Rouille, caisses et cargos

Microsoft a détaillé dans un article de blog comment des travaux en cours se dirigeaient vers le support du langage Rust dans les pilotes. L’entreprise prépare le terrain, mettant en place les premiers éléments. Selon elle, il s’agit d’une demande forte de l’industrie, mais ce n’est pas si simple.

Microsoft est fan du Rust. On le sait depuis plusieurs années, quand l’éditeur s’était largement penché sur les qualités du langage, et avant tout son typage fort. Microsoft avait vu le potentiel à l’utilisation, et on comprend pourquoi : bien que le Rust ne puisse garantir un code sans erreur, il élimine de manière inhérente de nombreuses classes de bugs liés à la mémoire. Par « bugs », Microsoft entend bien « failles de sécurité ». Un point relevé par de nombreuses structures, de l’ANSSI en France à la Maison-Blanche.

« Microsoft et l’industrie dans son ensemble ont adopté Rust comme un outil essentiel pour réduire les bugs, améliorer la sécurité et encourager une programmation sûre et maintenable. Avec ses garanties de compilation autour de la sécurité de la mémoire et une ergonomie forte, Rust est un outil puissant pour la programmation au niveau des systèmes », écrit ainsi Microsoft dans un billet publié hier soir.

En 2023, Windows 11 a été le premier système de l’entreprise à recevoir ses premières lignes de code en Rust dans le noyau. On ne sait pas si cette proportion a augmenté depuis, mais la firme se penche maintenant sur un autre domaine sensible : les pilotes. Et puisque 85 % (selon Microsoft) des écrans bleus proviennent de ces derniers et que 70 % des failles de sécurité sont liées à la mémoire, on comprend que l’éditeur soit intéressé par une hausse générale de la qualité.

Premières briques

Selon Microsoft, les développeurs sont « nombreux » à demander désormais la possibilité d’écrire leurs pilotes en Rust. Traditionnellement, ils sont écrits en C, et toute l’infrastructure de pilotes dans Windows tend vers ce langage. L’objectif, indique l’entreprise, est donc « de faire en sorte que les développeurs Rust puissent tirer parti des mêmes bibliothèques et en-têtes dans le WDK que les développeurs C ».

Ce n’est cependant pas simple, comme ce que l’on observe dans le noyau Linux depuis trois ans. Même quand la volonté est là, il s’agit d’un travail de longue haleine, car de nombreux éléments doivent être modifiés. Il faut notamment aménager le Windows Driver Kit (WDK).

Un dépôt GitHub a donc été mis en place pour montrer les avancées dans ce domaine. On y trouve actuellement une série de crates, c’est-à-dire des morceaux de code compilés. Par exemple, wdk-build, une bibliothèque permettant de configurer un script de construction Cargo (le gestionnaire de paquets de Rust) pour effectuer la liaison en aval du WDK et créer les liaisons Rust. Citons également wdk-sys pour la génération des liaisons FFI (Foreign Function Interface) aux API disponibles dans WDK, ou encore wdk-alloc, pour gérer l’allocation des pilotes.

Ces crates (littéralement « caisses » en anglais) permettent la construction de fichiers binaires valides aux formats WDM, KDMF et UMDF. Cela signifie que ces pilotes peuvent être chargés et exécutés dans un environnement Windows 11.

Réduire la proportion de code non sécurisé

Puisqu’il s’agit des premières briques, la solution actuelle n’est pas entièrement satisfaisante. L’infrastructure n’étant pas prête, le résultat final mélange du code sûr et du code non sécurisé. Des problématiques que l’on a déjà vues dans la bataille autour du Rust dans le noyau Linux. La solution est fonctionnelle, mais pas idéale. Rien n’empêche cependant ces pilotes de fonctionner pleinement, s’ils sont accompagnés des certificats requis.

Pour simplifier les démarches dans un environnement restant assez brut, Microsoft fournit également cargo-wdk. L’entreprise indique que les développeurs ont habituellement accès à des modèles Visual Studio pour faciliter la création de pilotes. Cargo-wdk est là pour compenser cette absence dans le cas du Rust : il crée des projets de pilotes vides avec tous les liens, étapes de construction et dépendances nécessaires préremplies.

Par exemple, la commande « cargo wdk new – kmdf » crée un modèle de pilote KMDF vide, tandis que « cargo wdk build » lance la construction et signale les erreurs rencontrées en appelant INFVerif. Dans le futur, cargo-wdk fournira les mêmes outils de génération et options de configuration que Visual Studio. À « moyen terme », il fournira par exemple l’installation automatique des dépendances (dont WDK lui-même), le support de NT_TARGET_VERSION, des modèles de pilotes supplémentaires, le support complet d’ARM64 ou encore le déploiement sur des machines de test.

Un long travail

Sans surprise, la prochaine grosse étape pour le projet est de pouvoir laisser les développeurs écrire l’intégralité du code des pilotes en langage sécurisé. « Bien que Rust non sécurisé offre toujours des avantages tels qu’une vérification de type forte, des abstractions à coût nul et une bonne compatibilité FFI, nous reconnaissons que de nombreux développeurs recherchent une expérience où la majorité du code du pilote peut être écrite en Rust sécurisé », écrit Microsoft.

Un travail est donc en cours au sein de l’équipe Windows Driver Kit pour créer les abstractions sûres nécessaires. Elles permettront d’exploiter un plus grand nombre d’aspects du langage et de réduire les blocs de code non sécurisés. Parallèlement, « d’autres équipes au sein de Microsoft travaillent au développement de structures et d’API sécurisées au-delà de WDF », à la fois pour les pilotes tiers et le noyau Windows. Une partie de ce travail est déjà présente dans le noyau de Windows 11.

Microsoft indique que le chemin sera long, en raison notamment « de la complexité et de la nature générique des API du noyau Windows ». Le travail en cours fait intervenir plusieurs équipes pour mutualiser les efforts et le code présent dans le dépôt GitHub évoluera. Ce qui explique d’ailleurs que la solution soit présentée de cette manière et pas publiée officiellement sur une page officielle : elle est considérée comme « solide » pour les besoins de l’équipe qui l’a développée, mais doit se frotter à une utilisation plus large. En outre, Microsoft reconnait qu’il existe de nombreux modèles de pilotes et de scénarios que Windows doit prendre en charge. Quand le projet approchera de sa finalisation, toutes les crates seront publiées sur crates.io.

Enfin, l’entreprise affirme « que les langages à mémoire sécurisée tels que Rust représentent l’avenir de l’ingénierie logicielle sécurisée ». Dans les mois qui viennent, Microsoft publiera des informations sur les meilleures pratiques autour de Rust pour les pilotes, permettra la soumission de ces derniers à WHCP (Windows Hardware Compatibility Program), ainsi que l’analyse statique par CodeQL.

Google, Microsoft et OpenAI, Meta, X… Certaines des plus grandes sociétés numériques de la planète ont commis le « plus grand vol de propriété intellectuelle de l’histoire », évalue le directeur général de la Confédération internationale des éditeurs de musique (ICMP).

Pendant deux ans, cet organisme représentant l’ensemble des majors, 76 associations commerciales et des milliers de labels indépendants s’est attelé à l’analyse de bases d’entraînement de systèmes d’IA en open source, de registres commerciaux, de travaux de recherches et d’experts et de documents ayant fuité. 
Elle a partagé les résultats de ces travaux auprès de Billboard, démontrant le recours de morceaux des Beatles, de Mariah Carey, de The Weeknd, Beyoncé, Ed Sheeran ou encore Bob Dylan.

Outre fournir des preuves « exhaustives et claires » de l’utilisation non autorisée de musique et d’images pour entraîner les systèmes génératifs, cette enquête démontre également que l’ampleur de l’entraînement réalisé sur ces contenus est plus large qu’envisagé précédemment.

Parmi ses résultats, l’ICMP constate que les applications de création de musique Udio et Suno ont récupéré illégalement des morceaux sous propriété intellectuelle disponibles sur YouTube, ou encore que les modèle Llama de Meta, Claude d’Anthropic, Copilot (Microsoft) et Gemini (Google), DeepSeek de la société du même nom et l’application Jukebox d’Open AI avaient tous été entraînés sur des morceaux signés Childish Gambinon pour le premier, Lynyrd Skynyrd pour le deuxième, Jay Z pour le troisième, Michael Jackson, Elton John, et ainsi de suite pour les suivants.

Par ailleurs, des modèles de génération d’image comme Midjourney copient et génèrent des répliques directes de couvertures d’albums de Gorillaz, Dr. Dre et d’autres artistes.

Installée à Bruxelles, l’ICMP a partagé des éléments de ses recherches avec divers gouvernements au fil des 18 derniers mois.

« Ce n’est pas un crime sans victime », déclare un porte-parole de Concord à Billboard. Décrivant le détournement de flux de redevances créé par ce système, la personne ajoute : « Même si les paroles générées par les grands modèles de langage n’auront peut-être jamais la créativité d’un être humain (…) leur ampleur et leur économie vont nuire à la motivation de créer de nouvelles œuvres artistiques, qui est la mission fondamentale du droit d’auteur. »

• Sur Spotify, un demi-million d’internautes écoutent un groupe généré par IA

Pas de quoi équilibrer le budget de la France pour 2026

La CNIL vient de prononcer deux amendes pour non-respect des règles sur les cookies : 325 millions d’euros pour Google (faux emails publicitaires dans Gmail et dépôt de cookies sans consentement valide) et 150 millions d’euros pour Shein (cookies déposés sans consentement).

Après une amende de 100 millions d’euros en 2020 (validée par le Conseil d’État), puis une seconde de 150 millions d’euros en 2021, Google écope d‘une troisième amende de la CNIL de 325 millions d’euros pour « avoir affiché des publicités entre les courriels des utilisateurs de Gmail sans leur accord, et pour avoir déposé des traceurs (cookies) lors de la création de comptes Google, sans consentement valide des utilisateurs français ».

Google : 325 millions pour deux griefs, avec une injonction

Cette sanction fait suite à une plainte de None Of Your Business (noyb) déposée le 24 août 2022. Les équipes de la CNIL ont ensuite constaté que la messagerie de Google affichait, « entre les courriels présents au sein des onglets « Promotions » et « Réseaux sociaux » […] des annonces publicitaires prenant la forme de courriels ».

Dans le détail de la décision, un des axes de défense de Google est d’expliquer que « l’affichage des annonces non sollicitées dans Gmail a été restreint aux seuls onglets « Promotions » et « Réseaux sociaux » afin de préserver une expérience utilisateur qualitative ». Réponse expéditive de la CNIL sur ce point : c’est « sans incidence sur la portée de l’obligation ».

Le délibéré permet aussi de suivre le déroulement des contrôles. Une délégation de la CNIL « a procédé le 20 octobre 2022 à une mission de contrôle en ligne qui s’est terminée le 4 novembre 2022 », puis « les 29 novembre et 6 décembre 2022, deux contrôles sur place ont été réalisés dans les locaux de la société Google France », et enfin « un nouveau contrôle sur place le 5 septembre 2023 ».

Les points 52 à 58 de la décision permettent de suivre « les modalités dans lesquelles les informations ont été recueillies », qui sont contestées pour certaines par Google. Là encore, la CNIL balaye les arguments : « la formation restreinte considère que la collecte d’informations a été réalisée dans le respect des dispositions légales et règlementaires ».

Pour rappel, Orange a écopé fin 2024 de 50 millions d’euros d’amende pour ne pas avoir recueilli le consentement de ses utilisateurs avant de leur afficher, « entre les courriels présents au sein des boîtes de réception des utilisateurs, des annonces publicitaires prenant la forme de courriels ».

• Orange : 50 millions d’euros d’amende de la CNIL, les cris d’orfraie de l’opérateur

Six mois pour corriger deux soucis, avec 100 000 euros par jour de retard

Google est aussi condamné pour un manquement à la loi Informatique et Libertés : « lorsqu’ils créent un compte Google, les utilisateurs sont incités à choisir les traceurs liés à l’affichage de publicités personnalisées, au détriment de ceux liés à l’affichage de publicités génériques, et […] ils ne sont pas clairement informés que l’accès aux services de Google est conditionné au dépôt de traceurs à finalité publicitaire. Leur consentement recueilli dans ce cadre n’est donc pas valable ».

En plus des 325 millions d’euros, Google est sous le coup d’une astreinte de 100 000 euros par jour de retard si l’entreprise ne corrige pas le tir dans un délai de six mois. Le géant du Net doit donc arrêter d’afficher des publicités entre les courriels sans consentement préalable. Il doit aussi recueillir un consentement valable pour le dépôt de traceurs publicitaires lors de la création d’un compte Google.

Pour justifier ce montant, la CNIL met en avant le nombre important d’utilisateurs en France : le manquement sur les traceurs concerne 74 millions de comptes, dont 53 millions avaient vu s’afficher des publicités de « manière illicite ». Pour la Commission, Google a « fait preuve de négligence » puisque la société avait déjà été sanctionnée en 2020 et 2021, c’est en quelque sorte une circonstance aggravante.

Shein fait n’importe quoi avec les cookies : 150 millions d’euros d’amende

De son côté, Shein écope de 150 millions d’euros pour « non-respect des règles applicables en matière de traceurs (cookies), déposés sur le terminal des utilisateurs se rendant sur le site shein.com ». Les manquements sont nombreux : absence de recueil du consentement avant dépôt des traceurs, bandeaux d’information incomplets, second niveau d’information insuffisant, mécanismes de refus et de retrait du consentement défaillants.

Cela se traduit par des cookies déposés sur le terminal des utilisateurs dès leur arrivée, avant même une interaction avec le bandeau RGPD. Mais aussi par des cookies déposés et lus même si l’utilisateur cliquait sur « Tout refuser » ou s’il retirait son consentement.

Dans le délibéré de la décision, on apprend que Shein a tenté de s’opposer à la procédure sur des points de droit, toutefois elle « ne conteste pas le fait que les trois cookies publicitaires mentionnés par le
rapporteur dans le rapport étaient déposés sur le terminal de l’utilisateur avant toute expression de son consentement ». Shein affirme que c’est une « erreur à laquelle elle a remédié en cours de procédure ».

Si la société n’est pas toujours d’accord avec les arguments de la CNIL, elle a modifié ses pratiques afin de se conformer aux demandes. Par exemple : « Elle considère que ces cookies, qui ne sont déposés que lorsque l’utilisateur a refusé le reste des cookies, facilitent la navigation de l’utilisateur en empêchant que soient présentées trop souvent les mêmes publicités à l’utilisateur. Dès lors, elle considère qu’ils ne sont pas soumis au consentement ». Sur d’autres points, Shein plaide l’« erreur technique ».

Pour justifier le montant de l’amende, la CNIL tient compte « de la place centrale occupée par » Shein, avec « en moyenne 12 millions de personnes résidant en France qui se rendent sur le site » chaque mois. De plus, la Commission rappelle que, depuis 2020, elle a rendu publiques de nombreuses sanctions pour des manquements similaires. En filigrane, on comprend que Shein ne pouvait pas ne pas savoir et que c’est une sorte de circonstance aggravante. C’est peut être aussi un message aux autres sites qui ne respectent pas les règles… Faire semblant de ne pas savoir n’est pas un argument recevable, au contraire, c’est même aggravant.

Les 150 millions d’euros ne sont pas assortis d’une injonction de mise en conformité car Shein a « apporté des modifications à son site internet au cours de la procédure ».

La CNIL promet de continuer « d’être vigilante »

La CNIL explique que ces amendes « s’inscrivent dans la continuité des nombreuses actions menées par la CNIL pour réguler les pratiques non-conformes en matière de suivi et de ciblage des internautes ». Une manière de répondre à certains qui accusent l’autorité d’inaction ou de ne pas remplir sa mission « de veiller au respect du RGPD ».

La CNIL affirme enfin qu’elle va continuer d’être vigilante, « en particulier concernant les pratiques non-conformes comme le dépôt de traceurs sans le consentement de l’internaute, mais aussi s’agissant de pratiques qui se développent, comme l’utilisation de « murs de traceurs » » (cookie walls), qui consistent à conditionner l’accès de l’internaute à un service à son acceptation du dépôt de traceurs sur son terminal ».

Cette pratique n’est pas illégale, mais à condition que le consentement soit libre et éclairé, c’est-à-dire sans inciter à prendre une option plutôt qu’une autre (par exemple, avec un choix plus complexe que l’autre).

Pour rappel, et dans un registre un peu différent, Next vous propose une extension pour suivre la multitude de requêtes externes faites par les sites que vous visitez… et il y a parfois de quoi prendre peur.

• [Outils Next] Une extension pour traquer toutes les requêtes externes des sites
• Tous traqués sur Internet : 50 000 requêtes via des domaines tiers en une seule journée…

Après 01net Magazine en juin dernier, c’est un autre vétéran de la presse informatique papier qui tire sa révérence : iCreate, « le magazine des utilisateurs Mac, iPhone et iPad », annonce que son numéro 226 ne sortira pas en kiosque, et ne sera pas envoyé aux abonnés.

« La société Presse Factory, qui a édité votre magazine pendant toutes ces années, a été placée en liquidation judiciaire à la fin du mois d’août », indique l’équipe dans un communiqué qui accompagne la publication de ce nouveau numéro, exclusivement au format PDF (5 euros).

L’annonce signe-t-elle pour autant la disparition de la marque iCreate et des publications associées ? « Pour l’heure, il est encore trop tôt pour savoir ce qu’il adviendra du magazine. Il est possible qu’un autre éditeur décide de le relancer à l’avenir », explique la rédaction.

« Nous vous remercions du fond du cœur de nous avoir suivis si fidèlement pendant toutes ces années. Vous avez fait d’iCreate une revue de référence, et c’est grâce à vous que nous avons pu partager notre passion commune pendant plus de 20 ans ».

Les modalités de la liquidation judiciaire ne sont à ce stade pas connues, l’annonce officielle n’ayant pas encore été publiée. Presse Factory avait déjà traversé, avec succès, un plan de redressement judiciaire entre 2018 et 2021.

En attendant de connaître le destin des actifs associés à iCreate, les abonnés sont invités à télécharger les exemplaires auxquels leur donne droit leur abonnement avant que le site du magazine soit placé hors ligne, « d’ici quelques semaines ».

Veni, vidi, ViSuisse

Les Écoles polytechniques fédérales de Zurich et de Lausanne ont travaillé pendant un an et demi pour sortir Apertus, un modèle de langage qui se veut « 100% suisse », ouvert, respectueux du droit d’auteurs. L’idée est aussi d’avoir un modèle plus multilingue que ceux de la concurrence, en l’entrainant sur 40 % de textes non anglophones.

Apertus. Si comme moi, vous n’avez pas fait de latin, ça veut dire « ouvert » (comme dans apéro). Ici, les chercheurs suisses des Écoles polytechniques fédérales de Zurich et de Lausanne ont voulu afficher leur différence avec les modèles qui dominent le marché. Car, si la définition de l’IA ouverte divise encore le milieu, Apertus semble l’être particulièrement.

Un modèle qui se veut ouvert et respectueux des auteurs

Son objectif, selon nos confrères suisses du Temps : « offrir une alternative suisse, souveraine, aux modèles d’IA américains, chinois, voire européens ». Mais dans leur « rapport technique » [PDF], les chercheurs qui ont travaillé sur Apertus mettent aussi en avant le respect des auteurs et la volonté de proposer un modèle plus multilingue que les autres.

« Nous ne pouvons pas accepter que les bases de l’IA, si puissante, soient entre les mains d’une faction de multinationales », explique Antoine Bosselut, directeur du Laboratoire de traitement du langage naturel à l’EPFL, au journal Le Temps. En décembre 2023, les deux écoles polytechniques suisses ont donc créé la Swiss AI Initiative en s’appuyant aussi sur le Swiss National Supercomputing Centre. Celui-ci héberge le supercalculateur Alps composé, entre autres, de plus de 10 000 GH200 de NVIDIA.

Apertus est disponible en deux versions (8 milliards et 70 milliards de paramètres) sur Hugging Face sous licence Apache 2.0. Les chercheurs précisent que leur corpus de textes de pré-entraînement comme de post-entrainement « a été compilé uniquement à partir de données web, en respectant le fichier robots.txt non seulement au moment de l’exploration (janvier 2025), mais aussi en appliquant rétroactivement les préférences d’exclusion de janvier 2025 aux données web extraites lors d’explorations précédentes ». L’idée est d’être réellement conforme à l’AI Act européen et aux réglementations similaires, expliquent-ils.

Développer encore un peu plus le multilinguisme

Apertus a aussi été créé en utilisant, pendant l’entrainement, un mécanisme qui bloque la régurgitation des verbatims des textes utilisés pendant l’entrainement. Ainsi, les chercheurs évitent les éventuelles accusations de plagiat. Les chercheurs suisses ont voulu aussi se démarquer des modèles dominants en poussant autant que possible leur modèle vers un maximum de langues. Ainsi, leurs données d’entrainement contiennent des textes de 1 811 langues et 40 % ne sont pas anglophones. S’ils saluent les effort de leurs confrères qui ont créé les modèles ouverts BLOOM (sorti en 2022), Aya ou Qwen3, ils soulignent qu’Apertus a été entrainé sur 10 fois plus de langues que ces trois modèles.

• BLOOM : l’ambitieux modèle de langage de l’open science

Apertus ne joue pas au jeu du plus gros modèle possible. Rappelons qu’un modèle comme DeepSeek V3 a 685 milliards de paramètres. Mais, depuis quelque temps, on sait que cette course au volume commence à montrer ses limites. Apertus n’est pas multimodale, non plus. « Nous jouons dans une autre ligue, avec un modèle qui possède d’énormes qualités en termes de transparence, d’ouverture et de fiabilité. Et nous ne cesserons d’améliorer Apertus », assure Antoine Bosselut à nos confrères du Temps.

Pour les fonctionnalités de chat, le modèle peut être testé ici, sur une interface mise en place par le projet à but non lucratif Public AI Inference Utility.

Attachez vos ceintures, ça va swinguer !

Que s’est-il passé dimanche avec l’avion de la présidente de la Commission européenne ? Après l’emballement autour d’un brouillage GPS et le retour à des cartes papier, les données de vol et les communications de l’équipage racontent une histoire un peu (voire très) différente.

Ce dimanche 31 août, Ursula von der Leyen prenait l’avion pour se rendre de l’aéroport de Varsovie-Chopin en Pologne à celui de Plovdiv en Bulgarie. Distance entre les deux aéroports : environ 1 200 km à vol d’oiseau.

La présidente de la Commission européenne volait à bord d’un jet Falcon 900 de Dassault, avec une vitesse de croisière aux alentours de 1 000 km/h. Si on ajoute le décollage et l’atterrissage, il faut prévoir entre 1h30 et 2 h de vol environ.

Un vol de neuf minutes de plus que prévu, pas une heure

Le vol devait décoller à 13h30 de Varsovie pour se poser à 16h18 en Bulgarie. Il est arrivé à 17h34, avec certes un peu plus d’une heure de retard sur l’horaire prévu, mais il y a un « détail » important : l’avion est parti à 14h37 de Varsovie, avec donc un peu plus d’une heure de retard là aussi. « Le vol devait durer 1 heure et 48 minutes. Il a duré 1 heure et 57 minutes », résume FlighRadar24.

Pour ceux qui (comme moi) calculent la différence entre l’heure de départ et d’arrivée et qui ne comprennent pas pourquoi il y a 1 h de trop, sachez que la Bulgarie est en UTC+3 alors que la Pologne est en UTC+2. Si la différence entre l’heure locale au départ et à l’arrivée est de 2h58, le temps de vol n’est que de 1h58 avec ce décalage.

FlighRadar24 est un site proposé par la société suédoise Svenska Resenätverket permettant de suivre en direct le déplacement des avions, en se basant sur les données des transpondeurs ADS-B. La société envoie gratuitement des récepteurs aux volontaires. FlightRadar24 revendique actuellement plus de 50 000 récepteurs ADS-B au sol dans le monde. De plus amples informations sont disponibles sur cette page.

Nous sommes donc loin de l’heure à tourner autour de l’aéroport, comme l’indiquaient des « officiels » au Financial Times. Au moment de publier cette actualité, l’article de nos confrères n’a pas été mis à jour depuis lundi (nous laissons la citation en anglais pour éviter toute interprétation) : « “The whole airport area GPS went dark,” said one of the officials. After circling the airport for an hour, the plane’s pilot took the decision to land the plane manually using analogue maps, they added ».

Fait troublant, le journaliste du FT qui a signé l’article, Henry Foy, était à bord de l’avion, comme il l’a confirmé dans cette retranscription d’une interview. Sur X, un lecteur du FT affirme l’avoir contacté pour avoir des explications sur ce sujet et, comme réponse, il aurait eu : « Les politiques du FT ne me permettent pas de discuter de la provenance des articles, mais je peux dire une chose dont vous pouvez extrapoler : j’étais également dans l’avion ».

Pour auonsson, si sa déclaration « nous avons tourné en rond pendant une heure » est exacte, « l’explication la plus probable est que la trajectoire que nous avons a été manipulée. Ou que nous avons le mauvais avion ».

Oui au brouillage GPS, mais pas si vite sur les conséquences

La seconde information douteuse vient des « analogue maps », traduites en français par des « cartes papier ». C’est un peu comme si, en voiture, on ressortait les vieilles cartes routières dépliables quand le GPS est en rade. Un changement qui laisse penser à une situation limite dangereuse, causé par des brouillages attribués à la Russie.

Qu’en pensent les experts ? Sur sa chaine YouTube, Pierre-Henri « Até » Chuet propose un « Dbrief du drama » autour du brouillage du Falcon 900 de la présidente de la Commission européenne. On ne peut d’ailleurs que vous conseiller de regarder cette vidéo en entier (elle ne dure que huit minutes).

L’aviation, il connait bien puisqu’il était à la Marine Nationale pendant près de dix ans, dont quatre ans comme chef de patrouille Rafale Marine, selon son compte LinkedIn. Il a maintenant une chaîne dédiée à l’aviation et propose des conseils aux entreprises. Récemment, il a aussi fait parler de lui suite à l’ouverture d’une enquête préliminaire « pour déterminer si les voyages de l’ex-militaire en Chine et les formations qu’il y a dispensées à des pilotes chinois relèvent de la divulgation de secrets militaires », comme l’explique Le Parisien.

Système d’atterrissage aux instruments (ILS) à la rescousse

Que nous explique-t-il dans sa vidéo ? Il confirme le temps de vol et un souci avec le GPS : « Non, il n’y a pas eu d’attente, il y a eu un changement dans le type d’approche à cause de soucis GPS. On entend clairement l’échange entre l’équipage et le contrôleur » sur ce sujet.

Le pilote demande une approche radar pour un guidage ILS (système d’atterrissage aux instruments), le contrôleur aérien lui propose à la place un guidage toujours aux instruments, mais en « X-ray ». Rien d’exceptionnel pour l’ancien pilote : « vous allez à Arcachon, il n’y a pas de guidage radar pour se poser ».

FlightRadar24 est sur la même longueur d’onde et affirme que, toujours selon les échanges audio avec l’ATC (service de contrôle de la circulation aérienne), « l’équipage est passé de l’approche basée sur le GPS à l’approche ILS, ce qui a nécessité un changement de trajectoire de vol ».

Même son de cloche une nouvelle fois sur le compte X de auonsson (spécialiste des sujets sur les transpondeurs et l’aviation) : « Le pilote de l’avion transportant la présidente von der Leyen a rencontré des problèmes de GPS à l’approche de l’aéroport de Plovdiv, en Bulgarie, le dimanche 31 août. Les enregistrements des communications de la tour et de l’avion sont clairs ».

Pilot of the aircraft carrying president von der Leyen experienced GPS issues as they approached Plovdiv airport, Bulgaria Sun Aug 31.

Recordings of tower and plane comms are clear.

Transponder reported good GPS-signal and is likely separate from the instrument pilots used. pic.twitter.com/STHERzcDdX

— auonsson (@auonsson) September 2, 2025

Et, encore pareil chez Feit of fake, qui se base aussi sur les communications avec le contrôle aérien (qui sont diffusées en clair et qu’il a archivées). Le site donne de plus amples détails sur le déroulement de l’approche (la Bulgarie est pour rappel en UTC+3) :

• « À 14h05 UTC, le pilote a accepté les instructions pour une approche RNP (basée sur le GPS) vers la piste 30.
• À 14h10 UTC, le pilote a signalé des problèmes de GPS et a demandé des vecteurs par radar. L’ATC a répondu que le service radar était indisponible.
• L’équipage a ensuite demandé à voler vers la balise VOR PDV pour établir une approche ILS, en utilisant des aides à la navigation au sol indépendantes du GPS ».

« En bref : les pilotes n’ont pas eu recours aux cartes papier. Ils ont opté pour des systèmes de navigation radio standard (VOR et ILS), qui restent des procédures de secours courantes dans le monde entier », affirme notre confrère, exactement comme Pierre-Henri Chuet. Feit of fake publie aussi des extraits des conversations.

Le Bulgaria’s Government Information Service (BGIS) confirme aussi le changement d’approche pour l’atterrissage : « l’Autorité bulgare des services de la circulation aérienne a immédiatement proposé une méthode d’atterrissage alternative utilisant des aides à la navigation au sol (atterrissage aux instruments) », comme le rapporte la Bulgarian News Agency.

La Commission confirme le « brouillage GPS », qui n’a rien de neuf

Le changement d’approche ne fait pas de doute, mais qu’en est-il des causes du brouillage GPS ? C’est un autre sujet, mais qui n’est pas nouveau. Les brouillages sont monnaie courante depuis la guerre en Ukraine.

Le site GPSJAM propose d’ailleurs une carte journalière des brouillages GPS, avec trois niveaux d’intensité des interférences. À la date du 31 août, la zone de Plovdiv (en Bulgarie) était en vert, mais très proche de zones en jaune.

« Nous pouvons confirmer que c’était un brouillage GPS, mais l’avion s’est posé en toute sécurité en Bulgarie. Nous avons reçu des informations des autorités bulgares. D’après elles, ce seraient des interférences manifestes de la Russie », expliquait lundi Arianna Podesta, porte-parole d’Ursula von der Leyen.

« C’était un vol charter » (c’est-à-dire un avion affrété de manière ponctuelle), précise la porte-parole, sans plus de précision. À la question de savoir si l’avion de la présidente de la Commission était spécifiquement ciblé, elle répond simplement : « c’est une question qu’il faut poser aux Russes ». La Commission rappelle que « ces activités de brouillage sont assez fréquentes, notamment sur le plan oriental de l’Europe ».

Sur Bluesky, ‪le compte auonsson (le même que précédemment) explique que tous les avions aux alentours de celui de la présidente, sauf un, avaient de « bonnes valeurs de positions ». Cela renforcerait donc l’idée que le « brouillage visait spécifiquement von der Leyen ». Aucune confirmation pour le moment sur ce point précis.

Pour résumer, l’avion n’a pas tourné pendant une heure et les pilotes ne sont pas revenus à l’age de pierre à devoir sortir des cartes papier pour atterrir en catastrophe ou presque. Toutes les données de vol, ainsi et les communications entre les pilotes et la circulation aérienne Bulgare, vont dans ce sens.

Passer sous les radars de FlighRadar24

Pouvoir suivre à la trace des avions avec des personnalités soulève des inquiétudes chez certains, notamment en Italie qui envisagerait de « dissimuler » certains vols pour éviter ce genre de mésaventure : « l’avion du Premier ministre italien a été retiré de Flightradar24, l’une des applications les plus utilisées pour fournir des données en temps réel sur les mouvements d’avions, mais il reste visible sur des sites équivalents. Pour des raisons de sécurité, les autorités envisagent désormais de « protéger les vols transportant le Premier ministre et les ministres du cabinet de toutes ces plateformes » », explique The Guardian.

Certains se servent également des données de FlightRadar24 et autres sites du genre pour suivre les déplacements de certaines personnalités (et accessoirement milliardaires), notamment Elon Musk et Bernard Arnault pour ne citer qu’eux.

À malin, malin et demi ?

La sanction devait arriver en début de semaine, mais Google attend toujours. L’Union européenne aurait suspendu sa décision relative à une éventuelle amende contre Google craignant que Donald Trump réagisse en faisant échouer l’accord transatlantique qui prévoit une réduction des droits de douane étasuniens sur les voitures des constructeurs européens.

La commissaire européenne à la Concurrence, Teresa Ribera, avait prévu de rendre publique lundi 1er septembre sa décision sur l’accusation d’abus de position dominante dans le secteur de la publicité en ligne contre Google. Mais cette annonce a finalement été retardée pour ménager Washington. Alors que le régulateur européen prévoyait une amende et une obligation de modifier son modèle économique, la sanction pourrait être moins sévère.

Un report pour espérer influencer Donald Trump

Comme l’explique Bloomberg, l’Europe aurait reporté cette décision pour laisser passer la fin des négociations entre les États-Unis et l’Europe à propos des droits de douane étasuniens sur les voitures des constructeurs européens. Ceux-ci font l’objet d’une attention particulière dans les discussions entre les deux puissances commerciales.

Selon les informations de nos confrères, l’équipe de Teresa Ribera prévoyait déjà, avant ce report, la sanction financière la plus faible que Google ait reçue en Europe pour ce genre de dossiers. La pause pourrait être longue : des jours, voire des semaines. Et le contenu pourrait totalement changer.

La semaine dernière, Donald Trump a menacé de représailles les pays qui appliquent des politiques défavorables à la tech étasunienne, avec notamment l’Union européenne dans le viseur. La Commission européenne espère pourtant que les États-Unis annoncent d’ici peu la confirmation de leur volonté de baisser les droits de douane sur les voitures européennes de 27,5 % à 15 %, comme l’explique Reuters.

Selon plusieurs sources de l’agence de presse, le commissaire européen au commerce, Maros Sefcovic, aurait questionné la décision de Teresa Ribera, la repoussant mécaniquement d’un délai inconnu.

« Une commission motivée par des considérations politiques » selon l’autorité allemande

Cette décision a été vivement critiquée notamment en Allemagne. « La protection de la concurrence ne doit pas devenir l’otage de l’administration Trump » a réagi le responsable de l’autorité de la concurrence allemande, Tomaso Duso. « Cette suspension montre à quel point il est risqué de confier l’application des règles de protection de la concurrence à une commission motivée par des considérations politiques, affirme-t-il. Nous recommandons de limiter systématiquement l’exploitation des positions de pouvoir économique telles que celles détenues par Google en vertu du droit de la concurrence, afin de renforcer la concurrence, l’efficacité et la sauvegarde des valeurs démocratiques en Europe ». Il ajoute enfin que « le marché publicitaire en particulier est largement dominé par Google et constitue également un marché clé pour l’importante industrie des médias. »

De son côté, la Commission explique de façon laconique à Reuters que « l’enquête est toujours en cours » et refuse de commenter plus longuement. C’est en 2023 qu’elle avait ouvert son enquête. À l’époque, son enquête préliminaire constatait que, « depuis 2014 au moins, Google a abusé de ses positions dominantes :

• en favorisant sa propre bourse d’annonces AdX dans les enchères gérées par son serveur publicitaire des éditeurs dominant DFP, par exemple en informant à l’avance AdX de la valeur de la meilleure offre concurrente à battre pour remporter l’enchère;
• en favorisant sa bourse d’annonces AdX dans la manière dont ses outils d’achat d’annonces Google Ads et DV360 placent leurs offres sur les bourses d’annonces. Par exemple, Google Ads évitait les bourses d’annonces concurrentes et plaçait principalement des offres sur AdX, faisant de cette dernière la bourse d’annonces la plus attractive ».

TF1 a lancé lundi une nouvelle formule d’accès payant associée à certains des contenus, émissions ou séries, diffusés sur sa plateforme de vidéo à la demande, TF1+. Complémentaire de la publicité, qui constitue le premier levier économique du service, elle repose sur le principe de microtransactions : une petite somme, facturée à la demande, en échange d’un service amélioré.

En l’occurrence, le groupe TF1 envisage dans un premier temps trois produits payants, qui seront facturés à partir de 0,69 euro. D’abord, la possibilité de visionner, en échange de cette transaction, un programme sans publicité. Ensuite, l’accès en avant-première à certains épisodes de séries, feuilletons ou téléfilms. Enfin, la consultation de contenus additionnels, vendus comme des bonus associés aux grands programmes de la chaîne (par exemple, le direct associé à un programme de TV réalité).

« Ainsi, un utilisateur souhaitant regarder The Voice avec ses enfants et éviter de se coucher trop tard pourra opter pour la version sans publicité à 0,99 €, lui faisant économiser 24 minutes de temps de visionnage », illustre TF1 dans un communiqué.

Le groupe, qui a récemment signé un accord de distribution d’envergure avec Netflix, voit dans ces microtransactions un axe de développement susceptible à la fois de diversifier ses revenus, mais aussi de s’adapter « aux nouvelles habitudes de consommation digitale », ici inspirées de l’in-app purchase que l’on connait bien dans le monde du mobile. Pour cette incursion dans le payant, TF1 revendique par ailleurs une approche distinctive de celle des grandes plateformes de vidéo à la demande, qui reposent principalement sur une logique d’abonnement mensuel.

Veuillez patienter, un bot va prendre en charge votre appel de détresse.

This is brand new information

Au Royaume-Uni, l’Online Safety Act oblige les sites de contenus pour adultes à vérifier l’âge des internautes pour les laisser passer. Mais si la loi a été pensée avec de bonnes intentions, elle entraine dans son sillage des conséquences involontaires et autres effets secondaires.

L’Online Safety Act britannique oblige les plateformes à demander aux utilisateurs de présenter leurs documents d’identité gouvernementaux ou de scanner leurs visages via leurs webcams. Pour ces dernières, des algorithmes sont ensuite chargés de déterminer l’âge de la personne. Des techniques dont l’efficacité est parfois très relative, comme nous l’avons montré récemment, la France imposant désormais la même obligation aux sites pornographiques.

• Sites porno : les systèmes de vérification d’âge valident parfois n’importe quoi

Toutes ces réglementations – de nombreux États américains s’en dotent également – ont pour objectif d’empêcher les mineurs d’être exposés aux contenus inappropriés. Outre-Atlantique, certains États vont jusqu’à élargir cet interdit à l’ensemble des réseaux sociaux. Les mineurs ont alors besoin de l’autorisation parentale. Dans tous les cas, les lois concernées reposent toutes sur le principe de barrière technologique, avec les aléas qui peuvent en découler.

Au Royaume-Uni aussi l’Online Safety Act ne s’intéresse pas qu’aux sites pornographiques. Il s’agit de protéger les utilisateurs des contenus illégaux (depuis le 17 mars 2025), ou légaux mais « préjudiciables » pour les enfants (depuis le 25 juillet 2025) comme des contenus sur l’automutilation, le suicide, les troubles de l’alimentation, etc.

Microsoft annonce par exemple du changement sur Xbox, tandis que Peter Kyle (secrétaire d’État à la Science, à l’Innovation et à la Technologie) demande au régulateur britannique comment il compte réguler « des services en ligne « petits mais risqués », tels que les forums de discussion ».

Outre certaines difficultés techniques, ces législations provoquent des effets plus ou moins imprévus, dont une réorientation des flux de trafic.

Les sites en règle sont punis

C’est ce que révèle un article du Washington Post. Le journal s’est penché sur les modifications des habitudes entrainées par ces lois d’interdiction et un constat revient sans cesse : les sites jouant le jeu et appliquant la vérification perdent de l’audience.

Ainsi, selon le Washington Post, certains sites ont enregistré une baisse spectaculaire de leur trafic en provenance d’adresses IP britanniques. En France aussi plusieurs sites pornographiques indiquent une forte baisse d’audience et renvoient vers cet article expliquant que la vérification d’âge a fait partir près de 90 % des utilisateurs début juillet : « Nous savons que seulement 10 % environ de la base d’utilisateurs restera après la mise en œuvre d’AV [vérification de l’âge, ndlr] – et les 10 % qui restent sont très coûteux à vérifier […] À l’heure actuelle, près de 3 000 (et ce n’est pas exagéré) clones de nos sites […] volent notre contenu et seront bientôt massivement récompensés ».

Par effet de vases communicants, les sites ignorant leurs nouvelles obligations légales ont donc enregistré une hausse massive de visites. Selon nos confrères, certains sites auraient vu leur audience doubler, voire tripler durant le mois d’août, comparativement à la même période l’année dernière.

Pour John Scott-Railton, chercheur au Citizen Lab de l’Université de Toronto et spécialisé dans la surveillance et les droits numériques, le cas est un exemple typique de la « loi des conséquences involontaires ». Il illustre un cas classique de législation pensée avec de bonnes intentions, mais dont la mise en œuvre provoque paradoxalement la punition de ceux qui la respectent et la récompense de ceux qui la bafouent.

En France, l’Arcom s’est pour le moment intéressée à 17 sites ; une goutte d’eau dans l’océan des sites pornographiques, mais l’Autorité en est consciente. Elle affirme qu’elle « poursuivra son action en direction des sites pornographiques de plus faible audience ». Un travail de longue haleine et presque sans fin puisque de nouveaux vont certainement apparaitre sans cesse.

Un problème grandissant

Si l’Online Safety Act est l’un des exemples les plus récents (avec la France), il est loin d’être le seul. 25 États américains disposent aujourd’hui de lois similaires, une situation d’autant plus renforcée désormais que la Cour Suprême, plus haute juridiction du pays, est intervenue dans le dossier. En juin, elle a ainsi donné raison au Texas pour une loi du même acabit, le juge Clarence Thomas estimant qu’elle n’avait qu’un effet négligeable sur la liberté d’expression, protégée par le fameux Premier Amendement.

Avec cet élargissement des législations, la pression financière s’accroit sur les entreprises concernées. Celles qui respectent le droit doivent ainsi supporter les coûts liés à la vérification de l’âge. Si les plateformes veulent aller vite, elles peuvent passer par un prestataire tiers.

Certains se sont rapidement fait un nom, comme Yoti. La société, citée par le Washington Post, précisait l’année dernière qu’un scan de visage était facturé entre 0,10 et 0,25 dollar. Pour un site aussi vaste que Pornhub, la facture pouvait peser jusqu’à 13 millions de dollars par jour, selon un juge de l’Indiana.

Si la situation peut être difficile pour les grandes plateformes, elle peut l’être encore davantage pour les petites et moyennes. Outre le manque de moyens, l’expertise technique et juridique peut manquer. Le problème ne concerne d’ailleurs pas uniquement les sites pornographiques, certains forums dédiés aux fans de football évoquant des « fardeaux juridiques et opérationnels substantiels ». Conséquence, certains sites commencent à bloquer complètement l’accès au Royaume-Uni, comme plusieurs sites pornographiques le font en France (dont Pornhub).

Conservation des données

Le Washington Post met également en avant les problèmes aux concentrations inhérentes aux barrières technologiques. Plusieurs acteurs, comme Yoti et Incode, tirent leur épingle du jeu. Par effet de masse, leurs listes de clients s’allongeant, ils deviennent des références et très utilisés.

Ces entreprises se retrouvent ainsi à traiter et parfois détenir, au moins temporairement, une quantité croissante de données très sensibles, dont des documents d’identité nationale. Elles promettent un traitement local ou de ne conserver les données que le temps nécessaire à la vérification, promesse qu’il faut croire sur parole.

En outre, les technologies utilisées peuvent se tromper, identifiant des adultes comme enfants et vice-versa. Le Washington Post dit avoir constaté une recrudescence des guides en ligne pour tromper ou contourner les mécanismes de vérification. Les entreprises fournissant ces mécanismes ne sont pas à l’abri des fuites de données. Comme l’a rappelé le mois dernier le cas de Tea Dating Advice, les informations fuitant alors peuvent être extrêmement sensibles. Dans le cas d’un fournisseur comme Yoti, les données faciliteraient les usurpations d’identité.

Pour l’industrie, ces mesures sont inefficaces

L’avis d’Aylo, propriétaire de Pornhub, est désormais bien connu. Pour l’entreprise, ce type de législation est inefficace : les personnes cherchant du contenu pornographique, majeures ou non, n’arrêtent pas d’en chercher. Elles se déplacent simplement vers d’autres sources moins « responsables » et dont les revenus publicitaires augmentent proportionnellement.

L’ensemble est d’autant plus fragile, selon Aylo, que les VPN permettent dans tous les cas de contourner très facilement les limitations. Au Royaume-Uni, les téléchargements se sont – sans surprise – envolés dans les jours qui ont suivi l’entrée de l’Online Safety Act, comme nous le rapportions alors. C’était également le cas en France début juin.

Le problème s’est largement accentué deux semaines plus tard, quand Peter Kyle est venu faire la promotion de la nouvelle loi à l’antenne de la BBC. Considérant que l’Online Safety Act était « la plus grande avancée en matière de sécurité des enfants depuis la création de l’internet », il a demandé à la population de ne pas utiliser de VPN… braquant les projecteurs sur ce type de service.

L’incident avait fait dire à John Scott-Railton (Citizen Lab) : « Le fait que le gouvernement passe à la télévision nationale pour avertir que les VPN permettent aux gens de passer la vérification de l’âge pourrait être la publicité gratuite la plus astucieuse que l’industrie des VPN ait jamais reçue ».

« Deux notions erronées »

Aliya Bhatia, analyste politique au Center for Democracy and Technology, la loi britannique repose sur « deux notions erronées : qu’il existe une solution miracle – un moyen facile, respectueux des droits et abordable de vérifier l’âge en ligne – et que les utilisateurs ne se soucient pas de leurs droits et de leur vie privée ».

Une forme de solutionnisme technologique illustrant de nouveau la complexité inhérente à la régulation de l’espace numérique.

Accusé par la Federal Trade Commission (FTC) d’avoir étiqueté des dessins animés de manière trompeuse sur YouTube pour collecter illégalement les données personnelles de leur jeune public, Disney a accepté de payer 10 millions de dollars pour éviter de se retrouver au tribunal.

La FTC reproche à Disney de ne pas avoir placé le label « Made for Kids » (fait pour les enfants) sur les vidéos correspondantes, quand bien même ce type d’étiquetage rend certaines fonctionnalités, dont celles de collecte d’informations personnelles, inapplicables aux vidéos concernées.

Ne pas recourir à cet outil créé par YouTube pour éviter le ciblage de mineurs avec des publicités personnalisées a eu pour effet de voir des films comme « Toy Story » ou « Frozen » taggés « Not Made for Kids ».

Outre la collecte de données rendue possible pour Disney, cela signifie par exemple que l’autoplay de YouTube était activé.

YouTube a créé son système de labellisation en 2018, après le règlement d’une autre affaire ouverte par la FTC, selon lequel la plateforme aurait, elle aussi, violé la Children’s Online Privacy Protection (COPPA) Rule, une loi qui demande le consentement des parents pour collecter des informations sur les enfants de moins de 13 ans.

Outre son amende de 10 millions de dollars, Disney doit désormais récupérer le consentement parental pour collecter des informations sur son public de moins de 10 ans et créer un programme pour s’assurer que ses vidéos sont correctement étiquetées.

spam

Le président de l’autorité étasunienne de la concurrence, à laquelle Donald Trump a retiré l’indépendance en février dernier, a envoyé une lettre à Google dans laquelle il soupçonne que « la gestion de Gmail par Alphabet est conçue pour avoir des effets partisans ». L’entreprise dément.

Dans une lettre envoyée à Sundar Pichai, CEO d’Alphabet (Google), le président de la FTC soulève une question sur l’impartialité du filtre antispam de Gmail.

Andrew Ferguson, pourfendeur déclaré de la « censure des Big Tech » et nommé à la tête de l’agence par Donald Trump, écrit au responsable de l’entreprise à propos « des informations récentes suggérant que la gestion de Gmail par Alphabet est conçue pour avoir des effets partisans, et vous informer en conséquence qu’Alphabet pourrait se livrer à des actes ou pratiques déloyaux ou trompeurs ».

Une agence de relation publique des Républicains comme source

« D’après ce que j’ai compris de récents reportages, les filtres anti-spam de Gmail bloquent systématiquement les messages provenant d’expéditeurs républicains, mais ne bloquent pas les messages similaires envoyés par des démocrates », ajoute-t-il. Le responsable de l’agence cite un article du New York Post qui reprend les propos de l’entreprise Targeted Victory. Celle-ci aurait envoyé des emails via Gmail à des électeurs avec comme seule différence un lien vers la plateforme de collecte de dons du Parti Républicain WinRed et un lien vers « ActBlue », celle des Démocrates.

« Dans de nombreux cas », Gmail aurait envoyé « directement dans les spams » ceux avec le lien vers la plateforme républicaine. Mais comme le fait remarquer TechCrunch, Targeted Victory est une société de conseil et de relations publiques qui a travaillé avec le Comité national républicain et le réseau social d’Elon Musk X.

Rappelons aussi qu’en février dernier, Donald Trump a supprimé l’indépendance de plusieurs agences de régulation, dont la FTC.

Une possible violation de la loi étasunienne sur le commerce ?

Andrew Ferguson souligne qu’un tel comportement de la part de Gmail violerait les lois étasuniennes sur le commerce : « Si les filtres de Gmail empêchent les Américains de recevoir les messages auxquels ils s’attendent ou de faire des dons comme ils l’entendent, ces filtres peuvent nuire aux consommateurs américains et enfreindre l’interdiction des pratiques commerciales déloyales ou trompeuses prévue par la loi ».

Interrogée par nos confrères d’Axios, Google a répondu que « les filtres antispam de Gmail examinent divers signaux objectifs, par exemple si les utilisateurs marquent un email particulier comme spam ou si une agence de publicité envoie un volume élevé d’emails souvent marqués comme spam par les utilisateurs. Cela s’applique de la même manière à tous les expéditeurs, quelle que soit leur idéologie politique ». Ajoutant : « Nous examinerons cette lettre et nous nous réjouissons de pouvoir engager un dialogue constructif ».

Depuis plusieurs années, les Républicains accusent Gmail d’avoir un filtre antispam partisan. En 2023, la commission électorale fédérale avait rejeté des réclamations dans ce sens. Ainsi, comme l’expliquait le Wall Street Journal à l’époque, l’agence avait estimé que Google avait démontré qu’elle réglait les paramètres de son anti-spam contre les logiciels malveillants, les attaques de phishing et les escroqueries, et non dans le but de favoriser certains candidats politiques et déclarait alors que le dossier était clos.

Sans cliffhanger

La Cour de Justice de l’Union européenne vient de rendre son verdict sur le recours déposé par le député Philippe Latombe contre la Commission européenne, visant à faire annuler le Data Privacy Framework.

Sans surprise, le Tribunal a rejeté le recours (PDF), considérant que, « à la date d’adoption de la décision attaquée, les États-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées depuis l’Union vers des organisations établies dans ce pays ».

Rappelons que le Data Privacy Framework est un cadre d’échanges entre l’Europe et les États-Unis. Il établit que les protections offertes outre-Atlantique sont équivalentes à celles présentes en Europe. Le DPF est largement attaqué depuis sa sortie, d’autant plus qu’il est venu remplacer le Privacy Shield, qui avait déjà pris la relève du Safe Harbor, tous deux tombés après avoir été attaqués par Max Schrems.

Le DPF résiste malgré les soubresauts

Philippe Latombe souhaitait voir disparaitre cet accord d’adéquation, pour les mêmes raisons que les deux précédents cadres. À l’automne 2023, il expliquait ainsi que les conceptions européenne et américaine des données étaient irréconciliables : l’Europe considère que les données appartiennent à ceux qui les émettent, les États-Unis à ceux qui les collectent. Pour le député, la Data Protection Review Court mise en place aux États-Unis n’était par ailleurs ni indépendante ni impartiale.

• Data Privacy Framework : Philippe Latombe nous explique son recours devant le Tribunal de l’Union européenne

Chez l’association noyb, Max Schrems affiche sa déception : « Nous voyons actuellement Trump destituer des responsables ‘indépendants’ de la FTC ou de la Réserve fédérale. La Cour en question n’est même pas établie par la loi, mais seulement par un ordre exécutif du président – et peut donc être révoquée dans la foulée. Il est très surprenant que la Cour de justice de l’Union européenne ait jugé cela suffisant. Si l’on compare cette affaire avec des affaires internes à l’UE telles que celles concernant la Pologne ou la Hongrie, il faut faire preuve d’une grande souplesse mentale pour accepter qu’il s’agisse d’une Cour indépendante ».

Rien n’empêche cependant Philippe Latombe de faire appel de la décision.

Le 25 avril 2023, la Commission européenne désignait Zalando comme une très grande plate-forme en ligne au titre du DSA. C’était aussi le cas pour Amazon, les boutiques en ligne Apple et Google, Booking, Facebook, TikTok, Snapchat, Wikipédia, etc.

Cette désignation s’accompagne d’obligations « visant notamment à protéger les consommateurs et à lutter contre la diffusion de contenus illicites ».

• Que change le Digital Services Act en pratique ?

Le Tribunal de la Cour de Justice de l’Union européenne rappelle que la Commission « estimait que le nombre mensuel moyen de destinataires actifs […] dans l’Union européenne était supérieur au seuil de 45 millions (ou 10 % de la population de l’Union), à savoir plus de 83 millions ».

De son côté, la plateforme contestait cette décision. L’arrêt du jour ne va pas dans son sens : « le Tribunal rejette le recours de Zalando et confirme ainsi la décision de la Commission ». Le Tribunal explique sa décision et rappelle pour commencer que, pour déterminer si Zalando devait être désignée comme une très grande plate-forme en ligne, « il convenait de déterminer son nombre de destinataires actifs, c’est-à-dire les personnes exposées à des vendeurs tiers dans le cadre du Partner Programm ».

Mais, Zalando « n’était pas en mesure » de les distinguer parmi tous ses utilisateurs. « La Commission pouvait considérer qu’elles étaient toutes réputées y avoir été exposées », soit 83 millions de personnes et pas seulement « environ 30 millions comme Zalando le faisait valoir ».

Le Tribunal rappelle enfin qu’un « pourvoi, limité aux questions de droit, peut être formé, devant la Cour, à l’encontre de la décision du Tribunal, dans un délai de deux mois et dix jours à compter de sa notification ».

Soupe à la grimace

La justice américaine a tranché : Google n’aura pas besoin de se séparer de Chrome, ni d’Android. L’entreprise a bien été reconnue coupable d’abuser de sa position dominante, mais sur l’ensemble des mesures correctrices envisagées, peu ont été retenues.

En août 2024, le juge Amit Mehta statuait : Google avait bien violé les lois antitrust américaines en maintenant et abusant d’un monopole illégal dans le domaine de la recherche en ligne. Depuis, le ministère de la Justice (DoJ) a proposé de nombreuses solutions pour y remédier.

Les deux principales étaient la séparation entre Google, Chrome et Android, plusieurs acteurs ayant fait savoir leur intérêt dans ce domaine. Les accords exclusifs étaient également menacés, tout comme les contrats visant à faire de Google le moteur de recherche par défaut dans des logiciels ou appareils, comme avec Apple et Mozilla.

Dans un jugement de 230 pages rendu hier soir, le juge Mehta a précisé les mesures correctrices qui vont effectivement s’appliquer. Leur champ est nettement moins vaste que ce qui pouvait être envisagé. Le juge n’a d’ailleurs pas hésité à critiquer le ministère de la Justice pour être allé trop loin dans ses demandes.

Plus d’accords exclusifs, quelques comptes à rendre

Les mesures les plus fortes envisagées par le DoJ tombent à l’eau : Google n’aura pas à se séparer de Chrome ou d’Android. Pour le tribunal, Google n’a rien fait d’illégal avec ces deux produits.

Le ministère souhaitait également que tous les contrats exclusifs soient interdits à Google. Cette demande a été appliquée en partie. Google ne peut plus désormais conclure ou maintenir des contrats relatifs à la distribution de Search, Chrome, Assistant ou Gemini. La licence d’utilisation du Play Store ne peut plus être associée à la distribution de ces quatre produits.

La question du partage des revenus est également abordée. Google ne peut plus conditionner celui d’une application à la distribution d’une autre. Interdit aussi pour l’entreprise de conditionner ce partage à la conservation des quatre applications citées pendant au moins un an. Google ne doit plus non plus empêcher, par quelque moyen que ce soit, ses partenaires de distribuer des produits concurrents, qu’il s’agisse de navigateurs, de moteurs de recherche ou de produits GenAI (IA générative).

En revanche, Google peut continuer à nouer des partenariats pour promouvoir son moteur de recherche. Les accords avec Apple et Mozilla ne sont donc pas menacés. La fondation doit d’ailleurs respirer, car son accord avec Google alimente en très grande partie son budget annuel.

Enfin, Google devra partager certaines informations avec ses concurrents, dont des données relatives à l’index de recherche et d’interaction avec des « concurrents qualifiés ». À ces mêmes acteurs, Google devra également proposer des services de recherche et de syndication d’annonces sur la base de conditions commerciales standards. On est, là encore, loin des demandes du ministère de la Justice, qui réclamait le partage de très nombreuses informations, dont l’index de recherche, tous les signaux de classement et la compréhension des requêtes.

Des conditions valables six ans

Un comité technique sera composé pour aider à faire appliquer la décision du juge Mehta. Les décisions devront être mises en œuvre dans 60 jours au plus tard, à des conditions valables pendant six ans. Après quoi, le tribunal procèdera à un nouvel examen.

Google a de quoi se réjouir de la décision, qui est presque un camouflet pour le ministère américain de la Justice. Ce dernier a été critiqué par le juge Mehta, qui estime qu’il est allé trop loin dans ses demandes et a dépassé ses attributions.

La décision du juge a provoqué une onde de surprise, notamment dans les médias américains. Certains rappellent, à l’instar de TechCrunch, que le juge Mehta avait souligné pendant le procès que les configurations par défaut des moteurs de recherche dans les produits étaient « extrêmement précieux ». En outre, le juge avait déclaré que le DMA européen était un bon point de référence, forçant Google à partager certaines données avec la concurrence. Les mesures décidées par le tribunal ont cependant moins d’ampleur et sont temporaires.

Google pas si joyeuse

La réaction de Google est cependant en demi-teinte. « La décision d’aujourd’hui reconnaît à quel point le secteur a changé avec l’avènement de l’IA, qui offre aux utilisateurs de nombreuses autres façons de trouver des informations. Cela souligne ce que nous affirmons depuis le dépôt de cette plainte en 2020 : la concurrence est intense et les utilisateurs peuvent facilement choisir les services qu’ils souhaitent », indique l’entreprise dans un communiqué.

« La Cour a désormais imposé des limites à la manière dont nous distribuons les services Google et nous obligera à partager les données de recherche avec nos concurrents. Nous nous inquiétons de l’impact de ces exigences sur nos utilisateurs et leur vie privée, et nous examinons attentivement cette décision », ajoute-t-elle cependant.

D’autres, comme DuckDuckGo, font grise mine : « Nous ne pensons pas que les recours ordonnés par le tribunal imposeront les changements nécessaires pour lutter de manière adéquate contre le comportement illégal de Google. Google sera toujours autorisé à continuer d’utiliser son monopole pour freiner ses concurrents, y compris dans la recherche par IA. En conséquence, les consommateurs continueront de souffrir. Nous pensons que le Congrès devrait maintenant intervenir pour faire rapidement à Google ce qu’il craint le plus : concurrencer sur un pied d’égalité ».

Après 3,5 milliards de dollars en mars (et une valorisation de 61,5 milliards de dollars), Anthropic lève cette fois-ci 13 milliards de dollars. L’annonce a été faite par l’entreprise : « en collaboration avec ICONIQ, le tour de table a été codirigé par Fidelity Management & Research Company et Lightspeed Venture Partners ».

La liste des investisseurs est bien longue avec notamment Altimeter et Coatue (déjà présents chez OpenAI), Baillie Gifford (aussi chez GraphCore), BlackRock (bien implanté dans l’IA), Blackstone (présent au Royaume-Uni avec un datacenter IA), D1 Capital Partners (déjà présent à la levée de fonds Anthropic de mars), Qatar Investment Authority, etc.

Selon la société, cette manne financière « augmentera la capacité de répondre à la demande croissante des entreprises, permettra d’approfondir les recherches en matière de sécurité et soutiendra l’expansion à l’international. Nous continuons à construire des systèmes d’IA fiables, interprétables et ajustables ».

Anthropic revendique « plus de 300 000 clients professionnels » et affirme que le nombre de grands comptes – c’est-à-dire des clients générant plus de 100 000 dollars de chiffre d’affaires par an – « a été multiplié par près de 7 sur un an ».

Claude Code est au rendez-vous avec « plus de 500 millions de dollars de revenus annualisés, et une utilisation multipliée par plus de dix en seulement trois mois ». De manière générale, la croissance de l’entreprise est importante.

Début 2025, soit environ deux ans après le lancement de Claude, « le chiffre d’affaires annuel d’Anthropic atteignait environ 1 milliard de dollars. En août 2025, soit à peine huit mois plus tard, il dépassait les 5 milliards de dollars ».

Selon Le Figaro, « Anthropic s’impose comme la quatrième société privée [non cotée, NDR] la plus chère dans le monde, derrière OpenAI, TikTok et SpaceX ». Après son tour de table de 40 milliards de dollars en mars, OpenAI était valorisée 300 milliards de dollars.

• OpenAI lève 40 milliards de dollars et promet un modèle partiellement ouvert

Alors que l’entreprise est poursuivie par la famille d’un adolescent étasunien qui s’est suicidé, OpenAI annonce mettre en place, d’ici un mois, une fonction de contrôle parental sur son chatbot.

Elle expliquait récemment qu’elle scannait les conversations de ses utilisateurs à la recherche d’usages problématiques. Les informations récoltées peuvent amener à un signalement aux autorités s’il y a un « risque immédiat de violence physique envers autrui » mais l’entreprise précisait qu’elle ne rapportait pas « les cas d’automutilation aux forces de l’ordre afin de respecter la vie privée des utilisateurs, compte tenu du caractère confidentiel des interactions avec ChatGPT ».

Dans un billet de blog publié ce mardi 2 septembre, OpenAI détaille un petit peu les fonctionnalités du contrôle parental qu’elle va mettre en place. Les parents auront la possibilité de :

• « Lier leur compte à celui de leur adolescent (âgé d’au moins 13 ans) grâce à une simple invitation par e-mail »
• « Contrôler la manière dont ChatGPT répond à leur adolescent grâce à des règles de comportement adaptées à son âge, activées par défaut.
• Gérer les fonctionnalités à désactiver, notamment la mémoire et l’historique des conversations »
• « Recevoir des notifications lorsque le système détecte que leur adolescent est en situation de détresse aiguë. Des avis d’experts guideront cette fonctionnalité afin de renforcer la confiance entre les parents et les adolescents »

Dans un exercice de communication qui réagit aux nombreux cas problématiques d’utilisation de son chatbot, OpenAI explique aussi avoir mis en place un « conseil d’experts sur le bien-être et l’IA » ainsi qu’un « réseau de médecins mondial » pour lui « fournir à la fois l’expertise médicale spécialisée approfondie et la perspective globale nécessaires pour éclairer [son] approche ».

IA quoi ?

Après avoir réorganisé à grand bruit ses équipes pour créer un Superintelligence Labs, Meta voit plusieurs de ses employés quitter ou menacer de quitter ses équipes, quelques semaines à peine après y être entrés.

Que se passe-t-il chez Meta ? Après avoir proposé des packages de plusieurs dizaines de millions de dollars pour débaucher des ingénieurs des équipes d’Apple, d’OpenAI ou encore d’Anthropic, voilà que la société de Mark Zuckerberg fait face à une fronde de ses nouvelles équipes.

Réorganisation en profondeur

Dans les mois récents, la société a déclaré investir des centaines de milliards de dollars dans des datacenters pensés pour développer de l’intelligence artificielle, et créer un nouveau Meta Superintelligence Labs.

Après avoir embauché plus de 50 personnes dans le domaine, l’entreprise a gelé mi-août ses embauches dédiées à l’IA et empêché les employés de changer d’équipes en interne. D’après un porte-parole de l’entreprise interrogé par le Wall Street Journal, ce type de procédure est classique pour « créer une structure solide ». Et de préciser qu’une forme d’attrition est « normale pour toute entreprise de cette taille ».

Plusieurs spécialistes de l’IA quittent le navire

Quelques jours à peine après son arrivée sur place, Shengjia Zhao, co-créateur de ChatGPT chez OpenAI, menaçait pourtant de retourner chez son employeur précédent. D’après les informations du Financial Times, l’ingénieur est allé jusqu’à signer de nouveaux documents administratifs d’emploi chez OpenAI avant de se voir attribuer le titre de « directeur scientifique en IA » chez Meta.

Avant Shengjia Zhao, plusieurs autres personnes récemment embauchées pour construire le Superintelligence Labs ont déjà tourné casaque. C’est le cas, par exemple, de l’expert en machine learning Ethan Knight, d’Avi Verma, ancien chercheur de chez OpenAI, ou de Rishabh Agarwal, scientifique qui avait rejoint Meta en avril.

Des profils plus anciens s’en vont aussi. Ainsi de Chaya Nayak et Loredana Crisan, qui avaient rejoint les équipes dédiées à l’IA générative mais étaient dans l’entreprise depuis 9 et 10 ans, l’ont quittée dans les dernières semaines. Chaya Nayak a rejoint… OpenAI.

Valse managériale

Meta a annoncé en août faire évoluer ses projets de développement de l’IA en quatre équipes distinctes – la quatrième modification de ce type en six mois. L’une, dédiée à la « superintelligence », est nommée « TBD Lab » (pour « to be determined », ce qui signifie que son nom définitif est encore en discussion). Une autre est dédiée aux produits d’IA, une troisième à l’infrastructure et la dernière aux projets de plus long terme.

Alexandr Wang, le cofondateur de Scale AI débauché en juin, dirigerait le TBD Lab, dédié à créer de nouveaux modèles, alors que l’entreprise a renoncé à rendre son grand modèle Llama Behemoth accessible au public.

Mark Zuckerberg reste très investi dans les projets de l’entreprise dédiés à l’IA, au point que certaines sources du Financial Times évoquent des formes de « micro-management ».

Des personnalités présentes dans l’entreprise depuis plusieurs années se retrouvent par ailleurs touchées par ces évolutions. Yann Le Cun, par exemple, reste directeur scientifique de l’intelligence artificielle de Meta, mais se retrouve désormais sous les ordres d’Alexandr Wang. Quant à Chris Cox, le directeur produit sur lequel Mark Zuckerberg s’est longuement appuyé, il garde le titre, mais doit lui aussi désormais s’en remettre à Alexandr Wang, et perd du même coup la gestion des produits d’IA générative.

• Scale AI licencie 14 % de ses équipes juste après l’investissement de Meta

Infomaniak vient d’envoyer un email à ses clients pour les informer d’« un acte malveillant » qui visait l’un de ses systèmes de gestion. « Grâce à nos systèmes de protection et l’intervention de nos équipes de sécurité, nous l’avons détecté et bloqué. Rien n’indique que des données aient pu être compromises ». La société ne précise pas quand l’attaque s’est déroulée.

Le but de l’attaque était, selon Infomaniak, de récupérer des informations liées aux comptes : « nom, prénom, numéro de téléphone, adresse, données contractuelles ainsi que les mots de passe (stockés de manière chiffrée et donc inutilisables) ».

Bref, le chapelet malheureusement habituel de données personnelles dérobées par des pirates lors d’attaques réussies, comme c’est le cas trop régulièrement ces derniers mois. Infomaniak se veut rassurant : « Dans tous les cas, les données que vous avez confiées à nos services (Mail, kDrive, kChat, Hébergements, etc.) ainsi que vos moyens de paiement sont protégés et en sécurité ».

L’hébergeur continue par contre son message avec une demande surprenante en l’absence de fuite : « Nous ne prenons aucun risque : c’est pourquoi nous vous invitons, par précaution, à modifier le mot de passe de votre compte (besoin d’aide ?) ».

L’entreprise rappelle enfin les règles de bonne conduite : activez la double authentification, utilisez des mots de passe différents pour chaque site/service et « ne communiquez jamais un mot de passe ou des données bancaires ou personnelles par e-mail, SMS ou téléphone ».

How to make it in China

Dans un contexte de tensions soutenues entre la Chine et les États-Unis, les marchés saluent les résultats de sociétés comme Cambricon ou Alibaba, tirés par la course à l’IA.

Avec la rentrée vient la saison des résultats trimestriels des entreprises cotées en bourse, l’occasion d’observer la manière dont les investisseurs envisagent les sociétés chinoises. La politique de Donald Trump est de plus en plus fréquemment qualifiée d’« incohérente », voire de favorable à Xi Jinping. De son côté, le gouvernement chinois encourage ses entreprises à développer leurs propres puces électroniques pour réduire leur dépendance aux États-Unis dans la course à l’intelligence artificielle.

Dans ce contexte, les marchés asiatiques sont restés hésitants, fin août, dans l’attente des résultats du leader états-unien des semi-conducteurs, Nvidia. Depuis, le fabricant chinois Cambricon Technologies Corp Ltd a annoncé un bénéfice record sur le premier semestre 2025, tandis que les cours de Semiconductor Manifacturing International Corp, qui écoule le plus gros volume de puces chinoises, et de Hua Hong Semiconductor Ltd grimpaient de quelques points.

• Le gouvernement des États-Unis prendra une part des ventes de NVIDIA et AMD en Chine

Quand bien même les sociétés chinoises sont décrites comme loin de pouvoir rivaliser avec les meilleurs microprocesseurs américains, elles travaillent à construire de quoi remplacer les H20, les puces de Nvidia les plus performantes que la société soit autorisée à exporter sur place. Investie, elle aussi, dans ce type de projet, et fournisseuse d’outils d’IA via ses services cloud, Alibaba a de son côté dévoilé des résultats trimestriels qui ont fait bondir son cours de bourse.

• Semi-conducteurs : les États-Unis intensifient les restrictions visant la Chine

Cambricon et Alibaba, tirés par la bataille de l’IA

S’il est une société à suivre dans la bataille commerciale et technologique que se livrent les États-Unis et la Chine, c’est probablement Cambricon Technologies. Fondée en 2015 par deux frères, Chen Yunji et Chen Tianshi, Cambricon s’est retrouvée en grandes difficultés fin 2022, quand Washington l’a ajoutée à sa liste de restrictions commerciales, l’empêchant de recourir à des technologies états-uniennes et aux services de fonderie du leader taïwanais TSMC.

En ce mois de septembre 2025, en revanche, la société a rapporté un bénéfice de 1,03 milliard de yuans contre une perte de 533 millions de yuans l’année précédente, une évolution permise par une multiplication de son chiffre d’affaires par 44.

Envisagée comme l’un des leviers de l’indépendance chinoise en matière de puces d’IA, Cambricon a ainsi atteint une valorisation de 70 milliards de dollars, soit 70 % de la valorisation d’Intel (107 milliards de dollars, 92 milliards d’euros), calcule le South China Morning Post. Et ce, en neuf ans d’existence, quand le géant américain – aujourd’hui en difficulté – y est parvenu en trois fois plus de temps.

• L’administration Trump prend 9,9 % du capital d’Intel

Ce 1ᵉʳ septembre, le cours d’Alibaba a lui aussi bondi après que la société a publié de bons résultats trimestriels et dévoilé de premières informations sur le développement de sa nouvelle puce dédiée à l’IA. Le géant du commerce en ligne rapporte un chiffre d’affaires de 247,65 milliards de yuans (29,85 milliards d’euros), en augmentation de 2 % sur un an, tirée notamment par l’augmentation de 26 % du chiffre d’affaires issu des ventes cloud.

Comme la plupart des géants numériques chinois et états-uniens, Alibaba investit clairement dans ses infrastructures d’IA, développe ses propres modèles, et vend ses services d’IA avec les offres cloud en question, relève CNBC. En l’occurrence, T-head, son unité de développement de semi-conducteurs, développe une nouvelle puce spécifiquement dédiée à l’IA. Alibaba prévoit d’y investir 380 milliards de yuans (45,8 milliards d’euros).

ByteDance, première société de réseau social en chiffre d’affaires

Sur le marché des réseaux sociaux aussi, valeurs chinoises et américaines s’opposent. Les résultats de ByteDance, la maison mère de TikTok, ont en effet grimpé de 25 % d’une année sur l’autre, dépassant les 48 milliards de dollars (41,27 milliards d’euros), relevait Reuters fin août. C’est le deuxième trimestre d’affilée que son chiffre d’affaires dépasse celui de Meta, poussant ByteDance à la première position des sociétés de réseaux sociaux.

La société chinoise prévoit par ailleurs un programme de rachat d’actions à destination de ses employés pour le mois d’octobre. L’opération devrait porter sa valorisation à 330 milliards de dollars (283,59 milliards d’euros), encore loin derrière les 1 600 milliards de dollars de capitalisation de Meta.