Laure Beccuau, procureure de la République, annonce que le, 25 avril, « un mineur âgé de 15 ans a été placé en garde à vue, soupçonné d’avoir contribué à la fuite de données au préjudice de l’ANTS (France Titres, Agence nationale des titres sécurisés) ».
Pour rappel, au moins 11,7 millions de comptes sont touchés. Le portail France Titres a été fermé vendredi 24 avril pour maintenance. Selon nos constatations, c’est finalement mercredi 29 avril en fin de journée que l’accès aux démarches en ligne et à l’identification via France Connect ont été rétablis.
Dans son communiqué, la procureure rappelle que l’OFAC (Office anti-cybercriminalité) avait été informé en avril d’une cyberattaque contre l’ANTS : « Entre 12 et 18 millions de lignes de données étaient proposées à la vente sur des forums cybercriminels, par un hacker surnommé « breach3d » ». Attaque confirmée le 13 avril 2026, avec « l’authenticité des données revendues ».
La section de lutte contre la cybercriminalité du parquet de Paris a ouvert une enquête le 16 avril pour « accès et maintien frauduleux dans un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, ainsi que d’extraction frauduleuse de données contenues dans un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État (délits faisant encourir la peine de 7 ans d’emprisonnement et 300 000 euros d’amende) ».
Une information judiciaire est finalement ouverte hier, mercredi 29 avril 2026 par le parquet de Paris : « Les investigations se poursuivent désormais sous la direction du juge d’instruction ». Johanna Brousse, vice-procureure du parquet de Paris, cheffe de la section de lutte contre la cybercriminalité, revient sur cette arrestation avec un message sous la forme d’une alerte :
« Vol de données ANTS : interpellation d’un suspect, il a 15 ans. Ce n’est pas un prodige. C’est un signal. La menace cyber se banalise. À nous, collectivement, d’élever notre niveau de cyber résilience. »
Il y a une semaine, une autre arrestation faisait la une des journaux : HexDex. Il est soupçonné d’être à l’origine de la mise en ligne de nombreuses bases de données dérobées à des fédérations sportives, au système d’information sur les armes du ministère de l’Intérieur (SIA), à l’Agence Nationale de la Cohésion des Territoires (ANCT), au service Choisir le service public gouv, etc.
Depuis 2017, une vulnérabilité dans le module cryptographique authencesndu noyau Linux laissait à un compte d’un simple utilisateur la possibilité de passer en root. Elle concerne la plupart des grandes distributions jusqu’au déploiement du patch, qui est déjà en cours.
C’est l’entreprise de sécurité Xint.io qui a révélé, ce mercredi 29 avril, cette vulnérabilité (CVE-2026-31431, d’une sévérité élevée de 7,8/10) permettant une élévation des privilèges en local.
Le score n’est « que » de 7,8 car le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine, ici un compte utilisateur. La même avec une attaque depuis le réseau (AV:N) se serait approchée de 10.
N’importe qui peut devenir root
Appelée « Copy Fail », celle-ci permet (sans accès au réseau, sans utiliser de fonctionnalités de débogage du noyau et sans avoir installé quoi que ce soit avant) à toute personne possédant un simple compte utilisateur sur quasiment n’importe quelle distribution Linux d’obtenir les privilèges root et donc d’y faire tout ce qu’elle veut.
Comme l’explique l’entreprise sur le site dédié à la faille, « un utilisateur local sans privilèges peut écrire quatre octets contrôlés dans le page cache de n’importe quel fichier accessible en lecture sur un système Linux, et s’en servir pour obtenir les privilèges root ».
Les responsables des distributions ont commencé à mettre à jour le paquet de leur noyau Linux pour bloquer l’utilisation d’une faille de sécurité qui se situait directement dans le noyau. Le danger concerne les systèmes partagés entre plusieurs utilisateurs, les clusters de conteneurs (Kubernetes, Docker…), etc. Un utilisateur lambda pourrait ainsi accéder aux données des autres utilisateurs.
Une faille dans le module cryptographique authencesn du noyau
Xint.io explique que cette faille a été découverte par le chercheur de l’entreprise Theori, Taeyang Lee, en étant assisté par l’IA de son outil Xint Code alors qu’il étudiait la manière dont le sous-système de cryptographie de Linux interagit avec les données stockées dans le page cache. C’est un système de cache qui permet au noyau d’avoir un accès plus rapide à certaines informations.
De fait, c’est un bug dans le module cryptographique authencesn du noyau Linux qui est en cause, accessible via l’interface de socket AF_ALG, en combinaison avec l’appel système splice(). « Un utilisateur peut ouvrir un socket, le lier à n’importe quel modèle AEAD (chiffrement authentifié avec données associées) et lancer le chiffrement ou le déchiffrement de données arbitraires. Aucun privilège n’est requis », explique Xint. De son côté, la fonction splice() transfère des données entre les descripteurs de fichiers et les pipes sans les copier, en renvoyant simplement les page caches par référence.
En utilisant un script Python très court (732 octets) qui ne fait appel qu’à des bibliothèques standard et ciblant le page cache du noyau, il est possible d’accéder au binaire qui permet d’être superutilisateur : /usr/bin/su. La modification se fait en mémoire, pas directement sur le périphérique de stockage.
Une ligne de commande suffit…
Nous l’avons testé sur un de nos VPS avec Ubuntu 24.04 LTS, nous sommes bien passés en root avec une seule ligne de commande en utilisant le script Python :
Les chercheurs ont constaté la faille sur les distributions Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 ou encore SUSE 16 et expliquent logiquement que « les autres distributions utilisant les noyaux concernés — Debian, Arch, Fedora, Rocky, Alma, Oracle, ainsi que les distributions embarquées — présentent le même comportement ».
Un patch pour le noyau a déjà été proposé et accepté. Celui-ci supprime une optimisation des opérations AEAD qui avait été ajoutée en 2017. « Mettez à jour le paquet du noyau de votre distribution avec une version incluant le commit a664bf3d603d de la branche principale », expliquent les chercheurs, « la plupart des principales distributions proposent désormais ce correctif », comme Debian (Forky et Sid), Ubuntu, par exemple mais la mise en place est encore en cours chez Red Hat et Suse.
Quand la publication d’une archive prend des accents de découverte archéologique : Microsoft a annoncé lundi 28 avril la publication du « plus ancien code source DOS jamais découvert ». Le code en question fait effectivement figure d’antiquité à l’échelle de l’informatique moderne : il est daté du 28 avril 1981, et recouvre le noyau ainsi que certains composants clés de 86-DOS 1.00, le système d’exploitation écrit par Tim Paterson qui donnera naissance, quelques mois plus tard, à la première mouture de MS-DOS.
Hébergé sur GitHub, le répertoire dédié est baptisé « Paterson Listings », en référence aux sorties papier d’imprimante qui ont permis à ces lignes de code historiques de traverser l’histoire. Ce projet de conservation prend en effet naissance dans un email de Tim Paterson à Len Shustek, ancien président du conseil d’administration du célèbre Computer History Museum de Mountain View, en Californie.
Paterson y explique avoir retrouvé le code source de certaines des premières versions de MS-DOS, progressivement mises à disposition du public via le site du musée, puis directement sur GitHub par Microsoft en 2018. Dans cet email, Paterson signale aussi avoir retrouvé « une pile de 15 cm d’impressions de listes d’assembleur pour certains de ces programmes et probablement d’autres programmes connexes ».
C’est la numérisation de cette pile de papier qui permet aujourd’hui la publication, sous licence MIT, du code source de 86-DOS 1.00, de son noyau, et de certains utilitaires comme CHKDSK. La valeur de l’ensemble dépasse largement la simple capacité à compiler une vénérable antiquité logicielle, selon Microsoft :
« Il est également important de noter que ces documents ne sont pas de simples versions de système d’exploitation au sens traditionnel du terme. Dans plusieurs cas, il s’agit de documents représentant des états de travail à un instant T et des notes manuscrites, conservées par Tim Paterson lui-même. On peut les comparer à un historique des modifications d’un dépôt Git. Ils retracent la chronologie des changements, indiquant quelles fonctionnalités ont été implémentées, à quel moment, quelles erreurs ont été commises et comment elles ont été corrigées. »
Les archives de Tim Paterson sont diffusées à la fois sous forme de scans des sorties papier, et sous forme de code, récupéré via OCR.
Extrait des premières lignes du code de 86-DOS 1.0
Pas convaincues par la grille de notation dévoilée par Bruxelles en fin d’année dernière, des entreprises européennes du cloud ont lancé leur propre référentiel pour des services infonuagiques « souverains et résilients ». Les fournisseurs ayant décroché leur badge ont fait l’objet d’audits approfondis.
Un badge rouge pour les fournisseurs de cloud « souverains », un bleu pour les entreprises « résilientes », et des chevrons vert et gris pour préciser respectivement l’impact environnemental de l’entreprise et son recours à du code open-source.
Ces logos vont fleurir chez 40 services (cloud public, stockage, Kubernetes) ayant franchi la course d’obstacles du cadre mis en place par le CISPE (Cloud Infrastructure Service Providers in Europe), le lobby des entreprises européennes du cloud.
Screenshot
Ce framework a été « développé, défini et testé exclusivement par des fournisseurs européens d’infrastructures cloud » pour certifier les garanties des entreprises en matière de souveraineté et de résilience. Le CISPE explique que le marché aujourd’hui est inondé d’offres « souveraines » non vérifiées : difficile dans ces conditions pour les clients de « comprendre ce qu’ils achètent réellement ».
Il n’en reste pas moins un problème de taille : que veut dire exactement souveraineté. Si tout le monde s’accorde plus ou moins sur les grandes lignes, les visions peuvent diverger dans les détails. Pour le Conseil d’État par exemple, la souveraineté « est historiquement et juridiquement la capacité d’exercer le « dernier mot », la liberté de choisir […] sans dépendre d’aucune autorité supérieure ».
Pour l’organisation, les définitions officielles de la souveraineté restent floues, et les méthodes d’évaluation manquent de transparence. Elle affirme que « les clients doivent pouvoir savoir si les services cloud sont protégés contre des ingérences juridiques étrangères (« Trump proof »), ou s’ils présentent des risques en matière d’interruption de service et d’accès aux données ».
Le cadre du CISPE est une réponse directe à la grille de souveraineté du cloud mise en place en octobre 2025 par la Commission européenne. Destinée aux pouvoirs publics des États membres de l’UE pour évaluer le niveau de souveraineté d’un fournisseur de services infonuagiques, cette grille repose sur un système assez simple : huit critères (souveraineté stratégique, juridique et juridictionnelle, données et IA…) dont les poids sont modulés par un système de pondération.
Ces critères permettent d’établir une classification des fournisseurs (SEAL, pour « Sovereignty Effectiveness Assurance Levels ») : SEAL 4 représente le maximum possible pour une offre vertueuse, SEAL 0 correspond à une offre sans souveraineté.
Le problème de cette grille, soulevé à l’époque par le CISPE, est qu’une entreprise dépendant d’une juridiction étrangère (au hasard, les États-Unis) peut tout de même marquer des points ailleurs et finir avec une « bonne » note. Comme le faisait remarquer à Next Audrey Louail, co-présidente d’Ecritel, « le critère d’extraterritorialité devrait être une condition sine qua non. »
« Il existe un besoin urgent de transparence et d’un cadre auditable pour éviter toute forme de « souveraineté washing » », affirme le CISPE. D’où le lancement de ce cadre, qui introduit deux approches à la fois distinctes et complémentaires pour assurer les clients et les autorités publiques qu’une offre « garantisse un contrôle effectif des données, des infrastructures, des charges de travail et des opérations », au-delà d’un macaron en cybersécurité qui ne suffit pas.
Souverain, résilient, ou les deux ?
Le référentiel du CISPE contient donc deux approches « distinctes mais complémentaires » : souveraine et résilience. La première concerne les services détenus, gouvernés et exploités au sein de la juridiction concernée. « Les puissances étrangères ne disposent d’aucun moyen, ni juridique ni technique, d’y accéder, d’interférer ou de les interrompre ». C’est ce que l’organisation appelle un contrôle « par conception ».
La seconde concerne les services sur lesquels le client conserve un contrôle effectif grâce à des garanties techniques et opérationnelles solides, même en présence d’éléments non souverains (une approche dite « par les capacités »). Parmi les garanties : le chiffrement géré par le client, la portabilité, les sauvegardes indépendantes, la possibilité de changer de fournisseur ou de redéployer les charges de travail.
« La souveraineté vise à prévenir le risque, la résilience permet au client d’y faire face », résume le CISPE qui assure que le référentiel résilient impose des contraintes telles qu’il n’autorise pas l’installation d’une porte dérobée. Lorsque des services pleinement souverains ne sont pas encore disponibles, « des alternatives résilientes peuvent constituer des solutions légitimes et efficaces pour les clients », indique encore le groupe.
Ce référentiel s’aligne avec le niveau 3 de Gaia-X, le plus haut palier de cette infrastructure européenne de données lancée en 2020 et qui a depuis connu quelques départs tonitruants. Le framework des fournisseurs étend cependant la notion de souveraineté au-delà de l’UE.
Un service cloud hébergé au Japon par un fournisseur japonais pourrait obtenir un label « souverain au Japon », par exemple. Et s’il n’est pas souverain sur le Vieux Continent, il pourrait tout de même décrocher un label « résilient en Europe » en démontrant son interopérabilité et la présence de ressources locales pour réduire les sollicitations d’accès aux données depuis l’étranger. Pas question donc d’exclure certains services du marché : il s’agit de « renforcer la confiance dans le contrôle des données et des charges de travail dans le cloud ».
Les fournisseurs intéressés devront faire réaliser un audit auprès d’un tiers accrédité pour obtenir la certification et le droit de déclarer un service comme souverain ou résilient.
SecNumCloud 3.2 en France, tentative ratée avec EUCS High+ en Europe
Cette annonce arrive quelques jours après que Bruxelles attribue 180 millions d’euros de contrats à des acteurs du cloud, notamment des Français. Dans le lot, l’opérateur belge Proximus avec S3NS, la co-entreprise Thales et Google, ce qui avait fait bondir Francisco Mingorance, la secrétaire générale du CISPE : « Reconnaître S3NS, qui exploite la technologie cloud de Google, comme « souveraine » est clairement une erreur stratégique et menace d’institutionnaliser le blanchiment de souveraineté au plus haut niveau ».
En France, il existe déjà une qualification permettant de s’assurer d’une étanchéité aux lois extraterritoriales (américaines et chinoises pour ne citer qu’elles) : le référentiel SecNumCloud de l‘ANSSI, dont la version 3.2 de 2022 intégre « principalement des critères de protection vis-à-vis du droit extra-européen ». Pour rappel, S3NS a obtenu sa qualification fin 2025 par l’ANSSI.
Au niveau européen, EUCS (European Union Cybersecurity Certification Scheme for Cloud Services dans sa version longue) est un projet porté par l’agence européenne pour la cybersécurité. Il prévoyait quatre niveaux, dont High+ qui devait être calqué sur SecNumCloud, mais il n’en reste désormais que trois.
Alain Garnier, patron de Jamespot, ne cachait pas son agacement : « Le Cybersecurity Act 2 acte une chose très claire : EUCS parlera sécurité. Pas souveraineté […] La Commission européenne ferme la porte aux critères juridiques type Cloud Act. La tech américaine respire. La France grimace ». L’Allemagne et les Pays-Bas jugeaient ce seuil High+ trop exclusif et susceptible de freiner l’innovation.
Nouveau coup dur pour l’industrie française du jeu vidéo. Les difficultés d’Ubisoft font régulièrement la une de l’actualité, mais un autre acteur est en grand danger : le groupe Nacon, planté par sa maison mère BigBen Interactive. Un de ses studios, Spiders, vient de mettre la clé sous la porte.
Nacon est un nom qui compte dans le secteur du jeu vidéo en France. Distributeur de périphériques gaming, l’entreprise exerce également une importante activité d’édition : on lui doit plusieurs succès récents, comme RoboCop: Rogue City, Hell is Us, les simulations de rallye WRC, ou encore l’adaptation officielle du Tour de France. Autrement dit, du AA au sens large : des jeux aux budgets intermédiaires visant à la fois le grand public et une niche de fans.
Depuis le début de l’année, La situation financière est bien mal engagée. Bigben Interactive, la maison mère de Nacon, avait alerté le 17 février d’un refus de ses créanciers d’un aménagement des modalités de remboursement partiel sur une dette de 43 millions d’euros. Effet domino : le 25 février, Nacon procédait à une déclaration de cessation de paiement auprès du tribunal de commerce de Lille Métropole, qui a ouvert une procédure de redressement judiciaire le 3 mars.
Vingt jours plus tard, quatre des filiales de Nacon sollicitaient auprès du même tribunal l’ouverture de procédures de redressement judiciaire (PDF). Il s’agit des studios Cyanide (racheté en 2018), KT Racing (anciennement Kylotonn, aussi racheté en 2018), Spiders (racheté en 2019) et Nacon Tech, qui s’est spécialisé dans la motion capture. Selon Origami, Nacon avait l’intention de rebondir en cédant deux de ses filiales, à savoir Spiders et Nacon Tech, d’ici la mi-avril.
Malheureusement, aucun chevalier blanc n’est venu à leur rescousse. Par conséquent, Spiders va fermer ses portes. « Allons droit au but pour éviter toute ambiguïté : après une longue période sans réponses claires, nous avons reçu la confirmation que Spiders est en liquidation », confirme le studio. « Qu’est-ce que cela signifie ? Cela veut dire que l’entreprise, dans son ensemble, n’existe plus. Nous cessons immédiatement nos activités ».
Steelrising, autre jeu Spiders sorti en 2022, se déroule durant une Révolution française uchronique où le joueur se bat contre l’armée d’automates de Louis XVI.
Spiders a été fondée à Paris en 2008. Après quelques piges pour Xbox, le studio s’est spécialisé dans les jeux de rôle : Of Orcs and Men avec Cyanide en 2012, Mars: War Logs l’année suivante, puis sa suite spirituelle The Technomancer. En 2019, GreedFall est assez bien accueilli et, trois ans plus tard, dépassait les deux millions de copies vendues. Le second volet, The Dying World, est sorti le 10 mars dernier. L’extension prévue sortira bien chez Nacon, mais ce sera complètement terminé pour Spiders par la suite. En interne, la dégradation des conditions de travail et des négociations salariales bloquées ont débouché sur une grève en 2024.
Nacon n’a pas voulu commenter la fermeture du studio, ni l’impact que cela aura sur le reste de la procédure judiciaire en cours. Mais, ça n’augure rien de très bon. Le groupe a d’ailleurs reporté (PDF) la publication de son chiffre d’affaires pour l’année fiscale 2025/2026 au 18 mai, et celle des comptes annuels pour le 20 juillet.
L’application mobile de YouTube va finalement permettre aux utilisateurs du monde entier de regarder une vidéo dans une vignette par-dessus l’interface de son smartphone ou d’une autre app (picture-in-picture), sans avoir à payer un abonnement Premium.
Fini les manipulations douteuses, exit les bidouilles de fortune, terminé les sorts de magie noire à base de sang de poulet séché jeté au sommet d’un volcan en fusion. YouTube a en effet annoncé que la fonction « image dans l’image » va se déployer auprès de tous les utilisateurs de son app mobile (iOS et Android) partout dans le monde « dans les prochains mois ». L’attente reste donc de mise, néanmoins cela reste une bonne nouvelle.
La fonction permet de continuer à regarder une vidéo YouTube en dehors de l’application. Elle bascule alors dans un format vignette que l’on peut agrandir ou réduire, tout en continuant à faire autre chose avec son smartphone. Ce « picture-in-picture » (PiP) est une fonction de base pour les apps vidéo depuis des années (dès 2015 sur les iPad sous iOS 9, à partir de 2020 sur les iPhone avec iOS 14, à partir d’Android 8 Oreo en 2017), mais elle est parfois bloquée derrière un paywall.
Chez Netflix, les abonnés à l’offre avec pub en sont privés, par exemple. Chez YouTube, il faut avoir souscrit à une formule payante pour en profiter… sauf aux États-Unis où tous les utilisateurs en bénéficient sans frais supplémentaires (depuis 2021 sur iPhone). Le reste du monde doit passer à la caisse, ou une bidouille bancale.
Ces dernières années, Google avait sporadiquement testé le PiP en Europe gratuitement chez une poignée d’utilisateurs, sans officialiser la fonction. C’est désormais chose faite. « Pour les utilisateurs en dehors des États-Unis, vous avez désormais accès au mode image dans l’image pour les contenus longs, hors musique, sur Android et iOS », écrit YouTube. Les vidéos musicales restent à l’écart, c’est un privilège toujours exclusif à Premium.
GitHub a un problème de fiabilité qui pèse de plus en plus lourd dans l’esprit des utilisateurs. Plusieurs développeurs, usés par les dysfonctionnements de la plateforme de Microsoft, ont décidé de plier bagage.
Mise à jour, 30 avril, 8h10 : ajout des éléments de réponse apportés par GitHub sur l’explosion des volumes de requêtes associée notamment à l’IA.
C’est la mort dans l’âme que Mitchell Hashimoto, développeur de Ghostty, a pris ses cliques et ses claques : son émulateur de terminal va déménager sur une autre plateforme. Sur GitHub, où le logiciel est développé depuis 18 ans, il ne restera plus que le code source en lecture seule. « Je suis l’utilisateur GitHub 1299, inscrit en février 2008. Depuis, j’ouvre GitHub tous les jours, chaque jour, plusieurs fois par jour, depuis plus de 18 ans », écrit-il sur son blog. Mais alors, pourquoi cette décision ?
Les pannes s’enchaînent
C’est que GitHub n’est plus fiable à ses yeux. Mitchell Hashimoto a marqué d’un « X » les jours du mois où la plateforme a eu « un impact négatif sur ma capacité de travailler ». Résultat : un « X » « presque tous les jours ». GitHub n’est plus un environnement adapté à un travail sérieux « s’il vous bloque pendant des heures chaque jour ». Il partagera un peu plus tard les détails sur le déménagement de Ghostty ; cela prendra du temps de retirer les dépendances sur GitHub. La popularité de l’utilitaire est telle que plusieurs fournisseurs se montrent intéressés.
Kyle Daigle, le directeur des opérations de GitHub, a répondu au développeur en se disant désolé de le voir partir : « L’équipe va continuer à travailler pour faire de GitHub un service vers lequel vous aurez envie de revenir, preuves concrètes à l’appui, pas seulement des promesses ». Il ajoute qu’il continuera de soutenir Ghostty en tant qu’utilisateur.
Mitchell Hashimoto n’est pas le seul à en avoir sa claque de GitHub. En novembre dernier, Andrew Kelley annonçait le déménagement de son langage Zig créé en 2015, vers Codeberg. « Il est clair que l’excellence technique qui a fait le succès de la plateforme ne la guide plus. Les priorités et la culture d’ingénierie se sont dégradées, laissant les utilisateurs aux prises avec une sorte de framework JavaScript lourd et truffé de bugs, au nom du progrès », regrette-t-il, avant d’asséner que « ce qui était autrefois rapide est désormais lent, et souvent complètement cassé ».
Andrew Kelley fait remonter les problèmes de GitHub à son acquisition par Microsoft en 2018, pour 7,5 milliards de dollars. À l’époque, la plateforme prédisait « un futur brillant ». Un des problèmes soulevés par les deux développeurs concerne le système d’automatisation GitHub Actions, qui déclenche automatiquement des tâches dès qu’un événement se produit sur un dépôt (un commit, une pull request, un déploiement…). Le jour de la publication de sa note, Mitchell Hashimoto expliquait ne pas avoir pu relire et valider les pull requests pendant deux heures à cause d’une panne de GitHub Actions. Pour Andrew Kelley, ce service a été « complètement négligé ».
Un ou deux développeurs qui quittent GitHub, ce n’est pas encore une hémorragie ou une fuite des cerveaux. Il s’agit toutefois de profils bien connus, qui sont présents et actifs sur la plateforme depuis des années et qui pourraient en inspirer d’autres à regarder ailleurs.
Aux bugs s’ajoutent les failles de sécurité. Ce lundi 28 avril, GitHub donnait des précisions sur un correctif mis en ligne deux heures après la réception du rapport de vulnérabilité sur le Bug Bounty de la plateforme. Il s’agissait d’une faille critique permettant d’exécuter du code à distance. Il n’y a eu aucune exploitation, et GitHub tient à faire savoir au monde sa rapidité de réponse. Néanmoins, cela participe aussi à une certaine défiance.
GitHub incrimine l’explosion du volume de requêtes
GitHub a indirectement répondu à ces critiques par l’intermédiaire d’un billet de blog, lui aussi daté du 28 avril, signé par Vlad Fedorov, directeur technique. Ce dernier y explique que GitHub a engagé un plan de multiplication par dix des capacités de sa plateforme, précisément pour en améliorer la fiabilité, mais l’effort se serait finalement révélé insuffisant : en février, il aurait ainsi mesuré que ces capacités auraient dû progresser d’un facteur 30, principalement à cause de l’essor des agents IA : « Le principal facteur est l’évolution rapide des méthodes de développement logiciel. Depuis la seconde moitié de décembre 2025, les flux de travail de développement automatisés se sont considérablement accélérés. »
Fedorov promet à cette occasion que les équipes sont entièrement mobilisées sur le sujet :
« Nos priorités sont claires : la disponibilité d’abord, puis la capacité, et enfin les nouvelles fonctionnalités. Nous réduisons les tâches inutiles, améliorons la mise en cache, isolons les services critiques, éliminons les points de défaillance uniques et déportons les processus critiques vers des systèmes conçus pour ces charges de travail. »
L’IA pointée du doigt
Cette remarque peut être perçue comme paradoxale du point de vue des développeurs qui observent l’insistance avec laquelle Microsoft cherche à fourrer de l’IA générative partout dans GitHub. Le développeur de Zig rappelle les propos tenus en août 2025 par Thomas Dohmke, le directeur général de la plateforme : « Soit vous adoptez l’IA, soit vous quittez votre carrière. »
Reste à voir comment cette IA s’intègre dans GitHub. Mais pour Andrew Kelley, le compte n’y est pas : GitHub Actions a commencé à choisir les tâches à exécuter de manière « apparemment aléatoire ».
Ce trop plein d’IA et la grogne qui en découle ont manifestement atteint les oreilles des dirigeants de Microsoft. L’éditeur va prioriser la stabilité et la fiabilité de Windows 11, en réduisant la voilure sur les fonctions d’IA qui n’apportent aucun bénéfice. Et même chez Xbox, la nouvelle direction incarnée par Asha Sharma ne veut pas inonder sa plateforme de « bouillie IA ». Alors à quand la prise de conscience chez GitHub ?
Canal+ vient d’obtenir du tribunal judiciaire de Paris une salve de décisions ordonnant la mise en œuvre de mesures de blocage portant sur une vingtaine de sites de streaming donnant accès aux retransmissions de la saison en cours de Formule 1 et de MotoGP. Comme dans le foot, Canal+ ratisse large pour défendre ses droits, avec des procédures qui visent opérateurs, moteurs de recherche, fournisseurs de DNS alternatifs et VPN.
Cette nouvelle salve de décisions n’endiguera pas définitivement le phénomène, mais elle devrait conforter Canal+ dans sa volonté de porter le fer aussi souvent que possible pour faire valoir ses droits. Le groupe audiovisuel a en effet obtenu le 17 avril dernier une salve de décisions de justice ordonnant le blocage d’une vingtaine de sites et miroirs de sites diffusant, en streaming (direct ou différé), des compétitions dont il a acquis les droits.
Deux procédures parallèles visaient à défendre la retransmission de la saison 2026 de Formule 1 (du 6 mars au 6 décembre 2026) et son équivalent dans le monde de la moto, le MotoGP, organisé entre le 27 février et le 22 novembre 2026.
Concernant la Formule 1, le tribunal judiciaire de Paris prononce ainsi le blocage sous trois jours des sites suivants :
antenawest.store
antenapluto.store
antenasouth.store
huhu.to
daddylive3.com
rereyano.ru
telestream.mom
kondoplay.cfd
epicplayplay.cfd
lefttoplay.xyz
hoca6.com
rightflourish.net
iptvs.pw
outfitreferee.net
iptvsupra.com
d4ktv.info
king365tv.me
top1iptv.my
smartbox-tv.com
marcobox.in
Un processus désormais bien rodé
Historiquement très impliqué dans la lutte contre le piratage, Canal+ entreprend depuis plusieurs années d’endiguer, à défaut de pouvoir l’interrompre, le streaming illégal. Pour ce faire, le groupe a procédé par étape, en superposant des demandes de blocage visant à prévenir, l’une après l’autre, les mesures de contournement technique.
Soutenu par la loi Arcom d’octobre 2021 puis par l’article L333-10 du Code du Sport, le groupe a d’abord sonné la charge à partir de 2022 en saisissant la justice pour obtenir le blocage de sites pirates par les fournisseurs d’accès à Internet, puis le déréférencement par les moteurs de recherche l’année suivante. Il a ensuite progressivement étendu la portée de ses demandes aux fournisseurs de DNS alternatifs (Google, Cloudflare, etc.) en 2024, puis aux solutions de type VPN ou proxy en 2025, en vertu du DSA.
Rappelons que depuis 2022, ce blocage est fait sous forme d’injonctions « dynamiques » : le juge délivre d’abord une ordonnance enjoignant le blocage d’une liste de sites donnée, pour la durée de la compétition sportive concernée. Le titulaire de droits peut ensuite demander à l’Arcom d’actualiser ou d’étendre cette liste pour prendre en compte les miroirs ou nouveaux sites qu’il aurait découverts, sans qu’il soit nécessaire de retourner devant la justice.
Rappel du principe de l’injonction dynamique selon l’Arcom
C’est le caractère dynamique de ce dispositif qui explique l’explosion du nombre de noms de domaine bloqués par l’Arcom : l’Autorité issue du rapprochement entre le CSA et la Hadopi en référençait ainsi plus de 15 000 depuis 2022 dans son bilan de sa lutte contre le piratage des contenus culturels et sportifs publié fin mars.
Canal+ empile les demandes
Du côté de Canal+, représenté par ici par deux de ses entités, la méthode est désormais largement rodée, comme en témoigne l’une des 18 décisions datées du 17 avril qui incarnent cette double offensive centrée sur la F1 et le MotoGP (voir un exemple). Toutes suivent le même déroulé.
Entre octobre et novembre, Canal+ fait réaliser via l’Association de lutte contre la piraterie audiovisuelle (ALPA) des procès verbaux constatant que les sites litigieux diffusent un flux identique à celui des chaînes du groupe au moment des compétitions concernées. Sur la base de ces PV, Canal+ obtient en décembre 2025 l’autorisation d’assigner l’ensemble des prestataires concernés par l’éventail de ses demandes de blocage (opérateurs et FAI, moteurs de recherche, VPN et assimilés) selon une procédure accélérée au fond. L’audience et les décisions s’enchaînent dans un délai d’environ quatre mois.
À quelques menus détails près, la teneur des échanges et de la décision finale reprennent ce que l’on a pu lire dans les textes liés au précédent épisode déclenché par Canal+, lié cette fois à la Ligue des champions 2025/2026, et jugé le 19 décembre dernier.
Pour la F1 comme pour le MotoGP, le tribunal reconnait que Canal+ a bien qualité à agir, et ordonne aux intermédiaire concernés la mise en place, sous trois jours, de toutes mesures de blocage ou de déréférencement propres à empêcher « l’accès aux sites et services IPTV identifiés ci-dessus ainsi qu’aux sites et services IPTV non encore identifiés à la date de la présente décision », et ce « jusqu’à la date de la dernière course de la compétition ».
Au gré des saisons sportives, le nombre d’ordonnances et de décisions augmente, à mesure que Canal+ essaie de combler les trous dans la raquette technique du blocage. Sur cette dernière salve, le groupe audiovisuel obtient des mesures de blocage de la part des principaux opérateurs (en métropole comme dans les DROM-COM) et de Google et Microsoft pour la recherche. Il fait également mouche côté VPN avec un trio de décisions adressées à Proton, NordVPN, Surfshark, Cyberghost et ExpressVPN.
Enfin, Canal+ remet le couvert côté résolveurs DNS alternatifs en visant notamment Cloudflare et Quad9. Le groupe se félicitait d’ailleurs fin mars que les décisions de première instance déjà obtenues à ce niveau aient été confirmées par la cour d’appel de Paris le 27 mars dernier.
Toujours en attente du blocage par adresse IP
Du point de vue des ayant-droits, la prochaine étape majeure est désormais dans les mains du gouvernement. La proposition de loi « relative à l’organisation, à la gestion et au financement du sport professionnel » adoptée par le Sénat en juin 2025 et transmise à l’Assemblée nationale comporte en effet un chapitre spécifiquement consacré au renforcement de la lutte contre le piratage des contenus sportifs.
Dans sa version actuelle, le texte prévoit notamment que les titulaires de droit puissent communiquer à l’Arcom, selon des modalités définies par cette dernière, « les données d’identification permettant d’assurer la mise en œuvre sans délai » de mesures de blocage. Dit autrement, un groupe comme Canal+ pourrait relever en direct l’adresse IP des sites qui diffusent les compétitions dont il a acheté les droits, et obtenir un blocage immédiat de la part des intermédiaires techniques concernés.
« La reprise de l’examen parlementaire de ces dispositions, à l’Assemblée nationale, pourrait également être l’occasion de compléter le texte pour doter l’Arcom d’un pouvoir coercitif de sanction (et pas seulement d’injonction) pour faire appliquer les demandes de blocages DNS que nous notifions, compte tenu des difficultés d’exécution que nous rencontrons avec certains VPN et certains DNS alternatifs », déclarait à ce sujet Martin Ajdari, président de l’Arcom, le 23 mars dernier, en conclusion du forum de l’Association pour la protection des programmes sportifs (APPS).
L’examen à l’Assemblée nationale devrait, sauf bouleversement du calendrier, débuter le 18 mai prochain, a affirmé mi-avril la ministre des Sports Marina Ferrari. À temps, peut-être, pour la saison 2026 - 2027.
Plus de sites genAI, mais pas plus de conneries proportionnellement
Selon un rapport d’Internet Archive, le contenu de 35 % des sites internet nouvellement créés en mai 2025 était soit complètement généré par intelligence artificielle, soit son édition était grandement assistée par une IA. Cela contribuerait à une baisse de la diversité sémantique et à une augmentation de sentiments très positifs, mais pas forcément à une augmentation de fausses informations.
Le web serait-il devenu un lieu où des machines parlent à des machines ? C’est l’idée qu’ont défendue certains chercheurs dès le début de l’année dernière en relançant la « théorie de l’Internet mort », formulée en 2021.
Le responsable de la Wayback Machine chez Internet Archive, Mark Graham, signe avec un chercheur maison et deux doctorants un rapport (.pdf) qui essaye de quantifier le flux de contenus générés par IA et ses conséquences avec les données récoltées par son outil. « Nous constatons qu’à la mi-2025, environ 35 % des sites web nouvellement publiés étaient classés comme générés par IA ou créés avec l’aide de l’IA, contre zéro avant le lancement de ChatGPT fin 2022 », expliquent-ils.
Pour arriver à cette estimation, l’équipe a extrait le texte des sites nouvellement créés détectés et archivés au sein de la Wayback Machine. Puis, après avoir testé différents outils de détection (Binoculars, Desklib, DivEye et l’API commerciale de Pangram v3), ils ont choisi de s’appuyer sur cette dernière, expliquant que c’était la meilleure solution, notamment pour son taux de détection des textes anglophones comme ceux dans d’autres langues et sa capacité à traiter du HTML.
35 % des nouveaux sites sont remplis de contenus générés par IA
Leurs résultats restent donc très fortement liés à cet outil de détection qui annonce sur son site web une précision de détection de 99,98 % et a mis en ligne un rapport technique sur sa méthode sans que celle-ci ne soit évaluée par des chercheurs indépendants.
Mais selon ces tests sur les archives du web récoltées par Internet Archive, le contenu des nouveaux sites internet est de plus en plus généré par IA ou son édition est grandement assistée par une IA : 35 % l’étaient en mai 2025 :
Ils ont aussi voulu vérifier plusieurs hypothèses craintes suite à la prolifération de ce genre de contenus sur internet qui pourrait « contribuer à une dégradation de la diversité sémantique et stylistique, de l’exactitude des faits, ainsi qu’à d’autres évolutions négatives ».
En faisant un petit sondage, ils se sont aperçus que 75 % des gens avaient peur, par exemple, d’être « de plus en plus souvent confrontés à des informations factuellement erronées et à des hallucinations », et que 83 % d’entre eux pensaient que le style des textes allait s’homogénéiser.
Ils ont ensuite vérifié ces hypothèses sur les données d’Internet Archive. Ils ont, par exemple, payé des fact-checkers pour voir si les informations incorrectes dans les données d’Internet Archive augmentaient. Mais ils n’ont pas trouvé de corrélation statistiquement significative. Pour le dire autrement, cette augmentation du nombre de nouveaux sites avec des contenus genAI ne fait pas augmenter le nombre de fausses informations.
Une similarité sémantique et une augmentation de contenus positifs détectées
En faisant d’autres tests, ils se sont aussi aperçus que l’augmentation des contenus générés par IA dans les données d’Internet Archive n’augmentait pas non plus mécaniquement l’homogénéité stylistique.
« Plutôt qu’une explosion de fausses informations, l’empreinte de la prolifération de l’IA sur Internet se manifeste principalement par une contraction sémantique et un glissement artificiel vers la positivité », expliquent-ils.
En effet, la similarité sémantique qu’ils ont mesurée avec Pangram v3 augmente de façon corrélée à la prolifération de contenus générés par IA :
Et on retrouve la même corrélation avec le style plus positif des contenus mesuré ici aussi avec Pangram v3 :
« Le résultat le plus surprenant a été que notre hypothèse de la « dégradation de la vérité » n’a pas été confirmée », estime Jonas Doležal, l’un des doctorants de l’Imperial College London qui a participé à l’étude, interrogé par nos confrères de 404 Media.
« Il convient de noter que nous recherchions spécifiquement une augmentation des déclarations vérifiables comme étant fausses, ce que nous n’avons pas trouvé. Mais il se pourrait tout de même que l’IA augmente discrètement le volume des affirmations invérifiables, celles qui ne peuvent être vérifiées à l’aide des outils et des infrastructures de vérification des faits existants. Ou peut-être simplement qu’Internet n’était pas, dès le départ, un espace particulièrement attaché à la vérité », ajoute-t-il quand même.
Avec la crise de la mémoire qui plombe les prix des composants PC, monter une machine ou en acheter une toute faite est douloureux pour le portefeuille. À la place, pourquoi ne pas recycler une PS5 en PC sous Linux ? C’est maintenant possible, grâce à une bidouille de haute volée… mais avec de grosses limites.
Après tout, la PS5 est (presque) un PC comme un autre, avec son architecture AMD. Alors pourquoi limiter la console aux jeux PlayStation ? Une manipulation permet de lancer Linux sur la version « Phat » de la PS5 (les modèles d’avant la génération Slim de 2023). La manip, développée par Andy Nguyen, est documentée sur GitHub. Après installation, la PS5 peut démarrer sur Ubuntu 24.04 à partir d’un disque USB externe, ou même du SSD M.2 optionnel à brancher sur le slot d’extension de la console.
Des jeux PC sur PS5
Cela permet, par exemple, d’installer des jeux depuis la version Linux de Steam à l’image de GTA 5 Enhanced. Comme l’a montré Andy Nguyen, le jeu tourne au poil avec le ray tracing en prime. L’utilisateur pourra profiter d’une machine dotée d’un processeur 8 cœurs Zen 2 (16 threads) à 3,5 GHz et d’un GPU RDNA 2 à 2,23 GHz, à brancher sur un écran jusqu’à 4K à 60 Hz. Autant dire aussi que l’émulation de jeux ne pose aucun problème avec ce genre de configuration. Et il est également possible de se servir de cette PS5 sous Linux comme d’un ordinateur de bureau classique, en joignant un clavier et une souris puisque les ports USB de la console sont fonctionnels.
Le sympathique logo de PS5 Linux
Mais avant tout, il faudra posséder la bonne génération de la console fonctionnant sous une version du logiciel interne prise en charge par le hack : 3.00, 3.10, 3.20, 3.21 (sans support du SSD M.2), ou encore 4.00, 4.02, 4.03, 4.50, 4.51 (avec support du SSD M.2). Les versions 1.xx et 2.xx pourraient être ajoutées au lot, tout comme les firmwares 5.xx. Dans ce dernier cas cependant, Linux tournera dans une machine virtuelle de GameOS (le nom officieux du système d’exploitation de la PS5), ce qui pourrait impliquer des restrictions.
Même si ce n’est pas si simple, il est possible d’installer une version plus ancienne du firmware de la console, en téléchargeant la version désirée du logiciel puis en suivant le guide officiel de Sony à ce sujet. Le bidouilleur propose d’exploiter une faille de l’hyperviseur, la couche du système qui contrôle tout ce qui tourne sur la machine, et un jailbreak basé sur umtx2 indispensable pour exécuter du code non signé. La procédure demande aussi de configurer un faux serveur DNS et un hôte HTTPS sur un PC en local afin de déclencher la vulnérabilité.
Image : Andy Nguyen
Une fois le payload en place, la console passe en mode veille et la LED en façade doit passer à l’orange. Appuyer sur le bouton d’allumage permet de démarrer sous Linux. Si la LED devient blanche, magie de l’informatique, l’installation a fonctionné et à vous les joies de Linux sur PS5. Tout passe par le stockage externe, le SSD interne de la PS5 n’est pas modifié.
Évidemment, on est loin d’une manipulation plug’n play, ce d’autant qu’il faut relancer la manipulation à chaque fois pour démarrer sous Linux ; ce n’est pas à proprement parler une solution dual-boot. Et puis il faudra faire sans le support du Wi-Fi natif ni du Bluetooth (on peut passer par un dongle), s’accommoder d’une sortie audio parfois instable et d’une compatibilité vidéo capricieuse. C’est néanmoins un premier pas particulièrement intéressant, car il ouvre la voie à des solutions plus stables.
Après avoir mis la pression sur Anthropic pour pouvoir utiliser comme il veut ses modèles jusqu’à l’avoir désignée « fournisseur à risque pour la sécurité nationale », le Pentagone s’est tourné vers les concurrents de la startup. D’abord OpenAI en mars, le Pentagone est maintenant en discussion avec Google.
Cameron Stanley, le responsable numérique du Pentagone a confirmé être en discussion avec l’entreprise pour l’utilisation de Gemini au sein du département de la Défense états-unien. « Il n’est jamais bon de trop dépendre d’un seul fournisseur », a-t-il expliqué à CNBC, « on le constate particulièrement dans le domaine des logiciels ».
La justice a récemment refusé l’appel effectué par Anthropic concernant cette qualification qui l’empêche de travailler avec le département de la défense.
Illustration : Flock
Cameron Stanley a affirmé à CNBC qu’utiliser Gemini permettait au Pentagone d’économiser « littéralement des milliers d’heures de travail chaque semaine ». Selon Google, l’entreprise fait partie d’un « vaste consortium » fournissant des services et des infrastructures « au service de la sécurité nationale ».
Chez OpenAI, l’accord avait provoqué des remous en interne jusqu’à la démission de la responsable de la branche robotique d’OpenAI, Caitlin Kalinowski. Selon le Washington Post, l’accord avec le Pentagone fait aussi réagir au sein de Google. Plus de 600 employés, dont une bonne partie sont au DeepMind AI lab qui développe Gemini, ont signé une lettre adressée à Sundar Pichai, le CEO de l’entreprise.
« Nous voulons que l’IA profite à l’humanité ; nous ne voulons pas qu’elle soit utilisée à des fins inhumaines ou extrêmement néfastes. Cela inclut les armes autonomes létales et la surveillance de masse, mais va bien au-delà », écrivent-ils. « La seule façon de garantir que Google ne soit pas associé à de tels préjudices est de refuser tout contrat classifié. Sinon, de telles utilisations pourraient avoir lieu à notre insu et sans que nous ayons les moyens de les empêcher ».
« Des vies humaines sont déjà perdues et les libertés civiles sont menacées, tant dans notre pays qu’à l’étranger, en raison d’une utilisation abusive de la technologie que nous contribuons pour l’essentiel à mettre au point », ajoutent-ils.
Dans l’Union européenne, la directive sur le chargeur universel s’applique désormais aux ordinateurs portables. L’USB Type-C, qui a de nombreux avantages, est obligatoire comme port de charge. Un pas dans le bon sens, mais il reste un problème : la qualité des chargeurs et des câbles, comme nos nombreux tests l’ont démontré.
Depuis fin 2024, tous les nouveaux smartphones mis sur le marché en Europe doivent être équipés d’un port USB Type-C pour la charge. Le mot « nouveau » est important : rien ne change pour les anciens produits déjà en vente ; ils peuvent garder leur port de charge propriétaire.
Depuis maintenant plus d’un an, on parle souvent des smartphones, mais une large gamme de produits est concernée : tablettes, appareils photo, casques et écouteurs, consoles de jeu, haut-parleurs, liseuses, claviers, souris et systèmes de navigation portables.
« Les équipements électroniques dont la charge ne s’effectue pas avec un dispositif filaire (ex : charge par induction) ne sont pas soumis à l’obligation », rappelle le site Service Public. Il ajoute que « certains appareils trop petits pour un port de charge USB-C ont été exclus du dispositif, comme les montres connectées ». La majorité se charge néanmoins via une technologie sans fil.
Après les smartphones, les ordinateurs portables (même à plus de 240 W)
Depuis hier, le mardi 28 avril 2026, une nouvelle catégorie de produits est concernée : les ordinateurs portables, peu importe leur puissance de charge. La norme USB Type-C Power Delivery (PD) permet, pour rappel, d’aller au-delà des 15 watts maximum de l’USB classique (5 volts et 3 ampères) et de monter jusqu’à 240 watts maximum.
Certains ordinateurs portables ont besoin de plus, mais ce n’est pas une excuse pour la Commission : « Les ordinateurs portables et autres équipements radioélectriques nécessitant une puissance de charge supérieure à 240 W sont-ils exemptés des règles relatives au chargeur universel ? Non. Ils ne sont pas exemptés ». Par contre, le fabricant peut proposer un autre protocole pour dépasser les 240 watts, mais l’« équipement doit également prendre en charge l’USB PD jusqu’à 240 W », indique le texte européen.
Les normes maison, même en USB Type-C, ce n’est pas ce qui manque avec Quick Charge chez Qualcomm (compatible Power Delivery depuis un moment), Fast Charging Protocol (FCP) de Huawei, SuperCharge Protocol (SCP) de Honor, Adaptive Fast Charging (AFC) de Samsung, Pump Express de MediaTek, (Super)VOOC d’OPPO… Il y a des tentatives d’unification de la part de fabricants chinois (Huawei, OPPO, vivo et Xiaomi) avec l’Universal Fast Charging Specification ou UFSC (impossible de passer à côté de ce dessin de xkcd).
Dans sa foire aux questions, la Commission revient sur un point souvent mal compris : « Un équipement radioélectrique peut-il être vendu avec le dispositif de charge inclus dans la boîte ? Oui, pour autant que le consommateur ait également le choix d’acheter le même équipement radioélectrique sans dispositif de charge inclus dans la boîte ». Le client doit avoir le choix.
Par contre, « le fabricant n’est pas tenu de faire en sorte que certaines caractéristiques accessoires (par exemple, une couleur spécifique) des équipements radioélectriques vendus sans chargeur soient identiques ». Il est bien question de « certaines caractéristiques accessoires » pas des « caractéristiques principales ».
Autre point abordé, les obligations ne concernent que la charge et ne précisent donc « aucune règle concernant le transfert de données » via le port USB Type-C. Cela peut varier dans les grandes largeurs entre l’USB 2.0 à 480 Mb/s et l’USB4 v2.0 à 80 Gb/s. C’est un point que nous avons longuement abordé dans notre dossier sur le bordel de l‘USB.
Un « chargeur universel »… mais des caractéristiques à géométrie variable
Le texte européen parle de « chargeur universel » car un même chargeur peut servir pour de nombreux produits différents. Changer d’appareil ne veut pas dire racheter un chargeur… mais ne signifie pas non plus qu’il pourra resservir dans de bonnes conditions.
Le gouvernement affirme que « cette mesure pratique, économique et écologique va faciliter la vie des Français et réduire leur impact environnemental. Ce sont ainsi jusqu’à 11 000 tonnes de déchets électroniques qui seront évités chaque année et 250 millions d’euros économisés pour les particuliers qui n’achèteront plus de chargeurs inutiles ».
C’est la théorie, dans la pratique c’est en effet plus compliqué, comme nous l’avons vu avec notre dossier sur les chargeurs et câbles USB. Nous avons testé fin 2025 plus d’une vingtaine de chargeurs vendus moins de 20 euros sur des plateformes comme Amazon, AliExpress et Cdiscount. Résultat des courses, à peine la moitié des chargeurs sont capables de tenir la puissance annoncée. On ne parle que de tenir la puissance annoncée, pas de la stabilité du signal, de la température…
Il y a des modèles de 65 watts qui ne dépassent pas les 14 watts, d’autres de 120 watts qui coupent à 24 watts, etc. Sans parler des chutes de tension parfois importantes (à peine 4 volts au lieu de 5 volts), des températures qui peuvent atteindre 127 °C lors de nos tests, de la conception dangereuse de certains boîtiers dont la moitié est restée bloquée dans la prise de 220 volts, etc.
Illustration : Flock
C’est aussi le bordel dans les câbles USB
Les chargeurs ne sont pas les seuls à avoir des problèmes, les câbles USB aussi peuvent être dangereux. Avec un même chargeur (de qualité) un mauvais câble USB peut faire baisser la tension de plusieurs volts ou même atteindre plus de 100 °C en surface…
Là encore, nous avons acheté des dizaines de câbles USB sur des plateformes de revendeurs, plus de la moitié n’étaient pas conformes. Certains affirment pouvoir tenir 240 watts, mais ne sont pas équipés de la puce eMarker nécessaire pour dépasser les 60 watts.
Pour rappel, le marquage électronique est obligatoire au-delà de 60 watts avec, en prime, la mention EPR pour dépasser les 100 watts (et monter jusqu’à 240 watts). Sans cela, le chargeur n’est pas censé dépasser les 60 watts pour éviter tout problème.
Illustration : Flock
Une bonne idée et un connecteur pratique, pas toujours simple à comprendre
Alors oui, l’USB Type-C est un connecteur réversible et intéressant sur le papier car il permet à la fois de charger (y compris en rapide jusqu’à 240 watts) et de transférer des données à plusieurs dizaines de Gb/s, mais il est facile de se perdre dans cette jungle. Combien d’utilisateurs se sont retrouvés face à des chargeurs qui ne « chargent pas vite » sans comprendre pourquoi.
Votre smartphone ou ordinateur portable est capable de prendre 100 watts de charge et vous avez un chargeur de 100 watts d’un ancien appareil ? Parfait, vous dites-vous, il va resservir. Sauf qu’il faut être certain que le chargeur peut tenir les 100 watts en toute sécurité, que le protocole de charge est bien compatible entre les deux et que le câble permette de faire passer cette puissance. Faute de quoi, la puissance est radicalement baissée, jusqu’à 2,5 watts minimum (5 volts avec 500 mA).
Dans l’ensemble, les chargeurs de marques reconnues comme Ugreen, Anker, Belkin, Amazon et Ikea s’en sortent bien mieux, en tenant les promesses annoncées sans trop chauffer. Là encore, nous avons publié de nombreux tests.
L’année dernière, la Commission européenne avait ouvert deux enquêtes sur la protection des mineurs sur Facebook et Instagram. Concernant l’accès à ses réseaux par les moins de 13 ans, elle vient de conclure « à titre préliminaire » que ces plateformes « enfreignaient la législation sur les services numériques (DSA) pour ne pas avoir identifié, évalué et atténué avec diligence les risques liés à l’accès des mineurs de moins de 13 ans à leurs services ».
Illustration : Flock
La Commission européenne considère notamment que les mesures mises en place par Meta pour faire respecter ses propres conditions générales fixant l’âge minimum à 13 ans ne sont pas efficaces. « Par exemple, lors de la création d’un compte, les mineurs de moins de 13 ans peuvent saisir une fausse date de naissance qui leur permet de faire plus que leur âge, sans aucun contrôle efficace en place pour vérifier l’exactitude de la date de naissance autodéclarée », explique la Commission.
Elle explique aussi que l’outil fourni par Meta pour signaler les mineurs de moins de 13 ans sur la plate-forme est « difficile à utiliser et peu efficace, nécessitant jusqu’à sept clics pour accéder au formulaire de signalement, qui n’est pas automatiquement prérempli avec les informations de l’utilisateur ». Elle ajoute que même lorsqu’il y a un signalement, Meta ne met pas en place de suivi approprié « et le mineur signalé peut simplement continuer à utiliser le service sans aucun type de contrôle ».
Elle estime que l’évaluation effectuée par Meta des risques que des mineurs de moins de 13 ans accèdent à ses plateformes est « incomplète et arbitraire ». Selon la Commission, cette évaluation contredit « de nombreux éléments de preuve provenant de toute l’Union européenne indiquant qu’environ 10 à 12 % des enfants de moins de 13 ans accèdent à Instagram et/ou Facebook » et ignore les preuves scientifiques « facilement disponibles » qui montrent que les jeunes enfants sont plus vulnérables aux problèmes que causent des plateformes comme Instagram et Facebook.
« À ce stade », l’institution européenne considère que les deux plateformes de Meta doivent modifier cette méthode d’évaluation des risques et les évaluer concrètement, mais aussi renforcer les mesures de prévention, de détection et de retrait des mineurs de moins de 13 ans de leur service.
La Commission attend maintenant les réponses de Meta à ces conclusions pour clore définitivement son enquête. Elle ajoute que si ces conclusions sont confirmées, elle pourra infliger une amende de 6 % du chiffre d’affaires annuel mondial de Meta.
À Reuters, Meta a affirmé avoir mis en place des mesures pour détecter et supprimer les comptes d’enfants de moins de 13 ans et qu’elle en dévoilera d’autres la semaine prochaine. « La vérification de l’âge est un défi à l’échelle du secteur, qui nécessite une solution à l’échelle du secteur, et nous continuerons à collaborer de manière constructive avec la Commission européenne sur cette question importante », précise un porte-parole de l’entreprise à l’agence de presse.
OpenAI a-t-elle les moyens de ses ambitions ? La question, sempiternelle, revient régulièrement sur la table, et encore plus avec l’introduction en Bourse qui se profile à l’horizon. L’inquiétude est de mise, après des bruits de couloir sur les résultats moins bons que prévu… et tout un Barnum d’annonces, de changements et de batailles de prétoires.
OpenAI doit se lancer en Bourse dans le courant du quatrième trimestre. Une IPO maousse costaud à l’horizon, sachant que la dernière levée de fonds de 122 milliards de dollars valorise l’entreprise à hauteur de 852 milliards. Parce qu’on n’a pas souvent l’occasion de faire une bonne première impression devant les investisseurs, la startup doit présenter son meilleur profil possible. Et à en croire les dernières indiscrétions du Wall Street Journal, les résultats de ces derniers mois pourraient jeter un seau d’eau bien glacée sur les ambitions de Sam Altman.
Un fonds de caisse à la peine
ChatGPT aurait ainsi raté la marche du milliard d’utilisateurs actifs hebdomadaires en fin d’année dernière. Lors de l’annonce de la levée de fonds le 31 mars, OpenAI en annonçait « plus de 900 millions », et comptait 90 millions d’abonnés. L’entreprise expliquait toutefois que sa « plateforme technologique » sera la première à atteindre le milliard. Le fait de n’avoir toujours pas annoncé le franchissement de ce cap symbolique inquiéterait des investisseurs.
Illustration : Flock
Autre déception : OpenAI aurait aussi manqué son objectif annuel de revenus pour ChatGPT. Dans le même communiqué, le groupe égrenait les bonnes nouvelles sur ce front : le seuil du premier milliard de dollars a été atteint moins d’un an après le lancement du bot, fin 2022. OpenAI réalisait un milliard de dollars par trimestre fin 2024. Désormais, le compteur est à 2 milliards par mois : « à ce stade, notre chiffre d’affaires croît quatre fois plus vite que celui des entreprises qui ont façonné les ères de l’internet et du mobile, comme Alphabet et Meta », fanfaronnait OpenAI.
ChatGPT est cependant tombé sur un os l’an dernier. Google a mis les bouchées doubles avec Gemini 3, qui a permis au géant du web de grignoter des parts de marché — forçant OpenAI à lancer une « alerte rouge » pour accélérer la sortie de GPT-5.2. Le taux de désabonnement aurait également été plus élevé qu’attendu.
Enfin, l’éparpillement d’OpenAI, entre « mode adulte » de ChatGPT et génération de vidéos Sora, aurait permis à Anthropic de cimenter sa position de force chez les développeurs et les entreprises. C’est d’ailleurs ce qui a motivé l’abandon de ces expérimentations, pour revenir aux fondamentaux. Et à la mise en chantier d’une « superapp », dont on commence à voir les contours dans Codex. En attendant que ce recentrage porte ses fruits, les objectifs mensuels de chiffre d’affaires n’auraient pas été au rendez-vous à plusieurs reprises depuis le début d’année.
Sarah Friar, la directrice financière d’OpenAI (CFO), s’inquiéterait selon le Wall Street Journal des capacités de l’entreprise à honorer les contrats monumentaux passés avec des fournisseurs de capacités de calcul, si les revenus ne progressent pas suffisamment vite. La CFO ainsi que d’autres dirigeants chercheraient désormais à maîtriser les coûts et instaurer davantage de discipline. Ce qui peut les mettre en porte-à-faux vis-à-vis de Sam Altman, dont les ambitions n’ont pas reculé.
OpenAI s’est inscrite en faux face aux indiscrétions du WSJ, qualifiées d’« appâts à clics ». L’entreprise affirme que ses activités grand public et pro tournent à plein régime, et observe une hausse de la demande du côté des clients professionnels et pour son activité publicitaire. « L’ambiance en interne est extrêmement positive », assure encore le groupe.
Microsoft devient un partenaire presque comme les autres
Afin d’améliorer la perception de l’entreprise, OpenAI s’est finalement débarrassé du boulet Microsoft, du moins d’une partie. L’accord qui liait les deux entreprises depuis les origines de la startup a été révisé en profondeur. Jusqu’à présent, le géant du logiciel disposait d’un droit exclusif pour commercialiser les modèles d’OpenAI via le cloud Azure : ce verrou a sauté. D’autres acteurs, dont Amazon, vont pouvoir vendre ces modèles sur leurs propres plateformes (AWS dans le cas présent).
Au fur et à mesure qu’OpenAI grandissait, la situation avec Microsoft devenait de plus en plus complexe, Microsoft devant verser à son partenaire une part des revenus générés par les produits et services vendus via son infrastructure. Ça n’est désormais plus le cas. L’éditeur de Windows conserve néanmoins une place de choix, d’abord grâce aux 27 % qu’il détient dans le capital d’OpenAI suite à sa restructuration il y a un an.
Et puis Microsoft demeure le principal fournisseur de cloud d’OpenAI, dont les nouveaux produits seront lancés en priorité sur Azure. Le mastodonte percevra aussi une part des revenus d’OpenAI jusqu’en 2030, quel que soit l’avancée du développement de l’intelligence artificielle générale (AGI). L’ancien accord prévoyait l’arrêt de ces paiements en cas d’atteinte de l’AGI.
Des principes à géométrie variable
OpenAI a également, assez discrètement, revu ses principes fondateurs. Sam Altman a présenté sur le blog de l’entreprise une nouvelle liste de cinq grands principes censés guider le développement des modèles les plus avancés. Le premier glissement concerne justement l’AGI qui passe au second plan après avoir été longtemps au cœur du projet.
Le précédent texte de 2018 y faisait souvent référence, ce qui n’est plus le cas de la version remaniée postée dimanche dernier. Même si l’AGI doit toujours bénéficier à « l’ensemble de l’humanité », la focale s’élargit à l’ensemble des systèmes IA. OpenAI assume aussi une posture plus compétitive, alors que les rivaux — Anthropic, pour ne pas la nommer — exercent une pression toujours plus forte. Il y a 8 ans, OpenAI s’engageait à lever le pied si un autre acteur vertueux prenait de l’avance dans la course à l’AGI.
Sam Altman écrit désormais : « Nous reconnaissons également qu’OpenAI est aujourd’hui une force bien plus importante dans le monde qu’il y a quelques années, et nous serons transparents sur le moment, la manière et les raisons pour lesquelles nos principes opérationnels évoluent. » OpenAI se donne donc une plus grande latitude pour agir dans un contexte bien plus concurrentiel qu’en 2018.
Les ambitions quasi-philosophiques laissent place à un pragmatisme plus assumé. Le CEO reconnait cependant qu’aucun laboratoire IA ne peut, à lui seul, « garantir un avenir positif ». Il promet de travailler avec d’autres entreprises et d’autres écosystèmes, avec les gouvernements et la société.
Et pendant ce temps, Elon Musk…
Tous ces changements interviennent à un moment décisif pour OpenAI. Le procès opposant Elon Musk à l’entreprise — et donc à Sam Altman — a en effet débuté ce mardi en Californie, culmination d’une saga interminable qui a compté des rebondissements dignes d’une telenovela.
Le patron de Tesla, qui a contribué à la création d’OpenAI, reproche à ses anciens partenaires d’avoir trahi la mission initiale de la startup (une organisation à but non lucratif dédiée au « bien de l’humanité ») en la transformant en entité commerciale ayant enrichi Sam Altman.
OpenAI rejette ces accusations et décrit une attaque motivée par la rivalité. La défense souligne aussi le fait qu’Elon Musk dirige un concurrent direct, xAI ; la plainte ne serait dès lors qu’une tentative de déstabilisation. L’homme le plus riche au monde (ou pas loin) réclame l’annulation de la restructuration d’OpenAI, le départ de ses dirigeants et jusqu’à 134 milliards de dollars de dommages et intérêts (!).
Le déroulement du procès ces prochaines semaines et d’éventuelles révélations sur la vraie santé d’OpenAI pourraient peser lourd sur son IPO.
Brave tente une aventure originale : l’éditeur du navigateur web du même nom va en effet proposer une version Origin du logiciel au prix rondelet de 60 dollars. En échange de quoi, les clients se retrouveront avec une mouture de Brave sans des fonctions que l’on peut désactiver dans la version standard de Brave… gratuitement.
À partir de juin, il sera possible d’acheter Brave Origin, une version sans fioritures du navigateur web. Plusieurs fonctions historiques du logiciel seront désactivées. Ce n’est pas une surprise, le CEO de Brave, Brendan Eich, en parlait l’été dernier, puis de nouveau le 31 décembre 2025.
C’est notamment le cas de Leo (assistant IA intégré), l’outil de vidéoconférence Talk, le flux d’actualités personnalisé, l’accès rapide à Wayback Machine, le système de récompenses, le wallet de cryptos, le VPN, l’accès Tor, ou encore les stats internes.
Le navigateur où l’on paie pour en avoir moins
Autant dire qu’il ne restera plus grand-chose, si ce n’est bien sûr le moteur Chromium derrière une interface dépouillée, le bloqueur de publicités, les protections de confidentialité (qui continueront d’être mises à jour), et bien sûr les correctifs de sécurité.
Cela concerne les fonctionnalités actuelles, mais aussi celles à venir : « toutes les nouvelles fonctionnalités que nous lancerons (en dehors du cœur de Brave Shields) n’apparaîtraient pas dans l’application autonome Brave Origin », explique l’éditeur.
Brave entend séduire ici tous ceux qui cherchent un navigateur sans fonctions inutiles, sans logique crypto ni publicité interne. Cette version light du navigateur va également alléger le portefeuille, puisqu’elle sera vendue 59,99 dollars (gratuite pour les utilisateurs Linux).
Brave Origin.
10 activations maximum
Cette offre se destine d’abord et avant tout aux utilisateurs les plus « passionnés », ceux qui souhaitent soutenir l’équipe de développement de Brave car toutes ces fonctions peuvent être désactivées dans les réglages du navigateur standard qui ne coûte rien. Il y a néanmoins des points curieux dans cette offre : le nombre d’activations est limité à 10, et cela comprend aussi les installations après restauration d’un PC ou d’un smartphone.
Brave justifie cette limitation par le système de paiement, qui ne lie pas le navigateur aux informations d’achat. L’éditeur planche toutefois sur un mécanisme qui permettra d’obtenir des activations supplémentaires avec un plafond mensuel.
Autre bizarrerie : Brave Origin est distribué en solo, mais il pourra aussi être acheté et activé dans la version standard de Brave. Dans ce dernier cas, un nouveau panneau de réglages fera alors son apparition, présentant les options désactivées par défaut dans Origin (que l’on pourra donc réactiver si on le souhaite).
Brave Origin ne perd pas de temps au lancement.
Cette future offre a le mérite de sortir du lot, les navigateurs web payants se faisant plutôt rares ces derniers temps. Certains proposent de débloquer des fonctions supplémentaires (comme Brave) pour utiliser le VPN ou des fonctions IA, d’autres des abonnements à l’image de Psylo pour obtenir des options d’anonymat avancé.
Des fonctions en moins… mais aussi des revenus en moins pour Brave
Ce qui est singulier ici, c’est que Brave Origin fasse payer pour des fonctions en moins ! Le prix demandé reflète la valeur que tire Brave des différents outils intégrés au fil du temps dans le navigateur. L’éditeur l’indique d’ailleurs noir sur blanc : cette « version du navigateur est destinée aux utilisateurs qui n’ont pas besoin de toutes les fonctionnalités qui soutiennent par Brave en tant qu’entreprise, mais qui souhaitent tout de même bénéficier de la confidentialité que seul Brave propose ».
Le logiciel, qui revendique 110 millions d’utilisateurs dans le monde, met en avant son approche basée sur la protection de la confidentialité, mais son modèle économique est parfois déroutant avec ses publicités « respectueuses de la vie privée », son wallet, son VPN et son système de récompenses en crypto (BAT sur la blockchain Ethereum).
Pas besoin d’attendre le mois de juin pour mettre la main sur Brave Origin : la version alpha du navigateur est disponible sur Linux, macOS et Windows dans son canal Nightly. Il est aussi possible d’installer l’équivalent Android depuis le Play Store.
L’alerte n’a été que de courte durée, mais elle était de nature à donner quelques sueurs froides aux hébergeurs qui exploitent les panneaux de contrôle cPanel et WHM (Web Host Manager). Mardi 28 avril vers 22 heures (heure de Paris), l’éditeur de cPanel a publié un bulletin de sécurité relatif à un problème de sécurité affectant toutes les versions courantes du logiciel, et concernant différents chemins d’authentification.
Affirmant travailler sur un correctif en urgence, il a indiqué : « En attendant, bloquer l’accès aux ports TCP 2083/2087 via un pare-feu empêchera tout accès non autorisé, mais restreindra également tout autre accès au panneau de contrôle. Il s’agit actuellement de la meilleure solution pour sécuriser vos serveurs jusqu’à la disponibilité du correctif ».
Plusieurs hébergeurs exploitant cPanel ont réagi dans la foulée en suspendant l’accès au logiciel.
« Nous avons proactivement bloqué l’accès à cPanel et WHM sur l’ensemble de notre parc d’hébergement par mesure préventive. C’est la mesure d’atténuation que cPanel recommande elle-même, et c’est actuellement la façon la plus efficace de protéger chaque compte sur chaque serveur WHC jusqu’à la livraison d’un correctif permanent », a par exemple indiqué le canadien WHC.
Même son de cloche chez les Français d’o2switch, sur X : « Malheureusement, l’accès à vos interfaces cPanel est donc impossible tant que l’incident ne sera pas terminé. Cela concerne cPanel au sens large : l’interface technique, les webmails, les webdisks. Dès mise à disposition d’un patch d’urgence par l’éditeur, nous déploierons sur l’intégralité de l’infrastructure ».
Le correctif a été livré environ trois heures après la publication de la première alerte, et largement déployé dans la foulée. « Si vous exploitez un serveur cPanel autogéré ou si vous n’autorisez pas WHC à accéder directement à vos systèmes, vous devez mettre à jour cPanel vous-même dès que possible, ou contacter le support », précise l’hébergeur canadien.
Pour exécuter le correctif, lancez la commande suivante depuis la ligne de commande /scripts/upcp --force.
Capture d’écran de l’alerte cPanel du 28 avril, qui n’a pour l’instant pas fait l’objet d’une CVE
Symfonium, la coentreprise montée par les frères Klaba en 2023 avec le soutien financier de la Banque des territoires (25 % du capital), accueillera le 11 mai prochain son nouveau directeur général, Boris Lecoeur. Ancien dirigeant d’AWS France puis de Cloudflare France, il aura la charge de piloter cette entreprise qui rassemble le moteur de recherche Qwant et le service de cloud gaming/desktop Shadow.
« Son profil, à la croisée de la technologie, du produit et du développement commercial, est pleinement aligné avec les ambitions de croissance que nous portons pour Qwant et Shadow dans les prochaines années », salue Octave Klaba, président fondateur de Synfonium (et par ailleurs CEO d’OVHcloud) dans un communiqué.
Boris Lecoeur remplacera donc Olivier Abecassis, arrivé à la tête de Qwant en octobre 2023 et artisan du rapprochement initié avec Ecosia au sein de la coentreprise European Search Perspective. Les raisons du départ de ce dernier ne sont pas expliquées, Octave Klaba se contentant simplement de le remercier « chaleureusement » pour le « travail remarquable accompli ces dernières années ».
Qwant intègre une IA sous forme de chatbot
« Synfonium dispose d’atouts uniques en Europe : une technologie de recherche indépendante avec Qwant et une plateforme de capacité de calcul avec Shadow. Mon rôle est désormais d’aider les équipes à transformer ces fondations en produits utilisés à grande échelle par les entreprises, les développeurs et les acteurs de l’intelligence artificielle en Europe », déclare de son côté le nouveau DG.
La stratégie dessinée par Synfonium dans son communiqué confirme une logique similaire pour les deux entreprises, à savoir développer une brique de services qui puisse à la fois se décliner dans des usages grand public (le cloud gaming, la recherche en ligne, depuis peu assistée par IA) et des débouchés sur le marché entreprise (cloud desktop et mise à disposition de GPU pour de l’inférence côté Shadow, création d’une API de recherche destinée aux acteurs de l’IA baptisée Staan pour Qwant).
« Ces deux dynamiques convergent au sein de Synfonium pour former un ensemble industriel européen capable d’adresser, de bout en bout, les enjeux de la recherche, de la donnée et du calcul à l’ère de l’IA », affirme l’entreprise.
Un DRM s’est-il discrètement invité dans les jeux PS4 et PS5 achetés en ligne ? C’est la crainte de nombreux joueurs PlayStation, depuis qu’un nouveau système (ou un bug ?) frappe les jeux vendus sur le PS Store.
Mise à jour 29/04 — Dans une déclaration envoyée à GameSpot, un porte-parole de Sony a expliqué qu’« une vérification en ligne unique est nécessaire pour confirmer la licence du jeu, après quoi aucune autre vérification ne sera requise ». Par conséquent, les joueurs pourront continuer à accéder à leurs jeux dématérialisés « et à y jouer normalement ». L’hypothèse du bug semble donc se concrétiser, ce qui sera un soulagement pour beaucoup de joueurs. Ce système de vérification de licence aurait été mis en place pour lutter contre les fraudes au remboursement, mais le mécanisme a été conçu pour se transformer ensuite en licences illimitées.
Article original, 28/04 — Les premiers témoignages sur la présence d’un DRM dans les jeux PS4 et PS5 achetés dans la boutique PlayStation ont commencé à émerger fin mars. Dans la fiche d’information de Resident Evil: Code Veronica X, un joueur a eu la surprise de découvrir la mention « Temps restant : 29 jours ». Le titre avait été acheté quelques jours plus tôt sur le PS Store.
30 jours et puis s’en va
Depuis, la présence de cette période de validité s’est multipliée, toujours pour les jeux en version dématérialisée (des achats ou des démos). Une hypothèse se dégage, après l’enquête du youtubeur Spawn Wave qui a testé plusieurs scénarios. Les jeux achetés ces derniers jours dans la boutique en ligne ont besoin d’un renouvellement de leur licence tous les 30 jours ; l’opération se réalise en connectant la console à internet.
En retirant de la console la pile CMOS (qui gère notamment l’horloge interne), Spawn Wave a pu constater que les jeux dématérialisés ne pouvaient plus se lancer, avec ce message d’erreur à la clé : « Impossible d’utiliser ce contenu. Impossible de se connecter au serveur pour vérifier votre licence. Attendez un moment, puis réessayez ». En connectant la console à internet, plus de souci, les jeux se lancent normalement. Il n’a rencontré aucun problème avec des jeux achetés le mois dernier, ni avec des jeux sur support physique.
Sony a mis en ligne une mise à jour du logiciel interne de ses consoles fin mars. Les premiers témoignages de cette procédure de vérification remontent de cette époque : certains jeux vendus sur le PS Store, qu’ils soient récents ou plus anciens, nécessiteraient une connexion aux serveurs de Sony tous les 30 jours pour valider leur licence.
Tout cela n’est pas sans évoquer le fiasco de la présentation de la Xbox One en 2013, où Microsoft avait tenté d’imposer une vérification en ligne toutes les 24 heures pour les jeux. Le constructeur avait fait marche arrière très vite, mais le mal était fait et d’ailleurs, Sony en avait profité pour troller son rival avec une vraie-fausse publicité restée dans les mémoires. Elle expliquait comment partager ses jeux sur PS4… simplement en les prêtant à un ami.
Sony n’est pas aussi agressif avec cette fenêtre de 30 jours, mais le principe rappelle de mauvais souvenirs : que se passera-t-il si d’aventure, le constructeur décide de fermer ses serveurs ? L’absence de communication officielle n’aide en rien à éclaircir l’affaire… qui pourrait en bout de course n’être qu’un bug. Le comportement est en effet incohérent en fonction des joueurs. Il pourrait s’agir d’une erreur liée à un correctif anti-piratage.
Tout cela rappelle que l’on ne possède pas les jeux, on achète une licence d’utilisation encadrée par l’éditeur. L’industrie fait actuellement face à une fronde de joueurs qui veulent imposer aux éditeurs l’obligation de laisser les jeux achetés dans un état fonctionnel, même après la fermeture des serveurs officiels.
Les lois sur le droit d’auteur pourraient ne pas suffire à protéger efficacement les artistes contre les clones générés par IA. C’est pourquoi certains d’entre eux ont décidé d’aller plus loin en faisant appel au droit des marques pour protéger leur voix et leur image. Après l’acteur Matthew McConaughey en début d’année, c’est au tour de Taylor Swift.
Taylor Swift a déposé le 24 avril plusieurs marques auprès de l’USPTO, l’agence américaine des brevets et des marques. Deux d’entre elles concernent des extraits de sa voix (« Hey, it’s Taylor Swift » et « Hey, it’s Taylor »). La troisième est une photographie, en l’occurrence Taylor Swift qui « tient une guitare rose avec une sangle noire, vêtue d’une combinaison irisée multicolore et de bottes argentées » (le dépôt est précis).
La voix et l’apparence peuvent-elles être des marques ?
Ces dépôts viennent combler un angle mort juridique lié à l’émergence de l’intelligence artificielle générative. Comme l’explique Gerbenlaw, jusqu’à présent les artistes pouvaient s’appuyer sur le droit d’auteur et le droit à l’image et à la voix (en particulier aux États-Unis) pour protéger leurs créations et leur image.
L’image déposée par Taylor Swift.
Mais voilà : l’IA permet de générer des contenus « inédits » sans copier un enregistrement existant, « à la manière de ». Difficile d’invoquer le droit d’auteur… Cette zone grise alimente toute une industrie de l’escroquerie, où les deepfakes de vedettes vendent tout et n’importe quoi sur les réseaux sociaux. On a ainsi vu Tom Hanks (le vrai !) prévenir ses fans que contrairement à ce qu’un clone IA laissait penser, il ne faisait pas la promotion d’une assurance pour des soins dentaires.
Les phrases déposées par Taylor Swift, des « marques sonores » comme peuvent l’être la virgule « tudum » de Netflix ou les carillons de la BBC — eux aussi dûment déposés —, servent de point d’ancrage juridique pour protéger sa voix elle-même. Il ne s’agit pas que d’empêcher des copies exactes, mais aussi et surtout les sons qui peuvent porter à confusion. On va là au-delà du droit d’auteur.
Les dépôts de Taylor Swift font écho à l’initiative de Matthew McConaughey qui, mi-janvier, obtenait de l’USPTO l’approbation pour huit marques montrant l’acteur souriant, parlant et regardant au loin. On trouve ainsi dans le lot une courte vidéo de McConaughey assis devant un sapin de Noël, une autre de lui debout sous un porche, et un enregistrement audio dans lequel on l’entend prononcer « Alright, alright, alright », réplique fameuse du film Dazed and Confused.
« Mon équipe et moi voulons être certains que chaque utilisation de ma voix ou de mon image a été approuvée et validée par nous », expliquait l’interprète d’Interstellar au Wall Street Journal. « Nous voulons établir un cadre clair autour de la propriété, où le consentement et l’attribution deviennent la norme dans un monde dominé par l’IA ». Matthew McConaughey n’a rien contre la technologie, bien au contraire : il travaille avec ElevenLabs, dont il est un des investisseurs, pour créer une version en espagnol de sa newsletter.
Ces dépôts de marques sont une protection supplémentaire pour les artistes, mais pour le moment rien ne dit que ce soit suffisant : le droit des marques n’a en effet jamais été testé devant les tribunaux de cette manière, pour protéger une voix ou une apparence humaine. Une voix peut-elle être considérée comme une marque ? Et jusqu’où va la notion de « ressemblance trompeuse » ? À voir ce qu’en diront les tribunaux le cas échéant. Ajoutez à cela les différences juridiques qui existent entre les pays et vous avez une idée du bazar actuel.
Si l’approche fonctionne, alors les plateformes IA pourraient être tenues responsables. Et cela ouvrirait la voie à des injonctions rapides et à un champ d’application plus large que le droit d’auteur.
L’Allemagne accuserait la Russie d’être derrière la cyberattaque de comptes Signal de personnalités politiques (notamment des ministres), de journalistes, de militaires, de membres du renseignement, etc. Cela fait des mois que des messageries sont ciblées, pas seulement Signal. Le grand public n’est pas épargné : tout le monde doit être prudent.
Depuis vendredi, l’affaire fait grand bruit : des comptes Signal de centaines de personnalités sont attaqués en Allemagne. Le parquet fédéral a ouvert en février une enquête pour « suspicion d’espionnage », comme le rapporte l’AFP. Hier, des sources ont affirmé à nos confrères allemands de Der Spiegel que l’attaque, qui est toujours en cours, « vient probablement de Russie ». Selon nos confrères, « au moins 300 » victimes seraient à dénombrer.
Les cibles sont de haut vol avec des « personnalités politiques de premier plan […], comme la présidente du Bundestag, Julia Klöckner, qui est en contact régulier avec le chancelier, Friedrich Merz, ainsi que les ministres du Logement, Verena Hubertz, et de l’Éducation, Karin Prien. Des journalistes, des analystes travaillant pour des cercles de réflexion politique, des militaires et des collaborateurs des services de renseignement ont également été pris pour cible », détaille Le Monde.
Mais de quoi parle-t-on exactement ? Signal s’est fait pirater ? Réponse courte, non.
Signal rappelle que « Signal n’a pas été "piraté" »
La messagerie chiffrée s’est d’ailleurs fendue d’un message sous la forme de communiqué sur BlueSky, Mastodon et X.com : « Tout d’abord, il est important d’être précis lorsqu’il s’agit d’une infrastructure critique comme Signal. Signal n’a pas été « piraté » : notre chiffrement, notre infrastructure et l’intégrité du code de l’application n’ont pas été compromis ».
Des comptes ont néanmoins été piratés, comment ? Avec une campagne de phishing en se faisant passer pour un compte officiel Signal Support : « Ils ont modifié leur nom d’utilisateur et utilisé l’ingénierie sociale pour inciter les utilisateurs à divulguer leurs identifiants, ce qui leur a permis de prendre le contrôle de certains comptes Signal ».
La manière de faire est détaillée dans ce thread, mais c’est toujours un peu la même chose : récupérer des identifiants et/ou mots de passe, pousser l’utilisateur à faire des actions « pour son bien ». Le tout en misant sur le nom du compte – Signal Support – qui tente de se faire passer pour officiel. Signal précise que, « dans les semaines à venir, nous déploierons plusieurs modifications afin de limiter ce type d’attaques », sans plus de détails.
La messagerie rappelle une règle qui s’applique au-delà de la messagerie : « N’oubliez pas que personne du support Signal ne vous enverra jamais de message ni ne vous demandera votre code de vérification d’inscription ou votre code PIN Signal ».
Des alertes depuis des semaines
Le cas Signal n’est pas nouveau, ni isolé. Il y a un mois, le Centre de Coordination des Crises Cyber (C4, qui réunit ANSSI, COMCYBER, DGA, DGSI et DGSE) publiait une note d’alerte sur une « recrudescence des campagnes d’attaques visant les comptes de messageries instantanées de personnalités politiques, de hautes autorités et de cadres de l’administration. Les secteurs régaliens sont spécifiquement visés ». Quelques jours auparavant, les services de cybersécurité allemandet néerlandais sonnaient déjà l’alerte.
Le C4 expliquait que les attaques « exploitent un éventuel manque de vigilance amenant une victime à donner des accès à son compte à une tierce personne », du phishing tout ce qu’il y a de plus basique en somme.
Une fois le compte piraté, « l’attaquant peut ainsi avoir accès à des données sensibles, telles que l’historique des conversations des personnes ciblées ainsi que le carnet d’adresses de la victime. L’association d’appareils permet aussi à l’attaquant d’envoyer des messages en usurpant son identité. Les comptes des victimes peuvent également être utilisés à des fins de désinformation et de manipulation, notamment dans le cadre de manœuvres d’ingérence étrangère ».
Captures d’écran de messages envoyés par de faux comptes de « Signal Support » – C4
« Toutes les autres messageries instantanées grand public sont concernées »
Signal était déjà pointé du doigt par le C4, mais la note ajoutait que « toutes les autres messageries instantanées grand public sont concernées par ce mode opératoire »… La messagerie chiffrée française Olvid en avait profité pour se mettre en avant : « Toutes ? Non ! Car une messagerie conçue par d’irréductibles cryptologues gaulois résiste encore et toujours à ces adversaires ».
Deux sujets. D’abord, la fausse invitation à rejoindre un groupe ou l’ajout d’un appareil à son compte. Olvid détaille sa manière de faire, mais reconnait néanmoins qu’il « est probable qu’aucune méthode ne garantisse une protection absolue contre l’ingénierie sociale ». Elle ajoute que son « mécanisme d’ajout d’appareil complique considérablement la tâche de l’adversaire ».
Deuxième point, la sollicitation directe avec un pirate qui tente de « se faire passer pour un tiers, auprès de n’importe quel autre utilisateur ». Exactement comme le cas du faux compte Support. Olvid affirme que, aussi bien en présentiel qu’à distance, « l’ajout d’un contact nécessite systématiquement une action explicite de l’utilisateur, le forçant à vérifier l’identité de son nouvel interlocuteur. Résultat : le spam est impossible sur Olvid, ce qui réduit drastiquement le risque de phishing ». Réduit, pas supprimé totalement.
Un exemple pratique et récent avec la plateforme Getaround
Ces derniers jours, la plateforme de location de voitures Getaround (concurrent de Turo) a été victime du même genre de tentatives de phishing, comme nous en avons fait l’expérience. La technique est la même : des comptes tentant de se faire passer pour des officiels avec des pseudos comme « Getaround » ou « Support », parfois avec [SYSTEM NOTIFICATION] dans l’intitulé du message. Le but ? Vous faire cliquer sur des liens et/ou récupérer des infos.
La cible est différente, ici ce sont principalement des particuliers louant leur voiture, alors que l’attaque via Signal tente de prendre le contrôle de comptes de personnalités publiques et/ou influentes. Les risques et les conséquences n’en restent pas moins importants pour les utilisateurs de Getaround. Plus que jamais, soyez prudent face aux liens et messages : réfléchissez avant de cliquer, parlez-en autour de vous, n’agissez pas dans l’urgence !
Connexion
