Puisqu’il ne reste plus de bugs (connus) dans Windows 11, les ingénieurs de Microsoft ont tout loisir de boucher les vulnérabilités dans leurs différents logiciels. Ils ne s’en privent pas : à l’échelle du vaste catalogue produit de l’éditeur, le dernier patch tuesday contient la bagatelle de 165 correctifs de sécurité. La volumétrie pour avril surpasse largement les mois précédents : Microsoft publiait 97 avis en mars, 61 en février, et 124 en janvier.
On dénombre dans le lot 8 vulnérabilités critiques : 7 permettent d’exécuter du code à distance, 1 est un déni de service, déchiffre Bleeping Computer. Le lot comprend aussi deux correctifs pour des failles « zero-day » : CVE-2026-32201 a déjà été exploitée dans des attaques, CVE-2026-33825 avait été rendue publique avant le correctif.
La première zero-day, exploitée activement, concerne SharePoint Server, elle permet à un malandrin de se faire passer pour quelqu’un d’autre et d’accéder à des informations sensibles. La seconde, qui touche Microsoft Defender, permet une élévation de privilèges jusqu’au niveau le plus élevé sur Windows (SYSTEM). Le correctif est déployé automatiquement via une mise à jour de la plateforme de sécurité.
Plusieurs failles d’exécution de code à distance touchant Office (en particulier Word et Excel) sont également au menu de cette livraison. Les pirates peuvent exploiter ces failles dès que leurs victimes ouvrent des fichiers malveillants comme des pièces jointes. Il est (évidemment) fortement recommandé d’appliquer ces mises à jour sans tarder.
L’application de vérification de l’âge européenne est « techniquement prête ». À la veille d’une réunion du groupe spécial sur la sécurité des enfants en ligne, Ursula von der Leyen vient d’annoncer que cette app sera bientôt accessible aux citoyens.
« Cette application permettra de prouver son âge lors de l’accès à des plateformes en ligne, de la même manière qu’un commerce demande une pièce d’identité pour l’achat d’alcool », décrit la présidente de la Commission européenne. L’app fonctionne sur smartphone, tablette et ordinateur, et le mode d’emploi se veut aussi simple que possible.
Après avoir fourni « un passeport ou une carte d’identité » (sans plus de précisions à ce stade), l’application transmettra aux services en ligne compatibles la preuve du respect de l’âge minimum de l’utilisateur, « sans divulguer d’autres informations personnelles ». Dans les faits, le processus de vérification passe par un tiers de confiance chargé d’émettre cette fameuse preuve.
Le système est « totalement anonyme et ne permet pas de suivre les utilisateurs », assure la dirigeante. Le code source des versions iOS et Android est disponible sur GitHub, il est open-source avec une licence EUPL version 1.2. Le développement a été confié aux bons soins d’un consortium, T-Scy, composé des éditeurs suédois Scytales et allemand T-Systems International. Ils fournissent aux plateformes la brique nécessaire au support de la solution européenne.
L’initiative a été lancée l’été dernier avec la publication des lignes directrices. Plusieurs États membres avaient alors annoncé tester le prototype européen pour la version nationale de leurs propres apps, dont la France. « Il n’y a donc plus d’excuse : l’Europe propose un outil gratuit et simple pour protéger les enfants contre les contenus nuisibles et illégaux », indique Ursula von der Leyen.
En janvier, Apple a participé à la pression mise sur xAI et Grok pour les obliger à freiner la production de deepfakes dénudés non consentis. Depuis, néanmoins, la génération de ce type d’image reste possible sur les deux plateformes.
Après la vague de contenus pornographiques générés à l’aide de Grok, le plus souvent à partir de l’image de filles et de femmes réelles, à la fin de l’année 2025, le système d’IA et le réseau social X se sont retrouvés sous le feu des projecteurs. Malgré l’ouverture d’enquêtes sur cinq continents, et notamment par la Commission de protection des données irlandaise, la Commission européenne ou la justice française, et l’interdiction de Grok dans certains pays, dont l’Indonésie et la Malaisie, la plateforme semble n’avoir toujours pas réduit la portée de ce type de fonctionnalité.
Aux États-Unis, c’est même un autre acteur de l’écosystème numérique qui a menacé X d’une forme de sanction : d’après NBC News, Apple a menacé la société de supprimer l’application de l’App Store en janvier. D’après un document envoyé aux sénateurs états-uniens, l’entreprise a contacté les équipes X et Grok en leur demandant de « créer un plan d’amélioration de leur modération de contenu ». Au sommet de la crise, fin 2025, la vague de publications de deepfakes pornographiques (qu’il était à l’époque possible de produire simplement depuis un compte gratuit sur X, en se contentant de mentionner le robot Grok) entrait en violation flagrante des conditions d’utilisation de l’App Store.
Relative mise au pas de X
Mi-janvier, devant la polémique internationale créée par la multiplication de contenus non consensuels, tombant parfois dans la catégorisation de contenus d’agressions sexuelles sur mineurs (Child Sexual Abuse Material, CSAM), le compte X dédié à la sécurité de la plateforme avait publié un message selon lequel l’entreprise s’engageait, précisément, à « prendre des mesures pour supprimer les contenus illicites hautement prioritaires, notamment les contenus pédopornographiques et la nudité non consentie ».
Auprès des sénateurs, Apple indique avoir étudié les évolutions proposées pour les applications de X et Grok. Elle en a conclu que si X avait « largement résolu ses violations », Grok restait « non conforme » aux politiques du magasin d’application. Ses équipes ont donc alerté les fabricants du robot qu’à défaut d’amélioration, « l’application pourrait être supprimée de l’App Store ». Au bout de plusieurs échanges privés, les deux sociétés sont parvenues à un accord.
Grok persiste à produire des deepfakes pornographiques sur demande
Malgré ces engagements, NBC News constate ce 14 avril que des dizaines d’images à caractère sexuel, générées par IA mais représentant des personnes réelles continuaient d’être publiquement publiées sur X. Dans la plupart des cas, les personnes représentées sont des femmes – quoique des hommes puissent aussi être représentés –, souvent des actrices, des pop stars ou des personnalités politiques.
Certaines évolutions ont bien été déployées : par exemple, Grok refuse désormais l’essentiel des demandes de « dénudage » formulées publiquement, en particulier lorsqu’elles reprennent des tactiques éprouvées. Ainsi, demander à la machine de « mettre en bikini » l’image d’une personne reste généralement sans réponse. La somme globale d’images non consensuelles générées a par ailleurs réduit et aucune des images collectées par NBC (puis soumises à X, qui les a modérées) ne semble représenter des mineurs. Pour autant, d’autres types de requêtes que celles repérées par X permettent de continuer de produire les images problématiques. Certaines tendances jouent ainsi sur le mélange de plusieurs images, demandant par exemple à Grok d’intervertir des vêtements, en s’appuyant sur au moins une image de femme quasiment dévêtue.
Ces constatations sont faites alors que la prolifération de contenus de CSAM générés par IA et les risques que les grands modèles de langage créent en termes de violence contre les femmes et les filles sont de plus en plus documentés (sur une expérimentation menée pendant 11 jours en janvier, le Center for Countering Digital Hate calculait que Grok générait en moyenne une image sexualisée d’enfant toutes les 41 secondes).
Quoiqu’il en soit, X semble envisager de revenir sur ses promesses formulées début janvier en matière de protection des internautes : lors d’un procès tenu aux Pays-Bas, X a déclaré ne pas être capable d’arrêter tous les détournements de ses outils à des fins d’agressions et ne pas devoir être pénalisé pour les actions d’utilisateurs malveillants. Le tribunal a néanmoins ordonné à xAI et à Grok de cesser la création et la distribution de contenus de « nudification » généré par IA, et menacé l’entreprise d’une amende de 100 000 euros par jour de non mise en conformité.
Apple l’affirme : l’App Store est « l’endroit le plus sûr pour trouver les apps que vous aimez » grâce aux équipes chargées d’examiner de près les applications soumises par les développeurs du monde entier. Un message de sécurité repris aussi par Google pour le Play Store, qui est régulièrement mis à mal par la validation d’escroqueries dans les boutiques officielles.
Coup sur coup, deux exemples montrent que l’App Store n’est pas cette plateforme « sûre et fiable » si souvent vantée par Apple. Deux applications malveillantes sont passées dans les trous de la raquette. La première est une app macOS baptisée Ledger Live, distribuée sur le Mac App Store. Elle singeait celle de Ledger, un wallet de cryptos bien connu. Une fois téléchargée et installée, « Ledger Live » réclamait des utilisateurs leurs phrases de récupération (seed).
L’arnaque crypto d’un wallet validé par l’App Store
En possession de cette information, les attaquants obtenaient un accès complet aux portefeuilles de leurs victimes ; ils pouvaient par la suite facilement transférer les actifs numériques vers des adresses externes. Ces fonds étaient redirigés vers plus de 150 adresses de dépôt liées à KuCoin, une plateforme d’échange centralisée qui a temporairement gelé les comptes concernés (jusqu’au 20 avril), le temps que les autorités se saisissent de l’affaire.
KuCoin n’est a priori pas impliquée dans l’arnaque en elle-même, néanmoins elle a déjà été épinglée par le passé pour des manquements liés à la lutte contre le blanchiment. C’est pourquoi son rôle ici attire l’attention. Selon le chercheur en sécurité spécialisé dans la blockchain Zachary Wolk, alias ZachXBT, l’app frauduleuse a volé pour 9,5 millions de dollars auprès d’une cinquantaine d’utilisateurs.
Cette fausse application est éditée par un compte qui n’est bien sûr pas du tout associé à Ledger, dont on trouvera l’app légitime pour Mac directement sur son site web. Une application pour iPhone est aussi disponible sur l’App Store, à cette adresse. Après des signalements, Apple a supprimé l’application de sa boutique.
Mise à jour 17/04 — Charles Guillemet, le directeur technique de Ledger, rappelle que l’entreprise ne demandera « jamais » les 24 mots de la phrase de récupération. « Si une personne ou une application vous les réclame, partez du principe qu’il y a un problème », explique-t-il à Next. Pour lui, la seule solution réellement sécurisée reste de stocker ses clés privés dans un wallet physique car « vous ne pouvez pas faire confiance à l’environnement software qui vous entoure, ni à votre navigateur, ni à votre app store, ni même à votre ordinateur. Les attaquants exploitent toutes les opportunités, y compris via des plateformes de distribution officielles », ce qui est le cas ici. Il ne faut en tout cas « jamais saisir sa phrase de récupération dans une application ou sur un site web ».
Autre exemple de la difficulté, pour Apple mais aussi pour Google, d’assurer la sûreté des utilisateurs de leurs boutiques : l’app Freecash. Celle-ci a atteint le sommet du classement des applications gratuites de l’App Store aux États-Unis au mois de janvier, bien aidée par des publicités sur TikTok promettant aux utilisateurs de recevoir de l’argent simplement en consultant le flux vidéo du réseau social.
Ces réclames laissaient entendre que les utilisateurs seraient embauchés directement par TikTok pour regarder des vidéos. Comme l’explique Malwarebytes, TikTok a supprimé plusieurs de ces annonces car elles enfreignaient ses règles en matière de représentation financière. Mais le mal est fait : des utilisateurs ont téléchargé Freecash. Et plutôt que d’être rémunérés pour scroller sans fin dans TikTok, ils étaient poussés à installer des jeux mobiles en échange d’une somme d’argent.
Le modèle de cette app est redoutable : diriger les utilisateurs vers des jeux où ils sont susceptibles de dépenser de l’argent, de voir des publicités et d’alimenter les bases de données avec des informations très sensibles. Sans compter que chaque jeu installé peut lui aussi collecter des données personnelles. Des listes d’utilisateurs vulnérables aux escroqueries ou à des comportements compulsifs en ligne s’échangeraient entre courtiers de données ; ces profils peuvent être encore affinés et ciblés grâce à ce genre d’application.
Capture d’écran du site de Freecash.
Suite à un signalement de TechCrunch, Apple et Google ont supprimé Freecash de leurs boutiques respectives. Almedia, l’éditeur allemand de l’application, dément les accusations selon lesquelles il gonflerait artificiellement le trafic vers sa plateforme ou aurait recours à des techniques de marketing trompeuses. Et en veut pour preuve le fait que les deux contrôleurs d’accès validaient régulièrement les mises à jour de l’app…
Mais la présence de Freecash sur l’App Store est elle-même suspecte. L’application a en effet connu un parcours mouvementé : une première version, publiée à mars 2024 par Almedia, a été retirée deux mois plus tard. Quelques mois plus tard, l’app Rewards développée par 256 Rewards a été rebaptisée Freecash, sans qu’on sache si Almedia a acquis le compte développeur associé. C’est cette seconde version qui a grimpé dans les classements de la boutique.
Utiliser un autre compte développeur pour contourner un bannissement est une pratique courante, mais contraire aux règles de l’App Store. Tout comme les techniques dites de « bait-and-switch », visant à attirer l’utilisateur avec une offre avant de lui en proposer une autre.
Lancés en 2019, le smartphone Fairphone 3 et sa déclinaison 3 + prendront officiellement leur retraite à compter d’août 2026, a annoncé le constructeur mercredi 15 avril. L’appareil aura donc profité d’un support total de sept ans, supérieur aux cinq années promises initialement par l’entreprise.
« Notre objectif est d’inciter l’ensemble du secteur à concevoir des produits durables, et le Fairphone 3 est la preuve vivante de notre réussite », se réjouit pour l’occasion Chandler Hatton, directeur technique de l’entreprise hollandaise.
Si le support et donc les mises à jour d’Android ne sont plus officiellement garantis, Fairphone souligne qu’il est possible de prolonger, encore, la durée de vie de son Fairphone 3 en se tournant vers les alternatives au système d’exploitation de Google.
Le Fairphone 3 a été lancé en septembre 2019, et aura donc reçu sept ans de support
« Des projets communautaires tels que LineageOS (qui fonctionne actuellement sous Android 15), /e/OS (qui continuera à prendre en charge le Fairphone 3 pendant au moins deux ans) et postmarketOS sont quelques exemples de projets à explorer. Nous publierons également l’ensemble du travail de développement réalisé sur Android 14, dans l’espoir qu’il soit utile aux communautés open source », promet l’entreprise.
Fairphone défend pour mémoire l’idée de smartphones conçus avec une prise en compte maximale des enjeux de réparabilité (avec des pièces détachées en vente directe), de réutilisation ou de recyclage, ainsi que de juste rémunération de la chaîne d’approvisionnement. Le constructeur a depuis rehaussé sa promesse en matière de durabilité.
En septembre 2024, Next se lançait dans une nouvelle aventure : la production audio. Un an et demi plus tard, après deux séries thématiques et un cycle de grands entretiens, les podcasts de Next ont dépassé les 50 500 téléchargements.
Car Entre la chaise et le clavier, c’est un podcast qui a avancé par expérimentations. Alors que l’intelligence artificielle générative avait fait irruption depuis moins d’un an dans les pratiques du grand public, nous nous sommes lancés dans la série Algorithmique, pour mieux comprendre les enjeux que ce chamboulement technologique provoquait sur la société, le climat, la régulation, etc.
L’année suivante, alors que les géants du numérique délaissaient leurs objectifs climatiques pour se lancer dans une course à l’obtention de l’énergie nécessaire pour alimenter leurs infrastructures, nous avons publié Écosystème. En sept épisodes, il s’agissait d’étudier les effets concrets de l’industrie du numérique sur la planète, sur le recyclage, et même sur certaines logiques politiques d’adaptation à l’urgence environnementale.
Il y a quelques mois, nous avons intégré ces travaux à Entre la chaise et le clavier (promis, après ça, on ne change plus de nom !), devenu vaste collection d’entretiens pour mieux comprendre les effets des évolutions technologiques sur la société.
« Entre la chaise et le clavier », c’est le lieu où l’on propose quelquefois de chercher, lorsqu’on ne trouve pas de cause technique au dernier bug ou à la dernière fuite de données. L’expression sert à désigner l’endroit où se logent les failles que la rétro-ingénierie ne permet pas d’expliquer, ce mince espace d’où filtrent, parfois, des mots de passe qui auraient dû être soigneusement chiffrés, des erreurs qu’à aucun moment le fonctionnement normal de nos outils informatiques n’aurait dû engendrer.
Ce lieu, en réalité, désigne des personnes : vous, nous, le patron d’une société du CAC 40, l’entrepreneuse qui a « monté sa start-up from scratch », votre grand-père. Les internautes. C’est à ces derniers, qu’ils et elles soient spécialistes ou citoyens engagés, que Next a choisi de tendre le micro.
Et en ce joyeux mois d’avril, vous avez désormais écouté plus de 50 000 fois ces travaux, réalisés chaque fois avec l’aide de Clarice Horn à la réalisation et de Flock aux illustrations.
Merci pour votre écoute !
Continuez de faire connaître Entre la chaise et le clavier autour de vous !
Le 29 avril prochain, nous passerons un épisode aux côtés de la chercheuse en sciences de l’éducation et de la formation Rosa Maria Bortolotti, avec qui nous discuterons des usages des réseaux sociaux chez les jeunes.
Pour vous abonner, si ce n’est pas déjà fait, rendez-vous sur votre application de podcast favorite (par exemple Deezer, Podcast Addict, Spotify ou Apple Podcast). Et pour l’option flux RSS, c’est ici.
En distribuant avec parcimonie les accès pour Mythos, Anthropic a mis les régulateurs européens à l’écart. Sur le Vieux continent, seul le Royaume-Uni a obtenu un sésame. L’analyse qui en découle souligne les performances du nouveau grand modèle d’Anthropic, mais elle en pondère aussi le potentiel dévastateur utilisé par l’entreprise dans sa communication.
Mythos est le nouveau grand modèle de langage d’Anthropic, un LLM soi-disant si puissant que l’entreprise a décidé de le contraindre à un domaine spécifique, celui de la cybersécurité. Et histoire d’entretenir un sentiment d’exclusivité au motif de ne pas tenter des hackers mal intentionnés, la distribution de Mythos est limitée à une quarantaine d’organisations et une dizaine d’entreprises, toutes américaines.
Les participants au projet Glasswing sont censés laisser le LLM examiner le code de leurs logiciels afin de détecter et de corriger les bugs, et de boucher les vulnérabilités. Les autorités et les gouvernements, dont les infrastructures informatiques auraient elles aussi bien besoin d’un sérieux ménage, n’ont pas été conviés à la fête.
La courte liste des invités d’Anthropic
Lors de l’annonce du projet, Anthropic indiquait avoir engagé des discussions avec des responsables du gouvernement américain : « la sécurisation des infrastructures critiques constitue une priorité majeure de sécurité nationale pour les pays démocratiques ». Depuis, on a appris que l’entreprise avait présenté Mythos à l’administration Trump ; à tel point que les banques US ont été encouragées à utiliser Mythos pour sécuriser leurs systèmes informatiques. JPMorgan Chase est le seul établissement partenaire du projet, pour le moment.
Malgré les tensions, il existe au moins une sorte de dialogue soutenu entre Anthropic et les autorités américaines. En Europe, c’est le flou le plus total. Sur les 8 agences de cybersécurité européennes interrogées par Politico, seule la représentante allemande (BSI) a indiqué avoir entamé des discussions avec la start-up IA au sujet de Mythos. Mais l’agence fédérale n’a pas pu tester le modèle.
Le NCSC-NL, l’agence nationale de cybersécurité des Pays-Bas, a indiqué de son côté que l’impact réel des vulnérabilités identifiées était difficile à vérifier en l’absence de détails techniques. Une manière de dire que l’agence ne sait pas grand chose de Mythos… Plusieurs institutions gouvernementales européennes ont cependant laissé entendre qu’elles avaient un accès au LLM, mais fragmentaire.
« Mythos nous donne un avant-goût de l’importance que va prendre l’accès aux capacités d’IA de pointe dans les années à venir », explique à nos confrères Daniel Privitera, de l’ONG allemande KIRA qui promeut une IA éthique, ouverte et bénéfique pour la société. « L’Europe ne dispose actuellement d’aucun plan pour garantir cet accès. »
Malgré l’arsenal réglementaire européen, en particulier l’AI Act, l’Union reste manifestement dépendante du bon vouloir des acteurs américains pour accéder aux technologies les plus sensibles.
Le Royaume-Uni limite la portée des promesses associées à Mythos
Contrairement aux voisins européens, le Royaume-Uni a lui obtenu un sauf-conduit pour Mythos. L’AISI, organisme britannique dédié à la sécurité de l’IA, a publié lundi 13 avril une première évaluation indépendante des capacités cyber offensives du modèle. Il y a une progression nette par rapport aux générations précédentes de LLM : Mythos est ainsi capable de mener des attaques en plusieurs étapes sur des réseaux vulnérables, affirme l’institut.
Mythos atteint ainsi 73 % de réussite sur des tâches « capture-the-flag » niveau expert. Avant 2025, aucun modèle ne pouvait compléter ces tâches. L’étude va plus loin avec une attaque en 32 étapes (« The Last Ones »), qui représente environ 20 heures de travail humain. Mythos est le premier modèle à réussir l’attaque de bout en bout. Certes, il n’a réussi que 3 tentatives sur 10, mais tout de même. En moyenne, le LLM réalise 22 étapes sur 32. Claude Opus 4.6, le précédent modèle le plus performant, complète une moyenne de 16 étapes.
Du côté du verre à moitié vide, l’AISI relève que Mythos échoue dans certains environnements, notamment industriels, et il peut rester bloqué sur des étapes techniques. Les chercheurs rappellent aussi que les environnements de test sont simplifiés par rapport à la réalité. Ils ne prennent pas en compte les systèmes de défense actifs, les outils de détection ni les réactions humaines en temps réel (les humains peuvent encore servir à quelque chose, ouf !).
En revanche, Mythos est bien en mesure de compromettre des systèmes mal protégés de manière autonome, en sachant que les capacités du modèle devraient logiquement continuer à progresser.
C’est la raison pour laquelle Anthropic insiste sur la nécessité de travailler avec les pouvoirs publics, et plaide pour une coopération plus large entre industriels et institutions, pour mieux encadrer les usages de ces outils. L’entreprise évoque même la création d’un organisme indépendant capable de superviser ces travaux. Un point de vue que l’on pourrait trouver paradoxal, compte tenu de la façon dont les acteurs de la tech luttent contre les tentatives d’encadrement réglementaire du développement de l’IA, notamment en Europe. La même ambigüité se retrouve d’ailleurs dans les dernières communications d’OpenAI et de Sam Altman sur le sujet, comme s’il fallait à la fois impressionner et rassurer quant à l’avenir de l’IA générative…
La fondation Raspberry Pi introduit avec la dernière mise à jour de son environnement logiciel une petite nouveauté qui risque de surprendre les utilisateurs : par défaut, Raspberry Pi OS 6.2 réintègre la nécessité d’entrer manuellement le mot de passe d’un compte administrateur lors de l’appel de la commande sudo.
Jusqu’ici, Raspberry OS, désormais basé sur Debian 13 Trixie, laissait l’utilisateur accéder librement à sudo, pour simplifier la gestion et limiter les frictions. Le fait d’adopter ce comportement par défaut soulève cependant un risque de sécurité, puisque tout utilisateur qui arriverait à se connecter à la machine hôte dispose de fait de droits administrateurs.
D’où cette modification, annoncée mardi 14 avril :
« À partir de cette version, si vous utilisez sudo pour accéder aux privilèges d’administrateur, vous devrez saisir votre mot de passe. Dans le terminal, l’invite de mot de passe s’affichera directement, tandis que sur le bureau, une fenêtre de demande de mot de passe apparaîtra. Après avoir saisi votre mot de passe, vous n’aurez plus besoin de le saisir pendant cinq minutes, même si vous effectuez d’autres actions sudo durant ce laps de temps. »
Rapsberry Pi OS modifie le comportement par défaut, mais ceux qui souhaitent continuer à laisser leurs utilisateurs accéder à sudo sans mot de passe peuvent (heureusement) rétablir cette option, soit au moyen du centre de contrôle pour les systèmes dotés d’une interface graphique, soit au travers du fichier raspi-config.
Le centre de contrôle permet de désactiver le mot de passe administrateur
Publiée le 13 avril, la version 6.2 de Raspberry OS introduit également d’autres petites nouveautés. Dans le lot, on peut notamment citer de nouvelles options au sein du centre de contrôle, l’intégration par défaut des plugins uBlock Origin Lite et h264ify dans Chromium, la prise en charge du glisser déposer au niveau du lanceur et l’intégration des mots de passe Chromium au gestionnaire du système. L’OS, qui reste sur le noyau Linux 6.12.75, profite également de quelques corrections de bugs.
Depuis 2023 et le lancement de la 3e génération de Surface Hub, Microsoft était restée bien silencieuse sur cette gamme de grands écrans tactiles de salles de réunion. On risque bien d’en entendre encore moins parler : selon Windows Central, le constructeur a tout simplement cessé de la produire.
Les éventuels clients qui attendaient une génération 4 pour passer à la caisse en seront quitte pour trouver une autre solution, rien ne serait en effet prévu du côté de Redmond pour la suite. La lignée de cette famille d’appareils, lancée en 2015, s’éteint donc sans fleur ni couronne. Ceux qui auraient tout de même l’intention de s’équiper peuvent toujours se renseigner auprès des revendeurs tiers ou fouiner dans la boutique en ligne de Microsoft, où des cartons peuvent encore traîner.
Les Surface Hub sont (étaient ?) des produits destinés aux entreprises, conçus pour « favoriser le travail d’équipe » autour d’un écran 4K de 50 ou de 85 pouces sous Windows 10 et 11. La 3e génération apportait un fonctionnement en portrait ou en paysage et des performances en hausse. Les écrans intègrent une baie de 8 microphones, ils sont fournis avec une caméra, et on peut dessiner ou écrire dessus en duo puisqu’ils prennent en charge deux stylets.
Les dernières générations de Surface Hub ont ceci de particulier que l’écran et l’ordinateur à proprement parler sont séparés. Il est donc possible de mettre à jour les composants matériels de l’appareil tout en conservant l’écran. Microsoft vendait d’ailleurs une cartouche pour Surface Hub 2S : il suffisait de la glisser dans l’emplacement à l’arrière de l’écran pour bénéficier des capacités de la Surface Hub 3. Ce module coûte 3 149 euros, ce qui représente une solution économique par rapport aux prix plein pot de la dernière génération : de 10 699 à 25 999 euros en fonction de la taille de la dalle. Au moins ils n’ont pas augmenté comme le reste de la gamme Surface !
Les possesseurs d’une Surface Hub 3 n’ont pas besoin de la transformer en table à manger tout de suite : Microsoft assure un support logiciel jusqu’en 2030.
Des données personnelles ont été volées durant une cyberattaque qui s’est déroulée en décembre dernier au sein du service de gestion des comptes des élèves. Des informations comme les prénoms, noms, identifiants ÉduConnect, établissements et classes, ainsi que les adresses email (si elles ont été renseignées) d’élèves sont en fuite. Le ministère de l’Éducation nationale a déposé plainte, et saisi l’ANSSI et la CNIL.
Illustration : Flock
Les auteurs de la cyberattaque ont exploité une faille suite à l’usurpation d’identité d’un personnel habilité. Ils ont de la sorte obtenu un accès frauduleux à ce service annexe à ÉduConnect, le système d’authentification pour les élèves (collège et lycée) et les parents. Il leur permet d’accéder à l’ensemble des services numériques scolaires sans avoir à multiplier les identifiants.
Un point d’entrée unique bien pratique donc, mais aussi très tentant pour les pirates. La faille a été corrigée par les services du ministère, mais pas avant que le ou les malandrins puissent se servir dans les serveurs. L’accès au service a été immédiatement suspendu, tandis qu’un travail de renforcement de la sécurité s’est engagé « par un mécanisme de double authentification ».
L’enquête a déterminé que l’attaquant a pu télécharger des données concernant des élèves « au-delà de ceux de l’établissement initialement visé ». Le nombre exact de victimes reste encore à évaluer.
Le ministère précise que les comptes ÉduConnect activés par les élèves et leurs parents ou responsables « au moment de l’attaque » ne sont pas compromis. Ces comptes peuvent continuer à être utilisés « en toute sécurité ». Les autorités ont procédé à une réinitialisation complète des codes d’accès pour les comptes qui n’avaient pas été activés au moment de la cyberattaque. Certains d’entre eux ont pu être compromis avec l’utilisation du code d’activation. Le ministère reste « pleinement mobilisé » pour garantir la sécurité des systèmes d’information « et accompagner les familles et les établissements concernés. »
Ce n’est malheureusement pas la première fois que des données scolaires sont en fuite. Le mois dernier, une intrusion dans le portail RH Compas a exposé les informations de 243 000 agents et stagiaires.
Dans l'espace, personne ne vous entend passer des coups de fil
Le suspense n’aura pas duré bien longtemps. Amazon a confirmé l’acquisition de Globalstar, un opérateur de satellites dont la constellation va rejoindre celle d’Amazon Leo. Objectif : aller chercher le leader Starlink, à commencer par la téléphonie.
Fondée en 1991, Globalstar est désormais la propriété d’Amazon, comme le bruit courait depuis quelques semaines. L’opérateur de communication, à la tête d’une mini-constellation d’une vingtaine de satellites, a accepté l’offre du géant du commerce en ligne pour la somme de 11,57 milliards de dollars.
Embouteillage dans l’espace
Les capacités de Globalstar vont s’ajouter à celles d’Amazon Leo qui, depuis le mois d’avril, a envoyé 240 satellites en orbite basse. Un début encourageant, mais insuffisant : en janvier, l’entreprise demandait au régulateur américain des communications (FCC) un délai supplémentaire pour respecter son obligation de 1 600 satellites d’ici le mois de juillet.
Le renfort de Globalstar est donc le bienvenu, mais cela ne suffira pas pour arriver à la cheville de la constellation Starlink qui compte plus de 10 000 satellites. D’autant que la FCC a donné à la filiale de SpaceX en janvier dernier l’autorisation d’en envoyer 7 500 de plus.
Néanmoins, Amazon Leo va pouvoir accélérer le développement de son offre commerciale, dont le lancement est programmé début 2028 avec un service « Direct-to-Device » (D2D).
Amazon Leo veut proposer un service de téléphonie par satellite complet : voix, données et messagerie. Et grâce aux satellites D2D « nouvelle génération », l’entreprise promet une efficacité « nettement supérieure » (débit plus élevé, meilleures performances globales) par rapport aux systèmes traditionnels.
Starlink Mobile, fort de ses 650 satellites Direct-to-Cell, permet déjà d’envoyer et de recevoir des messages texte dans des zones non couvertes par un réseau cellulaire. Une offre globale données-voix est dans les tuyaux. Le service est actif dans plusieurs pays, dont les États-Unis, le Canada, l’Australie ou encore l’Ukraine. Des opérateurs européens ont signé avec Starlink, comme Salt en Suisse, mais personne en France. Orange a toutefois lancé Messages Satellite l’an dernier, avec l’opérateur Skylo.
À terme, Amazon Leo a l’ambition de mettre sur orbite « des milliers de satellites » pour prendre en charge « des centaines de millions de terminaux à travers le monde ». En plus des services D2D pour les smartphones, il s’agit aussi de commercialiser un accès à internet par satellite, là encore à l’image de Starlink.
L’été dernier, l’Arcep donnait à Amazon Leo son feu vert pour le déploiement de son service d’accès à internet en France. Une autorisation qui n’a pas été du goût de la CFE-CGC d’Orange, qui a déposé un recours en annulation auprès du Conseil d’État.
Le deuxième volet de l’annonce concerne Apple. Le constructeur de Cupertino a inauguré une fonction d’urgence SOS par satellite avec l’iPhone 14 (2022), qui s’appuie sur le réseau de Globalstar. La même année, le fournisseur précisait à la SEC, le gendarme américain de la Bourse, que 85 % de son infrastructure était réservée à Apple.
L’entreprise de Cupertino s’était engagée à investir jusqu’à 1,5 milliard de dollars dans Globalstar pour financer l’expansion des services de communication par satellite pour ses produits : iPhone et Apple Watch, depuis l’Ultra 3 lancée l’an dernier. La rumeur a même prêté un temps à Apple la volonté d’acquérir purement et simplement Globalstar.
Il est donc plus que probable qu’au vu de ces investissements et de sa part dans le capital de l’entreprise (20 %), Apple a eu son mot à dire dans l’acquisition de Globalstar par Amazon. Amazon Leo va de ce fait prendre le relais de Globalstar, et travailler avec le créateur de l’iPhone sur de futures fonctions exploitant les capacités de la constellation de satellites.
« Cela garantit que nos utilisateurs continueront d’avoir accès aux fonctionnalités satellites essentielles sur lesquelles ils comptent désormais », se réjouit Greg Joswiak, vice-président du marketing du constructeur.
Outre Urgence SOS, il est possible d’envoyer des informations avec ses contacts d’urgence et des messages à ses amis, de partager sa position dans l’app Localiser, d’obtenir une assistance routière (dans certains pays, pas en France). Ces fonctions sont proposées jusqu’à présent gratuitement par Apple.
Plus de soixante-dix associations dédiées à la défense des libertés numériques ou à la lutte pour les droits des femmes et des minorités se sont associées pour signer une lettre ouverte à destination de Mark Zuckerberg.
En jeu : les risques que ses smart glass font peser sur la vie privée d’une large part de la population, en particulier « les victimes de violences conjugales, les cibles de harceleurs et d’agresseurs sexuels, les minorités religieuses, les personnes de couleurs, les personnes LGBTQ+, ainsi que les femmes et les enfants, entre autres ».
Le groupement d’ONG appelle l’entreprise à renoncer à son projet de déployer de la reconnaissance faciale dans les dispositifs issus de la collaboration entre Ray-Ban et Meta.
Garantir la possibilité, pour les citoyens, d’évoluer « sans craindre les stalkers (harceleurs), les arnaqueurs, les agresseurs, les agents fédéraux et les activistes issus de tout l’échiquier politique » n’est pas une simple « préférence de vie privée », écrivent-ils. « Il s’agit d’un prérequis pour une société libre et sécurisée. »
Meta travaille sur la piste de déployer de la reconnaissance faciale dans les lunettes depuis plusieurs mois, sous la forme d’une fonctionnalité baptisée Name Tag.
D’après des documents obtenus par le New York Times, les équipes de son Reality Labs envisageaient de déployer l’outil« au cours d’une période de contexte politique dynamique, pendant laquelle les divers groupes de la société civile susceptibles de nous attaquer auront concentré leurs ressources sur d’autres préoccupations ».
À l’étape de l’entraînement de ses systèmes, des employés de Sama, société spécialiste dans la sous-traitance d’entraînement de systèmes d’IA, ont notamment témoigné avoir dû traiter des images de personnes ne se sachant pas nécessairement filmées, que ce soit parce que des lunettes avaient été laissées dans une chambre à coucher, ou parce qu’une personne les portait pendant un rapport sexuel.
Dans un communiqué transmis par e-mail, un porte-parole de Meta a déclaré à Engadget que « Nos concurrents proposent ce type de produit de reconnaissance faciale, ce qui n’est pas notre cas. Si nous devions lancer une telle fonctionnalité, nous adopterions une approche très réfléchie avant de la déployer. »
Microsoft n’est pas épargné par l’explosion des prix des composants mémoire. Le constructeur a dévoilé une volée de hausses assez spectaculaires des prix pour ses appareils Surface, en France comme ailleurs dans le monde.
Les augmentations oscillent entre 16 et 21 % : la Surface Pro 12 pouces (16 Go de RAM, 256 Go de stockage) est maintenant facturée 1 149 euros (+ 170 euros), le Surface Laptop 15 pouces (16 Go de RAM, 256 Go de stockage) coûte 1 769 euros (+ 220 euros)… La progression la plus impressionnante concerne la Surface Pro OLED de 13 pouces équipée de 32 Go de RAM et d’1 To de stockage qui revient à 3 099 euros, soit la bagatelle de 670 euros de plus !
La Surface Pro.
Cette valse des étiquettes de la gamme Surface n’étonnera personne : tous les constructeurs doivent actuellement composer avec la pénurie globale de composants mémoire (RAM et SSD) que les entreprises de l’IA dévorent avec un bel appétit pour équiper leurs centres de données. Ne laissant plus que des miettes aux autres industries… Microsoft est une partie du problème ici, étant elle même un des ces grands acteurs de l’IA.
Dans une déclaration adressée à Windows Central, Microsoft confirme sans surprise que la hausse des prix des Surface est bien due à la « récente augmentation des coûts de la mémoire et des composants ». L’entreprise veut continuer à « offrir le meilleur rapport qualité-prix à [ses] clients et partenaires, sans compromis sur la qualité et l’innovation. » Un rapport qualité-prix qui, à l’instar des prix de la mémoire, vient d’exploser.
Apple est une des très rares exceptions (la seule ?) sur le marché : non seulement le groupe de Cupertino a globalement maintenu ses prix, mais il s’est même offert le luxe de lancer un MacBook Neo d’entrée de gamme à 699 euros ! Une vraie anomalie, dont le succès pourrait bien se transformer en caillou dans la chaussure pour le constructeur.
Les conclusions de la Commission mixte paritaire sur la loi de simplification de la vie économique sont débattues cet après-midi à l’Assemblée et demain au Sénat. Douze associations critiquent de nouveau son article 15, dédié à faciliter l’implantation de centres de données.
Après deux ans d’allers-retours, la loi sur la simplification de la vie économique est de nouveau étudiée par le Parlement, à l’Assemblée nationale ce 14 avril, au Sénat le 15 avril. Régulièrement présenté comme « fourre-tout », le texte concerne notamment, en son article 15, l’industrie des centres de données.
Alors que le gouvernement appelle depuis plus d’un an à multiplier les projets d’infrastructures, notamment au motif que l’énergie française est décarbonée (c’est-à-dire issue du nucléaire) et abondante, l’article 15 du projet de loi viendrait faciliter les installations en accordant le statut de « projet d’intérêt national majeur » (PINM) aux data centers.
En amont des débats que les députés entretiendront mardi après-midi, douze associations de défense des droits numériques et de défense de l’environnement dont la Quadrature du Net, Data for Good, Les amis de la terre ou encore Le nuage était sous nos pieds critiquent un projet qu’ils estiment « piétiner [le] droit environnemental et notre démocratie » et « consacrer [la] vassalisation numérique » de la France.
Créé en 2023, le statut de PINM a été introduit dans le code de l’urbanisme pour faciliter l’implantation de projets industriels, notamment en accélérant les procédures. Du côté du lobby des centres de données France Datacenter, elle est attendue« de pied ferme ».
Pour le groupe d’associations, néanmoins, une telle simplification desservirait l’intérêt général dans la mesure où les opérateurs « captent et monopolisent des investissements publics grandissants, à la fois du national et des collectivités locales, et bénéficient au surplus d’une fiscalité avantageuse », tandis que les collectivités « doivent prendre à leur charge les travaux complexes requis par l’implantation des centres de données », sans toujours avoir les outils nécessaires.
Ils contestent, aussi, l’intérêt de la multiplication des centres de données pour la souveraineté numérique française. « Supprimer les gardes-fous environnementaux et la démocratie locale viendra aider les acteurs déjà dominants sur le marché, c’est-à-dire surtout les acteurs des big tech américaines » écrivent les signataires.
Et de s’inquiéter de voir les législateurs adopter une telle stratégie, alors même que les sanctions prises par les États-Unis à l’encontre du juge de la Cour Pénale Internationale Nicolas Guillou illustrent très concrètement les risques que pose la dépendance aux outils et sociétés états-uniennes.
Impacts énergétiques pas si absents
Depuis le départ, l’un des enjeux du débat sur cet article concerne les impacts environnementaux des centres de données. Concrètement, si adopté, l’octroi du statut de PINM aux centres de données leur permettrait notamment de déroger aux obligations de protection des espèces protégées. Avec leur installation, il simplifierait aussi la multiplication de leurs autres impacts environnementaux, pour le moment principalement cantonnés, en France, à d’éventuelles artificialisations de sols, à des pollutions visuelles ou sonores, et à des rejets de chaleurs.
Mais même en termes d’énergie, les effets concrets de la multiplication de centres de données pourraient évoluer si leur nombre accentue la pression déjà mise sur le réseau électrique. Certains opérateurs se rapprochent en effet du réseau français de distribution de gaz (GRDF) pour s’y approvisionner en énergie. « Nous sommes régulièrement sollicités par des opérateurs (…) pour explorer des solutions de raccordement au réseau gazier, expliquait ainsi la directrice de GRDF Laurence Poirier-Dietz à Reporterre début avril. Parce que les délais annoncés sur le réseau électrique — parfois cinq à sept ans — ne sont pas compatibles avec leurs calendriers. »
« C’est une aberration», admettait-elle, aussi bien d’un point de vue environnemental qu’écologique. Pour autant, ces requêtes sont faites : «Il ne s’agit pas d’un phénomène marginal. »
Obtenir un trophée dans Call of Duty n’est pas encore tout à fait l’équivalent d’un diplôme, mais cela pourrait tout de même aider à décrocher un job. La FAA, l’autorité américaine de l’aviation civile, a lancé une campagne de recrutement auprès des joueurs pour garnir les postes vacants de contrôleurs aériens.
Au fil des heures passées à poncer leurs jeux préférés, les joueurs améliorent leur coordination main-œil, leurs réflexes, et leur capacité à prendre des décisions rapidement dans des environnements complexes. Des capacités qui intéressent plusieurs secteurs d’activité comme le trafic aérien. Aux États-Unis, l’administration fédérale de l’aviation (FAA) a lancé une campagne de pub pour recruter des contrôleurs.
Les joueurs à la rescousse de l’espace aérien
La publicité, un rien patapouf avec ses effets de montage et sa musique techno, vise spécifiquement les joueurs, invités à mettre leur savoir-faire à l’épreuve des radars. « Ce n’est pas un jeu, c’est une carrière », annonce l’autorité de l’aviation civile qui promet aussi des rémunérations généreuses. La demande est là : la FAA a besoin de près de 15 000 contrôleurs aériens pour garnir les aéroports américains. Ils sont actuellement 11 000.
« Pour recruter la prochaine génération de contrôleurs aériens, nous devons nous adapter », a déclaré le secrétaire aux Transports Sean Duffy. Communiquer avec les joueurs, c’est « s’adresser à une population croissante de jeunes adultes qui possèdent déjà de nombreuses compétences techniques nécessaires pour réussir dans ce métier », ajoute-t-il. L’agence va donner la priorité aux joueurs, plutôt que de multiplier les stands dans les salons étudiants, en rappelant que le quart seulement des contrôleurs possèdent un diplôme universitaire.
Pour autant, remporter une partie de League of Legends ou maîtriser parfaitement son perso dans Diablo 4 ne qualifie pas automatiquement pour un poste de contrôleur aérien. Le taux d’échec lors de la formation demeure élevé.
Le Government Accountability Office (GAO), l’équivalent américain de notre Cour des comptes, a publié en décembre dernier un rapport selon lequel 200 000 candidatures ont été reçues ces dernières années — beaucoup d’appelés, très peu d’élus : seuls 2 % des candidats sont parvenus à décrocher leur sésame, selon la GAO. Refus lors des sélections, formation très longue et abandons sont à déplorer, mais aussi la difficulté à enchaîner les différentes étapes de sélection, souligne l’Office.
Le délai moyen pour intégrer de nouvelles recrues a cependant été divisé par deux (de 13 mois à 6 mois et demi), explique au New York Times Heather Fernuik, directrice des ressources humaines de la FAA. Le taux d’échec a également reculé : un quart des candidats ne terminent pas la formation, contre un tiers auparavant.
Ces efforts sont louables, mais elle prévient tout de même : « Nous commencerons réellement à voir des améliorations d’ici deux ans et demi à trois ans ». La FAA n’est pas la seule administration états-unienne à draguer ouvertement les joueurs. La très controversée police de l’immigration, l’ICE, pioche souvent dans l’imagerie du jeu vidéo pour recruter des agents. L’armée s’intéresse aussi depuis longtemps à ce public. Les images de jeu vidéo font par ailleurs partie intégrante de la propagande de la Maison-blanche autour de la guerre en Iran.
Les stéréotypes ont la vie dure
Ces appels du pied envers les joueurs ont ceci de singulier que dans le même temps, ils sont régulièrement la cible de stéréotypes. Le débat autour de la violence des jeux vidéo revient ainsi sur la table à chaque fait divers. En pleine célébration de la réussite éclatante du jeu français Clair Obscur: Expedition 33, Emmanuel Macron avait ainsi fustigé la violence dans les jeux vidéo, et confié à des experts une mission sur le sujet.
Plusieurs études, comme ici de l’Oxford Internet Institute (2019), ou celle-ci réalisée en République tchèque (2024) relativisent ou contestent le lien entre les jeux vidéo et la violence réelle.
Au-delà de la question de la violence, c’est aussi le temps passé devant les jeux vidéo qui est pointé du doigt. Une vaste enquête fédérale révélait que les jeunes hommes états-uniens de 15 à 24 ans consacraient en moyenne près de 10 heures par semaine à jouer à des jeux vidéo, soit plus du double d’il y a 15 ans. D’autres activités, comme le sport, les sorties ou même le travail, en ont fait les frais ce qui ne manque pas d’inquiéter les enseignants et les économistes.
Mais le tableau doit être nuancé : les jeux vidéo sont aussi devenus un espace central de socialisation pour les plus jeunes, rappellent les chercheurs. C’est un lieu de sociabilité, avec ses codes et ses communautés. Lutter pour réduire le temps passé devant les jeux vidéo serait donc contre-productif… et si on réduit le temps de jeu, qui formera les prochains contrôleurs aériens ?
Dans sa grosse pile des problèmes à résoudre, la nouvelle direction de Microsoft Gaming doit s’atteler au Game Pass. Le service de jeux sur abonnement a beaucoup perdu de sa superbe depuis octobre dernier, suite à la hausse significative de prix de ses différentes formules.
L’offre Ultimate a ainsi augmenté de 50 %, à 26,99 euros par mois. Le reste des abonnements est à l’avenant :+ 2 euros pour le Game Pass Essential (anciennement Core), soit 8,99 euros. Le Game Pass PC a pris 3 euros dans la vue, désormais à 14,99 euros. Seule la formule Premium, qui a remplacé Standard, est restée à 12,99 euros. Pour faire passer la potion amère, en particulier pour Ultimate, Microsoft a multiplié les ajouts de contenus, mais manifestement sans convaincre ni les joueurs, ni… la nouvelle patronne de la division Xbox, Asha Sharma.
La remplaçante de Phil Spencer admet que « le Game Pass est devenu trop cher pour les joueurs » dans un mémo à ses équipes intercepté par The Verge. Elle appelle à un « meilleur équilibre en termes de valeur » : tout laisse à penser qu’une baisse des prix pourrait débouler à court terme, histoire de relancer la machine. À un horizon plus lointain, la CEO de Microsoft Gaming veut faire évoluer le Game Pass vers un système « plus flexible ».
Présentation des nouvelles offres Xbox Game Pass
Et pourquoi pas un Game Pass à la carte, où chacun choisirait ses options en fonction de ses envies et de son budget ? Le Game Pass, longtemps considéré comme « le meilleur rapport qualité-prix du jeu vidéo », a surfé sur son argument phare : les jeux des studios Xbox disponibles sur le service, dès leur sortie. De quoi économiser des dizaines d’euros sur les prix des jeux vendus à l’unité.
Le casse-tête Call of Duty
Mais cela fonctionnait bien quand ces mêmes studios sortaient deux ou trois jeux par an. À force d’acquisitions (Zenimax en 2021, Activision Blizzard King en 2023…), le nombre de jeux « first party » se sont multipliés, sans oublier le poids lourd Call of Duty qui représente bon an mal an des dizaines de millions de copies écoulées. La hausse de prix des abonnements Game Pass aurait été motivée en partie par l’inclusion de la locomotive d’Activision dans le service, le même jour que sa sortie.
Pourquoi acheter le jeu au complet plein pot, alors qu’il est proposé pour une fraction du prix en compagnie de centaines de titres supplémentaires ? Cette stratégie aurait représenté 300 millions de dollars de manque à gagner pour Xbox en 2024, selon une source interne. Autant d’argent que l’épisode annuel de Call of Duty devait faire rentrer dans les caisses en étant vendu à la pièce sur consoles et PC.
Une rumeur de Jez Corden, rédacteur en chef de Windows Central, indiquait tout récemment que Call of Duty pourrait tout simplement quitter le Game Pass et revenir à son modèle économique traditionnel. Sans le jeu, qui se hisse régulièrement au sommet des meilleures ventes chaque année, Xbox aurait effectivement plus de latitude pour ajuster à la baisse les tarifs du service.
Opération séduction
Asha Sharma devrait en tout cas en dire plus aux employés de sa division la semaine prochaine. De nouveaux bruits de couloir ne sont pas à exclure. Asha Sharma semble s’intéresser de très près au Game Pass. Le site The Information rapportait fin mars qu’elle évaluait déjà la possibilité de lancer des abonnements moins chers pour rendre le service plus accessible.
Ce nouveau mémo n’a probablement pas fuité pour rien : il participe d’une opération de séduction engagée auprès des joueurs Xbox depuis la prise de pouvoir d’Asha Sharma, au mois de février. La nouvelle directrice a pris trois engagements : la priorité aux bons jeux, faire revenir sur le devant de la scène la console Xbox (alors que Microsoft donnait l’impression assez nette de vouloir se transformer en simple éditeur multiplateformes), et définir « l’avenir du jeu » sans « AI slop ».
Des mots pensés pour réchauffer le petit cœur endolori de la communauté Xbox, qui a mal vécu les transformations de ces dernières années : la hausse des prix du Game Pass et des consoles, mais aussi la fin des jeux exclusifs pour Xbox qui sont maintenant portés sur PS5, ou encore la fameuse campagne de pub « This is an Xbox ». Si « tout est une Xbox » (entendre par là un téléviseur connecté, un casque Quest, une clé Fire TV Stick…), pourquoi donc acheter une Xbox ? Une des premières décisions de la nouvelle direction a d’ailleurs été d’annuler cette campagne.
Google a annoncé lundi 13 avril une mise à jour de ses politiques de lutte contre le spam, qui vont désormais sanctionner une nouvelle pratique : le fait de modifier l’action du bouton page précédente du navigateur, pour forcer l’affichage d’une page intermédiaire ou pour garder l’utilisateur sur la page.
Même si ce nom ne vous dit rien, vous avez probablement déjà été confronté à cette technique dite du « back button hijacking ». Rangée dans la famille des dark patterns, elle est exploitée par de nombreux sites média, soit pour pousser à l’utilisateur une sélection de contenus recommandés afin de limiter le taux de rebond, c’est-à-dire le fait que l’internaute quitte le site, soit pour l’inciter à partir via l’un des liens (notamment publicitaires) intégrés à la page.
L’intégration d’une telle fonctionnalité est problématique, puisqu’elle interfère avec le comportement attendu du navigateur, et c’est la frustration engendrée qui motiverait Google à agir. « Les gens disent se sentir manipulés et, finalement, moins enclins à visiter des sites inconnus », écrit le moteur de recherche.
Les dark patterns selon Flock – Illustration Flock pour Next
Rappelons que les sanctions dont il est question ici s’appliquent sous forme de pénalité au niveau de la visibilité du site concerné dans les pages de résultats de Google. Une période de grâce est cependant prévue pour que les éditeurs concernés puissent mettre à jour leurs sites :
« Les sites qui utilisent le détournement du bouton Retour peuvent faire l’objet de mesures de spam manuelles ou de déclassements automatiques, ce qui peut impacter leur positionnement dans les résultats de recherche Google. Afin de laisser aux propriétaires de sites le temps d’apporter les modifications nécessaires, nous publions cette politique deux mois avant son entrée en vigueur, le 15 juin 2026. »
À compter du 1er septembre, les réseaux sociaux devront demander l’âge de leurs utilisateurs en France, dans l’objectif d’interdire l’accès à ceux de moins de 15 ans. C’est le calendrier fixé par le gouvernement aux principales plateformes. Le ministère du Numérique a précisé aux réseaux sociaux concernés les différentes étapes techniques.
Les dirigeants des branches françaises de Google et YouTube, de Meta, de TikTok, de Twitch, de Snapchat et de Strava ont participé ce 13 avril à une réunion organisée au ministère de l’Économie par Anne le Henanff, ministre déléguée chargée de l’Intelligence artificielle et du numérique, d’après une indiscrétion de L’Informé. La ministre leur a exposé le calendrier de la mise en place des dispositifs de vérification de l’âge, en vertu de la proposition de loi « visant à protéger les mineurs des risques auxquels les expose l’utilisation des réseaux sociaux ». Elle a réaffirmé l’objectif, promis par Emmanuel Macron, d’une entrée en vigueur au 1er septembre 2026.
Les spécifications techniques sont attendues dès ce mois d’avril. Viendra ensuite, en mai, la séquence dite du bac à sable durant laquelle les plateformes devront bûcher sur la préproduction de leur système de vérification de l’âge. La mise en production proprement dite sera lancée le mois suivant, puis l’été sera studieux avec les intégrations techniques.
Autour de la table étaient aussi présents des représentants de l’identité en ligne comme France Identité, qui développe sa propre architecture de preuve d’âge depuis plusieurs mois, avec des écueils. Des autorités — CNIL, Arcom… —, des députés et des sénateurs ont également participé à la réunion.
Parcours d’obstacles pour la proposition de loi
Adopté par l’Assemblée nationale le 27 janvier, puis remanié par le Sénat le 31 mars, le texte est examiné par la Commission européenne depuis le 9 avril. Bruxelles a jusqu’au 10 juillet pour rendre sa copie. La validation ne sera pas forcément triviale : le Conseil d’État a en effet déjà signalé dans un avis que si les États membres ont toute compétence pour « définir des mesures de politique sociale, notamment fixer un âge minimal d’accès », ils ne peuvent pas « imposer d’obligations supplémentaires aux plateformes en ligne ». Dans la mesure où ces dernières ne sont pas installées en France, mais dans un autre pays de l’Union (l’Irlande), c’est en effet au niveau européen que se décide leur réglementation, comme l’a déjà rappelé Bruxelles à Paris au sujet de la loi SREN.
Si la proposition de loi est jugée contraire au droit de l’Union, il faudra en revoir une bonne partie pour passer sous les fourches caudines européennes. Dans le cas contraire, les députés reprendront la main pour une seconde lecture. Une commission mixte paritaire pourrait trancher les différends entre les deux chambres, sans oublier le passage éventuel au Conseil constitutionnel.
Autant dire que le calendrier du gouvernement parait bien optimiste, mais mieux vaut prévenir que guérir : on a bien vu à quel point il était facile de contourner les systèmes de vérification d’âge pour les sites porno.
Le texte du Sénat prévoit la mise en en place d’une liste noire de réseaux sociaux jugés à risque (contenus ou algorithmes potentiellement nocifs), définie par arrêté ministériel après l’avis de l’Arcom. Les mineurs de moins de 15 ans pourront accéder à un réseau social non interdit, mais avec l’accord explicite d’au moins un des parents (un accord qui peut être retiré en tout moment). À noter que les encyclopédies en ligne, les plateformes éducatives ou scientifiques, et les sites de logiciels libres seront exempts de cette obligation.
Mise en œuvre difficile en Australie
Malgré toute les interdictions du monde, les utilisateurs — et tout particulièrement les enfants, qui ne manquent pas de ressource pour parvenir à leurs fins ! — pourraient bien trouver des moyens de truander le système. L’Australie est le premier pays à avoir interdit les réseaux sociaux aux mineurs, en l’occurrence les moins de 16 ans. Le dispositif, mis en place le 10 décembre dernier, n’empêche absolument pas les minots d’accéder aux plateformes…
Une étude de la fondation Molly Rose, qui se base sur un sondage de 1 070 jeunes Australiens (de 12 à 15 ans), a établi qu’au mois de mars, 61 % de ceux qui avaient un accès à des réseaux sociaux avant l’interdiction possédaient toujours un ou plusieurs comptes actifs. 70 % d’entre eux affirment aussi qu’il est facile de contourner l’interdiction. Voilà qui pose de sérieuses questions concernant l’efficacité de ces mesures.
Le gouvernement australien a d’ailleurs lancé des enquêtes, toujours au mois de mars, sur les insuffisances des systèmes de vérification de l’âge chez Snap, TikTok, Meta (Facebook et Instagram), ainsi que YouTube. Les résultats seront connus dans quelques mois ; les entreprises risquent une sanction d’un maximum de 49,5 millions de dollars australiens, soit environ 28 millions d’euros.
Les fuites de données se suivent, elles finissent par se ressembler, mais malheureusement elles continuent de mettre en danger des millions d’utilisateurs. Le géant européen des salles de fitness Basic-Fit, qui possède 2 150 clubs dont 894 en France, a essuyé un « accès non autorisé » à son infrastructure informatique. En l’occurrence, le système qui enregistre les visites des membres dans ses clubs a été visé. Les clients français sont concernés, ainsi que ceux belges, allemands, espagnols, luxembourgeois et hollandais.
Les autorités compétentes en matière de protection des données (la CNIL en France) ont été prévenues par l’entreprise, qui exploite aussi le réseau Clever Fit. Le piratage, détecté par les systèmes de surveillance du groupe, a été interrompu « en quelques minutes après sa découverte ». Les hackers ont pu s’emparer d’une partie des données d’adhésion, des noms et adresses postales, des adresses email, numéros de téléphone, dates de naissance et coordonnées bancaires.
Basic-Fit indique ne pas conserver les documents d’identité. Si le vol de données n’a pas compromis les mots de passe des membres, ces informations en fuite n’en restent pas moins un coffre au trésor précieux pour les escrocs. Ils peuvent en effet s’en servir pour piéger leurs victimes via des tentatives d’hameçonnage, en se faisant passer pour Basic-Fit avec des infos crédibles.
Un million de membres sont touchés (dont 200 000 aux Pays-Bas, siège social du groupe), sur un total de 5,8 millions de clients. Basic-Fit ne précise pas le nombre en France, mais tous ont été informés selon le communiqué de l’entreprise. Pour le moment du moins, aucune exploitation malveillante de ces données ne serait à déplorer.
Denuvo, l’arme anti-piratage utilisée par de nombreux éditeurs de jeux, a du plomb dans l’aile. Attaqué sur plusieurs fronts, le DRM ne suffit plus à protéger les titres, parfois déplombés quelques heures après leur sortie. La menace est existentielle.
Grosse angoisse dans le petit monde des DRM pour les jeux vidéo. Les éditeurs protègent leurs blockbusters en les truffant de logiciels anti-piratage, dont le plus connu est probablement Denuvo. La technologie développée par Irdeto ajoute une couche de protection en chiffrant et en fragmentant le code du jeu ; elle vérifie aussi en continu l’intégrité du code pour empêcher toute modification (ou copie) non autorisée.
Denuvo en pleine panade
Le revers de la médaille, c’est que ce mécanisme de protection qui tourne en permanence aurait un impact sur les performances en jeu. En sollicitant le processeur pour des opérations qui n’ont rien à voir avec le jeu lui même, Denuvo pourrait entraîner une baisse du nombre d’images par seconde, des temps de chargement un peu plus longs, voire des saccades dans certaines situations.
Voilà un défi pour les as du contournement de ces protections ! Et ils sont manifestement en passe de réussir leur coup. Le pirate (ou le groupe de pirates) voices38 a posté en fin de semaine dernière un crack complet de Resident Evil: Requiem, le nouvel opus de la saga de Capcom sorti le 27 février. Le DRM Denuvo est totalement désactivé, rapporte Tom’s Hardware.
Mieux encore : les performances du jeu grimpent en flèche par rapport à une version craquée avec l’autre méthode de contournement basée sur l’hyperviseur (HV). Le youtubeur ChillyWillMD a réalisé une comparaison du jeu avec les deux méthodes.
Résultat : avec le crack de voices38, Requiem affiche environ 5 % d’images par seconde en plus, tout en réduisant sensiblement sa consommation de ressources : jusqu’à 2 Go de mémoire vidéo et près de 1 Go de RAM en moins. Un gain significatif, en particulier sur les petites configurations. Ce n’est qu’un test unitaire, il est donc difficile de tirer des conclusions générales, mais il confirme les critiques sur l’impact de Denuvo.
Ce crack pour le jeu de Capcom n’est pas de bon augure ni pour Irdeto, ni pour les éditeurs. Car au-delà de Requiem, tout laisse à penser que cette nouvelle méthode va rapidement gagner en popularité et permettre de craquer de nombreux autres titres.
L’autre manière de déplomber le DRM est de passer par un hyperviseur. Ce même volet de Resident Evil était ainsi disponible en version craquée quelques heures seulement après son lancement (et ça a été le cas d’autres jeux très en vue, comme Crimson Desert ou Life is Strange: Reunion). Auparavant, contourner Denuvo ou un autre verrou nécessitait un travail long et fastidieux d’ingénierie inverse qui pouvait durer plusieurs semaines, voire plusieurs mois. Les « hacks HV » (pour hyperviseur) sont infiniment plus rapides.
Les hacks utilisant l’hyperviseur passent « sous » Windows, à un niveau très bas (Ring-1) : ils interceptent les instructions envoyées au processeur, trompent Denuvo en lui envoyant de fausses informations, sans toucher aux fichiers du jeu. Le hic avec cette méthode, c’est que pour installer cet hyperviseur, il faut désactiver des dispositifs de sécurité bas niveau de Windows comme le VBS (Virtualization‑Based Security) et le HVCI (Hypervisor‑Enforced Code Integrity).
De quoi ouvrir la porte de son PC à des failles potentiellement critiques : des malwares difficiles à détecter peuvent de la sorte obtenir un accès complet à l’ordinateur. Autre écueil, le code de Denuvo est toujours présent, donc il ne faut pas espérer de gain de performances.
Qui l’emportera du chat ou de la souris ?
C’est un jeu du chat et de la souris : lorsque les pirates améliorent leurs méthodes de déplombage, Irdeto planche sur des contre-mesures. « Nous travaillons déjà sur des versions de sécurité mises à jour pour les jeux affectés par les contournements par hyperviseur », explique l’éditeur à TorrentFreak. « Pour les joueurs, les performances ne seront pas affectées par ces mesures de sécurité renforcées », affirme encore l’entreprise.
Le créateur de Denuvo n’entre pas dans les détails, en revanche il précise qu’il ne sera pas nécessaire que le verrou « descende en Ring-1 ni à un niveau plus profond du noyau […] ce n’est pas la direction que nous envisageons ». Irdeto n’est pas au bout de ses peines : le contournement HV devrait bientôt être plug’n play, c’est à dire qu’il ne sera plus nécessaire de bidouiller dans les entrailles de son PC… Pour les amateurs sans trop de connaissance technique, ça serait la solution la plus simple.
Denuvo fait donc face à deux fronts : le nouveau crack et la méthode HV. Deux approches complémentaires, l’une qui fait complètement sauter la protection, l’autre capable de fonctionner dès la sortie des jeux, et qui imposent donc une réponse rapide, puisque c’est sur leur période de lancement que les gros titres rapportent le plus. Reste à voir si et comment Denuvo saura combler les manques.
Connexion
