22,99 euros par mois pour discuter avec Alexa

Alexa+, la version dopée à l’IA générative de l’assistant Amazon, est désormais proposé en accès anticipé en France. Un accès gratuit jusqu’à cet automne, puis il faudra mettre la main à la poche ou être abonné Prime.

Après de longues années de développement et un déploiement très progressif aux États-Unis à partir de mars 2025, Alexa+ est finalement disponible en France depuis le 26 mai. Là aussi, Amazon orchestre un lancement prudent, sous la forme d’un accès anticipé ouvert aux possesseurs d’un appareil Echo compatible (les modèles anciens de première génération sont exclus). Les clients recevront un courriel ou une notification pour les informer qu’ils peuvent activer le nouvel assistant.

Alexa+ taillée pour la France

L’accès anticipé s’élargira au fil des prochaines semaines, avec un usage d’Alexa+ gratuit « au moins » jusqu’au 15 septembre. Ensuite, il faudra faire un choix : soit s’abonner à Amazon Prime, auquel cas l’IA continuera d’être accessible sans frais supplémentaire, soit souscrire un abonnement spécifique facturé 22,99 euros par mois.

Un prix salé qui rapproche Alexa+ d’un abonnement premium à ChatGPT ou Claude… et qui pourrait pousser Amazon à relever les tarifs de Prime, mais on n’en est pas encore là. À noter qu’Alexa « tout court », la version standard et complètement gratuite (mais limitée) de l’assistant, continuera d’être disponible sur les appareils éligibles.

Mais Amazon veut s’assurer que l’on préférera la version + d’Alexa qui se distingue par ses capacités conversationnelles. À l’instar de ChatGPT ou de Gemini, les interactions se veulent fluides et naturelles et l’on peut parler de tout et de rien. Amazon oblige, le shopping et le commerce en ligne ont une place prépondérante : Alexa+ pourra ainsi se connecter à des services comme TheFork et Tripadvisor pour réserver un restaurant ou planifier un voyage.

L’entreprise met aussi l’accent sur ce qu’elle appelle « l’IA ambiante », qui permet à Alexa+ d’anticiper les besoins de l’utilisateur en fonction de ses petites habitudes. Par exemple, en lançant toute seule la machine à café au réveil. Rêve ou cauchemar, on verra si l’intrusion de l’assistant dans la vie de tous les jours sera appréciée. À l’instar de la version sans IA, Alexa+ peut aussi contrôler les appareils domotiques.

• Alexa+, l’agent conversationnel d’Amazon, peut désormais générer des podcasts par IA

Alexa+ n’est pas le chatbot d’un seul modèle IA. Amazon exploite son service cloud dédié au déploiement de modèles (Bedrock) pour proposer un service en forme de gare de triage, capable de distribuer les requêtes aussi bien vers les propres modèles Nova d’Amazon que vers des modèles concurrents d’Anthropic ou de Mistral. Plus de 70 LLM sont utilisés par l’assistant, ce qui est censé lui permettre de répondre de manière plus précise aux requêtes de l’utilisateur. Comme l’explique l’entreprise, les capacités nécessaires à la domotique diffèrent de celles qui génèrent des conversations sur la pluie et le beau temps.

Une gare de triage IA

Les modèles de Mistral sont notamment mis à contribution « pour évaluer la précision et la qualité des réponses d’Alexa dans les langues autres que l’anglais ». Amazon martèle que la version française d’Alexa+ offre une expérience « culturellement pertinente, authentiquement locale ». L’assistant est en effet censé comprendre notre sens de l’humour et notre argot : « [Il] est en phase avec notre musique, notre cuisine et nos passions » et connait tout du débat entre pain au chocolat et chocolatine, par exemple.

Amazon veut s’épargner les débats gênants sur la confidentialité des données et de la vie privée. Un tableau de bord dédié permet ainsi de consulter et gérer les interactions avec Alexa+ : on pourra ainsi « écouter exactement » ce que l’assistant a entendu, et supprimer des enregistrements audio envoyés dans le cloud. L’entreprise rappelle aussi qu’Alexa n’envoie ces extraits sur ses serveurs que si l’appareil détecte le mot d’activation (ça va mieux en le disant).

Quand un enfant discute avec Alexa+, un système de modération renforce les garde-fous et les protections conçues pour les minots. Il est aussi prévu que l’assistant soit disponible via un navigateur web, ce qui lui donnera des fonctions plus productives (résumés d’articles, rédaction de messages, création d’images, etc.).

Tout ce qui brille n’est pas IA. Plusieurs entreprises commencent à se rendre compte qu’il n’est pas forcément rentable d’injecter cette technologie dans tout et n’importe quoi.

Pour Andrew Macdonald, le directeur des opérations d’Uber, il est de plus en plus difficile de justifier les coûts liés à l’usage de l’IA générative. Invité du podcast Rapid Response, il a expliqué qu’une consommation élevée de tokens n’aboutissait pas nécessairement à une augmentation proportionnelle des fonctions utiles pour le consommateur.

« Ce lien n’existe pas encore, n’est-ce pas ? », se demande-t-il. « Implicitement, je pense qu’il y a peut-être davantage de [fonctions] qui sont livrées, mais il est très difficile d’établir un lien clair entre [les tokens consommés] et le fait de se dire : « D’accord, maintenant nous produisons réellement 25 % de fonctionnalités utiles en plus pour les consommateurs » ».

Ce constat n’est pas isolé au sein d’Uber. En avril, le directeur technique de la plateforme VTC, Praveen Neppalli Naga, s’était étonné chez The Information d’avoir explosé son budget IA de l’année… en seulement quatre mois. Il expliquait alors que 70 % environ du code validé provient d’outils IA, tandis que les dépenses oscillent entre 500 et 2 000 $ par mois et par développeur. Les coûts liés à l’IA chez Uber ont été multipliés par six depuis 2024.

L’IA n’est pas « gratuite », poursuit Andrew Macdonald. Ça peut sembler être le cas quand on est un utilisateur lambda, mais la situation est très différente pour une entreprise. Cette petite musique commence à s’entendre un peu partout dans l’industrie ; les gains en productivité ne sont pas nécessairement au rendez-vous, tandis que des pratiques comme le tokenmaxxing montrent les limites de l’exploitation à outrance de cette technologie.

• Quand l’IA agentique coûte plus cher que de payer ses employés humains

Vote assisté par chatbot

L’IA générative s’invite dans les urnes. Durant les dernières élections municipales, environ un électeur sur six a utilisé cette technologie pour trouver leur candidat idéal. À moins d’un an de la présidentielle, elle pourrait prendre une part plus importante chez les Français pour conforter leur choix, ou pour en changer.

L’IA a tenu un rôle singulier durant les élections municipales de cette année : celui d’outil d’information mais aussi (surtout) d’aide à la décision. Une étude Toluna Harris Interactive réalisée pour M6 et RTL, et publiée par le think tank Terra Nova, montre que l’IA ne peut plus être considérée comme quelque chose de marginal ou d’expérimental, alors que l’élection présidentielle commence à se profiler.

L’IA loin d’être une source d’information importante (pour l’instant)

Ainsi, 16 % des Français ont utilisé l’IA pour les aider à faire leur choix pendant ces élections : 7 % pour confirmer leur candidat, 5 % pour influencer sur un choix, et 4 % pour aider à la décision. Les chatbots risquent donc bien d’être sollicités pour les prochaines élections, au-delà des sites web non partisans qui proposent d’éclairer une décision ou de donner une direction.

• MonVote2027 : dans les coulisses du « quiz citoyen » pour les présidentielles

Entre 40 à 50 % des personnes interrogées ont été confortées dans leur choix, entre 30 à 40 % disent avoir changé d’avis, et entre 20 à 30 % que l’IA a aidé dans la décision. Autres chiffres intéressants : les hommes ont plus volontiers eu recours à l’IA que les femmes (20 % contre 10 %), tout comme les jeunes (35 % des moins de 25 ans) par rapport aux personnes âgées (1 % des seniors).

Public Sénat rappelle la déclaration d’Emmanuel Macron qui, en novembre dernier, se demandait qui ChatGPT allait recommander de voter aux utilisateurs qui lui poseraient la question pour les municipales et la présidentielle. « On va rentrer dans un autre monde », avait ajouté le chef de l’État, sachant que le fonctionnement de ces IA relève de la boîte noire et qu’elles peuvent relativement facilement se faire « empoisonner » par de faux documents/sites… qui peuvent être publiés à la chaine par des IA génératives.

• 250 documents suffisent à empoisonner l’entraînement d’une IA
• [Récap] Nous avons découvert des milliers de sites d’info générés par IA : tous nos articles

« Les IA […] posent la question de savoir comment se forgent les opinions politiques », explique ainsi Jean-Daniel Lévy, l’auteur de l’étude réalisée le 15 mars (premier tour du scrutin) auprès de 4 145 personnes dans des communes de 3 500 habitants et plus.

Il faut savoir raison garder : l’IA n’est qu’un outil parmi tant d’autres pour faire son choix. Ainsi, 11 % des électeurs ont indiqué avoir utilisé cette technologie pour s’informer sur les enjeux dans leur commune. Cela en fait la 14ᵉ et dernière source d’information, loin derrière les tracts (59 %), les professions de foi (57 %) ou encore le bon vieux bouche à oreille (47 %). Les réseaux sociaux ont enregistré un taux de 32 %. Pour les candidats, ce n’est pas le moment de lâcher leur compte Instagram !

On retrouve dans ces 11 % la même typologie d’âge et de genre. 14 % des hommes disent avoir utilisé l’IA pour s’informer, contre 8 % pour les femmes. C’est 1 % seulement pour les séniors, contre 22 % chez les plus jeunes (18 - 24 ans). Chez ces derniers comme pour le reste de la population, l’IA est aussi la dernière source d’information la plus consultée.

On retient également la propension des sympathisants La France Insoumise à s’être servis de l’IA (16 %), contre 6 % chez Reconquête. Les catégories CSP- sont les plus représentées avec 17 %, soit 4 points de plus que les CSP+. « [L’IA] n’est plus réservée à quelques technophiles isolés », décrypte Jean-Daniel Lévy, « mais commence à s’inscrire dans les pratiques politiques ordinaires d’une part identifiable de l’électorat ».

L’IA, un influenceur politique comme un autre

Une étude de l’AI Security Institute, rattachée au gouvernement britannique, démontrait que les chatbots pouvaient effectivement influencer les opinions politiques des utilisateurs. Les travaux publiés dans Science, et rapportés en décembre dernier par The Guardian, reposaient sur des conversations entre près de 80 000 participants et 19 modèles d’IA différents (dont ceux derrière ChatGPT et Grok).

Les chercheurs du MIT, d’Oxford, de Stanford et de la London School of Economics ont demandé aux IA de convaincre les participants d’adopter une position sur différents sujets politiques et économiques (inflation, grèves dans les secteurs publics…). Ces derniers devaient donner leur opinion avant et après l’échange.

Les réponses les plus persuasives sont celles qui accumulaient un grand nombre d’informations, de faits et d’arguments… mais ce sont aussi les modèles qui produisaient le plus d’erreurs et d’infos inexactes. La « capacité de persuasion » des modèles semble se faire au détriment de la véracité, soulignent les auteurs. Avec toutes les conséquences que cela implique pour le débat public.

Une autre étude de l’université Yale, publiée sur arXiv en mai 2025, confirme la précédente (les IA les plus persuasives ne sont pas forcément les plus fiables), et impose aussi un certain recul. Elle montre en effet que si les chatbots peuvent influencer les opinions politiques, leur performance n’est pas meilleure ou pire que des méthodes traditionnelles de campagne électorale.

Sur la question de l’immigration par exemple, les effets des chatbots et des humains étaient quasiment identiques, y compris cinq semaines plus tard. Les chercheurs soulignent qu’il n’existe « aucune différence significative » entre les deux méthodes de persuasion. Ils insistent en revanche sur une chose : il faut déjà convaincre les électeurs de passer plusieurs minutes à discuter politique avec une IA. En cela, pas de changement par rapport à une campagne classique.

Ubisoft demande un coup de main à l’IA

Ubisoft veut tourner la page d’un exercice catastrophique. Le groupe promet un rebond dans les prochaines années grâce à ses grandes franchises, une vaste restructuration interne et des investissements renforcés dans l’IA générative.

Peu importe le bout avec lequel on le prend, Ubisoft a enregistré un très mauvais exercice fiscal 2025 - 2026. Ces douze derniers mois ont été marqués par des « net bookings » (l’argent réellement généré par les jeux) de 1,525 milliard d’euros, en recul de 17,4 %. Le résultat opérationnel est lui carrément rouge cramoisi avec une perte de 1,04 milliard.

L’IA générative au secours d’Ubisoft

Voilà des chiffres peu encourageants. Yves Guillemot, cofondateur et PDG d’Ubisoft, n’y va pas par quatre chemins et prévient que le calice n’a pas été bu jusqu’à la lie. Le prochain exercice fiscal « devrait représenter un point bas », avec un calendrier de sorties « plus léger » et des coûts importants liés à la restructuration du groupe.

« Notre ambition reste claire : renforcer la position d’Ubisoft parmi les principaux créateurs de l’industrie en matière d’expérience de divertissement de haute qualité, marquantes et engageantes, capables de trouver un écho durable auprès des joueurs », affirme-t-il. L’éditeur français peut compter sur ses franchises comme Assassin’s Creed ou Far Cry, mais il met aussi en avant… l’IA générative.

Les investissements dans l’expérimentation Teammates vont ainsi s’accélérer. Il s’agit d’un projet de recherche pour une expérience IA jouable, dévoilé en novembre dernier. Dans un jeu de tir, le joueur peut demander des conseils à Jaspar, une sorte d’assistant IA, et surtout il peut communiquer avec deux personnages non joueurs (NPC ou PNJ) pour l’aider. Ces NPC, « Pablo » et « Sofia », peuvent générer des réponses en temps réel et réaliser des actions en fonction des demandes du joueur. Par exemple tirer sur des ennemis ou se mettre à couvert, comme on le voit dans cette vidéo.

« Nos premières expérimentations ont montré que les joueurs se liaient rapidement aux PNJ pilotés par IA ainsi qu’au concept d’assistant vocal », expliquait Xavier Manzanares, directeur du gameplay GenAI. « Jaspar aidait les joueurs lorsqu’ils étaient perdus ou ne savaient pas quoi faire. Il pouvait accéder aux menus et aux paramètres, en dire davantage sur l’univers et l’histoire du jeu ».

On perçoit l’intérêt potentiel d’une telle technologie dans un jeu, en particulier les mondes ouverts dont Ubisoft s’est fait la spécialité. Il ne s’agit pas de créer un jeu ex nihilo avec l’IA générative, mais « d’enrichir l’expérience des joueurs ». Le groupe explique : « Cela va de bots plus intelligents pour assister les équipes d’assurance qualité à des PNJ et des mondes de jeu plus réactifs, capables de s’adapter au comportement des joueurs en temps réel. »

Ubisoft n’est jamais le dernier pour tester les dernières technologies à la mode du moment. Le groupe s’était ainsi beaucoup investi dans les NFT et le Web3, et il a lancé des expérimentations basées sur la blockchain qui ont complètement foiré. Le souvenir laissé par Ubisoft Quartz, une plateforme lancée en 2021 vendant des NFT baptisés « Digits », est cuisant. Ces objets cosmétiques à utiliser dans Ghost Recon Breakpoint ont été très mal reçus par les joueurs.

Le projet Quartz a progressivement disparu des radars dans l’indifférence générale, mais le récit technologique très optimiste autour de l’IA générative n’est pas sans évoquer les discours d’Yves Guillemot à l’époque des NFT. Il défendait bec et ongles les jetons non fongibles, assurant que les joueurs finiraient par en comprendre l’intérêt. Raté.

Des maisons créatives pour rebondir

Depuis des années, l’éditeur se débat dans les difficultés financières, mais il a entamé sa mue durant le dernier exercice. Depuis le mois de mars, le groupe est scindé en six structures : cinq « Creative Houses » ayant la responsabilité d’une catégorie de jeux spécifiques (Vantage Studios étant par exemple chargé des franchises les plus connues) ; et le « Creative Network », un groupe de studios qui fait office de support pour le développement des jeux des différentes maisons.

Le géant chinois Tencent, un des plus importants partenaires d’Ubisoft, a injecté 1,16 milliard d’euros dans Vantage Studios, dont la création remonte à novembre 2025. De l’argent frais qui sera bien utile pour affronter les vents contraires. Car les prévisions ne sont guère brillantes.

Les net bookings prévus pour l’exercice fiscal 2026 - 2027 seront encore en baisse (comprise entre 5 et 9 %), et la trésorerie sera une fois encore mise à rude épreuve avec une consommation de free cash flow de 500 millions d’euros. Autrement dit, l’activité devrait encore reculer, le calendrier de sorties étant plus léger qu’à l’accoutumée. Le groupe a multiplié les annulations de projets pour se recentrer sur la qualité et la rentabilité de sa production.

Le rebond devrait s’opérer en 2027 - 2028, avec plusieurs sorties de nouveaux opus dans les licences populaires du groupe, notamment Assassin’s Creed, Far Cry et Ghost Recon. Ubisoft veut aussi capitaliser sur le succès du jeu Rainbow Six Siege qui reste en grande forme, après avoir fêté son dixième anniversaire l’an dernier. Enfin, l’exercice 2028 - 2029 marquera le retour espéré à une situation financière plus saine.

Mais en attendant, l’entreprise va devoir faire le dos rond. L’IA générative pourra-t-elle aider Ubisoft à traverser la tempête ? Au vu de la méfiance que suscite cette technologie chez de nombreux joueurs, l’annonce de l’accélération des investissements dans Teammates a surtout été faite pour séduire des investisseurs : l’action a plongé de 27 % la semaine dernière après l’annonce des résultats, pour rebondir fortement deux jours plus tard (+ 37 %).

• GeForce RTX : avec DLSS 5 et son rendu photoréaliste, l’IA de NVIDIA va-t-elle trop loin ?

Les problèmes d’approvisionnement en composants ne frappent pas que l’industrie IA. Les gouvernements, qui eux aussi font face à une pénurie les empêchant d’exploiter pleinement les modèles IA pour leurs besoins propres, en sont réduits à jouer du carnet de chèques.

La Maison Blanche aurait approuvé une rallonge de 9 milliards de dollars pour équiper les agences de renseignement des États-Unis en puces IA de pointe, selon des indiscrétions du New York Times. Le financement, qui doit encore être approuvé par le Congrès, doit permettre à la CIA, la NSA et autres agences à acronymes de trois lettres de faire tourner leurs modèles IA sur du matériel de pointe.

Les modèles IA les plus récents d’OpenAI, d’Anthropic ou de Google ont de gros besoins en calcul. Les infrastructures capables de les accueillir, que ce soit pour l’entraînement ou l’inférence, affichent quasiment complet et les autorités doivent mettre de l’argent sur la table pour accéder aux mêmes capacités que le secteur privé. Notamment aux composants les plus puissants, comme les puces Grace Blackwell de NVIDIA, qui nécessitent des centres de données dotés de systèmes d’alimentation électrique massifs.

• Tout savoir sur la consommation électrique des datacenters : PUE, ses pièges et angles morts

L’administration Trump aurait déjà redirigé 800 millions de dollars pour accélérer l’achat de capacités de calcul, ce qui est presque une goutte d’eau dans l’océan. Surtout, les délais restent aussi importants qu’incompressibles. Les réseaux infonuagiques classifiés du gouvernement, comme ceux opérés par AWS, ne peuvent pas être modernisés rapidement et les agences n’auraient pas anticipé les besoins gargantuesques de ces modèles IA.

Par ailleurs, la Maison Blanche aurait autorisé la NSA à continuer l’exploitation de Mythos, le modèle le plus avancé d’Anthropic. Le Pentagone considère pourtant l’entreprise comme un « risque » pour la chaîne d’approvisionnement et la sécurité nationale.

• Derrière la polémique entre Trump et Anthropic, les enjeux de l’usage militaire de l’IA

Le ministère américain de la Défense (DoD) exigeait un accès très large aux capacités des modèles avancés d’Anthropic, ce que la startup a refusé. L’affaire est toujours devant les tribunaux, mais un contrat classifié serait en préparation entre les deux parties ; l’accord inclurait des restrictions sur l’exploitation des modèles IA sur des données concernant des citoyens américains. La NSA et la CIA ont interdiction de collecter des renseignements aux États-Unis, et des limites strictes sont posées pour recueillir des informations sur les Américains à l’étranger.

Le DoD a récemment arrêté son choix sur les fournisseurs IA pour ses opérations secret defense. OpenAI, Google, Microsoft, AWS et d’autres vont mettre leurs modèles à disposition de l’armée US, tandis qu’Anthropic a été mise à part.

• Le Pentagone choisit ses nouveaux fournisseurs IA et exclut Anthropic… enfin presque

Les pirates n'attendront pas l'autorisation de Bruxelles

La Banque centrale européenne, qui supervise les 111 plus grandes banques de la zone euro, veut discuter cybersécurité. Une réunion est prévue ce mardi 26 mai avec les établissements bancaires pour évoquer les risques liés aux derniers modèles d’IA, dont Mythos qui se fait toujours attendre en Europe.

Les ailes du projet Glasswing n’ont pas encore permis à Mythos d’atteindre les rives européennes. Cet aperçu du modèle le plus ambitieux d’Anthropic est déployé au compte-gouttes auprès d’organisations et d’entreprises triées sur le volet, quasi-exclusivement américaines. Il est utilisé pour détecter les vulnérabilités dans le code et au vu des premiers retours, notamment chez Mozilla, le modèle semble faire preuve d’une certaine efficacité.

• Mozilla industrialise la chasse aux bugs dans Firefox avec l’IA

Les banques de la zone euro ne sont pas dans les petits papiers d’Anthropic, mais qu’à cela ne tienne : « Le fait que vous n’ayez pas accès à ce modèle n’est pas une excuse pour rester inactif », affirme Frank Elderson, vice-président du conseil de surveillance prudentielle de la Banque centrale européenne (BCE), en parlant des établissements financiers européens. « Des acteurs malveillants pourraient bientôt avoir accès à cette technologie », prévient-il au Financial Times.

C’est pourquoi l’institution organise une réunion au sommet demain, mardi 26 mai, pour discuter des risques pour la sécurité informatique que font peser ces modèles IA. La BCE discute régulièrement avec les banques de la zone euro, mais des réunions dédiées à un thème spécifique sont plus rares.

Les banques US appelées au secours des banques européennes

La Banque centrale entend souligner la gravité des menaces représentées par Mythos et des autres modèles IA pour le système financier européen. Et elle voudrait bien aussi que les banques américaines opérant sur le vieux continent et qui utilisent ces technologies partagent des retours d’expérience avec leurs homologues européennes. « Nous voulons écouter les évaluations des banques, créer les conditions pour qu’elles puissent partager leurs expériences, et souligner l’importance du sujet », souligne Frank Elderson.

Le vice-président de la BCE estime que les banques doivent appliquer les correctifs logiciels bien plus rapidement qu’aujourd’hui. Le fait est que les pirates peuvent analyser une mise à jour de sécurité pour comprendre précisément quelle faille elle corrige. Ce travail de rétro-ingénierie pouvait prendre plusieurs jours ou plusieurs semaines, mais désormais avec des outils IA, l’opération peut être réalisée « en peut-être 30 minutes », s’alarme-t-il.

La Commission européenne travaille Anthropic au corps pour obtenir l’aperçu de Mythos, mais les choses prennent beaucoup de temps.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

Anthropic a par ailleurs publié un premier bilan de Mythos, en annonçant que les 50 partenaires du projet Glasswing avaient trouvé « plus de 10 000 vulnérabilités » de gravité élevée ou critique dans leurs logiciels. Dans le secteur bancaire, Mythos a détecté et empêché un virement frauduleux d’1,5 million de dollars après qu’un acteur malveillant a compromis une adresse e-mail d’un client. Nul doute que les banques européennes aimeraient disposer d’un tel outil dans leur arsenal.

Comme pour donner raison à la BCE, la startup précise que « le principal frein réside dans la vitesse à laquelle nous pouvons vérifier, divulguer et corriger les très nombreuses vulnérabilités détectées par l’IA ». Si trouver des failles devient relativement facile, les opérations de triage, les rapports, le développement et le déploiement des correctifs représentent un « enjeu majeur pour la cybersécurité ».

L’entreprise prévoit l’expansion du projet Glasswing à « des partenaires supplémentaires », sans plus de précision. Et à l’avenir, Anthropic veut proposer des modèles grand public basés sur Mythos, mais en les encadrant de garde-fous suffisamment forts pour empêcher des dérives.

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

La petite histoire du jeu vidéo retiendra que la première apparition officielle de l’Unreal Engine 6 a été faite à Paris, pendant le championnat mondial de Rocket League. Epic Games, l’éditeur du célèbre moteur de rendu, a profité de l’occasion pour dévoiler quelques images de la prochaine génération du jeu (développé par la filiale Psyonix) tournant sous UE6.

Difficile de tirer des conclusions au vu du peu qu’il y a à voir : la pelouse du stade est plus touffue, tandis que les reflets et effets de lumière sur les voitures sont sans doute plus jolis et réalistes qu’avec Unreal Engine 3, le moteur actuel de Rocket League. Il faudra attendre, pas trop longtemps sans doute, pour en savoir plus sur les capacités de cette sixième version.

Unreal Engine 5 avait été présenté en amont des nouvelles consoles Xbox Series S/X et PS5, en 2020. Mais le lancement en lui-même remonte à avril 2022. Deux technologies définissent cette mouture : la technologie Lumen, système d’illumination globale dynamique qui intègre le ray tracing à destination des jeux en 3D temps réel ; et la technique Nanite, pour gérer des modèles 3D extrêmement détaillés.

Beaucoup se rappellent encore avec émotion de The Matrix Awakens réalisé sous UE5, une démo technique démontrant les capacités étonnantes du moteur. Dans les faits, les résultats ont été plus mitigés.

Les deux technologies phare sollicitent énormément les processeurs et circuits graphiques ; beaucoup de jeux UE5 reposent aussi sur des techniques de reconstruction d’image pour alléger la charge graphique, avec parfois des artefacts visuels ou une image instable à la clé ; plusieurs titres souffrent aussi de micro-saccades liées à la compilation des shaders. Ces problèmes sont particulièrement visibles dans certains jeux en monde ouvert.

Epic n’a cessé d’apporter des mises à jour pour essayer de remédier à ces soucis, mais la réputation d’UE5 continue d’en pâtir. D’un autre côté, de nombreux jeux tournent comme des horloges, comme Fortnite (fort heureusement d’ailleurs, il s’agit après tout d’un jeu Epic) ou Clair Obscur: Expedition 33. 

Tim Sweeney, fondateur et patron de l’éditeur, déplorait l’été dernier le manque d’optimisation de la part des développeurs : « Beaucoup de studios conçoivent d’abord leurs jeux pour du matériel haut de gamme et repoussent l’optimisation ainsi que les tests sur des configurations modestes à la fin du projet ». Pour lui, l’optimisation devrait commencer très tôt dans le développement.

Unreal Engine 6 devra répondre à ces problématiques. Et renforcer au passage son importance grandissante à Hollywood : le moteur est en effet utilisé par de nombreux studios de production, dont Disney, pour les effets spéciaux, mais aussi les storyboards, l’animation, les cascades virtuelles, la prévisualisation des scènes…

Qui n’a pas son arsenal IA pour la cybersécurité ? Après Anthropic et Mythos, après OpenAI et Daybreak, Microsoft a dévoilé sa solution. Et Mistral, le petit Poucet français, planche également sur un modèle capable de détecter les failles à grande échelle.

Mistral AI travaille au déploiement d’un modèle IA auprès de banques européennes pour détecter les failles de sécurité dans le code de leurs infrastructures informatiques, selon une indiscrétion de Bloomberg. Impossible de dire quand ce modèle sera lancé à l’assaut des vulnérabilités, ni depuis quand ces discussions ont débuté avec les établissements.

« Imagine-t-on les bases de données de l’armée française scannées par Mythos ? »

Mais ce qui est certain, c’est que Mistral n’a pas attendu la présentation de Mythos début avril pour s’atteler à cette problématique de la cybersécurité. La startup travaillait déjà avec ses clients du secteur bancaire pour découvrir des vulnérabilités dans le code de leurs logiciels avant les premiers pas du modèle d’Anthropic, selon nos confrères. Désormais, il s’agit de développer une version « clé en main » pour un déploiement plus large.

« On a un de nos concurrents qui sait très bien faire du marketing de la peur », a témoigné (sans citer le nom d’Anthropic) Arthur Mensch, le directeur général de Mistral, devant la commission d’enquête sur les vulnérabilités numériques à l’Assemblée nationale cette semaine. « On travaille avec nos clients pour les aider sur ces sujets cyber », ajoute-t-il. Pour lui, il s’agit d’un sujet régalien « et un argument supplémentaire pour dire qu’il faut avoir un contrôle sur cette technologie » :

« Vous ne pouvez pas avoir les bases de données et le code de l’armée française scannés par Mythos. Ça crée une dépendance tellement irrémédiable qu’il faut absolument trouver des solutions. »

Il aurait pu ajouter : des solutions souveraines, car c’est bien sûr ce que l’on comprend en creux. Mythos n’est actuellement disponible que dans un format d’aperçu et distribué au compte-gouttes auprès d’organisations et d’entreprises majoritairement américaines. Et l’Europe n’a toujours pas reçu sa carte du club.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

Une armée d’agents de cybersécurité chez Microsoft

Après Mythos et l’initiative Daybreak d’OpenAI, et avant celle de Mistral, Microsoft a levé le voile sur son nouveau système de sécurité agentique multi-modèles. L’éditeur ne se contente pas d’un seul modèle : plusieurs sont à l’œuvre et ils sont secondés par une armée de plus de cent agents spécialisés à l’assaut du code.

MDASH, pour « Microsoft Security multi-model agentic scanning harness », a déjà mis la main sur 16 vulnérabilités dans la pile d’authentification et l’infra réseau de Windows, dont 4 failles critiques permettant d’exécuter du code à distance. « L’implication stratégique est claire : la découverte de vulnérabilités par IA est passée du stade de curiosité de laboratoire à celui d’outil de défense déployable à grande échelle en entreprise », explique l’éditeur, qui vante « l’avantage durable » de son système agentique.

Le système repose sur trois éléments : un ensemble de modèles IA complémentaires pilotés par MDASH, dont plusieurs modèles spécialisés qui se confrontent pour repérer les vulnérabilités ; la centaine d’agents dédiés à des tâches spécifiques (détection, vérification, exploitation potentielle d’un bug) ; et enfin une chaîne d’analyse qu’il est possible d’étendre avec des plugins.

Sur le benchmark CyberGym, qui regroupe plus de 1 500 tâches reproduisant des vulnérabilités réelles issues de projets open source, MDASH atteint un taux de réussite de 88,45 %. C’est le meilleur score publié à ce jour, et environ 5 points de plus que Claude Mythos Preview, et 6 de plus que GPT-5.5, ses concurrents les plus proches.

Microsoft souligne que ce résultat a été obtenu avec des modèles IA déjà disponibles publiquement, ce qui laisse entendre que les performances viennent surtout de l’orchestration « agentique » autour des modèles plutôt que des modèles eux-mêmes.

Les agents MDASH sont utilisés par les équipes d’ingénierie sécurité de Microsoft, et testés par un groupe de clients dans le cadre d’un aperçu privé. Il est possible de demander un accès à l’aperçu.

Après avoir longtemps juré que la publicité n’aurait jamais sa place sur son service, Netflix vend toujours plus de temps de cerveau disponibles aux annonceurs. La pub va s’incruster encore davantage sur la plateforme.

Qu’il parait loin, le temps où Reed Hastings, l’ancien directeur général de Netflix, déclarait que jamais sa plateforme ne diffuserait de publicité. C’était en 2015, et s’il a réaffirmé cette position très ferme pendant des années, la réclame a fini par apparaitre sur le service de streaming en 2022. À l’époque, Reed Hastings (qui a quitté son poste de co-CEO début 2023) admettait que sa résistance à la pub avait été une erreur.

Aujourd’hui, Netflix regarde la publicité avec les yeux de Chimène. Le lancement de l’offre avec publicité, proposée à 7,99 euros par mois en France (c’était 5,99 euros au début), a permis à la plateforme de relever fortement les prix des autres formules sans pub, jusqu’à 21,99 euros pour l’abonnement Premium. Une stratégie couronnée de succès : durant une présentation aux annonceurs, l’entreprise a révélé que les publicités diffusées sur ses antennes atteignaient plus de 250 millions de spectateurs actifs mensuels, soit 30 % de plus qu’en novembre 2025 (190 millions).

Auparavant, Netflix basait ses mesures sur les profils de compte plutôt que sur le nombre de personnes vivant dans un foyer abonné à son service. Une partie de la hausse provient d’un changement dans la stratégie de décompte. L’entreprise a choisi de se focaliser l’année dernière sur les spectateurs actifs mensuels, autrement dit « les membres ayant regardé au moins une minute de publicité sur Netflix chaque mois, multiplié par le nombre moyen estimé de personnes au sein d’un foyer ».

La pub à plein régime

Plus de 80 % de ces paires d’yeux regardent activement Netflix chaque semaine. Ces abonnés ont permis à Netflix d’empocher 1,5 milliard de dollars en revenus publicitaires en 2025. « Si les deux dernières années ont consisté à prouver que nous étions un acteur durable, cette année doit montrer que nous sommes devenus un acteur redoutable », se réjouit la présidente en charge de la publicité, Amy Reinhard, dans une déclaration reprise par Variety.

Visiblement, la soupe est bonne. De nouveaux espaces vont s’ouvrir dans l’application du streameur : d’abord dans les vidéos verticales, un nouveau format récemment lancé qui permet de consulter des extraits des contenus Netflix. Entre deux petits bouts de Bridgerton ou Stranger Things, les abonnés auront donc droit à des spots de pub. Les podcasts, que la plateforme diffuse depuis la fin de l’année dernière, vont aussi être caviardés par de la publicité.

• https://next.ink/233926/netflix-trace-sa-route-apres-le-rachat-manque-de-warner-reed-hastings-sur-le-depart/

Malgré tout, Netflix doit toujours convaincre les annonceurs et rencontrerait toujours des difficultés à faire valoir son offre. Les marques préfèrent en effet acheter des espaces pendant des événements en direct, alors que la vaste majorité des programmes diffusés par Netflix peuvent être regardés n’importe quand. La plateforme multiplie donc les contenus en direct, mais l’offre n’est pas suffisante pour rivaliser avec les grands groupes audiovisuels comme Disney ou NBCUniversal qui captent une grande partie des budgets pub.

Netflix a également annoncé une expansion à partir de 2027 de son abonnement avec publicité à 15 nouveaux pays, dont la Belgique, la Suisse, l’Autriche, les Pays-Bas, l’Irlande, le Danemark, la Norvège ou encore la Suède.

• Netflix devrait diffuser des publicités générées par IA en 2026

Meta inaugure les discussions incognito avec son assistant IA. Les conversations resteront privées entre Meta AI et l’interlocuteur humain, et elles seront supprimées sans tarder.

Pour Instagram, discuter avec des humains ne mérite pas de protection renforcée : le chiffrement de bout en bout qui empêchait jusqu’à présent quiconque d’accéder à une conversation dans la messagerie de l’app a en effet été supprimé le 8 mai. La fonction était très peu utilisée, a affirmé l’entreprise (elle était aussi compliquée à utiliser).

En revanche, discuter avec une IA nécessite (probablement) un luxe de précautions diverses et variées. La nouvelle fonction Discussion Incognito de l’assistant Meta AI permet de discuter en toute confidentialité avec l’assistant dans WhatsApp, ainsi que dans son application dédiée. La conversation est traitée dans un « environnement sécurisé » basé sur la technologie maison de traitement privé des requêtes envoyées au bot, lancée l’an dernier.

• Comment WhatsApp propose des résumés IA sans pouvoir lire les conversations

À l’instar du chiffrement de bout en bout, cette technologie empêche quiconque d’espionner en douce une conversation avec l’assistant, pas même Meta qui publie un livre blanc sur le sujet. À cela s’ajoute la disparition des discussions quand la session est terminée. Par ailleurs, elles ne sont pas enregistrées sur les serveurs.

Meta précise perfidement que si d’autres apps intègrent des fonctions proches de ce mode incognito, « les questions posées et les réponses envoyées leur restent visibles ». Le chat temporaire de ChatGPT conserve les conversations jusqu’à 30 jours, contre 72 heures chez Gemini. « Il s’agit du premier grand produit d’IA pour lequel aucune trace de vos conversations n’est stockée sur des serveurs », s’enorgueillit Mark Zuckerberg.

Les discussions avec les bots peuvent aller au-delà du trivial ou des requêtes pour le travail. Beaucoup d’utilisateurs posent des questions très personnelles sur la gestion de leurs finances ou la santé (à consommer avec modération, tout de même). Durant la présentation de ChatGPT Health, OpenAI avait ainsi expliqué que la santé était un des usages les plus courants de son bot. On comprend dès lors que personne ne veuille partager ces informations avec un tiers, à plus forte raison s’il s’agit d’une entreprise dont le modèle économique repose quasi exclusivement sur l’attention et le ciblage publicitaire.

Google reçoit un coup de main d’Apple, pour éviter d’avoir à donner aux IA concurrentes un accès à Android. Fin avril, dans le cadre du règlement sur les marchés numériques (DMA), la Commission européenne envoyait au moteur de recherche ses « conclusions préliminaires » concernant le contrôle de certains fonctions du système d’exploitation par les assistants IA. Seul Gemini est aujourd’hui en mesure d’accéder aux profondeurs d’Android — une pratique qui s’est encore renforcée avec l’annonce de Gemini Intelligence.

• L’Europe veut forcer Google à ouvrir Android tout entier aux assistants IA rivaux

Bruxelles a ouvert une consultation publique, qui s’est achevée aujourd’hui, mercredi 13 mai. Et Apple est venue au secours de Google, comme le rapporte Reuters. Les mesures proposées par l’exécutif européen « soulèvent des préoccupations urgentes et sérieuses ». La Commission veut en effet que les IA rivales bénéficient du même niveau d’accès que Gemini, ce qui leur permettrait d’envoyer des courriels, partager des photos ou lancer une action dans une app tierce.

C’est une mauvaise idée selon Apple, car cette ouverture créerait « des risques profonds pour la confidentialité, la sécurité et la sûreté des utilisateurs, ainsi que pour l’intégrité et les performances des appareils ». Ce coup de main n’a rien d’innocent : le constructeur de Cupertino pourrait en effet être obligé de faire de même sur iOS. 

Les risques posés par un accès total aux couches basses d’Android sont « particulièrement aigus dans le contexte de systèmes d’IA en évolution rapide » : leurs capacités, leurs comportements et les vecteurs de menace restent en effet « imprévisibles ». 

Cette intervention d’Apple ne manque pas de sel : une rumeur de Bloomberg indiquait que l’entreprise pourrait autoriser l’utilisation d’un autre modèle que ceux d’Apple Intelligence pour propulser les fonctions IA d’iOS 27… soit ce que demande la Commission. Mais bien sûr, si cela devait arriver, ce serait Apple qui dicterait ses conditions à la concurrence, pas un régulateur.

Le groupe s’interroge plus largement sur l’expertise technique de la Commission, qui voudrait « redesigner » un système d’exploitation. L’autorité européenne « substitue son propre jugement à celui des ingénieurs de Google sur la base de moins de trois mois de travail. C’est d’autant plus dangereux que la seule valeur qui semble guider ces projets de mesures est un accès ouvert et sans restriction. »

En octobre dernier, Apple portait plainte contre l’UE devant la Cour de justice (CJUE) au Luxembourg, sur le dossier du DMA.

• DMA : Apple intensifie son offensive en déposant plainte contre l’Union européenne

La course au token

Des salariés d’Amazon utilisent un outil maison équivalent à OpenClaw pour brûler des tokens et générer artificiellement de l’activité IA pour éviter de mauvaises évaluations. Ce phénomène du « tokenmaxxing » n’est pas propre à Amazon.

Les entreprises qui investissent lourdement dans l’IA générative poussent leurs employés à utiliser cette technologie au quotidien, ne serait-ce que pour justifier les sommes ahurissantes mises sur la table pour développer des modèles et faire pousser les centres de données. Amazon en fait partie : le géant du commerce en ligne a ainsi annoncé 200 milliards de dépenses d’investissement (capex) pour 2026 : il faut prouver que tout cet argent sert à quelque chose et les salariés sont mis à contribution.

• Dopés par l’IA, les géants du cloud projettent 700 milliards $ d’investissements en 2026

Amazon a lancé il y a quelques semaines un nouvel outil interne, MeshClaw, qui fonctionne sur le même principe qu’OpenClaw. Il permet de déployer des agents IA pour accomplir des tâches au nom de l’utilisateur : MeshClaw peut ainsi trier des courriels, interagir dans la messagerie Slack, déployer du code, surveiller des apps ou encore exécuter des tâches répétitives.

Le Financial Times rapporte que certains salariés d’Amazon font tourner MeshClaw non pas parce qu’ils en ont besoin, mais pour générer artificiellement de l’activité IA et améliorer leurs statistiques.

Si les stats d’utilisation de tokens IA ne sont pas censées servir à l’évaluation des performances des salariés d’Amazon, plusieurs d’entre eux ressentent une pression très forte pour les intégrer dans leur travail. L’entreprise a fixé des objectifs ambitieux : dépasser le seuil des 80 % de développeurs utilisant l’IA chaque semaine. La direction aurait aussi commencé à suivre la consommation de tokens dans des classements internes.

« Les managers regardent ces chiffres », affirme un employé sous le sceau de l’anonymat. « À partir du moment où l’usage est surveillé, ça crée des effets pervers et certaines personnes deviennent très compétitives là-dessus. » À cela s’ajoutent des craintes concernant l’autonomie assez large donnée aux agents MeshClaw, qui a accès à des outils internes sensibles. Ce qui ouvre la porte à des erreurs pouvant provoquer de sérieux incidents.

• Pannes chez AWS dues à son agent IA : Amazon se défausse sur ses employés

Le nouveau Graal de la Silicon Valley

Ce phénomène du « tokenmaxing » n’est pas circonscrit à Amazon. De nombreuses entreprises ont des objectifs d’usage de l’IA, ce qui peut déboucher sur des abus. Un tableau de bord interne chez Meta attribuait des statuts (« Token Legend ») aux employés qui consommaient le plus de tokens. Ce classement, développé par un employé sans l’aval du groupe, a été retiré depuis… même s’il existe un tableau de bord officiel qui suit l’usage de l’IA au global (pas uniquement la consommation de tokens).

Une étude réalisée par Jellyfish publiée le mois dernier remettait en cause cette idée très répandue dans la Silicon Valley (et ailleurs) que les gains de productivité sont liés à la consommation de tokens IA. Les auteurs ont analysé les usages de 12 000 développeurs répartis dans 200 entreprises au premier trimestre 2026.

Le premier enseignement, c’est qu’il existe une grande disparité dans la consommation de tokens : un développeur « médian » utilise environ 51 millions de tokens par mois, quand les 10 % des plus gros consommateurs dépassent les 380 millions de tokens mensuels. Une consommation massive qui coûte très cher, environ 52 dollars par mois pour un utilisateur moyen selon les tarifs de l’API Claude, mais près de 700 dollars par mois pour les plus gros utilisateurs.

C’est le rapport coût/productivité qui est le plus intéressant ici. Les développeurs qui consomment énormément de tokens produisent effectivement davantage de code, et même s’il est correct, il nécessite davantage de travail : plus d’allers-retours, plus de supervision humaine, plus de corrections, et au bout du compte plus d’abandon de code. Tout cela fait grimper la facture bien plus vite que la productivité gagnée.

Les auteurs de l’étude estiment que les 20 % des développeurs les plus économes en tokens génèrent en moyenne 11 modifications de code validées et intégrées aux projets (pull request fusionnées) pour 3 dollars de tokens sur un trimestre. Les 20 % des plus gros consommateurs en comptabilisent en moyenne 23, mais la facture est de 1 822 dollars.

Consommer plus de tokens permet effectivement de produire davantage, mais le coût unitaire se révèle bien plus élevé. L’étude dresse une comparaison intéressante : les tokens ressemblent à du carburant de fusée. On peut aller plus vite mais chaque gain supplémentaire nécessite énormément plus de ressources. Dans ces conditions, un usage modéré et raisonnable de l’IA semble bien plus indiqué que de forcer une consommation poussée à l’extrême.

• #Nextquick : Pourquoi et comment Opus 4.7 crame ses tokens beaucoup plus vite qu’Opus 4.6

Google n’attend pas l’ouverture de son événement I/O la semaine prochaine pour lever le voile sur un gros paquet de nouveautés qui, sans trop de surprise, tournent beaucoup autour de l’intelligence artificielle. Mais il y a tout de même quelque chose de nouveau (et d’inattendu) du côté du matériel.

Pour fêter les 15 ans du Chromebook, Google a décidé de… tuer le Chromebook. À l’occasion de l’Android Show, le moteur de recherche a en effet dévoilé le Googlebook, un nouvel ordinateur portable qui consacre la fusion entre Android et ChromeOS — c’est le fameux système d’exploitation unifié Aluminium OS, sur lequel Google planche depuis des années.

L’entreprise donne très peu de détail sur le matériel en lui-même, si ce n’est que les ordinateurs seront conçus « avec des matériaux haut de gamme et un soin particulier ». Ils porteront tous une barre lumineuse « glowbar » sur le capot, histoire de faire joli. En revanche, Google en dit un peu plus sur le logiciel et l’IA intégrée.

Le Googlebook est un ordinateur taillé pour Gemini, et même pour « Gemini Intelligence ». C’est le nom donné par le moteur de recherche aux fonctions d’IA basées principalement sur les agents. Les smartphones Android y auront droit (on s’en reparle très vite), mais le Googlebook est le premier appareil à avoir été imaginé spécifiquement pour ces fonctionnalités IA.

L’équipe de Google Deepmind a ainsi été mise à contribution pour développer le Magic Pointer : en secouant le curseur à l’écran, on activera un menu contextuel contenant des suggestions IA. En visant une date présente dans un courriel, le curseur magique va proposer de l’ajouter dans l’agenda. Ce même curseur proposera aussi de combiner deux images après leur sélection.

On verra à l’usage s’il s’agit d’un outil vraiment utile ou d’un Clippy dopé à l’IA encore plus pénible que l’original. Le système d’exploitation du Googlebook — qui ne porte pas de nom pour l’instant — proposera de créer des widgets personnalisées en le demandant dans une fenêtre texte.

L’OS du Googlebook reposant en partie sur des technologies Android, il communique de manière transparente avec un smartphone Android. Les apps du téléphone s’ouvrent sur le portable quand on n’a pas le temps de le dégainer ; voilà qui n’a rien de franchement original. Microsoft, Samsung et Apple n’ont pas attendu Google pour développer des solutions similaires.

Plusieurs constructeurs sont sur les rangs pour fabriquer des Googlebook : Acer, Asus, Dell, HP et Lenovo. Les premiers modèles devraient être commercialisés cet automne. Aucun prix n’a été avancé, ce qui est probablement plus prudent vu la situation des composants mémoire actuellement.

Gemini Intelligence met de l’IA partout

La grande affaire du jour, c’est surtout Gemini Intelligence, qui fera son apparition sur les smartphones Samsung et les modèles Pixel les plus récents cet été, probablement dans les bagages d’Android 17. Il s’agit d’imposer les agents au quotidien. Google vante ainsi la capacité de Gemini d’effectuer des tâches complexes dans les apps, avec ou sans données contextuelles comme une photo ou une capture d’écran.

 

L’entreprise donne l’exemple d’une liste de courses dans l’app Notes. Un appui prolongé sur la bouton d’allumage du smartphone sur cette liste lancera Gemini qui remplira un panier dans une app de livraison d’épicerie. Autre exemple : en prenant la photo d’une brochure de voyage, l’utilisateur pourra demander à Gemini de créer une excursion similaire dans Expedia. L’assistant fera connaitre où il en est de ses élucubrations via des notifications. Et bien sûr, il vous reviendra de valider une commande (ouf).

Après avoir fourré Gemini dans tous les coins de la version de bureau de Chrome, le tour de Chrome mobile est arrivé. À partir de la fin juin, l’assistant niché en haut à droite de la barre de menu pourra rechercher, résumer et comparer du contenu en ligne. Le navigateur pourra également puiser des informations dans d’autres applications. Ces nouveautés seront proposées sur tous les smartphones sous Android 12 et au-delà, aux États-Unis pour commencer.

Le remplissage automatique des formulaires est une fonction discrète mais qui a certainement contribué à faire progresser l’humanité d’un pas de géant (j’exagère à peine). Gemini pourra piocher dans les informations personnelles de l’utilisateur pour remplir encore plus de ces petits formulaires mal adaptés aux écrans mobiles.

Une nouvelle interface verra le jour spécialement pour Gemini Intelligence, basée sur le langage de design Material 3 Expressive. Elle est pensée pour réduire les distractions et mettre en avant les informations qui comptent.

Quelques nouveautés pour Android aussi

Gemini Intelligence est une chose, et il est très clair que Google est très loin d’en avoir terminé avec ce bouquet de fonctions IA. Mais il y a aussi Android tout court. Plusieurs nouveautés ont été présentées hier, à commencer par Pause Point qui limite l’usage compulsif des apps addictives — il faudra au préalable l’activer dans les réglages.

Au lancement d’une application, Android pourra imposer une pause de 10 secondes pour inciter l’utilisateur à se demander s’il veut vraiment doomscroller pendant des heures. Durant ce laps de temps, la fonction propose de faire un exercice de respiration, définir une limite de temps ou se tourner vers une activité moins chronophage comme lire un livre (ce qui peut être tout aussi addictif). Désactiver Pause Point nécessitera de redémarrer le smartphone, une contrainte qui poussera certains à la laisser active.

La fonction Quick Share de partage instantané de document s’est récemment enrichie du support d’AirDrop, une technologie jusqu’à présent réservée aux appareils Apple. Disponible sur les appareils Pixel depuis novembre dernier, elle s’est ouvert aux modèles de Samsung. Dans le courant de l’année, elle sera aussi disponible sur des modèles de Vivo, Xiaomi, Oppo, OnePlus et Honor. Et sur les téléphones qui ne sont pas compatibles, Quick Share proposera un code QR pour partager du contenu avec les appareils iOS depuis le nuage.

Google et Apple continuent leur travail commun pour faciliter la migration entre Android et iPhone, et inversement. Le processus de transfert de données entre smartphones ajoute celui de l’eSIM, ce qui sera bien pratique, et pourra fonctionner sans fil. Ce changement sera disponible sur les Pixel et les Galaxy de Samsung.

OpenAI ne veut pas se laisser distancer par Anthropic sur le terrain de la cybersécurité. Avec Daybreak, le créateur de ChatGPT a lancé sa réponse à Mythos : l’idée est la même dans les deux cas (équiper les défenseurs d’un outil IA de chasse aux bugs), mais la pratique diffère.

Daybreak est la réplique d’OpenAI au Mythos d’Anthropic. Ce dernier a fait grand bruit le mois dernier : il serait si puissant que son créateur a décidé d’en limiter la diffusion à une quarantaine d’organisations et d’entreprises au travers du projet Glasswing. Un déploiement à la discrétion d’Anthropic : l’Union européenne est toujours exclue du club.

OpenAI prend un autre chemin avec Daybreak. Cette nouvelle initiative a pour objectif d’« accélérer le travail des défenseurs et sécuriser les logiciels en continu ». Là où Mythos est un modèle de langage, Daybreak est davantage une plateforme regroupant plusieurs services. Il combine Codex Security avec différents modèles : GPT-5.5, GPT-5.5 avec Trusted Access for Cyber (TAC) et GPT-5.5-Cyber.

Codex Security (anciennement Aardvark⁠) a été lancé début mars. Cet « agent de sécurité » est chargé d’identifier, de valider et de corriger des vulnérabilités dans le code. Il s’appuie par défaut sur GPT-5.5, mais on peut utiliser le modèle TAC dédié à la cybersécurité, accessible via un programme d’accès de confiance. Le dernier palier, GPT-5.5-Cyber, dévoilé le 7 mai, se présente comme le plus puissant du lot.

Les organisations intéressées peuvent demander un « scan de vulnérabilité » afin d’identifier les problèmes de sécurité présents dans le code de leurs infrastructures informatiques. Il s’agit certes d’un simple formulaire, mais il existe au moins une procédure standardisée pour faire partie du programme, alors que l’extension du projet Glasswing est laissée aux bons soins d’Anthropic.

Sam Altman explique vouloir travailler « avec le plus d’entreprises possible » pour sécuriser leurs logiciels. OpenAI semble se montrer proactif : l’entreprise est allée frapper à la porte de la Commission européenne pour proposer un accès à ses LLM cyber.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

Un assistant IA pour les pirates

Un « avant-goût de ce qui nous attend » : c’est ainsi que John Hultquist, chef analyste du Google Threat Intelligence Group (GTIG), a qualifié la découverte du labo. Les chercheurs en sécurité de l’entreprise ont identifié un acteur malveillant utilisant un exploit « zero-day » vraisemblablement développé avec l’aide de l’IA.

Le ou les cybercriminels prévoyaient d’exploiter cette vulnérabilité « dans le cadre d’une campagne d’exploitation massive ». Cette « découverte proactive » a permis d’éviter le pire, même si Google ne peut pas exclure que la vulnérabilité — implémenté sous la forme d’un script Python — a pu être exploitée à plus petite échelle (le labo n’a cependant pas vu de campagne active). Le GTIG se veut discret : il ne révèle pas le nom des criminels, mais précise que des acteurs en Corée du Nord et en Chine s’intéressent à l’utilisation de l’IA pour débusquer des failles de sécurité.

La faille a été corrigée

Google n’indique pas non plus le logiciel affecté par cette faille, si ce n’est qu’il s’agit d’un outil d’administration open-source très utilisé. La vulnérabilité permettait de contourner la double authentification (2FA), mais les pirates devaient au préalable connaître les identifiants et mots de passe de leurs victimes. Le GTIG a prévenu de manière responsable l’éditeur concerné, dont le nom n’a pas été révélé, pour corriger la faille.

Le groupe de chercheurs constate que les acteurs malveillants utilisent de plus en plus les outils d’IA des assistants « niveau expert » pour la recherche de vulnérabilités et le développement d’exploits, y compris pour des failles zero-day. Le verre à moitié plein, c’est que ces mêmes outils sont aussi aux mains des défenseurs. Ce serait la raison pour laquelle OpenAI et Anthropic réservent leurs modèles de cybersécurité à des organisations et des entreprises triées sur le volet.

• Bruxelles obtient un accès à GPT-5.5-Cyber, mais ça bloque toujours avec Mythos

De la même manière, le GTIG ne dévoile pas le modèle IA utilisé pour cette faille. « Nous ne pensons pas que Gemini a été utilisé », avance-t-il prudemment. Mais la structure et le contenu de l’exploit donne au labo de fortes raisons de croire que l’acteur a eu recours à un modèle AI « pour faciliter la découverte et l’exploitation de cette vulnérabilité ».

Les LLM de plus en plus finauds

Les grands modèles de langage actuels ont encore du mal à appréhender les logiques complexes d’autorisation en entreprise, détaillent les chercheurs. Par contre, « ils sont de plus en plus capables d’effectuer un raisonnement contextuel en interprétant l’intention du développeur ». Dans le cas qui nous intéresse, la faille ne provient pas d’un bug technique classique, mais d’un passe-droit intégré directement dans le code qui permettait dans certains cas de contourner la 2FA.

Les chercheurs estiment que les LLM sont particulièrement efficaces pour identifier ces erreurs logiques de haut niveau, qui sont souvent invisibles pour les outils de détection traditionnels. Cette découverte est qualifiée de première par Google et par des spécialistes en cybersécurité indépendants. 

« Nous pensons que ce n’est que la partie émergée de l’iceberg », s’alarme John Hultquist auprès du New York Times. « Le problème est probablement bien plus vaste ; c’est simplement la première preuve tangible que nous pouvons observer. » Il est évidemment difficile d’assurer à 100 % que du code a été écrit par un humain ou une IA. Mais dans ce cas précis, les indices relevés par le GTIG (trop de texte explicatif, un style de code très propre et scolaire, une mise en forme jugée caractéristique des données d’entraînement des LLM) font pencher nettement la balance vers l’hypothèse IA.

Ce premier cas possible de faille zero-day développée avec l’IA devrait en tout cas renforcer les appels à un encadrement plus strict des modèles IA les plus avancés. L’administration Trump voudrait ainsi avoir un droit de regard sur les LLM avant leur diffusion, pour s’assurer de leur innocuité.

• La cybersécurité est une « priorité géopolitique », pas un « problème technique » (1/3)

• Anthropic et la stratégie marketing de la peur autour de sa nouvelle IA Mythos (2/3)

• Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

L'innovation dictée par les régulateurs

Apple innove contre son gré. iOS 26.5, dont la version finale est disponible depuis lundi, est plein de fonctions qui ont été dictées au constructeur par des régulateurs. Outre le support du RCS chiffré de bout en bout, plusieurs nouveautés destinées aux utilisateurs européens et brésiliens sont au rendez-vous.

Soyons justes : la prise en charge du chiffrement de bout en bout dans les RCS, une des grosses nouveautés d’iOS 26.5, n’est pas le fait d’un coup de pression d’un gouvernement. C’est le résultat d’un travail commun entre Apple et Google pour sécuriser les échanges entre iOS et Android. Néanmoins, le constructeur de Cupertino s’est fait tirer l’oreille pendant des années pour intégrer le RCS tout court dans son application Messages. Et il n’a cédé qu’après que la Chine en a exigé le support.

• iOS 26.5 apporte le chiffrement de bout en bout aux messages RCS iPhone/Android

Ce qui est en revanche le résultat direct d’une demande d’un régulateur — en l’occurrence l’Union européenne —, c’est le jumelage de proximité entre un iPhone et une paire d’écouteurs tierce. Avec iOS 26.5, la procédure doit maintenant être aussi simple et rapide que pour des AirPods. Il suffit d’approcher des écouteurs (compatibles avec la fonction) pour initier et compléter le processus d’appairage en une « tape ». Ce qui évite des manipulations parfois compliquées ou l’installation d’une app tierce.

Apple cède, contrainte et forcée

Toujours dans l’UE, les utilisateurs de montres connectées (et d’autres accessoires tiers) qui reçoivent des notifications provenant de l’iPhone peuvent désormais interagir avec ces alertes. C’était auparavant un privilège de l’Apple Watch ; les autres appareils devaient se contenter de notifications en lecture seule. Il faut néanmoins avoir en tête que les notifications ne peuvent être connectées qu’à un seul appareil à la fois : les activer sur un accessoire tiers désactivera les alertes sur une Apple Watch.

Enfin, les activités en direct peuvent également s’afficher sur des accessoires tiers. Ce sont des notifications rafraîchies régulièrement, pour indiquer l’heure d’arrivée d’une course Uber par exemple. Jusqu’à présent, seuls l’iPhone, l’iPad, le Mac et les Apple Watch pouvaient afficher ces activités.

Ces fonctions sont apparues dans les versions bêta d’iOS 26.3, mais comme le note MacRumors, elles sont effectives et disponibles partout dans l’UE avec iOS 26.5. 

Les fabricants doivent encore intégrer ces changements dans les firmwares de leurs produits, ce qui explique pourquoi bien peu d’entre eux sont compatibles avec ces nouveautés. iGeneration avait relevé début février la compatibilité de certaines montres Garmin avec le nouveau système de jumelage simplifié.

La section 3.3.7(J) de l’accord de licence du programme Apple Developer a par ailleurs été mis à jour le 30 mars pour refléter ces évolutions. Il y est notamment écrit que les notifications ne peuvent pas être utilisées pour de la publicité, pour entraîner des modèles, pour collecter des données de localisation, ou pour nourrir un profil de suivi publicitaire.

Ce n’est pas la première fois qu’Apple doit repousser les murs de son jardin fermé dans l’Union européenne. En vertu du règlement sur les marchés numériques (DMA), l’entreprise a ainsi dû travailler avec Google sur une fonction de transfert simplifié des données pour faciliter la migration entre un iPhone et un smartphone Android, et vice-versa. iOS 26.5 apporte d’ailleurs une nouveauté ici : l’utilisateur peut choisir les pièces jointes attachées aux messages qu’il veut transférer sur son nouveau téléphone.

• Apple publie iOS 26.3, qui facilite la migration vers Android

Ce qu’Apple donne d’une main, elle le reprend de l’autre : en novembre dernier, le constructeur prévenait que les futures versions (à l’époque) d’iOS 26.4 et de watchOS 26.4 allaient supprimer une fonction dans l’UE. En l’occurrence, il s’agissait de la connexion automatique aux réseaux Wi-Fi connus sur l’Apple Watch. L’entreprise ne voulait pas ouvrir cette fonction à la concurrence, car elle aurait pu poser des problèmes de protection de la vie privée.

Pour terminer, iOS 26.5 ouvre aux utilisateurs brésiliens la possibilité d’installer des boutiques alternatives à l’App Store, comme au Japon et dans l’UE. Là aussi, Apple ne l’a pas fait de gaieté de cœur, il s’agit d’une exigence du régulateur.

Caméra cachée (sur le nez)

Les lunettes connectées présentent des risques majeurs pour la vie privée, alerte la CNIL qui lance un plan d’action pour répondre à ce « nouveau défi ».

La CNIL s’inquiète des risques que font peser les lunettes connectées pour la vie privée. Leur utilisation est bien sûr soumise au règlement général sur la protection des données (RGPD) et à la loi Informatique et Libertés, mais ces appareils dépassent le cadre juridique actuel. La commission relève ainsi que les lunettes peuvent capter des sons, des images et des vidéos de personnes sans que celles-ci en aient nécessairement conscience.

Le risque de la surveillance généralisée

Les modèles Ray-Ban de Meta intègrent une loupiote qui s’allume dès que le propriétaire prend une photo ou enregistre une vidéo. Mais cet indicateur a une « portée limitée » et il est absent pour certains usages. Contrairement aux smartphones qu’il est impossible de ne pas voir quand quelqu’un filme avec, les lunettes sont un objet du quotidien qui n’a habituellement pas cette finalité ; il existe donc un risque « important » que les lunettes ne soient pas identifiées comme un appareil connecté par les personnes se trouvant dans le champ de captation. Ces montures présentent donc « un caractère particulièrement intrusif ».

La CNIL s’inquiète du risque important de surveillance généralisée et une forme de banalité induite : n’importe qui est en mesure de filmer n’importe quoi n’importe où, aussi bien en privé qu’en public. Voilà qui pourrait avoir des conséquences importantes dans les interactions sociales entre citoyens, et même conduire à des dérives.

« Toute personne pourrait ainsi douter de manière constante d’un enregistrement potentiel de ses moindres faits et gestes et de ses échanges, créant un sentiment d’être constamment observée, voire surveillée, et engendrant peu à peu une forme d’autocensure. L’exercice des libertés individuelles (libertés d’expression, de réunion, de manifestation) s’en trouverait directement menacé. »

La CNIL cite l’article 9 du Code civil, qui garantit le droit au respect de la vie privée de chacun dans tous les lieux privés comme publics, et n’oublie pas de rappeler les sanctions en cas de violation de l’article 226 - 1 du Code pénal : jusqu’à un an d’emprisonnement et 45 000 euros d’amende pour le fait de porter atteinte à l’intimité de la vie privée d’autrui en fixant, enregistrant ou transmettant l’image d’une personne se trouvant dans un lieu privé sans son consentement.

Les enjeux liés aux lunettes connectées dépassant le cadre d’intervention de la CNIL, le régulateur lance donc des travaux sur la conformité de ces appareils en matière de protection des données personnelles. D’abord en engageant une discussion avec ses homologues européens au sein du CEPD (Comité européen de la protection des données), puisque cette problématique ne concerne pas que la France. Les autres autorités publiques compétentes sur ces questions vont aussi être approchées car les enjeux vont plus loin que la seule question de la protection des données.

En attendant, la commission liste les bonnes pratiques à destination des porteurs de lunettes connectées, avec des conseils de bon sens comme prévenir les personnes à proximité quand on utilise ces montures, désactiver les fonctions de captation quand elles ne sont plus utiles, éteindre les fonctions connectées des lunettes quand il est demandé d’éteindre le téléphone et, moins évident, éviter d’utiliser ces lunettes dans les lieux où les personnes ne s’y attendent pas.

Dans tous les cas, la CNIL demande d’obtenir le consentement des personnes pour utiliser des photos ou des vidéos où elles apparaissent (le droit à l’image s’applique), et pour finir de réfléchir avant de partager quoi que ce soit : « une publication, même anodine, peut avoir des effets durables pour les personnes ».

Peu d’enthousiasme pour les lunettes connectées

Un sondage réalisé fin janvier par le laboratoire d’innovation numérique de la CNIL, avec Harris Interactive – Toluna indique que 57 % des personnes interrogées s’inquiètent du droit à l’image et du consentement des personnes. L’utilisation de l’IA à des fin de détournement ou de deepfakes vient ensuite (37 %), puis le vol ou la fuite de données collectées par les lunettes (34 %).

L’enquête révèle également que 87 % des sondés ont entendu parler des lunettes connectées, mais 9 % seulement ont eu l’occasion d’en tester, en particulier dans la catégorie 18 - 25 ans (25 %), et plus généralement chez les férus de technologies (29 %). 22 % des personnes interrogées ont de ce produit une vision plutôt négative, contre 20 % qui en ont une perception positive.

En termes d’utilisation, près de 8 personnes sur 10 (78 %) perçoivent les lunettes connectées comme une aide potentielle pour les personnes en situation de handicap visuel ou auditif. En revanche, 67 % trouvent qu’elles posent un problème d’atteinte à la vie privée, et 55 % un danger tout simplement (distraction, visibilité réduite). Enfin, et cela montre que les constructeurs ont encore du chemin à faire pour convaincre, 62 % des sondés ne veulent pas acquérir ce type d’appareil, contre 36 % d’enthousiastes. 1 % ont déclaré en posséder une paire.

Des dizaines d’associations de défense des libertés numériques ont publié une lettre ouverte mi-avril à destination de Mark Zuckerberg. Le texte souligne les risques que feraient peser les lunettes connectées sur « les victimes de violences conjugales, les cibles de harceleurs et d’agresseurs sexuels, les minorités religieuses, les personnes de couleur, les personnes LGBTQ+, ainsi que les femmes et les enfants, entre autres ». Les signataires demandent à Meta de renoncer au déploiement de la reconnaissance faciale dans ces appareils.

• Vie privée : 75 associations alertent Meta sur les risques que créent ses smart glass

Le groupe SoftBank s’apprêterait à dévoiler un plan à 100 milliards de dollars pour doter la France de nouveaux centres de données. C’est du moins le projet qu’aurait monté Masayoshi Son, patron du conglomérat japonais, après une rencontre avec Emmanuel Macron.

Lors de sa visite au Japon fin mars, Emmanuel Macron a fait la tournée des popotes auprès des responsables politiques et des grands acteurs de l’économie de l’archipel. Parmi eux, Masayoshi Son, directeur général de SoftBank, opérateur télécom, fournisseur de services en ligne et surtout mastodonte des investissements tous azimuts. Selon Bloomberg, le président français lui aurait proposé d’établir des infrastructures IA dans l’Hexagone.

L’investisseur aurait été intrigué par cette approche provenant d’un chef d’État, alors qu’il est plus souvent sollicité par des dirigeants d’entreprise. Depuis, il étudierait sérieusement le projet et aurait même évoqué auprès de proches du dossier la possibilité de mettre jusqu’à 100 milliards de dollars sur la table. Gardons la tête froide : le montant final pourrait être beaucoup moins élevé. 

Ce d’autant que SoftBank a déjà fort à faire avec ses autres projets, dont l’initiative Stargate avec OpenAI, Oracle et le fonds émirati MGX — un investissement à 500 milliards qui semble presque modeste face aux plus de 700 milliards avancés par Microsoft, Meta, Amazon et Alphabet pour cette année. 

• Dopés par l’IA, les géants du cloud projettent 700 milliards $ d’investissements en 2026

SoftBank s’est également engagée à investir plus de 60 milliards dans OpenAI pour en obtenir 13 % du capital et travaille de près avec la startup IA sur de nombreux projets.

La liste des investissements (réels et potentiels) de Masayoshi Son est très longue, de nombreux milliards promis n’ont toujours pas été concrétisés. Le projet français pourrait être dévoilé à l’occasion du sommet Choose France, le 19 mai. Les détails restent encore flous et la portée de l’annonce peut encore évoluer. 

En février 2025, à l’occasion d’un sommet pour l’action sur l’IA, Emmanuel Macron avait déjà annoncé 109 milliards d’euros d’investissements « dans les prochaines années », soit « l’équivalent pour la France de ce que les États-Unis ont annoncé avec “Stargate” », avait-il affirmé. Pour attirer les entreprises IA, le locataire de l’Élysée met en avant les capacités nucléaires de la France qui donnent aux centres de données « l’énergie la plus décarbonée d’Europe ».

• IA : Emmanuel Macron annonce une centaine de milliards pour la Porte des étoiles française

L’Union européenne a décroché son billet pour GPT-5.5-Cyber, le grand modèle de langage d’OpenAI spécialisé dans la cybersécurité. En revanche, les discussions se poursuivent avec Anthropic pour obtenir un accès à Mythos.

L’UE court après les LLM américains spécialisés dans la cybersécurité. Pour l’un d’entre eux, GPT-5.5-Cyber, c’est chose faite : la Commission européenne a confirmé l’accès au modèle de langage d’OpenAI. « Nous saluons la transparence d’OpenAI et sa volonté de donner à la Commission un accès à son nouveau modèle », s’est réjoui Thomas Regnier, le porte-parole à la souveraineté technologique. « Cela nous permettra de suivre de très près le déploiement de ce modèle, mais aussi de traiter plus directement certaines préoccupations en matière de sécurité. »

OpenAI est allé frapper à la porte de la Commission pour leur proposer un accès au modèle. Ce n’est que le début de la collaboration, la Commission doit par exemple déterminer qui pourra travailler sur GPT-5.5-Cyber au sein de l’UE. Plusieurs organisations pourraient y prétendre : la DG Connect (direction générale des réseaux de communication, du contenu et des technologies), l’AI Office (centre d’expertise pour l’IA), l’agence de cybersécurité Enisa… « Une étape après l’autre : nous discutons d’abord avec l’entreprise. Ensuite, nous verrons évidemment quelles seront les prochaines étapes », ajoute le porte-parole.

« Les laboratoires d’IA comme le nôtre ne devraient pas être les seuls arbitres de la cybersécurité », déclare George Osborne, responsable d’OpenAI for Countries. « La résilience repose sur des partenaires de confiance travaillant ensemble ». Les capacités de GPT-5.5-Cyber doivent être « accessibles aux nombreux défenseurs européens, et pas seulement à quelques-uns », ajoute-t-il en rappelant l’existence du plan d’action européen d’OpenAI pour la cybersécurité.

La déclinaison cyber de GPT‑5.5 est disponible depuis le 7 mai, dans un « aperçu limité » réservé aux « défenseurs chargés de sécuriser les infrastructures critiques », explique OpenAI. L’entreprise a élargi son programme TAC (Trusted Access for Cyber) au mois d’avril avec le lancement de GPT-5.4-Cyber ; il faut montrer patte blanche pour entrer dans le club, les partenaires étant vérifiés et approuvés par l’entreprise.

L’UE reste en revanche privée de Mythos. Thomas Regnier a indiqué qu’il y avait « un niveau d’engagement » avec Anthropic, « nous avons eu quatre ou cinq réunions avec l’entreprise ». Les discussions semblent aller bon train mais pour le moment, « nous ne sommes pas au même niveau [qu’avec OpenAI] ». Bruxelles salue « l’approche proactive adoptée par OpenAI, y compris sa volonté de nous donner accès au modèle », et voudrait bien que ça soit le cas avec Anthropic également.

• Mythos : l’Europe tenue à l’écart du modèle IA le plus ambitieux du moment

Une URL, et tout devient accessible

Plus besoin de connaissances en HTML ou en JavaScript pour développer des web apps : il suffit de la décrire à une des plateformes de vibe coding qui se partagent un marché florissant. Mais la sécurité est le parent pauvre de cette pratique.

Les apps générées par IA publiées sur internet sont souvent peu sécurisées. Red Access, une entreprise spécialisée dans la sécurité dans le nuage, et son cofondateur Dor Zvi ont analysé des milliers de web apps créées avec des outils comme Lovable, Replit, Base44 et Netlify. Le résultat fait froid dans le dos : plus de 5 000 d’entre elles ne présentent aucune authentification ni véritable sécurité.

La simplicité c’est bien, la sécurité c’est mieux

Il suffit de trouver l’URL du site web pour accéder aux données de ces applications. D’autres n’opposaient comme résistance que des barrières faciles à franchir, comme l’obligation de se connecter avec une adresse email. Environ 40 % de ces web apps exposent des données sensibles, des documents confidentiels ou des historiques de conversation entre clients et chatbots. Dor Zvi tire la sonnette d’alarme chez Wired :

« Des organisations se retrouvent à divulguer des données privées via des applications créées avec le vibe coding. C’est l’un des plus grands cas de fuite où des personnes exposent des informations d’entreprise ou d’autres données sensibles à n’importe qui dans le monde. »

Parmi les trouvailles de l’équipe de Red Access : des plannings d’hôpitaux avec des informations personnelles sur des médecins, les achats publicitaires d’une entreprise, une présentation de lancement commercial, les registres de cargaisons d’une société de transport… Dans certains cas, Dor Zvi aurait pu obtenir les privilèges admin de certaines de ces apps en ligne — et même supprimer des comptes administrateurs.

Les plateformes de vibe coding permettent aux utilisateurs d’héberger leurs web apps directement sur leurs propres domaines. Pour mettre la main dessus, les chercheurs ont simplement utilisé Google ou Bing. Ils ont également trouvé plusieurs sites d’hameçonnage reproduisant ceux de grandes entreprises, créés et hébergés chez Lovable.

« Certains utilisateurs ont publié sur le web des applications qui auraient dû rester privées », explique Amjad Masad, le directeur général de Replit. « Qu’une application publique soit accessible sur internet est donc un comportement attendu. Les paramètres de confidentialité peuvent être modifiés à tout moment en un clic. » Rappelant l’existence d’outils de sécurité sur sa plateforme, le dirigeant s’engage à basculer les applications en mode privé et à informer les utilisateurs, si Red Access décide de lui transmettre une liste de ces derniers.

Masad reproche au passage le délai très court donné par la société de cybersécurité : « moins de 24 heures » avant de rendre l’affaire publique, ce qui n’a guère laissé de temps à Replit pour s’organiser. Le 6 mai, Replit annonçait que tous les utilisateurs du service, gratuit comme payant, peuvent publier leurs apps en mode privé. Une fonction qui était réservée auparavant aux clients Pro et Enterprise.

La responsabilité des plateformes

Chez Lovable, on indique également que les utilisateurs ont des outils de sécurité à leur disposition, « mais la manière dont une application est configurée relève au final de la responsabilité de son créateur ». Même discours du côté de Base44 : « Désactiver ces contrôles [de sécurité] est une action volontaire et simple, que n’importe quel utilisateur peut effectuer ». Une web app rendue publique est « un choix de configuration de l’utilisateur, et pas une faille de la plateforme ».

• Étoile montante du vibe coding, Lovable lève 330 millions de dollars

Base44 rappelle aussi qu’il est très simple de générer des données ressemblant à des vraies. Malgré tout, le risque d’exposer des informations confidentielles via des web apps vibe-codées reste réel. Ces outils sont utilisés par des utilisateurs n’ayant pas nécessairement le bagage technique suffisant pour sécuriser leurs données en ligne. 

« N’importe qui dans une entreprise peut générer une application à tout moment, sans passer par un cycle de développement standard ni par le moindre contrôle de sécurité », prévient Dor Zvi. Les plateformes ont une responsabilité ici, celle de mettre en place des garde-fous pour éviter un tsunami potentiel de fuites de données.

• Comment l’IA générative change-t-elle le métier de programmeur ?