OpenAI ne veut pas se laisser distancer par Anthropic sur le terrain de la cybersécurité. Avec Daybreak, le créateur de ChatGPT a lancé sa réponse à Mythos : l’idée est la même dans les deux cas (équiper les défenseurs d’un outil IA de chasse aux bugs), mais la pratique diffère.
Daybreak est la réplique d’OpenAI au Mythos d’Anthropic. Ce dernier a fait grand bruit le mois dernier : il serait si puissant que son créateur a décidé d’en limiter la diffusion à une quarantaine d’organisations et d’entreprises au travers du projet Glasswing. Un déploiement à la discrétion d’Anthropic : l’Union européenne est toujours exclue du club.
Illustration : Flock
OpenAI prend un autre chemin avec Daybreak. Cette nouvelle initiative a pour objectif d’« accélérer le travail des défenseurs et sécuriser les logiciels en continu ». Là où Mythos est un modèle de langage, Daybreak est davantage une plateforme regroupant plusieurs services. Il combine Codex Security avec différents modèles : GPT-5.5, GPT-5.5 avec Trusted Access for Cyber (TAC) et GPT-5.5-Cyber.
Codex Security (anciennement Aardvark) a été lancé début mars. Cet « agent de sécurité » est chargé d’identifier, de valider et de corriger des vulnérabilités dans le code. Il s’appuie par défaut sur GPT-5.5, mais on peut utiliser le modèle TAC dédié à la cybersécurité, accessible via un programme d’accès de confiance. Le dernier palier, GPT-5.5-Cyber, dévoilé le 7 mai, se présente comme le plus puissant du lot.
Les organisations intéressées peuvent demander un « scan de vulnérabilité » afin d’identifier les problèmes de sécurité présents dans le code de leurs infrastructures informatiques. Il s’agit certes d’un simple formulaire, mais il existe au moins une procédure standardisée pour faire partie du programme, alors que l’extension du projet Glasswing est laissée aux bons soins d’Anthropic.
Sam Altman explique vouloir travailler « avec le plus d’entreprises possible » pour sécuriser leurs logiciels. OpenAI semble se montrer proactif : l’entreprise est allée frapper à la porte de la Commission européenne pour proposer un accès à ses LLM cyber.
Un « avant-goût de ce qui nous attend » : c’est ainsi que John Hultquist, chef analyste du Google Threat Intelligence Group (GTIG), a qualifié la découverte du labo. Les chercheurs en sécurité de l’entreprise ont identifié un acteur malveillant utilisant un exploit « zero-day » vraisemblablement développé avec l’aide de l’IA.
Le ou les cybercriminels prévoyaient d’exploiter cette vulnérabilité « dans le cadre d’une campagne d’exploitation massive ». Cette « découverte proactive » a permis d’éviter le pire, même si Google ne peut pas exclure que la vulnérabilité — implémenté sous la forme d’un script Python — a pu être exploitée à plus petite échelle (le labo n’a cependant pas vu de campagne active). Le GTIG se veut discret : il ne révèle pas le nom des criminels, mais précise que des acteurs en Corée du Nord et en Chine s’intéressent à l’utilisation de l’IA pour débusquer des failles de sécurité.
La faille a été corrigée
Google n’indique pas non plus le logiciel affecté par cette faille, si ce n’est qu’il s’agit d’un outil d’administration open-source très utilisé. La vulnérabilité permettait de contourner la double authentification (2FA), mais les pirates devaient au préalable connaître les identifiants et mots de passe de leurs victimes. Le GTIG a prévenu de manière responsable l’éditeur concerné, dont le nom n’a pas été révélé, pour corriger la faille.
Le groupe de chercheurs constate que les acteurs malveillants utilisent de plus en plus les outils d’IA des assistants « niveau expert » pour la recherche de vulnérabilités et le développement d’exploits, y compris pour des failles zero-day. Le verre à moitié plein, c’est que ces mêmes outils sont aussi aux mains des défenseurs. Ce serait la raison pour laquelle OpenAI et Anthropic réservent leurs modèles de cybersécurité à des organisations et des entreprises triées sur le volet.
De la même manière, le GTIG ne dévoile pas le modèle IA utilisé pour cette faille. « Nous ne pensons pas que Gemini a été utilisé », avance-t-il prudemment. Mais la structure et le contenu de l’exploit donne au labo de fortes raisons de croire que l’acteur a eu recours à un modèle AI « pour faciliter la découverte et l’exploitation de cette vulnérabilité ».
Les LLM de plus en plus finauds
Les grands modèles de langage actuels ont encore du mal à appréhender les logiques complexes d’autorisation en entreprise, détaillent les chercheurs. Par contre, « ils sont de plus en plus capables d’effectuer un raisonnement contextuel en interprétant l’intention du développeur ». Dans le cas qui nous intéresse, la faille ne provient pas d’un bug technique classique, mais d’un passe-droit intégré directement dans le code qui permettait dans certains cas de contourner la 2FA.
Les chercheurs estiment que les LLM sont particulièrement efficaces pour identifier ces erreurs logiques de haut niveau, qui sont souvent invisibles pour les outils de détection traditionnels. Cette découverte est qualifiée de première par Google et par des spécialistes en cybersécurité indépendants.
« Nous pensons que ce n’est que la partie émergée de l’iceberg », s’alarme John Hultquist auprès du New York Times. « Le problème est probablement bien plus vaste ; c’est simplement la première preuve tangible que nous pouvons observer. » Il est évidemment difficile d’assurer à 100 % que du code a été écrit par un humain ou une IA. Mais dans ce cas précis, les indices relevés par le GTIG (trop de texte explicatif, un style de code très propre et scolaire, une mise en forme jugée caractéristique des données d’entraînement des LLM) font pencher nettement la balance vers l’hypothèse IA.
Ce premier cas possible de faille zero-day développée avec l’IA devrait en tout cas renforcer les appels à un encadrement plus strict des modèles IA les plus avancés. L’administration Trump voudrait ainsi avoir un droit de regard sur les LLM avant leur diffusion, pour s’assurer de leur innocuité.
Apple innove contre son gré. iOS 26.5, dont la version finale est disponible depuis lundi, est plein de fonctions qui ont été dictées au constructeur par des régulateurs. Outre le support du RCS chiffré de bout en bout, plusieurs nouveautés destinées aux utilisateurs européens et brésiliens sont au rendez-vous.
Soyons justes : la prise en charge du chiffrement de bout en bout dans les RCS, une des grosses nouveautés d’iOS 26.5, n’est pas le fait d’un coup de pression d’un gouvernement. C’est le résultat d’un travail commun entre Apple et Google pour sécuriser les échanges entre iOS et Android. Néanmoins, le constructeur de Cupertino s’est fait tirer l’oreille pendant des années pour intégrer le RCS tout court dans son application Messages. Et il n’a cédé qu’après que la Chine en a exigé le support.
Ce qui est en revanche le résultat direct d’une demande d’un régulateur — en l’occurrence l’Union européenne —, c’est le jumelage de proximité entre un iPhone et une paire d’écouteurs tierce. Avec iOS 26.5, la procédure doit maintenant être aussi simple et rapide que pour des AirPods. Il suffit d’approcher des écouteurs (compatibles avec la fonction) pour initier et compléter le processus d’appairage en une « tape ». Ce qui évite des manipulations parfois compliquées ou l’installation d’une app tierce.
Apple cède, contrainte et forcée
Toujours dans l’UE, les utilisateurs de montres connectées (et d’autres accessoires tiers) qui reçoivent des notifications provenant de l’iPhone peuvent désormais interagir avec ces alertes. C’était auparavant un privilège de l’Apple Watch ; les autres appareils devaient se contenter de notifications en lecture seule. Il faut néanmoins avoir en tête que les notifications ne peuvent être connectées qu’à un seul appareil à la fois : les activer sur un accessoire tiers désactivera les alertes sur une Apple Watch.
Enfin, les activités en direct peuvent également s’afficher sur des accessoires tiers. Ce sont des notifications rafraîchies régulièrement, pour indiquer l’heure d’arrivée d’une course Uber par exemple. Jusqu’à présent, seuls l’iPhone, l’iPad, le Mac et les Apple Watch pouvaient afficher ces activités.
Ces fonctions sont apparues dans les versions bêta d’iOS 26.3, mais comme le note MacRumors, elles sont effectives et disponibles partout dans l’UE avec iOS 26.5.
Les fabricants doivent encore intégrer ces changements dans les firmwares de leurs produits, ce qui explique pourquoi bien peu d’entre eux sont compatibles avec ces nouveautés. iGeneration avait relevé début février la compatibilité de certaines montres Garmin avec le nouveau système de jumelage simplifié.
La section 3.3.7(J) de l’accord de licence du programme Apple Developer a par ailleurs été mis à jour le 30 mars pour refléter ces évolutions. Il y est notamment écrit que les notifications ne peuvent pas être utilisées pour de la publicité, pour entraîner des modèles, pour collecter des données de localisation, ou pour nourrir un profil de suivi publicitaire.
Ce n’est pas la première fois qu’Apple doit repousser les murs de son jardin fermé dans l’Union européenne. En vertu du règlement sur les marchés numériques (DMA), l’entreprise a ainsi dû travailler avec Google sur une fonction de transfert simplifié des données pour faciliter la migration entre un iPhone et un smartphone Android, et vice-versa. iOS 26.5 apporte d’ailleurs une nouveauté ici : l’utilisateur peut choisir les pièces jointes attachées aux messages qu’il veut transférer sur son nouveau téléphone.
Ce qu’Apple donne d’une main, elle le reprend de l’autre : en novembre dernier, le constructeur prévenait que les futures versions (à l’époque) d’iOS 26.4 et de watchOS 26.4 allaient supprimer une fonction dans l’UE. En l’occurrence, il s’agissait de la connexion automatique aux réseaux Wi-Fi connus sur l’Apple Watch. L’entreprise ne voulait pas ouvrir cette fonction à la concurrence, car elle aurait pu poser des problèmes de protection de la vie privée.
Pour terminer, iOS 26.5 ouvre aux utilisateurs brésiliens la possibilité d’installer des boutiques alternatives à l’App Store, comme au Japon et dans l’UE. Là aussi, Apple ne l’a pas fait de gaieté de cœur, il s’agit d’une exigence du régulateur.
Les lunettes connectées présentent des risques majeurs pour la vie privée, alerte la CNIL qui lance un plan d’action pour répondre à ce « nouveau défi ».
La CNIL s’inquiète des risques que font peser les lunettes connectées pour la vie privée. Leur utilisation est bien sûr soumise au règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés, mais ces appareils dépassent le cadre juridique actuel. La commission relève ainsi que les lunettes peuvent capter des sons, des images et des vidéos de personnes sans que celles-ci en aient nécessairement conscience.
Le risque de la surveillance généralisée
Les modèles Ray-Ban de Meta intègrent une loupiote qui s’allume dès que le propriétaire prend une photo ou enregistre une vidéo. Mais cet indicateur a une « portée limitée » et il est absent pour certains usages. Contrairement aux smartphones qu’il est impossible de ne pas voir quand quelqu’un filme avec, les lunettes sont un objet du quotidien qui n’a habituellement pas cette finalité ; il existe donc un risque « important » que les lunettes ne soient pas identifiées comme un appareil connecté par les personnes se trouvant dans le champ de captation. Ces montures présentent donc « un caractère particulièrement intrusif ».
La CNIL s’inquiète du risque important de surveillance généralisée et une forme de banalité induite : n’importe qui est en mesure de filmer n’importe quoi n’importe où, aussi bien en privé qu’en public. Voilà qui pourrait avoir des conséquences importantes dans les interactions sociales entre citoyens, et même conduire à des dérives.
« Toute personne pourrait ainsi douter de manière constante d’un enregistrement potentiel de ses moindres faits et gestes et de ses échanges, créant un sentiment d’être constamment observée, voire surveillée, et engendrant peu à peu une forme d’autocensure. L’exercice des libertés individuelles (libertés d’expression, de réunion, de manifestation) s’en trouverait directement menacé. »
La CNIL cite l’article 9 du Code civil, qui garantit le droit au respect de la vie privée de chacun dans tous les lieux privés comme publics, et n’oublie pas de rappeler les sanctions en cas de violation de l’article 226 - 1 du Code pénal : jusqu’à un an d’emprisonnement et 45 000 euros d’amende pour le fait de porter atteinte à l’intimité de la vie privée d’autrui en fixant, enregistrant ou transmettant l’image d’une personne se trouvant dans un lieu privé sans son consentement.
Les enjeux liés aux lunettes connectées dépassant le cadre d’intervention de la CNIL, le régulateur lance donc des travaux sur la conformité de ces appareils en matière de protection des données personnelles. D’abord en engageant une discussion avec ses homologues européens au sein du CEPD (Comité européen de la protection des données), puisque cette problématique ne concerne pas que la France. Les autres autorités publiques compétentes sur ces questions vont aussi être approchées car les enjeux vont plus loin que la seule question de la protection des données.
En attendant, la commission liste les bonnes pratiques à destination des porteurs de lunettes connectées, avec des conseils de bon sens comme prévenir les personnes à proximité quand on utilise ces montures, désactiver les fonctions de captation quand elles ne sont plus utiles, éteindre les fonctions connectées des lunettes quand il est demandé d’éteindre le téléphone et, moins évident, éviter d’utiliser ces lunettes dans les lieux où les personnes ne s’y attendent pas.
Dans tous les cas, la CNIL demande d’obtenir le consentement des personnes pour utiliser des photos ou des vidéos où elles apparaissent (le droit à l’image s’applique), et pour finir de réfléchir avant de partager quoi que ce soit : « une publication, même anodine, peut avoir des effets durables pour les personnes ».
Peu d’enthousiasme pour les lunettes connectées
Un sondage réalisé fin janvier par le laboratoire d’innovation numérique de la CNIL, avec Harris Interactive – Toluna indique que 57 % des personnes interrogées s’inquiètent du droit à l’image et du consentement des personnes. L’utilisation de l’IA à des fin de détournement ou de deepfakes vient ensuite (37 %), puis le vol ou la fuite de données collectées par les lunettes (34 %).
« D’après ce que vous en savez ou l’idée que vous vous en faites, diriez-vous que les lunettes connectées peuvent être utiles ou pas utiles au quotidien ? ». Image : LINC
L’enquête révèle également que 87 % des sondés ont entendu parler des lunettes connectées, mais 9 % seulement ont eu l’occasion d’en tester, en particulier dans la catégorie 18 - 25 ans (25 %), et plus généralement chez les férus de technologies (29 %). 22 % des personnes interrogées ont de ce produit une vision plutôt négative, contre 20 % qui en ont une perception positive.
« De manière générale, êtes-vous d’accord ou pas d’accord avec chacune des affirmations suivantes concernant les lunettes connectées ? » Image : LINC
En termes d’utilisation, près de 8 personnes sur 10 (78 %) perçoivent les lunettes connectées comme une aide potentielle pour les personnes en situation de handicap visuel ou auditif. En revanche, 67 % trouvent qu’elles posent un problème d’atteinte à la vie privée, et 55 % un danger tout simplement (distraction, visibilité réduite). Enfin, et cela montre que les constructeurs ont encore du chemin à faire pour convaincre, 62 % des sondés ne veulent pas acquérir ce type d’appareil, contre 36 % d’enthousiastes. 1 % ont déclaré en posséder une paire.
Des dizaines d’associations de défense des libertés numériques ont publié une lettre ouverte mi-avril à destination de Mark Zuckerberg. Le texte souligne les risques que feraient peser les lunettes connectées sur « les victimes de violences conjugales, les cibles de harceleurs et d’agresseurs sexuels, les minorités religieuses, les personnes de couleur, les personnes LGBTQ+, ainsi que les femmes et les enfants, entre autres ». Les signataires demandent à Meta de renoncer au déploiement de la reconnaissance faciale dans ces appareils.
Le groupe SoftBank s’apprêterait à dévoiler un plan à 100 milliards de dollars pour doter la France de nouveaux centres de données. C’est du moins le projet qu’aurait monté Masayoshi Son, patron du conglomérat japonais, après une rencontre avec Emmanuel Macron.
Lors de sa visite au Japon fin mars, Emmanuel Macron a fait la tournée des popotes auprès des responsables politiques et des grands acteurs de l’économie de l’archipel. Parmi eux, Masayoshi Son, directeur général de SoftBank, opérateur télécom, fournisseur de services en ligne et surtout mastodonte des investissements tous azimuts. Selon Bloomberg, le président français lui aurait proposé d’établir des infrastructures IA dans l’Hexagone.
Illustration : Flock
L’investisseur aurait été intrigué par cette approche provenant d’un chef d’État, alors qu’il est plus souvent sollicité par des dirigeants d’entreprise. Depuis, il étudierait sérieusement le projet et aurait même évoqué auprès de proches du dossier la possibilité de mettre jusqu’à 100 milliards de dollars sur la table. Gardons la tête froide : le montant final pourrait être beaucoup moins élevé.
Ce d’autant que SoftBank a déjà fort à faire avec ses autres projets, dont l’initiative Stargate avec OpenAI, Oracle et le fonds émirati MGX — un investissement à 500 milliards qui semble presque modeste face aux plus de 700 milliards avancés par Microsoft, Meta, Amazon et Alphabet pour cette année.
La liste des investissements (réels et potentiels) de Masayoshi Son est très longue, de nombreux milliards promis n’ont toujours pas été concrétisés. Le projet français pourrait être dévoilé à l’occasion du sommet Choose France, le 19 mai. Les détails restent encore flous et la portée de l’annonce peut encore évoluer.
En février 2025, à l’occasion d’un sommet pour l’action sur l’IA, Emmanuel Macron avait déjà annoncé 109 milliards d’euros d’investissements « dans les prochaines années », soit « l’équivalent pour la France de ce que les États-Unis ont annoncé avec “Stargate” », avait-il affirmé. Pour attirer les entreprises IA, le locataire de l’Élysée met en avant les capacités nucléaires de la France qui donnent aux centres de données « l’énergie la plus décarbonée d’Europe ».
L’Union européenne a décroché son billet pour GPT-5.5-Cyber, le grand modèle de langage d’OpenAI spécialisé dans la cybersécurité. En revanche, les discussions se poursuivent avec Anthropic pour obtenir un accès à Mythos.
L’UE court après les LLM américains spécialisés dans la cybersécurité. Pour l’un d’entre eux, GPT-5.5-Cyber, c’est chose faite : la Commission européenne a confirmé l’accès au modèle de langage d’OpenAI. « Nous saluons la transparence d’OpenAI et sa volonté de donner à la Commission un accès à son nouveau modèle », s’est réjoui Thomas Regnier, le porte-parole à la souveraineté technologique. « Cela nous permettra de suivre de très près le déploiement de ce modèle, mais aussi de traiter plus directement certaines préoccupations en matière de sécurité. »
OpenAI est allé frapper à la porte de la Commission pour leur proposer un accès au modèle. Ce n’est que le début de la collaboration, la Commission doit par exemple déterminer qui pourra travailler sur GPT-5.5-Cyber au sein de l’UE. Plusieurs organisations pourraient y prétendre : la DG Connect (direction générale des réseaux de communication, du contenu et des technologies), l’AI Office (centre d’expertise pour l’IA), l’agence de cybersécurité Enisa… « Une étape après l’autre : nous discutons d’abord avec l’entreprise. Ensuite, nous verrons évidemment quelles seront les prochaines étapes », ajoute le porte-parole.
« Les laboratoires d’IA comme le nôtre ne devraient pas être les seuls arbitres de la cybersécurité », déclare George Osborne, responsable d’OpenAI for Countries. « La résilience repose sur des partenaires de confiance travaillant ensemble ». Les capacités de GPT-5.5-Cyber doivent être « accessibles aux nombreux défenseurs européens, et pas seulement à quelques-uns », ajoute-t-il en rappelant l’existence du plan d’action européen d’OpenAI pour la cybersécurité.
La déclinaison cyber de GPT‑5.5 est disponible depuis le 7 mai, dans un « aperçu limité » réservé aux « défenseurs chargés de sécuriser les infrastructures critiques », explique OpenAI. L’entreprise a élargi son programme TAC (Trusted Access for Cyber) au mois d’avril avec le lancement de GPT-5.4-Cyber ; il faut montrer patte blanche pour entrer dans le club, les partenaires étant vérifiés et approuvés par l’entreprise.
L’UE reste en revanche privée de Mythos. Thomas Regnier a indiqué qu’il y avait « un niveau d’engagement » avec Anthropic, « nous avons eu quatre ou cinq réunions avec l’entreprise ». Les discussions semblent aller bon train mais pour le moment, « nous ne sommes pas au même niveau [qu’avec OpenAI] ». Bruxelles salue « l’approche proactive adoptée par OpenAI, y compris sa volonté de nous donner accès au modèle », et voudrait bien que ça soit le cas avec Anthropic également.
Plus besoin de connaissances en HTML ou en JavaScript pour développer des web apps : il suffit de la décrire à une des plateformes de vibe coding qui se partagent un marché florissant. Mais la sécurité est le parent pauvre de cette pratique.
Les apps générées par IA publiées sur internet sont souvent peu sécurisées. Red Access, une entreprise spécialisée dans la sécurité dans le nuage, et son cofondateur Dor Zvi ont analysé des milliers de web apps créées avec des outils comme Lovable, Replit, Base44 et Netlify. Le résultat fait froid dans le dos : plus de 5 000 d’entre elles ne présentent aucune authentification ni véritable sécurité.
La simplicité c’est bien, la sécurité c’est mieux
Il suffit de trouver l’URL du site web pour accéder aux données de ces applications. D’autres n’opposaient comme résistance que des barrières faciles à franchir, comme l’obligation de se connecter avec une adresse email. Environ 40 % de ces web apps exposent des données sensibles, des documents confidentiels ou des historiques de conversation entre clients et chatbots. Dor Zvi tire la sonnette d’alarme chez Wired :
« Des organisations se retrouvent à divulguer des données privées via des applications créées avec le vibe coding. C’est l’un des plus grands cas de fuite où des personnes exposent des informations d’entreprise ou d’autres données sensibles à n’importe qui dans le monde. »
Parmi les trouvailles de l’équipe de Red Access : des plannings d’hôpitaux avec des informations personnelles sur des médecins, les achats publicitaires d’une entreprise, une présentation de lancement commercial, les registres de cargaisons d’une société de transport… Dans certains cas, Dor Zvi aurait pu obtenir les privilèges admin de certaines de ces apps en ligne — et même supprimer des comptes administrateurs.
Les plateformes de vibe coding permettent aux utilisateurs d’héberger leurs web apps directement sur leurs propres domaines. Pour mettre la main dessus, les chercheurs ont simplement utilisé Google ou Bing. Ils ont également trouvé plusieurs sites d’hameçonnage reproduisant ceux de grandes entreprises, créés et hébergés chez Lovable.
« Certains utilisateurs ont publié sur le web des applications qui auraient dû rester privées », explique Amjad Masad, le directeur général de Replit. « Qu’une application publique soit accessible sur internet est donc un comportement attendu. Les paramètres de confidentialité peuvent être modifiés à tout moment en un clic. » Rappelant l’existence d’outils de sécurité sur sa plateforme, le dirigeant s’engage à basculer les applications en mode privé et à informer les utilisateurs, si Red Access décide de lui transmettre une liste de ces derniers.
Masad reproche au passage le délai très court donné par la société de cybersécurité : « moins de 24 heures » avant de rendre l’affaire publique, ce qui n’a guère laissé de temps à Replit pour s’organiser. Le 6 mai, Replit annonçait que tous les utilisateurs du service, gratuit comme payant, peuvent publier leurs apps en mode privé. Une fonction qui était réservée auparavant aux clients Pro et Enterprise.
La responsabilité des plateformes
Chez Lovable, on indique également que les utilisateurs ont des outils de sécurité à leur disposition, « mais la manière dont une application est configurée relève au final de la responsabilité de son créateur ». Même discours du côté de Base44 : « Désactiver ces contrôles [de sécurité] est une action volontaire et simple, que n’importe quel utilisateur peut effectuer ». Une web app rendue publique est « un choix de configuration de l’utilisateur, et pas une faille de la plateforme ».
Base44 rappelle aussi qu’il est très simple de générer des données ressemblant à des vraies. Malgré tout, le risque d’exposer des informations confidentielles via des web apps vibe-codées reste réel. Ces outils sont utilisés par des utilisateurs n’ayant pas nécessairement le bagage technique suffisant pour sécuriser leurs données en ligne.
« N’importe qui dans une entreprise peut générer une application à tout moment, sans passer par un cycle de développement standard ni par le moindre contrôle de sécurité », prévient Dor Zvi. Les plateformes ont une responsabilité ici, celle de mettre en place des garde-fous pour éviter un tsunami potentiel de fuites de données.
Firefox sert désormais de laboratoire grandeur nature pour éprouver de nouveaux outils de cybersécurité assistés par IA. En avril, Mozilla a corrigé la bagatelle de 423 vulnérabilités, la majorité ayant été débusquée par Mythos.
Mozilla ne tarit décidément pas d’éloges sur les capacités de Mythos à détecter des bugs et des failles de sécurité dans Firefox. En avril, des correctifs ont permis de corriger 423 vulnérabilités : les 271 bugs dans Firefox 150 déjà annoncés qui proviennent des analyses de Mythos, plus 41 bugs signalés par des chercheurs externes, et 111 découverts en interne avec d’autres méthodes. À comparer avec les 76 correctifs du mois de mars.
Mozilla
Une chose a changé dans l’utilisation des LLM par les développeurs de Firefox. Les tests réalisés ces dernières années avec GPT-4 ou Sonnet 3.5 s’avéraient certes prometteurs, mais au bout du compte « le taux élevé de faux positifs les rendait impraticables à grande échelle », écrivent Brian Grinstead, Christian Holler et Frederik Braun de Mozilla. Le mode opératoire était relativement classique : demander au modèle d’analyser du code jugé sensible pour repérer d’éventuelles vulnérabilités.
Des agents qui traquent les bugs
Les modèles agentiques ont changé la donne, soulignent-ils : « Ces systèmes peuvent trouver de véritables bugs et écarter les hypothèses impossibles à reproduire ». Claude Opus 4.6 a permis de mettre au point un « harnais agentique » qui interagit avec l’environnement de développement : il peut exécuter du code, vérifier si la faille existe réellement et générer des cas de test qu’il est possible de reproduire.
En substance, le LLM formule une hypothèse et tente lui-même de la valider. De quoi identifier « une quantité impressionnante de vulnérabilités jusque-là inconnues ». Les ingénieurs de Mozilla ont affiné et ajusté le comportement du modèle, et lorsque les résultats ont été jugés suffisamment bons, ils ont parallélisé les tâches sur plusieurs machines virtuelles éphémères.
Le LLM n’est qu’une partie de ce Meccano de sécurité. L’infrastructure au complet inclut aussi la gestion du cycle de vie des vulnérabilités : orchestration, validation, triage, intégration avec d’autres outils internes. Ce « harnais », qui reste très spécifique au projet, peut ensuite fonctionner avec d’autres LLM, comme l’aperçu de Mythos. « Le système devient simultanément meilleur pour repérer des bugs potentiels, créer des cas de test de preuve de concept pour les démontrer, et expliquer précisément leur mécanisme ainsi que leur impact », indique Mozilla.
Ce travail de fond pour créer un pipeline autour des modèles de langage et les capacités accrues de ces derniers ont permis d’accélérer la détection et le développement de correctifs. « Il y a encore quelques mois, les rapports de bugs de sécurité générés par IA envoyés aux projets open source étaient surtout connus pour être du bruit inutile », rappellent les ingénieurs. Trier le bon grain de l’ivraie était chronophage : « il est simple et peu coûteux de demander à un LLM de trouver un « problème » dans du code, mais il est long et coûteux de vérifier puis de répondre à ces signalements. »
Tout a changé avec les nouveaux LLM plus puissants, et l’amélioration des techniques permettant d’exploiter ces modèles. C’est un cas d’usage spécifique pour Firefox qui peut ne pas s’adapter à d’autres organisations.
L’IA n’écrit pas les correctifs
Brian Grinstead apporte un éclairage intéressant chez TechCrunch. Si l’équipe de Firefox utilise les LLM pour repérer des failles, les correctifs sont toujours écrits par des humains malgré les progrès des outils de développement assistés par IA. « Pour les bugs dont nous parlons dans ce billet, chaque correctif a été écrit par un ingénieur puis relu par un autre », explique-t-il.
Les développeurs demandent tout de même à l’IA de proposer des correctifs pour chaque bug, mais le code qu’elle produit ne peut pas être déployé tel quel. Il sert surtout de base de travail, car « nous n’avons pas constaté que cela pouvait être automatisé ».
Mozilla est suffisamment confiant pour partager 12 bugs corrigés sans attendre les plusieurs mois habituels avant une divulgation publique, « compte tenu du niveau d’intérêt extraordinaire suscité par ce sujet et de l’urgence des mesures à prendre dans l’ensemble de l’écosystème logiciel ». Ces bugs, qui permettent des échappements de sandbox, doivent être combinés à d’autres exploits pour compromettre Firefox.
« Nous n’avons pas encore découvert tous les bugs latents présents dans Firefox, mais nous sommes très satisfaits de la trajectoire actuelle », conclut le billet. La prochaine étape pour Mozilla est d’intégrer le système directement dans la chaîne de développement du navigateur : chaque nouveau correctif envoyé par un développeur pourrait être automatiquement analysé par le pipeline IA, ce qui permettrait de détecter les bugs quasiment au moment où ils sont intégrés dans le code de Firefox.
Sur le sujet de l’impact de l’IA sur le monde de la cybersécurité, illustré notamment par le phénomène médiatique Mythos, voir notre récent dossier :
Six ans après avoir amorcé la transition des processeurs Intel vers ses propres puces dans les Mac, Apple s’apprêterait à travailler de nouveau avec le fondeur américain. Les deux entreprises se seraient accordées pour lancer la production de puces destinées à des appareils du constructeur.
Avec 200 millions d’iPhone vendus chaque année et des dizaines de millions de Mac et d’iPad, Apple a d’énormes besoins en composants électroniques. En ce qui concerne les puces qui motorisent ses produits, le constructeur fait appel aux capacités de production de TSMC mais un nouveau fournisseur pourrait bien faire son apparition à l’horizon : Intel. Après des « discussions intenses » qui ont duré plus d’un an, les deux entreprises auraient scellé un accord préliminaire, selon le Wall Street Journal.
L’indiscrétion ne va pas jusqu’à préciser quels appareils Apple seront équipés de puces Intel. De même, on ignore la finesse de gravure de ces puces même s’il est probable que le constructeur jette son dévolu sur le procédé 14A, le plus avancé du fondeur. Mais pour Apple comme pour Intel, cet accord tombe à pic.
Un système-sur-puce d’Intel.
Apple a longtemps été le premier client de TSMC, ce qui lui permettait de dicter les orientations et l’activité du géant taïwanais. C’est moins le cas aujourd’hui, la demande du secteur de l’IA est telle que c’est devenu le principal moteur de la croissance de TSMC. NVIDIA devrait ainsi prendre la première place dans le carnet de commandes de l’entreprise cette année, selon Tim Culpan.
Avoir sous la main un autre fournisseur est donc une opportunité intéressante pour Apple, qui sait mieux que personne négocier les prix les plus bas. Et pour Intel, c’est également une bonne affaire : depuis l’arrivée de Lip-Bu Tan l’an dernier à la tête du groupe en mars 2025, il fait des pieds et mains pour attirer de nouveaux clients. Avec un succès indéniable : NVIDIA et Tesla ont signé pour produire des puces dans les usines Intel. Et le tour d’Apple semble tout proche.
Intel, qui était alors au bord du gouffre, a bénéficié d’un gros coup de pouce de l’administration Trump. Le gouvernement s’est porté acquéreur de 9,9 % du capital du groupe, rompant au passage avec l’habituelle politique de laissez-faire économique américaine. Le WSJ rapporte que Donald Trump aurait personnellement fait l’article d’Intel auprès de Tim Cook, un familier de la Maison Blanche.
Le retour de puces fabriquées par Intel dans des produits Apple serait en tout cas un joli pied de nez de l’histoire, même s’il n’est pas question d’abandonner l’architecture ARM pour revenir au x86. En 2006, le constructeur de Cupertino intégrait les processeurs Intel dans ses Mac avant de commencer à s’en débarrasser à partir de 2020, pour les remplacer par des puces de sa conception. Une transition qui s’est achevée en 2023 avec le premier (et ultime : Apple ne le propose plus aucune tour à la vente) Mac Pro tournant sur du silicium Apple.
Le Fitbit Air est un nouveau bracelet de suivi de l’activité physique et sportive. Sans écran et relativement abordable, c’est un cheval de Troie vers le nouveau coach IA sur abonnement de Google.
Retour aux fondamentaux pour Fitbit. En 2012, le fabricant lançait un de ses premiers bracelets de suivi grand public, un simple moniteur d’activité porté au poignet. Ses successeurs ont connu un succès tel que le nom « Fitbit » est devenu synonyme de ce type de produit. L’entreprise a ensuite diversifié son catalogue avec des montres connectées et des bracelets équipés d’écran.
Un bracelet à oublier au poignet
En 2021, Google se porte acquéreur de Fitbit et décide de déshabiller Pierre pour habiller Paul : les fonctionnalités et les algorithmes développées par Fitbit renforcent l’écosystème Google, notamment la famille Pixel Watch. Mais de son côté, la marque autrefois emblématique, perd peu à peu de son lustre sans toutefois rejoindre le fameux « cimetière Google ».
Le géant du web n’a pas complètement remisé Fitbit au placard : la marque a en effet lancé un tout nouveau produit original… enfin presque, puisqu’il rappelle les premiers temps de l’entreprise. Le Fitbit Air est en effet un module de suivi de l’activité, sans écran, qui se glisse dans un bracelet. Le boîtier, épais de 8,3 mm, pèse 5,2 grammes. Conçu en polycarbonate, il embarque un cardiofréquencemètre, des capteurs de saturation en oxygène (SpO2), un capteur de température qui mesure la température de la peau, ainsi qu’un moteur vibrant.
Ainsi armé, le Fitbit Air va relever la fréquence cardiaque (et même repérer les signaux de fibrillation auriculaire), compter le nombre de pas et les distances parcourues, mesurer la qualité du sommeil, détecter automatiquement un entraînement. Le module saura aussi vibrer au poignet pour vous réveiller. La batterie devrait assurer une autonomie jusqu’à 7 jours.
Le coach qui sait tout
Pour 99,99 euros, le Fitbit Air se situe plutôt dans la bonne moyenne de prix pour ce genre de produits (le Polar Loop, lui aussi sans écran, est vendu 180 euros). Mais ce qui distingue ce bracelet d’un autre, c’est — évidemment, pourrait-on dire — la présence envahissante de l’IA générative et de Gemini. L’appareil remplit des fonctions basiques gratuitement, mais les utilisateurs qui voudront aller plus loin sont fortement invités à souscrire à un abonnement Coach Google Health.
Dormez sur vos deux oreilles, Google vous regarde
Ce service a été dévoilé en octobre dernier, et il est disponible depuis sous la forme d’un aperçu public. Le lancement du Fitbit Air est son baptême du feu auprès du consommateur. Facturé 8,99 euros par mois, il est inclut dans les formules AI Pro et Ultra de Google.
Le porteur du Fitbit Air (ou d’une Pixel Watch) peut poser des questions à un bot santé, obtenir des programmes de remise en forme personnalisés en fonction de son style de vie, des infos plus détaillées sur le sommeil (tant il est vrai que cette mesure brute n’est pas très utile), une bibliothèque d’entraînements et de séances de pleine conscience, et « des informations proactives » sur le bien-être. Le coach peut par exemple remarquer que la variabilité de fréquence cardiaque s’est améliorée.
Le coach est accessible dans l’application mobile Android et iOS Google Health, qui remplacera l’app Fitbit (déshabiller Pierre…). Ce modèle « bracelet + IA sur abonnement » ne sort pas de nulle part : il a fait le succès de l’offre Whoop. Google se positionne donc sur ce marché du suivi de la santé facturé mensuellement, avant que d’autres ne se lancent à leur tour (tous les yeux sont tournés vers Apple).
Les fournisseurs IA s’intéressent également à la santé, comme on l’a vu en début d’année avec ChatGPT Santé. Mais le coach de Google a un avantage : il accède à une montagne de données mises à jour chaque jour par le bracelet, ce qui devrait lui éviter quelques uns des écueils des nouveaux LLM santé.
Une information judiciaire a été ouverte par le parquet de Paris contre X (anciennement Twitter), Elon Musk et l’ex-directrice générale du réseau social, Linda Yaccarino. Une procédure qui s’ajoute à un dossier déjà bien épais.
La justice française n’en a pas terminé avec X. Le parquet de Paris avait ouvert une enquête préliminaire en janvier 2025 pour deux infractions potentielles : manipulation volontaire de l’algorithme et exploitation de données personnelles pour afficher de la publicité ciblée. La procédure découle des signalements du député Renaissance des Côtes-d’Armor, Éric Bothorel.
En juillet dernier, le parquet précisait ses soupçons : le réseau social chercherait à « biaiser le débat démocratique en France ». L’enquête avait été confiée aux bons soins des gendarmes de l’Unité nationale cyber. Elle portait entre autres sur l’« altération du fonctionnement d’un système de traitement automatisé de données en bande organisée, ainsi que l’extraction frauduleuse de données d’un système de traitement automatisé de données en bande organisée ».
X avait alors refusé d’ouvrir ses algorithmes, niait les allégations, notamment d’ingérence étrangère, et dénonçait une enquête motivée par des considérations politiques. Selon l’entreprise, la procédure porterait gravement atteinte à la liberté d’expression. Par conséquent, le réseau social a refusé de donner suite aux demandes du parquet et des gendarmes.
L’enquête portait également sur des infractions de contestation de crimes contre l’humanité, et la présence de messages à caractère antisémite et négationniste par Grok. En début d’année, le dossier s’était alourdi des faits d’atteinte à la représentation de la personne, en raison de l’explosion d’images générées par IA représentant des femmes et des mineures dénudées sans consentement.
Le 3 février, une perquisition était diligentée dans les locaux français du réseau social par la section de lutte contre la cybercriminalité du parquet de Paris.
Le 20 avril, Elon Musk et une vingtaine de dirigeants convoqués par la justice pour témoigner devant la section cyber ne se sont pas présentés. Mais l’enquête se poursuit malgré tout et franchit un nouveau cap : Le Monde rapporte maintenant l’ouverture ce mercredi 6 mai d’une information judiciaire contre X, Elon Musk et Linda Yaccarino, la directrice générale jusqu’en 2025.
Cela signifie que les faits sont considérés comme suffisamment graves ou sensibles pour qu’un juge d’instruction instruise le dossier avec des pouvoirs d’enquête étendus (perquisitions, saisies de documents, réquisitions techniques, auditions sous serment, etc.).
Un pas en avant, deux pas en arrière. La mise en œuvre des mesures inscrites dans l’AI Act européen continue de danser la gigue, avec le report de plusieurs dispositifs ; en revanche, les protections contre les deepfakes non consensuels et les apps permettant de dénuder des personnes sont renforcées.
L’AI Act est entré en application en février 2025. Son objectif : « promouvoir l’adoption d’une IA axée sur l’humain et digne de confiance ». Difficile de s’opposer à une telle lettre de mission, mais la portée et la mise en œuvre des différents dispositifs du texte européen restent sujettes à modification… et même à des reculs.
Le Parlement européen et le Conseil de l’UE sont ainsi tombés d’accord sur l’omnibus dédié au numérique proposé par la Commission européenne en novembre dernier. Il a pour objet de « simplifier » les régulations pesant sur les entreprises. Plusieurs mesures, qui concernent l’implémentation du règlement sur l’IA, auraient été influencées par des « oligarques de la tech », comme le dénonçaient en début d’année des organisations spécialisées dans la surveillance des lobbies.
Le calendrier de l’AI Act bousculé
L’accord annoncé ce jeudi 7 mai modifie deux dates limites. Les règles applicables aux systèmes d’IA utilisés dans les domaines à haut risque (biométrie, infrastructures critiques, éducation, emploi, migration, droit d’asile, contrôle aux frontières) entreront en vigueur à compter du 2 décembre 2027. Soit 16 mois de délai, puisque la précédente date avait été fixée au 2 août 2026. Quant aux systèmes intégrés dans des appareils comme des jouets ou des ascenseurs, les règles ne s’appliqueront qu’à compter du 2 août 2028.
« Ce calendrier progressif doit permettre de s’assurer que les normes techniques et les autres outils d’accompagnement seront en place avant l’entrée en application des règles », écrit la Commission. Pas question de parler de reculade, Bruxelles cherche plutôt à faire valoir son pragmatisme : « Avec des règles plus simples et plus favorables à l’innovation, nous facilitons l’innovation sans abaisser les exigences en matière de sécurité », affirme ainsi Henna Virkkunen, vice-présidente de la Commission en charge de la Souveraineté technologique.
De nombreuses entreprises du secteur font pression sur l’exécutif européen pour adoucir l’AI Act, en particulier face aux États-Unis et à la Chine qui avancent très rapidement. Le 4 mai, en plein débat sur l’omnibus, Airbus, Mistral AI, Nokia ou encore ASML ont ainsi signé une lettre ouverte (une de plus) déplorant « des règles étouffantes, inutilement complexes et souvent redondantes, qui rendent extrêmement difficile le fait de suivre le rythme des avancées technologiques ».
Dont acte : en plus de ces reports, l’accord prévoit également « des règles simplifiées et une gouvernance plus claire ». Des avantages accordés à des PME vont s’étendre aux entreprises de taille intermédiaire. Des clarifications ont été apportées sur l’articulation entre l’AI Act et d’autres législations européennes sur la sécurité des produits afin d’éviter les doublons. Les fournisseurs d’IA auront accès à des « bacs à sable » réglementaires pour tester leurs solutions.
Les instances européennes en ont également profité pour intégrer des renforcements de la protection contre les apps de deepfakes non consensuels : l’accord interdit ainsi les systèmes IA qui génèrent du contenu à caractère sexuel explicite sans consentement et des images sexualisées d’enfants. Une réponse aux exactions de Grok en début d’année.
Dans le détail, cette interdiction s’appliquera à la mise sur le marché de systèmes IA ayant pour but de créer de tels contenus, ou qui n’ont pas mis en place de mesures de sécurité pour empêcher la création de ce type de contenus. Les entreprises auront jusqu’au 2 décembre 2026 pour se mettre en conformité.
La loi retarde également l’application des obligations de marquage numérique (« watermarking» en VO) des contenus générés par l’IA au 2 décembre 2026 (au lieu du 2 février 2027, comme le prévoyait la proposition de la Commission, et du 2 août 2026 comme initialement adopté dans l’AI Act), censées permettre de détecter et de retracer les contenus générés par IA.
Anthropic traverse une crise de croissance : les services proposés par la startup sont toujours plus populaires, mais les capacités de calcul ne sont pas extensibles à l’infini. Un nouvel accord avec SpaceX donne de l’air à Claude.
Anthropic a signé avec SpaceX pour accéder à la puissance de calcul de Colossus 1, le centre de données installé dans le Tennessee qui contient plus de 220 000 GPU de NVIDIA. Le labo IA va tout simplement utiliser l’intégralité des capacités de l’infrastructure, soit l’équivalent de 300 mégawatts de puissance de calcul. Un coup de turbo bienvenu, notamment pour l’inférence des services d’Anthropic, très courus.
Grok prête ses GPU
L’engouement pour Claude ne faiblit pas, en particulier du côté des entreprises et des développeurs : cette activité florissante permet à Anthropic d’afficher un chiffre d’affaires annualisé dépassant les 30 milliards de dollars. Revers de la médaille : Claude a du mal à suivre. L’entreprise a ainsi testé la suppression de l’option Claude Code de l’abonnement Claude Pro et imposé des limites d’usage durant les heures de pointe histoire de soulager ses serveurs.
Image : SpaceX
Si on ne connait pas les détails financiers de l’accord, il devrait donc satisfaire les deux parties. SpaceX va trouver quelque chose à faire faire à Colossus 1, et Anthropic accède à une réserve de puissance dont il a bien besoin.
D’ailleurs, la startup annonce dans la foulée la suppression des restrictions d’usage pendant les heures les plus chargées sur Claude Code (comptes Pro et Max), le relèvement du plafond des heures de Claude Code pour tous les abonnés (la quantité de tokens allouée par période de cinq heures est doublée), ainsi qu’une forte hausse des maximums d’entrées et de sorties de l’API pour Claude Opus.
Anthropic avait récemment signé pour 5 gigawatts avec Amazon, dont 1 GW dès la fin de l’année et pour 5 GW supplémentaires avec Google et Broadcom qui seront disponibles en 2027. Par ailleurs, un partenariat stratégique a été noué l’an dernier avec Microsoft et NVIDIA qui inclut 30 milliards de dollars de capacité Azure.
Et puisque tout cela n’est pas suffisant, Anthropic s’intéresse également au développement de centres de données en orbite, la dernière marotte de SpaceX dont la faisabilité reste encore à démontrer. L’entreprise l’admet d’ailleurs : « Si les obstacles techniques peuvent être surmontés, l’informatique spatiale offre une source d’énergie durable quasi illimitée, avec un impact moindre sur la Terre », explique-t-elle. C’est un grand « si ».
En attendant, il faudra s’arranger avec les datacenters installés sur le plancher des vaches. Construit en 122 jours, Colossus 1 est devenu opérationnel en juillet 2024, où il sert principalement à entraîner Grok, le chatbot de xAI, et à d’autres activités en lien avec les entreprises d’Elon Musk. xAI, désormais intégré dans SpaceX, avait l’ambition de l’équiper d’un million de GPU, mais on en est encore loin.
Quant au projet d’extension Colossus II annoncé en mars 2025, il se fait plus discret. Ses capacités de calcul sont utilisées pour entraîner les modèles de SpaceX, comme l’a confirmé Elon Musk.
Le milliardaire, actuellement en pleine bisbilles de prétoires contre OpenAI, a tressé des lauriers à Anthropic : « J’ai passé beaucoup de temps la semaine dernière avec des membres seniors de l’équipe d’Anthropic afin de comprendre ce qu’ils font pour s’assurer que Claude soit bénéfique pour l’humanité, et j’ai été impressionné. Toutes les personnes que j’ai rencontrées étaient très compétentes et tenaient énormément à faire ce qui est juste. Aucune n’a déclenché mon détecteur de malveillance ». Nous voilà rassurés.
Il se réserve tout de même le droit de reprendre ces capacités de calcul si l’IA d’Anthropic adoptait des « comportements nuisibles à l’humanité ». Il est quelque peu singulier de voir Elon Musk et Anthropic travailler ensemble : le premier défend un modèle IA complètement débridé et sans censure (et qui va trop loin), le second a bataillé contre le Pentagone pour imposer des limites à l’utilisation militaire de ses technologies. Ce qui lui a valu d’être blacklisté par l’administration Trump.
Se rapprocher d’un ancien conseiller du président américain ne peut pas faire de mal. Enfin, et ce n’est pas négligeable, cet accord intervient alors qu’Anthropic et SpaceX préparent très sérieusement leur introduction en Bourse.
Après le Go, les échecs et même StarCraft, DeepMind veut devenir maître d’un autre jeu, mais cette fois, ce sera autrement plus ardu : le laboratoire IA de Google s’attaque en effet au monument EVE Online.
Google DeepMind va jouer à EVE Online. Le MMORPG, lancé en 2003 et toujours bon pied bon œil, est un jeu bien particulier. Il permet à des milliers de joueurs d’évoluer dans une galaxie persistante, New Eden, sur un seul et même serveur mondial. L’économie est entièrement gérée par les joueurs, qu’il s’agisse du commerce et des ressources, tandis que les corporations se font et se défont au rythme des alliances de circonstance et des trahisons…
EVE Online offre un terrain de jeu potentiellement très fructueux pour le labo d’IA de Google, qui a déjà démontré ses capacités dans d’autres domaines, aux échecs ou au go bien sûr, mais aussi dans des jeux vidéo comme ceux d’Atari ou StarCraft II. EVE Online reste néanmoins un très gros morceau. Comme dans notre monde, New Eden est régulièrement secouée par des guerres, des campagnes d’influence, de l’espionnage industriel, de la manipulation de marché, de la propagande.
Les chercheurs IA et en sciences sociales s’intéressent à ce jeu plus particulièrement, car il produit des comportements émergents très riches où les joueurs sont amenés à coopérer, à créer des cartels, à spéculer, à s’organiser et même à développer des doctrines militaires et politiques. Ces interactions sociales complexes sont un terreau fertile : « C’est une simulation unique en son genre pour tester une intelligence artificielle généraliste dans un bac à sable sécurisé », explique Alexandre Moufarek, directeur de Google DeepMind.
Cette phase initiale de recherche se déroulera dans des environnements contrôlés et hors ligne d’EVE Online. « Cela ouvre la porte à des travaux qui correspondent parfaitement à l’esprit d’EVE : des problèmes complexes, des horizons à long terme, des possibilités étranges, et des personnes prêtes à explorer ce qui vient ensuite », se réjouit Hilmar Veigar Pétursson, directeur général de Fenris Creations, l’opérateur islandais du jeu.
La portée et la nature des travaux de DeepMind dans EVE Online sont encore assez floues, mais on en saura plus à l’occasion de la Fanfest la semaine prochaine. Une rencontre est prévue avec Adrian Bolton, un des fondateurs du laboratoire.
Ce partenariat intervient à un moment bien particulier dans l’histoire de EVE Online. Depuis 2018, le jeu était opéré par Pearl Abyss, un éditeur coréen qui vient de publier le hit Crimson Desert. L’entreprise a cédé à Hilmar Veigar Pétursson CCP Games, le studio à l’origine du jeu, rebaptisé Fenris Creations. Le tout contre un chèque de 120 millions de dollars, soit bien moins que les 225 millions de l’acquisition de CCP.
La somme comprend en outre 20 millions en crypto, en l’occurrence des tokens du jeu EVE Frontier qui doit toujours faire ses preuves. CCP/Fenris et Pearl Abyss semblent toujours croire dans cette monnaie virtuelle adossée à une blockchain. Malgré cette tambouille, Fenris se porte bien : non seulement Google DeepMind a pris une petite participation au capital du studio (de l’ordre de quelques millions de dollars), mais encore les résultats enregistrés fin 2025 ont été les plus solides de ces dernières années.
OpenAI a chipé OpenClaw au nez et à la barbe de Meta, mais qu’à cela ne tienne : le géant des réseaux sociaux développerait sa propre version de la plateforme d’agents IA avec « Hatch ».
Meta préparerait une armée d’agents IA, croit savoir le site The Information. Les tests de cet agent autonome baptisé Hatch (le nom pourrait changer) débuteraient dès le mois de juin. Des simulations auraient déjà été effectuées dans des environnements web reproduisant des sites comme DoorDash, Etsy, Yelp ou encore Outlook.
Ça n’est pas réellement une surprise : Mark Zuckerberg a déjà télégraphié ses intentions en matière d’agents durant les derniers résultats de Meta. Il expliquait alors vouloir créer des assistants capables de « comprendre [les] objectifs [des utilisateurs] et travailler jour et nuit pour les atteindre ». Hatch aurait été entraîné avec des modèles Claude Opus et Sonnet 4.6 d’Anthropic, mais la version finale devrait tourner avec Muse Spark, le nouveau LLM maison.
Illustration : Flock
Meta travaillerait plus spécifiquement sur la mémoire de l’agent, sa capacité à prendre des initiatives, la gestion des outils et la compréhension de longues séquences d’informations. C’est le talon d’Achille des agents IA qui ont encore tendance à halluciner, à se tromper sur les prix ou sur des fiches produit. Mark Zuckerberg a reconnu ces difficultés techniques, qui s’ajoutent à la nécessité de servir des milliards d’utilisateurs : il faut non seulement serrer tous les boulons à la technique, mais aussi disposer d’une infrastructure solide.
Si Hatch ressemble à OpenClaw, ça n’est pas vraiment une surprise : le groupe a bien tenté d’acquérir la plateforme d’agents autonomes, mais son créateur Peter Steinberger a préféré rejoindre les rangs d’OpenAI.
En parallèle, le groupe plancherait également sur un agent de shopping qui pourrait se lancer dans le courant du quatrième trimestre sur Instagram. Concrètement, les utilisateurs du réseau social seraient en mesure de toucher un produit présent dans un Reel ou dans leur fil de photos afin d’obtenir plus d’informations, et surtout pour pouvoir l’acheter directement depuis l’application.
Meta a dévoilé en mars une nouvelle « expérience de shopping » avec des fonctions IA capable de produire davantage d’informations sur tel produit, ainsi qu’un outil pour acheter ledit produit en un clic. Avec l’apport de cet agent IA dans Instagram, Meta espère mieux rivaliser avec les fonctions de commerce en ligne de TikTok.
Microsoft, Google et xAI vont donner au gouvernement américain un accès anticipé à leurs nouveaux modèles IA, pour permettre d’en évaluer les risques en matière de sécurité nationale avant qu’ils soient diffusés plus largement.
Les autorités états-uniennes ne veulent pas découvrir les capacités d’une IA en même temps que monsieur tout-le-monde (et les hackers). La présentation par Anthropic de Mythos, son dernier modèle le plus puissant, a suscité des craintes auprès des spécialistes de la cyberdéfense.
Entre les mains de pirates, une telle IA pourrait potentiellement faire des ravages en repérant et en exploitant des failles de sécurité dans des infrastructures critiques. C’est aussi la raison pour laquelle le déploiement de Mythos se limite à une cinquantaine d’organisations et d’entreprises.
Washington s’inquiéterait des risques que font peser ces modèles de frontière sur la sécurité nationale. En 2024, l’administration Biden mettait en place l’institut sur la sécurité de l’intelligence artificielle, une agence rattachée au département du Commerce. Rebaptisée CAISI (Center for AI Standards and Innovation) par le gouvernement Trump, elle occupe les mêmes fonctions : tester les modèles IA avant un déploiement public.
Le CAISI, qui avait déjà signé des accords avec OpenAI et Anthropic, va désormais obtenir un accès anticipé aux modèles de frontière de Microsoft, Google et de xAI. Ces entreprises livrent leurs modèles sans garde-fous : les chercheurs peuvent ainsi mesurer les capacités de ces IA dans des scénarios hostiles, sans leurs roulettes de sécurité.
Avant son changement de nom, le CAISI se concentrait surtout sur le développement de standards de tests de sécurité. Sa mission a quelque peu évolué, puisque le centre évalue maintenant les risques stratégiques et militaires des modèles IA. Il a réalisé une quarantaine d’évaluations de modèles dont certains n’ont pas encore été déployés auprès du grand public.
Microsoft confirme le travail avec le CAISI pour sonder des « comportements inattendus » de ses modèles, a précisé l’éditeur auprès de Reuters. L’entreprise a également signé un accord similaire avec l’AI Security Institute britannique.
Les relations entre l’administration américaine et les acteurs de l’IA continuent donc de s’approfondir. La semaine dernière, le Pentagone annonçait un accord avec plusieurs fournisseurs d’IA pour exploiter leurs modèles dans des missions secret défense. Anthropic est exclue du lot… même si Mythos pourrait tout de même être utilisé.
Le petit monde de la logistique compte un nouvel acteur, et pas des moindres : Amazon a en effet annoncé que son infrastructure de distribution mondiale peut maintenant être utilisée par n’importe quelle entreprise, y compris si elle ne vend rien sur Amazon. Rude concurrence pour UPS, DHL ou encore FedEx.
Amazon espère refaire le coup d’AWS. La plateforme d’hébergement en ligne avait été lancée en 2006, d’abord pour moderniser l’infrastructure interne du géant du e-commerce. Elle s’est ensuite ouverte à d’autres entreprises, avec le succès que l’on sait : AWS est aujourd’hui un des plus grands fournisseurs infonuagiques au monde.
Avec Amazon Supply Chain Services (ASCS), le mastodonte états-unien reprend la même stratégie, mais pour la logistique. Amazon exploite une gigantesque flotte comptant plus de 100 avions, 80 000 camions, 24 000 containers, un système d’approvisionnement et de distribution de premier plan, sans oublier la livraison du dernier kilomètre assurée par ses bons soins ou par des livreurs tiers.
Image : Amazon
Jusqu’à présent, ce réseau était au service d’Amazon et des vendeurs tiers de sa boutique. Depuis 2006, plus de 80 milliards d’articles provenant de vendeurs indépendants ont transité par la gestion logistique des commandes d’Amazon (préparation, emballage, expédition, gestion des retours), des opérations complexes et coûteuses sur le plan opérationnel quand on est un vendeur solo.
Avec le temps, le groupe a ajouté de nouveaux services de transport, de dédouanement, de stockage en gros et de distribution sur plusieurs canaux de vente. « Les vendeurs qui utilisent ces solutions de bout en bout enregistrent des ventes supérieures d’environ 20 % », affirme Amazon.
Le groupe a annoncé l’ouverture d’ASCS aux entreprises de toutes tailles et de tous types (santé, automobile, industrie, commerce de détail…), pas besoin de vendre quoi que ce soit sur Amazon. Ce sont de nouvelles capacités de fret, de distribution et de livraison qui vont concurrencer celles des autres poids lourds du secteur.
Plusieurs clients utilisent déjà des services d’ASCS : Procter & Gamble fait transporter des matières premières vers ses sites de production, puis les achemine à travers son réseau de distribution ; 3M se sert du fret Amazon pour déplacer ses produits depuis ses sites de production vers les centres de distribution.
Selon le cabinet d’études Grand View Research, le marché mondial de la logistique au sens strict (transport, entreposage et distribution des marchandises) pèse près de 4 000 milliards de dollars, et il pourrait frôler les 6 000 milliards en 2030. Si tout le monde en connait les principaux représentants, le marché est en fait très fragmenté, avec des milliers d’acteurs locaux et régionaux. L’arrivée d’Amazon, avec sa puissance de feu, a toutes les allures d’un chien au milieu d’un jeu de quilles.
La facture va-t-elle arriver pour les acteurs de l'IA ?
Plus de 80 organisations culturelles appellent au vote rapide par l’Assemblée nationale d’une proposition de loi adoptée par le Sénat sur la présomption d’utilisation des contenus par les fournisseurs d’IA. Un texte qui donne à l’industrie culturelle un levier contre le « pillage généralisé » de leurs créations.
Le 8 avril, le Sénat adoptait la proposition de loi « relative à l’instauration d’une présomption d’exploitation des contenus culturels par les fournisseurs d’intelligence artificielle ». Voté à l’unanimité, le texte instaure donc une présomption d’exploitation d’une œuvre par un opérateur d’IA.
La culture presse le pas
La proposition renverse la charge de la preuve, puisque c’est au fournisseur d’IA de prouver qu’il n’a pas utilisé une œuvre. « Ce ne sera plus au créateur de prouver le moissonnage de son œuvre », décryptait l’auteure de la proposition de loi, la sénatrice Agnès Evren (LR). Les entreprises de l’IA font régulièrement l’objet de plaintes pour avoir pioché sans ménagement ni autorisation dans des ouvrages ou des créations protégés par le droit d’auteur.
Le texte est désormais entre les mains de la commission des affaires culturelles et de l’éducation, en attendant son examen par les députés. Histoire d’accélérer la cadence, 81 organisations du secteur de la culture et de l’information – parmi lesquelles l’ADAMI, la SCAM, la SACEM ou le SNEP – appellent [PDF] à une inscription rapide de la proposition de loi à l’ordre du jour de l’Assemblée nationale.
La présomption mise en place par le texte « rééquilibre le rapport de force entre nos secteurs culturels et les entreprises de l’IA » et « crée donc les conditions d’un dialogue pour installer une nouvelle chaîne de valeur », écrivent les signataires. Ils ajoutent ne pas pouvoir continuer à « accepter qu’un secteur économique se construise sur le pillage généralisé d’un autre secteur au mépris de l’État de droit, alors qu’il existe une alternative vertueuse au bénéfice de tous. »
Les organisations veulent la mise en place d’un « marché de licences volontaires » qui garantirait la compétitivité de la presse et des industries culturelles, ainsi que leur capacité d’investissement. Il est aussi question de la sécurité juridique comme « avantage concurrentiel » au bénéfice des modèles et d’une « IA responsable, tournée vers l’humain ».
Présomption d’exploitation contre exception au droit d’auteur
Les secteurs de la culture et de l’information sont « prêts à s’adapter au modèle économique de leurs futurs partenaires », mais encore faut-il qu’ils viennent à la table des négociations. C’est tout le sens de la loi votée par le Sénat, mais son passage tel quel à l’Assemblée nationale n’est pas gagné.
Le gouvernement s’est en effet montré plus réservé sur le fond. « Tous les acteurs économiques qui ont développé des modèles d’IA – entreprises du CAC 40, TPE-PME, start-up – risqueraient un contentieux, ce qui serait dévastateur pour notre économie », expliquait Anne Le Hénanff, ministre déléguée chargée de l’intelligence artificielle et du numérique. « Le contentieux ne peut pas constituer notre unique horizon, car il entraîne des risques », posait prudemment Catherine Pégard, ministre de la Culture. « Mieux vaut un bon accord qu’un mauvais procès. »
Cette « présomption d’exploitation des contenus » va en tout cas à rebours de ce qui se passe ailleurs dans le monde. Au Royaume-Uni, une réforme du copyright prévoyait une exception au droit d’auteur pour permettre l’entraînement de modèles IA à des fins commerciales, sans autorisation préalable. Il revenait aux créateurs de s’opposer à l’usage de leurs œuvres. La mobilisation des artistes et de la société civile ont forcé le gouvernement à suspendre temporairement ce projet.
Au niveau de l’Union européenne, le Parlement européen a voté le 11 mars dernier les recommandations du rapport d’Alex Voss sur le droit d’auteur et l’intelligence artificielle générative. Parmi ses propositions : une « présomption réfragable » qui s’appliquerait en cas de manque de transparence sur les données d’entraînement des modèles. La proposition du Sénat vise cependant plus large, puisqu’elle facilite les recours des ayants droit.
La nouvelle patronne de la division Xbox met un terme aux développements liés à l’IA dans l’environnement de jeu de Microsoft et annonce le retrait des fonctions Copilot déjà implémentées.
Asha Sharma continue d’imprimer sa marque dans la division Xbox qu’elle dirige depuis le mois de février. Après avoir imposé ses troupes à la direction de ce qui s’appelait auparavant Microsoft Gaming, elle annonce le retrait du Copilot Xbox sur mobile et l’arrêt du développement de Copilot sur les consoles. Un virage pour le moins surprenant, mais dans la droite ligne des changements structurels indispensables selon elle pour permettre à Xbox de rebondir.
La nouvelle boss de Xbox ne s’interdit rien. Asha Sharma, qui bénéficie visiblement d’une grande marge de manœuvre de la part de la direction de Microsoft, a déjà pu baisser les prix de plusieurs formules du Game Pass. Elle a également les coudées franches pour opérer des changements encore plus profonds : la version de Copilot dédiée aux jeux vidéo est « mise en retrait » sur les smartphones. Et le développement de Copilot sur les consoles Xbox est tout simplement arrêté.
Adieu Copilot pour l’app Xbox, on te connaissait à peine.
Il existe trois versions de Copilot pour le jeu vidéo, une initiative présentée en mars de l’année dernière : pour les PC sous Windows 11 depuis septembre 2025, pour les smartphones dans l’app mobile Xbox depuis novembre, et une déclinaison pour les consoles Xbox Series S/X qui devait sortir courant 2026.
La directrice générale de Xbox ne précise pas le sort qui sera fait au Gaming Copilot de Windows, mais les deux autres versions sont maintenant sur une voie de garage. Le principe est le même pour toutes les moutures : un bot conversationnel censé aider le joueur qui peut lui poser des questions concernant le gameplay d’un jeu.
La décision d’Asha Sharma a ceci de surprenante qu’elle est un transfuge de CoreAI, la division de Microsoft en charge des plateformes IA de l’éditeur. Mais, comme elle l’a indiqué à plusieurs reprises, tout est sur la table pour redresser Xbox. « Nous ne privilégierons pas l’efficacité à court terme ni n’inonderons notre écosystème de bouillie IA », affirmait-elle lors du passage de témoin avec Phil Spencer. « Xbox doit accélérer, renforcer ses liens avec la communauté et réduire les frictions. Vous nous verrez commencer à retirer les fonctionnalités qui ne correspondent pas à notre direction », a-t-elle ajouté hier.
Le mémo-manifeste « We Are Xbox » publié fin avril confirmait la volonté de réévaluer l’approche de la division sur « les exclusivités […] et l’IA ». On pensait que Copilot, le bébé de Microsoft et fer de lance de la stratégie IA de l’éditeur, allait passer au travers des gouttes, mais non. Asha Sharma a peut-être été guidée par un certain pragmatisme : le nombre d’utilisateurs de ces versions de Copilot pour le jeu est certes secret-defense, mais on peut se risquer à penser que l’engouement n’était pas au rendez-vous.
Quelques heures plus tôt, elle annonçait une vaste réorganisation à la tête de la division en plaçant à des postes-clé des personnes de confiance, venant majoritairement de CoreAI : ingénierie, abonnements, design, développement… « Aujourd’hui, nous avons promu des responsables qui ont contribué à construire Xbox, tout en faisant entrer de nouvelles voix pour nous aider à avancer. Cet équilibre est important pour remettre l’activité sur les rails », explique-t-elle.
Le prochain grand rendez-vous pour Xbox et pour Asha Sharma est d’ores et déjà connu : le showcase Xbox du 7 juin, où il s’agira de fêter comme il se doit les 25 ans de Xbox.
Apple n’en finit pas de payer les errements de son intelligence artificielle. Dévoilée en grande pompe en juin 2024, la version « personnalisée » de Siri n’est toujours pas disponible, deux ans plus tard. Ce qui n’a pas empêché le constructeur d’en faire la promotion dans des spots de pub qui vont lui coûter très cher.
Apple paie les pots cassés d’Apple Intelligence. Un arrangement à l’amiable de 250 millions de dollars a été proposé par le constructeur pour éteindre un recours collectif lancé en Californie l’an dernier. Les plaignants expliquent qu’Apple a fait la promotion de « capacités IA qui n’existaient pas à l’époque, qui n’existent toujours pas, et qui n’existeront pas dans les deux prochaines années ou plus ».
De la publicité trompeuse donc, qui s’incarnait dans des spots diffusés à la télé américaine après le lancement de la gamme d’iPhone 16, en septembre 2024. On y voyait Bella Ramsey, actrice des séries Game of Thrones et The Last of Us, parler avec une version de Siri aux stéroïdes, capable de croiser des informations provenant de plusieurs apps et d’exploiter le contexte d’utilisation pour répondre aux questions. Apple a d’ailleurs discrètement supprimé une de ces publicités, qui présente un assistant n’existant toujours pas à l’heure actuelle. Heureusement, internet a de la mémoire :
Apple a fini par livrer une grande partie des fonctionnalités IA présentées durant la WWDC 2024. Toutes… sauf ce « Siri 2.0 », faute de modèle IA suffisamment performant pour prendre en charge les nouveautés dédiées à l’assistant. Les reports à répétition ont provoqué une crise en interne, qui a débouché sur une réorganisation de la division IA et le départ de son principal responsable, John Giannandrea.
Si la prudence s’impose, le « Siri personnalisé » devrait finalement apparaitre dans iOS 27. Début janvier, Apple confirmait un accord avec Google pour utiliser les modèles de Gemini pour alimenter ses futures fonctions IA, dont l’assistant.
Quant à la class action, le chèque proposé par Apple doit encore être validé par le juge en charge du dossier. Si l’accord est approuvé, il s’agira d’un des règlements judiciaires les plus importants jamais conclus par l’entreprise. Il ne comporte aucune reconnaissance de faute de la part d’Apple.
Connexion
