Une fois de plus, Shine change de main. Moins d’un an après son acquisition par le groupe danois Ageras, la néobanque française, positionnée notamment sur le segment des micro-entreprises et PME, s’apprête en effet à passer dans le giron de l’éditeur Cegid, qui affiche de fait l’ambition de proposer rapidement à ses clients français et européens une plateforme bancaire et comptable intégrée.

« Cette combinaison structurante donnera naissance au premier hub financier cloud-native, piloté par l’IA et entièrement intégré, à destination des PME et des professionnels de la comptabilité en Europe », annonce l’acquéreur dans un communiqué daté du 26 novembre.

Shine, établissement de paiement concurrent d’offres comme Qonto ou N26, apporte dans sa corbeille « plus de 400 000 clients PME, une marque forte et une architecture technologique très évolutive (scalable), élargissant la portée de Cegid sur les principaux marchés européens ». Le montant de l’opération n’a pas été communiqué, mais il serait supérieur à 1 milliard d’euros d’après Les Échos.

Lancée en 2017 avec un discours tourné vers les indépendants, Shine avait été rachetée par Société Générale en 2020 après avoir levé 10,8 millions d’euros en plusieurs tours. Censée incarner les velléités nouvelles du groupe bancaire dans le monde des fintechs, Shine a cependant été revendue en 2024 au groupe danois Ageras, sur fond de changement de direction générale et de réorganisation stratégique chez Société Générale.

Cette nouvelle opération ramène donc Shine en France, entre les mains du groupe Cegid cette fois (fondé par Jean-Michel Aulas et basé à Lyon, aujourd’hui détenu par plusieurs fonds, dont l’américain Silver Lake en tant qu’actionnaire majoritaire). Connu pour ses solutions de comptabilité et de gestion, d’abord logicielles puis déployées sous forme de services cloud, ce dernier voit dans l’intégration de Shine la possibilité d’ajouter la corde paiement et compte pro à son arc, pour ainsi renforcer l’attractivité de son offre face au grand concurrent Pennylane, lui aussi très actif sur la cible des PME.

Rien d'important

Au cours des trois dernières semaines, de nombreuses mairies françaises ont dû avertir une partie de leurs administrés : plusieurs de leurs données personnelles se sont retrouvées dans la nature. Ces piratages, qui seraient menés par le même groupe, s’inscrivent dans un contexte plus large d’attaques contre des prestataires de services.

Un nombre important de mairies, dont beaucoup en Bretagne, ont signalé des incidents cyber. Tous en commun une fuite d’informations : nom, prénom et, selon les cas, adresse postale, adresse e-mail et numéro de téléphone. Des données non sensibles, mais qui peuvent alimenter ensuite les grandes opérations de phishing.

La première mairie à avoir communiqué sur le sujet semble être Brest, le 14 novembre, faisant état d’une fuite de 50 000 données environ. Sur X, SaxX s’empare du sujet et commence à faire l’historique des fuites en commençant par Brest. Le 19 novembre, c’était au tour de Quimper avec 12 000 données, puis le chiffre total s’est rapidement approché des 100 000 avec plusieurs autres villes de Bretagne. Le même jour, on apprenait que la mairie d’Alfortville (Île-de-France cette fois) commençait à envoyer des e-mails concernant là encore une fuite, avec toujours les mêmes caractéristiques.

Il est rapidement apparu que toutes ces mairies n’avaient pas été directement piratées. Les attaques étaient dirigées contre des prestataires de services, notamment deux plateformes fournissant des solutions de prises de rendez-vous : RDV360 et SynBird. Sur le site Bonjourlafuite.eu.org, on peut voir plusieurs mairies référencées, avec des captures des messages envoyés aux personnes concernées.

Plus précisément, les informations sont celles données par les administrés lors des demandes de rendez-vous pour la production d’une pièce d’identité. Dans la plupart des cas, ces informations proviennent de demandes faites entre 2022 et 2025.

Une vigilance particulière demandée

Dans tous les communiqués ou presque, les mairies indiquent qu’une déclaration a été faite à la CNIL (elles y sont légalement tenues) et qu’une plainte a été déposée. Si certaines communications ne le mentionnent pas, d’autres indiquent clairement qu’il s’agit d’un piratage de l’un des deux prestataires, RDV360 ou Synbird.

La fuite toucherait 1 300 communes, selon Le Parisien. Dans ses colonnes, la société savoyarde Synbird a réagi, confirmant le problème : « La fuite concerne les clients qui utilisent notre module de rendez-vous et de réservations de salle. Elle est circonscrite aux rendez-vous pris de début à fin octobre ». L’entreprise affirme avoir retracé l’origine du problème jusqu’à un poste d’employé municipal.

C’est la réutilisation d’un mot de passe, obtenu par une autre fuite, qui aurait permis aux pirates d’accéder au compte d’une mairie cliente. « L’attaquant a ensuite exploité une faille de sécurité dans le logiciel pour exporter des données. Ce problème a depuis été réglé par nos développeurs », a précisé Synbird, qui a ajouté que l’incident avait été déclaré à la CNIL et qu’un dépôt de plainte à la gendarmerie était en cours.

Les conseils donnés dans la plupart des cas sont les mêmes que ceux de la mairie de Brest dans son communiqué du 14 novembre : « aux personnes ayant fait une demande de pièces d’identité pendant cette période une vigilance particulière notamment en cas de démarchages inhabituels par mail et/ou téléphone, ou de demandes de coordonnées bancaires, même émise d’un opérateur connu des usagers ».

Sur son compte, SaxX affirme que ces fuites, pour des données allant de 2021 à novembre 2025, ont été orchestrées par un groupe de cybercriminels nommé « dumpsec » (qui est curieusement le nom d’un outil de sécurité utilisé pour des audits). Ce groupe aurait contacté le hacker et lui aurait fourni un échantillon « de 20 000 lignes concernant RDV360 ». Sur l’ensemble des mairies touchées par l’incident, 14 millions de données auraient été aspirées.

« Aucune donnée sensible »

La plupart des communiqués, à l’instar de ceux d’Ergué-Gébaric et de Guipavas, mettent l’accent sur l’absence de données « sensibles » dans les fuites. « Aucune donnée sensible, aucun document ou pièce d’identité, aucune donnée financière et aucun mot de passe n’ont été prélevés », peut-on lire par exemple dans le communiqué de Guipavas.

Pour autant, ces informations peuvent se révéler dangereuses. Elles alimentent les campagnes de phishing, et peuvent parfois servir à des attaques plus personnalisées, comme on l’a vu avec Ledger très récemment. Même sans ce type d’attaque plus ciblée, les numéros de téléphone et adresses e-mail intègrent de vastes bases de données exploitées pour des tentatives d’arnaques en tous genres.

• Du phishing ciblé directement dans votre boite aux lettres physique, le cas Ledger

Sans aller jusqu’à la communication de Pandora en aout dernier, ce type de communication tend à banaliser les fuites d’informations jugées « non sensibles ». Il est malheureusement vrai que ces fuites sont devenues monnaie courante, avec d’énormes opérations au cours des deux dernières années notamment, dont celles des deux plus gros prestataires de tiers payant en France, ou encore le cas emblématique de France Travail.

On remarque également que ces fuites interviennent une fois de plus dans le cadre de l’exploitation d’une faille chez un partenaire, comme c’était le cas pour France Travail.

En avril 2025, Adam Raine, 16 ans, s’est suicidé. Après avoir examiné les traces de ses activités numériques, ses parents ont déposé la première plainte connue contre OpenAI.

En cause : l’historique de conversation d’Adam Raine avec ChatGPT montrait que l’adolescent avait longuement échangé avec le robot conversationnel, et commencé à chercher des méthodes de suicide dès le mois de janvier.

Adam Raine a en particulier utilisé GPT-4o, une version de l’outil dont le ton est connu pour être très affirmatif et flagorneur.

• OpenAI est poursuivi en justice après le suicide d’un adolescent


Ce 25 novembre, OpenAI a déposé devant la Cour supérieure de Californie, à San Francisco, son argumentaire relatif à l’affaire.

Elle y indique que les dommages causés à la victime sont le fait du « mésusage, de l’usage non autorisé, non voulu, imprévisible et impropre de ChatGPT ». Autrement dit, selon l’entreprise, si problème il y a eu en lien avec ChatGPT, c’est parce qu’Adam Raine n’a pas utilisé la machine correctement.

OpenAI explique notamment que, selon ses conditions d’utilisation, les internautes de moins de 18 ans ne doivent normalement pas utiliser ses outils sans le consentement d’un parent ou dépositaire de l’autorité parentale, et que le document interdit aux usagers d’utiliser les termes « suicide », « automutilation » ou de contourner toute forme de garde-fou existant. Adam Raine avait, à plusieurs reprises, indiqué chercher des informations « pour créer un personnage » afin de contourner les blocages initiaux de ChatGPT.

Auprès de NBC, l’avocat de la famille Raine qualifie cet argumentaire de « dérangeant ». Depuis cette première plainte, sept autres ont été déposées contre OpenAI et Sam Altman pour des faits similaires.

L’entreprise a publié ce 25 novembre un article de blog dans lequel elle déclare vouloir traiter les litiges relatifs à la santé mentale avec « soin, transparence et respect ». Elle précise néanmoins que sa réponse à la plainte de la famille Raine inclut des « faits difficiles relatifs à la santé mentale et aux conditions de vie d’Adam Raine ».

• Psychoses induites par IA : le défi de sortir les internautes de leur « spirale » mentale

One Step Beyond...

Si la surveillance des messageries chiffrées serait abandonnée, les plateformes devraient scanner les messages privés à l’aide d’IA, introduire des contrôles d’âge obligatoires pour tous les utilisateurs d’Internet, et des conditions strictes risquant d’exclure les adolescents des applications dotées de fonctions de chat. Les négociations (« trilogues ») débuteront prochainement, dans le but de finaliser le texte avant avril 2026, entre la Commission, le Conseil et le Parlement européen.

Après des années de débats, le Conseil européen est parvenu à une position commune sur le projet de « règles en vue de prévenir et de combattre les abus sexuels sur enfants » (Child Sexual Abuse Regulation, CSAR).

Il avait avant tout été retardé par la controverse liée à son pan numérique, et à la gestion des contenus numériques d’abus sexuels sur mineurs (Child Sexual Abuse Material, CSAM). Surnommé ChatControl par ses opposants, le projet de surveillance des messageries a finalement été abandonné au mois d’octobre.

À l’origine, il prévoyait que les forces de l’ordre puissent demander aux entreprises du numérique, plateformes chiffrées de bout en bout comprises, de scanner les échanges sur leurs outils pour repérer du CSAM.

Ce mercredi, les pays de l’Union européenne se sont finalement mis d’accord sur un texte qui supprime les ordonnances de détection obligatoire et met plutôt l’accent sur des mesures renforcées d’atténuation des risques, note Euractiv.

« Chat Control n’est pas mort, il est simplement privatisé »

Le scan volontaire de plateformes à la recherche de CSAM reste néanmoins cité comme outil possible, ce qui inquiète les défenseurs de la vie privée. L’ex-eurodéputé pirate Patrick Breyer avance en effet que « les gros titres sont trompeurs : Chat Control n’est pas mort, il est simplement privatisé » :

« Si le Conseil a supprimé l’obligation de scan, le texte convenu crée un cadre juridique toxique qui incite les géants technologiques américains à scanner sans discernement les communications privées, introduit des contrôles d’âge obligatoires pour tous les utilisateurs d’Internet et menace d’exclure les adolescents de la vie numérique. »

Il souligne que le mandat du Conseil « contraste fortement avec la position du Parlement européen, qui exige que la surveillance ne vise que les suspects et que les contrôles d’âge restent volontaires ». Cela permettrait à des fournisseurs tels que Meta ou Google de « scanner tous les chats privés, sans distinction et sans mandat judiciaire », déplore l’ex-eurodéputé.

« Vous aurez besoin d’une carte d’identité pour envoyer un message »

Le mandat autoriserait en outre le « scan de messages privés, d’images inconnues et de métadonnées à l’aide d’algorithmes et d’une intelligence artificielle ». Et ce, alors que la police fédérale allemande (BKA) a reconnu que 50 % des rapports générés dans le cadre d’un programme volontaire étaient sans intérêt sur le plan pénal, souligne Patrick Breyer :

« Nous sommes confrontés à un avenir où vous aurez besoin d’une carte d’identité pour envoyer un message et où une intelligence artificielle étrangère décidera si vos photos privées sont suspectes. Ce n’est pas une victoire pour la vie privée, c’est un désastre annoncé. »

Patrick Breyer relève en effet que pour se conformer à l’exigence du Conseil d’« identifier de manière fiable les mineurs », les fournisseurs « seront contraints de vérifier l’âge de chaque utilisateur », ce qui repose le problème du partage de documents d’identité avec des entreprises privées (au surplus états-uniennes), et du recours à la reconnaissance faciale.

Une « assignation à résidence numérique » pour les moins de 17 ans

Le texte du Conseil propose de plus d’interdire aux utilisateurs de moins de 17 ans d’utiliser des applications dotées de fonctions de chat, notamment WhatsApp, Instagram et les jeux en ligne populaires, « à moins que des conditions strictes ne soient remplies ».

Cela reviendrait à une « assignation à résidence numérique », isolant les jeunes de leurs cercles sociaux et de l’éducation numérique, déplore Patrick Breyer : « La protection par l’exclusion est un non-sens pédagogique. Au lieu de responsabiliser les adolescents, le Conseil veut les exclure complètement du monde numérique ».

Les négociations (« trilogues ») débuteront prochainement, dans le but de finaliser le texte avant avril 2026, entre la Commission, le Conseil et le Parlement européen. Adoptée en novembre 2023, la position de ce dernier avait supprimé toute mention d’ordonnance de détection sur les plateformes chiffrées.

• #ChatControl : un compromis « historique » exclut la surveillance des messageries en Europe


Comment simplifier l’exploration du jeu de correspondances de Jeffrey Epstein rendues publiques par la United States House Committee on Oversight sous la forme de PDF difficiles à trier ?

À cette question, les informaticiens Riley Walz et Luke Igel ont proposé une réponse simple : permettre aux internautes de naviguer dans ces informations en les présentant sous la forme d’une boîte mail, en beaucoup de points similaires au service de Google qu’1,8 milliard de personnes utilisent chaque mois.

C’est ainsi qu’est née Jmail, la fausse boîte mail de Jeffrey Epstein, riche de plus de 2 000 messages, dans laquelle tout internaute peut marquer un message comme important (avec une étoile).

La messagerie permet aussi d’identifier des contacts réguliers, parmi lesquels l’ex-conseiller de Donald Trump Steve Bannon, l’associée d’Epstein désormais derrière les barreaux Ghislaine Maxwell, l’ancien directeur du laboratoire de recherche dédié aux nouvelles technologies MIT Media Lab Joichi Ito, ou encore le linguiste Noam Chomsky.

Pour produire cet outil, Riley Walz et Luke Igel ont notamment recouru au LLM de Google Gemini, avec lequel ils ont récupéré le contenu des pdf par reconnaissance optique des caractères (OCR), détaille PC Gamer.

Derrière chaque résultat fourni par le robot, ils permettent aux internautes de cliquer pour voir le document source.

Les parlementaires européens ont voté mercredi en faveur d’un seuil minimal de 16 ans pour accéder aux réseaux sociaux à travers l’Union.

Ils ont aussi voté en faveur de tenir Mark Zuckerberg, Elon Musk et les autres patrons de la tech personnellement responsables si leurs entreprises persistent à ne pas respecter les règles européennes en matière de protection des mineurs en ligne, rapporte Politico.

Ces positions ont été tranchées dans le cadre de la production d’un rapport sur la protection des mineurs en ligne. Les parlementaires y appellent la Commission européenne à harmoniser les limites d’âge à travers l’Union européenne, alors que de nombreux pays travaillent à mettre en place leurs propres seuils, comme la France.

Les décisions du Parlement européen pourraient aussi influencer deux textes européens à venir : la directive sur les services de médias audiovisuels et le règlement sur l’équité numérique (Digital Fairness Act).

• TikTok et les réseaux sociaux se font dézinguer par des députés, qui veulent agir fort

Le consentement, c’est important !

La CNIL vient de prononcer une sanction 750 000 euros à l’encontre de la société française Les publications Condé Nast, éditrice de Vanity Fair, Vogue, GQ et AD. En cause, « le non-respect des règles applicables en matière de traceurs (cookies) ». C’est la conclusion d’une très (très) longue procédure, en plusieurs rounds.

L’histoire débute en 2019 par une plainte publique de l’association noyb pour des cookies déposés par le site vanityfair.fr, édité par Les publications Condé Nast. Une mise en demeure est prononcée en septembre 2021 et la procédure est finalement fermée en juillet 2022.

Le consentement c’est important, comme la clarté de l’information

Deux fois en 2023, puis à nouveau en février 2025, la CNIL a effectué des contrôles supplémentaires et constaté que Condé Nast « avait manqué aux obligations prévues par l’article 82 de la loi Informatique et Libertés », en conséquence de quoi elle annonce avoir « prononcé à son encontre une amende de 750 000 euros ».

La CNIL reproche trois principaux griefs : « absence de recueil du consentement des utilisateurs avant dépôt des cookies », « absence de clarté de l’information mise à disposition des utilisateurs » et enfin des « mécanismes de refus et de retrait du consentement défaillants ».

La délibération a été publiée, permettant d’en apprendre davantage sur cette affaire. Tout d’abord, les publications Condé Nast ne conteste pas les observations de la CNIL, à savoir la nécessité de recueillir le consentement dans ce genre de cas ainsi que le dépôt du cookie. Néanmoins, l’entreprise explique « que cette action est due à une erreur technique et avoir procédé à des corrections pour supprimer ce cookie de son site le 12 janvier 2024 ».

Sur le manquement à l’information des personnes, la CNIL pointe du doigt trois cookies « toujours actifs » dont le but est de « mettre en correspondance et combiner des sources de données hors ligne », de « relier différents terminaux » et de « recevoir et utiliser des caractéristiques d’identification d’appareil envoyées automatiquement ».

Ils sont présentés comme des « cookies strictement nécessaires au fonctionnement du site web » ; il n’est donc pas possible de les supprimer. De son côté, « le rapporteur considère au contraire que ces cookies ne sont pas strictement nécessaires au fonctionnement du site web et que l’information délivrée aux personnes est erronée ».

Condé Nast agite le Transparency and Consent Framework (TCF) de l’Internet Advertising Bureau (IAB) pour justifier son choix. « La société considère qu’en étant liée par le TCF de l’IAB, elle n’a pas le pouvoir de définir les finalités des cookies de fonctionnalités », sous-titre la CNIL.

Argument balayé d’un revers de la main par la Commission : « à supposer que l’adhésion au TCF ait constitué une contrainte professionnelle pour la société, il n’en demeure pas moins que l’information transmise à l’utilisateur restait insuffisante dans la mesure où elle ne renvoyait pas vers les règles de l’IAB ».

Autre grief, sur l’« effectivité du refus par l’utilisateur du dépôt et de la lecture de cookies », puisque retirer son consentement doit être aussi simple que le donner. L’entreprise confirme de nouveau les dépôts malgré le refus, mais explique que c’est encore un problème de paramétrage : : « l’un des cookies a été déposé en raison d’un paramétrage incorrect et a été désactivé en deux semaines. Elle indique pour un deuxième cookie qu’il avait également été désactivé rapidement et n’aborde pas le cas du troisième cookie identifié par le rapporteur ». La CNIL prend acte, mais note tout de même que la société ne tient pas compte du choix de l’utilisateur et « trompe son consentement ».

Des cookies encore lus après retrait du consentement

Enfin dernier point constaté en février 2025 : « des opérations de lecture d’informations dans le terminal de l’utilisateur après que celui-ci a accepté dans un premier temps des opérations de lecture et d’écriture puis retiré son consentement en continuant sa navigation sur le site ».

La CNIL détaille le parcours réalisé par la délégation en charge de l’analyse :

« Elle a d’abord accepté les cookies via le bandeau relatif aux cookies puis s’est rendue, via un lien hypertexte présent sur la page d’accueil, sur la page web comportant l’interface de choix relative aux cookies. Elle a alors constaté l’enregistrement de cinquante cookies sur son navigateur. Puis elle a procédé au retrait de son consentement en cliquant sur le bouton  » Tout refuser  » de l’interface de choix et constaté l’effacement de douze cookies et le maintien de trente-huit cookies sur son terminal ».

Là encore, la société ne conteste pas, mais précise avoir appliqué des changements depuis le contrôle. Notamment, que le cookie _ga_9C8GH73ZS1 « a été désactivé par la société et qu’aucune donnée ne peut être ni collectée ni partagée avec la société Google », indique la Commission.

La CNIL prend note pour Google, mais précise qu’il « ressort de l’instruction que les données continuent d’être associées aux requêtes envoyées vers le domaine de la société, et donc lues par la société, sans qu’elle justifie d’aucune finalité exemptée à ce titre ».

La CNIL retient la gravité du manquement

Dans son délibéré, la formation restreinte de la CNIL retient « la gravité du manquement compte tenu de la nature, de la portée ou de la finalité du traitement, ainsi que du nombre de personnes concernées affectées et du niveau de dommage qu’elles ont subi ». Le site vanityfair.fr revendique, entre juin et octobre 2023, 7,43 millions de visiteurs, dont plus de 6 millions en France.

Autre point important à prendre en compte : la durée des échanges qui ont débuté en 2019, avec encore des manquements début 2025. La formation considère aussi qu’il y a eu négligence aggravée puisque la CNIL a expliqué les règles à l’éditeur à de nombreuses reprises. Si des mesures correctives ont été prises, la formation restreinte ajoute « que cette mise en conformité n’est intervenue qu’après les opérations de contrôle et après échanges avec la délégation, et non de manière autonome et spontanée ».

Enfin, l’avantage financier obtenu suite à ces manquements doit être pris en compte : « la régie publicitaire et l’activité commerciale en vue de la vente d’espaces publicitaires apparaissent comme des activités centrales de la société, au même titre que son activité d’édition. Les cookies font partie de l’écosystème publicitaire sur le web et génèrent ainsi des revenus pour la société ».

Le montant de l’amende tient aussi compte des capacités financières de l’entreprise. Le chiffre d’affaires net de Les publications Condé Nast pour 2023 en France est de 26,4 millions d’euros pour un résultat net de 0,9 million d’euros, contre respectivement 47,6 millions et 3,6 millions d‘euros en 2022.

Au final, le montant de l’amende administrative est de 750 000 euros.

Condé Nast affirme que « la publicité de la sanction n’est pas justifiée », elle ne souhaite ainsi pas que son nom apparaisse. La CNIL n’est pas du même avis : « une telle mesure se justifie compte tenu de la visibilité du site en cause, de la gravité, de la durée des manquements constitués et du nombre de personnes concernées, lesquelles doivent être informées ».

Comme toujours, cette décision peut faire l’objet d’un recours devant le Conseil d’État.

Fin mars, Plex annonçait à la fois une hausse des prix et un changement d’approche pour la diffusion des contenus médias en dehors de son réseau domestique. En clair, il s’agissait de faire passer les utilisateurs à la caisse.

• Plex revoit ses prix à la hausse et lance une option payante pour la lecture à distance

Sans toucher à la diffusion domestique, il était proposé deux manières de payer, selon le contexte. Pour la personne ayant le serveur et les contenus, une formule Plex Pass (6,99 dollars par mois ou 69,99 dollars par an) déverrouillait la possibilité de streamer vers des personnes extérieures au réseau, par internet donc. Dans l’autre sens, une personne peut payer 1,99 dollar par mois (ou 19,99 dollars par an) pour un Remote Watch Pass, permettant l’accès à un serveur Plex distant, sans que son possesseur ait besoin d’un Plex Pass.

Il était prévu que ces règles entrent en vigueur à compter du 29 avril, mais l’application ne se fait réellement que cette semaine, en commençant par l’application Roku. L’équipe a confirmé le changement dans un message dans son forum le 20 novembre et repéré par How-To Geek le 25.

Si cette obligation est limitée pour l’instant, elle sera généralisée l’année prochaine à toutes les autres applications (Android TV, Apple TV, FireTV…) « ainsi qu’à tout client tiers utilisant l’API pour proposer le streaming à distance ».

Rappelons que ces changements concernent l’accès distant pour les serveurs Plex. Les personnes utilisant cette solution de streaming pour de la diffusion locale ne sont pas concernées.

Coup de balai

Dans un billet publié ce 24 novembre, l’équipe du réseau d’anonymisation Tor a annoncé un changement important pour la sécurité de son infrastructure. Elle va ainsi remplacer l’ancienne méthode de chiffrement « pour chiffrer les données utilisateur au fur et à mesure de son parcours » entre les relais, au profit d’une approche beaucoup plus sécurisée.

L’ancienne méthode, nommée « tor1 », comporte plusieurs problèmes. Créée en 2002, elle n’est plus adaptée aux attaques plus modernes, notamment par marquage. Celles-ci permettent à un acteur malveillant de tracer le trafic en le modifiant à un endroit du réseau et en observant des changements prévisibles à un autre endroit.

Des briques de 2002

Cet ancien système utilise AES-128-CTR comme algorithme de chiffrement. Considéré comme malléable, il peut permettre à cet acteur malveillant de modifier un contenu chiffré de manière prévisible, sans connaitre la clé. S’il parvient à contrôler plusieurs nœuds du réseau, il peut insérer un motif dans les données chiffrées d’un côté et le retrouver de l’autre, permettant de démasquer une personne immédiatement (trouver son identifiant unique), plutôt que de s’appuyer sur des méthodes probabilistes.

Dans le billet, l’équipe de Tor évoque deux autres problèmes. D’une part, tor1 n’offre pas de confidentialité persistante immédiate, les mêmes clés AES étant utilisées pendant toute la durée de vie du circuit (jusqu’à plusieurs jours). D’autre part, cette infrastructure utilise actuellement des authentificateurs de 4 octets (32 bits) utilisant SHA-1, « qui affiche son âge, c’est le moins que l’on puisse dire », note l’équipe.

• SHA-1 : des chercheurs prouvent l’exploitation des collisions dans une attaque

Cet authentificateur est une valeur cryptographique permettant de vérifier que les données n’ont pas été modifiées pendant leur transmission. Quand un client Tor envoie des données, il doit s’assurer en effet que personne ne les a altérées en chemin. L’authentificateur fonctionne comme une empreinte digitale des données : le client la calcule en utilisant les données elles-mêmes et une clé secrète partagée avec le relai destinataire. Quand ce dernier reçoit les données, il recalcule l’empreinte de son côté et la compare avec celle reçue. Si les deux correspondent, les données n’ont pas été modifiées.

La solution Counter Galois Onion

L’équipe est donc en train de déployer un changement majeur pour le chiffrement des informations de l’utilisateur entre les relais. Nommée Counter Galois Onion (CGO), cette solution se base sur une construction cryptographique baptisée Rugged Pseudorandom Permutation par ses quatre auteurs : Jean-Paul Degabriele, Alessandro Melloni, Jean-Pierre Münch et Martijn Stam.

Ces chercheurs ont soumis à ce sujet deux rapports. Dans l’un, on remarque que le besoin d’un renforcement de la sécurité sur le cheminement des données entre les relais avait été exprimé par Tor dès 2012. La seule solution envisagée alors était couteuse en opérations de chiffrement. CGO a été présenté comme une alternative « minimaliste et modulaire », avec plusieurs avantages. Dans l’autre, les chercheurs détaillent en quoi CGO est une méthode robuste.

La nouvelle méthode est censée garantir que toute altération d’une partie des données chiffrées rende le reste du message (ou cellule) irrécupérable, y compris les messages suivants. L’authentificateur passe à 16 octets (128 bits) et les clés cryptographiques sont transformées de manière irréversible après chaque cellule envoyée ou reçue, éliminant la possibilité de déchiffrer les cellules antérieures. Ce changement assure une confidentialité persistante immédiate et l’utilisation de grands blocs de données doit prémunir le réseau contre les attaques par marquage.

La nouvelle méthode cryptographique a déjà été intégrée dans Arti, l’implémentation de Tor en Rust. Elle est en cours dans la version classique (en C). En revanche, l’équipe n’a rien dit sur une date d’arrivée dans Tor Browser.

Substitute User Do

Les deux plaintes initiées par Warner Music Group ont finalement débouché sur des partenariats commerciaux. La maison de disque vient en effet d’annoncer coup sur coup deux accords de licence avec les services d’IA générative musicale Suno et Udio.

Les plateformes de musique générée par IA Suno et Udio rémunèreront bientôt Warner Music Group pour l’utilisation, directe ou indirecte, faite de son catalogue. La maison de disque a en effet annoncé, à une semaine d’intervalle, la signature d’accords de gré à gré avec ces deux services.

Mardi 25 novembre, Warner Music Group et Suno ont ainsi révélé avoir enterré la hache de guerre et conclu un partenariat « inédit qui ouvrira de nouvelles perspectives en matière de création, d’interaction et de découverte musicales, tout en rémunérant et en protégeant les artistes, les auteurs-compositeurs et l’ensemble de la communauté créative ».

Un accord à la portée inédite

Les modalités financières de l’accord sont tenues secrètes, mais les deux sociétés précisent qu’il met un terme à leurs différends judiciaires. Leur annonce révèle également une évolution à venir dans les modèles d’IA générative développés par Suno. En 2026, l’entreprise devrait ainsi remplacer son offre actuelle par de nouveaux modèles « plus avancés et sous licence ».

On ne sait pas, à ce stade, dans quelle mesure la prise en compte de cette licence octroyée par Warner aura un impact sur les fonctionnalités offertes aux utilisateurs de Suno.

Les deux entreprises promettent toutefois que l’accord se révélera protecteur pour les artistes signés chez la major. « Les artistes et les auteurs-compositeurs auront un contrôle total sur l’utilisation de leurs noms, images, ressemblances, voix et compositions dans les nouvelles musiques générées par l’IA ».

Cette nouvelle licence sous-tendra par ailleurs un modèle économique basé à terme sur une logique de freemium.

Vers un freemium pour l’IA musicale de Suno

« À l’avenir, le téléchargement de fichiers audio nécessitera un compte payant. Suno introduira des restrictions de téléchargement dans certains cas : notamment, les morceaux créés avec la version gratuite ne seront plus téléchargeables, mais pourront être écoutés et partagés. Les utilisateurs d’un abonnement payant disposeront d’un nombre de téléchargements mensuel limité, avec la possibilité d’en obtenir davantage en payant ».

L’accord prévoit également que Warner transfère à Suno la responsabilité de Songkick, sa plateforme dédiée à la promotion et au référencement de concerts. Rachetée en 2017, cette startup avait été privée un an plus tard de sa principale composante business, la billetterie, en raison d’un litige avec Live Nation, maison mère de Ticketmaster. Sous la houlette de Suno, Songkick a vocation à renforcer sa dimension de « lieu de rencontre prisé des fans, alliant la puissance de la musique interactive aux performances en direct », évoquent vaguement les deux entreprises.

Warner a également signé avec Udio, Stability et Klay

Une semaine plus tôt, c’est avec Udio, autre startup emblématique de l’IA générative appliquée à la musique, que signait Warner Music Group. Là aussi, l’accord permet de solder les poursuites judiciaires, et suppose la construction d’un modèle économique intégrant cette logique de droits concédés sous licence.

« Grâce à cette collaboration, Udio développera une plateforme de création, d’écoute et de découverte musicale de nouvelle génération, alimentée par des modèles d’IA génératifs entraînés sur des œuvres musicales sous licence », affirment cette fois les deux entreprises, en soulignant que ce nouveau service doit donc générer des revenus pour les artistes et auteurs-compositeurs signés chez Warner, « tout en garantissant la protection de leurs œuvres ».

Là aussi, l’accord suppose une remise à plat du fonctionnement du service Udio, et de son modèle économique. « Le service d’abonnement repensé d’Udio proposera une série d’expériences créatives permettant aux utilisateurs de réaliser des remixes, des reprises et de nouvelles chansons à partir des voix d’artistes et des compositions d’auteurs-compositeurs participants, tout en garantissant la rémunération de ces derniers », décrit à ce niveau la startup, tout en indiquant que ses outils actuels resteront en service jusqu’à la bascule vers ce nouveau fonctionnement, programmée pour 2026.

Warner a par ailleurs annoncé deux accords similaires avec deux autres éditeurs d’IA générative musicale : Stability AI, qui propose la famille des modèles Stable Audio, et Klay Vision, un service encore en cours d’élaboration, qui promet de révolutionner l’expérience d’écoute de la musique grâce, bien sûr, à l’IA générative.

Partenariats similaires chez Universal Music Group

Klay, qui s’est lancée en octobre 2024 avec la bénédiction d’Universal Music Group, profite d’ailleurs de l’occasion pour annoncer la mise en place de contrats avec les principales majors du disque. Outre Warner, elle indique avoir signé avec Sony et Warner Chappell Music, et affiche son intention d’élargir le périmètre à « tous les labels indépendants, artistes, éditeurs et auteurs-compositeurs ». Un vœu pieux ?

Jusqu’ici, les principaux accords entre IA et représentants du monde de la musique n’ont été signés qu’avec les grandes majors, dont le pouvoir de négociation a sans doute profité des poursuites lancées à l’été 2024 contre les acteurs de l’IA générative retranchés derrière la logique de fair use. Universal, première maison de disque du marché, a elle aussi signé avec Udio et Stability.

• Udio et Suno, des IA de génération de musiques attaquées par l’industrie musicale américaine

Dans un communiqué, le CNRS explique que, « sur Mars, les vents soulèvent en permanence des tourbillons de poussière fine. C’est au cœur de deux de ces dust devils que le microphone de l’instrument SuperCam, premier microphone opérant sur Mars, a enregistré par hasard des signaux particulièrement intenses ».

Ces signaux ont ensuite été analysés et identifiés comme des décharges électriques, « comparables aux petits chocs statiques que nous pouvons expérimenter sur Terre en touchant une poignée de porte par temps sec ». C’est la confirmation par observation d’un phénomène théorisé depuis longtemps.

Selon le CNRS, cela montre que l’atmosphère de la planète Mars peut « accélérer la formation de composés hautement oxydants », des substances capables « de détruire les molécules organiques présentes en surface ainsi que de nombreux composés atmosphériques ». L’effet serait important pour la planète, avec une perturbation en profondeur de l’équilibre photochimique.

Pour le CNRS, c’est « une découverte majeure aux conséquences directes sur notre compréhension de la chimie atmosphérique, le climat, l’habitabilité de la planète et sur les futures explorations robotiques et habitées ». Les travaux sont publiés dans Nature.

D’après le Centre national de la recherche scientifique, cela « pourrait expliquer la disparition étonnamment rapide du méthane, un sujet de débat scientifique depuis plusieurs années ». Ces décharges pourraient constituer un risque pour les équipements actuels, mais aussi pour les futures missions habitées.

L’entreprise de Sam Altman vient de publier un texte expliquant que les données d’utilisateurs de son API via l’OpenAI Platform ont fuité.

Selon OpenAI, cette fuite concerne :

• Le nom fourni pour le compte API ;
• l’adresse e-mail associée au compte API ;
• la localisation approximative basée sur le navigateur de l’utilisateur API (ville, état, pays) ;
• le système d’exploitation et le navigateur utilisés pour accéder au compte API ;
• les sites web référents ;
• les identifiants d’organisation ou d’utilisateur associés au compte API.

L’entreprise pointe du doigt un de ses sous-traitants : Mixpanel. Celui-ci se serait aperçu le 9 novembre qu’un pirate aurait eu accès à une partie de ses systèmes et exporté un ensemble de données. Mixpanel a informé OpenAI qu’elle enquêtait sur cette fuite et a ensuite partagé le jeu de données concerné avec le créateur de ChatGPT le 25 novembre.

OpenAI explique qu’elle continue à travailler sur le sujet avec MixPanel et d’autres partenaires mais que Mixpanel ne fait d’ores et déjà plus partie de ses sous-traitants.

Dans sa communication, OpenAI affirme qu’ « aucune conversation, requête API, donnée d’utilisation API, mot de passe, identifiant, clé API, détail de paiement ou pièce d’identité officielle n’a été compromis ou divulgué ».

Elle ajoute qu’elle ne recommande donc pas de réinitialisation de mot de passe ou de rotation des clés en réponse à cet incident. L’entreprise incite par contre ses utilisateurs à activer l’authentification multifacteur en tant que bonne pratique.

OpenAI assure qu’elle va informer tous les utilisateurs et organisations concernés individuellement et qu’elle reste en contact avec Mixpanel afin de déterminer les mesures à prendre.