J’espère que vous êtes forts en apnée... En attendant la rubrique hebdomadaire du samedi à 13h37 !

Accros à un algo

Pour la deuxième année consécutive, le trafic en provenance de l’algorithme de recommandation de contenus Discover de Google explose de + 50%. Un phénomène de dépendance qui interroge, à plus forte raison quand le modèle économique de la presse, nationale ou régionale et départementale, dépend de plus en plus des abonnements numériques.

Le Baromètre diffusion 2024 de l’Alliance de la presse d’information générale (APIG), qui rassemble et représente près de 300 titres de la presse quotidienne nationale (PQN) et de la presse quotidienne régionale et départementale (PQRD), souligne à quel point la presse dépend désormais d’Internet, et plus particulièrement de Google.

Les abonnements numériques (+ 12,2% l’an passé) y représentent en effet désormais 35% de la diffusion de la presse quotidienne, « soit 20 points de plus qu’il y a 10 ans ».

En moyenne, chaque jour, près de 1,6 million de versions numériques de journaux sont ainsi diffusées. Ces abonnements représenteraient 69% de la diffusion de la presse quotidienne nationale (PQN), avec 1 million d’exemplaires par jour, mais 18 % seulement de la presse quotidienne régionale et départementale (PQRD), à raison d’environ 570 000 exemplaires par jour.

• Abonnements numériques : les Français dépenseraient 49 euros par mois en contenus

L’Équipe arrive en tête, avec 97,6% d’abonnements numériques, suivis par Le Monde (88,5%), Libération (86,8%), Le Figaro (79,3%) et Les Échos (78,7%). Le Parisien (65,7%) et Libération sont par ailleurs les titres ayant connu les plus fortes progressions de nouveaux abonnés numériques depuis 2020.

« La presse continue d’être attractive », estime dès lors l’APIG. Les abonnements individuels (papier + numérique), qui ont progressé de 9,6% en 10 ans, représenteraient aujourd’hui 73% de la diffusion de la presse quotidienne, contre 53% en 2015. Dans le même temps, les abonnements papier ont baissé de 35,1%, quand les abonnements numériques explosaient, eux, de + 611,7%.

Les réseaux sociaux ne représentent plus que 5 % des sources de trafic

Les marques de presse « regagnent en visibilité en 2024 » avec un trafic « porté par l’actualité » (+ 13,1%), et « malgré l’arrêt de Facebook News et une chute des visites en provenance des réseaux sociaux en 2023 ». Ces derniers ne représentent plus que 5% des sources de trafic (plus 1% en provenance des newsletters), contre 61% en provenance de Google.

Le rapport 2023 montrait déjà (sur un « périmètre réduit du panel de l’APIG »), une chute de 24,6% du trafic en provenance de Facebook, et une légère décrue du nombre de clics en provenance de Google Search. A contrario, le trafic émanant de son application (et algorithme) Discover de recommandation de contenus enregistrait de son côté une progression de 50%, passant de 200 à 300 millions de visites par mois entre juin et octobre.

Discover représente, à lui seul, 68% du trafic en provenance de Google

Si la consultation via des applications représentait, en 2024, 30% du trafic de la PQN, et 11% de la PQRD, l’écrasante majorité se fait depuis des interfaces mobiles : 85% pour la PQN, 89% pour la PQRD, accélérant d’autant le trafic en provenance de Discover, dont l’application n’est (pour l’instant) disponible que sur les terminaux mobiles et tablettes.

Et si le trafic en provenance de Google Search a poursuivi sa baisse, celui émanant de son algorithme Discover continue d’exploser :+ 48,8% par rapport à 2023. Au point que les marques de presse seraient « dépendantes des plateformes », écrit l’APIG, et tout particulièrement de Google, qui représenterait 61% de leurs sources de trafic.

Sur les 966 millions de clics générés par les services Google vers les titres de presse en août 2024, 653 millions (67,6 %) provenaient ainsi de Discover, contre seulement 238 millions (24,6 %) pour la recherche classique et 74 millions (7,7 %) pour Google News, relève Abondance, soulignant que « Google Discover est devenu la principale source de trafic pour la presse française » :

« Cette montée en puissance de Discover représente à la fois une opportunité et un défi pour les éditeurs. D’un côté, cette fonctionnalité permet d’atteindre un public large qui ne se serait pas nécessairement dirigé vers les sites d’actualité. De l’autre, elle renforce la dépendance des médias envers les algorithmes de Google, qui déterminent quels contenus seront mis en avant. »

« On ne va pas se mentir : Google Discover, c’est un peu la loterie »

Or, et comme le relève par ailleurs Abondance dans un article consacré à l’arrivée prochaine de Discover sur desktop : « On ne va pas se mentir : Google Discover, c’est un peu la loterie. Visibilité massive un jour, plus rien le lendemain ».

L’algorithme recommande en effet sur l’application mobile Google une dizaine ou quinzaine de contenus, a priori personnalisés en fonction des données enregistrées dans le compte Google des internautes (activités sur le web et les applications, historique des recherches, géolocalisation, etc.).

Et si « personne ne sait vraiment comment fonctionne le classement sur Discover », poursuit Abondance, on sait par contre qu’il privilégie les visuels et titres attrayants, et qu’il s’intéresse moins à la pertinence et à la qualité du contenu qu’à sa capacité à capter l’attention des mobinautes.

Nous y reviendrons, dans un prochain article consacré à ce pourquoi, et comment, les professionnels du marketing numérique et du référencement (SEO) se sont rués sur Discover, dans le cadre de notre enquête au long cours sur cette pollution en cours de sites d’information générés par IA.

• [Récap] Nous avons découvert des milliers de sites d’info générés par IA : tous nos articles

En un an, les performances générales de Chrome ont été améliorées de 10 %. Il s’agit d’une moyenne, enregistrée pour l’essentiel via des tests sur le benchmark Speedometer 3, développé en partenariat avec d’autres éditeurs de navigateurs. Il est chargé d’analyser les performances sur des processus comme le parsing HTML, le traitement du JavaScript, les interactions et manipulations du DOM, l’application des CSS ou encore le rendu des pixels.

Cette amélioration est continue, comme le montre un graphique publié par Google. Sur un an, on peut voir une légère augmentation des performances à chaque nouvelle version du navigateur, à l’exception de la mouture 129, sans que l’on sache pourquoi.

Google dit s’être concentrée sur les « chemins de rendu fondamentaux ». L’entreprise s’est ainsi penchée sur la disposition en mémoire de structures de données internes dans les composants DOM, CSS, de mise en page et de dessin. Le moteur de rendu, Blink, évite selon Google « un grand nombre d’opérations inutiles sur la mémoire ».

À titre d’exemple, un plus grand nombre d’opérations ont été confiées au ramasse-miettes Oilpan, en remplacement d’anciennes instructions malloc (allocation mémoire). Autre exemple, les caches sont décrits comme beaucoup plus efficaces dans les rendus lourds, notamment pour les calculs des feuilles CSS.

Bien que Google n’en parle pas frontalement, et puisqu’il s’agit d’améliorations portées dans le moteur Blink, tous les navigateurs l’exploitant ont récupéré ces améliorations et continueront de le faire.

Il est d’ailleurs intéressant de constater que les performances, qui n’étaient plus guère mises en avant ces dernières années, sont à nouveau un argument. En avril par exemple, Microsoft avait communiqué sur une hausse significative de ses résultats dans Edge. Le navigateur se veut également plus réactif, avec un remplacement récent d’une bonne partie de son interface, React ayant laissé sa place à WebUI 2.0.

Le procès pour violation de Copyright entre le New York Times et OpenAI suit son cours depuis la plainte déposée par le journal étasunien en décembre 2023.

Mais, à la mi-mai, le juge en charge de l’affaire a ordonné à OpenAI de préserver « tous les journaux de sorties qui devraient normalement être supprimés » et ce « jusqu’à nouvel ordre de la Cour », a appris Arstechnica. Il précise que cet ordre concerne toutes les données qu’OpenAI supprime d’habitude, « que ces données soient supprimées à la demande d’un utilisateur ou en raison de « nombreuses lois et réglementations sur la protection de la vie privée » qui pourraient exiger qu’OpenAI le fasse ».

Sans surprise, l’entreprise d’IA générative s’oppose à cet ordre. Elle affirme que le tribunal a pris cette décision en se fondant uniquement sur une intuition du New York Times et d’autres plaignants du secteur de l’information. De fait, le média a affirmé que les utilisateurs qui exploiteraient le chatbot pour contourner son paywall seraient plus enclins à supprimer leur historique.

OpenAI ajoute que, sans « aucune raison valable », l’ordre « continue d’empêcher OpenAI de respecter les décisions de ses utilisateurs en matière de protection de la vie privée ».

OpenAI précise que les données concernées sont celles de tous les utilisateurs du chatbot de l’entreprise, qu’ils aient un compte gratuit, Plus ou Pro et qu’ils passent par l’interface graphique ou l’API. Elle précise dans un billet que ça n’affecte par contre pas les utilisateurs de ses offres Enterprise et Edu.

L’entreprise ajoute que « seule une petite équipe juridique et de sécurité d’OpenAI, soumise à un audit, pourra accéder à ces données si cela s’avère nécessaire pour respecter nos obligations légales ».

« Nous nous opposerons à toute demande qui compromettrait la vie privée de nos utilisateurs ; il s’agit là d’un principe fondamental », a affirmé Sam Altman sur X.

Des électrons élevés en plein air

L’année dernière, les énergies renouvelables comptaient pour un peu plus d’un quart de la production totale d’électricité en France. L’hydraulique est toujours en tête, suivi par l’éolien et le solaire. Ce dernier concentre le gros des projets (en capacité de production).

Enedis a mis en ligne cette semaine son 32ᵉ Panorama de l’électricité renouvelable pour l’année 2024. Commençons par poser les bases : la production totale d’électricité en France en 2024 était de 539 TWh, « son plus haut niveau depuis 5 ans », rappelle RTE.

76,7 GW de puissance, 150 TWh de production

De son côté, « la production renouvelable a couvert 33,9 % de la consommation d’électricité de la France métropolitaine au cours de l’année 2024, ce qui représente 27,8 % de la production totale d’électricité. Elle s’est établie à 150 TWh (contre 135,6 TWh en 2023) », explique Enedis.

Déjà, il faut s’entendre sur le terme renouvelable : cela « correspondent ici à l’agrégation des capacités solaires, éoliennes, bioénergies et hydrauliques, bien que seule une partie de la production des filières bioénergie et hydraulique soit comptabilisée comme renouvelable, conformément à la directive européenne », explique le gestionnaire de réseau de distribution d’électricité.

La puissance totale du parc total d’énergies renouvelables est de 76,7 GW en France, en hausse de 6,7 GW. Dans un monde (qui n’existe pas) où la production serait toujours au maximum des capacités, cela donnerait environ 672 TWh de production sur l’année (76,7 x 24 h dans une journée x 365 jours). La réalité est bien moindre avec 150 TWh, à cause notamment de la saisonnalité des énergies renouvelables (présence ou non de soleil et de vent par exemple).

24,8 TWh de production solaire, autoconsommation incluse

Le solaire est l’énergie qui grimpe le plus avec 4,9 GW supplémentaires (contre 3 GW en moyenne les années précédentes), le reste étant de l’éolien terrestre et en mer. Attention, on parle ici de la capacité totale cumulée des installations ; la production dépend de plusieurs facteurs, comme nous venons de le voir.

La capacité totale du solaire est désormais de 24,3 GW. « Pour la première fois, la capacité du parc solaire excède celle du parc éolien terrestre » (mais pas l’hydraulique qui est à 25,7 GW), note Enedis dans son Panorama. En effet, l’éolien terrestre affiche une capacité de 22,9 GW, mais la production est supérieure au solaire avec 42,8 TWh sur l’année 2024.

De son côté, le solaire a produit l’année dernière 24,8 TWh et a permis de « couvrir la consommation électrique annuelle de la France métropolitaine à hauteur de 5,7 % en moyenne ». Ce chiffre inclus l’« autoconsommation PV ».

Enedis propose aussi des courbes de production mensuelle. On y voit évidemment les fluctuations saisonnières ainsi que le pic de production durant l’été. En 2024, la barre des 3 GWh a été dépassée en juillet et en août. Durant ces deux mois, la couverture mensuelle a même dépassé les 10 %.

L’éolien a produit 42,8 TWh et « carbure » à l’inverse du solaire

Sur l’éolien, c’est bien différent: les mois d’été ne sont pas les plus performants. Les pics sont généralement entre novembre et mars.

Dans son Panorama, Enedis revient aussi sur la question de l’éolien en mer : « En 2024, 665 MW […] ont été mis en service, contre 360 MW en 2023, pour atteindre un total de 1 508 MW ». La production en 2024 était 4 TWh, soit plus du double de 2023 (1,9 TWh). « Sur le dernier trimestre 2024, la production s’établit à 1,2 TWh, soit une augmentation de 63 % par rapport au dernier trimestre 2023 », ajoute Enedis.

L’hydroélectrique met tout le monde d’accord avec 69,8 TWh

La bioénergie a contribué à hauteur de 8,5 TWh en 2024. Mais le gros de la production renouvelable est assurée par l’hydroélectrique, qui affiche une capacité de 25,7 GW. « Le volume de production d’hydroélectricité renouvelable a représenté 15,8 % de la consommation en France métropolitaine pour l’année 2024 », précise Enedis.

Le gros du renouvelable est ainsi produit par la filière hydraulique : « 69,8 TWh d’électricité renouvelable sur une année (75,1 TWh en incluant la part non renouvelable) ». C’est en hausse de 27,3 % par rapport à 2023, « en raison de conditions d’hydraulicité particulièrement favorables en 2024, avec des précipitations importantes et régulières notamment au printemps et en automne ».

53,6 GW dans les cartons

Des projets sur le renouvelable sont en cours pour un total de 53 588 MW au 31 décembre 2024. Sans surprise, le solaire se taille la part du lion : le volume des installations photovoltaïques en développement est de 30 929 MW.

L’éolien terrestre est en deuxième position avec 13 153 MW, puis l’éolien en mer avec 9 278 MW (dont des appels d’offre à venir d’une puissance de 5 850 MW), l’hydraulique avec 113 MW et les bioénergies avec 114 MW.

Rappelons enfin que la forte augmentation du solaire et de l’éolien dans le mixte énergétique soulève des questions sur la stabilité des réseaux. Cette problématique est d’ailleurs une des pistes étudiées sur le black-out en Espagne et au Portugal, dont les causes ne sont pas encore connues (l’enquête est en cours).

• Réseau électrique : pourquoi le solaire et l’éolien sont des « passagers clandestins »
• Black out en Espagne : comment le réseau électrique s’est effondré

La matière est-elle louable ?

Donald Trump et Elon Musk se sont pris à parti jeudi soir, chacun sur son réseau social, dans une escalade de messages particulièrement virulents. Entre le président des États-Unis et l’ex-pilote du DOGE, la rupture est-elle consommée ? L’heure semble désormais à quelques règlements de comptes.

En quelques heures, les échanges ont viré du vaudeville – sarcastique, mais léger – à la tragédie grecque. Donald Trump et Elon Musk se sont littéralement écharpés jeudi soir par réseaux sociaux interposés. Le premier est allé jusqu’à menacer de couper tous les budgets publics attribués à SpaceX. Le second a affirmé que si les dossiers de l’affaire Epstein n’avaient pas été rendus publics, c’est parce que le nom de Donald Trump y figurait. Drame en trois actes.

Acte 1 : Elon Musk quitte le Doge

Déjà longuement documenté, le virage politique d’Elon Musk et son ralliement à Donald Trump ont conduit le patron de Tesla, SpaceX ou xAI à la tête d’un nouveau ministère, le département de l’efficacité gouvernementale, autrement surnommé Doge. Or, Elon Musk vient de quitter la tête de ce dernier. Officiellement, parce que sa mission prenait fin le 28 mai dernier. Officieusement, parce que les actionnaires de ses entreprises réclamaient son retour aux affaires, particulièrement chez Tesla, dont les ventes accusent des baisses marquées sur ses principaux marchés, même si Donald Trump s’est un jour changé en VRP de la marque, allant jusqu’à donner à la Maison-Blanche des airs de concession automobile éphémère.

Aux commandes d’un Doge doté d’un accès direct à tous les systèmes les plus importants du pays, Elon Musk aurait-il connu l’ivresse du pouvoir… et son corollaire en cas d’abus, la gueule de bois ?

Acte 2 : (Kill) the Big Beautiful Bill

L’homme d’affaires avait déjà exprimé à demi-mots ses réserves quant à la guerre commerciale lancée par Donald Trump à grands renforts de droits de douane, mais la solidarité (ou l’allégeance) l’avaient empêché de courir à l’incident diplomatique.

La donne était légèrement différente cette semaine, alors que le Sénat américain étudie la loi budgétaire élaborée par le gouvernement Trump. Surnommé « Big Beautiful Bill » (la belle et grande loi), le texte endosse les principales promesses de campagne du président. Son adoption avant le 4 juillet (anniversaire de l’indépendance des États-Unis) est considérée comme un enjeu symbolique majeur.

Les ramifications du projet de loi sont innombrables, mais sa philosophie générale repose sur deux axes budgétaires principaux : une réforme fiscale sans précédent et un recours accentué à la dette, qui pourrait ajouter quelque 3 800 milliards de dollars au déjà très lourd déficit sur les dix prochaines années. Le chiffre, qui émane des analyses menées par le Bureau du budget du Congrès américain, serait partiellement compensé par les gains de production découlant de la guerre commerciale lancée par Trump. Il fait tout de même redouter, à certaines figures du monde financier, la création d’une véritable bombe à retardement, si la dette américaine venait à perdre la confiance des marchés.

Les digues d’Elon Musk se sont fissurées mardi 3 juin, au sujet de cette Big Beautiful Bill.«  Je suis désolé, mais je ne peux plus le supporter. Ce projet de loi de dépenses du Congrès, massif, scandaleux et bourré de dépenses inutiles, est une abomination dégoûtante. Honte à ceux qui ont voté pour : vous savez que vous avez eu tort. Vous le savez », a lâché l’homme d’affaires sur X. Bien qu’il soit habituellement prompt à répondre aux provocations, Trump n’a pas immédiatement réagi.

Acte 3 : Interstellar

La mèche était déjà courte. Sa combustion s’est accélérée jeudi. Donald Trump, qui recevait le chancelier allemand Friedrich Merz, s’est finalement exprimé au sujet de son ancien envoyé spécial à la tête du Doge. « Elon et moi avions de très bonnes relations. Je ne sais pas si c’est encore le cas », a notamment déclaré le président. « Vous savez, Elon est énervé parce que nous avons enlevé l’obligation de rouler électrique », a-t-il également glissé. Le budget en cours d’examen prévoit en effet la fin des crédits d’impôts à l’achat de voitures électriques.

Est-ce cette sortie médiatique qui a provoqué le déclic ? Une chose est sûre : Elon Musk a dégoupillé jeudi soir. « Sans moi, Trump aurait perdu les élections, les démocrates contrôleraient la Chambre et les républicains seraient à 51 - 49 au Sénat », écrit-il en réponse à un extrait vidéo de la séquence précédente.

« Elon commençait à être à bout de forces, je lui ai demandé de partir et j’ai supprimé son mandat qui forçait tout le monde à acheter des voitures électriques dont personne ne voulait (ce qu’il savait depuis des mois que j’allais faire !) et il est juste devenu FOU », riposte très rapidement Donald Trump sur son réseau Truth.social. Avant d’embrayer :

« La façon la plus simple d’économiser de l’argent dans notre budget, des milliards et des milliards de dollars, est d’arrêter les subventions et les contrats gouvernementaux d’Elon. J’ai toujours été étonné que Biden ne l’ait pas fait ! »

« Il est temps de lâcher la vraie bombe : @realDonaldtrump est dans les fichiers Epstein. C’est la vraie raison pour laquelle ils n’ont pas été rendus publics. Bonne journée, DJT ! », rétorque Elon Musk quelques minutes plus tard, en référence à Jeffrey Epstein, condamné pour avoir entretenu un réseau d’exploitation sexuelle de mineures, dont le scandale a éclaboussé plusieurs personnalités publiques.

Dans la foulée, Musk lance un sondage : « Est-il temps de créer un nouveau parti politique qui représente réellement les 80 % du centre en Amérique ? ». Douze heures plus tard, les 4,3 millions de votes exprimés optent à 81 % pour le Oui.

Le patron de SpaceX brandit enfin la menace de décommissionner la navette Dragon, chargée de pallier les insuffisances de Boeing en ramenant les astronautes hébergés au sein de la Station spatiale internationale.

Et maintenant ?

Quelques heures plus tard, Musk souffle encore un peu sur les braises en retweetant des mèmes illustrant cette guerre d’égos, mais le gros de l’incendie semble être passé. « Vous n’avez pas tort », répond-il à l’entrepreneur Bill Ackman, qui appelle à ce que les deux hommes fassent la paix au nom du bien commun.

D’après Politico, la Maison-Blanche s’affairerait déjà à rabibocher les deux parties, avec un échange téléphonique prévu dans les prochaines heures. Reste à savoir si cette prise de bec aura des conséquences durables soit sur la politique américaine, soit sur les entreprises et activités liées à Elon Musk. Ou si elle subsistera dans les mémoires, comme l’une de ces échauffourées médiatiques que goûte tant la téléréalité chère à Donald Trump.

La société d’informatique légale (forensics) israélienne Cellebrite vient d’annoncer l’acquisition de l’américaine Corellium, dont les solutions permettent de virtualiser des terminaux Android ou iOS à des fins d’investigation, de test ou d’analyse de sécurité.

La transaction se fait principalement en cash, sur la base d’une valorisation fixée à 170 millions de dollars, avec un bonus supplémentaire de 30 millions de dollars possible en fonction d’objectifs commerciaux fixés à deux ans.

« Cette alliance établira une nouvelle norme pour les enquêtes numériques et la sécurité des appareils intelligents, notamment iOS, Android, les systèmes automobiles et tout appareil IoT basé sur ARM », affirment les deux entreprises dans un communiqué.

Cellebrite et Corellium évoluent en effet sur des terrains voisins, qui parfois se recouvrent, et les deux entreprises ont déjà eu maille à partir avec Apple, dans des affaires liées à la façon dont elles contournent la sécurité des systèmes d’exploitation édités par la firme de Cupertino, à commencer par le célèbre dossier de l’iPhone de l’auteur de la fusillade de San Bernardino.

Cellebrite développe pour mémoire des solutions logicielles capables d’extraire les données utilisateurs d’un appareil mobile, même et surtout si l’accès à ce dernier a été verrouillé. La société s’est longtemps vantée d’être en mesure de déverrouiller sans restriction les iPhone d’Apple, mais les dernières protections mises en place au sein d’iOS et d’Android rendent l’efficacité de ses outils moins évidente.

• Cellebrite progresse, mais peine toujours avec les iPhone éteints, l’iPhone 15 et les Pixel

Les solutions de Corellium se destinent quant à elles aux chercheurs, développeurs et autres analystes qui souhaitent pouvoir travailler sur des environnements iOS ou Android hébergés au sein de machines virtuelles, notamment pour faciliter la recherche de faille de sécurité.

L’entreprise, qui s’était illustrée en 2021 en faisant la démonstration du fonctionnement d’Ubuntu sur un Mac mini M1 (équipé donc d’un processeur Arm) a longtemps fait l’objet de poursuites judiciaires lancées par Apple.

« Grâce aux offres de Cellebrite, les utilisateurs disposent de « plans » – des schémas techniques de ce qui se trouve sur un appareil. Grâce à la technologie de Corellium, les utilisateurs pourront parcourir virtuellement l’appareil, explorer chaque pièce et ouvrir chaque porte en toute sécurité, sans aucune modification, et ce, de manière rigoureuse », résume Chris Wade, le fondateur de Corellium, qui devient directeur technique (CTO) de Cellebrite.

Ce hacker australien de 40 ans, qui avait été condamné en 2005 pour avoir accepté de relayer du spam, était ensuite devenu « consultant » pour le FBI, avant d’être finalement gracié par Donald Trump en 2020 grâce à l’entregent d’un ami commun, comme Semafor l’avait raconté en janvier.

Dans un billet publié sur son blog, Anthropic annonce avoir livré plusieurs modèles destinés aux agences de la sécurité nationale américaine.

L’entreprise assure qu’ils commencent déjà à être déployés dans les agences avec un accès limité à « ceux qui travaillent dans ces environnements classifiés ».

L’entreprise a réussi à s’assurer des contrats avec différentes agences étasuniennes. En novembre, elle annonçait un partenariat avec AWS et Palantir pour fournir à l’armée et aux renseignements américains une plateforme.

L’entreprise donne une liste d’adaptations spécifiques à ce genre d’utilisation :

• « Meilleure gestion des documents classifiés, les modèles refusant moins de répondre à ce genre de demande
• Meilleure compréhension des documents et des informations dans les contextes du renseignement et de la défense
• Meilleure maîtrise des langues et des dialectes essentiels aux opérations de sécurité nationale
• Meilleure compréhension et interprétation des données complexes relatives à la cybersécurité pour l’analyse du renseignement »

L’organisation BEUC, qui rassemble des associations européennes de consommateurs comme l’UFC-Que choisir en France ou Testachats en Belgique, vient de porter plainte auprès de la Commission européenne pour l’utilisation de dark patterns (interactions trompeuses) sur le site marchand du géant chinois Shein.

« Ceux-ci poussent les consommateurs à acheter plus que prévu et alimentent les problèmes environnementaux et sociétaux causés par l’industrie de la mode éphémère », affirme la BEUC dans son communiqué de presse. Ces associations appuient leur action sur la vague actuellement en cours contre les marques chinoises de la « fast fashion ».

Leur plainte demande aux autorités européennes d’imposer à Shein de :

• « Cesser d’utiliser des techniques trompeuses telles que le « confirm-shaming », la manipulation des émotions des consommateurs, l’utilisation du défilement infini et le « harcèlement », qui, selon notre évaluation, constituent des pratiques commerciales déloyales (conformément à la directive de l’UE sur les pratiques commerciales déloyales).
• Fournir des preuves démontrant que les témoignages de clients ou les messages tels que « stock faible » qui sont affichés de manière répétée aux consommateurs sont authentiques. Si ce n’est pas le cas, demandez à SHEIN de cesser d’utiliser ces pratiques. »

Pour le directeur de la BEUC, Agustín Reyna, « l’utilisation par SHEIN de dark patterns est une réalité bien documentée, qui dure depuis plusieurs années, comme le révèlent les recherches des membres du BEUC. Ils incitent les consommateurs à dépenser toujours plus d’argent pour des produits de la « fast fashion », qui sont nocifs pour eux-mêmes, pour l’environnement et pour les personnes qui les produisent ».

La BEUC publie en parallèle un rapport sur cette pratique de Shein [PDF]. Pour ce regroupement d’associations de consommateurs, la fast fashion et les dark patterns sont un « cocktail toxique ».

Annonce cryptique

Le réseau social X lance doucement une messagerie personnelle annoncée avec emphase comme plus robuste par Elon Musk concernant la protection des données. Les déclarations du milliardaire sur la technologie utilisée ne donnent pas confiance dans la robustesse du système de chiffrement.

Comme souvent, c’est par un tweet qu’Elon Musk a annoncé dimanche l’arrivée d’une nouvelle fonctionnalité dans la galaxie de son entreprise de réseaux sociaux X : XChat. Plus que le remplacement du système de direct message (DM) de X, ce nouveau service est présenté comme une messagerie personnelle plus complète. Elon Musk a ajouté qu’il serait possible de passer des appels audio et vidéo avec cette nouvelle messagerie sans numéro de téléphone. Petit à petit, les utilisateurs abonnés du réseau social voient le nouvel onglet « chat » apparaitre sur la barre de navigation de X.

New Feature Alert!
X now has a Chat tab (Beta) – and it’s rolling out!
Encrypted messages
Strong privacy
Passcode protection pic.twitter.com/dw6jnhMaYz

— Jonah Manzano (@jonah_manzano) May 29, 2025

Passons sur le fait qu’un client de messagerie du même nom basé sur IRC a déjà existé. Celui-ci n’est plus mis à jour depuis 2010.

Ce message du CEO de X est arrivé quelques jours après que l’entreprise a annoncé la mise sur pause du service de chiffrement qu’elle avait mis en place pour les utilisateurs abonnés.

La longue et laborieuse mise en place du chiffrement dans les DM de X

En effet, en 2023, l’entreprise avait déjà mis en place une solution de chiffrement des messages privés. Mais très rapidement, celui-ci avait été critiqué. Wired expliquait qu’il était « nettement inférieur » à ceux de Signal et de WhatsApp. Après avoir affirmé utiliser un chiffrement de bout-en-bout, l’entreprise était revenue sur ses pas.

Le chercheur Matthew Green affirmait qu’il n’y avait pas de comparaison possible avec les messageries qui utilisent le protocole de Signal. Mais il ajoutait : « d’un point de vue positif, il s’agit d’un premier pas, et peut-être que les choses s’amélioreront ».

Des déclarations qui ne rassurent pas

Mais les premières déclarations d’Elon Musk ne permettent pas de rassurer sur ce point, concernant son nouveau système. En effet, il a affirmé que XChat « était développé avec Rust avec un chiffrement (de type Bitcoin), une toute nouvelle architecture ».

Comme l’a rapidement fait remarquer le chercheur de l’Université du Maryland, Ian Miers, cette déclaration n’est pas une description d’un système de chiffrement. Si la blockchain utilise de la cryptographie, ce n’est pas pour chiffrer des messages mais pour signer des transactions. Et les deux fonctionnalités n’ont rien à voir. De même, utiliser le langage Rust pour écrire tout ou partie d’une application ne certifie pas de la sécurité des données manipulées. « Cela revient à dire qu’on a décidé de faire fonctionner notre fusée à l’eau, puisque la NASA utilise de l’hydrogène et de l’oxygène », résume Ian Miers.

The Register a remarqué que la page d’aide en anglais fournie par X a été mise à jour (contrairement à la version francophone) et précise désormais que « la dernière version de X comprend une version bêta de la nouvelle fonction de messagerie directe (« Chat »). Lors de la première utilisation de la fonction Chat, une paire de clés privée-publique spécifique à chaque utilisateur est créée ».

Mais X y a laissé la phrase suivante : « Actuellement, nous n’offrons pas de protection contre les attaques de type « man-in-the-middle » ». Et l’entreprise commente : « par conséquent, si quelqu’un – un initié malveillant ou X lui-même à la suite d’un processus juridique obligatoire – compromettait une conversation chiffrée, ni l’expéditeur ni le destinataire ne le sauraient ».

« XChat semble n’être qu’une autre plateforme centralisée où les utilisateurs n’ont aucun contrôle sur leurs données », pour Matthew Hodgson, le co-créateur de la messagerie chiffrée Element (qui utilise le protocole Matrix), interrogé par The Register.

Hodgson ajoute  : « Elon Musk affirme qu’il est « chiffré », mais n’offre aucune transparence technique, aucun audit, aucune source, juste de vagues références à une architecture de type bitcoin ».

X n’a semble-t-il pas prévu pour l’instant d’application indépendante à son réseau social : il faudra donc en être un utilisateur pour utiliser XChat. C’est cohérent avec la vieille volonté d’Elon Musk de bâtir une application pour tout faire. On peut toutefois imaginer que cette stratégie évolue, de la même façon que Meta a, petit à petit, séparé Messenger de Facebook.

Fear the walking thread

Microsoft a annoncé le renforcement de son programme de cybersécurité pour l’Europe. Conçu pour les gouvernements, leurs agences et les forces de l’ordre, l’entreprise veut devenir la championne de la défense cyber sur le Vieux continent avec un programme présenté comme gratuit. Il comprend notamment une intensification des informations transmises.

Microsoft est en pleine opération séduction avec l’Europe. On l’a vu récemment, l’entreprise adopte une attitude plus proactive que ses concurrentes face au DMA. Le 30 avril, elle avait également annoncé un renforcement des capacités de ses datacenters en Europe, à hauteur de 40 % sur les deux prochaines années. L’occasion pour la société de reparler de son offre Cloud for Sovereignty, qui a permis notamment la naissance de Bleu, en partenariat avec Capgemini et Orange.

Elle annonçait également plusieurs engagements, souhaitant – bien sûr – participer activement au développement de l’écosystème IA. On pouvait lire que la vie privée des européens continuerait d’être préservée (et que le Cloud Act, créé en partie pour répondre à la résistance de Microsoft, était une avancée), que la compétitivité européenne serait renforcée et que les efforts en cybersécurité seraient intensifiés.

Et justement, Microsoft a annoncé hier soir du neuf dans ce domaine. Pour l’éditeur, l’Europe a besoin de son aide : non seulement l’intelligence artificielle rebat les cartes de la cybersécurité, mais plusieurs pays – Russie, Chine, Iran et Corée du Nord – intensifient leurs attaques via des groupes malveillants qu’ils soutiennent directement.

Allez-y, c’est gratuit

L’European Security Program (ESP) est présenté comme gratuit et conçu pour les 27 pays membres de l’Union européenne, ainsi qu’aux pays candidats, aux membres de l’European Free Trade Association, au Royaume-Uni, à Monaco et au Vatican.

Le programme a été présenté par Brad Smith, vice-président de Microsoft (et ancien directeur juridique), hier à Berlin. L’ESP se veut une concrétisation des annonces d’il y a un mois, qui étaient autant d’engagements pris devant la Commission européenne. Point fort du programme évidemment, sa gratuité, à laquelle s’ajoute son agnosticisme technique. En clair, le programme n’est pas dépendant d’une infrastructure existante et ne réclame pas un parc Windows.

L’IA au cœur du processus

Une grande partie de l’argumentaire est centrée sur l’IA. Elle est d’abord présentée comme un accélérateur des menaces, puisqu’elle permet d’automatiser nombre d’actions. En outre, elle sert à l’ingénierie sociale par ses capacités de manipulation du texte et de l’audio. Et si les vidéos peuvent encore faire l’objet d’une analyse simple, les progrès rapides finiront par gommer cet écart, comme le montrent déjà les capacités de Veo 3 chez Google.

« Microsoft a observé l’utilisation de l’IA par les acteurs malveillants pour la reconnaissance, la recherche de vulnérabilités, la traduction, les techniques de commandement opérationnel définies par le LLM, le développement de ressources, les techniques de script, l’évasion de la détection, l’ingénierie sociale et les attaques par force brute », ajoute Microsoft.

Mais la même IA sert aussi à la défense. Il « suffit », selon Brad Smith, que les progrès en défense soient plus rapides que ceux en attaque. Grâce à l’IA, les outils de l’entreprise sont ainsi en mesure de repérer plus rapidement les comportements suspects. Ce n’est pas une nouveauté en soi, puisque l’IA générative est particulièrement douée pour trouver des corrélations entre des données.

C’est ce que propose Microsoft. Puisque l’entreprise, via sa présence dans le cloud, dispose d’une bonne connaissance en cybersécurité, elle analyse constamment des menaces et fournit des rapports. Ces derniers vont ainsi alimenter un flux renforcé de renseignements destinés aux gouvernements, leurs agences et les forces de l’ordre. Microsoft parle de transmissions en quasi temps réel et d’alertes sur des vulnérabilités critiques.

Peur sur l’Europe

Une partie de la communication de Microsoft fait la part belle à la peur. Quatre pays sont particulièrement visés par l’entreprise : la Russie, la Chine, l’Iran et la Corée du Nord, qu’elle nomme en interne respectivement Blizzard, Typhoon, Sandstorm et Sleet. À l’automne dernier, Microsoft a par exemple lancé une opération contre le groupe malveillant Star Blizzard, donc rattaché à la Russie. L’entreprise a récemment expliqué comment elle attribuait des noms de phénomènes météo aux menaces cyber.

Microsoft fournit également une carte d’Europe et des régions voisines montrant le degré d’implication des quatre pays nommés dans les attaques cyber. En France par exemple, on peut voir que la Chine représente à elle seule plus de la moitié des menaces, la Russie venant en deuxième. Ces camemberts peuvent varier fortement d’un État membre à un autre. Au Portugal, l’Iran prend la première place, devant la Russie, la Chine ne jouant a priori qu’un petit rôle. En Ukraine, sans surprise, la Russie est derrière l’écrasante majorité des attaques.

Les objectifs recherchés varient aussi. La Russie mène ainsi en majorité des opérations de perturbation contre l’Ukraine et les pays la soutenant. La Chine est davantage tournée vers le vol d’informations, notamment dans la recherche et le renseignement géopolitique. L’Iran et la Corée du Nord sont intéressés également par le renseignement au sens large, mais la seconde a fortes motivations financières, les cryptoactifs étant l’une de ses cibles préférées.

Les bonnes grâces de l’Europe

Microsoft semble adopter une attitude aux antipodes d’Apple, qui ne cesse de fustiger le Vieux continent et ses législations considérées comme trop lourdes, particulièrement le DMA. La firme de Redmond préfère présenter un visage avenant, avec des informations données a priori gratuitement. « Dans le cadre du programme européen de sécurité, nous investissons des ressources supplémentaires pour poursuivre notre travail avec les gouvernements européens, la société civile et les innovateurs afin de renforcer les capacités locales et d’établir une résilience à long terme », indique ainsi Microsoft.

Cette volonté se traduit par plusieurs actions concrètes. Le lien avec Europol est par exemple renforcé. Microsoft va envoyer des enquêteurs de sa propre Digital Crime Unit (DCU) au siège du Centre européen de lutte contre la cybercriminalité (EC3) à La Haye pour « améliorer le partage de renseignements et la coordination opérationnelle ». La société vient également de renouveler pour trois ans son partenariat avec le CyberPeace Institute, lui allouant une centaine d’employés pour l’aider dans son travail de pistage des malwares.

Microsoft dit en outre « défendre fermement l’Ukraine », l’affirmation ayant une dimension politique claire. Elle annonce dans cette optique un partenariat avec le Western Balkans Cyber Capacity Centre (WB3C) pour renforcer la cybersécurité dans les pays limitrophes de l’Union, région que l’entreprise décrit comme « géopolitiquement sensible et numériquement sous-équipée ». Elle rappelle également son programme GitHub Secure Open Source Fund, qui veut soutenir « les projets open-source qui sous-tendent la chaîne d’approvisionnement numérique, catalysent l’innovation et sont essentiels à la pile d’IA ». Enfin, à propos de l’IA, Microsoft dit soutenir le vivier de talents en Europe pour la cybersécurité. Comment ? Avec ses propres produits, surtout Azure et Copilot.

Les intentions de Microsoft sont claires : montrer patte blanche et devenir progressivement un acteur incontournable de la cybersécurité européenne. L’entreprise étant partie avec de l’avance sur l’IA grâce à son partenariat avec OpenAI, elle dispose aujourd’hui d’une offre souvent considérée comme plus mature. Et à travers un flux d’informations gratuites et potentiellement cruciales, la firme américaine devrait s’assurer quelques nouveaux contrats en Europe. En France, c’était déjà le cas ces derniers mois.

L’enquête relative à la façon dont Microsoft met Bing à disposition d’éditeurs de moteurs de recherche tiers ne va manifestement pas assez vite au goût de Qwant : d’après Reuters, la société française a formellement demandé à l’Autorité de la concurrence qu’elle prononce des mesures provisoires à l’encontre de l’éditeur américain, en attendant que l’affaire soit arbitrée sur le fond.

Cette requête intervient dans le cadre d’une enquête préalable diligentée par le régulateur en février dernier. L’Autorité de la concurrence cherche notamment à déterminer si Microsoft ne dégrade pas intentionnellement la qualité des résultats de recherche transmis à ses clients tiers, au profit de son propre moteur de recherche. Et c’est au terme de cette enquête préalable qu’elle devrait décider s’il y a lieu, ou non, d’ouvrir une procédure formelle.

Interrogée par nos soins, l’entreprise française indique ne pas vouloir commenter. Microsoft a de son côté répondu à Reuters, en affirmant que la plainte était infondée, et que l’éditeur coopérait pleinement avec le régulateur.

Rappelons que si Google est le leader incontesté de la recherche en France, Microsoft occupe avec Bing une posture de numéro un sur le marché, plus spécifique, de la fourniture d’index à des moteurs de recherche tiers.

Bien que Qwant avance, avec Ecosia, sur son projet d’index de recherche européen, le moteur français dépend encore aujourd’hui largement de Bing et des outils publicitaires de Microsoft pour son fonctionnement.

Qwant teste par ailleurs depuis le mois d’avril Qwant Next, un nouveau service de recherche basé sur l’IA générative.

Le « vibe coding » désigne la pratique de développement qui consiste à confier majoritairement à une IA générative l’écriture du code. Elle est au cœur de produits comme WindSurf et Cursor, des assistants comme Copilot et Duo ou encore des outils lancés par les entreprises spécialisées dans l’IA comme Claude Code chez Anthropic.

• Code par IA : Windsurf privé d’accès aux API d’Anthropic
• Builder.ai fait faillite après avoir trompé ses investisseurs

L’arène accueille désormais un nouveau compétiteur : Mistral. Dans un billet publié hier, la société française annonce Mistral Code, équivalent maison de Claude Code, avec des capacités équivalentes dans les grandes lignes.

Mistral Code, disponible uniquement sous forme de bêta privée pour l’instant, peut s’utiliser seul ou s’intégrer dans Visual Studio Code et JetBrains. Mistral présente sa solution comme complète et pouvant répondre aux obstacles habituellement rencontrés par les entreprises. Codestral est utilisé pour le remplissage et l’autocomplétion, Codestral Embed pour la recherche et l’extraction de code, Devstral pour tout ce qui touche aux agents et Mistral Medium pour l’assistance par chat.

« Mistral Code maîtrise plus de 80 langages de programmation et peut raisonner sur des fichiers, des différences Git, des sorties de terminal et des problèmes. Nous testons actuellement le produit pour aider les ingénieurs à aller au-delà de l’assistance et des suggestions de codage pour compléter des tickets complets : ouverture de fichiers, écriture de nouveaux modules, mise à jour de tests et même exécution de commandes shell, le tout dans le cadre de flux de travail d’approbation configurables afin que les ingénieurs seniors gardent le contrôle », indique Mistral dans son billet.

La société n’est pas peu fière d’annoncer que plusieurs grosses entreprises ont déjà validé le produit. La banque espagnole Abanca l’utilise déjà en production pour la création de prototypes dans le cloud. La SNCF dote actuellement ses 4 000 développeurs de la version Serverless de Mistral Code, et Capgemini va en équiper 1 500 pour le développement de projets clients.

Mistral précise que son client est un fork d’une application open source existante, Continue. Quand la version finale sera en ligne, la société commencera à reverser les améliorations apportées au dépôt GitHub associé.

Point de Contact, #StopFisha et Féministes contre le cyberharcèlement lancent une enquête nationale pour cartographier les cyberviolences sexistes et sexuelles.

Si la question initiale du questionnaire évoque tous types de victimes de violences numériques — les exemples donnés comprennent les menaces, l’escroquerie, le piratage, etc. —, le reste de l’enquête est plus directement axé sur les enjeux de diffusions non consenties de contenus sexuels et intimes.

L’enquête vise aussi bien à recueillir les témoignages de victimes, de leur entourage que de témoins de ces violences.


Parmi les buts que les trois associations exposent dans leur communiqué : établir un panorama des victimes comme des auteurs et autrices de ce type de violence, comprendre les circonstances et contexte dans lesquelles elles sont produites, sensibiliser le public et les potentiels témoins, et faire émerger des recommandations concrètes pour mieux lutter contre le phénomène.

• Européennes : mobilisation contre les violences numériques de genre

Au fil des questions, les associations profitent de leur formulaire pour rappeler les définitions de diverses violences numériques et la manière dont elles sont encadrées par la loi.

Plusieurs médias indépendants s’associent pour élaborer une offre d’abonnement commune, et groupée : lancée d’ici la fin de l’année sous l’étiquette La Presse Libre, elle permettra de lire, en échange d’un forfait fixe, les informations et contenus d’une dizaine de titres partageant des valeurs journalistiques communes.

Les fidèles lecteurs de Next se souviennent certainement du lancement, en 2016, de La Presse Libre, qui réunissait plusieurs médias autour d’une logique d’abonnement couplé, avec des tarifs dégressifs en fonction du nombre de titres souscrits.

Le projet, élaboré et porté pendant des années par David Legrand, avait reçu un accueil positif, mais le temps et les ressources ont manqué pour réaliser les nombreux chantiers nécessaires à son évolution, conduisant à sa fermeture en 2022.

Quelques années plus tard, les médias indépendants ont encore et toujours besoin de se rassembler pour faire entendre leur voix, développer leur lectorat et in fine assurer leur pérennité.

Le besoin se fait même nécessité. D’abord, face à la dépendance aux modèles publicitaires, qui entraîne de nombreux médias à conditionner leur développement aux exigences d’acteurs commerciaux tels qu’Amazon, Google ou Meta, sans même parler d’X, OpenAI et consorts…

Ensuite, devant la concentration d’un nombre toujours plus important de titres entre de mêmes mains, qui entraîne mécaniquement un risque de réduction de la diversité des sources et des points de vue, là où nous avons collectivement besoin d’un éventail aussi large que possible.

Revoilà donc La Presse Libre (et non la sous-préfète), sous la forme d’une nouvelle initiative. Plus ambitieuse. Mieux structurée aussi. Avec une promesse claire, incarnée par un forfait unique, permettant d’accéder à l’intégralité des contenus d’une dizaine de médias partenaires. Le tout doublé d’un portail commun, chargé d’exposer cette pluralité d’informations, d’analyses et d’enquêtes.

Bâtir une telle offre n’a rien d’une sinécure : il faut trouver une ligne directrice, imaginer des clés de répartition, trouver une mécanique de solidarité entre médias d’audiences et de surfaces financières différentes, et bien d’autres sujets encore, avant même de trancher les aspects techniques et lancer les développements nécessaires.

Plus encore qu’en 2016, il nous semble cependant que le jeu en vaut la chandelle, et des auspices favorables accompagnent déjà cette nouvelle Presse Libre. Le Fonds pour une presse libre (FPL), créé par Mediapart, vient par exemple d’accorder au projet une avance remboursable d’un montant record de 60 000 euros, au titre de ses aides financières au journalisme indépendant.

Un discret sondage mené auprès d’un échantillon de la communauté des lecteurs de Next nous a par ailleurs confirmé qu’une résurgence de La Presse Libre serait accueillie très favorablement.

Le travail a donc déjà commencé, au sein d’une association de préfiguration qui, outre Next, réunit six autres médias fondateurs : Arrêt sur images, Politis, Mediacités, Hors-série, Reflets et Les Jours.

En attendant le lancement, suivez les coulisses du projet et inscrivez-vous à sa newsletter sur le site dédié. On en reparlera !

Vases communicants

Depuis quelques heures, trois sites pornographiques parmi les plus importants – Pornhub, Redtube et Youporn – affichent désormais le même message : leur accès est suspendu en France. Leur éditeur, Aylo, a pris cette décision pour protester contre la vérification d’âge obligatoire sur les sites pour adulte.

C’est donc fait. La loi du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique, dite SREN, a permis à l’Arcom de déclarer la guerre aux sites pornographiques ne disposant d’aucun mécanisme pour contrôler l’âge des internautes. Comme le rappelait encore hier l’Autorité, laisser du contenu pornographique accessible aux mineurs est une infraction pénale (article 227 - 24 du Code pénal). Or, toujours selon l’Arcom, plus d’un tiers des adolescents de 12 à 17 ans visite au moins une fois par mois Pornhub.

La situation couvait depuis des années

L’autorité est devenue l’institution clé pour appliquer cette réglementation. À ce titre, elle peut intervenir directement auprès des plateformes et émettre des mises en demeure pour les sites ne respectant pas cette obligation. Au cours des derniers mois, celle-ci est devenue plus prégnante. Le 6 mars dernier, un arrêté ministériel a ainsi désigné 17 sites européens comme étant en infraction, dont ceux d’Aylo.

Le sujet de la vérification est revenu régulièrement sur la table ces dernières années. En 2022, une étude avait conclu que la vérification de l’âge à grande échelle était complexe. Pourtant, l’Arcom estime aujourd’hui que des solutions existent et qu’elles sont simples à mettre en place. La plupart des sites aurait aujourd’hui un tel mécanisme.

Mais Aylo, éditeur de Pornhub, Redtube et Youporn, est depuis le départ vent debout contre cette mesure. Le groupe peste et fustige contre cette obligation, arguant de sérieux problèmes de vie privée à résoudre, puisque les prestataires se retrouveraient avec de nombreuses informations identifiantes sur les internautes fréquentant ces sites pour adultes. Pourtant, dans sa délibération du 26 septembre 2024 (pdf), la CNIL se félicitait que toutes ses préconisations aient été prises en compte dans l’élaboration du référentiel pour les tiers de confiance, acteurs dont la mission est de collecter la preuve de l’âge et de transmettre une simple confirmation au site visité. La CNIL validait notamment le principe de « double anonymat ».

Aylo suspend de lui-même ses sites

Depuis le 11 avril, tout s’est emballé. La date a marqué la fin d’une période de grâce durant laquelle les sites devaient se mettre en conformité. Depuis, tous les sites pour adultes ont l’obligation de mettre en place ce système de double anonymat, comme l’a par exemple fait OnlyFans. Pourtant, début mai, la Cour d’appel de Paris remettait en question l’application extraterritoriale du droit français à des sites installés ailleurs en Europe, en l’occurrence xHamster et Tukif.

Aylo, éditeur installé à Montréal, n’a pas voulu attendre la date butoir du 6 juin. Depuis mercredi 4 juin, peu avant 15 heures, ses principaux sites Pornhub, Redtube et Youporn sont inaccessibles en France. Les trois sites affichent le même message. « Votre gouvernement propose de vérifier votre âge à chaque fois que vous visitez notre site, c’est fou, non ? Cela ne protège pas les mineurs — mais au contraire, cela met en danger la vie privée de tout le monde et expose les enfants à des risques », fustige Aylo.

L’éditeur met en garde contre le « risque de sécurité inacceptable » que ferait courir l’application du droit français, en voulant concentrer des informations sensibles entre les mains de quelques acteurs. « Votre gouvernement ne vous dira pas la vérité à ce sujet, mais nous le ferons », proclame Aylo.

Une solution « inefficace, aléatoire et dangereuse »

Le message, porté depuis dans un communiqué de presse, met surtout en avant deux arguments. D’une part, l’éditeur pointe la vérification de l’âge au niveau de l’appareil comme solution simple et ultime. Il suffirait d’imposer à Microsoft, Apple et Google que cette fonction soit présente au sein de leurs systèmes d’exploitation pour que les sites puissent récupérer un sésame. « Le gouvernement français refuse de prendre cette mesure simple et se concentre plutôt sur des actions réglementaires futiles et entièrement symboliques qui sont inapplicables, ne protègent pas les enfants et exposent vos données privées », ajoute Aylo.

D’autre part, « les gens ne cesseront pas de chercher du porno ». Pour l’éditeur, ils se dirigeront simplement vers des « centaines de milliers de plateformes peu sûres », qui ne se conforment pas davantage à la loi et n’ont aucune politique de confiance et de sécurité pour les informations collectées. Selon Aylo, « toutes les données indiquent que ces lois n’ont fait que détourner le trafic vers des sites web dangereux ».

La méthode française est donc jugée « inefficace, aléatoire et dangereuse ». On ajoutera que les blocages étant basés sur les DNS, leur contournement est aisé. Rappelons qu’aux États-Unis, des chiffres montraient en janvier que les États imposant des restrictions sur le porno avaient vu une explosion des téléchargements de VPN.

L’Arcom, de son côté, indique simplement avoir pris « acte de la décision du groupe Aylo ». L’éditeur aurait ainsi « fait le choix de se soustraire à l’impératif que constitue la protection des mineurs en suspendant l’accès à ses contenus en France y compris pour un public majeur, alors qu’il existe de nombreuses solutions techniques sur le marché permettant de vérifier l’âge des utilisateurs tout en assurant la protection de leurs données personnelles ».

Rappelons enfin que la Commission européenne a déclenché sa propre procédure contre plusieurs sites pornographiques, dont Pornhub. Elle leur reproche une absence de conformité avec le DSA dans le cadre de la lutte contre l’accès aux mineurs des contenus pornographique. En outre, l’Europe table sur une solution harmonisée de vérification de l’âge, qui a été confiée à l’Espagne.

Visé par plusieurs mandats d’arrêts internationaux, Badiss Mohammed Bajjou, 24 ans, a été interpellé au Maroc ce 3 juin, d’après les informations du Parisien.

Originaire du Chesnay, dans les Yvelines, le jeune homme est suspecté d’avoir commandité l’agression commise le 20 juillet 2023 contre une femme de 56 ans, à Élancourt, afin que son fils paie une rançon en cryptomonnaie.

Depuis ce premier coup réussi, il aurait orchestré l’enlèvement spectaculaire de David Balland, cofondateur de Ledger, en janvier.

Les ravisseurs avaient sectionné un doigt de l’entrepreneur pour augmenter la pression sur ses proches et obtenir une rançon.

La justice explore par ailleurs les liens de Badiss Mohammed Bajjou avec les enlèvements et tentatives d’enlèvements des dernières semaines. L’un a conduit à une nouvelle mutilation de victime. Le second, qui visait la fille d’un entrepreneur du monde des cryptoactifs, a échoué.

Pour la justice française, l’arrestation de Badiss Mohammed Bajjou est une première étape pour endiguer ce phénomène de « cryptorapts ».

Le suspect semble toutefois avoir profité de sa présence au Maroc pour obtenir la double nationalité marocaine. Or, le pays n’extrade pas ses ressortissants.

Couic couic

Windsurf, éditeur d’un environnement de développement intégré copieusement dopé à l’IA, est dans la panade : Anthropic lui a coupé l’accès à ses modèles Claude. Windsurf avertit actuellement sa clientèle d’une cassure dans leur utilisation. Si Anthropic ne s’est pas encore exprimée sur le sujet, certains éléments pointent vers une mesure de riposte.

Windsurf est un IDE populaire. L’ancien Codeium s’est largement recentré sur le développement assisté par l’IA générative, plus particulièrement les agents. Ce virage a permis à l’environnement de se faire un nouveau nom, face à des ténors comme Visual Studio Code et JetBrains. Sur ce créneau, il est un concurrent direct d’un autre IDE populaire en ce moment, Cursor (édité par Anysphere).

• C’est quoi l’IA agentique ?

Le fonctionnement de Windsurf dépend étroitement des modèles choisis pour l’inférence, autrement dit la phase de « réflexion ». Dans le domaine du développement, les modèles d’Anthropic sont particulièrement appréciés et Windsurf dispose d’accès aux API correspondantes pour transférer les requêtes.

Mais cette nuit, coup de tonnerre. Dans un tweet publié vers 1 h du matin, le CEO de Windsurf, Varun Mohan, prévient d’une catastrophe : « Avec moins de cinq jours de préavis, Anthropic a décidé de couper la quasi-totalité de sa capacité de première partie pour tous les modèles Claude 3.x ».

Deux mois intenses

Pour comprendre la situation actuelle, il faut se plonger dans le contexte bouillonnant des derniers mois. Mi-avril, CNBC indiquait ainsi qu’OpenAI s’intéressait vivement aux entreprises éditant ce type d’IDE. Selon nos confrères, l’entreprise de Sam Altman aurait approché une vingtaine de sociétés, dont Anysphere et son Cursor. La startup aurait décliné, portée par une envolée du chiffre d’affaires et une volonté farouche de rester indépendante. Selon Bloomberg, Anysphere chercherait à faire relever sa valorisation à 10 milliards de dollars.

En revanche, les discussions avec Windsurf auraient été plus productives. À la même période, Bloomberg rapportait ainsi que les échanges avec OpenAI avaient conduit à une offre de 3 milliards de dollars. Bien qu’aucune des deux entreprises n’ait confirmé depuis, la rumeur est tenace et Windsurf pourrait donc intégrer l’un des plus gros acteurs de l’IA générative, dont Anthropic est bien sûr concurrente.

Depuis, la situation s’est accélérée. En mai, Anthropic a tenu sa première conférence dédiée aux développeurs. Baptisée « Code with Claude », elle a été le théâtre de deux grandes annonces. D’une part, la présentation de la nouvelle famille Claude 4, dont le nouveau Sonnet et la nouvelle grande star de l’entreprise, Opus. D’autre part, la disponibilité en version finale de Claude Code, la propre application maison d’Anthropic pour l’aide active au développement.

Enfin, toujours à la mi-mai, Windsurf a annoncé sa propre famille de modèles. Nommée SWE-1, elle comprenait surtout la version principale, directement comparée à Claude 3.5 Sonnet, aux performances similaires mais moins chère.

Claude 4 : le coup de semonce

Windsurf pouvait se douter que quelque chose clochait. Comme elle l’indique elle-même dans le communiqué publié cette nuit, l’annonce des modèles Claude 4 s’était accompagnée d’un silence glacial d’Anthropic. Aucune clé n’a été attribuée à Windsurf, qui a alors choisi de contourner ce blocage, au prix d’un accès plus onéreux pour les utilisateurs.

Cette nuit, c’est la totalité des accès aux API d’Anthropic qui a été supprimée. Dans son tweet, Varun Mohan indique que le délai fixé par Anthropic est très court : cinq jours. Le CEO indique que face « à la brièveté du préavis », Windsurf a augmenté en urgence la capacité pour les autres fournisseurs, mais qu’il faut s’attendre rapidement à des problèmes de disponibilité pour tous les modèles Claude 3.X.

En outre, et comme indiqué par le communiqué, Windsurf met en place un tarif promotionnel (- 25 %) pour Gemini 2.5 Pro de Google, lui aussi très à l’aise en développement. Parallèlement, l’accès aux modèles Claude 3.X est supprimé pour les comptes gratuits. Enfin, l’accès à Claude Sonnet 4 reste possible quand la clé est apportée par le client.

Une décision stratégique ?

« Nous avons clairement indiqué à l’équipe d’Anthropic que notre priorité était de conserver les modèles Anthropic comme modèles recommandés, et nous avons toujours été prêts à payer pour la capacité. Nous continuerons à travailler pour trouver de la capacité auprès d’autres fournisseurs parce que nous ne nous soucions que du produit et de nos utilisateurs », indique le communiqué de Windsurf. L’entreprise dit craindre également que le comportement d’Anthropic « porte préjudice à de nombreux acteurs du secteur ».

L’entreprise est donc prête à payer, mais Anthropic fait pour l’instant la sourde oreille. À l’heure actuelle, cette dernière ne semble s’être exprimée qu’auprès de TechCrunch, de manière minimale.

« Nous donnons la priorité à des partenariats durables qui nous permettent de servir efficacement la communauté des développeurs. Les développeurs peuvent également accéder à Claude via notre intégration API directe, notre écosystème de partenaires et d’autres outils de développement », a ainsi déclaré un porte-parole à nos confrères.

La décision d’Anthropic semble stratégique. Il pourrait s’agir d’une mesure de représailles après le faisceau d’annonces laissés par Windsurf au cours des deux derniers mois. Anthropic pourrait avoir été échaudé par le lancement des modèles SWE-1, directement comparés aux siens, et les puissantes rumeurs du rachat par OpenAI. De plus, avec le lancement de Claude Code, les deux éditeurs sont devenus des concurrents.

Pwned

Des chercheurs ont découvert que les applications de Meta et Yandex, souvent déjà installées, traquaient les activités des utilisateurs d’Android sur n’importe quel navigateur. Ce système leur permettait de désanonymiser les données récoltées via leurs traqueurs web (Meta Pixel et Yandex Metrica).

Meta et Yandex ont contourné les protections de sécurité et de respect de la vie privée d’Android pour désanonymiser les informations récoltées via leur système de tracking sur le web, ont découvert le chercheur Narseo Vallina-Rodriguez et ses collègues. Ceux-ci ont publié le détail de leurs observations directement sur un site GitHub.

S’ils ont observé ce mécanisme sur Android, ils expliquent n’avoir rien trouvé sur iOS. Mais ils ajoutent : « cela dit, un partage de données similaire entre les navigateurs iOS et les applications natives est techniquement possible ».

Les deux entreprises ont mis en place depuis longtemps des systèmes qui permettent de récolter des informations sur les visiteurs de sites web : Yandex Metrica et Meta Pixel. L’entreprise russe présente son outil aux responsables de sites comme un moyen de récupérer « toutes les informations que vous avez toujours voulu connaître sur votre site web ». De son côté, l’entreprise étasunienne les pousse à ajouter « un morceau de code à votre site web, qui vous permet de mesurer, d’optimiser et de créer des audiences pour vos campagnes publicitaires ». Mais ces quelques lignes de JavaScript ajoutées sur un bon nombre de sites web permettaient aussi à ces entreprises de récupérer des données sur les utilisateurs de leurs services sur Android.

Envoi d’informations via le serveur local

En effet, les chercheurs ont découvert que les applications de Meta (Facebook, Instagram) et celles de Yandex (dont l’appli de navigation et le navigateur) recevaient « les métadonnées, les cookies et les commandes des navigateurs » via Yandex Metrica et Meta Pixel.

Ces traqueurs récupèrent ces informations au gré de l’utilisation de n’importe quel navigateur installé sur le smartphone. Mais ils se connectaient également en silence avec ces applications via une connexion interne au téléphone (socket localhost) utilisant des ports UDP et TCP locaux au smartphone.

Les chercheurs observent qu’Android permet à toute application installée disposant d’une autorisation d’accès à internet d’ouvrir un socket qui écoute sur l’adresse locale (127.0.0.1, localhost) de l’appareil.

« Cela permet au JavaScript intégré dans les pages web de communiquer avec les applications Android natives et de partager les identifiants et les habitudes de navigation, en établissant un pont entre les identifiants web éphémères et les identifiants d’applications mobiles à long terme à l’aide d’API web standard », expliquent-ils.

« Puisque les applications natives accèdent par programmation aux identifiants des appareils tels que l’Android Advertising ID (AAID) ou gèrent l’identité des utilisateurs comme dans le cas des applications Meta, cette méthode permet effectivement à ces organisations de relier les sessions de navigation mobile et les cookies web aux identités des utilisateurs, et donc de désanonymiser les utilisateurs qui visitent des sites intégrant leurs scripts », ajoutent les chercheurs.

Un système mis en place depuis 2017 par Yandex et depuis quelques mois par Meta

Selon eux, Yandex avait mis en place ce système depuis 2017. Du côté de Meta, cette désanonymisation des données de son traqueur date « seulement » de septembre 2024.

Ils constatent que cette méthode met en échec « l’isolation inter-processus d’Android et ses protections de suivi basées sur le partitionnement, le sandboxing ou l’effacement de l’état côté client ».

Pris les doigts dans le pot de confiture, Meta et Yandex mettent sur pause

Interrogée par ArsTechnica, Google explique que ces comportements violent les conditions de service de Google Play et les attentes des utilisateurs d’Android en matière de protection de la vie privée. « Nous avons déjà mis en œuvre des changements pour atténuer ces techniques invasives, nous avons ouvert notre propre enquête et nous sommes directement en contact avec les parties », affirme un de ses représentants.

Meta n’a pas répondu aux questions de notre confrère, mais a assuré être en discussion avec Google « pour remédier à une éventuelle erreur de communication concernant l’application de leurs politiques ». L’entreprise ajoute avoir décidé de suspendre « cette fonctionnalité pendant que [elle travaille] avec Google pour résoudre le problème ».

Dans une mise à jour sur leur site, les chercheurs confirment que « le script Meta/Facebook Pixel n’envoie plus de paquets ou de requêtes à localhost. Le code responsable de l’envoi du cookie _fbp a été presque entièrement supprimé ».

Yandex affirme aussi à ArsTechnica avoir arrêté et être en contact avec Google. « Yandex respecte strictement les normes de protection des données et ne désanonymise pas les données des utilisateurs », jure l’entreprise. Elle ajoute que « la fonctionnalité en question ne collecte aucune information sensible et a pour seul but d’améliorer la personnalisation dans nos applications ».

Brave protégé, Microsoft ne répond pas, les autres patchent

Les chercheurs ont travaillé avec les équipes de plusieurs navigateurs (Chrome, Mozilla, DuckDuckGo, et Brave). Du côté de Brave, « les communications vers localhost requièrent le consentement de l’utilisateur depuis 2022 et une liste de blocage est en place », ce qui permet au navigateur de ne pas être affecté. DuckDuckGo utilise aussi une liste de blocage qu’il a dû mettre à jour pour parer le système mis en place par Yandex.

Firefox n’est touché que par la méthode de Yandex. Les chercheurs expliquent que la résolution est en cours, sans plus de détails. La version 137 de Chrome embarque des contre-mesures contre les méthodes de Meta et de Yandex qui semblent fonctionner, mais les chercheurs proposent une autre solution à plus long terme. Enfin, bien que le navigateur Edge de Microsoft soit touché par les deux méthodes, l’équipe de Narseo Vallina-Rodriguez n’a pas d’information sur d’éventuels patchs.

Concernant des implications légales sur la violation du consentement des utilisateurs, il semble que « ces pratiques ont pu être mises en œuvre sur des sites web sans formulaires de consentement explicites et appropriés pour les cookies ». « Si un site charge les scripts Facebook ou Yandex avant que l’utilisateur n’ait donné son accord pour les cookies appropriés, ce comportement se déclenchera quand même », estiment les chercheurs, tout en précisant que ceci ne se base que sur des résultats préliminaires.

En février, Adobe s’est essayé pour la troisième fois à une déclinaison mobile de Photoshop, d’abord sur iPhone. Contrairement aux deux tentatives précédentes, il ne s’agissait pas cette fois d’une variante tactile aux fonctions largement amputées, mais d’une application comme on pouvait l’attendre. Les fonctions étaient nombreuses – sans atteindre bien sûr leurs équivalentes pour ordinateurs – et on retrouvait toutes les capacités principales.

Une version pour Android est désormais disponible. Il s’agit pour l’instant d’une bêta, mais ce statut de préversion s’accompagne d’un avantage certain : tant que durent les tests, l’application est complètement gratuite. La version finale nécessitera un abonnement, comme sur iPhone.

Cette version Android ne contient pas toutes les fonctions, mais beaucoup sont déjà disponibles. On retrouve bien sûr les calques et masques. Tous les outils dopés à l’IA sont présents pour faciliter la sélection, la modification, le remplacement ou la suppression des éléments. On note aussi le pinceau de correction des taches, le remplissage génératif, les sélections précises via Sélection d’objet et Baguette magique, les modes de fusion, les clones ou encore les recadrages (mais uniquement en fonction du ratio pour l’instant).

On ne sait pas combien de temps durera la bêta, ni si des mises à jour seront proposées pour ajouter des fonctions avant la version finale. En revanche, on sait ce que l’application réclame : un appareil avec Android 11 au moins et un minimum de 6 Go de mémoire, même si Adobe précise que 8 Go sont recommandés. L’application elle-même a besoin de 600 Mo d’espace libre.

Enfin, cette version mobile de Photoshop est connectée et réclame un compte pour fonctionner.