Next, à votre service !

Au sein d’une même carte, nous avons regroupé un maximum d’informations autour des datacenters : installation électrique, niveau de stress hydrique, intensité carbone, mais également d’autres données comme des photos satellites avec un mode « voyage dans le temps » qui remonte jusqu’aux années 60 pour la France.

Le sujet des datacenters est relativement sensible, notamment depuis l’explosion de l’IA générative et des demandes en puissance de calcul toujours plus importantes. Il faut donc toujours plus de GPU, de place pour installer les serveurs et de puissance électrique.

Qu’en est-il près de chez vous ? Un datacenter est-il installé ? Si oui, est-il à proximité de lignes électriques haute tension, dans une zone de stress hydrique ? Comment les bâtiments ont-ils évolué au cours des dernières décennies ? Plus loin, qu’en est-il dans d’autres pays européens ou aux États-Unis, berceau de plusieurs géants du Net ?

Next vous propose une carte pour y voir clair. Elle a été développée avec Claude Code. Il s’agit pour le moment d’une version 0.9 qui doit être finalisée grâce à vos retours. Le code sera ensuite publié sur GitHub. Elle est en accès libre à tous les visiteurs. Abonnez-vous pour nous soutenir et nous permettre de proposer ce genre d’outil à tout le monde !

N’hésitez pas à partager le lien autour de vous. Nous détaillons ci-après les sources des données et des bibliothèques utilisées, ainsi que les principales fonctionnalités de la carte. D’autres sont à découvrir et à tester en direct.

• Carte mondiale des datacenters et des ressources associées

OSM, PeeringDB, WRI… la longue liste des données intégrées dans la carte !

Nous avons agrégé, au niveau mondial, des informations provenant de plusieurs sources ouvertes, sur un fond de carte d’OpenStreetMap, complété par Natural Earth pour les contours des pays et la recherche. Tout d’abord, la liste des datacenters d’OSM, complétée avec ceux de PeeringDB pour les datacenters et points d’échange. Les câbles sous-marins sont aussi présents, ils viennent de Submarine Cable Map (TeleGeography).

Maintenant que les datacenters sont sur la carte, qu’en est-il de l’eau ? Direction le World Resources Institute (WRI), un organisme non lucratif étatsunien qui propose des cartes de tension hydrique (Aqueduct 3.0 et 4.0). Elles sont utilisées par certains géants du numérique pour établir leurs statistiques. Nous avons intégré les relevés de 2010 et 2019, ainsi que les estimations de 2030, 2050 et 2080.

Pour la partie électrique, nous avons directement pioché chez RTE pour la France (via Open Data Réseaux Énergies ou ODRÉ), nous avons récupéré les données de PyPSA-Eur pour l’Europe ainsi que celles de Homeland Infrastructure Foundation-Level Data pour les États-Unis. La liste des centrales électriques vient de nouveau du WRI et de l’ODRÉ. Pour l’intensité carbone, nous avons pris les données Ember Energy, une ONG britannique.

Nous avons également une couche des températures avec les relevés de Copernicus, plus précisément ERA5 pour la 5ᵉ génération d’ECMWF ReAnalysis. La « référence » est la moyenne entre 1950 et 1980, puis s’affiche la différence (± xx°C) sur la carte pour l’année choisie.

Voyagez dans le temps avec les photos satellites IGN et Wayback

Avoir une vision actuelle est une chose, voyager dans le temps en est une autre tout aussi utile. Les vues satellites permettent de se rendre compte de l’évolution des paysages, de voir comment certains bâtiments sont recyclés ou bien sortent de terre comme des champignons, etc.

Trois sources ont été intégrées dans la carte, chacune avec ses spécificités. Celles de l’IGN pour commencer, avec des cartes qui remontent aux années 50/60 pour les plus anciennes, mais pour la France seulement. Copernicus pour l’Europe (il faut vous créer un compte gratuit) et enfin la World Imagery Wayback d’ESRI pour avoir des cartes au niveau mondial, avec jusqu’à 12 ans d’ancienneté. Zoomez un peu sur la carte pour que les boutons des vues satellites deviennent disponibles (ils sont grisés si la surface est trop large).

Des bibliothèques ont également été utilisées : celles de Leaflet (MarkerCluster) pour la cartographie, Shapely pour les calculs géométriques, Nominatim pour le géocodage, Web Map Tile Service de la Géoplateforme.

Les consommations détaillées rentrées à la main

Nous avons aussi ajouté à la main le détail de la consommation en eau et électricité de certains géants américains (Google, Meta et Microsoft) et français (OVHcloud et Scaleway). D’un coup d’œil (en activant la couche DC détaillée), on voit facilement où un opérateur consomme le plus d’eau, avec le niveau de tension hydrique local. Idem avec l’électricité.

Un bouton « Partager » permet de prendre un instantané de la vue en cours et de l’envoyer à un de vos contacts. Cliquez sur « Carte ultime des datacenters » pour revenir à la version de départ.

Cette carte nous sert en interne, mais elle est aussi pensée pour vous. N’hésitez donc pas à nous indiquer de nouvelles données à intégrer, des fonctionnalités à ajouter, etc. Idem pour les bugs : les commentaires sont à votre disposition !

L’option Backup Internet est disponible depuis début 2024 pour les clients Freebox Ultra. Elle est facturée 4,99 euros par mois et permet à la 4G de prendre le relai en cas de coupure de la fibre optique (ou débranchement sauvage) ou de panne sur le réseau fixe.

• À la découverte des nouvelles offres Freebox… et des anciennes réservées à la migration

Cela permet au Wi-Fi et aux équipements connectés à votre Freebox de continuer à fonctionner. S’il est facile de faire un partage de connexion sur un ordinateur avec du Wi-Fi, ce n’est pas toujours aussi facile sur un fixe, de la domotique, etc.

« En cas de perte de connexion, le Backup internet s’active automatiquement et prend le relais de votre Server internet Freebox grâce au réseau 4G/4G+ de Free », explique l’opérateur. Ce service est proposé gratuitement aux clients en panne, après passage d’un technicien pour l’installer à votre domicile.

Les clients Delta et Pop peuvent désormais la prendre de manière proactive, comme l’a repéré Tiino83 sur X. Elle est toujours facturée 4,99 euros par mois. Free se la joue Valve Time en étant largement en retard sur son calendrier prévisionnel.

Ci-dessous une capture sur une de nos lignes en Freebox Delta, avec l’option proposée.

L’option est sans engagement : « Vous pouvez résilier votre option Backup internet Freebox à tout moment. Vous devrez restituer le Backup internet Freebox dans un délai de 14 jours suivant votre demande de résiliation à l’aide du bon de retour », indique l’opérateur.

Lors du lancement Backup Internet en août pour les Freebox Ultra, l’option devait arriver « très prochainement » sur d’autres box. En octobre, lors d’une journée de sa communauté, l’opérateur annonçait une généralisation à la quasi-totalité de ses clients d’ici à la fin de l’année 2024.

C’est finalement en juin 2026 que l’option est arrivée pour les clients Delta et Pop.

En octobre dernier, Bouygues Telecom, Free et Orange déposaient officiellement une offre pour racheter SFR, plus de 11 ans après son rachat par Numéricable, au nez et à la barbe de Bouygues Telecom.

Une vente qui était alors aux alentours de 17 milliards d’euros, avant d’être remontée à 20,35 milliards d’euros en avril, avec le début des négociations exclusives. Le pack comprend l’essentiel des actifs liés à SFR et Altice France.

• Vente de SFR : le poker menteur a débuté ! On vous explique tous les enjeux.
• Rachat de SFR : Orange, Free et Bouygues Telecom entrent en négociations exclusives

Les opérateurs s’étaient donné jusqu’au 15 mai pour trouver un accord, avant de finalement repousser la date limite au 5 juin, c’est-à-dire ce vendredi.

C’est peu après 22 h que les communiqués tombent chez les opérateurs : toujours pas d’accord, mais deux jours de sursis : « Au regard de l’avancée des négociations, les parties se donnent un délai de 48 heures pour finaliser les accords ».

Aucune information supplémentaire n’a filtré. Les trois partenaires se contentent de rappeler que, « le 17 avril 2026, Bouygues Telecom, Free-Groupe iliad et Orange ont annoncé la soumission d’une nouvelle offre reflétant une valeur d’entreprise totale de 20,35 milliards d’euros pour les actifs d’Altice France concernés ».

Rendez-vous lundi matin pour la suite des aventures de SFR.

Magnifique trompe-l’œil, Cedric Grolet n’a qu’à bien se tenir !

Après des mois de fermeture, Pornhub rouvre en France… mais sans contenus pornographiques (pour le moment ?). Son éditeur Aylo se bat depuis longtemps contre la législation française qui impose des contrôles renforcés à l’entrée des sites X. Hasard (ou pas) du calendrier, le tribunal administratif de Paris vient de rejeter ses demandes.

En juin de l’année dernière, Aylo mettait ses menaces à exécution : Pornhub, Redtube et Youporn (trois mastodontes du porno en ligne) étaient inaccessibles en France. En cause, la vérification d’âge imposée à l’entrée des sites diffusant des contenus pornographiques, dont les trois adresses phares d’Aylo.

Ça s’en va et ça revient…

Après une série de rebondissements judiciaires (et une réouverture temporaire), Youporn, Pornhub et Redtube étaient de nouveau bloqués en France à partir du 15 juillet. Dix mois plus tard, le message d’accueil sur les trois plateformes est resté le même… enfin jusqu’à hier.

• Sites porno : le Conseil d’État rétablit l’obligation de contrôle de l’âge

Si Redtube et Youporn affichent toujours le même message de protestation, Pornhub est de « retour » avec son ancien message de « prévention », celui qui est encore présent dans d’autres pays : « Ceci est un site web destiné aux adultes », avec deux boutons plus bas : « J’ai 18 ans ou plus – Entrer » ou « J’ai moins de 18 ans – Sortir ».

Aucune vérification d’age n’est exigée si on clique sur « Entrer ». Les contenus proposés ensuite sont par contre différents selon que votre IP est localisée en France ou ailleurs.

Pornhub, sans porno en France

Pornhub enfreint-il la loi avec un retour à son fonctionnement d’avant, quand cliquer sur « Entrer » suffisait à accéder à des contenus pornos ? Non, les contenus proposés ne semblent pas à caractère pornographique, et certains sont floutés. Contrairement à d’autres sites, ce n’est pas juste du flou (ou blur) ajouté par le navigateur, les images sont directement floutées (exemple ici).

Les contenus proposés sont plus ou moins sexualisés, mais aucun ne montre de parties intimes explicitement ou de rapports sexuels, alors que c’est monnaie courante (et même une marque de fabrique) sur la page d’accueil de Pornhub dans d’autres pays européens.

Si vous cliquez sur un contenu flouté, un des menus catégorie, pornstars… une demande de connexion apparait avant d’aller plus loin. Il n’est possible que de se connecter, pas de créer un compte. Pornhub indique en effet qu’il « n’accepte actuellement pas de nouvelles inscriptions dans votre région ».

La détection se fait sur l’adresse IP puisque passer en Suisse ou en Allemagne (par exemple) et recharger la page nous expose directement à des contenus pornographiques. Revenir en France et recharger de nouveau la page nous ramène à la version « française » de Pornhub.

Au fond, le tribunal administratif rejette les demandes d’Aylo

Comme le signale Alexandre Archambault sur X (avec les passages importants soulignés), Pornhub vient de se faire notifier un rejet par le tribunal administratif de Paris. Aylo demandait « d’annuler l’arrêté […] du 26 février 2025 » qui désignait 17 sites, dont Pornhub, Youporn et Redtube, comme devant mettre en place un système de vérification d’âge.

Pour rappel, dans certains cas, la mise en place ressemble à une vaste blague puisque quelques clics permettent parfois de contourner les protections, quand il ne suffit pas de présenter une fausse carte d’identité de Dora l’Exploratrice pour valider sa majorité.

• Vérification d’âge : l’Arcom intensifie sa lutte contre les sites pornos
• On a testé la vérification d’âge pour accéder aux sites pornos

Le Conseil d’État avait décidé en juillet d’annuler une décision qui suspendait l’obligation de vérification de l’âge entrée en vigueur quelques semaines auparavant ; la notion d’urgence n’était pas retenue. Restait donc la décision au fond du tribunal administratif de Paris, sans succès : « Les requêtes de la société Aylo Freesites Ltd sont rejetées ». Aylo peut exercer un recours contre cette décision s’il le souhaite.

• Sites porno : le Conseil d’État rétablit l’obligation de contrôle de l’âge

La haute disponibilité est arrivée début mai 2025 chez QNAP, en bêta avec QuTS hero h5.3. Le fabricant de NAS passe son système d’exploitation basé sur ZFS en version h6.0 et renforce la haute disponibilité. La bêta de cette mouture avait été mise en ligne fin 2025.

Désormais, QuTS hero h6.0 « étend la prise en charge à davantage de modèles, rendant ainsi presque toutes les applications QNAP NAS compatibles HA », à « l’exception des applications tierces et héritées ». QNAP annonce que plus de 90 % des services sont compatibles. Une page dédiée est disponible.

Cette version du système d’administration des NAS apporte aussi les snapshots immuables, la gestion des clé KMIP et un renforcement global de la sécurité. Nous les avions déjà détaillés dans une précédente actualité.

• QNAP lance QuTS hero h6.0 en bêta : sécurité et haute disponibilité renforcées

Pour les notes de version et les téléchargements, c’est par ici que ça se passe.

C’est bon, j’ai mis Password123!

Les gestionnaires de mots de passe permettent d’utiliser des mots de passe différents et complexes pour tous les services. Ils doivent eux aussi être protégés par un mot de passe maître, qui est parfois le dernier rempart contre les pirates. Une fuite de données chez Dashlane l’illustre parfaitement.

Après LastPass fin 2022, c’est au tour de Dashlane d’être victime d’une fuite de données : « Les attaquants ont pu télécharger une copie des coffres-forts chiffrés de moins de 20 utilisateurs sur un forfait personnel », reconnait l’entreprise.

Des coffres-forts chiffrés dans la nature

« À partir du dimanche 31 mai 2026, un pirate a lancé une attaque par force brute contre certains comptes d’utilisateurs de Dashlane », explique l’entreprise. L’attaquant essayait de casser l’authentification à deux facteurs afin d’enregistrer de nouveaux appareils sur des comptes d’utilisateurs, pour ensuite accéder aux données.

Bien évidemment, des protections ont permis de limiter l’attaque – mais pas de la bloquer totalement : « En raison du nombre élevé de tentatives d’accès aux comptes utilisateurs, les contrôles de sécurité de Dashlane ont automatiquement verrouillé les comptes ciblés par l’attaque », explique Dashlane.

Des comptes ont été suspendus de manière temporaire, mais surtout pour une vingtaine de clients le coffre-fort a été dérobé. Ils ont tous été déjà contactés individuellement par Dashlane.

Quels sont les risques ?

Avec les coffres-forts chiffrés, le ou les pirates ne peuvent pas faire grand-chose, sauf à réussir à les ouvrir évidemment. Ils accéderaient alors à l’intégralité des informations qu’ils contiennent : mots de passe, identifiants… une vraie caverne d’Alibaba.

Pour arriver à leurs fins, ils peuvent tenter de faire du phishing afin que vous « donniez » involontairement votre mot de passe maître, mais aussi tenter de passer en force.

Brutale, cette méthode consiste à tester toutes les combinaisons possibles jusqu’à trouver la bonne. En théorie, cela finit toujours par fonctionner. En pratique, il faut un temps quasi infini selon la taille et la complexité de votre mot de passe. On parle aussi d’entropie.

Autant dire que si votre mot de passe est « password123 », il ne tiendra même pas quelques secondes. Avec une copie de votre coffre-fort en sa possession, un pirate peut effectuer autant de tentatives qu’il le souhaite jusqu’à réussir à trouver le bon mot de passe et ainsi percer les protections.

Des années plus tard, la fuite Lastpass fait toujours des victimes

La fuite de Lastpass fin 2022 en est un parfait exemple. Cette fuite avait encore des conséquences en 2025, comme le rapporte BleepingComputer : « Plutôt que le portefeuille [de cryptomonnaie, qui est aussi parfois stocké dans les coffres-forts, ndlr] soit vidé immédiatement après une brèche, les vols se sont multipliés par vagues des mois ou des années plus tard, illustrant comment les attaquants décryptaient progressivement les coffres ».

Une autre manière de le dire : si votre coffre-fort est dans la nature, il est plus que recommandé de changer l’intégralité des secrets et mots de passe qui y sont enregistrés. Un pirate pourrait en forcer la porte maintenant comme dans quelques années quand la puissance de calcul coutera bien moins chère, par exemple.

Votre mot de passe maître doit être fort et robuste !

Dashlane reconnait ne pas avoir « d’exigences spécifiques pour les mots de passe maîtres », mais précise néanmoins s’appuyer sur « l’algorithme zxcvbn [de Daniel Lowe Wheeler chez Dropbox, ndlr] afin d’évaluer la sécurité de votre mot de passe lors de sa création ». L’entreprise prodigue aussi quelques conseils. Next a aussi des dossiers sur le sujet.

• Choisir un bon mot de passe : les règles à connaître, les pièges à éviter
• Phrases de passe : l’ANSSI passe en mode 2.0

Les clients de Dashlane sont les victimes, mais cette affaire rappelle l’importance du mot de passe maître qui sera le dernier rempart en cas de fuite de données. C’est valable quel que soit le gestionnaire utilisé, y compris (et surtout) en autohébergé. Si vous autohébergez un gestionnaire, ne sous-estimez surtout pas le mot de passe maitre.

• [Tuto] Auto-héberger son gestionnaire de mots de passe avec Vaultwarden (Bitwarden)
• #Nextpresso : on installe Vaultwarden sur une VM gratuite Google et Oracle… ça marche ?

Loading… ██░░░░░░ 2028

Il faudra patienter au moins deux ans avant de voir une nouvelle version du Raspberry Pi, la 5ᵉ génération a donc encore de beaux jours devant elle. Pour la fondation éponyme, 2025 était une « année charnière » : pour la première fois, elle a expédié plus de micro-controleurs que de micro-ordinateurs.

La semaine dernière, trois pontes de chez Raspberry Pi se sont livrés à un AMA, ou Ask Me Anythings, sur Reddit : Eben Upton (CEO), James Adams (CTO hardware) et Gordon Hollingworth (CTO software). Bien évidemment, la question du futur Raspberry Pi 6 est rapidement arrivée. Oui, il est en préparation. Non, il n’arrivera pas avant deux ans (pour résumer).

Pas avant début 2028 pour le Raspberry Pi 6

« Si l’on se réfère au rythme historique des sorties de plateformes majeures, il est d’environ 4 à 4,5 ans. Donc, sur cette base, pas avant début 2028 », explique Eben Upton. Le Raspberry Pi 5 a été lancé en 2023, la version 4 en 2019.

Le calendrier était un peu plus resserré auparavant avec le Raspberry Pi 3 en 2016 et le Raspberry Pi 2 en 2015. Le tout premier micro-ordinateur de la fondation date de 2012. Nous avons pour rappel consacré un article complet aux différentes versions et déclinaisons du Raspberry Pi.

• 13 ans de Raspberry Pi : du 1 au 5, en passant par les Zero, Pico et Compute Module

Le patron de Raspberry Pi ne semble pas pressé : « Le Raspberry Pi 5 a vraiment de beaux jours devant lui en tant que plateforme, donc je peux imaginer qu’il reste le produit phare pendant encore un petit moment ». Sans donner le moindre détail, il ajoute que la 6ᵉ génération « aura des caractéristiques générales et un format très similaires, mais avec des améliorations (processeurs plus rapides, E/S améliorées, bande passante DRAM accrue, etc.). Des changements quantitatifs, et non qualitatifs ».

Le Raspberry Pi 3B se vend bien, les micro-controleurs prennent la tête

Eben Upton en profite pour indiquer que le Raspberry Pi 3B continue de bien se vendre, « avec près d’un million d’unités par an, sept ans après le lancement du Raspberry Pi 4 ». Les hausses de prix régulières – en raison de pénuries d’approvisionnement et de prix de la mémoire accrue – ces derniers mois des Raspberry Pi 4 et 5 n’aident certainement pas à rendre attractives les dernières générations…

Le Raspberry Pi 3B utilise, pour rappel, de la LPDDR2, contre de la LPDDR4(X) pour les Pi 4 et 5. Le Raspberry Pi 5 avec 1 Go de mémoire est vendu 50,70 euros actuellement chez Kubii et l’addition grimpe jusqu’à 327 euros pour 16 Go.

• Raspberry Pi acte une nouvelle hausse de prix au nom de la mémoire vive

Autre fait intéressant sur les ventes : « 2025 a été l’année charnière : pour la première fois, nous avons expédié plus de RP2040 et RP2350 que de SBC et modules », c’est-à-dire les Single-Board Computer (micro-ordinateurs) et les Compute Module. Les RP2040 et RP2350 sont des microcontrôleurs maison lancés en 2021 et 2024, avec les Pico et Pico 2 respectivement.

• Processeur, SoC, micro-contrôleur : quelles différences ?

Eben Upton revient aussi sur le Zero 2 W en rupture de stock régulièrement à cause d’une « demande très élevée et de contraintes d’approvisionnement en substrat », accusant au passage l’IA d’accaparer une bonne partie de la chaine d’approvisionnement. Un autre fournisseur a été validé, la situation devrait s’améliorer dans les semaines à venir.

Raspberry Pi Zero 3, Pico en USB Type-C et développement logiciel

Un Raspberry Pi Zero 3 pourrait voir le jour, mais avec un sujet sur l’approvisionnement en puce mémoire. Les Zero et Zero 2 utilisent de la LPDDR2 dont Raspberry Pi dispose de larges stocks, une version Zero 3 passerait certainement en LPDDR4/4X avec les soucis d’approvisionnement et la volatilité sur les prix que connaissent les Raspberry Pi. « Un Zero 3 aujourd’hui aurait donc un prix assez inhabituel pour un Zero. Nous y repenserons probablement quand les prix de la DRAM se seront revenus à la normale ».

Au fait, quid du connecteur USB des Raspberry Pi Pico qui est encore au format micro ? « Un jour nous adopterons sûrement l’USB Type-C pour les Pico, mais un connecteur USB Type-C de (bonne qualité) reste nettement plus cher (et légèrement plus grand) que le micro-USB ».

Un dernier mot enfin sur la partie logicielle, avec une déclaration de Gordon Hollingworth : « Nous allons continuer de consacrer 95 % de notre temps d’ingénierie logicielle au support et au développement des bibliothèques, des pilotes, des noyaux et des systèmes d’exploitation pour tous ».

• [Tuto] Raspberry Pi : installer n’importe quel système d’exploitation (OS) depuis le réseau

Alerte de sécurité : les dépôts publics sont toujours accessibles… publiquement !

GitHub reconnait s’être fait dérober des données de 3 800 dépôts privés, mais uniquement ses propres dépôts, pas ceux de ses clients. TeamPCP a revendiqué l’attaque et propose les données à la vente.

Dans un message publié sur X, GitHub reconnait avoir été piraté. Plus exactement, la plateforme explique « enquêter sur un accès non autorisé aux dépôts internes de GitHub ». Les dépôts privés de ses clients ne semblent pas concernés : « Nous n’avons actuellement aucune preuve d’impact sur les informations client stockées en dehors des dépôts internes de GitHub », explique la plateforme.

GitHub se fait pirater à cause d’une extension VS Code

Dans un second temps, elle a précisé que la compromission venait « de l’appareil d’un employé avec une extension Visual Studio Code empoisonnée ». Les extensions peuvent être installées depuis le VS Code Marketplace, mais aussi via des boutiques tierces ou manuellement.

GitHub ne précise pas comment l’extension compromise avait été installée. La plateforme ne donne pas son nom et n’entre pas davantage dans les détails. L’extension a évidemment été supprimée et des mesures ont été prises pour limiter les dégâts.

La société affirme de nouveau que l’exfiltration des données ne concernait que des dépôts internes à l’entreprise. De plus, « les affirmations actuelles de l’attaquant concernant environ 3 800 dépôts sont globalement cohérentes avec les résultats de notre enquête jusqu’à présent », ajoute l’entreprise. Un rapport complet sera publié une fois l’enquête terminée.

TeamPCP revendique le piratage et demande 50 000 dollars

Quelques heures avant la publication du message de GitHub sur X, le groupe de pirates TeamPCP affirmait sur un forum spécialisé avoir accédé aux « codes source et organisations internes de GitHub ». Il était question d’environ 4 000 dépôts privés. TeamPCP demandait une rançon de 50 000 dollars, comme le rapporte Bleeping Computer.

Enfin, selon les pirates, ce n’est pas de l’extorsion : « Comme toujours, il ne s’agit pas d’une rançon. Nous ne cherchons pas à extorquer GitHub. Un seul acheteur et nous détruisons les données de notre côté. Notre retraite approche, donc si aucun acheteur n’est trouvé, nous les diffuserons gratuitement ».

Comme le rappellent nos confrères, TeamPCP est très actif ces derniers temps avec quelques prises importantes (revendiquées et/ou attribuées). C’est notamment le cas de Trivy/LiteLLM et de Xinference sur PyPI, avec des répercussions en cascade.

Dans le premier cas, la compromission de Trivy avait conduit au piratage de la Commission européenne fin mars : « Nous estimons avec un degré de confiance élevé que l’accès initial a été obtenu grâce à la compromission de la chaîne d’approvisionnement de Trivy, qui a été publiquement attribuée à un acteur malveillant connu sous le nom de TeamPCP », expliquait le CERT-EU.

En 2015, Andrej Karpathy lance avec d’autres chercheurs – Sam Altman, Elon Musk, Ilya Sutskever, Greg Brockman… – une petite entreprise rapidement devenue grande : OpenAI. Il est parti en 2017 pour prendre la direction de l’IA chez Tesla pendant cinq ans, jusqu’en 2022.

En 2023, retour à « la maison » d’une certaine manière pour Andrej Karpathy puisqu’il revient chez OpenAI afin de « constituer une nouvelle équipe travaillant sur l’entraînement intermédiaire et la génération de données synthétiques ». Dans un message sur X, il annonce encore un changement de crémerie : il passe chez Anthropic.

Il donne quelques détails : « Je pense que les prochaines années à la pointe des LLMs seront particulièrement formatrices. Je suis très enthousiaste à l’idée de rejoindre l’équipe et de reprendre la R&D. Je reste profondément passionné par l’éducation et je prévois de reprendre mon travail à ce sujet en temps voulu ». Il a, pour rappel, lancé en 2024 une chaine YouTube sur la vulgarisation et les explications autour de l’IA.

Le changement est notable de voir un ancien fondateur d’OpenAI arriver chez son principal concurrent Anthropic, d’autant plus pour de la recherche et développement. Il y a peu, Anthropic annonçait un partenariat avec SpaceX pour utiliser son datacenter Colossus et ainsi profiter d’une puissance de calcul renforcée et rouvrir les vannes aux utilisateurs.

De son côté, OpenAI recentre ses activités avec la fermeture de Sora pour les vidéos (faisant au passage voler en éclats le partenariat avec Disney), avec des départs de hauts responsables dans la foulée. Les deux entreprises sont dans la dernière ligne droite pour préparer leur entrée en bourse.

• Anthropic donne de l’air à Claude grâce à Colossus de SpaceX
• OpenAI : trois départs successifs après l’arrêt de Sora

Débranche, débranche, débranche tout. Revenons à nous.

Face aux quasi-incessantes fuites de données en France, notamment sur des institutions, l’ANSSI serait sur la sellette ? Son directeur général Vincent Strubel réfute et revient sur les travaux de pilotage du numérique, avec une future autorité « Ariane ». Il en profite pour mettre en face des milliers de systèmes d’information de l’État la capacité de l’Agence à mener… 50 contrôles par an.

La semaine dernière, le Canard enchainé a publié un article intitulé « Lecornu débranche l’Anssi, accusée de ne pas avoir sécurisé des sites sensibles de l’État ». Le Palmipède y explique que le premier ministre Sébastien Lecornu chercherait un fusible. En cause, les fuites de données à répétition. « Cela pourrait déboucher sur le limogeage de Vincent Strubel, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi) », indiquent nos confrères.

« Il n’y a pas de remise en cause des missions de l’ANSSI »

Hasard ou pas du calendrier, ce même Vincent Strubel était auditionné par la Commission de la défense de l’Assemblée nationale le lendemain dans le cadre du cycle Guerre hybride et continuum de conflictualités. Le rendez-vous était déjà fixé avant la publication de l’article de nos confrères. Après un discours introductif sur l’état de la cybermenace en France, des questions sont rapidement arrivées sur l’article du Canard et le piratage de l’ANTS. C’est la dernière institution en date à avoir subi une fuite massive de données : au moins 11,7 millions de comptes ont été compromis. Dans cette affaire, un ado de 15 ans a été placé en garde à vue fin avril.

• Fuite de l’ANTS : un ado de 15 ans en garde à vue. « Ce n’est pas un prodige. C’est un signal. »

« Non, il n’y a pas de tension entre le Premier ministre et l’ANSSI. Je réfute ce qui est dit dans l’article », affirme sans détour Vincent Strubel. Il en veut pour « preuve » sa présence encore au poste de directeur général de l’ANSSI.

Il en profite pour rappeler que ses équipes ne ménagent pas leurs efforts en matière de cybersécurité et joue lui aussi de l’analogie des cyberpompiers : « Je trouve que là on est dans le même registre que jeter des cailloux sur les camions de pompiers qui viennent éteindre des incendies et je le trouve parfaitement abject. »

« Je pense qu’il y a une mécompréhension fondamentale de la réforme annoncée, non pas de l’ANSSI mais du pilotage numérique. Il n’y a pas de remise en cause des missions de l’ANSSI, il n’y a pas de remise en cause de l’efficacité de son travail », ajoute-t-il.

Une réforme du pilotage du numérique, pas de la cybersécurité

Vincent Strubel rappelle que la France dispose d’une chaîne de fonctionnement cyber et que l’ANSSI « est le chef d’orchestre de la cybersécurité ». Il ajoute que « ce rôle n’est pas remis en cause par la réforme annoncée […]Ce qui est réformé, c’est le pilotage du numérique, pas la cybersécurité ».

Pour rappel, fin avril, lors de son déplacement à l’ANTS, Sébastien Lecornu expliquait vouloir accélérer la fusion de la Direction interministérielle du numérique (DINUM) et de la DITP (direction interministérielle de la transformation publique), pour former une nouvelle Autorité du numérique et de l’IA, alias Ariane.

• Cybersécurité de l’État : le plan du gouvernement pour (essayer de) stopper l’hémorragie

Le patron de l’ANSSI est catégorique : « l’ANSSI restera dans son rôle de fixer les exigences de cybersécurité, de décliner des priorités […] de contrôler la bonne application de ces priorités à plus forte raison dans le cadre de NIS2 ».

• NIS 2 : l’ANSSI publie son ReCyf, la CSNP s’impatiente et le fait savoir
• La DGSI accusée de bloquer l’adoption d’une loi renforçant la cybersécurité

Lors de son audition, il en profite pour rappeler aux députés présents le travail nécessaire de transposition de la directive NIS2… toujours en attente depuis des mois. Pour le directeur général, cela donnera enfin à son agence « un vrai bâton » à utiliser, « en plus de la carotte ». Le projet a été adopté en première lecture au Sénat le 15 octobre 2024, mais il est bloqué à l’Assemblée depuis septembre 2025.

Des systèmes d’information « critiques » par milliers

Pour le patron des cyberpompiers français, le projet est de créer « une structure qui soit un interlocuteur naturel de l’ANSSI, comme l’est déjà aujourd’hui la DINUM. Nous travaillons main dans la main, mais avec les limites du champ d’action de la DINUM. Demain, l’ANSSI et l’Ariane (si c’est le nom qui demeure) travailleront main dans la main pour édicter la feuille de route numérique et cybersécurité de l’État ».

Lors de son audition, Vincent Strubel a rappelé la complexité du système d’information de l’État qui représente « des milliers et des milliers d’applications dont le pilotage n’est pas uniformisé, dont les choix technologiques sont d’une très grande hétérogénéité ».

Pour lui, cela ne fait aucun doute : « c’est là-dessus qu’il faut agir en priorité pour mieux sécuriser l’État » ; il en profite pour glisser un mot sur les enjeux des dépendances à des solutions étrangères. Quitte à mener un chantier d’envergure, autant faire le ménage de fond en comble. Pour Vincent Strubel, la réforme annoncée par le Premier ministre porte justement sur ce sujet. Il réaffirme qu’elle a été « mal comprise par certains qui y voient une réforme ou une remise en cause de l’ANSSI : il n’y a aucune remise en cause du rôle de l’ANSSI, ni une critique du rôle de la DINUM ».

L’ANSSI est capable de mener 50 audits par an : il faut choisir

Vincent Strubel répond aussi à des questions sur les moyens et les actions de l’ANSSI : « nous sommes capables de mener à peu près 50 audits par an, à mettre en regard de milliers de systèmes d’information au sein de l’État, de milliers de systèmes d’information d’importance vitale déclarés par les OIV (opérateurs d’importance vitale), et qui sont à peu près 300 (la liste est classifiée) ».

Pour le dire autrement : « non, nous ne pouvons pas tout contrôler systématiquement et nous avons une logique de priorisation sur les systèmes les plus critiques, sensibles, complexes… ». C’est le cas du nucléaire, par exemple, mais aussi des réseaux diplomatiques et régaliens. France Identité numérique a aussi été scrutée de près pendant des mois et « certifiée par l’ANSSI au niveau élevé, c’est-à-dire le niveau le plus élevé de la réglementation européenne ».

Le patron de l’ANSSI cite aussi le « fichier TES qui stocke des données biométriques », géré par l’ANTS. Ce dernier a été audité par l’ANSSI, qui s’est aussi assurée « que ses conclusions soient prises en compte ». TES pour Titres Électroniques Sécurisés, aussi connu sous le nom de « fichier des gens honnêtes » centralisant les données personnelles, photos de visages et empreintes digitales des demandeurs de passeport et de carte nationale d’identité.

Vincent Strubel ajoute que l’ANTS réunit une multitude de systèmes d’information « qui n’ont pas tous la même criticité. Ils sont tous importants car ils traitent de données personnelles, mais nous avons aussi une forme de gradation ». Si TES a été contrôlé, ce n’était visiblement pas le cas du portail attaqué : « Il ne s’agit pas de minimiser la compromission des données personnelles de millions de nos concitoyens, mais ce n’est pas le système le plus critique de l’ANTS donc dans une logique de priorisation ce n’est pas celui-là que nous avons regardé ».

• La police judiciaire contourne la loi pour fouiller le méga « fichier des gens honnêtes »

Signaler c’est bien, corriger c’est mieux

Lors de son audition, Vincent Strubel est aussi revenu sur le signalement des incidents et des vulnérabilités. Il rappelle que l’ANSSI dispose d’une doctrine de protection des signalements anonymes et des lanceurs d’alertes (235 signalements via ce dispositif en 2025). « Après, effectivement, la vraie difficulté est la capacité de correction et la maitrise du numérique derrière, sans remise en cause du rôle ni du dévouement – je le signale – des équipes informatiques des ministères ».

Il rappelle le rôle de l’ANSSI : « porter des cadres de gestion des risques et donc identifier des risques liés à nos dépendances, les objectiver, les mettre en face des mesures et assurer une garantie. C’est ce que nous faisons à travers SecNumCloud qui garantit contre les risques techniques mais aussi des risques d’ingérence de captation des données à travers les lois à portée extraterritoriale ».

• La souveraineté en 10 questions (version courte, version longue)

Il ajoute qu’il faut évidemment des mesures de gestion des risques – « avec un caractère coercitif au passage parce que la loi SREN le permet –, mais aussi un travail de politique industrielle qui n’est pas le rôle de l’ANSSI ». Pour Vincent Strubel, pas de doute : « Il faut faire les deux à la fois ».

AMD a présenté son nouveau GPU pour l’intelligence artificielle MI350X en 2024, puis en version plus haut de gamme avec un refroidissement liquide avec le MI355X. Les deux exploitent l’architecture maison CDNA4.

• AMD : Zen 5 à tous les étages (Ryzen AI, 9000, Epyc), roadmap des GPU Instinct jusqu’en 2026

Le fabricant vient de présenter une nouvelle version : Instinct MI350P, qui se distingue avec un format PCIe paré pour être installé dans un ordinateur ou serveur classique. Elle vise principalement les fonctions d’inférence.

Là encore, le GPU utilise l’architecture CDN4, mais avec 144 Go de HBM3E contre 288 Go pour les MI350X et 355X0. La bande passante de la mémoire est aussi divisée par deux avec 4 To/s. Elle occupe deux emplacements, dispose d’un port PCIe 5.0 et affiche un TDP de maximum de 600 watts.

Niveau puissance de calcul, AMD annonce 4,6 PFLOPS pour l’Instinct MI350P en MXFP4, contre 9,2 PFLOPS pour la MI350X (AMD annonce ici 18,4 PFLOPS mais avec dispersion, sans quoi il faut diviser par deux).

Rien de surprenant : le GPU de la MI350P à 8 192 stream processors (512 Matrix cores et 128 compute units), contre le double (16 384 SP, 1 024 MC et 256 CU) pour MI350X. La fréquence est la même dans les deux cas : 2,2 GHz.

Pour le moment, rien sur le prix.

Cela fait maintenant des années qu’Apple et Epic s’écharpent devant les tribunaux. La trame de fond est toujours la même : le verrouillage opéré par Apple sur les transactions via la boutique iOS.

Fin 2025, le père de l’iPhone a dû s’ouvrir à des solutions alternatives, mais a sauvé sa commission sur les transactions qui doit être raisonnable (sans plus de précision). Apple avait demandé au tribunal de revoir sa décision, mais les juges ont refusé à l’unanimité.

• Epic gagne en grande partie son appel contre Apple, qui sauve sa « commission »

Apple demande alors au tribunal de suspendre sa décision et la 9ᵉ cour d’appel accepte cette fois-ci la demande. Epic voit rouge et demande au tribunal de « réexaminer la décision d’aujourd’hui accordant la requête d’Apple pour suspendre l’exécution de la décision ». Fin avril, la 9ᵉ Cour revient sur sa propre décision. Tim Sweeney jubile : « Les tactiques dilatoires d’Apple touchent à leur fin ! Apple retourne devant la juge Gonzalez Rogers pour des audiences sur les frais qu’Apple peut facturer ».

Le 4 mai, Apple dépose à la Cour suprême une « emergency application » pour que la décision de la cour d’appel (qui devait entrer en vigueur le 5 mai) soit suspendue.

La réponse est arrivée rapidement : c’est non. « La Cour suprême des États-Unis a rejeté mercredi la demande d’Apple de bloquer temporairement une ordonnance judiciaire », explique Reuters. En conséquence, Apple devra retourner voir la juge Yvonne Gonzalez Rogers pour fixer la « commission que l’entreprise peut légalement facturer ».

Il y a un an, Apple s’est pris de plein fouet les foudres de cette même juge : « Apple a délibérément choisi de ne pas se conformer à l’injonction de la Cour. Elle l’a fait avec la ferme intention de créer de nouvelles barrières anticoncurrentielles qui préserveraient une source de revenus précieuse, mais précédemment jugée anticoncurrentielle ».

Toujours l’éternel combat : sécurité vs simplicité

Un chercheur affirme, avec un prototype publié sur GitHub, que le navigateur Edge charge tous les mots de passe de son gestionnaire en clair dans la mémoire de l’ordinateur. N’importe qui peut donc y accéder ? Presque, il faut des droits administrateur tout de même. Microsoft confirme, ajoutant que c’est un comportement voulu.

Le chercheur en cybersécurité Tom Jøran Sønstebyseter Rønning explique sur les réseaux sociaux que le navigateur « Microsoft Edge charge tous vos mots de passe enregistrés en mémoire en clair – même lorsque vous ne les utilisez pas ».

Si vous êtes admin, vous pouvez voir les mots de passe en clair

Il propose un prototype sur GitHub permettant de vérifier ce qu’il en est sur sa machine. Un prérequis limite tout de même fortement la portée de ce que le chercheur présente comme une vulnérabilité : il faut des « droits d’administrateur (pour pouvoir lire la mémoire des processus Edge d’autres utilisateurs) ». Le chercheur confirme dans son fil de discussion sur X « ne pas avoir réussi à le faire fonctionner sans privilèges administrateur ».

Nous avons testé le programme EdgeSavedPasswordsDumper du chercheur, avec succès sous Windows 11 avec Edge 147 (les deux étaient à jour)… à condition de lancer un terminal avec des droits administrateur. Dans ce cas, le programme retourne bien, l’ensemble des identifiants et mots de passe enregistrés dans Edge dans le terminal. Sans les droits administateur, le même terminal répond « [x] Not running elevated ».

Ce sont ceux également visibles dans edge://settings/autofill/passwords, à la différence que pour voir les mots de passe enregistrés dans le navigateur, il faut entrer le mot de passe Windows « pour permettre cette opération », comme l’indique la fenêtre de validation qui s’est ouverte (voir les captures ci-dessous).

La technique utilisée par le chercheur permet de s’affranchir de cette étape à condition, pour rappel, d’avoir déjà des droits d’administrateur. Il est « amusant » de voir Edge demander une validation alors que c’est déjà accessible librement, comme le prouve le programme du chercheur.

« Edge est le seul navigateur basé sur Chromium testé qui se comporte ainsi »

Selon Tom Jøran Sønstebyseter Rønning, « Edge est le seul navigateur basé sur Chromium testé qui se comporte ainsi. En revanche, Chrome utilise une conception qui rend beaucoup plus difficile pour les attaquants d’extraire les mots de passe sauvegardés simplement en lisant la mémoire des processus. Le navigateur ne déchiffre les identifiants que lorsque cela est nécessaire, au lieu de garder tous les mots de passe en mémoire en permanence ».

Chrome, toujours selon le chercheur, a d’autres protections, faisant que « les mots de passe en clair ne sont visibles que brièvement lors du remplissage automatique ou lorsque l’utilisateur les consulte, ce qui rend l’extraction massive de données en mémoire beaucoup moins efficace ».

Pour Tom Jøran Sønstebyseter Rønning, le risque est important dans des environnements partagés : « Si un attaquant obtient un accès administrateur sur un serveur, il peut accéder à la mémoire de tous les utilisateurs connectés (ou même les utilisateurs déconnectés) avec Edge en cours d’exécution ». On en revient toujours au même pré-requis important : être administrateur.

Microsoft confirme : c’est voulu et même « by design »

Le chercheur a contacté Microsoft, qui lui a répondu que c’est le comportement « by design » de son navigateur et qu’aucun correctif ne sera publié.

Un porte-parole confirme à Cybernews, en détaillant davantage son point de vue : « Les choix de conception dans ce domaine visent à trouver un équilibre entre performance, facilité d’utilisation et sécurité, et nous continuons de les évaluer face à l’évolution des menaces. Les navigateurs accèdent aux données de mots de passe en mémoire pour permettre aux utilisateurs de se connecter rapidement et en toute sécurité ; il s’agit d’une fonctionnalité normale de l’application ».

« L’accès aux données du navigateur, tel que décrit dans le scénario signalé, nécessiterait que l’appareil soit déjà compromis », ajoute Microsoft. En effet, il faut déjà être administrateur. Comme le montre Chrome avec une surface d’attaque plus limitée, il est tout de même possible de réduire les risques.

Comme le fait remarquer un internaute sur X, cette affaire n’est pas sans en rappeler une autre de 2022 sur Chromium (la base de Chrome, Edge et d’autres navigateurs). Il enregistrait en clair des mots de passe et d’autres informations dans la mémoire de l’ordinateur.

De manière générale, la communauté de la cybersécurité recommande davantage d’utiliser un gestionnaire de mot de passe dédié plutôt que ceux intégrés dans les navigateurs, notamment car la sécurité est leur première raison d’être. C’est également l’argument mis en avant par les gestionnaires de mots de passe qui prêchent évidemment pour leur paroisse.

• [Tuto] Auto-héberger son gestionnaire de mots de passe avec Vaultwarden (Bitwarden)

On les prend au pied de la lettre !

Les fakes news envahissent – polluent serait plus juste – de plus en plus l’espace médiatique. Cela va au-delà de la mésinformation ou désinformation, avec des ingérences étrangères. Les risques sont nombreux, notamment en période d’élections (les présidentielles approchent). Bercy lance son « décodeur » maison et promet de la transparence.

Le dispositif a été annoncé hier par le gouvernement : « Face à la recrudescence des fausses informations qui peuvent influencer l’opinion, les ministères économiques et financiers se dotent d’un dispositif de lutte contre la désinformation sous le nom de Bercy décode ».

Le ministère explique que « cette stratégie de lutte contre la désinformation s’intègre dans les dispositifs existants et est en lien notamment avec VIGINUM, le service de vigilance et protection contre les ingérences numériques étrangères ». La menace est croissante et les élections présidentielles de 2027 seront sans aucun doute un terrain

Bercy décode promet des « sources ouvertes et accessibles »

Bercy décode se présente comme un redresseur de torts dispositif permettant de se fixer « comme objectif de garantir que les chiffres, règles et dispositifs publics puissent être consultés, compris et vérifiés à partir de sources ouvertes et accessibles ». Une promesse qui n’est pas tombée dans l’oreille d’un sourd !

Sur Next, nous avons un long historique de demandes CADA en tous genres afin d’obtenir des informations justement pour travailler sur des données fiables, officielles. On en vient à rêver d’un monde dans lequel l’accès à toutes les données des impôts sont facilement accessibles et intelligibles, de même pour celles des marchés publics, des algorithmes de la CAF, des dépenses dans l’éducation et la recherche…

Clarification des faits et décryptage de l’actualité

Bercy décode, c’est aussi un « identité visuelle » pour des « contenus de clarification […] permettant au public d’identifier immédiatement les décryptages officiels produits par le ministère sur différentes thématiques telles que fiscalité, finances publiques, énergie, numérique, etc. ».

Actuellement, une dizaine de décryptages sont disponibles. Le plus ancien concerne la revente de cartes Pokémon qui serait « désormais dans le viseur du fisc ». Spoiler : oui, mais ce n’est pas nouveau et cela ne concerne pas que Pokémon.

Deux décryptages concernent les éoliennes en mer (sur le bruit et le bilan carbone), deux autres les voitures électriques (la pollution et les longs trajets), un autre les impôts : « Est-ce que seule la moitié des ménages paie des impôts ? ». Réponse : « Faux. Si moins d’un foyer fiscal sur deux est redevable de l’impôt sur le revenu, tous les Français contribuent néanmoins aux finances publiques. En effet, tous les Français s’acquittent des taxes sur la consommation, dont la principale est la TVA ».

Bercy en profite pour assurer une promo interne d’autres institutions qui ont également des outils contre la désinformation : le site du ministère de la Transition écologique, celui du ministère de la Santé (lire notre article sur son lancement), des Affaires étrangères, des Armées, de la Commission européenne et VIGINUM évidemment.

• Infox, ingérences & cie : la France veut « garantir que chacun puisse penser librement » (1/4)

Le ministère se lance sur… TikTok. Et les autres réseaux sociaux ?

Le ministère de l’Économie en profite pour mettre en avant son récent compte TikTok, qui compte pour le moment une quinzaine de contenus. Il est déjà présent sur X depuis fin 2009. Si le ministre Roland Lescure est présent sur Bluesky, ce n’est pas le cas de son ministère. Encore trop souvent la classe politique et les institutions sont présents sur X, mais pas sur d’autres alternatives.

• [Tuto] Emmanuel Macron, voici comment crossposter sur X, Bluesky, Mastodon
• Qu’attendent nos représentants politiques pour communiquer en dehors de X ?

Le site Bercy décode propose enfin un dico de la désinfo – notamment sur la différence entre mésinformation et désinformation – et rappelle quelques bons réflexes à avoir pour éviter la désinformation :

• Méfiez-vous des informations sensationalistes
• Vérifiez la source
• Recroisez l’information et vérifiez les faits
• Faites attention aux photos et vidéos
• Un doute ? Ne partagez pas l’information

Il manque un conseil : lire (ou relire) la longue enquête de Jean Marc sur les sites d’info générés par IA (il en a identifié plus de 13 000, rien qu’en français !), et installer l’extension Next pour être alerté lorsqu’on les consulte, ainsi que d’autres sites problématiques, notamment ceux identifiés par l’Autorité des marchés financiers (AMF) et les noms de domaines potentiellement suspects de RedFlagDomains.

• [Récap] Nous avons découvert des milliers de sites d’info générés par IA

Homebridge est une solution logicielle open source permettant d’ajouter le support de HomeKit (la plateforme d’objets connectés d’Apple) à des produits qui ne le sont pas nativement. Par exemple, des caméras Ring d’Amazon sont ainsi accessibles et utilisables depuis l’application Maison (Home en anglais) d’Apple grâce à Homebridge.

Après trois ans de bêta, Homebridge commence à prendre en charge le standard Matter et passe pour l’occasion en version 2.0. L’app fait donc office de pont Matter, en plus de HomeKit. Les plugins Homebridge peuvent ainsi utiliser des produits Matter (et s’ouvrent notamment à l’écosystème Google). L’application Maison d’Apple est de son côté déjà compatible HomeKit et Matter.

Avant la migration, les développeurs mettent en garde : « Avant de faire une mise à jour, assurez-vous que le(s) plugin(s) que vous utilisez sont compatibles avec cette nouvelle version de Homebridge […] Node.js 18 et 20 ne sont plus pris en charge. Homebridge v2 nécessite Node.js 22 ou 24 ».

Comme le rapporte The Verge, le développeur voit deux principaux cas d’usage. Pour commencer, « combler le fossé dans la prise en charge des appareils HomeKit : Apple a commencé à utiliser Matter pour les nouveaux types d’appareils plutôt que de les ajouter directement à HomeKit. Les aspirateurs en sont un exemple récent : Apple a ajouté la prise en charge des aspirateurs à l’application Home, mais via Matter, et non via HomeKit. Notre objectif est de combler cette lacune afin que les plugins Homebridge puissent offrir toutes les fonctionnalités pour ces types d’appareils. Nous pensons que cet objectif est tout à fait réalisable et qu’il s’agit de la priorité immédiate ».

Deuxième cas d’usage : « Utiliser d’autres contrôleurs Matter avec les plugins Homebridge : cela permettrait d’accéder à vos plugins Homebridge depuis d’autres contrôleurs Matter, comme l’application Aqara par exemple. Il s’agit là d’un projet à plus long terme – il nécessitera des mises à jour individuelles des plugins pour être pris en charge. Il faut donc s’attendre à un déploiement progressif au fil du temps ».

L’année dernière, Apple et Google avaient fait plusieurs annonces autour de Matter afin de faciliter son adoption en vue d’en faire un standard avec l’adoption la plus large possible. Matter débarquait ainsi dans Google Home.

• Domotique : Matter devrait prendre son envol grâce à de nombreuses simplifications

Presque huit ans après Dav1d, VideoLAN remet le couvert avec Dav2d. Comme son nom l’indique, c’est une implémentation logicielle pour décompresser des vidéos AV2, le codec en cours de développement par l’Alliance for Open Media. Il prend donc la suite de Dav1d – qui est l’acronyme récursif de Dav1d is an AV1 decoder – pensé pour le codec AV1.

Dans la foire aux questions, il est précisé que Dav2d est toujours récursif, « mais c’est moins drôle que dav1d », reconnait l’équipe. Quoi qu’il en soit, Dav2d est proposé sous une licence très permissive : BSD 2-Clause ou « Simplified BSD License ».

Sur le GitLab dédié de VideoLAN, il est indiqué que « dav2d est un décodeur AV2 multiplateforme, open source, axé sur la vitesse et la précision. Il est basé sur notre décodeur dav1d, très populaire. Il s’agit d’un projet encore préliminaire, qui ne devrait pas être utilisé en production, notamment parce que la spécification AV2 n’est pas définitive ». Ce projet de VideoLAN est réalisé dans « le cadre de son adhésion à l’Alliance for Open Media/AOM », en charge d’AV1 et AV2.

Les travaux ont débuté il y a quelques mois déjà, mais c’est encore une version très préliminaire en 0.0.1 (alias Merbanan). L’équipe cherche de l’aide, notamment des développeurs C et assembleur, ainsi que des testeurs… La FAQ se termine par un trait d’humour sur ce sujet : « Vous soucierez-vous de <mon architecture > ? De < mon OS > ? ». Réponse : « Oui, mais nous n’avons ni le temps ni les connaissances nécessaires. C’est pourquoi les correctifs et les contributions sont les bienvenus ».

AV1, pour rappel, a été lancé en 2018 et son adoption a pris du temps, notamment pour le navigateur Edge de Microsoft (version 121 en 2024) et les terminaux Apple (Mac avec puce M3, iPhone 15Pro et 16), comme le rappelle Lafibre.info dans son grand tableau récapitulatif des codecs populaires.

L’avantage d’AV1 est sa gratuité (pas de redevance, comme AV2), il peut être encapsulé dans des conteneurs tels que MP4, MKV ou même WebM. Il a donné naissance à AVIF pour AV1 Image File Format (un mélange entre les algorithmes de compression AV1 et du High Efficiency Image File Format ou HEIF).

• L’AVIF prend enfin ses aises sur Internet : c’est quoi ce format d’image ?

IA là !

Ce n’est pas une surprise : les jeunes Français et Européens utilisent massivement des outils d’IA. Mais dans quelles proportions, à quelle fréquence et pour quels types d’usages ? La CNIL répond à ces questions.

La CNIL vient de publier les résultats d’une enquête réalisée par Ipsos BVA, en partenariat avec le Groupe VYV (acteur mutualiste de santé et de protection sociale en France) dans quatre pays européens. Elle concerne un sujet ô combien d’actualité : « IA conversationnelle et santé mentale des jeunes ». Pour le sondage, 3 800 jeunes âgés de 11 à 25 ans ont été interrogés en janvier 2026 dans quatre pays européens.

Quasiment 9 jeunes sur 10 utilisent l’IA, dès 11 ans

Premier constat : « 86 % des jeunes Français utilisent des outils d’IA »… et la France est en dernière position sur les quatre pays interrogés. L’Allemagne est en tête avec 92 %, suivie par l’Irlande à 89 % et la Suède à 87 %. À cela s’ajoute un usage dans la durée : « 3 jeunes sur 5 utilisent l’IA conversationnelle depuis plus d’un an ».

L’usage est intensif : un quart des jeunes utilise l’IA chaque jour (58 % une fois par semaine), dans le cadre scolaire ou professionnel. Ils sont également un tiers à la questionner au moins une fois par semaine sur leur vie personnelle et à lui demander des conseils, dont 16 % au moins une fois par jour.

Sur la santé mentale, la réalité semble bien différente du ressenti des utilisateurs. 84 % des jeunes Français – 79 % des filles vs 89 % des garçons – disent se sentir bien dans leur vie quotidienne, mais ils seraient dans le même temps (toujours selon le sondage) 65 % à présenter des troubles anxieux. Le chiffre varie entre 67 et 69 % dans les trois autres pays de l’étude.

L’IA est adoptée très tôt, dès 11 ans selon le sondage. Et, encore, c’est un âge plancher puisque les jeunes interrogés ont, pour rappel, entre 11 et 25 ans (impossible donc de dire ce qu’il en est pour les 10 ans et moins). On passe les 90 % dès la tranche d’âge 15 et 16 ans.

Un tiers des jeunes parle de sujets intimes et personnels

Les usages sont évidemment variés, avec une forte proportion comme outils scolaire ou professionnel, mais aussi pour les loisirs pour 41 % des interrogés (musiques, images, astuces jeux vidéo, idées d’activités…). Les jeunes sont aussi entre 26 et 35 % à parler de sujets intimes et personnels pour recevoir des conseils lorsqu’ils sont stressés, rencontrent des problèmes avec leurs proches, se sentent tristes, en colère ou pas bien dans leur tête, pour gérer des conflits…

Dans sa synthèse, la CNIL note que « les jeunes les plus anxieux déclarent parler plus facilement de leurs problèmes avec une IA qu’avec leurs proches ou qu’avec des professionnels ». La tendance est la même dans les quatre pays.

Le fait qu’elle soit toujours disponible arrive en tête, mais aussi car c’est plus facile que de parler à une vraie personne pour 40 % des jeunes français.

Autre analyse intéressante : un jeune sur trois « ayant utilisé une IA pour des sujets personnels [déclare] s’être déjà [senti] mal à l’aise à cause d’un conseil reçu ». Là encore, cela ne devrait pas surprendre grand monde, mais cela n’empêche évidemment pas de le dire, au contraire !

Deux tiers des jeunes utilisent l’IA comme… un conseiller de vie

Plus de six jeunes Français sur dix considèrent l’IA comme un conseiller de vie et/ou un confident. Un sur deux comme un ami ou un psy, et même un jeune sur cinq comme un amoureux.

Pour 50 % des jeunes, l’IA permet aussi de se sentir mieux et d’avoir davantage confiance en soi. Un jeune sur trois considère même que l’IA peut comprendre les émotions humaines et qu’elle conseille mieux que les humains.

La jeunesse semble heureusement lucide sur la question de la confiance : « 80 % des jeunes n’ont pas totalement confiance en l’IA, malgré son adoption importante ». En être conscient ne veut pas forcément dire l’appliquer au quotidien, malheureusement. C’est un peu comme les mots de passe : tout le monde ou presque sait qu’il ne faut jamais réutiliser le même ; dans la pratique cela arrive souvent.

Les jeunes estiment à 69 % que les IA peuvent donner des conseils fiables, 56 % qu’elles peuvent garder secrets les échanges et 51 % qu’elles peuvent protéger les informations qui leur sont confiées. Preuve que les messages sur le côté statistique des réponses et des données réutilisées pour les entraînements ne sont pas passés auprès de tout le monde.

Des avis partagés, quid d’une disparition de l’IA ?

Les jeunes Français souhaitent davantage d’informations sur ce que l’IA fait de leurs informations, ce qu’il faut éviter de confier à une IA, connaitre les bonnes pratiques et les risques. Seuls 32 % des Français
se considèrent bien informés sur ce que deviennent leurs informations confiées à l’IA, contre 37 à 46 % dans les trois autres pays européens. Il serait intéressant de faire le même sondage auprés des autres générations… pas sur qu’elles s’en sortent mieux.

« La moitié des jeunes Français considère que l’IA peut aider à se sentir mieux, à gagner en confiance. L’autre moitié est en désaccord avec ces affirmations ». Pour la majorité des utilisateurs, « la disparition de l’IA n’aurait que très peu d’effets ». C’est une moyenne : les jeunes les plus fragiles (anxieux, qui utilisent l’IA pour des raisons personnelles et/ou intimes) sont ceux qui voient le plus de conséquences néfastes.

La CNIL milite pour une meilleure éducation au numérique

Dans sa conclusion, la CNIL expose qu’une « part croissante de l’expression du stress, du mal-être ou des difficultés personnelles se joue désormais en amont des parcours classiques de prévention et de recours aux professionnels ». Pour la Commission, cela doit appeler une réponse collective, notamment avec une meilleure éducation au numérique.

Pour le Groupe VYV et la Commission, « l’enjeu n’est ni de freiner l’innovation ni de banaliser les usages, mais de contribuer à construire un cadre de confiance ». Pour les deux partenaires du jour, « il devient essentiel d’intégrer pleinement le numérique dans les politiques de prévention, en articulant innovation, protection des données et accompagnement des usages ».

Palit, ce nom ne vous dit peut-être pas grand-chose, pourtant c’est un géant du monde des cartes graphiques pour les joueurs. Depuis presque 20 ans, la société possède la marque GALAX. En Europe, cette dernière opère sous le nom KFA2.

GALAX propose des produits un peu partout dans le reste du monde, notamment au Brésil. Un message sur la page officielle locale (seul le Brésil semble concerné) annonce que Palit « prend le contrôle et l’exploitation de la marque GALAX. Avec cette transition, Palit devient l’unique responsable de toutes les activités et les engagements liés à la marque ». Palit détient, pour rappel, GALAX depuis 2007.

Vient ensuite un message sur X (supprimé depuis, mais disponible chez VideoCardz) publié par Ronaldo Buassali de TecLab (une équipe d’overclockeurs affiliée à GALAX) qui explique que « toutes les affaires en cours doivent être terminées le 27 avril ». C’est en quelque sorte le patient zéro de l’emballement médiatique qui a suivi, et donné lieu à la propagation de la fausse nouvelle sur la fermeture de GALAX.

Palit et GALAX ont depuis communiqué officiellement (ici aussi) pour annoncer, en trois mots : « Business as usual ». « GALAX poursuit ses activités. Nous continuons à développer, produire et assurer le support de notre matériel ». L’entreprise ajoute que les récentes annonces « s’inscrivent dans un effort mondial visant à intégrer la gestion de notre marque pour de meilleures efficacité et synergie ».

« À l’instar de l’intégration réussie de nos opérations internes entre GALAX et Palit, nos marques internationales « GALAX », « KFA2 » et « HOF » [Hall Of Fame, ndlr] sont désormais gérées directement par notre siège, le groupe Palit ». Voilà le seul changement de ces derniers jours.

Business as usual… vraiment ? Pas tant que ça, enfin à voir suivant la définition que chacun apporte à cette phrase. Sur le site de GALAX il est en effet indiqué que, « avec la fermeture des activités de l’ancienne structure et le licenciement de son équipe, la gestion est désormais assurée exclusivement par les canaux officiels de Palit ». Igor’s Lab affirme même que « l’ensemble de l’équipe mondiale [de GALAX] a été licenciée ».

Ni Palit ni GALAX ne démentent les licenciements dans leur communiqué, mais ils ne donnent pas non plus davantage de détails ou de chiffres. Ils parlent simplement de réintégrer la gestion des marques de manière « centralisée au siège du groupe Palit ».

Durant ce long week-end pour commencer le mois de mai, deux logiciels ont eu droit à des mises à jour. Commençons par Rufus, un logiciel spécialisé dans la préparation et la création de clé USB pour installer des systèmes d’exploitation. Il est passé en version 4.14, une dizaine de jours après la bêta.

Première nouveauté, une option « qualité de vie » pour Windows permettant de « désactiver Teams, Outlook, Copilot et autres applications Microsoft imposées et agaçantes ». Rufus propose aussi une installation silencieuse de Windows, c’est-à-dire « qui installe automatiquement Windows sur le premier disque détecté, sans demander de confirmation ».

Les notes de version reportent aussi des améliorations pour les ordinateurs Dell. Il est aussi question d’améliorer « le support de Bazzite [un OS pensé pour les joueurs sous Linux, ndlr] et d’autres dérivés de Fedora qui ne respectent pas les conventions EFI », toutes les deux disponibles depuis peu en version 44.

• Télécharger Rufus 4.14

Autre mise à jour du week-end, Wine 11.8. L’application permet de lancer des applications Windows sous Linux ou macOS, mais n’est pas un émulateur au sens strict. Son nom, d’ailleurs, est l’acronyme récursif de « Wine is not an emulator ».

Les notes de version indiquent que le moteur Mono (transféré par Microsoft à WineHQ en 2024) passe en version 11.1.0, parlent d’« améliorations pour la compatibilité avec VBScript » et ajoutent, comme toujours, que divers bugs sont corrigés.

Dans la liste de bugs, un attire l’attention. Il porte la référence #1201 et concerne le jeu… Golf 99. Le bug a été remonté en 2002 et il est donc corrigé 24 ans plus tard.

• Télécharger Wine 11.8

Chaud, très chaud devant !

La DGCCRF a passé au crible des chargeurs électriques achetés sur des plateformes étrangères. Le résultat est sans appel : 100 % sont non conformes et 60 % sont dangereux. D’autres produits ont été testés, et ce n’est pas beaucoup mieux. Sur les 588 articles analysés, 46 % sont dangereux.

La répression des fraudes vient de publier un état des lieux de la sécurité d’une dizaine de catégories de produits : « Les prélèvements réalisés par la DGCCRF depuis le printemps 2025 sur les articles vendus en ligne par sept marketplaces étrangères parmi les plus populaires auprès des consommateurs français ont révélé que 46 % des produits analysés sont non conformes et dangereux ».

Il s’agit bien d’articles non conformes et dangereux. Dans 75 % des cas, les articles n’étaient « que » non conformes… une bien maigre consolation. Les marketplaces ont pignon sur rue : elles représentaient en 2025 de 8 à 38 millions de visiteurs mensuels uniques en France… chacune.

15 chargeurs testés : 15 non conformes et 9 dangereux

La DGCCRF détaille les résultats par catégorie de produits. La Palme d’or revient aux écharpes de portage et autres articles de puériculture (attache-sucette) avec 15 produits dangereux sur… 15 produits analysés. Viennent ensuite les piles boutons avec 25 non conformes et dangereux sur… 26 produits analysés. Le petit électroménager de cuisine (et autres produits électriques), les luminaires et guirlandes, sont à 81 % de produits non conformes et dangereux.

Sur les adaptateurs et chargeurs USB, 15 articles ont été analysés et… 15 ne sont pas conformes. Seule consolation, ils ne sont « que » 60 % à être dangereux, en plus d’être non conformes. Les habitués de Next et ceux qui ont déjà lu nos analyses sur les chargeurs USB ne seront pas spécialement surpris, mais le chiffre a toujours de quoi faire froid dans le dos.

• [Dossier] Dans l’enfer des chargeurs USB pas chers chez AliExpress, Amazon et Cdiscount

Nous avons, pour rappel, testé une vingtaine de chargeurs USB achetés pour moins de 20 euros sur des plateformes comme AliExpress, Amazon et Cdiscount (cette dernière est française, elle appartient au groupe Casino).

Plus de 100 000 produits déjà retirés du marché

Ces analyses se déroulent dans le cadre du plan e-commerce annoncé par le gouvernement en 2025. La DGCCRF « a triplé le nombre de prélèvements réalisés en ligne sur sept marketplaces étrangères parmi les plus populaires auprès des consommateurs français ».

La répression des fraudes a évidemment signalé les anomalies aux plateformes concernées, « et plus de 100 000 produits ont déjà fait l’objet d’une alerte pour être retirés de la vente ». La DGCCRF en profite pour appeler les « consommateurs à la vigilance quand ils achètent des produits vendus sur les places de marché étrangères ».

Sur les 46 % des produits dangereux, les griefs sont variés : « risques d’étouffement ou d’étranglement dus à la présence de petits éléments détachables dans des produits destinés aux enfants, risques de chocs électriques et d’incendie pour des appareils électriques et électroménagers ou encore des risques pour la santé en raison de substances chimiques présentes en quantités excessives ». Sur la non-conformité (75 % des produits testés), les principaux reproches sont des défauts d’étiquetage.

Ci-dessous, l’exemple d’un des chargeurs acheté 15 euros sur la marketplace Amazon. Lors de nos tests, la température extérieure était à plus de 127 °C selon notre caméra thermique :

La DGCCRF précise un point important : les prélèvements ont ciblé en priorité « les produits identifiés comme les plus à risque ». Les taux de non-conformité et de dangerosité élevés ne peuvent donc « pas être extrapolés à l’ensemble des produits vendus sur les marketplaces contrôlées ». Lors de nos tests, nous nous étions concentrés sur les produits à moins de 20 euros… Deux approches qui ne sont certainement pas si éloignées l’une de l’autre…

• L’USB Type-C s’impose davantage en Europe, mais…