Suite à la vague de deepfakes visant à dénuder des femmes perpétrée par des utilisateurs du réseau social X, xAI fait face en Europe à plusieurs enquêtes en cours, notamment ouvertes par la Commission de protection des données irlandaise (la Data Protection Commission, DPC), la Commission européenne et la justice française.

Mais l’entreprise d’Elon Musk semble vouloir jouer au jeu du chat et de la souris. Elle a discrètement changé plusieurs fois son point de contact officiel européen pour les utilisateurs voulant signaler d’éventuels problèmes liés au Digital Services Act. Le média Follow the Money a repéré une première adresse à Tallinn. Celle-ci était censée être celle d’EDSR (European Digital Services Representatives).

EDSR est un cabinet d’avocats situé à Bruxelles détenu en partie par Olivier Willocx, membre du Parlement de la région de Bruxelles-Capitale depuis 2024. Cette structure s’est notamment spécialisée dans l’accompagnement d’entreprises non européennes comme Telegram.

Cette adresse en Estonie a été ajoutée aux conditions d’utilisation de xAI peu de temps après l’ouverture de l’enquête de la DPC. Ainsi, en mars, on pouvait la retrouver sur la page des conditions d’utilisation alors que la page n’indiquait pas de tel point de contact en janvier dernier.

Follow the Money a voulu en savoir plus sur cette adresse et a pu constater physiquement qu’aucun bureau de EDSR ou xAI n’y figurait. Seule une boite aux lettres était installée à l’accueil alors que l’entreprise propriétaire du bâtiment indique à nos confrères ne pas louer de boîtes postales à des entreprises qui n’avaient pas de bureau dans l’immeuble et ne pas avoir conclu de contrat de location avec xAI ou EDSR.

Après avoir été contactée par Follow the Money, et sans donner aucune explication ni réponse, xAI a de nouveau changé l’adresse de contact, la situant dans un autre immeuble de la capitale de l’Estonie.

• X et Elon Musk visés par une information judiciaire en France

Le début d'une série ?

Ce 7 mai, une nouvelle faille dans le noyau Linux permettant d’obtenir les droits superutilisateur a été divulguée. Mais l’embargo sur sa découverte a été cassé par des tiers. Même si un moyen de l’endiguer a été disponible rapidement, les responsables de distributions Linux courent depuis pour proposer à leurs utilisateurs un noyau incluant un patch.

Ce week-end du 8 mai a été bien actif pour les administrateurs systèmes : un peu plus d’une semaine après la révélation de la faille Copy fail dans le noyau Linux, une autre vulnérabilité a été rendue publique le 7 mai dernier. Elle est maintenant décrite sous le nom de Dirty Frag.

Comme pour Copy fail, en l’exploitant, la faille permet une escalade des privilèges, c’est-à-dire qu’un utilisateur lambda d’une machine peut très facilement accéder aux droits d’accès superutilisateur et faire ce que bon lui semble. Encore faut-il avoir un compte sur la machine.

Embargo cassé

Cette faille a été détectée par le chercheur indépendant Hyunwoo Kim. Mais celui-ci n’avait pas prévu de diffuser l’information si tôt. Comme il l’a expliqué vendredi sur la liste de discussion oss-security, d’autres personnes ont outrepassé l’embargo fixé sur la divulgation de cette faille qui concerne la plupart des distributions Linux.

Ainsi, vendredi, au moment où il a posté le message, aucun patch n’existait et aucun numéro de vulnérabilité ne lui avait été affecté. Le seul moyen qu’il proposait pour endiguer son exploitation était de bloquer les modules dans lesquels le problème se trouvait via la commande :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Depuis, la communauté s’est affairée à mettre tout en place pour bloquer la faille. Ainsi, Hyunwoo Kim a créé un dépôt GitHub officiel sur le sujet pour décrire et c’est en fait deux CVE qui ont été créées : CVE-2026-43284 puis CVE-2026-43500. Le score de vulnérabilité de la seconde n’est pas encore fixé mais celui de CVE-2026-43284 est de 8,8. Comme pour Copy Fail, le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine et le score aurait été sans doute plus élevé si ça n’avait pas été le cas.

Une modification possible depuis 2017

Les deux vulnérabilités se situaient aussi, comme avec Copy Fail, dans la possibilité de modifier le page cache (celui de xfrm-ESP depuis 2017 pour la CVE-2026-43284 et celui de RxRPC depuis 2023 pour la CVE-2026-43500). Corrigées respectivement depuis le 5 et 10 mai dans les deux projets, Hyunwoo Kim souligne qu’ « en d’autres termes, la durée de vie effective de ces vulnérabilités est d’environ 9 ans ».

La similarité avec Copy fail n’est pas étonnante puisque Hyunwoo Kim explique que c’est la première faille qui a inspiré sa recherche d’autres du même type

Le chercheur donne aussi un PoC. À Next, nous avons testé sur un serveur dédié virtuel chez OVHCloud sur lequel est installé Ubuntu 25.04. Nous avons pu reproduire le comportement, ainsi n’importe quelle personne qui a un compte sur la machine peut devenir root et y faire ce qu’elle veut.

Dans sa documentation, avant de pouvoir déployer le correctif de votre distribution, Hyunwoo Kim propose la même façon d’endiguer le problème que dans son message sur la liste oss-security.

Comme l’explique Ubuntu sur son blog, celle-ci peut poser des problèmes si on utilise le protocole de VPN IPSec comme le logiciel strongSwan. C’est aussi le cas si on se sert du système d’archivage distribué AFS (Andrew File System) « ou d’une autre application utilisant RxRPC ».

Course pour patcher

Petit à petit, les responsables des distributions Linux déploient un correctif. C’est le cas pour certaines versions de Debian, par exemple. Mais, à cause du non respect de l’embargo, le déploiement n’était pas prêt lorsque la faille a été rendue publique. Sur un dépôt GitHub titré « Copy Fail 2: Electric Boogaloo », d’autres personnes ont publié des informations sur la faille en marge du travail de Hyunwoo Kim tout en le créditant.

Celui-ci explique avoir contacté l’équipe de sécurité du noyau Linux le 30 avril avec un exploit montrant les possibilités d’utilisation de la faille et que le chercheur Kuan-Ting Chen a travaillé en parallèle sur le problème. Celui-ci a proposé un patch le 4 mai sur la liste netdev et il a été intégré à la branche netdev le 7 mai. Hyunwoo Kim a ensuite informé les responsables des distributions Linux sur la linux-distros et un embargo de cinq jours a été fixé. Mais celui-ci a donc été cassé par un tiers, ce qui a précipité la mise en place d’une solution. Comme avec Copy Fail, les administrateurs systèmes se sont donc retrouvés avec des informations partielles sur le problème au moment de la divulgation.

Le E c'est pour éducation ?

Le gouvernement envisage d’intégrer l’e-sport aux parcours éducatifs gérés par l’Éducation nationale pour soutenir le secteur « fragile sur le plan économique ».

Depuis son arrivée au pouvoir, Emmanuel Macron s’affiche en fervent défenseur de l’e-sport et surtout de sa filière économique.

Le gouvernement de Sébastien Lecornu pourrait de nouveau donner un coup de pouce au secteur, via une voie qui ne semble pas forcément aller de soi, surtout quand l’ambiance est à la réglementation de l’usage par les mineurs des réseaux sociaux, de l’IA et des jeux vidéo violents.

• Interdire les jeux vidéo violents ? La profession s’indigne de l’idée d’Emmanuel Macron
• Mineurs sur Internet : « Réglementez les plateformes, pas les enfants »

Alors que le gouvernement a lancé une mission confiée à des scientifiques pour « établir une analyse scientifique des effets (tant positifs que négatifs) et risques potentiels des jeux vidéo, particulièrement sur la santé mentale, cognitive et physique des jeunes utilisateurs, et en matière de sécurité des mineurs », il semble dans le même temps prêt à intégrer l’e-sport aux parcours éducatifs.

Une stratégie intégrant l’e-sport dans les parcours scolaires et éducatifs »

Nos confrères de Radio France ont eu accès à la stratégie « E-sport 2026 - 2030 », validée par Matignon à l’issue d’une concertation interministérielle, le 8 avril dernier et qui doit être présentée publiquement à l’occasion des championnats du monde de Rocket League organisés à Paris du 22 au 24 mai.

Selon les documents qu’ils ont pu consulter, et qui définissent cette stratégie visant à soutenir le secteur de l’e-sport en France, une part centrale est occupée par le volet scolaire, avec quatre actions pour développer le sous-axe titré « intégration de l’esport dans les parcours scolaires et éducatifs ».

Ainsi, le ministère de l’Éducation nationale devra piloter une action pour « créer des partenariats entre établissements et acteurs de l’esport pour développer des projets pédagogiques innovants ». Le document prévoit que le même ministère intègre l’esport dans les parcours éducatifs « notamment dans le cadre des activités hors du temps scolaires et des formations aux métiers du numériques », mais lance aussi un programme national « Esport & Éducation » pour « sensibiliser les jeunes aux opportunités professionnelles et aux enjeux éthiques liés à la pratique ». Enfin, il devra « développer des outils pédagogiques pour les enseignants et des supports de sensibilisation pour les familles ».

Soutenir un « secteur fragile sur le plan économique »

Cette stratégie assume de vouloir pousser la promotion et l’encadrement de la pratique pour le « développement économique » en France avec un marché mondial estimé à 12 milliards d’euros d’ici 2030 tout en expliquant que c’est un « secteur fragile sur le plan économique » pour lequel le gouvernement veut aider à « diversifier les sources de revenus ».

Mais selon Radio France, la stratégie a été arrêtée lors d’une réunion informelle en janvier alors que deux parties prenantes interministérielles étaient absentes, le ministère de la Santé et la Mildeca (Mission interministérielle de lutte contre les drogues et les conduites addictives), alors que celles-ci s’opposent justement à l’intégration de l’e-sport à l’école en pointant les risques des usages intensifs des jeux vidéo.

Le nerf de la guerre

Devant la commission d’enquête sur la souveraineté numérique de l’Assemblée nationale, plusieurs acteurs du libre (Mastodon, l’April, Framasoft, France Numérique libre…) ont poussé les parlementaires à prendre notamment exemple sur le modèle allemand de financement des projets de logiciels libres.

Dans le dossier de la souveraineté numérique, l’outil du logiciel libre titille le pouvoir. Est-ce que ça ne serait pas le moyen idéal pour se débarrasser des dépendances aux géants états-uniens ?

Invitées par la commission d’enquête sur la souveraineté numérique de l’Assemblée nationale, toutes les personnes militantes du logiciel libre (Renaud Chaput pour Mastodon, Loïc Dayot et Étienne Gonnu pour l’April, Pierre-Yves Gosset pour Framasoft et Nicolas Vivant pour la ville d’Échirolles et France Numérique libre), n’ont évidemment pas poussé les parlementaires dans le sens contraire.

Mais, pour que le logiciel libre puisse prendre toute sa place dans le sujet, selon elles, il faut faciliter et mieux organiser son financement par la puissance publique, en prenant exemple sur l’Allemagne notamment.

« Si vous considérez le logiciel libre comme un produit sur étagère qui coûte zéro, ça ne peut pas fonctionner »

En effet, comme à Next en mars dernier, le directeur de la stratégie numérique de la ville d’Échirolles, Nicolas Vivant, a témoigné devant les députés que c’était possible de passer aux logiciels libres. Il a par contre rappelé que les agents qui le mettaient en place ne le faisaient pas « pour le plaisir » mais parce que c’est « un moyen permettant d’obtenir un certain nombre d’objectifs dont la cybersécurité, la bonne gestion des données personnelles, la souveraineté, la résilience même de notre infrastructure… ».

• Municipales : « passer aux logiciels libres, c’est faisable, on l’a fait », mais…

Il ajoute qu’outre sa ville, d’autres acteurs publics sont passés au libre : « tous les gens qui l’ont fait viennent dire c’est possible. La gendarmerie, l’a fait, vous le savez, la Direction générale des Finances publiques (Dgfip) utilise LibreOffice depuis des années et des années. Et, tous ces gens-là sont la preuve concrète que c’est possible ».

Mais Pierre-Yves Gosset, coordinateur des services numériques de Framasoft, a appelé la puissance publique à davantage contribuer aux logiciels libres. « Si vous considérez le logiciel libre comme un produit sur étagère qui coûte zéro, ça ne peut pas fonctionner », argumente-t-il, « il va falloir réussir à passer, et c’est là une vraie difficulté, on va pas le nier, d’une stratégie de consommation de consommateur de logiciel à une stratégie de contributeur à ce logiciel ».

• Demailnagement, Framasoft : comment utilisateurs et assos s’émancipent des GAFAM

Si la contribution de la Dinum aux logiciels libres via la Suite Numérique a fait beaucoup de remous ces temps-ci, les quatre structures auditionnées poussent à ce que les différentes entités du service public continuent dans ce chemin, et même accélèrent.

• Lecornu en équilibre entre soutien aux solutions de la DINUM et recours à la French tech
• Je choisis la French Tech… mais la French Tech doit faire attention à ce qu’elle choisit !
  

En France, des discours, mais peu d’actes

Côté réseau social, Renaud Chaput, directeur technique de l’entreprise Mastodon, témoigne que le réseau social libre que soutient son entreprise « a vraiment un regain d’intérêt en Europe et ailleurs. La Commission européenne a son propre serveur Mastodon, travaille activement à l’agrandir. Les gouvernements allemands et néerlandais communiquent de plus en plus sur ce réseau, commencent à le soutenir financièrement également dans le but d’avoir leur communication publique sur une plateforme souveraine et qu’ils peuvent contrôler et qui n’est pas soumise à des intérêts américains ou chinois ».

• Renaud Chaput : « Si nos politiques étudiaient le sujet, ils viendraient sur Mastodon »
• Qu’attendent nos représentants politiques pour communiquer en dehors de X ?

Mais il ajoute qu’« en France, on voit un début, il y a beaucoup de discours, même au plus haut niveau, sur le fait de créer nos propres plateformes européennes, de ne pas dépendre pour la communication publique de société étrangères. Par contre, je dois l’avouer, on voit assez peu d’actes ».

« La commande publique doit être un levier extrêmement important », estime quant à lui Étienne Gonnu de l’April, « pour aider à consolider les écosystèmes » du logiciel libre. Il ajoute même qu’« à partir du moment où une administration dans son appel d’offre choisit » de se priver d’une des quatre libertés incluses dans les licences libres, l’April considère qu’« elle doit le justifier »

• Fin de Windows 10 : la solution viendra-t-elle du libre ?

Loïc Dayot explique que « tous les textes sont là pour pouvoir commander du logiciel libre si on le souhaite », mais il appelle à ce que les normes de la commande publique soient complétées pour qu’elle deviennent plus « contraignantes ». Il témoigne qu’il existe « actuellement des commandes publiques qui permettent de ne pas respecter le référentiel général d’accessibilité, d’interopérabilité, de sécurité, de sobriété ».

La Sovereign Tech Agency allemande en modèle

Mais Renaud Chaput explique que le problème est surtout que « très peu de structures de logiciel libre que je connaisse sont capables de répondre à un appel d’offre d’un organisme public ». Et il pose la question : « comment peut-on recevoir du financement public ? ». Les intervenants ont insisté sur le fait que si le logiciel propriétaire peut facilement se glisser dans le système de la commande publique, c’est plus difficile pour l’open source car les logiciels ne sont pas vendus mais ce sont les services autour qui le sont.

Et tout le problème est de faire en sorte que les structures publiques qui utilisent le logiciel libre y contribuent notamment pour sa maintenance. « Un logiciel ça vit, un logiciel ça évolue, surtout maintenant avec toutes les dernières technologies et l’intérêt croissant. Il y a des failles de sécurité, il y a des bugs, il y a des corrections à faire », rappelle Renaud Chaput.

Le directeur technique de Mastodon pousse à aller dans le même sens que les Allemands qui ont créé une organisation « qui a de l’argent public et qui fait des contrats » : la Sovereign Tech Agency. Cette agence du gouvernement fédéral allemand « a pour mission de financer l’open source sur des projets d’infrastructures », explique-t-il.

« Ce ne sont pas des dons, précise-t-il avec lesquels les acteurs du libre ont l’habitude de fonctionner, ce sont des contrats qui vont contacter des projets open source et vont leur dire : si vous nous proposez des fonctionnalités que vous voulez développer, dites-nous combien ça coûte et vous construisez un commun numérique qui va servir à nos services qui utilisent votre logiciel, ça va servir à toute la communauté ».

Il témoigne que Mastodon a récemment obtenu 700 000 euros de cette façon pour améliorer le logiciel du réseau social. Il ajoute que cette agence a différents programmes de financement qui permettent soit de pouvoir financer un salarié ou une formation.

Renaud Chaput se félicite de la création de l’EDIC Digital Commons et qu’un des deux programmes principaux soit l’expérimentation d’un même projet que la Sovereign Tech Agency à l’échelle européenne et pousse à ce que la France aille dans le même sens.

Pirate, moi ?

Après plusieurs plaintes d’auteurs, cinq multinationales de l’édition (notamment scolaire et scientifique) attaquent Meta devant la justice américaine pour l’utilisation d’œuvres qu’elles éditent pour entrainer la famille de modèles d’IA générative Llama.

Meta fait face à une action en justice pour violation du copyright qui pèsera sans doute un peu plus lourd que celles qui sont arrivées devant les tribunaux jusque là concernant l’utilisation pour ses modèles d’IA générative d’œuvres copyrightées.

Ici, ce ne sont pas quelques auteurs qui attaquent le groupe dirigé par Mark Zuckerberg (qui est aussi visé personnellement par la plainte), mais cinq multinationales de l’édition : Hachette, Macmillan, McGraw Hill, Elsevier et Cengage. Scott Turow, auteur de thrillers à succès mais également éditorialiste et avocat, est aussi associé à la plainte.

• IA : Meta aurait entraîné son modèle Llama sur la bibliothèque clandestine LibGen

Meta encore accusé d’être passé par du téléchargement illégal

La plainte [PDF], qui a été déposée ce mardi devant la cour du district sud de New York, accuse Meta et donc Mark Zuckerberg d’avoir d’abord « illégalement téléchargé via torrent [torrented, en anglais] des millions de livres et articles de revues scientifiques copyrightés provenant de sites pirates notoires et de scrapes web non autorisés de virtuellement tout l’internet », puis de les avoir copiés « à maintes reprises pour entraîner le système d’IA générative de Meta, baptisé Llama, dont la valorisation s’élève à plusieurs milliards de dollars ».

« Non contents d’utiliser les œuvres protégées par le copyright extraites de Common Crawl, les accusés ont cherché d’autres sources de textes copyrightés pour entraîner leurs modèles Llama », expliquent les avocats des éditeurs.

« Au départ, les accusés avaient envisagé d’obtenir des licences auprès de grands éditeurs pour utiliser des œuvres littéraires. Ils ont finalement opté pour une autre solution : télécharger illégalement les œuvres des demandeurs et du groupe de plaignants à partir de sites de piratage notoires, notamment LibGen, Anna’s Archive, Sci-Hub, Sci-Mag et d’autres », ajoutent-ils. Chargeant le CEO du groupe, ils affirment que « Zuckerberg lui-même a personnellement autorisé et activement encouragé cette violation ».

Mais les éditeurs n’accusent pas seulement Meta de téléchargement. Comme dans d’autres cas concernant l’utilisation d’œuvres par des IA génératives, ils affirment que les modèles de Meta restituent aussi ces œuvres dans leurs réponses.

« Llama génère des reproductions verbatim ou quasi verbatim des œuvres protégées par le copyright » des plaignants, affirme la plainte. « Par exemple, lorsqu’on lui soumet deux courtes phrases tirées du manuel à succès de Cengage, Calculus: Early Transcendentals, 9e édition, de James Stewart, Llama se met à reproduire mot pour mot la suite de la section », ajoutent les avocats.

« L’IA est à l’origine d’innovations transformatrices, d’une productivité accrue et d’une plus grande créativité pour les particuliers et les entreprises, et les tribunaux ont à juste titre estimé que l’entraînement d’un modèle d’IA sur des contenus protégés par le copyright pouvait relever du fair use », a affirmé le porte-parole de Meta Dave Arnold, au New York Times, « nous nous défendrons avec vigueur dans cette affaire ».

• IA : le Bureau US du copyright se positionne sur le fair use, Trump vire sa responsable

La question du fair use n’est pas encore tranchée

Si l’année dernière, les entreprises d’IA avaient gagné plusieurs manches judiciaires, contrairement à ce qu’affirme Meta, le débat sur le fair use pour entrainer les IA n’avait pas été tranché et le sujet reste encore ouvert. À l’époque, le juge Vince Chhaabria avait expliqué qu’il doutait de l’utilisation du fair use concernant les manuels scolaires en expliquant qu’il fallait aussi prendre en compte des « préoccupations concernant le préjudice qu’elle [l’IA générative] peut infliger au marché des œuvres sur lesquelles elle est entraînée ».

Cette réflexion peut sans doute s’étendre aux nombreuses œuvres qui se trouvent dans les catalogues des cinq éditeurs plaignants. Hachette, McGraw Hill et Cengage font partie des plus gros éditeurs de manuels scolaires dans le monde, par exemple. Et, si Elsevier est devenue une filiale d’un des plus grands courtiers de données du monde et fait maintenant d’importants bénéfices en devenant un data broker de l’activité scientifique, elle reste un des plus importants éditeurs scientifiques mondiaux.

• Elsevier récupère le plus de données possible sur les étudiants et chercheurs américains

La plainte demande la destruction de toutes les copies d’œuvres copyrightées utilisées par Meta pour l’entrainement de ses modèles après que l’entreprise en ait fait la liste exhaustive, qu’elle « cesse toute activité illégale » et « toute autre mesure que la Cour jugera appropriée ».

Interrogée par le New York Times, la responsable de l’Association of American Publishers qui a rendu publique cette plainte, Maria A. Pallante, affirme : « Nous nous concentrons sur la création d’un paysage de l’IA bien plus viable — un environnement transparent, équitable et participatif, doté de garde-fous pour protéger les auteurs et les éditeurs contre tout préjudice. Les préjudices sont déjà évidents ».

« Pour être tout à fait clair : Notepad++ n’a jamais sorti de version pour macOS », explique, sur son site, Don Ho, le mainteneur de Notepad++ qui a créé le projet en 2003.

Depuis le début, Notepad++ n’est officiellement distribué que sous forme d’une version pour Windows. Un fork existe pour Linux mais il est diffusé sous le nom de Notepadqq. L’information d’un fork pour Mac commençait à circuler depuis quelques jours, renvoyant vers l’url Notepad-plus-plus-mac.org.

Mais l’utilisation du même nom pour le désigner a fait réagir Don Ho. Si le code de l’éditeur de texte est libre (sous licence GPL), Don Ho affirme que le propriétaire du projet pour Mac utilise la marque Notepad++(le nom) sans autorisation.

Il s’en était déjà ému dans une discussion sur le GitHub du projet en publiant la réponse qu’il avait faite au créateur du nouveau projet pour Mac, Andrey Letov. « C’est une bonne chose que vous essayiez de porter Notepad++ sur macOS ; cela pourrait aider de nombreux utilisateurs de Mac. Cependant, non seulement moi, mais aussi beaucoup d’autres ( https://github.com/notepad-plus-plus/notepad-plus-plus/issues/17982#issuecomment - 4345058243) trouvons que votre site web et votre dépôt GitHub sont trompeurs, car ils utilisent tous deux la marque Notepad++(https://data.inpi.fr/marques/FR5133202 ) et le logo caméléon », lui expliquait-il en ajoutant que le problème n’était pas le portage en soi mais l’utilisation du nom officiel.

Depuis peu, le site Notepad-plus-plus-mac.org qui portait le projet renvoie vers un nouveau site web nommé NextPad.org, domaine créé ce lundi 4 mai. Et le projet a été entièrement renommé « Nextpad++ for Mac » sur le site.

• Notepad++ revient sur le piratage de son module de mise à jour, désormais sécurisé

Moins de juniors = moins de futurs seniors

Aux États-Unis comme en France, les institutions comme l’Insee ou la Fed constatent une stagnation, voire une baisse, de l’emploi dans les secteurs liés à l’informatique, ceci corrélé à l’arrivée en masse des outils d’IA générative.

Après un peu plus de trois ans d’IA générative, les premières analyses chiffrées du marché du travail dans l’informatique sont arrivées. Une corrélation commence à se dessiner franchement entre la morosité de l’emploi dans le secteur et l’arrivée des outils comme Claude Code, Codex et autres Cursor.

Une baisse de l’emploi chez les devs aux États-Unis

Ainsi, dans une note de conjoncture, l’Insee explique que « l’emploi salarié dans le secteur des activités spécialisées, scientifiques et techniques, qui représente 8 % de l’emploi salarié aux États-Unis, décélère depuis 2023 et baisse en 2025 :- 0,2 % en 2025, après + 0,3 % en 2024 et + 2,5 % en 2023. Dans le secteur plus spécifique des services de conception de systèmes informatiques et services connexes, qui représente 2 % de l’emploi salarié, l’emploi recule même depuis deux ans (- 1,6 % en 2025, après - 1,2 % en 2024) ».

L’organisme français de la statistique ajoute que, dans le même temps, « la valeur ajoutée rapportée à l’emploi privé suggère une amélioration récente de la productivité apparente, notamment en 2025, dans les secteurs des activités spécialisées, scientifiques et techniques et des services de conception de systèmes informatiques et services connexes », ceci toujours aux États-Unis.

Moins d’emplois de développeurs, mais pas forcément moins d’emplois pour les développeurs

Un rapport de la Réserve fédérale américaine (Fed) publié aussi en mars dernier va dans le même sens. La Fed n’a pas étudié le problème de la même façon. Elle a simulé ce qu’aurait pu être l’évolution du marché de l’emploi des développeurs aux États-Unis si l’IA générative n’avait pas émergé, en analysant le marché de l’emploi dans les industries qui ont traditionnellement une demande intensive en développeurs et dans les autres. « Si l’on considère la période d’environ trois ans écoulée depuis novembre 2022 et en prenant comme référence les 5,735 millions d’emplois de développeurs existants, cela signifie qu’environ 500 000 emplois de développeurs supplémentaires auraient été créés si l’on n’avait pas eu recours à grande échelle aux modèles de langage de grande capacité (LLM) », expliquent les chercheurs de l’institution [PDF].

Plus en détail, on voit que « l’écart ne se creuse de manière significative qu’au milieu de l’année 2024 » en regardant le premier graphique ci-dessous.

Les deux graphiques suivants permettent de s’apercevoir que c’est dans les industries où la demande en développeurs est traditionnellement intensive que celle-ci stagne au lieu d’augmenter :

Ils ajoutent cependant une remarque : « pour plusieurs raisons, nous n’interprétons pas ces résultats comme une preuve que l’IA a supprimé 500 000 emplois dans l’économie ». Effectivement, les développeurs peuvent avoir pris des postes qui ne sont pas étiquetés comme tels. Et ils expliquent que « l’IA pourrait modifier la composition des tâches des professions, ainsi un potentiel développeur d’aujourd’hui pourrait se diriger vers un poste de management ou une autre profession qui utilise désormais davantage ses compétences de développeur ».

Pour les chercheurs de la Fed, l’industrie de l’IA générative n’est pas « encore » un possible facteur de retournement de la situation de l’emploi chez les développeurs aux États-Unis. « Au total, les effectifs d’OpenAI, d’Anthropic et de Google DeepMind sont probablement inférieurs à 15 000 personnes, et bon nombre de ces employés ne sont pas des développeurs. Même en multipliant ce chiffre par six pour tenir compte des start-ups et des équipes d’IA chez Meta, Microsoft et ailleurs, on atteindrait toujours moins de 2 % des développeurs américains », explique leur rapport.

Des observations similaires sur le marché français

Du côté français, l’Insee estime qu’une « lecture analogue peut être menée » : « depuis 2023, l’emploi baisse dans ce secteur, tandis que la valeur ajoutée conserve une trajectoire sans inflexion marquée ».

En allant un peu plus dans le détail, il explique que ce sont plutôt les profils juniors qui seraient touchés. « Les ajustements liés à l’IA pourraient, à court terme, se concentrer moins sur l’emploi total que sur la structure des embauches, en particulier sur les positions d’entrée dans certains métiers (fonctions support, administratif, conseil, certaines tâches de développement et d’analyse), et pénaliser fortement les jeunes », explique l’organisme.

Ainsi, on peut voir qu’en France, au quatrième trimestre 2025, l’emploi des jeunes salariés (15 - 29 ans, hors alternants) est en baisse de 7,4 % sur un an dans les activités informatiques :

Quand on regarde les chiffres sur 2 ans, entre 2023 et 2025, l’emploi s’est contracté de 3 % dans les activités informatiques et services d’information, mais ce sont les juniors qui en payent le prix. Ainsi, alors que les 30 - 54 ans et les 55 ans et plus voient les offres d’emplois toujours augmenter sensiblement, « l’emploi salarié des 15 - 29 ans (hors alternants) recule en glissement annuel de 7,4 % dans les activités informatiques », explique l’Insee :

De son côté, le chercheur de l’université de Boston, James Bessen, s’appuie sur l’augmentation globale de l’emploi dans le secteur aux États-Unis pour souligner que la « job-pocalypse » dont la peur s’était répandue suite à un billet de blog viral de Matt Schumer n’a pas eu lieu. « Étonnamment, cependant, après trois ans d’utilisation de l’IA, les emplois dans le secteur du développement logiciel ont continué à progresser de manière soutenue, atteignant des niveaux d’emploi records : 2,5 millions en février ».

InterActive Corp (IAC) vient officiellement de fermer le site de son moteur de recherche Ask.com qui existait depuis 1997.

« Alors que IAC poursuit sa réorientation stratégique, nous avons pris la décision de mettre fin à nos activités dans le domaine de la recherche, dont fait partie Ask.com », affirme l’entreprise sur la page d’accueil du site.

Le site qui laissait les utilisateurs poser leurs questions dans un langage naturel s’est fait rattraper, depuis l’arrivée de ChatGPT, par les chatbots boostés à l’IA générative. Apparu sous le nom de Ask Jeeves, utilisant le prénom du majordome à qui l’internaute pouvait poser toutes sortes de questions, le moteur de recherche a été renommé ensuite Ask en 2006 après avoir été racheté par InterActive Corp.

« Nous sommes profondément reconnaissants envers les brillants ingénieurs, concepteurs et équipes qui ont développé et soutenu Ask au fil des décennies. Et à vous, les millions d’utilisateurs qui vous êtes tournés vers nous pour trouver des réponses dans un monde en constante évolution, merci pour votre curiosité sans limite, votre fidélité et votre confiance », affirme l’entreprise.

Les pages des réponses aux questions des utilisateurs (par exemple ici ou là) affichent maintenant une erreur 404.

Le groupe InterActive Corp, qui possède encore de nombreux sites à travers sa filiale People Inc ou encore le titre de presse The Daily Beast, avait arrêté le financement du site College Humour en 2020 et en 2021 avait lancé en bourse la plateforme de streaming Vimeo.

• Vimeo touchée à son tour par la vague d’attaques liée à Anodot

Tout ça pour ça ?

Dans une décision qui marque peut-être la fin d’un dossier de 17 ans, le Conseil d’État vient de planter des clous du cercueil de la « réponse graduée », dispositif mis en place par la fameuse Hadopi et opéré depuis 2021 par l’Arcom.

Le Conseil d’État vient de répondre à une question vieille de 17 ans : oui, dans sa version actuelle, la « réponse graduée » telle que mise en place à l’époque de la Hadopi et reprise par l’Arcom depuis 2021 est illégale. « Le Conseil d’État juge aujourd’hui que le dispositif de « réponse graduée » pour lutter contre le piratage en ligne d’œuvres protégées n’est pas conforme au droit européen », explique l’institution judiciaire dans un communiqué.

Il donne ainsi finalement (en partie) raison à la Quadrature du Net, FDN, Franciliens.net et la FFDN qui l’avaient saisi pour demander l’annulation du décret du 5 mars 2010 qui permettait à la Hadopi puis à l’Arcom de mettre le dispositif en place.

Celui-ci leur permettait de sanctionner la non-sécurisation d’une connexion. En 2009, lors de la fameuse bataille de la loi Hadopi, le gouvernement, mené par François Fillon à l’époque, a imposé à tout titulaire d’un accès à internet une obligation de veiller à ce que sa connexion ne soit pas utilisée à des fins de partage d’œuvres protégées. Cette obligation était accompagnée d’un mécanisme d’avertissements qui pouvait se solder théoriquement à la fin par une contravention de 1 500 euros.

Comme nous le précisons ci-dessus, le Conseil d’État ne donne pas totalement raison aux quatre associations qui auraient voulu que l’institution condamne ce dispositif « sur le principe ».

Elles avaient obtenu en 2020 de la part du Conseil constitutionnel la censure d’un bout de la loi Hadopi qui ne changeait pas grand-chose au processus. Une victoire à la Pyrrhus pour les requérants, expliquions-nous à l’époque.

Un dispositif non conforme au droit européen

Mais la procédure a continué et, en 2021, le Conseil d’État a décidé de saisir la Cour de justice de l’Union européenne, questionnant la conformité de la riposte graduée, non à la Constitution, mais au droit de l’Union.

• Riposte européenne contre la réponse graduée

Et c’est finalement sur l’avis de la CJUE que le Conseil d’État s’appuie maintenant pour considérer que le traitement de données à caractère personnel mis en place pour la troisième étape de la « réponse graduée » (la transmission au parquet) par le décret est problématique.

Selon le rapport du Conseil d’État, le dispositif pourrait permettre à l’autorité publique qui le gère (la Hadopi puis l’Arcom) d’être aussi « renseignée sur des aspects, y compris sensibles, de la vie privée des personnes en cause » en mettant en « relation [les] données d’identité, de manière itérative pour une même personne, avec des informations, même limitées, portant sur le contenu des œuvres illégalement mises à disposition sur Internet ». « Un tel accès doit être encadré par la réglementation nationale », estime l’institution.

Notamment, le Conseil d’État explique que « la Cour de justice de l’Union européenne dit pour droit que, lorsque cette autorité publique a déjà mis en relation à deux reprises les données d’identité d’une même personne avec des informations relatives au contenu d’œuvres illégalement mises à disposition sur Internet, elle ne peut procéder pour une troisième fois à cette mise en relation sans y avoir été autorisée par une juridiction ou une entité administrative indépendante ». Ce qui n’est pas prévu par le décret.

L’institution remarque aussi que le décret n’impose pas de « règles claires et précises qui garantissent une séparation effectivement étanche des données conservées par les fournisseurs de services de communications électroniques ».

Ainsi, « le décret du 5 mars 2010 fixant les règles de traitement des données ne respecte pas le droit de l’Union européenne », résume le Conseil d’État dans son communiqué. Et l’institution ordonne au gouvernement de revoir le décret pour le mettre en conformité avec ces exigences.

La mort du dispositif ?

Est-ce pour autant la mort complète du dispositif ? Pour la Quadrature du Net, « il revient désormais au gouvernement d’acter la mort de la Hadopi et, au lieu de tenter de la ressusciter, d’admettre enfin que le partage non-marchand de la culture en ligne ne doit pas être criminalisé ».

Mais l’Arcom pourrait remettre le couvert pour faire revivre le dispositif. « La Cour de justice de l’Union a validé le principe du dispositif de la réponse graduée, ce qui est objectivement une bonne nouvelle », affirme-t-elle à l’Informé, en ajoutant qu’« il y a désormais un débat de modalités, qui peut être complexe ». La nuance est importante : le principe est validé, pas sa mise en place. Elle doit concerter les sociétés d’ayants droit le 6 mai puis les fournisseurs d’accès.

Selon nos confrères, l’autorité envisagerait de mettre une première rustine, le temps que le gouvernement concocte un nouveau texte en réclamant aux FAI une déclaration sur l’honneur que les données qu’ils traitent sont bien étanches les unes par rapport aux autres. À voir si le Conseil d’État acceptera cette solution transitoire. Celui-ci explique dans son communiqué que, « dans l’attente d’un éventuel nouveau décret, le Conseil d’État précise que, dans le cas d’infractions pénales ne présentant pas une particulière gravité, l’Arcom ne peut demander aux opérateurs l’identification d’un abonné à partir de son adresse IP, que s’il est établi que ces données personnelles ont été conservées dans les conditions fixées par la CJUE ».

Ensuite, le texte pourrait être modifié par le législateur ou le ministre de la Culture pour que l’Arcom ne puisse plus avoir accès aux informations sur les œuvres téléchargées et ainsi plus déduire d’informations sensibles sur la personne mise en cause. L’autorité pourrait aussi décider de maintenir seulement les deux premières étapes de la « réponse graduée », considérée comme la « phase pédagogique ».

Interrogé par Next, l’avocat spécialisé dans le numérique Alexandre Archambault imagine aussi que l’identification des pirates puisse basculer au civil avec la qualification de « délinquance grave » comme pour le blocage des sites web de streaming contre les FAI, les moteurs de recherche et désormais les VPN.

• Formule 1, MotoGP : Canal+ fait feu de tout bois pour faire bloquer le streaming pirate

Une optimisation trop rapide

Depuis 2017, une vulnérabilité dans le module cryptographique authencesn du noyau Linux laissait à un compte d’un simple utilisateur la possibilité de passer en root. Elle concerne la plupart des grandes distributions jusqu’au déploiement du patch, qui est déjà en cours.

C’est l’entreprise de sécurité Xint.io qui a révélé, ce mercredi 29 avril, cette vulnérabilité (CVE-2026-31431, d’une sévérité élevée de 7,8/10) permettant une élévation des privilèges en local.

Le score n’est « que » de 7,8 car le vecteur d’attaque est local (AV:L) : il faut déjà avoir un accès local sur la machine, ici un compte utilisateur. La même avec une attaque depuis le réseau (AV:N) se serait approchée de 10.

N’importe qui peut devenir root

Appelée « Copy Fail », celle-ci permet (sans accès au réseau, sans utiliser de fonctionnalités de débogage du noyau et sans avoir installé quoi que ce soit avant) à toute personne possédant un simple compte utilisateur sur quasiment n’importe quelle distribution Linux d’obtenir les privilèges root et donc d’y faire tout ce qu’elle veut.

Comme l’explique l’entreprise sur le site dédié à la faille, « un utilisateur local sans privilèges peut écrire quatre octets contrôlés dans le page cache de n’importe quel fichier accessible en lecture sur un système Linux, et s’en servir pour obtenir les privilèges root ».

Les responsables des distributions ont commencé à mettre à jour le paquet de leur noyau Linux pour bloquer l’utilisation d’une faille de sécurité qui se situait directement dans le noyau. Le danger concerne les systèmes partagés entre plusieurs utilisateurs, les clusters de conteneurs (Kubernetes, Docker…), etc. Un utilisateur lambda pourrait ainsi accéder aux données des autres utilisateurs.

Une faille dans le module cryptographique authencesn du noyau

Xint.io explique que cette faille a été découverte par le chercheur de l’entreprise Theori, Taeyang Lee, en étant assisté par l’IA de son outil Xint Code alors qu’il étudiait la manière dont le sous-système de cryptographie de Linux interagit avec les données stockées dans le page cache. C’est un système de cache qui permet au noyau d’avoir un accès plus rapide à certaines informations.

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

De fait, c’est un bug dans le module cryptographique authencesn du noyau Linux qui est en cause, accessible via l’interface de socket AF_ALG, en combinaison avec l’appel système splice(). « Un utilisateur peut ouvrir un socket, le lier à n’importe quel modèle AEAD (chiffrement authentifié avec données associées) et lancer le chiffrement ou le déchiffrement de données arbitraires. Aucun privilège n’est requis », explique Xint. De son côté, la fonction splice() transfère des données entre les descripteurs de fichiers et les pipes sans les copier, en renvoyant simplement les page caches par référence.

En utilisant un script Python très court (732 octets) qui ne fait appel qu’à des bibliothèques standard et ciblant le page cache du noyau, il est possible d’accéder au binaire qui permet d’être superutilisateur : /usr/bin/su. La modification se fait en mémoire, pas directement sur le périphérique de stockage.

Une ligne de commande suffit…

Nous l’avons testé sur un de nos VPS avec Ubuntu 24.04 LTS, nous sommes bien passés en root avec une seule ligne de commande en utilisant le script Python :

Les chercheurs ont constaté la faille sur les distributions Ubuntu 24.04 LTS, Amazon Linux 2023, RHEL 10.1 ou encore SUSE 16 et expliquent logiquement que « les autres distributions utilisant les noyaux concernés — Debian, Arch, Fedora, Rocky, Alma, Oracle, ainsi que les distributions embarquées — présentent le même comportement ».

Un patch pour le noyau a déjà été proposé et accepté. Celui-ci supprime une optimisation des opérations AEAD qui avait été ajoutée en 2017. « Mettez à jour le paquet du noyau de votre distribution avec une version incluant le commit a664bf3d603d de la branche principale », expliquent les chercheurs, « la plupart des principales distributions proposent désormais ce correctif », comme Debian (Forky et Sid), Ubuntu, par exemple mais la mise en place est encore en cours chez Red Hat et Suse.

Plus de sites genAI, mais pas plus de conneries proportionnellement

Selon un rapport d’Internet Archive, le contenu de 35 % des sites internet nouvellement créés en mai 2025 était soit complètement généré par intelligence artificielle, soit son édition était grandement assistée par une IA. Cela contribuerait à une baisse de la diversité sémantique et à une augmentation de sentiments très positifs, mais pas forcément à une augmentation de fausses informations.

Le web serait-il devenu un lieu où des machines parlent à des machines ? C’est l’idée qu’ont défendue certains chercheurs dès le début de l’année dernière en relançant la « théorie de l’Internet mort », formulée en 2021.

Le responsable de la Wayback Machine chez Internet Archive, Mark Graham, signe avec un chercheur maison et deux doctorants un rapport (.pdf) qui essaye de quantifier le flux de contenus générés par IA et ses conséquences avec les données récoltées par son outil. « Nous constatons qu’à la mi-2025, environ 35 % des sites web nouvellement publiés étaient classés comme générés par IA ou créés avec l’aide de l’IA, contre zéro avant le lancement de ChatGPT fin 2022 », expliquent-ils.

Pour arriver à cette estimation, l’équipe a extrait le texte des sites nouvellement créés détectés et archivés au sein de la Wayback Machine. Puis, après avoir testé différents outils de détection (Binoculars, Desklib, DivEye et l’API commerciale de Pangram v3), ils ont choisi de s’appuyer sur cette dernière, expliquant que c’était la meilleure solution, notamment pour son taux de détection des textes anglophones comme ceux dans d’autres langues et sa capacité à traiter du HTML.

35 % des nouveaux sites sont remplis de contenus générés par IA

Leurs résultats restent donc très fortement liés à cet outil de détection qui annonce sur son site web une précision de détection de 99,98 % et a mis en ligne un rapport technique sur sa méthode sans que celle-ci ne soit évaluée par des chercheurs indépendants.

Mais selon ces tests sur les archives du web récoltées par Internet Archive, le contenu des nouveaux sites internet est de plus en plus généré par IA ou son édition est grandement assistée par une IA : 35 % l’étaient en mai 2025 :

Ils ont aussi voulu vérifier plusieurs hypothèses craintes suite à la prolifération de ce genre de contenus sur internet qui pourrait « contribuer à une dégradation de la diversité sémantique et stylistique, de l’exactitude des faits, ainsi qu’à d’autres évolutions négatives ».

En faisant un petit sondage, ils se sont aperçus que 75 % des gens avaient peur, par exemple, d’être « de plus en plus souvent confrontés à des informations factuellement erronées et à des hallucinations », et que 83 % d’entre eux pensaient que le style des textes allait s’homogénéiser.

Ils ont ensuite vérifié ces hypothèses sur les données d’Internet Archive. Ils ont, par exemple, payé des fact-checkers pour voir si les informations incorrectes dans les données d’Internet Archive augmentaient. Mais ils n’ont pas trouvé de corrélation statistiquement significative. Pour le dire autrement, cette augmentation du nombre de nouveaux sites avec des contenus genAI ne fait pas augmenter le nombre de fausses informations.

Une similarité sémantique et une augmentation de contenus positifs détectées

En faisant d’autres tests, ils se sont aussi aperçus que l’augmentation des contenus générés par IA dans les données d’Internet Archive n’augmentait pas non plus mécaniquement l’homogénéité stylistique.

« Plutôt qu’une explosion de fausses informations, l’empreinte de la prolifération de l’IA sur Internet se manifeste principalement par une contraction sémantique et un glissement artificiel vers la positivité  », expliquent-ils.

En effet, la similarité sémantique qu’ils ont mesurée avec Pangram v3 augmente de façon corrélée à la prolifération de contenus générés par IA :

Et on retrouve la même corrélation avec le style plus positif des contenus mesuré ici aussi avec Pangram v3 :

« Le résultat le plus surprenant a été que notre hypothèse de la « dégradation de la vérité » n’a pas été confirmée », estime Jonas Doležal, l’un des doctorants de l’Imperial College London qui a participé à l’étude, interrogé par nos confrères de 404 Media.

« Il convient de noter que nous recherchions spécifiquement une augmentation des déclarations vérifiables comme étant fausses, ce que nous n’avons pas trouvé. Mais il se pourrait tout de même que l’IA augmente discrètement le volume des affirmations invérifiables, celles qui ne peuvent être vérifiées à l’aide des outils et des infrastructures de vérification des faits existants. Ou peut-être simplement qu’Internet n’était pas, dès le départ, un espace particulièrement attaché à la vérité », ajoute-t-il quand même.

Après avoir mis la pression sur Anthropic pour pouvoir utiliser comme il veut ses modèles jusqu’à l’avoir désignée « fournisseur à risque pour la sécurité nationale », le Pentagone s’est tourné vers les concurrents de la startup. D’abord OpenAI en mars, le Pentagone est maintenant en discussion avec Google.

Cameron Stanley, le responsable numérique du Pentagone a confirmé être en discussion avec l’entreprise pour l’utilisation de Gemini au sein du département de la Défense états-unien. « Il n’est jamais bon de trop dépendre d’un seul fournisseur », a-t-il expliqué à CNBC, « on le constate particulièrement dans le domaine des logiciels ».

La justice a récemment refusé l’appel effectué par Anthropic concernant cette qualification qui l’empêche de travailler avec le département de la défense.

Cameron Stanley a affirmé à CNBC qu’utiliser Gemini permettait au Pentagone d’économiser « littéralement des milliers d’heures de travail chaque semaine ». Selon Google, l’entreprise fait partie d’un « vaste consortium » fournissant des services et des infrastructures « au service de la sécurité nationale ».

Chez OpenAI, l’accord avait provoqué des remous en interne jusqu’à la démission de la responsable de la branche robotique d’OpenAI, Caitlin Kalinowski. Selon le Washington Post, l’accord avec le Pentagone fait aussi réagir au sein de Google. Plus de 600 employés, dont une bonne partie sont au DeepMind AI lab qui développe Gemini, ont signé une lettre adressée à Sundar Pichai, le CEO de l’entreprise.

« Nous voulons que l’IA profite à l’humanité ; nous ne voulons pas qu’elle soit utilisée à des fins inhumaines ou extrêmement néfastes. Cela inclut les armes autonomes létales et la surveillance de masse, mais va bien au-delà », écrivent-ils. « La seule façon de garantir que Google ne soit pas associé à de tels préjudices est de refuser tout contrat classifié. Sinon, de telles utilisations pourraient avoir lieu à notre insu et sans que nous ayons les moyens de les empêcher ».

« Des vies humaines sont déjà perdues et les libertés civiles sont menacées, tant dans notre pays qu’à l’étranger, en raison d’une utilisation abusive de la technologie que nous contribuons pour l’essentiel à mettre au point », ajoutent-ils.

L’année dernière, la Commission européenne avait ouvert deux enquêtes sur la protection des mineurs sur Facebook et Instagram. Concernant l’accès à ses réseaux par les moins de 13 ans, elle vient de conclure « à titre préliminaire » que ces plateformes « enfreignaient la législation sur les services numériques (DSA) pour ne pas avoir identifié, évalué et atténué avec diligence les risques liés à l’accès des mineurs de moins de 13 ans à leurs services ».

La Commission européenne considère notamment que les mesures mises en place par Meta pour faire respecter ses propres conditions générales fixant l’âge minimum à 13 ans ne sont pas efficaces. « Par exemple, lors de la création d’un compte, les mineurs de moins de 13 ans peuvent saisir une fausse date de naissance qui leur permet de faire plus que leur âge, sans aucun contrôle efficace en place pour vérifier l’exactitude de la date de naissance autodéclarée », explique la Commission.

Elle explique aussi que l’outil fourni par Meta pour signaler les mineurs de moins de 13 ans sur la plate-forme est « difficile à utiliser et peu efficace, nécessitant jusqu’à sept clics pour accéder au formulaire de signalement, qui n’est pas automatiquement prérempli avec les informations de l’utilisateur ». Elle ajoute que même lorsqu’il y a un signalement, Meta ne met pas en place de suivi approprié « et le mineur signalé peut simplement continuer à utiliser le service sans aucun type de contrôle ».

Elle estime que l’évaluation effectuée par Meta des risques que des mineurs de moins de 13 ans accèdent à ses plateformes est « incomplète et arbitraire ». Selon la Commission, cette évaluation contredit « de nombreux éléments de preuve provenant de toute l’Union européenne indiquant qu’environ 10 à 12 % des enfants de moins de 13 ans accèdent à Instagram et/ou Facebook » et ignore les preuves scientifiques « facilement disponibles » qui montrent que les jeunes enfants sont plus vulnérables aux problèmes que causent des plateformes comme Instagram et Facebook.

« À ce stade », l’institution européenne considère que les deux plateformes de Meta doivent modifier cette méthode d’évaluation des risques et les évaluer concrètement, mais aussi renforcer les mesures de prévention, de détection et de retrait des mineurs de moins de 13 ans de leur service.

La Commission attend maintenant les réponses de Meta à ces conclusions pour clore définitivement son enquête. Elle ajoute que si ces conclusions sont confirmées, elle pourra infliger une amende de 6 % du chiffre d’affaires annuel mondial de Meta.

À Reuters, Meta a affirmé avoir mis en place des mesures pour détecter et supprimer les comptes d’enfants de moins de 13 ans et qu’elle en dévoilera d’autres la semaine prochaine. « La vérification de l’âge est un défi à l’échelle du secteur, qui nécessite une solution à l’échelle du secteur, et nous continuerons à collaborer de manière constructive avec la Commission européenne sur cette question importante », précise un porte-parole de l’entreprise à l’agence de presse.

La National Science Foundation (NSF), une des principales agences étasuniennes de financement de la recherche, vient de perdre l’intégralité de son conseil d’administration (CA).

« Au nom du président Donald J. Trump, je vous écris pour vous informer que votre mandat en tant que membre du Conseil national des sciences prend fin avec effet immédiat. Merci pour votre engagement », ont reçu par email ce vendredi 24 avril les 24 membres du CA, explique la revue Science.

Tous sont des chercheurs ou ingénieurs venant du milieu universitaire ou de l’industrie nommés par le président. Mais ils sont normalement en place pour six ans avec une rotation assurée par le renouvellement de huit membres tous les deux ans.

Le directeur de la National Science Foundation et 25^e membre du CA, Sethuraman Panchanathan, pourtant nommé par Donald Trump à la fin de son premier mandat, avait démissionné en avril 2025 en affirmant : « j’ai fait tout ce que j’ai pu ». Depuis, la NSF, comme les autres fonds de financements américains de la recherche, s’est vue imposer l’idéologie de Donald Trump à la place du peer-review pour décider des financements des projets de recherche.

« Peut-être qu’une façon de le dire du point de vue de l’administration, c’est que ce groupe de personnes nommées par le président conseillait au Congrès de ne pas se plier aux souhaits du président », explique à Science l’astrophysicien Keivan Stassun de l’université Vanderbilt (Nashville) qui en faisait partie.

Selon le Washington Post, ce même vendredi, l’administration Trump a présenté un projet de budget partiel pour l’exercice 2026 qui réduirait le budget de la NSF de plus de 50 %, le faisant passer de 8,8 milliards de dollars à 3,9 milliards de dollars, en affirmant que la NSF « a financé des recherches dont l’intérêt public est discutable, telles que les impacts hypothétiques de scénarios climatiques extrêmes et des études sociales de niche ».

Are We the Baddies?

Alors que le cofondateur et actuel CEO de Palantir, Alex Karp, a réaffirmé sa volonté de mettre son entreprise au service d’une vision fascisante du pouvoir, certains employés, passés ou présents, commencent tout juste à se poser des questions. Pendant ce temps-là, l’entreprise a déployé un lobbying important dans les sphères du pouvoir d’autres pays que les États-Unis.

Il y a une dizaine de jours, Palantir reprenait officiellement en 22 points la vision politique de son CEO, Alex Karp, assumant vouloir faire du numérique un instrument de puissance coercitive pour l’Amérique et plus largement pour l’Occident.

Comme nous le rappelions, Alex Karp et son acolyte Peter Thiel, cofondateur de l’entreprise, n’avaient pas caché leur intention, dès la création de Palantir, de mettre l’analyse de données au service de la surveillance de masse et de projets militaires dans le contexte de l’après 11 septembre 2001. Alors que Peter Thiel évoquait l’année dernière l’Antéchrist pour parler de ceux qui veulent réguler la tech, sans faire de liste exhaustive, Alex Karp n’était pas en reste : il qualifiait en 2024 les progressistes d’adeptes d’« une religion païenne superficielle », ajoutait la même année que « les militants pour la paix sont des militants pour la guerre », avant de déclarer, en mars 2025, qu’il adorait « l’idée de [se] procurer un drone et de faire asperger d’urine légèrement mélangée à du fentanyl les analystes qui ont essayé de nous rouler ». Un an plus tard, en mars dernier, Alex Karp lâchait sa vision sur la façon dont les États-Unis devaient mener leur guerre en Iran, en ne laissant surtout pas les femmes démocrates enrayer la course à l’IA.

Des anciens et actuels salariés s’inquiètent d’une dérive

Mais la reprise des 22 points par le compte X de l’entreprise elle-même semble avoir réveillé les doutes chez certains employés et plusieurs de leurs anciens collègues.

« Le discours général de Palantir, tel qu’il se le racontait à lui-même et à ses employés, était qu’au lendemain du 11 septembre, nous savions qu’il y aurait une forte pression en faveur de la sécurité, et nous craignions que cette sécurité ne porte atteinte aux libertés civiles. Aujourd’hui, la menace vient de l’intérieur. Je pense qu’il y a une sorte de crise d’identité et un véritable défi à relever », explique à Wired un ancien employé de Palantir anonyme. « Nous étions censés être ceux qui empêchaient bon nombre de ces abus. Aujourd’hui, nous ne les empêchons pas. Il semble que nous les facilitons ».

Le média tech américain raconte aussi les conversations d’anciens salariés autour des missions assurées par l’entreprise pour assurer la politique de Donald Trump notamment sur l’immigration, en lui proposant son outil d’assistance à l’expulsion Immigration OS. « Est-ce que tu suis la dérive de Palantir vers le fascisme ? » est devenu la façon de se dire bonjour au téléphone entre anciens salariés, raconte l’un d’entre eux. Et, selon lui, « ça n’exprime pas un sentiment du genre “Oh, c’est impopulaire et difficile”, mais plutôt “y a un problème” ».

Dans le Slack interne, des employés de l’entreprise ont posé des questions après la mort de l’infirmier en réanimation Alex Pretti, abattu par un agent de la Border Patrol. Ils ont même obtenu des sessions de « ask me anything » (AMA) organisés par la direction pour répondre à leurs questions sur le sujet de la collaboration avec l’ICE. Pendant l’une d’elles, un responsable a franchement expliqué : «  Karp tient vraiment à ce projet et ne cesse de le réaffirmer […]. Notre rôle consiste principalement à lui faire des suggestions et à essayer de le réorienter, mais cela s’est avéré largement infructueux et il semble que nous soyons engagés sur une voie très claire qui consiste à continuer à développer ce workflow ».

Et, selon Wired, des salariés ont posé des questions sur l’implication de Palantir dans la guerre en Iran dans le channel Slack « actualités » de l’entreprise, se voyant parfois critiqués par d’autres pour avoir discuté d’informations classifiées sur ce canal ouvert à tous les salariés.

• Palantir profite à fond de l’élection de Donald Trump

Officiellement, tout va toujours bien en interne : « Nous recrutons les meilleurs talents pour contribuer à la défense des États-Unis et de leurs alliés, ainsi que pour développer et déployer nos logiciels afin d’aider les gouvernements et les entreprises du monde entier. Palantir n’est pas un bloc monolithique de convictions, et nous ne devons pas l’être », affirme à Wired un porte-parole officiel. « Nous sommes tous fiers de notre culture caractérisée par un dialogue interne animé, voire par des désaccords, sur les domaines complexes dans lesquels nous travaillons. Cela a été le cas depuis notre création et cela reste vrai aujourd’hui. ». Et l’entreprise est « fière » de soutenir l’armée américaine « sous les administrations démocrates comme républicaines ».

Des lobbyistes à la pelle en dehors des frontières US

Si ça tangue un peu en interne, l’entreprise semble avoir de bons moyens de lobbying pour rester influente à l’étranger et remporter des contrats en dehors des frontières américaines. Ainsi, au Royaume-Uni où l’implication de Palantir dans le système de santé de la NHS et celui de la défense est pointée du doigt, le média The Nerve vient de recenser 30 hauts responsables britanniques recrutés par l’entreprise pour son lobbying, dont Tom Watson, ancien vice-président du Parti travailliste, et John Woodcock, ancien conseiller spécial de Gordon Brown.

Rappelons qu’en France, la DGSI a renouvelé en fin d’année dernière son contrat avec Palantir et que l’ancienne porte-parole du PS, Julie Martinez, était déléguée mondiale à la protection des données de l’entreprise jusqu’à récemment. Ayant quitté ces deux postes pour préparer l’élection à la mairie de Clichy, elle a échoué au second tour face à Rémi Muzeau (LR).

• La déléguée mondiale à la Protection des Données de Palantir est aussi porte-parole du PS

Réagissant aux 22 points de Palantir, l’ancienne ministre et actuelle ambassadrice pour le numérique et l’IA pour le gouvernement, Clara Chappaz ne semble pas inquiète de l’influence politique de Palantir et de son CEO sur les contrats français et européens. « Oui, certains patrons américains ne cachent plus qu’ils ont un certain nombre d’idées, qu’ils essayent d’influencer, qu’ils les montrent au grand jour, parce qu’il y a des enjeux commerciaux. Ces idées les aident d’un point de vue purement business à vendre plus, à être plus décomplexés dans la façon dont on va utiliser les solutions, parce qu’il y a des enjeux idéologiques certainement pour certains », affirmait-elle à C ce soir, le 23 avril dernier. « Mais, attention, ce n’est pas parce qu’on utilise ces solutions que c’est le far west. En Europe, y a l’état de droit, y a des règles et toutes les entreprises, quelles qu’elles soient, respectent ces règles. Et si le dirigeant de Palantir a des idées politiques, qu’il se présente aux élections, parce que c’est comme ça qu’on peut influencer les règles, le cadre. Ce n’est pas simplement en faisant des tweets ».

A voté !

La pratique du vote par correspondance électronique se développe de plus en plus. Ce constat posé, la CNIL a émis une nouvelle recommandation pour proposer un cadre plus clair sur les objectifs de sécurité. Celle-ci est applicable pour tout nouveau scrutin dont la préparation n’a pas déjà commencé. Elle s’accompagne d’un guide plus technique de l’ANSSI pour atteindre ces objectifs.

La CNIL vient d’actualiser sa recommandation sur la sécurité des systèmes de vote par correspondance électronique qui datait de 2019. Celle-ci s’accompagne d’un guide de l’ANSSI pour aider à entrer un peu plus dans le technique si on veut mettre en place un tel système.

En France, le vote par correspondance électronique n’est utilisé pour des élections politiques que pour celui des Français résidant à l’étranger à l’occasion des élections législatives et de celles des conseillers et délégués des Français de l’étranger.

Celles-ci sont particulières et « nécessitent des mesures de sécurité complémentaires » que la CNIL et l’ANSSI n’abordent pas dans leurs recommandations. Mais on ne vote pas que lors des scrutins politiques nationaux.

Tous les Français qui sont engagés dans des organisations doivent parfois se plier à cette formalité. Assemblées générales d’associations, d’actionnaires ou de copropriétaires, élections organisées par des ordres professionnels, fédérations sportives ou universités, il y a de multiples occasions de voter.

Rappelons qu’avant les élections officielles pour la présidentielle de 2027, certains veulent aussi organiser des primaires. La CNIL et l’ANSSI rangent ces scrutins dans le même sac que les élections « non politiques ». De plus en plus, les organisations pensent pouvoir s’appuyer sur le vote par correspondance électronique, qui a le mérite de toucher plus de monde que celles et ceux qui viennent aux réunions.

Pour tous ces scrutins « non politiques », ces deux organismes ont décidé de mettre à jour leurs recommandations. Du côté de la CNIL, l’autorité fixe dans sa recommandation [PDF] les objectifs de sécurité minimaux « en fonction des risques que présentent l’organisation et le déroulement du vote ». Alors que l’ANSSI, elle, propose un guide pour mettre en place techniquement le système afin de répondre à ces objectifs.

Comme elle l’avait indiqué en fin d’année dernière, la CNIL confirme dans son nouveau communiqué que les scrutins déjà en préparation et prévus en 2026, comme ceux des élections des représentants du personnel de la fonction publique, « pourront continuer à appliquer la version de 2019 de la recommandation ». Elle ajoute cependant qu’« en revanche, la nouvelle recommandation s’applique à tout nouveau scrutin ».

Des « principes fondamentaux » à respecter

Dans sa recommandation, la CNIL rappelle « des principes fondamentaux qui commandent les opérations électorales concernées ». En 2019, son texte listait « le secret du scrutin sauf pour les scrutins publics, le caractère personnel et libre du vote, la sincérité des opérations électorales, la surveillance effective du vote et le contrôle a posteriori par le juge de l’élection ».

La nouvelle recommandation ajoute « l’intégrité des suffrages exprimés » et « l’accès au vote pour tous les électeurs ». Elle donne aussi des définitions à ces principes, ce qui permet d’éclaircir son point de vue quant à leur mise en place réelle.

Des objectifs à atteindre en fonction de trois niveaux de risques

Comme en 2019, l’autorité s’appuie sur un système en trois niveaux de risque du scrutin pour évaluer quels sont les objectifs de sécurité qui doivent être atteints. Mais elle les a remaniés pour « mieux prendre en compte la diversité des scrutins concernés, leur contexte d’organisation et les enjeux qui leur sont propre ».

Ainsi le niveau 1 (risques faibles) concerne des élections où les sources de menaces ont « peu de ressources et peu de motivations », et où « l’administrateur (ou les administrateurs) du système d’information n’est ni votant, ni candidat ». La CNIL cite en exemple des « élections de représentants de parents d’élèves dans les établissements scolaires ou de scrutins organisés au sein d’associations locales ».

Le niveau 2 concerne des élections pour lesquelles les sources de menaces « peuvent disposer de ressources moyennes et de motivations moyennes ». Elle considère que « des élections de représentants du personnel au sein d’organismes de petite taille ou de taille moyenne » sont un bon exemple de ce genre de cas.

Enfin, le niveau 3 concerne des votes plus importants où les personnes risquant d’attaquer peuvent « disposer de ressources importantes ou de fortes motivations », comme dans le cadre « d’élections organisées au sein d’ordres professionnels réglementés, des primaires de partis politiques, ou d’élections de représentants du personnel au sein d’organisations importantes ».

Si ces niveaux semblent assez vagues, la CNIL propose dans sa recommandation un questionnaire qui permet de s’autoévaluer avec un système de points (niveau 1 : entre 0 et 4, niveau 2 : entre 5 et 8 points et niveau 3 : plus de 8 points) :

En fonction de ce niveau, la CNIL donne une liste d’objectifs de sécurité à atteindre allant du minimum consistant à « mettre en œuvre une solution technique et organisationnelle ne présentant pas de faille majeure » à, par exemple pour le niveau 3, « renforcer le caractère secret du scrutin en ne manipulant jamais le secret permettant leur dépouillement sur un serveur qui serait en capacité de rapprocher l’identité des électeurs de leur bulletin ».

L’ANSSI vous guide

Dans son document, l’autorité explique qu’ « il revient au responsable de traitement ou à son prestataire de déterminer les moyens permettant d’atteindre les objectifs de sécurité énoncés, ces choix devant être documentés ».

Mais comme on vous l’a dit plus tôt, l’ANSSI vous a concocté un guide. Celui-ci [PDF] fait 150 pages et détaille, par objectif fixé par la CNIL, ce qu’il faut faire. Il rajoute même quelques recommandations complémentaires « limitant les impacts de situations où le serveur de vote pourrait permettre le bourrage d’urne, la conservation illégitime ou la fuite de la clé privée de l’élection et la génération d’une clé privée de l’élection favorisant un des attributaires ».

En plus de ces objectifs de sécurité à atteindre, la CNIL ajoute à sa recommandation des indications sur les informations à fournir aux électeurs, sur l’accessibilité du vote, la mise en place d’une expertise indépendante pour la mise en place de la solution, le déroulé du vote en lui-même ainsi que sur la garantie d’un contrôle a posteriori et la conservation des données.

Écumons !

En 2025, le nombre de demandes administratives de retraits de contenus, venant en grande majorité de l’Office anti-cybercriminalité, a augmenté de 8,7 % mais la plupart d’entre elles sont liées à des contenus pédosexuels. Celles concernant le terrorisme sont en nette baisse de 40 % par rapport à 2024.

Les demandes de retrait adressées par l’Office anti-cybercriminalité (OFAC) et contrôlées par la personnalité qualifiée (en l’occurrence, Laurence Pécaut-Rivolier, membre du collège de l’Arcom et conseillère à la Cour de cassation) ont augmenté de 8,7% entre 2024 et 2025 alors qu’il y avait eu une forte baisse entre 2023 et 2024.

Mais le rapport, publié ce 21 avril sur le site de l’Arcom, souligne que « les contenus à caractère pédopornographique demeurent largement majoritaires dans les demandes de retrait par rapport aux contenus à caractère terroriste, puisqu’ils représentent environ 96 % des demandes de retrait contrôlées par la personnalité qualifiée en 2025 ».

Un reflux des contenus signalés comme terroristes

De fait, dans les chiffres présentés par l’Arcom, les demandes de retraits de contenus pédocriminels augmentent de 12 % entre 2024 et 2025 alors que celles concernant le terrorisme baissent de 40 % par rapport à 2024, et même de 84 % par rapport à 2023 :

Dans ces chiffres, on peut voir une forte augmentation des demandes de retraits entre 2020 et 2023, suivie d’une baisse. Dans son rapport précédent [PDF], la personnalité qualifiée expliquait qu’ « après la hausse des demandes de retrait observée en 2023 par rapport à l’année 2022, tous les chiffres de retrait et de blocage sont en forte baisse en 2024 par rapport à l’année précédente ».

Elle ajoutait que « la baisse est particulièrement notable s’agissant des contenus d’apologie du terrorisme. Cette évolution peut s’expliquer par le caractère exceptionnel de l’année 2023, marquée par les crises géopolitiques, en particulier les attaques terroristes du Hamas le 7 octobre 2023 en Israël et ses conséquences ».

Cette baisse des demandes de retraits de contenus concernant le terrorisme explique l’augmentation mécanique de la part des retraits concernant les contenus pédosexuels, qui représentaient « environ 80 % » des demandes contrôlées par la personnalité qualifiée en 2023.

Dans son dernier rapport, elle explique que « l’année 2024 avait été marquée par une forte baisse des retraits et blocages par rapport aux années précédentes. Les données de 2025 infirment cette tendance s’agissant des retraits ».

« Les blocages, eux, poursuivent leur décrue. Au final, en 2025, environ 0,23 % des demandes de retrait de l’OFAC donnent lieu à une demande de blocage (contre environ 0,61 % en 2024) », explique Laurence Pécaut-Rivolier dans son rapport.

En effet, à défaut du retrait dans les 24 heures de contenus faisant l’apologie des actes terroristes ou de leur incitation, l’OFAC peut demander aux fournisseurs d’accès à internet (FAI) le blocage de contenus en ligne conformément à l’article 6.1 de la LCEN. De même, il peut demander le retrait à l’hébergeur d’images de tortures ou d’actes de barbarie en suivant l’article 5 de la loi SREN.

Elle ajoute que « cette évolution peut s’expliquer par une meilleure réponse des fournisseurs de services à qui les retraits sont demandés par PHAROS, le blocage intervenant qu’en cas d’absence de retour de la plateforme à la demande de retrait ».

Un effort financier à maintenir

La personnalité qualifiée souligne que « si une partie des contenus dont le retrait est demandé par l’OFAC sont identifiés grâce à des signalements d’associations ou de particuliers, qui s’avèrent particulièrement utiles », ce sont de fait les équipes de cet organisme qui détectent directement « l’essentiel » de ces contenus problématiques.

« Dès lors, le nombre de contenus dont le retrait est demandé dépend fortement des moyens que l’OFAC peut mettre en œuvre à cette fin », soulignant en creux que plus l’OFAC est financé, plus la France pourra détecter et faire retirer ces contenus.

Pour effectuer ses contrôles, Laurence Pécaut-Rivolier est assistée d’une personnalité qualifiée suppléante et de deux des huit agents volontaires pour manipuler les postes de visionnage. Les séances durent « au maximum trois heures pour minimiser l’exposition des agents », et permettent de vérifier chacune, à un rythme soutenu, « environ 5 000 demandes adressées par l’OFAC ».

Interrogée par Next sur la rapidité de cette vérification, l’Arcom explique qu’ « en pédopornographie la caractérisation ne nécessite qu’une à deux secondes et que, par ailleurs, il existe des retraits de « séries » provenant du même site pour lequel nous pouvons procéder par sondages ». Elle ajoute que « l’équipe ne dispose pas d’outil spécifique ».

Un soldat états-unien a été arrêté dans le cadre du pari sur la chute de Maduro, qui lui avait permis d’empocher 430 000 dollars sur Polymarket.

Ce gain avait été remarqué vu le montant du gain, et le timing du pari. L’utilisateur avait commencé à parier sur la plateforme Polymarket à propos du sujet « Maduro démis de ses fonctions avant le 31 janvier 2026 ? » le 31 décembre en augmentant sa mise de façon conséquente vendredi 2 janvier, juste avant l’enlèvement de Nicolás Maduro par l’armée états-unienne.

• Polymarket : un gain de plus de 430 000 $ sur la chute de Maduro

Le département de la Justice explique dans un communiqué de presse publié ce 23 avril qu’un soldat de l’armée américaine, Gannon Ken Van Dyke, est accusé d’ « utilisation illégale d’informations gouvernementales confidentielles à des fins personnelles, vol d’informations gouvernementales non publiques, fraude sur les matières premières, fraude électronique et réalisation d’une transaction financière illégale ».

« Ces accusations découlent d’un stratagème présumé dans le cadre duquel VAN DYKE aurait utilisé des informations classifiées sensibles pour effectuer des paris sur Polymarket », ajoute le communiqué.

La piste d’un délit d’initié qui semblait assez probable suite à la découverte de ce pari se confirme.

« Le prévenu aurait trahi la confiance que lui avait accordée le gouvernement des États-Unis en utilisant des informations classifiées concernant une opération militaire sensible pour parier sur le calendrier et l’issue de cette même opération, dans le seul but d’en tirer un profit », affirme le procureur fédéral par intérim Jay Clayton :

« Il s’agit clairement d’un délit d’initié, illégal en vertu de la loi fédérale. Ceux à qui l’on a confié la protection des secrets de notre nation ont le devoir de les protéger, ainsi que les membres de nos forces armées, et non d’utiliser ces informations à des fins de gain financier personnel. »

Le procureur se voit obligé de réaffirmer que « les marchés prédictifs ne doivent pas servir de refuge pour exploiter à des fins personnelles des informations confidentielles ou classifiées détournées ».

Selon le communiqué, l’enquête aurait montré qu’après avoir gagné ses paris sur le sujet et que la presse s’en soit fait l’écho, Gannon Ken Van Dyke « aurait transféré la majeure partie de ses gains vers un coffre-fort de cryptomonnaies à l’étranger avant de les déposer sur un compte de courtage en ligne nouvellement créé ».

Il aurait essayé de cacher son identité, par exemple en demandant à Polymarket de supprimer son compte Polymarket, en prétendant avoir perdu l’accès à l’adresse e-mail associée au compte ou en modifiant l’adresse e-mail enregistrée sur son compte de crypto-monnaies.

Le soldat est poursuivi pour trois chefs d’accusation de violation du Commodity Exchange Act, « chacun passible d’une peine maximale de 10 ans d’emprisonnement ; un chef d’accusation de fraude électronique, passible d’une peine maximale de 20 ans d’emprisonnement ; et un chef d’accusation de transaction financière illégale, passible d’une peine maximale de 10 ans d’emprisonnement ».

Dominos

Le paquet NPM du CLI de Bitwarden publié comme la version 2026.4.0 est en fait un malware qui récupère les secrets, clés SSH et autres identifiants. Cette version a été rapidement étiquetée comme « obsolète » et l’équipe du projet a contacté NPM pour que le paquet soit retiré au plus vite.

Dans la série des attaques de la supply chain, on continue. Après Trivy, LiteLLM, Axios et hier Xinference, on ajoute aujourd’hui le client en ligne de commande du gestionnaire de mots de passe Bitwarden. Cette fois, c’est le paquet NPM (Node Package Manager) du CLI qui a été visé avec l’utilisation du numéro de version 2026.4.0, la légitime dernière version 2026.3.0 ayant été publiée il y a trois semaines.

L’alerte vient de l’équipe de l’entreprise de sécurité JFrog. Prévenue par un utilisateur, l’équipe de Bitwarden a répondu avoir bien constaté le problème : « Nous avons depuis étiqueté comme « obsolète » cette version et contacté NPM pour qu’elle soit supprimée ». Aucun autre paquet ou application/extension de Bitwarden ne semble compromis, pas plus que les coffres-forts des utilisateurs.

De fait, expliquent les chercheurs de JFrog, le paquet vérolé utilise les mêmes métadonnées dans le fichier build/bw.js que la 2026.3.0 du paquet, mais elle renvoie le fichier preinstall et le binaire bw vers un script bw_setup.js. Celui-ci vérifie d’abord si l’environnement d’exécution JavaScript Bun est installé et en récupère une version si ce n’est pas le cas.

Encore une récupération des secrets, avec un traitement spécial pour GitHub

Suite à ça, le paquet verolé peut lancer l’attaque via l’exécution du fichier bw1.js. Celui-ci cible des fichiers de configuration utilisés par les développeurs pour stocker des informations comme les clés SSH, les identifiants Git, NPM, AWS, Google Cloud Platform, ou encore les fichiers de configuration de l’IA Claude ou de celle de Kiro.

Concernant GitHub, le paquet pirate va plus loin. D’abord, il vérifie que les identifiants sont bons via https://api.github.com/user. Ensuite, il va essayer d’extraire davantage d’informations confidentielles hébergées sur GitHub.

Concernant l’exfiltration, le paquet vérolé a deux méthodes possibles. Soit il exfiltre les données via une requête POST après les avoir sérialisées dans un JSON, compressées et chiffrées. Si cette méthode ne fonctionne pas, il peut utiliser GitHub pour stocker dans un nouveau dépôt les blobs JSON des données récupérées.

Pour celles et ceux qui auraient installé cette fausse version 2026.4.0 du CLI de Bitwarden, il faut partir du principe que les identifiants des outils cités ci-dessus sont compromis, explique JFrog. Il faut donc d’abord désinstaller le paquet NPM @bitwarden/cli et renouveler les secrets susceptibles d’avoir été compromis. Voici les commande proposées (la dernière permet d’empêcher l’exécution automatique de scripts à l’installation de paquets) :

npm uninstall -g @bitwarden/cli
npm cache clean --force
npm config set ignore-scripts true

Pour chercher des traces du piratage et du téléchargement de Bun, voici deux commandes proposées par Jfrog. Si vous avez des résultats, alors inquiétez-vous.

rg -n "audit\\.checkmarx\\.cx|LongLiveTheResistanceAgainstMachines|beautifulcastle" .
ls -la bun bun.exe bw1.js bw_setup.js 2>/dev/null

Encore TeamPCP ?

Dans le titre de son billet sur cette attaque, JFrog l’attribue rapidement au groupe de pirates TeamPCP qui serait aussi responsable de celle contre Xinference. Mais son équipe ne donne aucune information qui pourrait permettre d’identifier le groupe. Sur X, le compte « officiel » de TeamPCP a été suspendu.

De son côté, Socket estime que « ce paquet a été compromis lors de ce qui semble être une nouvelle attaque de TeamPCP ». « L’attaque semble avoir exploité une action GitHub compromise dans le pipeline CI/CD de Bitwarden, ce qui correspond au schéma observé dans d’autres dépôts touchés par cette campagne », explique d’ailleurs Socket qui ajoute que cette attaque se place dans la continuité de celle que l’entreprise a découverte hier sur la supply chain Checkmarx de KICS.

Dans un message, l’équipe de Bitwarden a confirmé avoir identifié que cette version vérolée du paquet a été distribuée pendant environ 1h30 ce mercredi 22 avril et qu’elle se situait « dans le cadre d’un incident plus général affectant la supply chain de Checkmarx ».

• Hackerbot-claw : un bot exploite GitHub Actions et vide le dépôt de Trivy

Elle explique que son enquête « n’a révélé aucun élément indiquant que les données du coffre-fort des utilisateurs finaux aient été consultées ou aient été exposées à un risque, ni que les données ou les systèmes de production aient été compromis. Dès que le problème a été détecté, les accès compromis ont été révoqués, la version malveillante de npm a été retirée, et des mesures correctives ont été immédiatement mises en œuvre ».

« Bitwarden a mené à bien un examen de ses environnements internes, de ses processus de déploiement et des systèmes associés, et aucun autre produit ou environnement affecté n’a été identifié à ce stade. Un CVE concernant la version 2026.4.0 de Bitwarden CLI est en cours d’émission dans le cadre de cet incident », ajoute l’équipe.

Pings indiscrets

Les récentes mises à jour de iOS et iPadOS bloquent la méthode d’extraction de données que le FBI a utilisée pour récupérer des messages Signal dans les notifications d’un iPhone.

Apple vient de mettre à jour en urgence, ce mercredi 22 avril, ses systèmes d’exploitation iPhone et iPad pour résoudre un problème de sécurité qui permettait de récupérer des informations comme des messages Signal.

L’entreprise explique succinctement que la vulnérabilité, identifiée par l’entreprise sous la référence CVE-2026-28950, consistait dans le fait que « les notifications marquées pour suppression [pouvaient] être conservées de manière inattendue sur l’appareil ». La description de la résolution indique sans plus de précisions qu’Apple a utilisé une meilleure méthode pour qu’elles ne soient plus accessibles.

La faille concerne aussi bien iOS 26 et iPadOS 26 que iOS 18 et iPadOS 18. Leurs utilisateurs sont donc invités à effectuer la mise à jour vers les dernières versions afin d’éviter d’être affectés par cette faille de sécurité.

Une faille exploitée par le FBI pour retrouver des messages sur Signal

L’entreprise ne détaille pas dans quelles circonstances elle s’est rendu compte du problème ni si la faille a été exploitée. Mais il y a 15 jours, 404 Media nous apprenait justement que le FBI avait utilisé la base de données de notification de l’iPhone d’un suspect pour récupérer des messages Signal, alors que celui-ci avait supprimé les messages et désinstallé l’application au préalable.

Le service de renseignement intérieur des États-Unis enquêtait sur les tirs de feux d’artifice devant un centre de détention de l’ICE en juillet 2025. Le procès de neuf activistes se tenait en mars dernier. Alors que leurs avocats ont affirmé qu’ils étaient venus avec les feux d’artifice pour les tirer en signe de solidarité avec les détenus, l’accusation de tentative de meurtre sur la personne d’agents et d’employés des États-Unis a été retenue contre l’un d’entre eux et les autres ont été reconnus coupables d’émeutes, d’aide matérielle à des terroristes, de complot en vue d’utiliser et de transporter des explosifs et d’utilisation et de transport d’explosifs.

À l’occasion du procès, un proche de ces activistes a expliqué à 404 Media : « Nous avons appris que, sur les iPhone en particulier, si les paramètres de l’application Signal autorisent l’affichage des notifications et des aperçus de messages sur l’écran de verrouillage, l’iPhone stocke alors ces notifications et aperçus de messages dans la mémoire interne de l’appareil ».

Le site dédié à leur défense, créé par leurs proches, détaille une des pièces à conviction présentée au procès : « Les messages ont été récupérés sur le téléphone de Sharp [le surnom d’un des accusés] grâce à la mémoire interne d’Apple dédiée aux notifications : l’application Signal avait été supprimée, mais les notifications reçues avaient été conservées dans la mémoire interne. Seuls les messages reçus ont été récupérés (pas ceux envoyés) ».

Pas d’autres actions à faire que de mettre à jour

Par défaut, les notifications envoyées par Signal affichent des métadonnées comme la date et l’heure de réception, le nom de l’utilisateur, mais aussi une partie du corps de certains messages. Il est cependant possible de cacher ces informations au service de notification via le menu de configuration de Signal :

« Nous sommes très heureux qu’Apple ait publié aujourd’hui un correctif et un avis de sécurité. Cette annonce fait suite à un article de 404 Media révélant que le FBI avait pu accéder au contenu des notifications de l’application Signal via iOS, alors même que l’application avait été supprimée », explique dans un message sur Mastodon l’équipe de Signal.

Elle ajoute que les utilisateurs des appareils d’Apple n’ont rien d’autre à faire que de mettre à jour le système d’exploitation : « Une fois le correctif installé, toutes les notifications conservées par inadvertance seront supprimées et aucune notification future ne sera conservée pour les applications supprimées ». La fondation en profite pour saluer la rapidité du correctif.

Notons aussi que Signal n’est pas la seule application qui pouvait être victime de cette faille. Si ses notifications comme celles des autres applications de messagerie chiffrée sont particulièrement sensibles, le bug affectait potentiellement les notifications de toutes les applications.