La National Science Foundation (NSF), une des principales agences étasuniennes de financement de la recherche, vient de perdre l’intégralité de son conseil d’administration (CA).

« Au nom du président Donald J. Trump, je vous écris pour vous informer que votre mandat en tant que membre du Conseil national des sciences prend fin avec effet immédiat. Merci pour votre engagement », ont reçu par email ce vendredi 24 avril les 24 membres du CA, explique la revue Science.

Tous sont des chercheurs ou ingénieurs venant du milieu universitaire ou de l’industrie nommés par le président. Mais ils sont normalement en place pour six ans avec une rotation assurée par le renouvellement de huit membres tous les deux ans.

Le directeur de la National Science Foundation et 25^e membre du CA, Sethuraman Panchanathan, pourtant nommé par Donald Trump à la fin de son premier mandat, avait démissionné en avril 2025 en affirmant : « j’ai fait tout ce que j’ai pu ». Depuis, la NSF, comme les autres fonds de financements américains de la recherche, s’est vue imposer l’idéologie de Donald Trump à la place du peer-review pour décider des financements des projets de recherche.

« Peut-être qu’une façon de le dire du point de vue de l’administration, c’est que ce groupe de personnes nommées par le président conseillait au Congrès de ne pas se plier aux souhaits du président », explique à Science l’astrophysicien Keivan Stassun de l’université Vanderbilt (Nashville) qui en faisait partie.

Selon le Washington Post, ce même vendredi, l’administration Trump a présenté un projet de budget partiel pour l’exercice 2026 qui réduirait le budget de la NSF de plus de 50 %, le faisant passer de 8,8 milliards de dollars à 3,9 milliards de dollars, en affirmant que la NSF « a financé des recherches dont l’intérêt public est discutable, telles que les impacts hypothétiques de scénarios climatiques extrêmes et des études sociales de niche ».

En fait, HDH c’est pour la Hausse des Hôtes

Vous avez des services chez OVHcloud et/ou Scaleway ? Mauvaise nouvelle, la saison des hausses de tarifs est loin d’être terminée. Le premier revoit ses hébergements web, avec trois gammes dont les tarifs après la première année peuvent être multipliés par trois. Chez Scaleway, des dizaines de services sont concernés, avec parfois jusqu’à fois sept sur les prix.

OVHcloud a déjà revu à la hausse les tarifs de ses VPS de la gamme 2026. Octave Klaba était monté au créneau pour justifier cette décision, motivée par la hausse du prix des composants, principalement de la mémoire et du stockage. Les adresses IP v4, les instances de machines virtuelles (general purpose, bases de données…) ainsi que les serveurs dédiés étaient aussi concernés.

• OVHcloud augmente fortement le prix de ses VPS 2026 et IPv4

OVHcloud reprend d’une main ce qu’il donne de l’autre

Ce n’était pas la fin. Il y a quelques jours, l’hébergeur roubaisien a publié un billet de blog intitulé « Évolution de nos hébergements web : ce qui change et pourquoi ». C’est la même chose que pour les messages qui parlent de vos données personnelles ; on devine immédiatement qu’il sera question d’une mauvaise nouvelle à un moment ou un autre.

« Concrètement, cela signifie : une organisation des offres mieux adaptée à la diversité de vos projets, des ressources enrichies, un accès au support amélioré, ainsi que des évolutions tarifaires », explique OVHcloud. À partir du 1ᵉʳ mai, l’hébergement web comprendra trois gammes : Eco (gratuit avec un nom de domaine, Starter et Perso), Business (Startup, Pro et Performance) et enfin Agencies (Agency, Agency Plus et Agency Max).

Elles sont détaillées dans les trois images ci-dessous :

Sur les tarifs, le billet de blog se contente du minimum : « Pour toute nouvelle souscription, le prix de la première année est volontairement très bas. Par exemple, l’offre Pro démarre désormais à 1,99 € HT/mois la première année ». On a beau chercher, euro ou € n’apparaît nulle part ailleurs.

Dans un email envoyé aux clients et que nous avons reçu ce week-end, OVHcloud annonce la couleur. Starter, qui est pour le moment à 1,91 euro par mois, ne changera pas de tarif la première année… mais passera à 3,11 euros les suivantes, soit plus de 60 % de hausse.

Perso (toujours dans la gamme Eco) est pour le moment à 3,95 euros par mois. À partir du 1ᵉʳ mai, il descendra à 3,59 euros (une baisse de 40 centimes) mais seulement la première année. Le tarif sera ensuite doublé pour arriver à 7,19 euros par mois.

Dans sa gamme Business, OVHcloud veut appâter les clients avec les nouvelles versions de Pro et Performance à respectivement 2,39 et 8,39 euros par mois, au lieu de 7,91 et 13,19 euros, mais là encore seulement la première année. Ensuite, c’est le coup de bambou puisque les tarifs passeront à 11,99 et 23,99 euros par mois, soit 52 et 82 % de hausse par rapport au tarif actuel. La nouvelle formule Startup aussi a droit à une promotion agressive la première année avec 3,59 euros, avant de passer à 7,19 euros ensuite.

Avec Agency, une nouvelle gamme d’hébergement, le tarif est multiplié par trois après la première année. Voici pour mémoire les tarifs actuels, avant l’augmentation du 1ᵉʳ mai :

Grand prince, OVHcloud précise que « si vous souhaitez maintenir vos tarifs actuels, vous pouvez anticiper le renouvellement votre hébergement avant le 1er Juin 2026 […] En renouvelant dès maintenant, vous pouvez conserver votre tarif actuel jusqu’à 4 années supplémentaires, tout en bénéficiant des améliorations apportées à nos hébergements, notamment des bases de données supplémentaires et d’un support renforcé ».

Jusqu’à 600 % d’augmentation chez Scaleway !

Chez Scaleway, qui vient de remporter le HDH pour remplacer Microsoft, il est question d’une « mise à jour claire sur les tarifs ». L’entreprise commence par expliquer les raisons de ses choix :

« Le secteur technologique est actuellement confronté à un ensemble de pressions économiques mondiales sans précédent. Une inflation généralisée et une crise matérielle importante et persistante ont fondamentalement bouleversé l’économie de la fourniture d’infrastructures cloud.

Plus précisément, le marché mondial connaît des hausses de prix significatives du coût du matériel brut, ce qui affecte particulièrement le stockage et la mémoire vive (RAM). De plus, la pénurie mondiale croissante d’adresses IP, que nous connaissons depuis des années, a ajouté une couche supplémentaire de complexité et de coûts à la mise en place des réseaux ».

• L’explosion des prix de la mémoire, des SSD et même des HDD, sur 6 et 12 mois

Scaleway affirme en être à un « point où il n’est plus possible d’absorber entièrement ces coûts externes » et a donc décidé de travailler sur « chaque composante de notre écosystème afin de garantir que les ajustements de prix effectués soient extrêmement précis et équitables ». L’entreprise estime que c’est une « augmentation mûrement réfléchie ». Nous pouvons ajouter massive pour certains.

La hausse concerne pas moins de 79 produits. Dans un grand tableau, Scaleway propose deux colonnes par service : le prix actuel et celui qui sera appliqué à partir du 1ᵉʳ juin 2026. Pour être parfaitement transparent, il manque une colonne avec le pourcentage de hausse.

Nous l’avons ajoutée :

La hausse la plus importante atteint… 600 % ! Oui, le prix est multiplié par 7 ! Elle concerne la partie réseau avec External zone qui passe de 0,001 à 0,007 euro par heure. La petite instance virtuelle STARDUST1-S fait x4 en passant de 0,00015 à 0,0006 euro par heure. La majorité des augmentations varie entre 2 et 25 %.

Au final, la moyenne des augmentations est de 21,2 %. « Si un produit ne figure pas dans cette liste, son prix reste inchangé », précise Scaleway.

Meta est tombé sur un os : le gouvernement chinois vient de rejeter le projet d’acquisition de Manus, un agent d’IA conçu par une des startups IA chinoises les plus en vue du moment, The Butterfly Effect. L’opération à 2 milliards de dollars, annoncée en décembre dernier, a immédiatement suscité des inquiétudes aussi bien du côté de Washington que de Pékin.

Créée par des fondateurs chinois puis relocalisée à Singapour dans l’espoir d’échapper aux fourches caudines de Pékin, The Butterfly Effect n’a pas pu esquiver une enquête du ministère chinois du Commerce. À l’époque, les autorités expliquaient que les investissements à l’étranger, les transferts de technologies et les fusions-acquisitions à l’international doivent se conformer aux lois du pays.

La Commission nationale du développement et de la réforme a finalement pris la décision d’interdire les investissements étrangers dans Manus, et demandé aux deux parties de retirer l’opération d’acquisition. Comme CNBC le rappelle, les États-Unis interdisent aussi aux investisseurs américains de financer directement des entreprises IA chinoises. 

Il y a aussi la question du point de chute du fondateur et directeur général, Xiao Hong, qui devait occuper un poste de vice président au siège de Meta, en Californie. La Chine fait pression sur les fondateurs d’entreprises IA pour qu’ils restent au pays. En résumé, toute l’opération semble bien mal partie. Meta n’a pas voulu commenter le dernier (et ultime ?) rebondissement de cette saga.

Manus développe des agents IA capables de prendre en charge des missions complexes de manière autonome à la manière d’OpenClaw. La startup avait fait sensation en mars dernier, en marchant dans les pas d’un autre local de l’étape, DeepSeek. Manus avait annoncé dépasser les 100 millions de dollars de revenus annuels récurrents en seulement 8 mois.

• Qu’est-ce que Manus, la nouvelle IA qui fait parler d’elle ?

Au moment de l’annonce l’an dernier, Meta évoquait l’intégration des agents Manus dans ses produits grand public et professionnels, y compris dans l’assistant Meta AI.

Are We the Baddies?

Alors que le cofondateur et actuel CEO de Palantir, Alex Karp, a réaffirmé sa volonté de mettre son entreprise au service d’une vision fascisante du pouvoir, certains employés, passés ou présents, commencent tout juste à se poser des questions. Pendant ce temps-là, l’entreprise a déployé un lobbying important dans les sphères du pouvoir d’autres pays que les États-Unis.

Il y a une dizaine de jours, Palantir reprenait officiellement en 22 points la vision politique de son CEO, Alex Karp, assumant vouloir faire du numérique un instrument de puissance coercitive pour l’Amérique et plus largement pour l’Occident.

Comme nous le rappelions, Alex Karp et son acolyte Peter Thiel, cofondateur de l’entreprise, n’avaient pas caché leur intention, dès la création de Palantir, de mettre l’analyse de données au service de la surveillance de masse et de projets militaires dans le contexte de l’après 11 septembre 2001. Alors que Peter Thiel évoquait l’année dernière l’Antéchrist pour parler de ceux qui veulent réguler la tech, sans faire de liste exhaustive, Alex Karp n’était pas en reste : il qualifiait en 2024 les progressistes d’adeptes d’« une religion païenne superficielle », ajoutait la même année que « les militants pour la paix sont des militants pour la guerre », avant de déclarer, en mars 2025, qu’il adorait « l’idée de [se] procurer un drone et de faire asperger d’urine légèrement mélangée à du fentanyl les analystes qui ont essayé de nous rouler ». Un an plus tard, en mars dernier, Alex Karp lâchait sa vision sur la façon dont les États-Unis devaient mener leur guerre en Iran, en ne laissant surtout pas les femmes démocrates enrayer la course à l’IA.

Des anciens et actuels salariés s’inquiètent d’une dérive

Mais la reprise des 22 points par le compte X de l’entreprise elle-même semble avoir réveillé les doutes chez certains employés et plusieurs de leurs anciens collègues.

« Le discours général de Palantir, tel qu’il se le racontait à lui-même et à ses employés, était qu’au lendemain du 11 septembre, nous savions qu’il y aurait une forte pression en faveur de la sécurité, et nous craignions que cette sécurité ne porte atteinte aux libertés civiles. Aujourd’hui, la menace vient de l’intérieur. Je pense qu’il y a une sorte de crise d’identité et un véritable défi à relever », explique à Wired un ancien employé de Palantir anonyme. « Nous étions censés être ceux qui empêchaient bon nombre de ces abus. Aujourd’hui, nous ne les empêchons pas. Il semble que nous les facilitons ».

Le média tech américain raconte aussi les conversations d’anciens salariés autour des missions assurées par l’entreprise pour assurer la politique de Donald Trump notamment sur l’immigration, en lui proposant son outil d’assistance à l’expulsion Immigration OS. « Est-ce que tu suis la dérive de Palantir vers le fascisme ? » est devenu la façon de se dire bonjour au téléphone entre anciens salariés, raconte l’un d’entre eux. Et, selon lui, « ça n’exprime pas un sentiment du genre “Oh, c’est impopulaire et difficile”, mais plutôt “y a un problème” ».

Dans le Slack interne, des employés de l’entreprise ont posé des questions après la mort de l’infirmier en réanimation Alex Pretti, abattu par un agent de la Border Patrol. Ils ont même obtenu des sessions de « ask me anything » (AMA) organisés par la direction pour répondre à leurs questions sur le sujet de la collaboration avec l’ICE. Pendant l’une d’elles, un responsable a franchement expliqué : «  Karp tient vraiment à ce projet et ne cesse de le réaffirmer […]. Notre rôle consiste principalement à lui faire des suggestions et à essayer de le réorienter, mais cela s’est avéré largement infructueux et il semble que nous soyons engagés sur une voie très claire qui consiste à continuer à développer ce workflow ».

Et, selon Wired, des salariés ont posé des questions sur l’implication de Palantir dans la guerre en Iran dans le channel Slack « actualités » de l’entreprise, se voyant parfois critiqués par d’autres pour avoir discuté d’informations classifiées sur ce canal ouvert à tous les salariés.

• Palantir profite à fond de l’élection de Donald Trump

Officiellement, tout va toujours bien en interne : « Nous recrutons les meilleurs talents pour contribuer à la défense des États-Unis et de leurs alliés, ainsi que pour développer et déployer nos logiciels afin d’aider les gouvernements et les entreprises du monde entier. Palantir n’est pas un bloc monolithique de convictions, et nous ne devons pas l’être », affirme à Wired un porte-parole officiel. « Nous sommes tous fiers de notre culture caractérisée par un dialogue interne animé, voire par des désaccords, sur les domaines complexes dans lesquels nous travaillons. Cela a été le cas depuis notre création et cela reste vrai aujourd’hui. ». Et l’entreprise est « fière » de soutenir l’armée américaine « sous les administrations démocrates comme républicaines ».

Des lobbyistes à la pelle en dehors des frontières US

Si ça tangue un peu en interne, l’entreprise semble avoir de bons moyens de lobbying pour rester influente à l’étranger et remporter des contrats en dehors des frontières américaines. Ainsi, au Royaume-Uni où l’implication de Palantir dans le système de santé de la NHS et celui de la défense est pointée du doigt, le média The Nerve vient de recenser 30 hauts responsables britanniques recrutés par l’entreprise pour son lobbying, dont Tom Watson, ancien vice-président du Parti travailliste, et John Woodcock, ancien conseiller spécial de Gordon Brown.

Rappelons qu’en France, la DGSI a renouvelé en fin d’année dernière son contrat avec Palantir et que l’ancienne porte-parole du PS, Julie Martinez, était déléguée mondiale à la protection des données de l’entreprise jusqu’à récemment. Ayant quitté ces deux postes pour préparer l’élection à la mairie de Clichy, elle a échoué au second tour face à Rémi Muzeau (LR).

• La déléguée mondiale à la Protection des Données de Palantir est aussi porte-parole du PS

Réagissant aux 22 points de Palantir, l’ancienne ministre et actuelle ambassadrice pour le numérique et l’IA pour le gouvernement, Clara Chappaz ne semble pas inquiète de l’influence politique de Palantir et de son CEO sur les contrats français et européens. « Oui, certains patrons américains ne cachent plus qu’ils ont un certain nombre d’idées, qu’ils essayent d’influencer, qu’ils les montrent au grand jour, parce qu’il y a des enjeux commerciaux. Ces idées les aident d’un point de vue purement business à vendre plus, à être plus décomplexés dans la façon dont on va utiliser les solutions, parce qu’il y a des enjeux idéologiques certainement pour certains », affirmait-elle à C ce soir, le 23 avril dernier. « Mais, attention, ce n’est pas parce qu’on utilise ces solutions que c’est le far west. En Europe, y a l’état de droit, y a des règles et toutes les entreprises, quelles qu’elles soient, respectent ces règles. Et si le dirigeant de Palantir a des idées politiques, qu’il se présente aux élections, parce que c’est comme ça qu’on peut influencer les règles, le cadre. Ce n’est pas simplement en faisant des tweets ».

Arrêtez nous si vous avez déjà lu ça aujourd’hui : une nouvelle fuite de données a touché une administration publique. Il s’agit cette fois de l’ANFR (Agence nationale des fréquences), et plus spécifiquement le téléservice Radiomaritime. Ce service public, qui se destine évidemment aux usagers de la mer (plaisanciers et professionnels), gère les démarches administratives liées aux équipements radio à bord.

Le service informatique de l’ANFR a découvert le 13 avril un dysfonctionnement dans la gestion de ce service. Des « accès non autorisés » aux données des comptes utilisateurs ont été repérés entre les 4 et 10 avril, rapporte un email d’alerte consulté par Next. Les données d’environ 330 000 usagers ont pu être extraites. Des informations en vente sur internet, comme l’a signalé l’ANSSI.

Les noms, prénoms, adresses postales, numéros de téléphone, adresses courriel, date de naissance de ces usagers circulent actuellement. En revanche, aucune donnée relative aux licences ni aux pièces jointes n’a été divulguée, assure l’ANFR. Comme la réglementation l’exige, l’agence a notifié la CNIL et déposé une plainte auprès du procureur de la République.

Sur le plan technique, l’agence a suspendu l’accès au téléservice et travaille à « l’identification précise des comptes affectés et des modalités de l’attaque ». Des margoulins pourraient se servir de ces données pour des tentatives d’escroqueries « dont la crédibilité serait renforcée par les données individuelles collectées ». Le portail Radiomaritime est actuellement fermé pour une opération de maintenance. Il s’agit d’installer des correctifs de sécurité qui seront « opérationnels dès la réouverture du service ».

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?

Les personnes concernées doivent donc redoubler de vigilance dans les emails, messages ou appels téléphoniques ces prochaines semaines qui les inciteraient à communiquer d’autres informations confidentielles en retour. L’ANFR rappelle qu’elle ne demande jamais de communiquer par courriel ou téléphone des infos comme un RIB ou des identifiants de services en ligne hors périmètre, comme ceux d’une banque. De même, les identifiants du téléservice Radiomaritime ne sont jamais exigés par ces biais. Enfin, les emails de l’ANFR doivent être envoyés depuis une adresse @anfr.fr.

En cas de doute sur l’authenticité d’un message provenant de l’ANFR, il est toujours possible de contacter l’agence via cette page de son site web.

• France Titres : le portail de l’ANTS est fermé pour maintenance depuis vendredi

S’agissait-il du piratage de trop ? Le portail France Titres (ants.gouv.fr) a été placé en maintenance technique à compter du vendredi 24 avril, à 19h30 :

« L’accès à votre compte est momentanément indisponible. L’ANTS poursuit les mesures de renforcement de sécurité de son portail. Tous les moyens sont mis en œuvre pour que cette opération soit effectuée dans les meilleurs délais. »

Le site reste accessible, mais la navigation est limitée aux pages qui sont en simple consultation. Toutes les fonctionnalités qui sont placées derrière le processus d’authentification sont quant à elles gelées. Pendant cette phase de maintenance, il n’est donc pas possible d’initier une nouvelle démarche en ligne.

« Pour solliciter un titre d’identité, il est nécessaire de se rendre en mairie après avoir pris rendez-vous, où l’usager pourra remplir un cerfa pour initier sa demande de titre. Le dossier se constituant sur place, le temps passé sur place en mairie sera plus long », précise une FAQ dédiée.

Le suivi des dossiers déjà ouverts est également inopérant, même si l’Agence nationale des titres sécurisés assure que les demandes suivent leur cours normal.

« Dans ce cas, pour toute question relative à l’état d’avancement de son dossier, l’usager peut écrire (https://ants.gouv.fr/contactez-nous) ou appeler le centre de contacts citoyens (CCC) de l’ANTS (34 00 en France métropolitaine (numéro non surtaxé), 09 70 83 07 07 depuis l’Outre-Mer et l’étranger). »

Les inscriptions au permis de conduire sont quant à elles gelées, faute de pouvoir obtenir un numéro d’enregistrement préfectoral harmonisé (NEPH). Les obligations de déclaration relatives à la vente d’un véhicule (carte grise) restent quant à elles en vigueur et associées à un délai maximal de 15 jours.

Pour ce faire, l’ANTS recommande « d’utiliser l’application mobile Simplimmat (simplimmat.gouv – attention aux sites frauduleux) qui permet de réaliser chacune de ces démarches administratives de façon totalement dématérialisée, à partir de son smartphone après chargement de l’application, à condition que le vendeur et l’acheteur soient en présence physique lors de la remise des clefs (durée estimée de la procédure d’une dizaine de minutes) ».

Reste enfin la question sans doute la plus cruciale pour les usagers concernés : quand le portail va-t-il rouvrir ? « Tous les moyens sont mis en œuvre pour que cette opération de maintenance soit effectuée dans les meilleurs délais. Les usagers seront tenus informés », se contente de répondre l’Agence.

Cette fermeture sine die du service France Titres est une première motivée par la survenue récente d’une intrusion informatique qui a exposé les données de 11,7 millions de comptes, d’après les annonces faites par le ministère de l’Intérieur.

En septembre dernier, l’ANTS avait enquêté sur une fuite de données revendiquée par des pirates, sans trouver de trace d’intrusion tout en affirmant que l’échantillon mis en ligne présentait de « nombreuses incohérences ». France Titres affirmait alors que, « en tant qu’opérateur du ministère de l’Intérieur manipulant des données sensibles, l’ANTS fait l’objet de mesures de sécurité renforcées et d’une vigilance permanente des services de l’État contre toute intrusion, physique ou informatique ».

Ces dernières exigeaient manifestement un tour de vis supplémentaire.

En attendant que X devienne la « super app » bonne à tout faire dont rêve Elon Musk, le réseau social vient de lancer sa messagerie, XChat, sous forme d’application dédiée. Cette première mouture publique est réservée aux utilisateurs d’iPhone sous iOS 26. « Discutez avec n’importe qui sur X. En toute confidentialité. Désormais sur votre écran d’accueil. », promet le message d’annonce, posté vendredi 24 avril.

XChat prend donc la forme d’une interface indépendante, mais l’application est bien adossée à X : on s’y connecte via les identifiants du réseau social (il n’est donc pas indispensable de renseigner un numéro de téléphone comme sur Signal ou WhatsApp), et l’on retrouve sur son téléphone les messages privés déjà échangés via le Web ou l’application X générale.

Le client de messagerie promet cependant d’aller plus loin, avec un chiffrement de bout en bout protégé par code PIN, la possibilité de créer des conversations de groupe allant jusqu’à 500 participants, une option permettant d’empêcher que l’interlocuteur réalise une capture d’écran, et un mode message éphémère, pour lequel on peut paramétrer la durée de conservation (de cinq minutes à quatre semaines).

Rapidement prise en main lundi matin, XChat donne une impression d’inachevé : l’application fonctionne de façon réactive, mais l’interface présente quelques manquements (confirmations d’envoi non datées, etc.) ou imprécisions (rien n’indique par exemple qu’il est impossible de créer une conversation de groupe avec des utilisateurs X n’ayant pas encore installé le client).

Reste à voir ce que donne la sécurité, présentée comme l’un des arguments phares de XChat. Les choix d’implémentation du chiffrement bout en bout opérés par X avaient déjà soulevé des critiques fin 2025.

Au lancement de cette première version publique, la plupart des éléments pointés du doigt sont toujours d’actualité, comme en témoigne la foire aux questions dédiée à la fonction Chat.

X y admet toujours que les protections mises en œuvre au sein de XChat présentent encore des pistes d’amélioration, notamment en ce qui concerne la confidentialité persistante (forward secrecy) :

« Si la clé privée d’un appareil enregistré est compromise, un attaquant pourrait déchiffrer tous les messages de chat chiffrés envoyés et reçus par cet appareil. Autrement dit, cette implémentation n’est pas sécurisée de manière persistante. Nous travaillons actuellement sur des mécanismes de rotation des clés privées afin d’offrir une meilleure sécurité persistante à l’avenir. »

X utilise pour mémoire le protocole Juicebox pour sécuriser les clés privées des utilisateurs, qui sont ainsi découpées en plusieurs morceaux et recomposées grâce au code PIN, ce dernier étant lui-même théoriquement protégé des attaques par force brute.

Dans l’implémentation actuelle de Chat au sein de X, les morceaux de clé sont stockés sur des serveurs opérés par le réseau social, ce qui soulève là aussi des questions quant à la garantie de confidentialité totale. Là aussi, le réseau social promet des évolutions, sans avancer de date précise :

« À l’avenir, nous prévoyons d’offrir aux utilisateurs davantage d’options, comme la possibilité de choisir des domaines gérés par différentes organisations afin de mieux répartir la confiance et l’autogestion des clés. »

X a par ailleurs profité du lancement de XChat pour annoncer la fermeture des Communautés, la fonction permettant de rejoindre ou créer des groupes thématiques. « Les communautés servaient une vision formidable, mais elles n’étaient utilisées que par moins de 0,4 % des utilisateurs – et pourtant, elles contribuaient à 80 % des signalements de spam, des escroqueries financières et des logiciels malveillants sur X. Certaines semaines, elles occupaient la moitié du temps de l’équipe, tandis que le reste de l’application en pâtissait », a déclaré à ce sujet Nikita Bier, responsable du produit chez X.

Initialement prévue pour début mai, la fermeture des communautés existantes a été décalée au 30 mai et les utilisateurs concernés sont invités à migrer vers XChat, dont le fonctionnement se révèle pourtant assez différent.

Réflexion profon… 😴

Le coup de mou qui a affecté Claude Code ces dernières semaines n’était pas une vue de l’esprit. Anthropic a constaté l’existence de problèmes, et les a corrigés.

Claude Code a connu des soucis de fonctionnement entre la fin du mois de mars et mi-avril. Des utilisateurs se sont plaints d’une dégradation du service. Suite à des témoignages, Anthropic a mené l’enquête, et a déterminé trois problèmes qui ont été résolus le 20 avril avec la version v2.1.116.

Claude Code en baisse de régime

Dans son post-mortem, l’entreprise assure ne pas « dégrader intentionnellement » ses modèles et confirme que Claude Agent SDK et Claude Cowork sont également touchés, mais pas l’API ni la couche d’inférence.

Le premier souci remonte au 4 mars, un mois après le lancement d’Opus 4.6 : le niveau de raisonnement par défaut est passé de « high » – la valeur lors de son lancement début février – à « medium » pour « accélérer » les réponses, suite à des retours d’utilisateurs.

Avant ce changement, le modèle prenait plus de temps pour réfléchir et consommait aussi plus de tokens. Mais, en retour, il générait des réponses plus solides. Le hic, c’est que dans certains cas, la latence apparaissait très longue, donnant l’impression que l’interface était figée, que les réponses arrivaient tardivement (et pour cause), et que la consommation de tokens explosait.

La modification d’Anthropic avec le niveau de raisonnement « medium » a bien eu l’effet escompté : moins de tokens consommés, plus de rapidité et de stabilité… mais des réponses moins recherchées. Face aux retours négatifs, Anthropic a fait machine arrière le 7 avril en basculant les modèles sur « high effort » et Opus 4.7 sur « xhigh effort », un nouveau palier mis en place pour le nouveau modèle.

• Claude Opus 4.7 : le nouveau modèle d’Anthropic se veut plus performant et plus gourmand

Deuxième problème, qui est cette fois un bug : le 26 mars, l’entreprise active la mise en cache des requêtes (prompt caching), et après une période d’inactivité dépassant l’heure, supprime une partie de l’historique. L’idée était de réduire le nombre de tokens envoyés, d’accélérer la reprise d’une session et au bout du compte de diminuer les coûts.

L’implémentation a cependant débouché sur la suppression de chaque nouveau message après le seuil d’inactivité, au lieu de supprimer l’ancien raisonnement une seule fois. Claude Code ne conservait donc qu’un fragment très récent de contexte. Côté utilisateur, les conséquences ne se faisaient pas attendre : oubli du contexte fâcheux, répétitions, choix d’outils incohérents… Le modèle agissait, mais sans se souvenir pourquoi !

Autre écueil : en supprimant ainsi le contexte à chaque prompt, les requêtes ne retrouvent plus les données et doivent être recalculées entièrement, comme si le système repartait de zéro à chaque fois. Résultat : davantage de tokens consommés et l’impression que les quotas fondent comme neige au soleil. Le diagnostic a été difficile à établir, il a fallu plus d’une semaine pour le débusquer ; il a finalement été corrigé le 10 avril. Pour l’anecdote, Opus 4.7 a détecté le bug suite à son analyse, alors qu’Opus 4.6 n’a rien trouvé.

Enfin, le passage à Opus 4.7 avait tendance à produire des réponses longues et donc à engloutir les tokens. Anthropic a limité les réponses à 100 mots maximum et restreint les échanges entre appels d’outils à 25 mots. Mais en réduisant le verbiage, Claude Code a aussi réduit sa capacité à penser en profondeur. Introduite le 16 avril, la consigne a été retirée quatre jours plus tard.

Pour éviter que de tels problèmes se reproduisent, Anthropic s’engage à utiliser plus régulièrement la version publique de Claude Code, et moins des versions de test. Des analyses détaillées seront produites pour comprendre l’impact des changements, des outils pour réaliser des audits et suivre les modifications ont été développés, et des tests seront effectués pour chaque modification du système de prompts. Et histoire de se faire pardonner, les quotas d’usage ont été réinitialisés pour tous les abonnés.

L’entreprise a également créé un compte X dédié @ClaudeDevs « afin de pouvoir expliquer en détail nos décisions produit et leurs justifications. Nous partagerons également ces informations dans des fils de discussion GitHub ». Enfin, dans le billet du 23 avril, Anthropic annonce avoir « réinitialisé les limites d’utilisation pour tous les abonnés ».

A voté !

La pratique du vote par correspondance électronique se développe de plus en plus. Ce constat posé, la CNIL a émis une nouvelle recommandation pour proposer un cadre plus clair sur les objectifs de sécurité. Celle-ci est applicable pour tout nouveau scrutin dont la préparation n’a pas déjà commencé. Elle s’accompagne d’un guide plus technique de l’ANSSI pour atteindre ces objectifs.

La CNIL vient d’actualiser sa recommandation sur la sécurité des systèmes de vote par correspondance électronique qui datait de 2019. Celle-ci s’accompagne d’un guide de l’ANSSI pour aider à entrer un peu plus dans le technique si on veut mettre en place un tel système.

En France, le vote par correspondance électronique n’est utilisé pour des élections politiques que pour celui des Français résidant à l’étranger à l’occasion des élections législatives et de celles des conseillers et délégués des Français de l’étranger.

Celles-ci sont particulières et « nécessitent des mesures de sécurité complémentaires » que la CNIL et l’ANSSI n’abordent pas dans leurs recommandations. Mais on ne vote pas que lors des scrutins politiques nationaux.

Tous les Français qui sont engagés dans des organisations doivent parfois se plier à cette formalité. Assemblées générales d’associations, d’actionnaires ou de copropriétaires, élections organisées par des ordres professionnels, fédérations sportives ou universités, il y a de multiples occasions de voter.

Rappelons qu’avant les élections officielles pour la présidentielle de 2027, certains veulent aussi organiser des primaires. La CNIL et l’ANSSI rangent ces scrutins dans le même sac que les élections « non politiques ». De plus en plus, les organisations pensent pouvoir s’appuyer sur le vote par correspondance électronique, qui a le mérite de toucher plus de monde que celles et ceux qui viennent aux réunions.

Pour tous ces scrutins « non politiques », ces deux organismes ont décidé de mettre à jour leurs recommandations. Du côté de la CNIL, l’autorité fixe dans sa recommandation [PDF] les objectifs de sécurité minimaux « en fonction des risques que présentent l’organisation et le déroulement du vote ». Alors que l’ANSSI, elle, propose un guide pour mettre en place techniquement le système afin de répondre à ces objectifs.

Comme elle l’avait indiqué en fin d’année dernière, la CNIL confirme dans son nouveau communiqué que les scrutins déjà en préparation et prévus en 2026, comme ceux des élections des représentants du personnel de la fonction publique, « pourront continuer à appliquer la version de 2019 de la recommandation ». Elle ajoute cependant qu’« en revanche, la nouvelle recommandation s’applique à tout nouveau scrutin ».

Des « principes fondamentaux » à respecter

Dans sa recommandation, la CNIL rappelle « des principes fondamentaux qui commandent les opérations électorales concernées ». En 2019, son texte listait « le secret du scrutin sauf pour les scrutins publics, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l’élection ».

La nouvelle recommandation ajoute « l’intégrité des suffrages exprimés » et « l’accès au vote pour tous les électeurs ». Elle donne aussi des définitions à ces principes, ce qui permet d’éclaircir son point de vue quant à leur mise en place réelle.

Des objectifs à atteindre en fonction de trois niveaux de risques

Comme en 2019, l’autorité s’appuie sur un système en trois niveaux de risque du scrutin pour évaluer quels sont les objectifs de sécurité qui doivent être atteints. Mais elle les a remaniés pour « mieux prendre en compte la diversité des scrutins concernés, leur contexte d’organisation et les enjeux qui leur sont propre ».

Ainsi le niveau 1 (risques faibles) concerne des élections où les sources de menaces ont « peu de ressources et peu de motivations », et où « l’administrateur (ou les administrateurs) du système d’information n’est ni votant, ni candidat ». La CNIL cite en exemple des « élections de représentants de parents d’élèves dans les établissements scolaires ou de scrutins organisés au sein d’associations locales ».

Le niveau 2 concerne des élections pour lesquelles les sources de menaces « peuvent disposer de ressources moyennes et de motivations moyennes ». Elle considère que « des élections de représentants du personnel au sein d’organismes de petite taille ou de taille moyenne » sont un bon exemple de ce genre de cas.

Enfin, le niveau 3 concerne des votes plus importants où les personnes risquant d’attaquer peuvent « disposer de ressources importantes ou de fortes motivations », comme dans le cadre « d’élections organisées au sein d’ordres professionnels réglementés, des primaires de partis politiques, ou d’élections de représentants du personnel au sein d’organisations importantes ».

Si ces niveaux semblent assez vagues, la CNIL propose dans sa recommandation un questionnaire qui permet de s’autoévaluer avec un système de points (niveau 1 : entre 0 et 4, niveau 2 : entre 5 et 8 points et niveau 3 : plus de 8 points) :

En fonction de ce niveau, la CNIL donne une liste d’objectifs de sécurité à atteindre allant du minimum consistant à « mettre en œuvre une solution technique et organisationnelle ne présentant pas de faille majeure » à, par exemple pour le niveau 3, « renforcer le caractère secret du scrutin en ne manipulant jamais le secret permettant leur dépouillement sur un serveur qui serait en capacité de rapprocher l’identité des électeurs de leur bulletin ».

L’ANSSI vous guide

Dans son document, l’autorité explique qu’ « il revient au responsable de traitement ou à son prestataire de déterminer les moyens permettant d’atteindre les objectifs de sécurité énoncés, ces choix devant être documentés ».

Mais comme on vous l’a dit plus tôt, l’ANSSI vous a concocté un guide. Celui-ci [PDF] fait 150 pages et détaille, par objectif fixé par la CNIL, ce qu’il faut faire. Il rajoute même quelques recommandations complémentaires « limitant les impacts de situations où le serveur de vote pourrait permettre le bourrage d’urne, la conservation illégitime ou la fuite de la clé privée de l’élection et la génération d’une clé privée de l’élection favorisant un des attributaires ».

En plus de ces objectifs de sécurité à atteindre, la CNIL ajoute à sa recommandation des indications sur les informations à fournir aux électeurs, sur l’accessibilité du vote, la mise en place d’une expertise indépendante pour la mise en place de la solution, le déroulé du vote en lui-même ainsi que sur la garantie d’un contrôle a posteriori et la conservation des données.

Le Canadien Cohere acquiert l’Allemand Aleph Alpha afin de construire une alternative IA aux géants américains et chinois. Un dossier surveillé de près par Ottawa et Berlin.

Cohere, fondée en 2019 à Toronto par d’anciens chercheurs de Google, développe de grands modèles de langage pour les entreprises, et les déploie dans les infrastructures de ses clients. Aleph Alpha, créée la même année à Heidelberg (Bade-Wurtemberg), exerce une activité similaire. Les deux entreprises ont décidé d’« unir leurs forces » dans un deal qui valorise Cohere à hauteur de 20 milliards de dollars.

Cette alliance transatlantique « combine la capacité d’IA à l’échelle mondiale de Cohere avec l’excellence en recherche et les solides relations institutionnelles d’Aleph Alpha », se réjouit le groupe canadien. L’accord donne naissance à « un champion mondial de l’IA soutenu par les écosystèmes canadien et allemand ».

« Grâce à l’alliance entre Cohere et Aleph Alpha, nous faisons progresser une IA sécurisée et souveraine aux côtés de partenaires de confiance », explique Evan Solomon, ministre de l’IA du gouvernement fédéral canadien. « Nous devons bâtir des champions mondiaux qui rivalisent sur la scène internationale», enchérit Aidan Gomez, le patron de Cohere, « et la façon d’y arriver est par des partenariats ».

« La stratégie de Cohere est de concevoir l’IA la plus sécurisée et la plus efficace pour les gouvernements qui protègent leur souveraineté », ajoute le dirigeant. Aussi bien l’Allemagne que le Canada — avec qui les relations avec les États-Unis sont devenues houleuses — cherchent des solutions alternatives aux technologies états-uniennes et chinoises. « Nos pays doivent se rapprocher, collaborer et établir des interdépendances afin de renforcer notre résilience », précise Aidan Gomez.

Durant le dernier forum économique de Davos, le Premier ministre canadien Mark Carney avait plaidé pour un rapprochement entre puissances intermédiaires, pour exister face aux grandes puissances qui imposent leurs lois face au droit international. « Nous voulons nous assurer que les gouvernements et les entreprises disposent d’une alternative entre les hyperscalers et les puissances dominantes », affirme Evan Solomon.

Même discours côté allemand. Ce rapprochement a « une forte valeur géostratégique et économique », déclare le ministère allemand du Numérique. Les systèmes d’IA utilisés par les autorités du pays resteront développés et exploités sous contrôle national. Cette problématique parcourt l’ensemble des pays de l’Union européenne qui, à l’instar du Canada, subissent les injonctions (et parfois les humiliations) de la Maison Blanche.

• Scaleway remporte l’hébergement des données de santé à la place de Microsoft

La notion de foyer hors jeu

C’est une première : Spliiit, le service de partage d’abonnements, a été condamné en référé par le tribunal judiciaire de Paris saisi par la Ligue de football professionnel (LFP). En cause : le partage de comptes pour Ligue 1 +, la plateforme de streaming de la LFP. 

La décision du tribunal judiciaire de Paris du 17 avril contre Spliiit a fait du bruit et pour cause : c’est la première fois que l’entreprise spécialisée dans le partage de comptes est condamnée. Par conséquent, elle a cessé de proposer le partage de Ligue 1 +, et supprimé toute référence au service de streaming de la LFP sur son site web, en vertu de la décision de justice. « Je suis tombé de ma chaise quand j’ai appris ça », déclare Jonathan Lalinec, le directeur général de Spliiit, à Next.

• Spliiit ne peut plus partager d’abonnements Ligue 1 +

La question centrale autour de laquelle gravite toute cette histoire, c’est la notion de foyer. La formule principale de Ligue 1 +à 14,99 euros par mois (avec engagement 12 mois) autorise en effet la lecture sur 2 écrans en simultané. La communication du service de streaming a été pour le moins floue sur le sujet : au lancement de la nouvelle offre l’été dernier, le compte X (anciennement Twitter) de Ligue 1 +annonçait sans ambiguïté qu’il n’y avait pas de notion de foyer pour la gestion des 2 écrans.

Les conditions générales d’abonnement disent pourtant autre chose : la filiale LFP 2 qui opère Ligue 1 + se réserve en effet le droit de désactiver un compte abonné « en cas de partage de compte ayant pour effet de faire bénéficier à un tiers en dehors du foyer ». Ils indiquent par ailleurs que la notion de foyer « exclut totalement tout type de partage de compte via un site internet dédié, une application, un réseau social, une plateforme dédiée en tout ou partie à ce type de pratiques, etc. »

Le tribunal a nettement penché pour les arguments de la LFP. Spliiit avait pourtant bon espoir de faire entendre les siens. « Si on accepte de retirer Ligue 1 +, c’est la porte ouverte pour d’autres services qui pourraient se dire « on vous supprime » », explique Jonathan Lalinec. Le dirigeant s’était demandé s’il fallait aller devant le tribunal : « autant je suis prêt à me battre contre Netflix, Disney, Apple, mais si on est attaqué par un petit service comme ça, ça ne vaut pas le coup. »

Ligue 1 + n’était en effet qu’une goutte d’eau pour Spliiit : « ça représente 0,1% de nos abonnés », soit « un chiffre d’affaires de 3 000 euros » durant les sept mois où le service a été proposé en partage de comptes. Ces chiffres, transmis à la LFP, ont étonné la Ligue : « ils s’attendaient sans doute à ce qu’on ait des milliers d’abonnés Ligue 1 +, ce qui n’était absolument pas le cas ».

À la réception de la première mise en demeure, le directeur général n’était pas certain de vouloir se défendre face à la LFP, « je ne vous cache pas que des honoraires d’avocats ça coûte beaucoup plus cher ! » Mais finalement, Spliiit a voulu rester droit dans ses bottes : « on assume totalement ce qu’on fait ». Ça n’a pas fonctionné, et le référé est tombé. Une ordonnance qui ne fait pas une jurisprudence, « c’est une mesure provisoire qui est sur 180 jours donc pendant 180 jours on doit le retirer », précise Jonathan Lalinec. La LFP peut aller au fond, mais « on n’a pas eu d’informations là-dessus ».

La LFP n’a pas répondu aux sollicitations de Next pour le moment.

Carton rouge pour le partage de comptes

Ligue 1 + ne devrait de toute manière pas revenir de si tôt sur Spliiit. Dans son communiqué, la LFP ne parle pas explicitement de streaming ou d’IPTV illicites pour qualifier l’activité de l’entreprise. En revanche, l’organisateur du championnat de foot « réaffirme sa détermination à lutter contre toutes les formes d’exploitation non autorisée de ses services ». 

Jonathan Lalinec regrette d’ailleurs la publication du communiqué : « On leur a dit [à la LFP] : « écoutez, ne communiquez pas forcément » », des discussions entre avocats ont eu lieu, « et le vendredi matin à 9 h, on a vu que le communiqué est parti, donc on s’est dit c’est qu’ils voulaient vraiment le faire savoir. Je pense qu’ils sont assez fiers de leur coup, mais c’est contre-productif pour eux ».

Car Spliiit se présente justement comme une solution contre le piratage. « Nos clients nous le disent eux-mêmes : sans ces services [de partage de comptes], j’aurais tendance à revenir sur de l’IPTV ou des plateformes de streaming [illégales] ». « On aurait pu travailler ensemble », déplore le dirigeant, « on aurait pu aider Ligue 1 +à recruter de nouveaux abonnés : quand vous partagez un abonnement, vous souscrivez directement à l’éditeur, donc vous ne consommez pas de l’IPTV ou du streaming illégal. »

Le service ne propose de ne partager que des comptes comprenant des options multi-utilisateur. « On n’a jamais eu BeinSport, parce que BeinSport n’a jamais eu d’offre multi-utilisateur », illustre le directeur, « donc de toute façon, si vous n’avez pas d’offre multi-utilisateur, vous ne serez jamais référencés […] tant qu’il n’y a pas d’abonnement partageable, on ne se permettra pas de le référencer ».

Disney, Netflix, Apple : toujours le flou

Sur un autre front, Spliiit est toujours en attente d’une décision de justice concernant le dossier qui l’oppose à Netflix, Disney et Apple regroupés au sein de l’ACE (Alliance for Creativity and Entertainment). Une plainte qui a fait l’objet d’une ordonnance de référé du tribunal judiciaire de Paris, en 2022.

Les trois plateformes états-uniennes reprochaient une atteinte à leurs marques, une incitation à enfreindre les conditions d’utilisation (partage hors foyer), des actes de concurrence déloyale et du parasitisme. Pour Spliiit, il n’existait ni contrefaçon évidente, ni trouble manifeste. Le tribunal a reconnu que les plaignantes avaient bien qualité à agir, mais que leurs règles de partage étaient (à l’époque) ambigües et incohérentes. Les services pouvaient aussi interpréter leurs propres règles.

Pas de condamnation de Spliiit donc, et renvoi à un procès au fond. Et depuis ? « La justice prend du temps, et entre 2021 et 2026, il s’est passé beaucoup de choses du point de vue des éditeurs », explique Jonathan Lalinec, « ils ont changé leurs offres, ils ont rajouté des offres payantes, l’offre extra abonné, l’offre abonné supplémentaire ». La notion de foyer a donc volé en éclat, contre monnaie sonnante et trébuchante. « C’est un procès qui est sans objet », affirme-t-il, « il a été repoussé, il aurait dû avoir lieu en 2023, repoussé en 2024, repoussé en 2025… »

L’an dernier, une médiation a été demandée par la justice « à la dernière minute », mais les parties ne sont pas parvenues à se mettre d’accord. Une plaidoirie a finalement eu lieu le 5 octobre, avec une décision programmée en décembre… et sans cesse reportée depuis : « je crois qu’on est au 14^e report, donc voilà, je ne peux pas vous donner de date exacte ». Le jugement est attendu : « c’est vraiment la décision au fond de cette affaire qui permettra de trancher si l’abonnement, finalement, peut être partagé et sous quelles conditions. »

Spliiit est aujourd’hui un service qui se porte bien, avec 600 services référencés pour la presse, la musique et la SVOD, en France et en Europe et un chiffre d’affaires de 4 millions d’euros.

L’Agence de services et de paiement (ASP) a alerté, vendredi 24 avril, certains destinataires des versements qu’elle opère pour le compte de l’État d’une fuite de données susceptible d’avoir exposé des informations personnelles. En l’occurrence, la fuite concerne les usagers du portail Profil, dédié à la rémunération des stagiaires de la formation professionnelle continue.

« Le 1er avril 2026, les équipes de l’Agence de services et de paiement ont détecté un accès frauduleux à un compte utilisateur ayant permis l’exfiltration de documents susceptibles de contenir des données personnelles vous concernant », décrit l’ASP dans cet email consulté par Next.

Outre les données d’état civil et les coordonnées (adresse postale), le périmètre de la fuite englobe également le numéro de sécurité sociale, le montant de l’aide perçue (avis de paiement) ainsi que les données bancaires (RIB).

L’ASP assure que l’incident a été « immédiatement pris en charge et circonscrit », et promet avoir pris les mesures techniques adéquates. « Le compte compromis a été sécurisé et les contrôles d’accès renforcés, affirme l’Agence, qui ajoute : « la vulnérabilité à l’origine de cet incident a été identifiée et corrigée ».

Aux usagers concernés, elle recommande une vigilance particulière « à l’égard de toute sollicitation inhabituelle ».

Même si la diffusion d’un RIB n’est pas censée présenter de risque en soi, la combinaison de données personnelles identifiantes et d’informations relatives au compte bancaire permet effectivement des scénarios malveillants poussés, qu’il s’agisse de campagnes de phishing ou de tentatives de prélèvements frauduleux.

• https://next.ink/155808/fuite-diban-quels-sont-les-risques-comment-se-proteger/

Ni l’Agence, ni ses deux ministères de tutelle (Agriculture et Travail) n’ont pour l’instant communiqué sur le volume de comptes concernés par cette fuite, qui vient alourdir un tableau déjà bien chargé dans l’univers des services publics.

Cette intrusion intervient quelques jours seulement après la révélation d’une fuite de 11,7 millions de comptes au niveau de France Titres, l’ex-ANTS.

Plus tôt, le système d’information sur les armes du ministère de l’Intérieur a fait l’objet d’une attaque en mars, tandis que des données du CNRS ont été récupérées en février dernier, et que l’Urssaf a déjà subi une fuite en janvier concernant 12 millions de victimes potentielles.

Écumons !

En 2025, le nombre de demandes administratives de retraits de contenus, venant en grande majorité de l’Office anti-cybercriminalité, a augmenté de 8,7 % mais la plupart d’entre elles sont liées à des contenus pédosexuels. Celles concernant le terrorisme sont en nette baisse de 40 % par rapport à 2024.

Les demandes de retrait adressées par l’Office anti-cybercriminalité (OFAC) et contrôlées par la personnalité qualifiée (en l’occurrence, Laurence Pécaut-Rivolier, membre du collège de l’Arcom et conseillère à la Cour de cassation) ont augmenté de 8,7% entre 2024 et 2025 alors qu’il y avait eu une forte baisse entre 2023 et 2024.

Mais le rapport, publié ce 21 avril sur le site de l’Arcom, souligne que « les contenus à caractère pédopornographique demeurent largement majoritaires dans les demandes de retrait par rapport aux contenus à caractère terroriste, puisqu’ils représentent environ 96 % des demandes de retrait contrôlées par la personnalité qualifiée en 2025 ».

Un reflux des contenus signalés comme terroristes

De fait, dans les chiffres présentés par l’Arcom, les demandes de retraits de contenus pédocriminels augmentent de 12 % entre 2024 et 2025 alors que celles concernant le terrorisme baissent de 40 % par rapport à 2024, et même de 84 % par rapport à 2023 :

Dans ces chiffres, on peut voir une forte augmentation des demandes de retraits entre 2020 et 2023, suivie d’une baisse. Dans son rapport précédent [PDF], la personnalité qualifiée expliquait qu’ « après la hausse des demandes de retrait observée en 2023 par rapport à l’année 2022, tous les chiffres de retrait et de blocage sont en forte baisse en 2024 par rapport à l’année précédente ».

Elle ajoutait que « la baisse est particulièrement notable s’agissant des contenus d’apologie du terrorisme. Cette évolution peut s’expliquer par le caractère exceptionnel de l’année 2023, marquée par les crises géopolitiques, en particulier les attaques terroristes du Hamas le 7 octobre 2023 en Israël et ses conséquences ».

Cette baisse des demandes de retraits de contenus concernant le terrorisme explique l’augmentation mécanique de la part des retraits concernant les contenus pédosexuels, qui représentaient « environ 80 % » des demandes contrôlées par la personnalité qualifiée en 2023.

Dans son dernier rapport, elle explique que « l’année 2024 avait été marquée par une forte baisse des retraits et blocages par rapport aux années précédentes. Les données de 2025 infirment cette tendance s’agissant des retraits ».

« Les blocages, eux, poursuivent leur décrue. Au final, en 2025, environ 0,23 % des demandes de retrait de l’OFAC donnent lieu à une demande de blocage (contre environ 0,61 % en 2024) », explique Laurence Pécaut-Rivolier dans son rapport.

En effet, à défaut du retrait dans les 24 heures de contenus faisant l’apologie des actes terroristes ou de leur incitation, l’OFAC peut demander aux fournisseurs d’accès à internet (FAI) le blocage de contenus en ligne conformément à l’article 6.1 de la LCEN. De même, il peut demander le retrait à l’hébergeur d’images de tortures ou d’actes de barbarie en suivant l’article 5 de la loi SREN.

Elle ajoute que « cette évolution peut s’expliquer par une meilleure réponse des fournisseurs de services à qui les retraits sont demandés par PHAROS, le blocage intervenant qu’en cas d’absence de retour de la plateforme à la demande de retrait ».

Un effort financier à maintenir

La personnalité qualifiée souligne que « si une partie des contenus dont le retrait est demandé par l’OFAC sont identifiés grâce à des signalements d’associations ou de particuliers, qui s’avèrent particulièrement utiles », ce sont de fait les équipes de cet organisme qui détectent directement « l’essentiel » de ces contenus problématiques.

« Dès lors, le nombre de contenus dont le retrait est demandé dépend fortement des moyens que l’OFAC peut mettre en œuvre à cette fin », soulignant en creux que plus l’OFAC est financé, plus la France pourra détecter et faire retirer ces contenus.

Pour effectuer ses contrôles, Laurence Pécaut-Rivolier est assistée d’une personnalité qualifiée suppléante et de deux des huit agents volontaires pour manipuler les postes de visionnage. Les séances durent « au maximum trois heures pour minimiser l’exposition des agents », et permettent de vérifier chacune, à un rythme soutenu, « environ 5 000 demandes adressées par l’OFAC ».

Interrogée par Next sur la rapidité de cette vérification, l’Arcom explique qu’ « en pédopornographie la caractérisation ne nécessite qu’une à deux secondes et que, par ailleurs, il existe des retraits de « séries » provenant du même site pour lequel nous pouvons procéder par sondages ». Elle ajoute que « l’équipe ne dispose pas d’outil spécifique ».

Plusieurs sites de contenus piratés très populaires affichent désormais une erreur 521 de Cloudflare. Impossible d’y accéder, et le plus intéressant c’est qu’ils sont tous tombés en même temps : le serveur d’origine refuse la connexion ou ne répond plus.

Myflixerz, Sflix, Watchseries, HDtoday et d’autres encore sont aux abonnés absents. Ces sites distribuent des contenus piratés à grands flots, attirant des millions de visiteurs chaque mois… qui se cassent désormais le nez en tentant d’y accéder. Les noms de domaine existent toujours, Cloudflare est bien en place, mais l’erreur 521 indique que l’infrastructure qui héberge ces sites est hors ligne ou inaccessible.

Cloudflare n’est donc pas responsable de ce mystérieux serrage de kiki. Comme le rapporte TorrentFreak, il est probable que ces dizaines de sites web ne soient pas indépendants : ils s’appuient sur un modèle « Piracy-as-a-Service » (PaaS) dans lequel le contenu est hébergé par des services communs comme MegaCloud ou VidCloud qui servent de colonne vertébrale technique.

Logiquement, si cette infrastructure centrale tombe, tous les sites qui s’y adossent également. Personne n’ayant revendiqué quoi que ce soit pour le moment, difficile de pointer du doigt le responsable. Néanmoins, plusieurs hypothèses sont sur la table. La première est probablement la moins probable, il s’agirait d’une coupure technique, une simple panne côté backend. L’ampleur de l’événement est tel que ce scénario semble peu crédible.

Autre hypothèse : une action concertée d’ayants droit. La Motion Picture Association (MPA) surveille activement ces réseaux. Le rapport de l’organisation, remis au représentant américain au commerce l’automne dernier (PDF), affirmait ainsi que les réseaux Myflixerz et Sflix avaient généré 622 millions de visites rien qu’au mois d’août 2025. Autant de manque à gagner…

Il existe un précédent. En 2023, l’Alliance for Creativity and Entertainment (ACE) mettait le grappin sur 2Embed, une infrastructure PaaS hébergeant de nombreux contenus distribués par une myriade de portails de streaming illicite. L’opération, menée au Vietnam, avait provoqué un effet domino sur de nombreux sites (dont la plupart se sont remis depuis).

Enfin, il peut s’agir tout simplement d’une coupure de l’accès par les services backend, qui peuvent l’avoir fait de leur plein gré ou sous la contrainte d’un hébergeur ou d’un fournisseur réseau. Dans tous les cas, les sites en question ne sont pas à court de ressources : ils finiront par réapparaitre un jour ou l’autre. Cela n’en reste pas moins un coup dur, car construire une nouvelle infrastructure PaaS demande du temps.

• Piratage : l’Arcom estime à 1,5 milliard d’euros le manque à gagner pour les contenus audiovisuels

Ce week-end des 25 et 26 avril aura lieu un Festival des médias indépendants réunissant plus de 40 médias, dont Next et les 7 médias membres de La Presse Libre, ainsi que Basta!, Blast, Bon Pote, Disclose, Facto !, Fakir, La Déferlante, Médianes, l’Observatoire des multinationales, Reporterre, Sciences Critiques, Socialter et StreetPress, notamment.

L’évènement (gratuit) aura lieu de 12 à 19 h à Ground Control, un lieu d’expérimentation et d’expression indépendant de 6500m² situé à proximité de la gare de Lyon, dans une ancienne halle de tri postal appartenant à la SNCF.

Une vingtaine de rencontres, échanges et table-rondes y discuteront de « Comment reprendre la main face aux algorithmes et médias des milliardaires ? », « Pourquoi et comment faut il critiquer les technosciences », « Comment informer sans désespérer ? » ou encore « Un google actualités des médias indépendants, est-ce possible ? ».

Next y sera présent dans une table-ronde consacrée au journalisme d’investigation, samedi de 16h45 à 18 h, où je me ferai un plaisir de répondre à vos questions :

« Comment travaillent les journalistes ? Comment trouvent-ils leurs sources ? Jean-Marc Manach a identifié en sources ouvertes (OSINT) plus de 10 000 sites d’info se présentant comme des médias, mais générés par des intelligences artificielles, polluant le paysage médiatique et relayant de nombreuses fakes news « hallucinées » par IA. Pauline Bock a révélé la manière dont un journaliste spécialisé dans la couverture de la justice a été condamné pour recel du secret de l’instruction et interroge la façon dont se construit l’information sur les procédures judiciaires, par nature secrètes. Tous deux vous racontent comment ils ont réussi à publier ces informations d’intérêt public. Une proposition de La Presse libre, animée par Romain Tord (Politis). »

• [Récap] Nous avons découvert des milliers de sites d’info générés par IA : tous nos articles

Who's next ?

Meta et Microsoft ont tous deux confirmé cette semaine d’importantes coupes à venir dans leurs effectifs. Le premier prévoit de licencier 8 000 personnes, soit environ 10 % de ses équipes, d’ici le mois de juin, et réduit la voilure au niveau des nouvelles embauches. Le second vient pour sa part de lancer un plan de départ volontaire aux États-Unis. Environ 9 000 personnes seraient éligibles.

L’hémorragie se poursuit chez les géants de la tech, avec deux nouvelles coupes annoncées chez Meta et Microsoft, qui se préparent, chacun à sa façon, à supprimer plusieurs milliers de postes. Une nouvelle vague de licenciements partiellement imputée, au moins chez Meta, à la nécessité de dégager des ressources financières pour poursuivre les investissements liés à l’intelligence artificielle.

Meta supprime 8 000 postes, soit 10 % de ses effectifs

Chez Meta, l’échéance est fixée au 20 mai. C’est à cette date que l’entreprise débutera un plan qui doit conduire au départ de 8 000 personnes, soit environ 10 % de l’effectif mondial du groupe, selon un mémo interne dont la teneur a été révélée par Bloomberg. Le document dévoile par ailleurs que Meta met un terme à 6 000 recrutements ouverts.

Le message est signé par Janelle Gale, directrice des ressources humaines de Meta. Elle explique avoir dû prendre les devants en raison de fuites dans la presse. La rumeur d’un nouveau plan de grande ampleur circule en effet depuis la mi-mars. Le plan mis en œuvre au 20 mai se révèle toutefois plus modeste qu’anticipé, puisqu’on parlait à l’époque de 20 % des effectifs.

« Je sais que cette nouvelle est malvenue et que sa confirmation met tout le monde mal à l’aise, mais nous pensons que c’est la meilleure solution, compte tenu des circonstances, écrit Janelle Gale, avant de justifier la décision. Nous agissons ainsi dans le cadre de nos efforts continus pour gérer l’entreprise plus efficacement et pour compenser les autres investissements que nous réalisons. Ce choix est difficile et impliquera le départ de personnes qui ont apporté une contribution significative à Meta durant leur passage parmi nous. »

Ces « autres investissements » ne sont pas spécifiés dans le courrier, mais ils renvoient logiquement à l’IA et aux annonces formulées en juillet 2025 par Mark Zuckerberg, qui évoquait alors des « centaines de milliards de dollars » fléchés vers ses centres de données.

Meta a déjà procédé à plusieurs restructurations importantes ces dernières années. En novembre 2022, la société avait licencié 11 000 employés, avant de se séparer de 10 000 personnes supplémentaires en mars 2023. Début janvier 2026, elle remerciait par ailleurs 1 500 personnes de son Reality Labs, actant son détournement du métavers, pourtant ardemment promu par Mark Zuckerberg pendant la pandémie de Covid-19.

Microsoft lance un plan de départ volontaire aux États-Unis

Chez Microsoft, l’année 2025 a déjà été marquée par une double vague de licenciements, avec 6 000 personnes concernées en mai et 9 000 en juillet, soit un total de 15 000 postes supprimés. L’éditeur souhaite manifestement poursuivre sur cette lancée, mais il a cette fois choisi une voie moins brutale. D’après, là aussi, un mémo interne consulté par CNBC, Microsoft a proposé à ses employés basés aux États-Unis un plan de départ volontaire exceptionnel.

« Nous espérons que ce programme permettra aux personnes admissibles de franchir cette prochaine étape selon leurs propres conditions, grâce à un généreux soutien de l’entreprise », écrit dans ce courrier Amy Coleman, directrice des ressources humaines. Microsoft ouvre en effet ce guichet de départs sous conditions. Pour être éligible, il faut que l’âge de la personne concernée et son ancienneté dans l’entreprise égalent ou dépassent le nombre 70 (par exemple, être âgé de 50 ans et afficher au moins 20 ans de présence dans le groupe).

Les employés éligibles devraient recevoir les détails pratiques à partir du 7 mai. Une source proche du dossier a indiqué à CNBC que ce double critère d’âge et d’ancienneté rendrait éligibles environ 7 % des 125 000 personnes que Microsoft emploie aux États-Unis, soit environ 8 700 employés. Reste à voir si ces départs volontaires seront jugés suffisants, ou si l’éditeur décidera de lancer un nouveau plan, contraint cette fois, en suivant.

Microsoft n’invoque pas spécifiquement l’IA pour justifier ces différents plans, mais il est impossible de ne pas établir un parallèle, dans la mesure où l’éditeur a accéléré significativement ses dépenses d’investissement en la matière. Le groupe a d’ailleurs annoncé le 23 avril son intention de flécher l’équivalent de 18 milliards de dollars vers l’Australie, notamment pour construire des datacenters dédiés à l’IA.

Cette tension entre IA et ressources humaines vient également de justifier un plan social chez Oracle, avec potentiellement jusqu’à 30 000 employés informés par un email laconique que leur emploi dans le groupe était terminé.

Un soldat états-unien a été arrêté dans le cadre du pari sur la chute de Maduro, qui lui avait permis d’empocher 430 000 dollars sur Polymarket.

Ce gain avait été remarqué vu le montant du gain, et le timing du pari. L’utilisateur avait commencé à parier sur la plateforme Polymarket à propos du sujet « Maduro démis de ses fonctions avant le 31 janvier 2026 ? » le 31 décembre en augmentant sa mise de façon conséquente vendredi 2 janvier, juste avant l’enlèvement de Nicolás Maduro par l’armée états-unienne.

• Polymarket : un gain de plus de 430 000 $ sur la chute de Maduro

Le département de la Justice explique dans un communiqué de presse publié ce 23 avril qu’un soldat de l’armée américaine, Gannon Ken Van Dyke, est accusé d’ « utilisation illégale d’informations gouvernementales confidentielles à des fins personnelles, vol d’informations gouvernementales non publiques, fraude sur les matières premières, fraude électronique et réalisation d’une transaction financière illégale ».

« Ces accusations découlent d’un stratagème présumé dans le cadre duquel VAN DYKE aurait utilisé des informations classifiées sensibles pour effectuer des paris sur Polymarket », ajoute le communiqué.

La piste d’un délit d’initié qui semblait assez probable suite à la découverte de ce pari se confirme.

« Le prévenu aurait trahi la confiance que lui avait accordée le gouvernement des États-Unis en utilisant des informations classifiées concernant une opération militaire sensible pour parier sur le calendrier et l’issue de cette même opération, dans le seul but d’en tirer un profit », affirme le procureur fédéral par intérim Jay Clayton :

« Il s’agit clairement d’un délit d’initié, illégal en vertu de la loi fédérale. Ceux à qui l’on a confié la protection des secrets de notre nation ont le devoir de les protéger, ainsi que les membres de nos forces armées, et non d’utiliser ces informations à des fins de gain financier personnel. »

Le procureur se voit obligé de réaffirmer que « les marchés prédictifs ne doivent pas servir de refuge pour exploiter à des fins personnelles des informations confidentielles ou classifiées détournées ».

Selon le communiqué, l’enquête aurait montré qu’après avoir gagné ses paris sur le sujet et que la presse s’en soit fait l’écho, Gannon Ken Van Dyke « aurait transféré la majeure partie de ses gains vers un coffre-fort de cryptomonnaies à l’étranger avant de les déposer sur un compte de courtage en ligne nouvellement créé ».

Il aurait essayé de cacher son identité, par exemple en demandant à Polymarket de supprimer son compte Polymarket, en prétendant avoir perdu l’accès à l’adresse e-mail associée au compte ou en modifiant l’adresse e-mail enregistrée sur son compte de crypto-monnaies.

Le soldat est poursuivi pour trois chefs d’accusation de violation du Commodity Exchange Act, « chacun passible d’une peine maximale de 10 ans d’emprisonnement ; un chef d’accusation de fraude électronique, passible d’une peine maximale de 20 ans d’emprisonnement ; et un chef d’accusation de transaction financière illégale, passible d’une peine maximale de 10 ans d’emprisonnement ».

Un peu moins d’un mois après la bêta, Ubuntu 26.04 est disponible en version finale. Cette version baptisée Resolute Raccoon est une LTS, c’est-à-dire une Long Term Support avec cinq ans de support classique et cinq ans de plus avec Ubuntu Pro. Les LTS sont publiées tous les deux ans, en avril.

• [Tuto] Renforcer la sécurité de son VPS avec fail2ban, clés SSH, What’s Up Docker…

« Ubuntu 26.04 LTS est la première version Ubuntu à distribuer nativement NVIDIA CUDA », indique Canonical. La plateforme logicielle concurrente d’AMD, ROCm, est aussi disponible dans les dépôts d’Ubuntu. Dans les deux cas, ils sont disponibles via apt install. Le noyau Linux 7.0 avec la version 50 de GNOME (avec uniquement Wayland) sont de la partie.

« Ubuntu Desktop 26.04 LTS nécessite un processeur double cœur de 2 GHz ou plus, un minimum de 6 Go de RAM et 25 Go d’espace de stockage libre pour une expérience confortable », peut-on lire dans les notes de version. La distribution est, pour rappel, passée récemment à 6 Go recommandés, contre 4 Go pour la précédente LTS.

• Télécharger Ubuntu 26.04 LTS

Vous pouvez également télécharger une des autres « saveurs » Edubuntu, Kubuntu, Lubuntu, Ubuntu Budgie, Ubuntu Studio, Xubuntu, Ubuntu Unity, Ubuntu Kylin et Ubuntu Cinnamon (les liens sont en bas de cette page).

La version 26.04.1 est prévue pour le 9 juillet 2026, c’est à ce moment-là que cette version devrait être poussée sur les systèmes en 24.04, le temps de s’assurer que le système est stable. Le travail continue sur Ubuntu 26.10 (Stonking Stingray), prévu pour le 15 octobre en version finale, avec une bêta fin septembre.

Y en a un peu plus, je vous le mets quand même ?

On n’en est pas à un nouveau LLM par jour, mais pas loin ! OpenAI a dévoilé GPT-5.5, alors que son prédécesseur GPT-5.4 remonte à début mars. Cette nouvelle version s’ajoute au lancement de ChatGPT Images 2.0 il y a quelques jours, et à celui de Privacy Filter qui masque les données personnelles dans du texte.

Il se passe toujours quelque chose chez OpenAI. Tenez, la startup a lancé cette nuit GPT-5.5, nouvelle version du grand modèle de langage qui propulse, entre autres, ChatGPT. Comme GPT-5.4 lancé le 5 mars, cette mouture est censée accélérer les tâches de productivité. Y compris quand la requête n’est pas tout à fait claire : « Vous pouvez confier à GPT-5.5 une tâche complexe et mal structurée, composée de plusieurs volets, et lui faire confiance pour planifier, utiliser des outils, vérifier son travail, composer avec l’incertitude et poursuivre le travail jusqu’au bout ».

• OpenAI sort GPT-5.4, avec deux versions tournées vers les tâches « professionnelles »

OpenAI promet une amélioration sensible dans les capacités de raisonnement dans un contexte donné : en code agentique, en utilisation de l’ordinateur, dans le travail intellectuel et les premières étapes de la recherche scientifique. La société assure en outre que GPT-5.5 conserve la même latence par token que GPT-5.4, « tout en offrant un niveau d’intelligence supérieur ». 

GPT-5.4 reste nettement moins cher à l’unité, avec un coût de 2,50 dollars en entrée et 15 dollars en sortie par million de tokens. GPT-5.5 double ces tarifs, mais le modèle compense par une plus grande efficacité, selon OpenAI : il utilise moins de tokens pour effectuer les mêmes tâches. Et ce serait aussi le cas dans Codex.

• Claude Opus 4.7 : le nouveau modèle d’Anthropic se veut plus performant et plus gourmand

Les benchmarks publiés par OpenAI indiquent un bond réel dans les tâches agentiques : GPT-5.5 creuse nettement l’écart avec son prédécesseur direct et ses concurrents sur Terminal-Bench, qui mesure la capacité à utiliser un ordinateur, enchaîner des actions, planifier et corriger ses erreurs. Sur les tests de torture plus classiques, la progression du LLM est incrémentale avec des gains modérés sur GDPval (tâches professionnelles réelles) et OSWorld (usage d’un ordinateur).

GPT-5.5 est en phase de déploiement pour les abonnés payants (Plus, Pro, Business, Enterprise) et dans Codex. GPT-5.5 Pro l’est également pour les utilisateurs Pro, Business et Enterprise. L’API y aura droit très bientôt. ChatGPT intègre la déclinaison Thinking de GPT-5.5 dans les formules Plus, Pro, Business et Enterprise.

Privacy Filter masque les informations privées

L’entreprise a également présenté un modèle tout à fait inédit, OpenAI Privacy Filter, dont la mission est de détecter et de supprimer des données personnelles (PII) dans du texte. Le modèle doit comprendre le contexte linguistique, identifier des informations personnelles (même implicites) et distinguer ce qui est public de ce qui relève de la vie privée.

Dit autrement, ce filtre de confidentialité ne se contente pas de repérer des informations basiques comme « @exemple.com » ou un numéro de téléphone. Il est en mesure de décider si cette information doit être masquée, en fonction de l’usage. Le modèle peut être exécuté en local : pas besoin d’envoyer le texte contenant des données sensibles sur un serveur, tout est fait par l’appareil. 

Par conséquent, il s’agit d’un modèle relativement petit (1,5 milliard de paramètres, dont 50 millions sont actifs) qui peut tout de même traiter des documents relativement longs, jusqu’à 128 000 tokens. Privacy Filter couvre huit catégories de données : personnes privées, adresses, emails, téléphones, URL, dates privées, numéros de compte et secrets (mots de passe, clés API, etc.). Attention cependant, ce n’est pas un outil d’anonymisation complet : il peut en effet se tromper et il nécessite absolument une validation humaine dans les cas sensibles.

Le modèle est publié en poids ouverts sous licence Apache 2.0, sur Hugging Face et GitHub. OpenAI le propose à des fins d’expérimentation, de personnalisation, mais aussi dans le cadre d’un déploiement commercial. Privacy Filter est conçu pour s’intégrer dans les bases de données indexées, les outils d’analyse ou de support client, les systèmes de logs ou dans les pipelines d’entraînement de modèles.

ChatGPT Images 2.0, toujours plus loin dans le faux

Si OpenAI a abandonné ses prétentions en matière de génération vidéo en fermant Sora sans cérémonie, la génération d’images, elle, est toujours aussi importante. L’entreprise a lancé le 21 avril ChatGPT Images 2.0, un peu plus d’un an après la première version. Le nouveau modèle est censé respecter scrupuleusement les instructions, qu’il s’agisse de placement et de relation entre les objets, ou de rendu de textes denses.

Images 2.0 devrait donc se montrer plus doué pour générer des bandes dessinées en respectant le look des personnages d’une case à une autre, des pages de magazine avec une typographie correcte, mais aussi des interfaces d’applications et de jeux, des storyboards et des assets marketing.

Une des nouveautés intéressantes d’Images 2.0 : le mode « Thinking » du modèle peut effectuer des recherches en ligne pour obtenir des informations en temps réel, créer plusieurs images distinctes à partir d’une seule requête, et vérifier ses propres résultats. Les images générées, que l’on peut modifier et affiner, peuvent monter à une résolution 2K. OpenAI fait enfin une sacrée promesse, celle que les images générées par Images 2.0 fassent moins « générées par IA » — floutant un peu plus la frontière entre le vrai et le faux.

Dominos

Le paquet NPM du CLI de Bitwarden publié comme la version 2026.4.0 est en fait un malware qui récupère les secrets, clés SSH et autres identifiants. Cette version a été rapidement étiquetée comme « obsolète » et l’équipe du projet a contacté NPM pour que le paquet soit retiré au plus vite.

Dans la série des attaques de la supply chain, on continue. Après Trivy, LiteLLM, Axios et hier Xinference, on ajoute aujourd’hui le client en ligne de commande du gestionnaire de mots de passe Bitwarden. Cette fois, c’est le paquet NPM (Node Package Manager) du CLI qui a été visé avec l’utilisation du numéro de version 2026.4.0, la légitime dernière version 2026.3.0 ayant été publiée il y a trois semaines.

L’alerte vient de l’équipe de l’entreprise de sécurité JFrog. Prévenue par un utilisateur, l’équipe de Bitwarden a répondu avoir bien constaté le problème : « Nous avons depuis étiqueté comme « obsolète » cette version et contacté NPM pour qu’elle soit supprimée ». Aucun autre paquet ou application/extension de Bitwarden ne semble compromis, pas plus que les coffres-forts des utilisateurs.

De fait, expliquent les chercheurs de JFrog, le paquet vérolé utilise les mêmes métadonnées dans le fichier build/bw.js que la 2026.3.0 du paquet, mais elle renvoie le fichier preinstall et le binaire bw vers un script bw_setup.js. Celui-ci vérifie d’abord si l’environnement d’exécution JavaScript Bun est installé et en récupère une version si ce n’est pas le cas.

Encore une récupération des secrets, avec un traitement spécial pour GitHub

Suite à ça, le paquet verolé peut lancer l’attaque via l’exécution du fichier bw1.js. Celui-ci cible des fichiers de configuration utilisés par les développeurs pour stocker des informations comme les clés SSH, les identifiants Git, NPM, AWS, Google Cloud Platform, ou encore les fichiers de configuration de l’IA Claude ou de celle de Kiro.

Concernant GitHub, le paquet pirate va plus loin. D’abord, il vérifie que les identifiants sont bons via https://api.github.com/user. Ensuite, il va essayer d’extraire davantage d’informations confidentielles hébergées sur GitHub.

Concernant l’exfiltration, le paquet vérolé a deux méthodes possibles. Soit il exfiltre les données via une requête POST après les avoir sérialisées dans un JSON, compressées et chiffrées. Si cette méthode ne fonctionne pas, il peut utiliser GitHub pour stocker dans un nouveau dépôt les blobs JSON des données récupérées.

Pour celles et ceux qui auraient installé cette fausse version 2026.4.0 du CLI de Bitwarden, il faut partir du principe que les identifiants des outils cités ci-dessus sont compromis, explique JFrog. Il faut donc d’abord désinstaller le paquet NPM @bitwarden/cli et renouveler les secrets susceptibles d’avoir été compromis. Voici les commande proposées (la dernière permet d’empêcher l’exécution automatique de scripts à l’installation de paquets) :

npm uninstall -g @bitwarden/cli
npm cache clean --force
npm config set ignore-scripts true

Pour chercher des traces du piratage et du téléchargement de Bun, voici deux commandes proposées par Jfrog. Si vous avez des résultats, alors inquiétez-vous.

rg -n "audit\\.checkmarx\\.cx|LongLiveTheResistanceAgainstMachines|beautifulcastle" .
ls -la bun bun.exe bw1.js bw_setup.js 2>/dev/null

Encore TeamPCP ?

Dans le titre de son billet sur cette attaque, JFrog l’attribue rapidement au groupe de pirates TeamPCP qui serait aussi responsable de celle contre Xinference. Mais son équipe ne donne aucune information qui pourrait permettre d’identifier le groupe. Sur X, le compte « officiel » de TeamPCP a été suspendu.

De son côté, Socket estime que « ce paquet a été compromis lors de ce qui semble être une nouvelle attaque de TeamPCP ». « L’attaque semble avoir exploité une action GitHub compromise dans le pipeline CI/CD de Bitwarden, ce qui correspond au schéma observé dans d’autres dépôts touchés par cette campagne », explique d’ailleurs Socket qui ajoute que cette attaque se place dans la continuité de celle que l’entreprise a découverte hier sur la supply chain Checkmarx de KICS.

Dans un message, l’équipe de Bitwarden a confirmé avoir identifié que cette version vérolée du paquet a été distribuée pendant environ 1h30 ce mercredi 22 avril et qu’elle se situait « dans le cadre d’un incident plus général affectant la supply chain de Checkmarx ».

• Hackerbot-claw : un bot exploite GitHub Actions et vide le dépôt de Trivy

Elle explique que son enquête « n’a révélé aucun élément indiquant que les données du coffre-fort des utilisateurs finaux aient été consultées ou aient été exposées à un risque, ni que les données ou les systèmes de production aient été compromis. Dès que le problème a été détecté, les accès compromis ont été révoqués, la version malveillante de npm a été retirée, et des mesures correctives ont été immédiatement mises en œuvre ».

« Bitwarden a mené à bien un examen de ses environnements internes, de ses processus de déploiement et des systèmes associés, et aucun autre produit ou environnement affecté n’a été identifié à ce stade. Un CVE concernant la version 2026.4.0 de Bitwarden CLI est en cours d’émission dans le cadre de cet incident », ajoute l’équipe.