sur une antenne 5G : « entre 8 heures et minuit, presque tous les jours, le nombre de satellites vus par ce récepteur passait brusquement d’une dizaine à zéro, provoquant ainsi la perte de la synchronisation ». Un comble pour une antenne immobile.

L’enquête commence. Avant de se rendre sur place, les agents vérifient qu’il n’y a pas de brouillage de grande envergure (même si on peut se douter qu’en pareille situation les alertes auraient été plus nombreuses). Sur une station à 18 kilomètres de l’antenne, rien à signaler sur la réception des signaux GNSS.

Sur place, au pied du site de l’opérateur, les agents de l’ANFR font de nouveau chou blanc : aucun brouillage n’est détecté. Alors qu’ils sont au pied du pylône, ils demandent confirmation : au même instant, il y a sans aucun doute possible une perturbation en cours sur le récepteur.

Le récepteur était saturé par les antennes relais

La solution est finalement trouvée : le récepteur GPS de l’opérateur n’est pas brouillé, mais saturé. L’antenne du récepteur se trouve « dans une zone de champs forts dûs aux multiples opérateurs colocalisés sur le même pylône. Or, un récepteur GPS n’apprécie guère ce type d’environnement, car il se doit d’être très sensible. Et pour cause : il doit extraire du bruit ambiant des signaux GPS qui arrivent de l’espace avec un niveau très faible, environ un million de fois plus faible que le signal qui sort d’un téléphone mobile ».

Cela colle aux observations : le signal est coupé aux heures d’utilisation maximales de la téléphonie mobile (du matin au soir), il s’atténuait certains jours fériés et le brouillage ne cessait finalement que la nuit.

La densification des sites radioélectriques

Une observation rapide confirme : le récepteur GNSS est « au faîte de l’antenne, dangereusement entouré de plusieurs émetteurs ». La résolution du problème était des plus simples : le récepteur a été repositionné plus bas sur le pylône. Tout est alors rentré dans l’ordre.

« Cette enquête montre que la densification des sites radioélectriques peut provoquer des interactions entre les différents équipements radio qui y sont installés », explique l’Agence nationale des fréquences en guise de conclusion.

Le guide, coécrit par l’ANSSI et la DINUM permet « de comprendre et de détailler la démarche permettant aux organisations d’homologuer leurs systèmes d’information ». Mais de quoi parle-t-on exactement ? Une homologation de sécurité est « un acte formel qui engage l’autorité qui la prononce ».

L’Agence rappelle que ce passage est « rendu obligatoire par un grand nombre de textes officiels est appelée « décision d’homologation » ». Et pour bien comprendre les enjeux, elle ajoute que « dans certains pays, le principe d’homologation existe et peut-être appelé « accréditation » ou « autorisation » ».

Ce guide s’adresse donc « à toutes les personnes devant réaliser, porter ou accompagner une démarche d’homologation ». L’ANSSI ajoute qu’une homologation n’est pas permanente et « doit être reconduite au maximum tous les trois ans ».

Quatre documents sont mis en ligne. Le gros morceau est le guide de 88 pages, accompagné de trois fiches méthodes, notamment une pour les décideurs, afin de leur rappeler les enjeux et les bénéfices… mais aussi certainement donner des billes aux responsables informatiques qui chercheraient à convaincre leur patron.

« Ice cream truck in NYC » (« camion de glace à New-york ») : par ce jeu de mot relevant de l’algospeak (langage inventé pour contourner la modération des plateformes), une internaute états-unienne signale à ses followers avoir repéré des agents de l’Immigration and Customs Enforcement (ICE).

Comme de nombreux autres usagers de TikTok, Reddit, YouTube ou X, elle participe à l’effort collectif renforcé ces dernières semaines pour éviter à toute personne immigrée, légalement ou non, les déportations ordonnées par Donald Trump et quelquefois menées en dehors des cadres légaux.

Si le phénomène n’est pas neuf, le Washington Post relève une multiplication par cinq des discussions relatives à l’ICE sur X, Reddit et YouTube depuis début mars.

De nombreuses fausses informations se glissent parmi les alertes. Des soutiens de la démarche de déportation promue par Trump ont aussi mis à mal certains réseaux d’alertes – le compte Instagram Libs of Reddit a par exemple publié le nom, le visage et l’adresse du modérateur de r/LaMigra, un subreddit dédié au partage d’informations sur la localisation des agents de l’ICE.

Cela n’a pas empêché les efforts de suivi des agents de se multiplier en ligne, prenant quelquefois la forme de cartographies collectives, comme dans le cas de People over Papers. Si le projet est devenu viral sur TikTok, explique sa créatrice au quotidien états-unien, « c’est parce qu’il répond à un réel besoin ».

Elle aussi a été visée par des violences numériques : le 14 février, le compte très suivi Libs of TikTok a partagé son nom et son handle à son public, déclarant qu’elle aidait des criminels à échapper aux forces de l’ordre.

Circulez y'a rien à voir

Depuis dix jours, un pirate affirme détenir un jeu de données relatives à 6 millions de clients Oracle, suite à une intrusion sur les serveurs d’authentification de l’éditeur. En dépit des allégations concordantes de plusieurs experts en cybersécurité, la société nie avoir été victime d’un piratage. Pendant que des clients inquiets déclenchent un recours collectf visant Oracle en justice, un second incident de cybersécurité, lié cette fois à Oracle Health, déclenche une enquête du FBI…

Un internaute de Floride a lancé lundi un recours collectif contre Oracle, au motif que l’éditeur n’aurait pas correctement réagi suite à une intrusion dans ses systèmes informatiques. La procédure, enregistrée le 31 mars auprès d’un tribunal du Texas (PDF), accuse Oracle d’avoir fait preuve de négligence, mais aussi d’avoir manqué à son devoir fiduciaire. De quoi motiver, d’après le plaignant, le versement de copieux dommages et intérêts, comme souvent en pareille affaire.

Une brèche de sécurité à 6 millions de lignes

Derrière cette procédure, qui pourrait paraître anecdotique au pays de la class action, réside un incident de sécurité dont l’ampleur exacte reste à déterminer. L’affaire démarre le 20 mars dernier, avec la publication, sur un forum spécialisé, d’une annonce proposant à la vente un fichier soi-disant composé des données de 6 millions d’utilisateurs des services d’authentification (SSO) et d’annuaires (LDAP) du cloud public d’Oracle.

Le pirate, qui affirme par ailleurs avoir mis la main sur des clés privées, des certificats et des mots de passe, publie la liste des sociétés clientes dont il détiendrait des données, et met en ligne un échantillon supposé de son larcin.

Dès le lendemain, Oracle nie toute brèche de sécurité, en des termes catégoriques. « Les informations d’identification publiées ne concernent pas Oracle Cloud. Aucun client Oracle Cloud n’a subi de violation ni perdu de données », affirme un porte-parole de l’éditeur au site The Register. En réponse, le pirate se vante d’avoir réussi à placer un fichier texte contenant son adresse e-mail sur un serveur de connexion Oracle Cloud. Il présente, en guise de preuve, un enregistrement du fichier réalisé par l’intermédiaire de la Wayback Machine, daté du 1ᵉʳ mars.

Les dénégations d’Oracle mises à mal par des analyses tierces

Quelques jours plus tard, l’attaquant trouve un nouveau relais. Alon Gal, directeur technique de la société israélienne de cyber-intelligence Hudson Rock, affirme avoir eu la possibilité de vérifier, auprès de ses clients, la validité des données contenues dans un échantillon de quelque 10 000 enregistrements rendus publics par le pirate. Le 25 mars, il déclare sur LinkedIn que trois de ses clients ont confirmé qu’il s’agissait bien de données issues d’environnements de production hébergés sur le cloud d’Oracle. L’un d’eux estime toutefois qu’il s’agit de données anciennes, datant de fin 2023.

Un autre acteur spécialisé, CloudSEK, conclut lui aussi à la véracité probable de la fuite le 25 mars, sur la base du même échantillon de 10 000 lignes. Le volume et la structure des informations divulguées rendent leur fabrication extrêmement difficile, ce qui renforce la crédibilité de la violation, écrit-il. CloudSEK remarque par ailleurs des indices concordants qui tendent à confirmer qu’il s’agissait bien de données de production (par opposition à un environnement de test), et que certaines d’entre elles sont bien liées à des mécaniques d’authentification.

Le média spécialisé Bleeping Computer est lui aussi entré en contact avec le pirate. Ses propres vérifications, menées auprès d’entreprises mentionnées dans les données consultées, accréditent la thèse d’un vrai vol de données. En étudiant de plus près le serveur sur lequel l’attaquant a déposé son adresse e-mail en guise de preuve, CloudSEK remarque deux autres phénomènes suspects.

Tentative discrète de damage control ?

Le serveur concerné aurait d’abord hébergé une instance de Fusion Middleware 11 g, une ancienne version de la plateforme applicative d’Oracle, dont le composant d’authentification souffre précisément d’une vulnérabilité documentée à partir de 2022. L’éditeur américain aurait ensuite placé hors ligne le serveur en question, puis formulé une demande de suppression de la « preuve » hébergée par le pirate sur Internet Archive.

Pour le chercheur en cybersécurité Kevin Beaumont, ces deux manœuvres seraient le signe qu’Oracle cherche à faire disparaître les traces de l’incident. Il affirme par ailleurs, sans amener d’élément probant attestant la réalité de ses allégations, qu’Oracle aurait entrepris de basculer certains des services concernés sous l’étiquette Oracle Classic (dédiée aux produits les plus anciens) pour cette dernière porte l’incident, et non la marque vedette Oracle Cloud.

« Oracle tente de rédiger des déclarations autour d’Oracle Cloud et d’utiliser des mots très spécifiques pour éviter toute responsabilité. Ce n’est pas bien. Oracle doit communiquer clairement, ouvertement et publiquement sur ce qui s’est passé, l’impact que cela peut avoir sur les clients, et la façon dont ils traitent le sujet », s’insurge-t-il.

En attendant une éventuelle réaction officielle de l’éditeur, le pirate a diffusé mardi, auprès d’Alon Gal, une vidéo dans laquelle il contacte le support chat d’Oracle, soi-disant par l’intermédiaire d’un compte client qu’il aurait donc été en mesure d’usurper.

Une autre fuite concerne Oracle Health

Oracle répondra-t-il officiellement à ces allégations ? L’éditeur américain doit dans le même temps gérer un autre incident de sécurité, lié cette fois à son SaaS Oracle Health, dédié à la gestion des dossiers médicaux informatisés. La solution était initialement éditée par un éditeur spécialisé baptisé Cerner, jusqu’au rachat de ce dernier par la firme de Larry Ellison, en 2022, pour 28 milliards de dollars.

Dans un courrier adressé à certains clients, Oracle aurait signalé avoir été victime, le 20 février dernier, d’une intrusion au niveau des derniers serveurs de Cerner qui n’avaient pas encore été migrés vers Oracle Cloud. Les données accédées auraient été répliquées vers un serveur distant, et « pourraient », selon Oracle, contenir des informations liées aux patients.

D’après Bloomberg, le FBI aurait ouvert une enquête au sujet de cette potentielle fuite de données, dont le périmètre exact n’a pas été communiqué. Le média évoque une attaque motivée par la volonté de faire payer une rançon aux entreprises médicales clientes d’Oracle Health.

Libérés de la liberté de choisir

L’entreprise compte verrouiller encore un peu plus la création de compte sur Windows 11, pour rendre obligatoire le compte Microsoft. La dernière préversion du système bloque ainsi l’utilisation d’une méthode courante pour contourner cette étape. Mais ce court-circuit a déjà son propre court-circuit.

L’année dernière, Microsoft avait expliqué pourquoi un compte maison était si important pour Windows 11. Il déverrouille de nombreuses fonctions, dont la synchronisation des fichiers, des paramètres et autres, l’intégration de Microsoft 365, la sauvegarde des licences et de certaines clés de chiffrement, etc.

Problème, une partie des utilisateurs préfère utiliser un compte local. Tout le monde ne court pas après la synchronisation des informations. Ou, pour être plus précis, la synchronisation par Microsoft, avec le stockage des données personnelles chez l’éditeur américain. Pendant longtemps, les Windows ont permis la création d’un compte local. Mais Windows 11 a commencé à serrer la vis, avec des méthodes de contournement, comme la coupure de la connexion internet pendant la première configuration du système.

Nouveau tour de vis

Dans un billet, Microsoft a présenté récemment les préversions 26200.5516 et 26120.3653, respectivement pour les canaux Dev et Beta. Les nouveautés présentées sont nombreuses : recherche sémantique pour les PC Copilot+ équipés de processeurs AMD et Intel, récapitulatif écrit pour le Narrateur, ou encore des améliorations pour l’écran d’erreur vert en cas de redémarrage forcé, le Copilot et la fenêtre de partage.

Mais parmi les changements, on trouve également le blocage du contournement par BypassNRO. Les deux listes incluent en effet le message suivant : « Nous supprimons le script bypassnro.cmd de la version de base afin d’améliorer la sécurité et l’expérience utilisateur de Windows 11. Ce changement garantit que tous les utilisateurs sortent de la configuration avec une connectivité Internet et un compte Microsoft ».

Cette commande pouvait être utilisée depuis une invite de commande (Maj + F10) pendant la première configuration de la machine, après installation du système. Il suffisait alors d’entrer « oobe\bypassnro » pour contourner l’exigence d’un compte Microsoft, autorisant la création d’un compte local. Le script créait une clé dans la base de registre.

Contourner le contournement

Si Microsoft a bloqué le script pendant l’installation des préversions, la clé de registre peut toujours être créée. La méthode consiste à déclencher directement l’opération par la ligne de commande, même si cette dernière est nettement plus longue à écrire que le simple script bypassnro.cmd.

Il faut saisir deux commandes :

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\OOBE /v BypassNRO /t REG_DWORD /d 1 /f

shutdown /r /t 0

Si la ligne de commande vous semble trop rébarbative, il est également possible de le faire à la souris dans l’éditeur de registre. Pour cela, depuis l’invite de commande (toujours Maj + F10), entrez « regedit » et validez. Rendez-vous dans HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion, puis créez la clé OOBE si elle n’existe pas. Là, dans ce dossier, créer une valeur DWORD 32 bits nommée « BypassNRO » et affectez lui la valeur 1. Il faudra ensuite redémarrer la machine.

Attention toutefois, Microsoft pourrait également bloquer cette possibilité. Le changement étant apparu dans des préversions, il serait simple pour l’éditeur d’insérer un nouveau blocage dans les prochaines semaines.

Ajoutons également que ce « bypass » reste fonctionnel sur les révisions stables de Windows 11, y compris la dernière 24H2.

Enfin, une autre méthode est apparue il y a six mois environ, comme relevé par Neowin notamment. Elle passe par l’utilisation de la console de développement juste avant de choisir une deuxième disposition pour le clavier pendant l’assistant de première configuration. Bien que la méthode soit clairement expliquée sur un dépôt GitHub, elle n’a pas fonctionné chez nous sur une installation neuve de Windows 11 24H2, malgré de multiples tentatives.

Notez qu’en passant par l’utilitaire Rufus, il reste possible pour l’instant de créer une clé d’installation Windows 11 sans le verrouillage sur le compte Microsoft. Pour mémoire, ce même utilitaire peut aussi être utilisé pour désactiver la vérification de la présence de la puce TPM 2.0, comme nous l’indiquions en février.

• Windows 11 : quatre méthodes pour contourner TPM 2.0

Flock 2.0 pour vous servir

Vous en rêviez ? Next vous propose un nouvel outil : avec un simple prompt, générez des images dans le « style des dessins de Flock ». Là encore, nous avons mis à contribution l’IA générative, mais en local. Explications.

Quand Flock a vu la semaine dernière des images « style Ghibli » générées par l’intelligence artificielle d’OpenAI, il était assez dubitatif. Mais il s’est vite rendu compte du potentiel de cette fonctionnalité, d’autant qu’elle a été reprise à tour de bras par des internautes et politiciens, sans plus de réflexion que « c’est beau ».

Bref, il veut croquer sa part du gâteau et Next pourrait de son côté profiter d’une belle exposition médiatique. Un combo gagnant-gagnant ?

Autant prendre les devants, avec une IA maison

Il a donc décidé de prendre les devants et de se lancer, avec l’aide de l’IA générative. Comme nous l’expliquions récemment, il utilisait déjà un peu l’IA, mais il passe clairement une nouvelle étape… sans doute un peu poussé par Sébastien qui s’en sert largement pour développer des extensions et d’autres applications.

Ce n’est pas tout. Flock dresse un constat triste, mais réaliste de la situation : il y a des chances que des IA génératives se nourrissent déjà de son travail, bien que l’indexation de nos contenus ne soit pas autorisée par notre fichier robots.txt. Ce dernier n’engage malheureusement que ceux qui y croient et veulent bien jouer le jeu. « Il est important de comprendre qu’il ne s’agit là que d’une indication sur ce que doivent faire les robots bienveillants, ce n’est en aucun cas un élément de sécurité. En effet, certains robots ignorent ce fichier », rappelle à juste titre Wikipédia.

On a fait chauffer les serveurs de moji

Il a donc profité d’une réunion d’équipe pour lancer une idée : que Next propose des dessins dans le « style Flock » aux lecteurs. Une fonctionnalité qui serait évidemment réservée à nos abonnés.

Sans attendre, on se lance, d’autant que moji dispose d’un datacenter, avec des serveurs et des GPU que nous pouvons utiliser pour divers projets. L’investissement pour Next est quasi nul, autant en profiter sans attendre ! Pour la phase d’entrainement, nous avons utilisé près de 3 000 dessins de Flock sur nos serveurs, et il nous a fourni près de 5 000 brouillons supplémentaires, tous réalisés pour Next.

• Retrouvez tous les dessins de Flock

Il faut bien le reconnaitre : c’est encore un peu juste pour arriver à un résultat parfait, mais c’est déjà largement exploitable pour une première version. L’outil est donc en bêta pour le moment. Nous le laissons ouvert à tous pour le moment, afin d’avoir un maximum de retours avant de le finaliser.

Un outil en bêta, accessible à tous pour l’instant

Pendant ce temps, l’IA génère des dessins supplémentaires de Flock. Ils serviront ensuite à réaliser une seconde phase d’apprentissage sur la base de dessins plus nombreux. Tous les GPU n’étant pas encore disponibles pour la génération d’images, le résultat peut mettre jusqu’à une trentaine de secondes à s’afficher. Patience donc.

En attendant, prenez ce nouvel outil en main, testez et faites-nous part de vos retours !

Democracy

Le Conseil d’État déclare illégal le blocage de TikTok imposé à la Calédonie en mai 2024. Il précise les conditions dans lesquelles une telle suspension pourrait être légale.

En pleines émeutes de contestation du projet gouvernemental de dégel électoral, en Nouvelle-Calédonie, le gouvernement avait déclaré l’état d’urgence et suspendu l’accès à TikTok. À partir du 15 mai 2024 à 20 heures et pendant deux semaines, le réseau social n’était plus accessible depuis la collectivité d’outre-mer.

La Quadrature du Net, la Ligue des droits de l’homme, ainsi que des particuliers avaient rapidement attaqué la décision de blocage en justice, le qualifiant de « coup inédit et particulièrement grave à la liberté d’expression en ligne ». Ce 1ᵉʳ avril, le Conseil d’État a rendu sa décision, dans laquelle il annule le blocage de TikTok.

Il souligne notamment que l’autorité administrative ne peut normalement interrompre un tel service « que si la loi le prévoit compte tenu des atteintes qu’une telle mesure porte aux droits et libertés (notamment liberté d’expression, libre communication des pensées et des opinions, droit à la vie privée et familiale, liberté du commerce et de l’industrie). »

• Blocage de TikTok en Nouvelle-Calédonie : quels sont les enjeux ?

Trois conditions à la suspension

Au passage, l’institution précise les conditions dans lesquelles un Premier ministre pourrait légalement interrompre « provisoirement » l’accès à un réseau social, « même si la loi ne le prévoit pas ». Ces conditions sont au nombre de trois.

La suspension peut être décidée « si la survenue de circonstances exceptionnelles la rend indispensable ». Elle ne peut l’être « qu’à titre provisoire », à condition « qu’aucun moyen technique ne permette de prendre immédiatement des mesures alternatives moins attentatoires aux droits et libertés que l’interruption totale du service pour l’ensemble de ses utilisateurs ». Enfin, cette suspension ne peut être mise en œuvre que « pour une durée n’excédant pas celle requise pour rechercher et mettre en œuvre ces mesures alternatives ».

• VIGINUM décrypte les liens entre un dictateur de l’ex-URSS et des indépendantistes d’outre-mer

Durée indéterminée

En l’occurrence, si le Conseil d’État admet que la situation en Nouvelle-Calédonie relevait bien des « circonstances exceptionnelles », dans la mesure où les émeutes ont entraîné des décès et des atteintes aux personnes et aux biens « d’une particulière gravité », il souligne que la suspension de TikTok décidée par le Premier ministre d’alors, Gabriel Attal, l’a été sans indication de durée, et « sans subordonner son maintien à l’impossibilité de mettre en œuvre des mesures alternatives ».

Le Conseil d’État juge ce blocage illégal, car ayant porté « une atteinte disproportionnée aux droits et libertés invoqués par les requérants ».

Diffusée le 20 mars, une fausse vidéo du Figaro a rencontré un écho inédit sur les réseaux X et TikTok. Alors qu’Emmanuel Macron et Vladimir Poutine s’opposent, la vidéo affirme que « 71 % des Français sont convaincus que leur vie serait meilleure si le président français était Poutine ».

Le logo, la charte éditoriale… la vidéo est en tout point similaire à une production du Figaro, mais tout est faux, comme le soulignera le journaliste en charge des réseaux sociaux du Figaro Jean-Baptiste Semerdjian.

Copier des médias installés pour diffuser de la désinformation, le modus operandi est typique de l’opération Matriochka, qui sévit depuis un an et demi dans l’espace informationnel français.

• Guerre hybride : Viginum revient sur trois ans d’ingérence russe au sujet de l’Ukraine

Mais le projet d’opposants russes Bot Blocker (@antibot4navalny / @antibot4navalny.bsky.social), qui œuvre régulièrement à documenter ces opérations, relève ici une spécificité : la réponse d’un internaute réel, trompé par la vidéo, est rapidement devenue plus virale que la publication initiale du faux.

En effet, « pour la première fois, la réponse d’un utilisateur en tant que telle a été amplifiée par les robots Matrioshka, alors qu’auparavant, ils se concentraient exclusivement sur les faux visuels qu’ils créaient eux-mêmes », indique @antibot4navalny.

En pratique, les bots liés aux comptes pilotant l’opération sont allés démultiplier l’audience de publication d’internautes légitimes sur Telegram, TikTok et Twitter, pour augmenter la portée de leurs réactions, entrainant à leur suite d’autres internautes légitimes.

• Désinformation : comment Viginum lutte contre les ingérences numériques étrangères


Nouvelle mouture pour la suite d’outils. Le plus gros apport de cette version 0.90 est la version 2 de Run, désormais renommé Command Palette (ou Palette de commandes). La palette fonctionne comme ce que l’on connait dans d’autres applications, comme Visual Studio Code. Son interface a été enrichie, son système d’extensions retravaillé et un accent particulier a été mis sur les performances.

Le Color Picker, qui permet de sélectionner la couleur d’un pixel n’importe où dans l’écran, a été remanié sous le capot. .NET WPF remplace ainsi WPFUI, ce qui doit apporter une meilleure compatibilité à l’outil et un support amélioré des thèmes.

Parmi les autres nouveautés, on peut citer également la possibilité d’effacer directement un fichier dans Peek (Aperçu), le support des variables dans les noms de fichiers dans New+, la correction de plusieurs bugs dans FancyZones, ainsi qu’une autre pour Espaces de travail, qui ne parvenait parfois pas à capturer certaines applications minimisées.

La mise à jour est disponible depuis la fenêtre principale des PowerToys. Pour les personnes qui voudraient essayer la suite d’outils (bien pratique), l’installeur se récupère depuis le Microsoft Store ou le dépôt GitHub associé. Rappelons que ces applications sont open source (licence MIT).

OpenAI a formalisé un nouveau tour de table à hauteur de 40 milliards de dollars, amenés principalement par Softbank. Pour conclure sa levée de fonds, la société doit cependant achever sa bascule vers un modèle « for profit ». Sam Altman annonce en parallèle la sortie prochaine d’un modèle à poids ouverts, une démarche qu’OpenAI n’avait pas engagée depuis 2019.

Un tour de table à 40 milliards de dollars, calculé sur la base d’une valorisation d’entreprise désormais estimée à 300 milliards de dollars  : OpenAI a annoncé lundi ce qui devrait devenir la plus importante levée de fonds jamais réalisée par une entreprise de la tech. Cette manne doit permettre à l’entreprise de « repousser encore plus loin les frontières de la recherche en IA, faire évoluer notre infrastructure de calcul et fournir des outils de plus en plus puissants aux 500 millions de personnes qui utilisent ChatGPT chaque semaine », affirme-t-elle dans un bref communiqué.

Une levée de fonds assortie de conditions

Le groupe japonais Softbank représente le principal contributeur à ce tour de table, qui sera cependant réalisé en deux temps, et soumis à plusieurs conditions suspensives. Le premier round, programmé pour le mois d’avril, porte sur une enveloppe de 10 milliards de dollars.

Le second round est quant à lui attendu pour fin 2025 ou début 2026, et peut atteindre 30 milliards de dollars si et seulement si OpenAI parvient à boucler la restructuration de son capital, pour parvenir à devenir une entité commerciale classique, sans limitation liée à sa composante non-profit (sans but lucratif) historique.

La société dirigée par Sam Altman repose aujourd’hui sur une structure dite « capped profit », dont les bénéfices sont plafonnés (l’excédent devant, statutairement, remonter vers la structure à but non lucratif). OpenAI travaille depuis des mois à l’évolution de sa gouvernance, précisément pour répondre aux exigences de Softbank et préparer ce tour de table.

Sur cette deuxième phase, Softbank prévoit de laisser de la place à de potentiels co-investisseurs, à hauteur de 10 milliards de dollars. D’après CNBC, le tour de table inclurait Microsoft, soutien historique d’OpenAI, ainsi que les fonds Coatue, Altimeter Capital et Thrive Capital. Une partie des fonds levés aurait vocation à alimenter la contribution d’OpenAI au projet Stargate, qui ambitionne pour mémoire de fédérer 500 milliards de dollars pour construire des infrastructures dédiées à l’IA aux États-Unis.

Sam Altman annonce un modèle à poids ouverts

OpenAI a, en parallèle, lancé un appel à contributions en direction des développeurs, pour recueillir leurs suggestions relatives à un futur modèle de langage à poids ouvert. La page dédiée propose un formulaire via lequel l’entreprise demande quels sont les modèles ouverts avec lequel la personne a déjà travaillé, et quelles seraient ses attentes quant à un modèle open-weight signé OpenAI.

« Nous prévoyons de publier notre premier modèle de langage à poids ouvert depuis GPT-2. Nous y réfléchissons depuis longtemps mais d’autres priorités ont pris le pas. Maintenant, cela nous semble important de le faire », commente Sam Altman sur X. Il annonce que des événements dédiés aux développeurs seront organisés prochainement, d’abord à San Francisco, puis en Europe et en Asie, pour recueillir les retours de la communauté et présenter les premiers prototypes.

« Nous sommes impatients de voir ce que les développeurs construiront et comment les grandes entreprises et les gouvernements l’utiliseront là où ils préfèrent exécuter eux-mêmes un modèle », se réjouit-il encore. À ce stade, OpenAI ne livre aucune information précise quant à la nature exacte de ce futur modèle. L’engagement porte simplement sur l’ouverture des poids, c’est-à-dire les paramètres définis au cours de l’entraînement qui conditionnent l’exécution du modèle.

• IA générative : quels modèles sont vraiment ouverts

C’est un projet financé par le plan d’investissement France2030, avec 50 millions d’euros sur sept ans. Il est piloté par le CEA et le CNRS. Il « vise à accélérer le développement de supraconducteurs à haute température pour répondre aux défis énergétiques et sociétaux de demain, grâce notamment à l’énergie de fusion ».

Si la fission nucléaire consiste à casser un noyau atomique pour créer de l’énergie, la fusion associe deux noyaux légers pour en faire un plus lourd. C’est le type de réaction que l’on retrouve au cœur des étoiles.

• Fission et fusion nucléaire : de quoi parle-t-on et comment ça marche

Attention à ne pas vous laisser avoir par la « haute température critique », il s’agit de 80 kelvins soit - 193 °C, mais on est loin des 4 kelvins (- 269 °C) des supraconducteurs traditionnels. Les supraconducteurs ont des « propriétés électriques et magnétiques particulières, qui les rendent aptes à supporter des courants d’intensité très élevée », explique le CNRS. Mais aussi sans perte, ajoute le CEA.

Ces matériaux pourraient être cruciaux en fusion nucléaire, mais ils « présenteraient également un grand potentiel dans de nouvelles applications comme la production d’électricité éolienne, le transfert d’électricité ou la mobilité lourde bas-carbone (avions, bateaux) ».

Le programme de recherche s’articule autour de trois axes : « développer les briques technologiques des supraconducteurs haute température critique, démontrer leur fiabilité technologique à grande échelle autour d’un démonstrateur d’électro-aimant d’envergure, et explorer les applications de rupture, en particulier les centrales de fusion compactes électrogènes ».

Mainframe

Le DOGE veut migrer les systèmes de la Sécurité sociale des États-Unis en quelques mois. Ces derniers sont codés en COBOL, un langage ancien et désormais peu programmé, mais réputé pour sa robustesse.

Le « département de l’efficacité gouvernementale » des États-Unis (DOGE) est en train de constituer une équipe pour migrer l’intégralité des systèmes de la Sécurité Social locale en quelques mois. L’idée : se défaire des langages de programmation anciens sur lesquels ces systèmes reposent.

Le risque, comme le rapporte Wired : menacer l’intégrité de la totalité de l’architecture, et les allocations perçues par des dizaines de millions de personnes au passage. En pratique, le fidèle d’Elon Musk Steve Davis travaille déjà à sortir les systèmes de leur dépendance au langage COBOL.

COBOL : 66 bougies

À la suite des censures opérées par le gouvernement Trump, au moins un des sites qui saluait le travail de Grace Hopper est désormais hors ligne. Mais c’est bien cette docteure en mathématiques devenue informaticienne dans la Marine états-unienne qui a créé en 1959, avec les équipes du consortium sur les langages de systèmes de données (CODASYL), le COBOL (Common business oriented language). Comme son nom l’indique, il s’agissait de fournir un langage commun aux applications professionnelles.

Dans les vingt années qui suivent, le COBOL, standardisé en 1968, est adopté dans les administrations, le secteur bancaire, l’aviation, et ailleurs. 66 ans plus tard (et deux ans après sa dernière mise à jour ISO/IEC 1989:2023), il a été délaissé au profit de langages plus simples à manier pour quantités d’applications. Il garde toutefois de fidèles adeptes dans des secteurs critiques, dont les banques ou les administrations (y compris nos impôts ou notre Caisse d’Allocations familiales). En 2020, 80 % des transactions interpersonnelles réalisées aux États-Unis reposaient sur du COBOL, d’après Wealthsimple Magazine.

Les raisons du maintien du langage sont doubles : des enjeux de sécurité et de performance – COBOL a notamment été créé pour gérer rapidement de très grosses sommes de « transactions » – et son usage même, qui concerne généralement des applications centrales, vouées à rester en place une fois créées.

Le problème que cela pose : la pénurie de connaisseurs du COBOL force certaines entreprises à sortir d’anciens programmeurs de leur retraite pour les aider à faire évoluer leurs systèmes. Pour se représenter l’enjeu, des personnes qui sortaient du lycée en 1969 et devenaient programmeuses de COBOL partaient généralement à la retraite à la fin des années 2000, une fois la soixantaine atteinte.

5 ans pour le précédent projet de migration

C’est pour toutes ces raisons que le projet du DOGE soulève des questions. Auprès de Wired, de nombreux experts soulignent qu’une migration de l’ampleur prévue serait, de toutes manières, un projet énorme et risqué – l’infrastructure de la Sécurité sociale contient plus de 60 millions de lignes de codes en COBOL. Sa logique interne – c’est-à-dire les procédés qui fournissent des codes de Sécurité sociale, gèrent les paiements et calculent les montants à verser – est elle-même écrite en COBOL.

Dans le contexte actuel, la Sécurité sociale états-unienne est déjà sous pression : visée par des accusations de fraudes par Elon Musk lui-même – dont plusieurs des allégations se sont néanmoins prouvées, au mieux, trompeuses –, l’institution est spécifiquement visée par d’intenses coupes budgétaires. Depuis quelques semaines, son site web se retrouve fréquemment hors ligne, et l’attente téléphonique s’allonge, au point que le Washington Post parle de « chaos ».

Surtout, de précédents projets de migration ont déjà été envisagés, et la tâche s’avérait alors bien plus ardue qu’un projet de quelques mois. En 2017, l’agence avait elle-même annoncé un projet de remplacement de son système cœur, pour lequel elle cherchait des financements de centaines de millions de dollars. La durée annoncée du chantier, remplacé par des projets plus orientés vers le public en raison de la pandémie, était de cinq ans.

Et puis vient la question de l’efficacité, comme le détaille le journaliste Clive Thompson. Si des acteurs bancaires ou administratifs maintiennent leurs activités en COBOL malgré son ancienneté, c’est bien qu’ils ont pesé les risques. Le langage, on l’a dit, est très rapide. Par ailleurs, un nouveau système créé en quelques mois pour la Sécurité sociale a toutes les chances d’être plein de bugs, donc de planter en de multiples endroits. L’ancienneté du COBOL, en la matière, joue en sa faveur : au fil des décennies, les programmeurs ont eu le temps de débuger régulièrement.

Chez Next, on aimerait bien discuter avec des mainteneurs de mainframes et autres adeptes de COBOL français ou européens. Des contacts à nous recommander ?

Trop de consentement tue le consentement

L’Autorité de la concurrence a condamné Apple à une amende de 150 millions d’euros en raison de son dispositif App Tracking Transparency (ATT). Elle considère que cet écran, qui demande à l’utilisateur s’il accepte la collecte de ses données personnelles lors de l’installation d’une application, porte préjudice aux mécaniques de consentement implémentées par les éditeurs tiers dans leurs propres interfaces. Les représentants du monde de la publicité et les éditeurs de services en ligne saluent la décision.

Imposer un consentement supplémentaire aux éditeurs tiers quand un seul suffit au regard de la loi constitue une forme d’abus de position dominante, estime l’Autorité de la concurrence. Dans une décision rendue le 28 mars dernier, elle condamne Apple à 150 millions d’euros, en raison de la mise en œuvre du dispositif App Tracking Transparency (ATT) au sein de son App Store entre avril 2021 et juillet 2023. « L’Autorité adjoint à cette sanction pécuniaire une obligation pour Apple de publication du résumé de la décision sur son site internet pendant une durée de sept jours consécutifs », précise-t-elle encore.

ATT : un consentement préjudiciable aux éditeurs tiers ?

Introduit au printemps 2021 avec iOS 14.5, après avoir été annoncé à l’été 2020, l’App Tracking Transparency est le dispositif par lequel Apple demande à l’utilisateur s’il accepte que son appareil iOS communique son identifiant dédié au ciblage publicitaire (le code IDFA, pour Identifier for Advertisers) à un éditeur tiers.

En pratique, il prend la forme d’un écran de recueil du consentement, qui s’affiche après l’installation d’une application téléchargée sur l’App Store. « Autoriser (l’application) à suivre vos activités dans les apps et sur les sites Web d’autres sociétés ? », demande cet écran. Deux options sont proposées : « Demander à l’app de ne pas me suivre » et « Autoriser ».

Le dispositif avait été attaqué dès 2020, avant même son déploiement effectif, au travers d’une action entamée devant l’Autorité de la concurrence par une coalition d’éditeurs de services en ligne et d’acteurs du monde de la publicité.

Ces derniers dénonçaient alors le caractère asymétrique de l’écran ATT : « il ne s’applique qu’aux situations dans lesquelles un éditeur serait amené à partager des données avec ses fournisseurs de services publicitaires autres qu’Apple. Ce dernier se réservant le droit de détenir, collecter et utiliser les données sans devoir recueillir un consentement supplémentaire pour ses activités publicitaires ».

« Les saisissantes reprochaient principalement à Apple d’imposer aux éditeurs d’applications de manière inéquitable une sollicitation superfétatoire et non conforme au RGPD et ePrivacy, tout en s’affranchissant de ces mêmes restrictions, favorisant ainsi son propre écosystème fermé, ses propres applications et ses services publicitaires », résument lundi les plaignants dans un communiqué commun.

Alliance Digitale, le Syndicat des Régies Internet (SRI), l’Union des entreprises de conseil et d’achat média (Udecam) et le Groupement des éditeurs et services en ligne (Geste) y saluent une « victoire importante », pour un écosystème dont les modèles économiques et les revenus auraient été « gravement affectés par l’ATT ».

L’Autorité de la concurrence n’a pas encore publié le texte intégral de la décision, mais elle en commente la teneur dans un communiqué.

Deux consentements ne valent pas mieux qu’un

Elle y remarque que l’ATT n’est pas nécessaire au regard de la loi dans la mesure où il ne permet pas « le recueil d’un consentement valable au regard du droit applicable tel qu’il résulte, notamment de la loi Informatique et Libertés ».

Dans ce contexte, Apple reste « libre d’édicter des règles de protection des consommateurs supplémentaires à celles imposées par la réglementation », souligne le gendarme de la concurrence. À condition toutefois que cet objectif légitime soit mis en œuvre dans le respect du droit de la concurrence, compte tenu de la position dominante de l’entreprise sur le marché de la distribution d’applications à destination des terminaux iOS.

Or, décrit l’Autorité, les modalités de fonctionnement de l’ATT « compliquent artificiellement le parcours des utilisateurs d’applications tierces et faussent la neutralité du dispositif au détriment des petits éditeurs se finançant par la publicité ».

« En effet, si le refus d’une opération de traçage publicitaire ne doit être effectué qu’une fois, l’acceptation d’une telle opération doit, quant à elle, toujours être confirmée une seconde fois par l’utilisateur », précise encore l’Autorité. Selon elle, cette asymétrie empêcherait « le recueil d’un consentement éclairé que l’ATT est pourtant censé favoriser ». Si l’utilisateur refuse le transfert de ses données au niveau de l’ATT, le consentement obtenu par l’éditeur au niveau de sa propre plateforme de gestion n’aura en effet aucune valeur.

La CNIL suggère une fusion des autorisations

Sollicitée pour avis, la CNIL remarque quant à elle que « la sollicitation ATT pourrait aisément, sous réserve de quelques modifications, servir également à recueillir les consentements requis par la loi française et le RGPD ». Autrement dit, Apple pourrait modifier son dispositif de façon à ne proposer qu’un unique panneau de consentement, valable aussi bien au niveau d’iOS qu’au sein de l’application tierce.

L’Autorité prend par ailleurs en compte dans sa décision l’asymétrie de traitement constatée entre les services publicitaires d’Apple et ceux des éditeurs tiers. Jusqu’à iOS 15, la firme de Cupertino n’utilisait en effet pas l’ATT pour ses propres applications, ce qui lui avait déjà valu une condamnation de la part de la CNIL en janvier 2023.

Si elles saluent la décision, les organisations plaignantes regrettent que l’Autorité de la concurrence n’ait imposé aucune modification du dispositif à Apple. « Par conséquent, si aucun changement n’est apporté dans les prochaines semaines, l’illégalité persiste », affirment-elles, demandant la suspension immédiate d’ATT en attente des modifications nécessaires.

« Bien que nous soyons déçus par la décision d’aujourd’hui, l’Autorité de la concurrence française n’a pas exigé de changements spécifiques à l’App Tracking Transparency », remarque de son côté Apple, dans une réaction reproduite par l’AFP.

Le sujet n’a sans doute pas fini de faire des vagues. Mi-février, l’Autorité de la concurrence allemande a elle aussi estimé dans un avis préliminaire que le dispositif ATT présentait un caractère abusif et anticoncurrentiel. Comme en France, elle avait été saisie par un consortium de médias et d’acteurs de la publicité en ligne.

« Le vent se lève, il faut tenter de vivre »

Des politiques ont surfé sur la vague d’images générées par IA au style très proche de celui de Hayao Miyazaki, utilisé par OpenAI pour faire la promotion de son nouveau modèle. Du RN à Renaissance en passant par LFI, plusieurs s’en sont aussi servi pour leur propre promotion, celle d’autres personnalités de leurs mouvements ou d’actions politiques.

Des personnalités politiques ont diffusé en fin de semaine dernière des portraits d’eux-mêmes ou des illustrations de communication politique surfant sur la vague d’images générées par le modèle 4o Image Generation d’OpenAI. Elles reprenaient le style de Hayao Miyazaki et de ses collègues du studio Ghibli.

• Pour la promotion de ses modèles, OpenAI se sert du style du réalisateur anti-IA Miyazaki

L’incarnation de la Protection Civile par une image générée par une IA

Ainsi, Emmanuel Macron a publié samedi soir sur Twitter, un message sur la Protection Civile. Mais, pour illustrer les 32 000 bénévoles qui « veillent, secourent, forment et protègent » et à qui il adresse la phrase « vous incarnez le faire Nation et la Fraternité », le président de la République a préféré illustrer cette « incarnation » par une image générée par IA reprenant un style manga.

Gabriel Attal avec un mouton, Manon Aubry le poing levé ou Marine Le Pen sur le perron de l’Élysée

D’autres personnalités politiques ont, en fin de semaine, publié sur leurs réseaux sociaux des images de ce style : l’ancienne porte-parole du gouvernement et députée Renaissance Prisca Thevenot, et le Secrétaire général du même parti, Gabriel Attal, n’ont pas résisté à l’autopromotion.

Manon Aubry a, elle aussi, publié sur son compte Instagram des images la mettant en scène, dont l’une avec le leader de son mouvement, Jean-Luc Mélenchon. Mais finalement, la députée européenne LFI a peu de temps après supprimé ces images de son compte, alors que des utilisateurs du réseau social critiquaient cette utilisation. Le même week-end, le think tank Institut La Boétie de LFI proposait un colloque intitulé « L’intelligence artificielle, un nouveau champ de batailles ».

Du côté du RN, le député Alexandre Sabatou, qui se présente sur son compte X « pour une IA française et souveraine », a publié mardi 26 sur Twitter une image du même style mettant en scène Marine Le Pen montant les marches du perron de l’Élysée. C’était avant que Marine Le Pen soit condamnée pour détournement de fonds publics à deux ans de prison ferme et cinq ans d’inéligibilité avec application immédiate dans l’affaire des assistants européens du FN.

« Inconséquence des politiques »

Pour la correspondante au Japon de Libération, Karyn Nishimura, cette vague de communication exprime une « étrange inconséquence des politiques français postant des pseudo-images Ghibli générées via OpenAI ». Karyn Nishimura a, elle, bel et bien été l’héroïne du manga « Ivre du Japon », publié par son mari et auteur de mangas J.P. Nishi.

Pour Karyn Nishimura, « la question est éthique plus que juridique ». Elle dénonce le fait qu’OpenAI « ne voit aucun problème moral à entraîner sans vergogne son IA avec des œuvres de renom pour mieux commercialiser sa technique » mais aussi « que des personnalités politiques trahissent leur devoir en adressant aux artistes déjà démoralisés le pire des messages : « On peut se passer de vous, qui plus est avec des outils qui pillent votre travail. » ».

Finalement, après avoir laissé entendre que son entreprise maitrisait très bien la communication autour de cette vague d’images, Sam Altman a encore joué sur le storytelling d’un usage dépassant ses attentes. Après avoir tweeté un message demandant aux utilisateurs de se calmer, il a restreint la génération d’images aux comptes payants de son chatbot. Il a ainsi fait baisser, par la même occasion, la vague d’images au style Ghibli qui aura déferlé sur les réseaux sociaux pendant une semaine.

et le respect bon sang ?

[Mise à jour ] : Exceptionnellement, la rédaction décide de rendre la rubrique hebdomadaire de Flock disponible à tous nos lecteurs, même ceux qui ne sont pas encore abonnés. Au regard de l’actualité concernant Open Ai et le Studio Ghibli et par cette libération de ce contenu, nous voulons rappeler que si l’intelligence artificielle sait copier, elle n’a toujours pas craqué les concepts mis en évidence par Bergson : l’humour artificiel n’est pas encore au goût du jour. Enjoy !

Ah mes chers amis, nous voilà envahis par la connerie et c’est un véritable piège qui se referme sur nous. Si ça peut vous rassurer, c’est un phénomène mondial et personne n’y échappe. Se faire des ennemis à l’autre bout du monde ou à la maison, les lister, montrer les muscles en retour, considérer leur prochain comme de la matière première à business lucratif, d’une façon ou d’une autre, pas besoin de sortir les pincettes : ce n’est plus une épine dans le pied quand on n’a pas le cul sorti des ronces. Pour ça, il faudrait replacer le cerveau au-dessus du bulbe et miser sur la recherche de savoir et sagesse : la cour des comptes nous dira que c’est pas gagné. Allez, on en aura bien profité. Bon weekend !

Xiaofeng Wang, un informaticien spécialisé depuis vingt ans dans la cryptographie, la cybersécurité et la protection de la vie privée a disparu des radars. 


Ses comptes et téléphones professionnels ont été supprimés par son employeur, l’université de l’Indiana.

L’université a aussi supprimé toutes les informations relatives à sa femme Nianli Ma, qui travaillait comme analyste système principale et programmeuse au département des Library Technologies. 


Le FBI s’est par ailleurs rendu à leur domicile le 28 mars, sans que les raisons n’en soient connues, rapporte Ars Technica.

« Nous avons mené des opérations de maintien de l’ordre, autorisées par le tribunal, dans des domiciles de Bloomington et de Carmel, a confirmé une porte-parole du bureau du FBI à Indianapolis, auprès d’une radio locale. Nous n’avons aucun autre commentaire à faire pour le moment. »

Xiaofeng Wang était doyen associé de la recherche à la Luddy School of Informatics, Computing and Engineering de l’université de l’Indiana, et fellow de l’Institute of Electrical and Electronics Engineers et de l’American Association for the Advancement of Science.

Il a par ailleurs signé de nombreux articles de recherche en cryptographie, sécurité des systèmes, protection des données et protection des données génomiques.

Ce week-end, plusieurs des collègues du couple ont déclaré leur inquiétude sur les réseaux sociaux, et leur incompréhension de voir toutes les informations qui leur étaient relatives disparaître du site de leur employeur.

Lancer, exploser, apprendre, répéter

La fusée Spectrum a décollé hier soir du nord de la Norvège. Elle n’a pas atteint l’espace et a explosé 30 secondes après son décollage. Son fabricant Isar Aerospace et le port spatial d’Andøya parlent d’un « succès ». Le temps est maintenant à l’analyse des données, avant de procéder à de nouveaux essais.

Hier, la société allemande Isar Aerospace faisait décoller pour la première fois sa fusée Spectrum, depuis la base norvégienne de l’île d’Andøya. Elle est située à l’intérieur du cercle polaire, au nord des îles Lofoten, une position idéale pour lancer des satellites sur des orbites polaires ou héliosynchrones.

Une orbite polaire (basse altitude) survole chaque jour la surface complète de la terre. Elle peut être héliosynchrone, les satellites observant alors toujours chaque région du globe à la même heure locale solaire. Pour en savoir plus sur ces deux orbites, vous pouvez lire notre dossier sur Ariane 6.

• Ariane 6 : vers l’infini et au-delà ?

« Peu importe jusqu’où nous irons »

De son côté, Isar Aerospace, acteur du new space européen, a été sélectionné par l’Agence spatiale européenne dans le cadre du programme Boost!.

Le 14 mars, l’entreprise recevait le feu vert de la Norwegian Civil Aviation Authority (NCAA) pour son premier vol d’essai. Le 17 mars, Isar Aerospace expliquait que « l’objectif de ce premier test du lanceur est de collecter autant de données et d’expérience que possible ». L’entreprise ajoutait que sa fusée avait été « conçue, développée et construite presque entièrement en interne ».

Baptisée « Going Full Spectrum », cette première mission d’Isar Aerospace ne disposait d’aucune charge utile de partenaires. L’espoir d’atteindre l’orbite était assez faible : « Notre objectif est de tester chaque composant et système du lanceur […] Peu importe jusqu’où nous irons avec ce vol d’essai », affirmait Alexandre Dalloneau, vice-président de la société, avant le lancement.

Même son de cloche quelques jours avant le lancement de la part de Daniel Metzler (CEO et co-fondateur d’Isar Aerospace) : « Nous ne nous attendons pas à atteindre l’orbite avec ce test. En réalité, aucune entreprise n’a encore réussi à placer son tout premier lanceur orbital en orbite. SpaceX a eu besoin de quatre tentatives, mais nous voulons aller plus vite », expliquait-il à l’AFP.

30 secondes de vol avant une explosion

Une diffusion officielle et en direct du lancement était au programme. Si la fusée a décollé correctement, elle s’est retournée après seulement 30 secondes de vol avant de venir s’écraser dans l’eau avec une belle explosion à la clé. La base d’Andøya parlait poliment d’un « incident » sur les réseaux sociaux, ajoutant que « la gestion de crise a été activée ».

Andøya s’est ensuite fendu d’un communiqué, depuis retiré mais toujours visible sur Webarchive : « le vol d’essai a été interrompu par le port spatial d’Andøya, conformément à nos procédures de sécurité […] Le lanceur s’est écrasé dans la mer. Personne n’a été blessé et les travaux d’évaluation des dommages environnementaux et matériels sont en cours ». Dans le vocabulaire de SpaceX, on parlerait de Rapid Unscheduled Disassembly (RUD).

« Notre premier vol d’essai a répondu à toutes nos attentes »

« Pour le port spatial d’Andøya et Isar Aerospace, ce vol d’essai a été un succès. Toutes les procédures et tous les systèmes ont été validés, et nous sommes impatients de planifier la prochaine tentative de lancement », ajoutait le communiqué désormais passé dans les oubliettes.

Chez Isar Aerospace aussi, on utilise à plusieurs reprises le mot « succès » pour parler de cette mission : « Le véhicule a quitté avec succès la rampe de lancement, a été arrêté à T+30 secondes et est tombé directement dans la mer de manière contrôlée ». La rampe de lancement du port spatial d’Andøya est « intacte ».

Daniel Metzler, CEO et co-fondateur d’Isar Aerospace se félicite aussi : « Notre premier vol d’essai a répondu à toutes nos attentes et a été un franc succès. Nous avons décollé sans encombre, avons effectué 30 secondes de vol et avons même pu valider notre système de terminaison de vol ». Quelques jours avant le lancement, il expliquait à l’AFP que « trente secondes de vol seraient déjà un vrai succès ».

Bülent Altan, président d’Isar Aerospace et ancien dirigeant de SpaceX, y va aussi de son analyse : « Comme je l’ai déjà expérimenté, il faut normalement quelques tentatives pour atteindre l’orbite, mais après le vol d’essai d’aujourd’hui, je suis très confiant qu’Isar Aerospace sera l’un des plus rapides à le faire ».

Isar Aerospace prévoit jusqu’à 40 lanceurs Spectrum par an

Dans un message sur X, accompagné d’un résumé vidéo de sa première mission, décrit la suite des événements : « Lancer, apprendre, répéter ». On y voit le lanceur décoller puis terminer sa courte vie dans une explosion dans la mer de Norvège.

Forte de son « succès », la société se tourne vers l’avenir : « Les lanceurs pour les deuxième et troisième vols du Spectrum d’Isar Aerospace sont déjà en production ». Elle ajoute que dans son usine de Munich (Allemagne), elle « sera en mesure de produire jusqu’à 40 lanceurs Spectrum par an à l’avenir ».

Le SignalGate a d’heureuses conséquences pour Signal. L’application de messagerie sécurisée a été utilisée par plusieurs membres éminents du gouvernement américain pour discuter d’un plan d’attaque au Yémen. Michael Waltz, conseiller à la sécurité de Donald Trump, a cependant invité par erreur un journaliste dans la conversation. Le contenu de la conversation a été publié par The Atlantic depuis.

Même si la Maison-Blanche minimise depuis l’incident, la bourde reste monumentale. Comme on l’a vu en fin de semaine dernière, l’évènement a beaucoup attiré l’attention sur Signal. Une médiatisation pas toujours bienveillante et qui a poussé la fondation à prendre la parole, pour expliquer comment fonctionne sa plateforme. On a également vu sa présidente, Meredith Whittaker remettre quelques pendules à l’heure dans les comparaisons avec WhatsApp.

À Wired, la fondation a indiqué en fin de semaine dernière que le nombre quotidien de téléchargements avait doublé. Il s’agirait de la plus forte augmentation jamais constatée par Signal en 11 ans d’existence. « Dans l’histoire de Signal, c’est le moment où la croissance aux États-Unis a été la plus forte, et de loin. C’est époustouflant, même pour nous », a ainsi déclaré Jun Harada, responsable croissance et partenaires à la fondation Signal.

Signal ne fournit aucun chiffre précis, mais ajoute que l’explosion a commencé juste après la publication de The Atlantic. Mieux, les chiffres se maintiendraient depuis. Wired cite les chiffres de Sensor Tower, qui vont dans le sens des déclarations de Signal, avec un boum de 105 % des téléchargements d’une semaine sur l’autre, et de 150 % par rapport à une semaine moyenne en 2024. Dans le reste du monde, l’augmentation serait d’environ 21 %.