L’annonce a été faite ce matin : « Nous sommes ravis d’annoncer que le Conseil d’Administration de Mageia a officiellement validé la publication de la première image ISO Alpha pour Mageia 10 ». Attention, nous sommes encore loin d’une version stable, il s’agit ici de commencer « des tests à grande échelle par la communauté » pour collecter des retours.
Les images ISO de cette mouture sont disponibles pour des « installations traditionnelles sur les systèmes 32 bits (i686) et 64 bits », ce qui est de plus en plus rare en mode 32 bits (le CPU doit supporter le jeu d’instructions SSE2 pour Mageia 10). Ubuntu par exemple a arrêté il y a plusieurs années.
Mageia 10 est livrée avec le noyau Linux 6.6, X.Org 21.1.13 et XWayland 24.1.0. Il y a également des « images Live Desktop présentant des bureaux populaires tels que Plasma, GNOME et Xfce ». Les notes de version détaillées se trouvent par ici. Pour signaler des bugs, c’est par là que ça se passe.
La suite du calendrier a été annoncée en décembre : « une première version bêta prévue pour la première moitié de janvier 2026, suivie d’une deuxième version bêta un mois plus tard. La version release candidate est prévue deux semaines après la deuxième version bêta, tandis que la version finale est attendue en avril 2026 ». Cette date d’avril 2026 est confirmée dans le billet de blog du jour.
Le Cambodge a extradé en Chine un milliardaire accusé d’avoir supervisé des centres de travail forcé dédiés aux cyberarnaques à la romance et aux cryptoactifs de type « pig-butchering » (« arnaque à l’abattage du cochon » en français). En octobre dernier, les autorités états-uniennes et britanniques avaient déjà saisi ses propriétés en Grande-Bretagne (un immeuble de la City, un manoir et 17 appartements à Londres), ainsi que l’équivalent de 15 milliards de dollars en bitcoins.
Les autorités cambodgiennes ont annoncé mercredi soir l’arrestation et l’extradition vers la Chine de trois ressortissants d’origine chinoise, dont Chen Zhi, rapporte l’AFP. Fondateur et président du Prince Holding Group, un conglomérat international, il était accusé d’avoir orchestré « l’une des plus grandes opérations de fraude à l’investissement de l’histoire », d’après Joseph Nocella Jr., procureur fédéral du district de New York.
L’extradition a été confirmée par le ministère chinois de la Sécurité publique, qui a salué un « succès très important de la coopération Chine-Cambodge », et diffusé une vidéo du magnat menotté à sa descente d’avion. Il a aussi annoncé que des mandats d’arrêt contre le premier cercle de ses complices seraient bientôt émis.
Capture d’écran d’une vidéo de l’extradition en Chine de Chen Zhi
L’une des plus grandes organisations criminelles transnationales d’Asie
Le ministère états-unien de la Justice avait déjà annoncé, en octobre 2025, « la plus grande action en confiscation jamais engagée », correspondant à « 127 271 bitcoins » d’une valeur d’environ 15 milliards de dollars, ainsi qu’un immeuble de bureaux dans la City, un manoir et 17 appartements à Londres, comme nous l’avions relaté dans un précédent long format à son sujet.
Cette fortune aurait été accumulée via des extorsions menées sur des centaines de « victimes de traite d’êtres humains et d’esclavage moderne » détenues « contre leur gré », et pour certaines torturées, dans des complexes abritant de vastes dortoirs entourés de hauts murs et de barbelés, qualifiés de « camps de travaux forcés ».
Le Cambodge a aussi annoncé la liquidation de la banque Prince fondée par Chen Zhi, qui gérerait environ un milliard de dollars d’actifs, mais que les États-Unis accusent de servir de paravent à l’« une des plus grandes organisations criminelles transnationales d’Asie ».
L’un des plus généreux donateurs du Parti du peuple cambodgien
Né en Chine mais citoyen britannique, Chen Zhi avait obtenu la nationalité cambodgienne en 2014, et avait gravi les échelons jusqu’à devenir conseiller de l’ancien Premier ministre cambodgien Hun Sen et de son fils et successeur au poste de Premier ministre Hun Manet. Il était aussi l’un des plus généreux donateurs du Parti du peuple cambodgien (PPC) au pouvoir, rapporte le Courrier International. Chen Zhi et de hauts responsables auraient ainsi usé de leur influence politique et corrompu des fonctionnaires dans plusieurs pays pour protéger leurs activités illégales, relève l’AFP.
Le portrait de Chen Zhi sur le site web du Prince Holding Group
Dans une longue enquête publiée en 2024, Radio Free Asia soulignait que « depuis sa création il y a huit ans, le groupe Prince s’est imposé comme l’une des marques les plus omniprésentes du Cambodge » et que « son nom est présent dans presque tous les secteurs du marché cambodgien : centres commerciaux, supermarchés, banques, casinos, appartements, cinémas, immeubles de bureaux, jets privés, bateaux de plaisance, production cinématographique, hôtels, sociétés de capital-risque, services de VTC, restaurants, etc. »
Signe de sa chute, sa nationalité cambodgienne lui avait été retirée en décembre dernier, suite à des pressions répétées des USA et de la Chine, qui voient d’un mauvais œil ces centres frauduleux, qui rapportent des dizaines de milliards de dollars par an au Cambodge, au Myanmar et au Laos, pays désignés par l’Institut américain pour la paix comme épicentres de la traite des êtres humains et du crime organisé, souligne The Diplomat.
Une « goutte d’eau » dans la lutte contre la cybercriminalité au Cambodge
Interrogé par l’AFP, Jacob Sims, expert en criminalité transnationale, ne voit cela dit dans cette arrestation et extradition qu’« une goutte d’eau » dans la lutte contre la cybercriminalité au Cambodge, « à moins que le même type de pressions » ne soit appliqué pour « d’autres barons de l’arnaque » et « les oligarques cambodgiens corrompus ».
En octobre dernier, Jacob Sims avait déjà qualifié Chen Zhi d’« acteur profondément ancré dans l’État cambodgien », précisant que « son influence s’étend à tous les niveaux du gouvernement, et le Prince Group est depuis longtemps l’un des principaux soutiens financiers du parti au pouvoir ».
Le phénomène des centres d’arnaque au Cambodge est tellement prégnant qu’ils ont même droit à un article dédié sur Wikipedia. Amnesty International en a identifié au moins 53, qui emploieraient entre 100 000 et 150 000 personnes, générant entre 12 et 19 milliards de dollars par an, soit plus de la moitié du PIB du pays d’après l’United States Institute of Peace.
Au 1ᵉʳ décembre 2025 (relevé sur le mois de novembre), Free disposait encore de 21 137 sites en service dans les 900 MHz, ainsi que 181 sites dans les 2100 MHz. Au 1ᵉʳ janvier 2026, la situation a bien changé : 6 303 sites 3G en service dans les 900 MHz, 0 dans les 2 100 MHz.
Free a donc perdu près de 15 000 sites en service dans les 900 MHz en 3G… mais en gagne dans le même temps plus de 11 000 en 4G, toujours dans les 900 MHz. La 3G dans les 900 MHz chez les trois autres opérateurs ne change que peu avec ± une centaine de sites maximum.
C’est le seul opérateur sur le mois de décembre à annoncer des changements sur cette bande de fréquence pour la 4G. Les trois autres ne laisseront pour rappel la 3G de côté qu’à partir de 2028, ils continuent donc d’assurer un service à leurs clients d’ici là.
En janvier, Free est d’ailleurs toujours le seul opérateur avec des sites 4G en service dans les 900 MHz, avec désormais près de 24 000 sites (pour un peu plus de 26 000 autorisations). Orange a quatre autorisations, mais aucune mise en service.
Ce midi, Clément Domingo (alias SaxX sur les réseaux sociaux) explique, capture d’écran à l’appui, que « le site internet de l’euro-députée Sara Knafo expose toutes les données personnelles des parisiens qui expriment leurs souhaits pour un futur Paris ! ».
Élections Municipales – Le site internet de l'euro-députée Sara Knafo expose toutes les données personnelles des parisiens qui expriment leurs souhaits pour un futur Paris !
Attention aux sites internet "vibecodé"… qui exposent/exposeront les données personnelles des… pic.twitter.com/S6pojT781V
1h30 plus tard, CheckNews confirme. En quelques clics, nos confrères ont « pu constater que ces données privées étaient effectivement accessibles ce vendredi midi. Parmi les 607 contributions enregistrées, nous avons pu distinguer 458 mails uniques, 437 adresses IP, et 187 numéros de téléphone renseignés ».
Lorsque SaxX a publié son message sur X, la faille était donc toujours présente, permettant ainsi à n’importe qui de récupérer les données. D’ailleurs, sur Breachforum, on retrouve déjà des publications à ce sujet. Un des membres « s’amuse » d’ailleurs de la situation : « Ce n’est pas une divulgation responsable, tu es un pirate informatique, SaxX ! Bienvenue du côté obscur ».
La coupe est pleine ? Peut être pas… selon Seblatombe, toujours sur X : « Pire encore, les cartes et photos d’identités apparaissent en clairs dans le code. Les photos ne sont pas demandées par le site. Elles sont publiées de manière volontaire par certaines personnes ayant rédigé un commentaire. Certains commentaires n’en contiennent aucune, tandis que d’autres en affichent », explique-t-il.
D’après nos constatations, il y a une petite vingtaine de photos, dont une seule avec une pièce d’identité tronquée. Pour le reste, ce sont des photos de la ville de Paris, de personnes… Il y a aussi un chien et des poubelles.
CheckNews a aussi repéré un même email « utilisé jusqu’à 20 fois, avec des pseudonymes différents ». Des propositions étaient aussi associées à un email de Sarah Knafo, mais cette dernière affirme à nos confrères qu’elle n’est pas à l’origine des messages. Dans ce genre de formulaire, il est possible d’indiquer n’importe quel email pour rappel.
La principale intéressée, qui s’est déclarée le 7 janvier dernier candidate à la mairie de Paris, affirme à nos confrères avoir « corrigé » l’erreur. Le site participatif Paris à cœur ouvert de la candidate du parti d’extrême droite Reconquête fondé par son compagnon Eric Zemmour affiche désormais une « information importante » : « L’ultra gauche n’aime pas la démocratie et tente de pirater le site ». Rappelons qu’il n’y a a priori pas de piratage ici puisque les données étaient lisibles directement depuis la console des navigateurs.
La première ligne de la politique de confidentialité du site affirme que « Sarah Knafo pour Paris (ci-après, « Nous »), s’engage, en tant que responsable du traitement de vos Données Personnelles, à protéger votre vie privée ».
Dans la même journée, ce site de Sarah Knafo faisait l’objet d’un signalement à la procureure de la République par le sénateur Ian Brossat : « À peine en ligne, le site participatif de Mme Knafo est déjà un déferlement de propos racistes, y compris d’appels au meurtre. Le racisme n’est pas une opinion. C’est un délit », indique-t-il sur X, avec une copie de son signalement.
Check News parlait de 607 contributions à 13h30, il y en a 634 à l’heure actuelle. Mais, pour le moment, la page des contributions n’affiche plus que l’« information importante ».
Le ministère des Armées et des Anciens Combattants a annoncé [PDF] ce jeudi 8 janvier avoir signé un accord-cadre avec Mistral.
Cela doit permettre « à l’ensemble des armées, directions et services du ministère, ainsi qu’à des établissements publics dont le ministère a la tutelle, dont le Commissariat à l’énergie atomique et aux énergies alternatives, l’Office national d’études et de recherches aérospatiales et le Service hydrographique et océanographique de la marine, d’accéder aux solutions d’intelligence artificielle avancées proposées par Mistral AI ».
C’est la récente Agence ministérielle pour l’intelligence artificielle de défense (AMIAD) qui pilotera cet accord-cadre. Celui-ci permet à toutes les entités du ministère d’accéder « aux modèles, logiciels et prestations d’IA de pointe développés par Mistral AI ».
Logo Mistral
Chargée de mettre en oeuvre la stratégie ministérielle pour l’IA de défense, l’AMIAD a inauguré en septembre dernier son supercalculateur classifié installé au Mont-Valérien à Suresnes, aux portes de Paris, dont la construction avait été confiée à Orange et HPE.
Contacté par Next, Mistral n’a pas souhaité en dire plus au sujet de cet accord-cadre.
De l’autre côté de l’Atlantique, fin décembre, le ministère de la Guerre (DoW, ex-ministère de la Défense renommé en septembre) de Donald Trump annonçait des accords avec Google Gemini et xAI afin d’alimenter sa nouvelle plateforme GenAI.mil.
Alors que l’administration de Donald Trump voulait diviser par deux le budget scientifique de la NASA, après négociation entre démocrates et républicains, le Congrès des États-Unis prévoit une baisse de 1 %. Toutefois le Sénat et la Chambre des représentants ont entériné la mort du projet Mars Sample Return que les États-Unis avaient déjà quasiment abandonné.
L’année 2026 devrait être moins problématique que prévu concernant le budget scientifique de la NASA. Alors que l’administration de Donald Trump proposait dès mars 2025 une baisse de 50 %, les élus républicains et démocrates du Congrès des États-Unis ont négocié qu’il baisse de 1 %, rendant à l’agence spatiale états-unienne les moyens dont elle a besoin pour effectuer ses recherches.
Une baisse de 2 % du budget total de la NASA au lieu des 25 % prévus par Trump
Comme l’explique ArsTechnica, le projet de budget total de la NASA avec notamment l’exploration spatiale (comprenant les missions vers la Lune voulues par Donald Trump) prévu par les élus pour 2026 devrait atteindre les 24,4 milliards de dollars. C’est 2 % de moins que les 24,9 milliards de dollars du budget de l’agence pour 2025, une baisse aussi beaucoup moins importante que celle voulue par Donald Trump qui avait prévu de l’amputer d’un quart. À titre de comparaison, le budget de l’ESA est de 22,1 milliards d’euros pour 2026, avec 3,787 milliards d’euros pour le programme scientifique.
« Franchement, c’est mieux que ce que j’aurais pu espérer. Il y a très peu de choses à redire à ce sujet », a déclaré Casey Dreier, responsable de la politique spatiale pour The Planetary Society à nos confrères, même s’il regrette la perte de temps et d’énergie qu’ont dû endurer ses équipes pour réfléchir à la manière de fonctionner avec les coupes drastiques prévues par Donald Trump.
Cette décision n’annulera cependant pas le plan de départs volontaires mis en place l’année dernière au sein de l’agence ni la fermeture de bâtiments et de services comme la principale bibliothèque.
Plus de budget pour Mars Sample Return
Le compromis sur le budget [PDF], explique par contre que « l’accord ne soutient pas le programme Mars Sample Return (MSR) existant ». C’est donc l’arrêt définitif du financement par les États-Unis du retour des échantillons géologiques de sol martien récoltés par le rover Perseverance. Le programme était déjà sur la sellette avant le retour de Trump au pouvoir. En avril 2024, la NASA lançait un appel pour trouver des solutions moins coûteuses.
En octobre dernier, des chercheurs de la NASA et de l’ESA publiaient quatre articles sur le sujet de la récupération de ces échantillons dans la revue scientifique Astrobiology. Une autre équipe de chercheurs proposait son regard sur la question dans la même revue en décembre dernier. Une des questions, explique l’ESA dans ce billet de blog est d’éviter la contamination des échantillons avec la chimie terrestre.
Mais le Congrès des États-Unis met donc une croix quasiment définitive sur le financement du projet de son côté de l’Atlantique. « Cependant, les capacités technologiques développées dans le cadre du programme MSR sont non seulement essentielles à la réussite des futures missions scientifiques, mais aussi à l’exploration humaine de la Lune et de Mars », explique quand même le document de compromis sur le budget.
« Par conséquent, l’accord prévoit une demande de 110 000 000 dollars pour le programme Mars Future Missions, y compris les efforts MSR existants, afin de soutenir les systèmes radar, spectroscopie, entrée, descente et atterrissage, ainsi que les technologies précurseurs translationnelles qui permettront de mener à bien les missions scientifiques de la prochaine décennie, y compris les missions lunaires et martiennes ».
« Mars Future Missions » n’était jusque là pas un nom de programme connu au sein de la NASA. L’argent prévu pour cette nouvelle mission pourrait permettre à la NASA d’appuyer sur le bouton reset, selon Jack Kiraly, directeur des relations gouvernementales à la Planetary Society cité par la revue Science.
ZefZERO, le plan B de l’ESA pour utiliser autrement l’Earth Return Orbiter
Vu les projets de coupes drastiques dans le budget de la NASA de Trump l’année dernière et les déboires passés du programme MSR, l’ESA a présenté en novembre dernier un plan B, nommé ZefZERO pour réutiliser sa contribution principale au projet, l’Earth Return Orbiter. Celui-ci devait récupérer les échantillons après s’être positionné en orbite martienne.
Dans cette nouvelle mission européenne, l’orbiteur devrait mesurer des vents martiens à différentes altitudes de la planète rouge, selon La Tribune. « Ces mesures directes de vents n’ont jamais été faites en dehors de la Terre à ce jour. Ce serait vraiment une première », expliquait Daniel Neuenschwander, le directeur de l’exploration humaine et robotique de l’ESA.
Illustrée par une vague de deepfakes visant à dénuder des femmes sur X, la permissivité de l’IA générative Grok en matière de détournements de photos soumises par des internautes n’en finit plus de faire des vagues, en France comme dans le reste du monde. Récap’ au long cours d’une ténébreuse affaire…
« Grok, mets la en bikini ». Déjà étendue aux propos négationnistes tenus par Grok, l’enquête sur X lancée par le parquet de Paris à l’été 2025 a gagné début janvier un nouveau volet, relatif à la vague d’images de femmes virtuellement dénudées sans leur consentement. Depuis, les réactions et les menaces de rétorsion s’enchaînent, en Europe comme dans le reste du monde, compliquant la compréhension de la controverse qui enfle.
Pour essayer d’en simplifier le suivi, Next se propose de centraliser les différents rebondissements de l’affaire au sein de cet article, avec une lecture antéchronologique des faits. Cet article est donc susceptible d’être actualisé.
Publication initiale le 9 janvier à 12 heures. Dernière modification le 12 janvier à 08h35.
11 janvier – l’Indonésie et la Malaisie décident de bloquer l’accès à Grok
À quelques heures d’intervalle, l’Indonésie (samedi) puis la Malaisie (dimanche) ont annoncé ce week-end leur décision de suspendre l’accès à Grok, une première à l’échelle internationale. « Le gouvernement considère la pratique des deepfakes sexuels non consensuels comme une grave violation des droits de l’homme, de la dignité et de la sécurité des citoyens dans l’espace numérique », a justifié dans un communiqué Meutya Hafid, la ministre indonésienne en charge du numérique et des communications. Contacté par l’agence Reuters pour une réaction, xAI s’est contenté d’un mail de réponse automatisé : « les médias traditionnels mentent ».
La Malaisie a de son côté affirmé dans un communiqué qu’elle suspendrait l’accès à Grok tant que l’outil serait en mesure de « générer des images manipulées obscènes, à caractère sexuel explicite, indécentes, grossièrement offensantes et non consensuelles, y compris du contenu impliquant des femmes et des mineurs ». C’est la Malaysian Communications and Multimedia Commission (MCMC, équivalent local de l’Arcom française) qui a porté le message dimanche.
Elle indique avoir formellement demandé à X et xAI la mise en place de garde-fous adaptés, mais les réponses obtenues, basées sur la capacité des utilisateurs à signaler un contenu problématique, n’ont pas été considérées comme suffisantes pour « prévenir les dommages ou garantir le respect de la loi ». Lundi matin (heure de Paris), le site de la MCMC était inaccessible.
9 janvier – Grok dit restreindre la création d’images aux comptes payants
xAI et surtout Elon Musk auraient-ils fini par prendre la mesure du phénomène ? Vendredi matin, l’éditeur de Grok semble avoir introduit une mesure de protection inédite : le service indique, en réponse à une requête d’internaute, que la génération d’images est désormais réservée aux détenteurs d’un abonnement payant à Grok.
À 44,33 euros par mois (prix de Grok Premium+ en facturation mensuelle), cette restriction est censée réduire le volume d’images problématiques générées par Grok et diffusées sur X. En revanche, elle ne s’accompagne, pour l’instant, d’aucune modification identifiée de la politique de modération du modèle.
Vendredi 9 janvier matin, Grok répond à une demande de transformation d’une photo de femme en version dénudée que la génération et l’édition d’images est « pour l’instant » limitée aux abonnés payants
La soi-disant restriction se révèle cependant moins stricte qu’il n’y paraissait au premier abord, comme l’a fait remarquer The Verge : en réalité, la génération d’image est bloquée pour les comptes gratuits lorsque l’internaute demande à Grok d’intervenir dans le déroulé d’une conversation.
Elle reste cependant accessible aux comptes gratuits par d’autres canaux : il suffit par exemple de cliquer sur une photo affichée dans le flux à partir de la version desktop de X pour se voir proposer l’option de modification par Grok. À 16 heures vendredi sur un compte X non premium hébergé en France, la requête visant à dénuder le sujet de la photo restait dans ce contexte bien accessible.
La restriction aux comptes gratuits prend des airs de faux-semblants… capture Next
9 janvier – 107 millions de dollars de CA et 1,46 milliards de pertes pour xAI au 3e trimestre
L’entreprise d’IA pilotée par Elon Musk peut s’enorgueillir d’avoir bouclé début janvier une importante levée de fonds de 20 milliards de dollars, qui va notamment lui permettre de financer la construction d’un nouveau datacenter, Colossus III, annoncé comme l’un des plus importants calculateurs dédiés à l’IA au monde. Si xAI poursuit sa très ambitieuse trajectoire d’investissement, les actionnaires doivent pour l’instant accepter de financer une société qui brûle aujourd’hui dix fois plus de cash qu’elle n’en engrange.
D’après les chiffres dévoilés vendredi matin par Bloomberg, xAI aurait en effet enregistré 107 millions de dollars de chiffre d’affaires sur le troisième trimestre 2025, clos au 30 septembre dernier. Elle aurait dans le même temps déclaré une perte nette de 1,46 milliard de dollars. En cumulé, le déficit se monterait à 7,8 milliards de dollars depuis le début 2025.
8 janvier – la Belgique et le Royaume-Uni menacent de suspendre X
En Belgique, la ministre fédérale en charge du Numérique Vanessa Matz a déclaré jeudi 8 janvier qu’elle analysait les différents leviers possibles pour suspendre l’accès à Grok et donc potentiellement à X, tant que le réseau social d’Elon Musk ne respectait pas ses obligations. La récente loi belge contre le revenge porn donnerait un levier actionnable pour une telle éviction, a-t-elle estimé.
« Ces atteintes graves à la dignité humaine relèvent d’un choix assumé de la plateforme, a déclaré la ministre, citée par le Soir. Elon Musk orchestre un coup de communication et de marketing fondé sur un usage profondément immoral de son intelligence artificielle, allant jusqu’à tourner ces violences en dérision, comme en témoigne la publication d’une photo de lui-même en bikini pour illustrer son prétendu intérêt pour la question ».
Même son de cloche outre-Manche, où c’est le Premier ministre Keir Starmer qui est monté au créneau jeudi, affirmant qu’il avait demandé à l’Ofcom (l’Arcom locale) d’étudier toutes les options possibles pour mettre un terme aux dérives permises par X et Grok : « C’est scandaleux. C’est révoltant et intolérable. X doit se ressaisir et retirer ce contenu. Nous prendrons des mesures car c’est tout simplement intolérable ». Le très controversé Online Safety Act donne en théorie au gouvernement britannique des moyens d’action.
8 janvier – un mode spicy voulu par Elon Musk ?
Quelle est la responsabilité directe d’Elon Musk dans la souplesse de xAI vis-à-vis de son modèle ? Et le développement de ces deepfakes à connotation sexuelle pourrait-il être intentionnel ? C’est la question posée jeudi par CNN. Le média souligne qu’en août dernier, Musk rappelait, clin d’œil à l’appui, que c’est la diffusion de contenus osés qui avait favorisé la victoire du VHS sur le format concurrent Betamax, à l’époque des cassettes vidéo.
Et d’après CNN, l’entrepreneur se serait ému à plusieurs reprises, en interne chez xAI, des restrictions imposées à Grok. Ses envies décomplexées ont-elles contribué au départ, signalé mi-novembre par The Information, d’une bonne partie des équipes en charge de la confiance et de la sécurité chez xAI ? À défaut d’être confirmée, l’hypothèse est soulevée par plusieurs commentateurs.
8 janvier – une victime de la police de l’immigration dénudée par Grok
Un cran supplémentaire dans l’abject ? Jeudi, plusieurs internautes se sont émus d’un nouveau montage permis par Grok et diffusé sur X : une version déshabillée de Renee Nicole Good, tuée la veille en plein jour et en pleine rue, à Minneapolis, par l’ICE, la police états-unienne de l’immigration.
Non content de livrer l’image demandée, l’IA générative accompagne les remerciements d’un message sarcastique (par ailleurs récurrent) sur les dysfonctionnements de garde-robe qu’elle corrige.
« Qu’est-ce qui a bien pu se passer chez l’équipe de @xAI ? Pour que leur produit permette à Grok de créer ce genre de contenu ? », s’émeut un internaute relayant la séquence en question.
Alors que des manifestations enflent à Minneapolis en raison d’un tir mortel attribué à l’ICE, Grok déshabille la victime sur X
8 janvier – L’Europe impose à X une mesure conservatoire
La Commission européenne a annoncé jeudi avoir pris une « ordonnance de conservation » qui impose à X « de conserver tous ses documents internes relatifs à Grok, et ce jusqu’à la fin 2026 », d’après un porte-parole cité par l’AFP.
Cette mesure juridique vise à garantir à l’exécutif européen la capacité à remonter les archives de X, soit dans le cadre des enquêtes déjà ouvertes à l’encontre du réseau social de xAI et d’Elon Musk, soit pour alimenter de nouvelles procédures.
7 janvier – Grok génèrerait 6 700 images à caractère sexuel par heure
Menée pendant 24 heures par une chercheuse indépendante et relayée par Bloomberg, une étude exhaustive des images produites par Grok entre les 5 et 6 janvier conclut que l’IA d’Elon Musk a généré, en moyenne et sur demande d’internautes, 6 700 images par heure relevant d’une démarche de sexualisation ou de nudité de la personne ciblée.
6 janvier – « the deepfake porn site formerly known as Twitter »
Mardi, le Financial Times est sorti de sa réserve habituelle, avec un papier au vitriol passant en revue l’état-major de X, illustré à l’aide de visuels modifiés par Grok. Directeur financier, investisseur historique, responsable de la conformité… tous se voient affublés de costumes de clown. La galerie de portraits est surmontée par un titre au vitriol : « Qui est qui chez X, le site de porno deepfake anciennement connu sous le nom de Twitter ? ». En ces temps troublés, on apprécie de voir que l’humour britannique n’a rien perdu de sa superbe.
6 janvier : Des victimes de l’incendie de Crans-Montana dénudées
Grok a répondu favorablement à des requêtes lui demandant de dénuder des victimes mineures du terrible incendie de Crans-Montana, qui a endeuillé la nuit du Nouvel-An : tel est le constat glaçant dressé notamment par l’édition suisse de 20 minutes. « En Suisse, la loi ne mentionne pas les deepfakes, mais leurs créateurs peuvent être poursuivis pour atteinte à la sphère intime, atteinte à la personnalité ou encore atteinte à l’honneur », remarque le quotidien gratuit.
Trois jours plus tôt, Elon Musk avait affirmé, sur X, que quiconque utilisait Grok pour produire des contenus illicites subirait les mêmes conséquences que s’il uploadait du contenu illicite, souligne Futurism dans sa propre chronologie de l’affaire.
5 janvier : l’Ofcom britannique et l’Europe tirent la sonnette d’alarme
Lundi 5 janvier, c’est sur X que l’Office of communications (Ofcom), l’autorité régulatrice des télécommunications au Royaume-Uni, a choisi de réagir à la polémique. « Nous avons contacté en urgence X et xAI afin de comprendre les mesures qu’ils ont prises pour se conformer à leurs obligations légales en matière de protection des utilisateurs au Royaume-Uni. En fonction de leur réponse, nous procéderons rapidement à une évaluation afin de déterminer s’il existe des problèmes de conformité potentiels justifiant une enquête ».
La Commission européenne a de son côté abordé le sujet lors d’une séance de questions-réponses avec la presse animée par l’un de ses porte-paroles, Thomas Regnier. Ce dernier a affirmé que Bruxelles regardait le sujet avec beaucoup d’attention, et a condamné sans ambages la permissivité de Grok. « C’est illégal. C’est scandaleux. C’est révoltant. Voilà comment nous le voyons, et cela n’a pas sa place en Europe », a-t-il déclaré, sans préciser à ce stade quelles mesures de rétorsion pourraient être envisagées.
Cette année, l’Autorité de la concurrence va rendre un avis sur les agents conversationnels, et notamment les conséquences pour l’e-commerce via des IA. Une révolution à venir qui nécessite des adaptations aussi bien côté revendeurs que fournisseurs de services et des solutions de paiement.
Après le cloud et l’IA générative, l’Autorité de la concurrence s’autosaisit d’un nouveau dossier, dans le prolongement des précédents : les agents conversationnels. Pour le dire plus simplement, on parle des « chatbots » tels que ChatGPT d’OpenAI, Claude d’Anthropic ou encore Le Chat de Mistral, pour ne citer que ces trois-là.
Ne pas confondre chatbot et agents conversationnels
Attention, précise l’Autorité, à ne pas amalgamer tous les chatbots. Son avis du jour ne concerne que les « agents conversationnels de type ChatGPT », pas l’ensemble des chatbots. En effet, ceux « qui gèrent les interactions avec des clients à l’aide d’un arbre de décision ne faisant pas nécessairement appel à l’intelligence artificielle » sont laissés de côté. De même que les « assistants virtuels fondés sur l’IA générative, comme Siri d’Apple, Alexa d’Amazon ».
L’Autorité de la concurrence dresse le portrait du secteur, qui s’organise autour de quelques grands acteurs : « ChatGPT d’OpenAI, serait le premier outil conversationnel avec 21,6 millions de visiteurs uniques au mois de septembre 2025. Derrière lui se trouverait Google Gemini (2,8 millions), Le « Chat » de Mistral AI (1,5 million), Perplexity (1,3 million), Microsoft Copilot (1 million) ».
On parle ici d’agents conversationnels « capables de comprendre le langage naturel, de répondre à des questions, de générer du texte, d’expliquer du code ou encore de créer des contenus visuels ». C’est un secteur « en pleine effervescence », selon l’Autorité.
Les acteurs cherchent à diversifier les possibilités et à monétiser
Dans le précédent dossier sur l’IA générative, l’Autorité s’est déjà penchée sur la base des agents conversationnels – les fameux modèles de fondation ; ce n’est donc pas l’objet de l’autosaisie du jour. Les entreprises derrière ces agents conversationnels « cherchent à diversifier les possibilités d’utilisation »… et s’intéressent surtout aux possibilités de monétisation « afin que ces services deviennent rentables ». Actuellement, les entreprises d’IA dépensent des milliards de dollars comme des petits pains.
Dans son enquête, l’Autorité va donc s’intéresser à plusieurs thématiques : l’intégration de la publicité (modalités d’affichage et conséquence sur le modèle économique), l’intégration des agents dans les services existants (effets de levier et autoréférence), car ces agents sont « mis en œuvre par des acteurs dominants », les partenariats et enfin la transformation des agents conversationnels en plateformes.
Les agents ne sont pas simplement des interfaces de questions et réponses, ils « tendent à devenir de véritables plateformes, permettant aux utilisateurs d’accéder directement à des services tiers sans quitter la fenêtre de conversation ». Une fonction qui tend à se développer avec les agents d’IA, c’est-à-dire des IA capables « d’agir en votre nom », pour reprendre une citation de Sundar Pichai (patron de Google) et d’interagir entre elles.
Des agents toujours plus présents et avec davantage « d’autonomie »
L’Autorité consacre d’ailleurs une partie de son communiqué à la question du (e-)commerce agentique. Non seulement les « éditeurs déploient des efforts importants pour développer des agents accompagnant les utilisateurs dans leur parcours d’achat », mais de manière plus générale « c’est tout l’écosystème de la vente en ligne qui pourrait devoir s’adapter à l’irruption et au développement du commerce agentique ».
Contrairement au sujet du cloud où l’Autorité avait bien pris son temps avant de s’autosaisir, elle est cette fois-ci bien plus réactive. Des agents d’IA et notamment pour de l’e-commerce, sont certes déjà une réalité, mais nous sommes encore au début de cette technologie.
L’Autorité va par contre laisser de côté tout un pan du sujet : « la relation entre les agents conversationnels et les moteurs de recherche ne fait pas partie du champ de l’avis ». Pourtant, ces agents sont de plus en plus utilisés comme moteur de recherche, avec des enjeux importants sur la diversité des sources. En plus du bien connu SEO (Search Engine Optimization), le GEO (Generative Engine Optimization) a largement le vent en poupe. Dommage, le sujet mériterait pourtant de s’y attarder.
Comme toujours en pareille situation, l’Autorité de la concurrence lancera prochainement une consultation publique, avant de rendre son avis dans le courant de l’année. « Les observations des parties prenantes viendront nourrir les travaux de l’Autorité ».
Dans un rapport pour Infostealers, la société spécialisée en cybersécurité Hudson Rock explique qu’un pirate est « en train de mettre aux enchères des données exfiltrées des portails de partage de fichiers d’environ 50 grandes entreprises mondiales ». Le pirate est entré dans des applications comme ShareFile, OwnCloud et Nextcloud qui permettent de stocker et partager des fichiers. Il n’avait plus qu’à se servir.
Le rapport explique que « ces défaillances catastrophiques de sécurité n’étaient pas le résultat d’exploitation de faille zero-day dans l’architecture de la plateforme, mais plutôt des suites d’infections malveillantes sur les appareils des employés, combiné à manque cruel de mise en place de l’authentification multi-facteurs (MFA) ».
Une des plateformes concernées, ownCloud, s’est fendue d’un billet de blog pour alerter ses utilisateurs. Elle rappelle qu’il ne s’agit pas d’une faille ni d’un piratage. Elle enjoint ses utilisateurs à activer la double authentification (ou authentification multi-facteurs) au plus vite si ce n’est pas déjà fait : « Des acteurs malveillants ont obtenu des identifiants utilisateurs via des logiciels malveillants de type infostealer installés sur les appareils des employés ». Sans double authentification, le pirate peut accéder au compte.
Ce rapport n’est qu’une goutte d’eau dans l’océan des manquements liés à la cybersécurité, mais il illustre bien les risques causés par un problème sur un compte. Si la double authentification n’est pas une protection absolue contre le piratage, c’est déjà une barrière de sécurité robuste et facile à mettre en œuvre, du moins si le service la propose.
La CNIL recommande évidemment d’utiliser l’authentification multifacteurs et va même plus loin. « En raison du grand nombre de violations intervenues l’an dernier [il était question de 2024, mais 2025 n’était pas mieux, ndlr] sur des bases de clients/prospects et usagers, la CNIL estime qu’un effort spécifique de sécurisation est nécessaire », expliquait-elle en avril dernier.
Ainsi, elle « renforcera dès 2026 sa politique de contrôle pour s’assurer de la mise en place de l’authentification multifacteur pour ces grandes bases de données. L’absence de cette mesure pourra justifier que soit initiée une procédure de sanction ».
Enfin, la Commission rappelle « que la mise en place d’une authentification multifacteur était déjà jugée en principe nécessaire au titre du RGPD pour des bases de données comprenant des données sensibles ou des données dont la violation exposerait les personnes à des risques importants (données bancaires et numéro de sécurité sociale notamment) ».
Alors que les protestations contre le régime en place s’intensifient depuis douze jours en Iran, l’ONG Netblocks a alerté jeudi, en fin d’après-midi, sur la coupure progressive des principaux réseaux de télécommunications à l’échelle du pays. Ce n’est pas la première fois que l’Iran se ferme ainsi.
« Les données en direct du réseau montrent que Téhéran et d’autres régions d’Iran sont désormais plongées dans un black-out numérique, la connexion internet étant interrompue chez plusieurs fournisseurs. Ce nouvel incident fait suite à des coupures régionales et risque de limiter fortement la couverture des événements sur le terrain, alors que les manifestations s’étendent », s’inquiète Netblocks sur ses réseaux sociaux.
Partagée par Netblocks sur ses réseaux sociaux, cette capture d’écran illustre le trafic mesuré au niveau de l’AS58224 opéré par Iran Telecommunication Company PJS
« Cet incident fait suite à une série de mesures de censure numérique croissantes visant les manifestations à travers le pays et entrave le droit du public à communiquer à un moment critique », ajoute encore l’ONG, selon qui ces coupures sont donc à mettre au crédit du régime de Téhéran.
Cloudflare confirme la situation via son Radar, avec un trafic quasi nul en Iran depuis la fin d’après-midi. En début d’après-midi, « le nombre d’adresses IPv6 annoncées en Iran a chuté d’environ 98,5 % », ajoute Cloudflare. D’après nos constatations, plusieurs sites officiels de l’administration iranienne étaient inaccessibles jeudi vers 20h30 (heure de Paris).
L’ONG Iran Human Rights s’est elle aussi inquiétée jeudi du durcissement de la réponse apportée par le pouvoir aux manifestations. Surgies du bazar de Téhéran le 28 décembre dernier et motivées, au départ, par une inflation galopante doublée d’une monnaie complètement dévaluée, elles concernent maintenant tout le pays.
Iran Human Rights affirme que les forces de l’ordre ont procédé à des tirs à balle réelle, et estime qu’au moins 45 personnes, dont huit mineurs, ont été tués depuis le début du mouvement, dont 13 sur la seule journée du 7 janvier.
L’Iran s’était déjà massivement coupé d’Internet en juin dernier, en raison d’« inquiétudes » de cyberattaques. Le blackout avait été mis en place pendant plus de 60 heures. L’ONG Miaan rappelait alors les conséquences d’une telle coupure : communications internationales coupées, messageries (WhatsApp, Signal…) non disponibles, accès aux informations limité, etc.
Google continue de dérouler sa stratégie de conquête par l’IA en profitant de son vaste parc d’applications et services. Après Search et Chrome (aux États-Unis), Gemini va désormais débouler dans Gmail, avec moult promesses.
On va ainsi retrouver les AI Overviews, rendues célèbres lors de leur arrivée dans Search, mais pas toujours pour les bonnes raisons. Google évoque une situation pénible : « Votre boîte de réception est remplie d’informations importantes, mais y accéder vous a obligé à devenir un puissant chercheur. Et même lorsque vous trouvez les bons e-mails, vous vous retrouvez souvent à fixer une liste de messages, obligé de fouiller dans le texte pour reconstituer la réponse ».
Que faire ? Confier le travail à Gemini. Dans des échanges contenant des dizaines de courriers par exemple, un résumé sera proposé avec les points saillants. On pourra bien sûr poser des questions en langage naturel, du type « Qui était le plombier qui m’a donné un devis pour la rénovation de la salle de bain l’année dernière ? ». La réponse se fera sous la forme d’un paragraphe avec un lien vers l’e-mail correspondant. Cette fonction est disponible pour tous les utilisateurs aux États-Unis.
Des outils d’écriture sont également déployés, selon le niveau d’abonnement. Pour tout le monde, Google fournit une aide à l’écriture, soit à partir d’un brouillon, soit depuis une page blanche, à partir d’un prompt. Gemini pourra également tenir compte du contexte pour préparer des réponses pré-écrites. Pour les abonnés Google AI Pro et Ultra, un assistant de relecture sera disponible, pour vérifier notamment le style et la grammaire, en plus de pouvoir modifier le ton et le style.
Enfin, Google introduit une « AI Inbox », qui se propose de « filtrer le désordre afin que vous puissiez vous concentrer sur ce qui est le plus important ». Google décrit cette fonction comme un « briefing personnalisé ». Elle doit se montrer suffisamment intelligente pour faire remonter les éléments jugés pertinents, comme l’échéance proche d’une facture. Elle n’est cependant pas encore disponible, car seuls quelques testeurs triés sur le volet y ont accès.
Sync-in est un projet libre et français de stockage et de gestion de fichiers. Son développeur principal, Johan Legrand, nous avait présenté son travail, pensé avant tout comme une plateforme de gestion des fichiers et de collaboration, le tout pour des solutions auto-hébergées.
Depuis notre article en octobre, plusieurs versions intermédiaires sont sorties. La version 1.8 a par exemple étendu le support linguistique et ajouté un chargement dynamique des traductions, la possibilité d’activer ou désactiver l’indexation, ou encore le support de FreeBSD. La version 1.9 a rafraichi l’identité visuelle, amélioré la gestion des images et ajouté diverses améliorations.
La nouvelle mouture 1.10, sortie ce 7 janvier, est une mouture importante. Comme Johan Legrand nous l’avait indiqué il y a quelques mois, elle intègre d’abord la suite Collabora, qui peut être utilisée aux côtés de OnlyOffice (déjà présente) ou en remplacement. Dans le cas où les deux suites sont présentes, on peut choisir quelle application doit être ouverte en fonction du format du fichier.
Parmi les autres nouveautés, on note une amélioration significative des liens publics. Ces derniers, en plus de permettre le téléchargement, peuvent être configurés pour autoriser l’accès, la consultation et l’édition des documents, selon le format et les droits d’accès. Dans les listes de documents, les actions Voir et Modifier ont été remplacés par un bouton unique Ouvrir, dont l’action change selon le contexte (et donc les droits).
Sous le capot, Sync-in 1.10 migre vers Node.js 24, tout en maintenant sa compatibilité avec Node.js 22. Selon Johan Legrand, ce changement améliore la stabilité et les performances du projet. Enfin, on note une série de corrections, notamment pour des conflits de traduction et des redirections « intempestives » lors du rafraichissement des liens publics.
Si vous avez une installation de Sync-in, vous devriez avoir reçu une notification via l’application, ou par e-mail si le serveur idoine a été activé sur l’instance. Pour rappel, il existe une version démo permettant de tester les fonctions du projet (demo/demo comme identifiants).
Où se situent les centres de données existants, en cours de construction ou à venir en France ?
Le collectif marseillais Le Nuage était sous nos pieds, qui dénonce la trajectoire globale de l’industrie numérique et réclamait au printemps dernier un débat public sur la question, a publié fin 2025 une carte participative des datacenters présents dans l’Hexagone.
Au total, l’organisation recense 348 centres déjà existants, 26 annoncés, 11 dont les dossiers sont en cours d’instruction par les services de l’État, et 8 en cours de construction.
Elle recense par ailleurs une quinzaine d’actions locales contre certains projets, que ce soit à Marseille même, où le collectif s’oppose, avec d’autres, au projet de centre de données MRS5 de Digital Realty, aux Pennes-Mirabeau, où des habitants refusent un projet porté par Telehouse, ou encore à Eybens, près de Grenoble, où des habitants se mobilisent contre un projet de supercalculateur de DataOne.
Pour établir sa cartographie, Le Nuage était sous nos pieds indique avoir croisé les différentes sources ouvertes à sa disposition. Le collectif s’est notamment appuyé sur le travail communautaire déjà effectué sur OpenStreetMap, dont il a extrait les points d’intérêt avec une requête OverPass Turbo. Il indique avoir complété ce premier échantillon « à partir d’informations publiques (communiqué des entreprises, articles de presses, réseau sociaux) et des informations divulguées par la Direction Générale des Entreprises, RTE et EDF ».
Il souligne par ailleurs que le nombre exact de centres de données existant en France est inconnu : RTE et l’ADEME recensent entre 300 et 352 bâtiments commerciaux (c’est-à-dire « ouverts à l’hébergement et à la colocation », selon le décompte d’Infranum), auxquels il faut ajouter 5 000 petits centres privés d’entreprises.
La publication de cette carte intervient quelques semaines après que Bercy et sa direction générale des entreprises ont publié un guide dédié à l’installation de centres de données sur le territoire, censé déminer les difficultés associées aussi bien pour les porteurs de projet que pour les propriétaires fonciers ou les collectivités.
À l’échelle du globe, la France fait partie des cinq pays comptant le plus de centres de données commerciaux, derrière les États-Unis, le Royaume-Uni, la Chine et l’Allemagne.
Ces derniers jours, des utilisateurs de périphériques Logitech sur Mac ont peut-être remarqué que leur application Options+ ou G Hub ne fonctionnait plus. C’est normal : Logitech a oublié de renouveler un certificat de sécurité servant à la bonne marche de ses applications, les rendant inopérantes.
Dans un fil Reddit, Joe Santucci, responsable du marketing mondial chez Logitech, expliquait ce 7 janvier : « Le certificat expiré sert à sécuriser les communications inter-processus et cette expiration fait que le logiciel ne peut pas démarrer correctement ». Dans un autre message, il faisait amende honorable : « On s’est vraiment plantés là. C’est une erreur impardonnable. Nous sommes vraiment désolés pour la gêne occasionnée ».
Quelques heures après, Logitech publiait des versions mises à jour de ses applications, avec un nouveau certificat en bonne et due forme. Malheureusement, c’est là que le problème prend de toutes autres proportions : le certificat expiré était également utilisé pour les mises à jour automatiques. Les versions concernées ne peuvent donc pas récupérer les nouvelles et les installer. La manipulation doit nécessairement être manuelle.
Dans la page mise en ligne pour pousser les applications à jour (pour macOS 26 Tahoe, macOS 15 Sequoia, macOS 14 Sonoma et macOS 13 Ventura), Logitech ajoute que l’installeur doit être utilisé sur des installations existantes pour que les paramètres soient préservés. La FAQ indique cependant que des utilisateurs peuvent avoir été tentés de désinstaller les anciennes versions pour les réinstaller. Un réflexe habituel, mais qui supprime les paramètres personnalisés.
Opérés depuis Goldman Sachs depuis leur lancement, la carte de paiement Apple Card et les services de crédit et de cashback associés vont passer entre les mains d’une autre banque, JP Morgan Chase. Cette transition, annoncée le 7 janvier, doit s’échelonner sur environ deux ans.
Elle est censée se dérouler sans heurts et surtout sans interruption de service pour les souscripteurs de ces services financiers, lancés par Apple aux États-Unis à partir de 2019. « Les utilisateurs d’Apple Card peuvent continuer à utiliser leur carte comme d’habitude pendant la transition. Des informations supplémentaires seront communiquées à l’approche de la date de transition », indique Apple dans une FAQ dédiée.
S’il est présenté comme indolore pour le client final, ce changement de partenaire financier se révèle cependant le fruit de longues négociations. Il aurait ainsi fallu plus d’un an à Apple pour identifier un successeur à Goldman Sachs, et parvenir à la négociation d’un accord susceptible de convenir aux trois parties prenantes.
La clientèle de l’Apple Card représente environ 20 milliards de dollars d’encours de prêts, d’après le Wall Street Journal. JPMorgan Chase aurait obtenu une décote de plus d’un milliard de dollars sur cet encours, révèle le quotidien économique, ce qui signifie que Goldman Sachs souhaitait s’en débarrasser.
Associée en priorité à l’iPhone et Apple Pay, l’offre Apple Card s’accompagne d’une carte physique, blanche, en titane – crédit Apple
Dans sa propre communication, Goldman Sachs affirme poliment que cette transaction participe de sa volonté de resserrer son offre de services financiers à destination du grand public. Son CEO, David Solomon, n’avait cependant pas fait mystère de sa volonté de se désengager de l’accord passé avec Apple.
Alors que les deux entreprises devaient initialement collaborer jusqu’en 2030, Solomon avait publiquement évoqué une rupture anticipée de contrat en janvier 2025, expliquant que l’Apple Card avait contribué à faire baisser le rendement des capitaux propres de Goldman Sachs de 75 à 100 points de base en 2024.
Goldman Sachs n’a pas communiqué précisément les pertes associées à l’Apple Card, mais la banque déclarait, sur son exercice 2024, 859 millions de dollars de déficit pour sa division Platform Solutions, dédiée notamment à ses partenariats en matière de paiement.
Reste à voir dans quelle mesure JPMorgan Chase et Apple décideront (ou non) de faire évoluer l’offre Apple Card pour améliorer sa rentabilité. La carte de paiement aux couleurs d’Apple (blanche, en titane et gravée au laser) promet notamment 3 % de rétrocessions (cashback) sur les achats réalisés chez Apple et une série de partenaires, une épargne rémunérée et un accès simplifié à des offres de crédit à la consommation qui constituent le nerf de la guerre du modèle.
Le lancement de l’Apple Card, en 2019, avait été entaché d’une polémique liée aux algorithmes en charge du calcul des autorisations de crédit, accusés de biais sexistes. Dans certains cas, ces derniers accordaient des autorisations de crédit supérieures à des hommes qu’à des femmes, pourtant en couple au sein d’un même foyer. Steve Wozniak, cofondateur d’Apple, avait lui-même été victime du phénomène. L’enquête diligentée par le département des services financiers de l’état de New York s’était finalement conclue par un non lieu (PDF) en 2021.
Début 2024, Apple et Goldman Sachs ont en revanche écopé d’une amende de 89 millions de dollars prononcée par le Consumer Financial Protection Bureau (CFPB) pour n’avoir pas géré de façon correcte des transactions litigieuses signalées par les utilisateurs de la carte, et pour défaut d’information sur certains pans de l’offre de crédit.
La plateforme d’automatisation open source n8n est victime de deux failles critiques affichant la note de sévérité maximale (10/10). Il est recommandé de mettre à jour au plus vite les installations.
n8n est une plateforme d’automatisation des workflows. Elle permet de connecter des services (API, bases de données, SaaS, scripts…) à des actions pour qu’elles se déclenchent quand les conditions sont réunies. La plateforme, open source, a largement gagné en popularité au point d’en faire l’un des produits les plus suivis, notamment parce qu’elle peut s’interfacer avec à peu près n’importe quoi, via des connecteurs, dont des systèmes IA.
Deux failles critiques de sévérité maximale
Elle est cependant touchée par deux failles de sécurité dont la criticité est maximale, avec un score CVSS de 10 sur 10, soit le maximum. La première, estampillée CVE-2026-21877, est de type RCE (Remote Code Execution) et peut donc permettre l’exécution d’un code arbitraire à distance. « Dans certaines conditions, un utilisateur authentifié peut être capable de faire exécuter un code non fiable par le service n8n. Cela pourrait entraîner une compromission complète de l’instance concernée. Les instances auto-hébergées et n8n Cloud sont toutes deux concernées », indique l’équipe de développement dans une note sur GitHub.
Dans ce contexte, un acteur malveillant peut, en exploitant la faille, introduire des instructions dans la logique d’exécution des workflows et de gestion des identifiants. Il peut ajouter ou supprimer des workflows, exfiltrer des données sensibles, déployer du code malveillant et aboutir à une compromission totale du serveur.
La deuxième faille, CVE-2026-21858, est « pire », bien que disposant de la même note. « Une vulnérabilité dans n8n permet à un attaquant d’accéder aux fichiers du serveur sous-jacent en exécutant certains flux de travail basés sur des formulaires. Un flux de travail vulnérable pourrait accorder l’accès à un attaquant distant non authentifié. Cela pourrait entraîner une exposition d’informations sensibles stockées sur le système et permettre de nouvelles compromissions selon la configuration du déploiement et l’utilisation du flux de travail », explique l’équipe dans une autre note. La faille est corrigée
Quatre fois en deux mois
La première faille a été corrigée dans la version 1.121.3 et la seconde dans la 1.121.0, toutes deux sorties en novembre. D’ailleurs, les failles aussi ont été découvertes en novembre. Elles n’ont été révélées que très récemment, le temps que les mises à jour se fassent sur un maximum de configurations. Dans les deux cas, la consigne est bien sûr d’installer la dernière version dès que possible, si ce n’est pas encore fait.
Problème supplémentaire pour n8n, c’est la quatrième fois en deux mois qu’une faille critique est découverte. Et pas des moindres : les vulnérabilités CVE-2025-68613 et CVE-2025-68668, découvertes respectivement fin décembre et début janvier, ont toutes deux un score CVSS de 9,9, soit pratiquement le maximum.
Dans cette liste, 31 organisations appartiennent à l’ONU dont, par exemple, l’Université des Nations unies, le Centre du commerce international, l’International Energy Forum ou encore l’Institut des Nations unies pour la formation et la recherche.
Hors ONU, y figurent aussi la Commission for Environmental Cooperation, l’European Centre of Excellence for Countering Hybrid Threats, l’Intergovernmental Forum on Mining, Minerals, Metals, and Sustainable Development ou l’Intergovernmental Panel on Climate Change.
Le mémorandum précise que « j’ai déterminé qu’il était contraire aux intérêts des États-Unis de rester membre, de participer ou d’apporter un soutien » à ces organisations.
Google et Character.AI ont trouvé de premiers accords dans diverses plaintes relatives à des suicides ou des blessures de mineurs après l’usage de robots conversationnels.
La start-up de création de chatbot Character.AI et Google ont conclu des accords avec plusieurs familles dont les enfants se sont blessés ou suicidés après des échanges avec leurs robots conversationnels.
Au moins cinq accords conclus aux États-Unis
En octobre 2024, Megan Garcia avait déposé une plainte contre Character.AI, accusant l’entreprise d’être responsable du suicide de son fils Sewell Setzer III, 14 ans au moment des faits. Ce dernier avait discuté longuement avec l’un des chatbots de l’entreprise avant de se donner la mort.
Megan Garcia accusait l’entreprise de ne pas avoir déployé les garde-fous nécessaires sur ses outils pour empêcher son fils de développer une relation intime et problématique avec les robots. Selon la plainte, les outils auraient notamment généré des textes à connotation sexuelle, et n’auraient pas formulé de réaction lorsque le garçon a commencé à évoquer des formes d’automutilation.
Ce 7 janvier, relève Business Insider, une nouvelle requête judiciaire indique que la famille Garcia, les fondateurs de Character.AI, Noam Shaker et Daniel de Freitas, et Google ont trouvé un accord. En 2024, Google avait embauché les deux fondateurs de Character.AI et signé un accord non exclusif d’accès aux technologies de la start-up.
Character.AI et Google ont par ailleurs conclu des accords dans au moins quatre autres affaires similaires, dans les États de New York, du Colorado et du Texas.
Multiples plaintes déposées contre des constructeurs d’IA générative
La plainte de la famille Garcia fait partie d’une série plus large déposée contre différents constructeurs de robots conversationnels, dont OpenAI ou Meta.
Ces multiplications de plaintes ont conduit la Federal Trade Commission (FTC) à ouvrir une enquête sur les conséquences générales que créent l’exposition de mineurs à des robots conversationnels.
Connexion
