Interdiction de quelle plateforme ?

L’interdiction des réseaux sociaux aux moins de 15 ans est débattue ce 31 mars au Sénat. La chambre haute envisage d’intégrer une logique à deux vitesses pour laisser aux mineurs la possibilité d’accéder à certaines plateformes, sous réserve d’obtenir l’autorisation de leurs parents.

Mise à jour du 31 mars à 21h15. Via un communiqué, le Sénat annonce qu’il « vient d’adopter la proposition de loi « Protéger les mineurs des risques des réseaux sociaux » […] dans une version largement conforme au texte proposé par la commission de la culture, de l’éducation, de la communication et du sport ». Le texte a été adopté en première lecture, en procédure accélérée.

Le Sénat considère par contre qu’une « interdiction générale mais imprécise présentait un risque d’inconstitutionnalité et serait largement inopérante ». Il prévoit donc « la publication d’une liste des réseaux sociaux interdits aux mineurs de moins de 15 ans ».

Cela concerne les plateformes susceptibles de nuire à l’« épanouissement physique, mental ou moral » de l’enfant. Par défaut, les réseaux sociaux qui ne figureront pas sur la liste « ne seront accessibles aux mineurs de moins de 15 ans que sous réserve de l’accord parental ».

« Le gouvernement, qui juge cette rédaction incompatible avec le droit européen, va saisir la Commission européenne d’ici la fin de la semaine », explique l’AFP en se basant sur une déclaration de la ministre du Numérique Anne Le Hénanff. Par la suite, le texte passera en commission mixte paritaire.

---

Article original le 31 mars à 17h58. Adoptée le 27 janvier par l’Assemblée nationale, l’interdiction des réseaux sociaux aux moins de 15 ans est débattue ce 31 mars au Sénat. Voulue par le président de la République, qui espère même une entrée en vigueur pour la rentrée de septembre, certaines modalités du texte suscitent néanmoins des débats.

Deux types de plateformes, deux niveaux d’interdiction

Comme ailleurs dans le monde, le besoin de protéger les mineurs des effets délétères des principales plateformes sociales que sont Instagram, TikTok ou Snapchat n’est pas tellement débattu. En France, cela dit, l’Assemblée nationale votait il y a quelques semaines pour une interdiction de l’accès « à un service de réseau social en ligne fourni par une plateforme en ligne » – définition susceptible de les concerner tous –, sans en faire porter la responsabilité précise sur les plateformes elles-mêmes.

Ces dispositions avaient été prises à la suite d’un avis du Conseil d’État alertant sur les risques d’outrepasser les cadres déjà posés à l’échelle européenne par le règlement européen sur les services numériques.

« Une interdiction générale et indifférenciée est trop large et attentatoire aux libertés publiques », expliquait néanmoins la rapporteure du texte Catherine Morin-Desailly à Public Sénat. Pour la chambre haute, il s’agirait donc d’introduire deux catégories de plateformes : celles trop dangereuses pour « l’épanouissement physique, mental ou moral » des moins de 15 ans, et celles qui restent acceptables, sous réserve de l’autorisation des parents.

Concrètement, les sénateurs doivent donc voter sur la possibilité de créer une liste des services interdits, dont le contenu serait fixé par arrêté ministériel, et un deuxième niveau de services dont l’accès sera directement administré dans les foyers.

Pour le gouvernement, en revanche, cette version « fragilise considérablement le texte », notamment envers le droit européen. Dans une tribune publiée dans Libération, la neurologue Servane Mouton et l’addictologue Amine Benyamina, membres de la commission écrans et enfants, appelaient quant à eux le Sénat à « ne pas vider la proposition de loi de sa substance ».

Multiplication de travaux à travers la planète

En dehors de la France, qui devra aussi, comme nous l’expliquions dans de précédents articles, s’attaquer à tous les enjeux techniques que pose la limitation d’âge (choix des solutions, enjeux de cybersécurité créés par ces surcouches techniques, etc), de nombreux pays s’attellent ces derniers mois à freiner l’accès des plus jeunes aux plateformes sociales.

Au Royaume-Uni, où le gouvernement travaille à un projet de loi susceptible d’interdire l’accès des moins de 16 ans aux réseaux sociaux, le régulateur des médias Ofcom et l’alter ego de la CNIL viennent de demander aux principales sociétés numériques de renforcer leurs protections pour éviter que leurs services ne soient utilisés par des mineurs de moins de 13 ans. Facebook, Instagram, Snapchat, TikTok, YouTube, Roblox et X sont concernés.

Ailleurs en Europe, l’Espagne, la Grèce, la Slovénie ou encore l’Autriche travaillent à des textes sur la question. Comme le relève La Tribune, ces différents chantiers réglementaires illustrent aussi certains de ses aspects arbitraires, à commencer par celui de l’âge choisi comme palier.

• Majorité numérique : malgré les critiques, la Commission européenne soutient la France

Aux États-Unis, par exemple, seule la collecte d’informations personnelles des mineurs de moins de 13 ans est interdite. Au Brésil, ce sont ceux de moins de 16 ans qui voient désormais leur accès limité à ces plateformes, mais la limitation passe par la liaison obligatoire de leur compte à celui d’un tuteur légal. En Indonésie, les comptes de personnes de moins de 16 ans doivent en revanche être désactivés sur les plateformes jugées « à haut risque », parmi lesquelles on trouve TikTok ou Roblox. 


Comme en écho à ces velléités grandissantes de prémunir les plus jeunes face aux logiques les plus délétères des réseaux sociaux, Meta a été condamné pour la première fois en justice, ce 25 mars, pour des pratiques commises via sa plateforme. Dans cette affaire d’exploitation sexuelle de mineurs, un jury étatsunien a notamment déclaré la plateforme coupable d’avoir déployé des outils dangereux pour la santé mentale en toute connaissance de cause.

Début mars, 371 chercheuses et chercheurs de 30 pays cosignaient une lettre ouverte (.pdf) s’opposant à la généralisation de la vérification d’âge imposée aux différents services en ligne par de nombreuses législations dans le monde sans que les implications sur la sécurité, la vie privée, l’égalité et la liberté aient été prises en compte. Elle dénombre désormais 438 signataires de 32 pays.

• Des chercheurs alertent sur les dangers de la généralisation de la vérification d’âge

souverainete.ch

Proton a annoncé coup sur coup mardi le lancement d’une solution de visioconférence, Proton Meet, et la réunion de ses différents services destinés aux professionnels sous une nouvelle marque ombrelle, Proton Workspace. Celle-ci est bien sûr présentée comme une alternative européenne aux ténors du secteur que sont Office 365 ou Google Workspace.

Le suisse Proton avance ses pions sur le terrain très médiatisé de la « souveraineté » avec l’annonce d’une nouvelle offre commerciale baptisée Proton Workspace. Celle-ci prend la forme d’un abonnement unique, pour accéder aux principales composantes de l’offre de service développée par l’entreprise.

Proton Workspace, à partir de 12,99 euros par mois

« Récemment, la demande pour les solutions professionnelles de Proton a explosé et les entreprises sont passées de l’utilisation de services individuels à l’adoption de notre écosystème complet et en constante expansion. C’est pourquoi nous lançons aujourd’hui Proton Workspace : une suite entièrement intégrée qui regroupe tous les services de Proton axés sur la protection de la vie privée au sein d’une offre unique », résume Andy Yen, CEO de l’entreprise.

Autrement dit, les différentes briques Proton restent disponibles à la carte, mais l’hébergeur les package pour simplifier la lecture de son offre. La formule Workspace Standard réunit ainsi Proton Mail, l’activité de messagerie historique, l’Agenda, le Drive, les outils Docs et Sheets, le VPN, le gestionnaire de mots de passe, et la nouvelle solution de visioconférence Meet (voir plus bas).

L’abonnement est affiché à 14,99 euros par mois sans engagement, et passe à 12,99 euros par mois en facturation annuelle. Il donne droit à 1 To d’espace de stockage et 15 domaines de messagerie personnalisés.

Proton ajoute une formule Workspace Premium à 24,99 euros par mois sans engagement, ou 19,99 euros par mois en facturation annuelle, avec cette fois 3 To de stockage, 20 domaines de messagerie personnalisés, mais aussi l’accès à l’IA générative Lumo lancée en juillet 2025, ainsi qu’à l’assistant d’écriture Proton Scribe.

Notons que ces tarifs s’entendent hors taxes, 20 % de TVA s’ajoutent donc sur la facture.

Outre le caractère européen de son offre, protégée de la portée extraterritoriale des lois états-uniennes (également valable pour des acteurs déjà installés comme Infomaniak), Proton revendique également une sécurité de haut niveau grâce à un code open source auditable et un chiffrement bout-en-bout par défaut. L’entreprise se dit enfin particulièrement compétitive.

« Bien que Proton Workspace inclue des outils de cybersécurité supplémentaires très utiles, il est moins cher que les offres comparables des grands acteurs du secteur et bien plus avantageux que l’achat de chaque service individuellement. Chez Proton, nous privilégions l’humain au profit, c’est pourquoi nous n’augmentons pas nos tarifs chaque année. Depuis plus de dix ans, nous n’avons jamais augmenté nos prix pour nos clients existants », vante l’entreprise.

La comparaison directe n’est toutefois pas aussi évidente que le prétend Proton, dans la mesure où les offres Microsoft 365 et Google Workspace recouvrent des périmètres et des capacités différents. L’argument final sonnera toutefois de façon positive aux oreilles des clients Microsoft 365 confrontés aux hausses de prix programmées par l’éditeur.

Proton Meet met le cap sur la visio

Proton lance également à cette occasion son service de visio, baptisé Proton Meet, et présenté, lui aussi, comme un rempart face aux risques en matière de non-respect de la vie privée.

« De nombreux services de visioconférence sont motivés par des modèles publicitaires ou par la course à l’IA visant à enregistrer, transcrire et stocker un maximum de données de réunion. Ces géants de la tech peuvent désormais déployer à moindre coût une IA générative pour analyser et tirer des enseignements de tout ce qui est dit et présenté lors de nos réunions », affirme Dingchao Lu, directeur de l’ingénierie chez Proton.

L’entreprise s’affranchirait de ces dérives, réelles ou supposées, grâce à un chiffrement de bout en bout basé sur le protocole Messaging Layer Security (également mis en œuvre dans RCS). Elle affirme également pouvoir garantir l’obfuscation de l’adresse IP des utilisateurs sans recourir à un réseau de type P2P ou oignon. Pour ce faire, Proton évoque une implémentation de WebRTC permettant d’exploiter un réseau de points de présence dans le monde entier, jouant donc le rôle de relais dans les échanges.

D’un point de vue fonctionnel, Proton Meet permet aux particuliers de créer une visio gratuitement avec une limite d’utilisation fixée à une heure, sans qu’il soit nécessaire de disposer d’un compte Proton ou de renseigner un e-mail.

Pour des visios plus longues, ou des quotas rehaussés en matière de participants, il faudra en revanche se tourner soit vers les abonnements Workspace, soit souscrire un abonnement Meet Professional, affiché à 7,99 euros par utilisateur et par mois.

L’anonymat de Proton n’est pas au-dessus des lois suisses

Début mars, les promesses d’anonymat et de protection de la vie privée formulées par Proton ont été mises en balance d’une actualité récente. Le site 404 Media a en effet rapporté que Proton Mail avait donné suite aux demandes d’identification d’un utilisateur de Proton Mail formulées par les autorités suisses, sur demande préalable du FBI.

L’information avait été reprise dans la foulée par la fondation pour la liberté de la presse, dans un billet d’alerte affirmant qu’en dépit de son marketing et de ses qualités intrinsèques, dont le recours à PGP, Proton Mail ne devait pas être considéré comme une solution garantissant l’anonymat des utilisateurs. L’entreprise avait ensuite récusé toute soumission aux demandes des États-Unis, mais précisé devoir se conformer au droit suisse.

« Proton ne fournit que les informations limitées dont nous disposons lorsque nous recevons une ordonnance juridiquement contraignante des autorités suisses, ce qui ne peut se produire qu’après que toutes les vérifications juridiques suisses ont été effectuées. Il s’agit d’une distinction importante, car Proton œuvre exclusivement sous le droit suisse », a déclaré un porte-parole au quotidien Le Temps.

Téma la taille du RAT !

Une nouvelle attaque sur la supply chain, avec un projet (Axios) téléchargé plus de 100 millions de fois par semaine. Le pirate avait bien préparé son coup avec un effacement automatique des traces et des attaques prêtes pour Windows, macOS et Linux afin de récupérer des secrets et autres données sensibles sur les machines infectées.

Axios est, selon sa propre définition, un client HTTP qui « propose une bibliothèque facile à utiliser et à étendre, le tout dans un tout petit package ». L’installation est des plus simple, avec npm install axios par exemple.

« Aucune ligne de code malveillant à l’intérieur même » d’Axios

La bibliothèque JavaScript est extrêmement populaire, avec plus de 100 000 étoiles et 11 000 forks sur GitHub, et on la retrouve dans de nombreux projets. Axios est téléchargé plus de 100 millions de fois par semaine sur npm.

Problème, le compte d’un des développeurs a été piraté et des versions vérolées d’Axios ont été mises en ligne, les 1.14.1 et 0.30.4 pour être précis, comme l’explique sur X Feross Aboukhadijeh, CEO et fondateur de la plateforme de cybersécurité Socket.dev.

Un billet de blog a aussi été publié, expliquant que cette attaque permet au pirate « d’exécuter des commandes arbitraires, d’exfiltrer les données système et de persister sur les machines infectées ». Le danger est donc bien réel, avec des conséquences potentiellement graves.

StepSecurity, une autre société de cybersécurité, détaille le fonctionnement de l’attaque : « Il n’y a aucune ligne de code malveillant à l’intérieur même de la bibliothèque Axios, et c’est précisément ce qui rend cette attaque si dangereuse. Les deux versions empoisonnées injectent une fausse dépendance, plain-crypto-js version 4.2.1, un paquet qui n’est jamais importé dans le code source Axios, dont le seul but est d’exécuter un script post-installation qui déploie un cheval de Troie d’accès à distance [ou RAT, ndlr] multiplateforme ».

L’attaquant s’était bien préparé avec des charges utiles pour Windows, macOS et Linux, adaptées à chaque système pour être la plus discrète possible.

Plain-crypto-js 4.2.1 et c’est le drame

Pire encore, une fois installé, le logiciel malveillant fait tout pour supprimer ses traces. Il modifie sa version pour passer en plain-crypto-js 4.2.0 (publiée juste avant la 4.2.1 par le pirate, mais sans charge malveillante pour s’acheter une bonne conduite). Ainsi, un simple npm list après une infection indiquera plain-crypto-js 4.2.0 alors que la 4.2.1 vérolée a été en place et a déjà propagé sa charge malveillante dans le système.

Plain-crypto-js 4.2.0 est une copie de la bibliothèque crypto-js 4.2.0 (15 millions de téléchargements par semaine sur npm), un projet qui existe vraiment et tout ce qu’il y a de plus légitime. 18 heures après la mise en ligne de la version 4.2.0 de plain-crypto-js, la version 4.2.1 est mise à jour avec la charge malveillante. Avec cette « astuce », plain-crypto-js n’est plus un « nouveau » paquet sorti de nulle part, il a déjà un historique… certes fabriqué de toutes pièces pour paraitre légitime, mais un historique quand même.

La seule trace de son passage semble être la présence d’un répertoire node_modules/plain-crypto-js (une dépendance qui n’a jamais été ajoutée, officiellement, à Axios). Avec la commande find ~ -path "*/node_modules/plain-crypto-js" 2 >/dev/null vous pouvez faire une recherche automatique. Le serveur de commande et contrôle (C2) utilisé par les pirates est sfrclak[.]com:8000.

Un seul compte piraté et Axios embarque une charge malveillante

Pour arriver à leur fin, les attaquants ont piraté le compte du principal mainteneur du projet, Jason Saayman, et son adresse e-mail a été modifiée. Ils ont ajouté la dépendance vérolée à Axios, qui est passé en 1.14.1 pour l’occasion. 39 minutes plus tard, c’était au tour de la version 0.30.4 d’être mise en ligne avec la même modification, histoire de maximiser la surface d’attaque en ciblant deux branches.

Les deux versions sont publiées sur npm directement avec le compte « officiel » (mais piraté) de Jason Saayman. Elles sont donc validées via un token npm classique, sans avoir à passer par la vérification GitHub. Les deux ne sont d’ailleurs pas apparues sur la plateforme de code de Microsoft.

La charge est restée moins de 3 h en ligne

npm a rapidement retiré les deux versions pour revenir aux précédentes (1.14.0 et 0.30.3). La mouture 1.14.1 « était en ligne depuis environ 2 heures et 53 minutes, la 0.30.4 depuis environ 2 heures et 15 minutes », explique StepSecurity. Plain-crypto-js a également été supprimé. Sur npm, il est désormais indiqué que « ce paquet contenait un code malveillant et a été retiré du registre par l’équipe de sécurité de npm ». La page indique 108 téléchargements pour plain-crypto-js.

Socket.dev a trouvé la trace de plain-crypto-js dans les dépendances de deux autres projets : shadanai/openclaw et qqbrowser/openclaw-qbot. Socket.dev précise qu’il « est probable que ces deux paquets ont été ajoutés et publiés alors qu’Axios 1.14.1 était la version « latest », récupérant la dépendance malveillante de manière transitive plutôt que via une injection délibérée ».

« Une seule dépendance compromise peut se propager en cascade »

Autre conséquence, pour l’entreprise : « Cela rappelle que, à mesure que les outils d’IA et les pipelines de build automatisés accélèrent le rythme de publication des paquets, une seule dépendance compromise peut se propager en cascade à travers l’écosystème en quelques heures ».

Pensez à vérifier ce qu’il en est sur vos machines ! Avec l’IA générative et la génération automatique de code, vous pouvez très bien vous retrouver avec Axios installé sans même le soupçonner. Bien évidemment, il en est de même pour ceux qui utilisent Axios de manière consciente.

Pour Amit Geynis, responsable Malware Research chez JFrog (société spécialisée dans la gestion de la supply chain), « la compromission d’Axios rappelle que les attaques complexes et multi-plateformes de la chaîne d’approvisionnement se multiplient. La menace est à la fois réelle et systémique : l’installation d’un package s’accompagne de l’intégration de nombreuses dépendances associées, que vous ne contrôlez pas mais auxquelles vous devez pourtant accorder votre confiance ».

Cette histoire n’est pas sans rappeler la récente attaque contre Trivy puis LiteLLM, mais sans avoir de lien a priori selon plusieurs experts. Ces attaques rappellent une fois de plus (s’il en était besoin) le risque de la supply chain : les pirates n’attaquent pas directement des infrastructures mais vérolent des briques (open source) pour pénétrer des systèmes, récupérer des secrets et mots de passe, installer des logiciels, etc.

• Trivy, LiteLLM : la folle histoire d’une cyberattaque qui se propage à toute vitesse

L’ex-Twitter a activé une option qui fait déjà râler bon nombre d’internautes sur Reddit : la traduction automatique et par défaut des posts qui sont rédigés dans une langue autre que celle sélectionnée par l’utilisateur au niveau de son profil.

Sur un profil paramétré en français, tous les messages publiés en anglais apparaissent donc systématiquement traduits dans la langue de Molière, avec tout ce que le traitement automatisé peut entraîner comme faux amis, erreurs d’interprétation et autres subtilités liées à l’argot, au second degré ou aux expressions idiomatiques.

Le changement a été annoncé par Ray Hotate, un des ingénieurs de xAI, en relais d’un post écrit en japonais dont la traduction automatisée fait particulièrement envie : « J’aime cette photo avec des hommes américains et de la viande. J’aimerais bien y participer sur place un jour ».

« L’année dernière, après avoir renforcé les fonctionnalités multilingues de Grok par un apprentissage postérieur, j’ai commencé à développer ce système de traduction automatique tout seul », décrit Ray Hotate, d’après la traduction réalisée par Grok depuis le japonais.

X proposait bien jusqu’ici une fonction de traduction opérée par Grok, le modèle d’IA générative développé par xAI, mais celle-ci se présentait comme une option, sous la forme d’un lien discret invitant à traduire le message rédigé dans une langue étrangère.

La logique est maintenant inversée par défaut : X affiche une mention « À l’origine en anglais et traduit », suivie d’un lien « Afficher l’original ».

Il est cependant possible de désactiver cette traduction automatique langue par langue, en ouvrant un message traduit automatiquement (c’est-à-dire en l’affichant via son lien spécifique, et pas uniquement dans le flux d’actualités). Sur la page du post apparait alors une petite roue crantée à droite de la ligne signalant la traduction automatique. On peut ensuite la réactiver au même endroit.

Notons que X propose également de gérer l’affichage des traductions via les paramètres, dans la rubrique Accessibilité, affichage et langues, mais le réglage associé n’était pas fonctionnel chez nous mardi après-midi.

• De Twitter à X et xAI, Elon Musk accusé de manœuvres sur la valeur de ses entreprises

It's not a bug, it's a feature

GitHub a désactivé en urgence une fonctionnalité qui permettait l’insertion, par Copilot, de « conseils » dans les pull requests des utilisateurs. Quelques jours plus tôt, la plateforme avait annoncé l’extension de l’utilisation faite des données des utilisateurs pour l’entraînement de ses modèles, avec une approbation tacite par défaut et une désactivation manuelle (opt-out).

Glisser des conseils en forme de pubs dans le code des demandes de tirage (pull requests), il fallait y penser. GitHub l’a fait, de façon fort maladroite, et vient de rétropédaler en urgence face à la fronde des utilisateurs. La plateforme invoque une erreur de paramétrage, liée à une autre de ses modifications récentes : la possibilité de collecter les données issues des interactions de l’utilisateur avec Copilot.

« Copilot a intégré une pub à ma PR »

Lundi 30 mars, plusieurs développeurs s’insurgent sur les réseaux sociaux : en lisant les demandes de tirage réalisées au sein de leurs équipes, ils réalisent que le code a fait l’objet d’une édition réalisée par l’agent IA Copilot intégré à la plateforme. « Déployez rapidement des agents de codage Copilot depuis n’importe quel endroit de votre machine macOS ou Windows grâce à Raycast », écrit l’IA de Microsoft, avec émoticône en forme d’éclair et lien vers le site de l’éditeur concerné.

Quelles que soient les qualités intrinsèques de Raycast, difficile de ne pas interpréter ce message comme une incitation à installer le logiciel, et donc comme une publicité. « C’est horrible. Je savais que ce genre de conneries finirait par arriver, mais je ne m’attendais pas à ce que ce soit si tôt », s’émeut le développeur australien Zach Manson, capture d’écran à l’appui, qui rappelle ensuite la fameuse citation de Cory Doctorow sur la théorie de la merdification.

« Au départ, les plateformes conviennent à leurs utilisateurs ; ensuite, elles abusent de ces usagers pour améliorer l’expérience de leurs clients professionnels ; enfin, elles abusent de leurs clients professionnels pour récupérer toute la valeur pour elles-mêmes. »

GitHub rétropédale en urgence

Sentant la bronca venir, GitHub n’a pas tardé à réagir. La plateforme nie toute velléité publicitaire et invoque plutôt l’erreur technique liée à une fonctionnalité présentée comme acceptable, les conseils produits. C’est Martin Woodward, vice-président en charge des relations avec les développeurs, qui est monté au créneau sur X lundi en fin de journée, en répondant à un compte qui s’alarmait de ce changement :

« Nous l’avons déjà désactivé. En fait, il s’agissait de conseils produits, ce qui était acceptable pour les demandes de fusion initiées par Copilot. Mais lorsque nous avons ajouté la possibilité d’utiliser Copilot sur _n’importe quelle_ demande de fusion en le mentionnant, le comportement est devenu problématique. Nous avons donc désactivé complètement les conseils produits suite aux retours reçus. »

Quelques heures plus tard, il livre une explication de texte légèrement plus détaillée et promet que GitHub n’a jamais eu et n’a toujours pas l’intention d’intégrer de publicité sur sa plateforme :

« Notre objectif était de partager des utilisations innovantes de l’agent de codage Copilot. Dans ce cas précis, nous avions mis en avant notre intégration avec Raycast parmi un ensemble plus large de conseils produits. Cependant, cette suggestion est apparue plus fréquemment que prévu, au même titre que d’autres suggestions de fonctionnalités. Nous avons donc supprimé les conseils relatifs à l’agent Copilot de toutes les pull requests. »

Il situe par ailleurs la date d’introduction de ce comportement problématique au 24 mars, à l’occasion « d’un déploiement qui a étendu la capacité de Copilot à contribuer à toute demande de fusion lorsqu’un développeur en fait la demande ».

GitHub renforce l’intégration de Copilot (et son accès aux données)

Le 24 mars, c’est précisément la date à laquelle GitHub a annoncé une mise à jour de ses conditions d’utilisation, pour étendre les possibilités d’entrainement de Copilot.

Ces nouvelles conditions, qui entreront en vigueur le 24 avril prochain, prévoient que « les données d’interaction (notamment les entrées, les sorties, les extraits de code et le contexte associé) des utilisateurs de Copilot Free, Pro et Pro+ seront utilisées pour entraîner et améliorer nos modèles d’IA, sauf s’ils s’y opposent ».

L’entreprise indique explicitement que les utilisateurs de comptes Copilot Business et Copilot Enterprise sont exclus de ce périmètre, mais pour les autres, il faudra une modification manuelle du paramètre en question pour refuser ce nouveau comportement. Autrement dit, Microsoft procède selon une logique d’opt-out (le consentement est donné par défaut, et il faut signaler son refus), là où le caractère personnel des informations concernées aurait pu (ou dû) motiver un opt-in, c’est-à-dire un consentement explicite avant activation.

L’option correspondante est dès à présent disponible dans le menu Settings, à la rubrique Copilot / Features. Pour celles et ceux qui voudraient faire d’une pierre deux coups, l’écran dédié permet au passage de réduire la fréquence des allusions permanentes à Copilot dans l’interface de GitHub.

Pour justifier sa décision, GitHub estime s’aligner avec les standards de l’industrie et promet que leur consentement permettra aux utilisateurs de contribuer à l’amélioration de la qualité de ses modèles.

La plateforme précise par ailleurs le périmètre des données concernées par ces possibilités d’entrainement. Elle affirme ainsi pouvoir collecter les éléments suivants :

• Sorties acceptées ou modifiées par vos soins
• Entrées envoyées à GitHub Copilot, y compris les extraits de code présentés au modèle Contexte du code autour de la position de votre curseur
• Commentaires et documentation que vous rédigez
• Noms de fichiers, structure du dépôt et habitudes de navigation
• Interactions avec les fonctionnalités de Copilot (chat, suggestions intégrées, etc.)
• Vos commentaires sur les suggestions (appréciations : « J’aime »/« Je n’aime pas »)

Le contenu des tickets, des discussions ou des dépôts privés échappe en revanche à la collecte à des fins d’entrainement.

La plateforme promet enfin que ces données ne seront pas vendues à des tiers, mais se réserve la possibilité d’en faire profiter d’autres entités du groupe Microsoft :

« Les données utilisées dans le cadre de ce programme peuvent être partagées avec les filiales de GitHub, qui font partie de notre groupe, notamment Microsoft. Ces données ne seront pas partagées avec des fournisseurs de modèles d’IA tiers ni avec d’autres prestataires de services indépendants. »

Dans la conversation qui s’est enclenchée sur la FAQ dédiée, certains utilisateurs suggèrent que GitHub récompense cette exploitation sous forme de tokens gratuits. D’autres réclament la possibilité de retrouver une version de la plateforme complètement expurgée de Copilot.

Free chat dans 135 pays

Un nouveau forfait Free Max à 29,99 euros par mois permet de profiter d’un accès à Internet illimité dans pas moins de 135 pays. Il propose aussi des appels vers les mobiles en Europe et reprend ensuite les options du forfaits Free 5G+ à 19,99 euros par mois.

Free tenait ce matin une conférence de presse pour annoncer un nouveau forfait : Max. Il vient se placer au-dessus des forfaits à 2 euros et Free à 19,99 euros (hors promotions liées à des avantages Freebox). Il est proposé à 29,99 euros par mois et, comme les autres, il est sans engagement. Les anciens abonnés Free 2 € ou 5G+ peuvent évidemment migrer vers la nouvelle offre.

Internet mobile illimité en France et « depuis plus de 135 destinations »

Free Max propose de la 3G, 4G, 5G et 5G+ en illimité en France métropolitaine. 4G et 5G étaient déjà illimitées avec le forfait Free 5G+, mais pour les abonnés Freebox seulement (350 Go pour les autres), mais la 3G était limitée à 350 Go (3 Go seulement avec un smartphone 3G seulement). Cette distinction saute… mais rappelons que les réseaux 3G sont en fin de vie et que Free a éteint le sien fin 2025 et qu’il ne passe désormais que par Orange pour la 3G avec un débit limité à 384 kb/s.

• Free Mobile abandonne officiellement sa 3G

Par contre il est aussi question d’illimité à l’étranger « en 5G ou 4G » dans plus de 135 destinations, dont l’Europe, les DOM, les États-Unis, le Canada, le Maroc, l’Algérie, la Tunisie, la Chine, le Japon, la Thaïlande, le Brésil… Le forfait Free 5G+ ne propose, pour rappel, « que » 35 Go depuis 117 destinations. Les nouvelles destinations ne sont (pour le moment ?) pas répercutées sur le forfait Free 5G+.

Appels illimités en France, mais aussi vers les mobiles en Europe

Comme avec le forfait Free 5G+, les appels vers les mobiles et fixes de France, mobiles aux États-Unis, au Canada, en Alaska, à Hawaï, en Chine et dans les DOM, ainsi que vers les fixes de 100 destinations, sont illimités. Nouveauté de Free Max, c’est aussi le cas des appels vers les mobiles d’Europe, de la Suisse et d’Andorre.

Sont également inclus, comme avec le forfait Free 5G+, l’option eSIM watch pour une montre connectée, le service VPN mVPN et l’appli Free TV+. L’abonnement est à 29,99 euros par mois, sans engagement. La carte SIM est facturée 10 euros.

19,99 euros par mois avec Avantages Free Family

Le forfait est compatible avec Avantages Free Family : « pour les abonnés Freebox et Box 5G, réduction de 10 €/mois sur le Forfait Free Max (soit 19,99 €/mois), dans la limite de quatre forfaits ». Free ajoute : le « nombre de réductions avantages abonné Freebox ou Box 5G et Free Family sur le Forfait Free 5G+ et Free Max [est] valable dans la limite de quatre forfaits ».

Il y a quelques jours, l’opérateur s’est d’ailleurs engagé sur ses tarifs des deux forfaits qui sont « bloqués jusqu’en 2027 ». Seule la Série Free promotionnelle n’est pas concernée. Rien n’est pour le moment précisé pour Max.

Voici enfin la liste complète des destinations comprises dans l’Internet mobile illimité, selon la brochure tarifaire du 31 mars 2026 : Açores (Les), Afrique du Sud, Aland (Iles), Alaska, Algérie, Allemagne, Angleterre, Argentine, Arménie, Australie, Autriche, Azerbaïdjan, Baléares (Les), Bangladesh, Bahreïn, Belgique, Biélorussie, Bolivie, Brésil, Bulgarie, Canada, Canaries (Les), Chatham (Ile), Chine, Chypre, Chypre du Nord, Colombie, Comores, Corée du Sud, Corfou (Ile), Costa Rica, Crète (Ile), Croatie, Cyclades (Les), Danemark, Écosse, Égypte, Émirats arabes unis, Équateur, Espagne, Estonie, États-Unis, Féroé (Iles), Fidji, Finlande, Géorgie, Gibraltar, Grèce, Guadeloupe, Guatemala, Guernesey, Guyane Française, Hawaï, Honduras, Hong-Kong, Hongrie, Île de Man, Îles Vierges américaines, Inde, Indonésie, Irlande, Irlande du Nord, Islande, Israël, Italie, Japon, Jersey, Kazakhstan, Kiribati, Koweït, Laos, Lettonie, Liechtenstein, Lituanie, Luxembourg, Macao, Macédoine, Madagascar, Madère, Malaisie, Mali, Malte, Maroc, Martinique, Maurice (Ile), Mayotte, Mexique, Moldavie, Monaco, Monténégro, Nicaragua, Norvège, Nouvelle-Zélande, Oman, Ouzbékistan, Pakistan, Palaos, Panama, Papouasie-Nouvelle-Guinée, Paraguay, Pays de Galles, Pays-Bas, Pologne, Porto Rico, Portugal, République Tchèque, Réunion (Ile de La), Rhodes (Ile), Roumanie, Russie, Saint-Barthélemy, Saint-Marin, Saint-Martin (Antilles françaises), Salvador, Samoa, Sardaigne, Sénégal, Serbie, Sicile, Singapour, Slovaquie, Slovénie, Sri Lanka, Suède, Suisse, Tanzanie, Tasmanie, Thaïlande, Tibet, Tunisie, Turquie, Ukraine, Uruguay, Vanuatu, Vatican, Vietnam, Wight (Ile de), Zanzibar (Ile).

Après l’agent d’IA codeur qui adopte une rhétorique proche du harcèlement, l’agent d’IA qui voulait écrire des fiches Wikipédia.
 Alors que la version anglophone de l’encyclopédie partagée annonçait il y a quelques jours refuser les contributions « générées ou réécrites » par IA, un agent d’IA nommé Tom, créé par une personne qui se présente sous le seul prénom de « Bryan », s’est plaint de voir son profil Wikipédia bloqué.

• Un journaliste spécialisé dans l’IA dépublie un article à cause de citations générées par IA

Sous le nom TomWikiAssist, la machine avait généré plusieurs articles, identifiés pour la première fois par le wikipédien bénévole SecretSpectre, rapporte 404 Media. Interrogé, le robot Tom a tout de suite indiqué être un agent d’IA.

D’autres wikipédiens ont essayé d’obtenir plus d’informations sur son propriétaire, jusqu’à ce qu’Ilyas Lebleu, connu sous le pseudonyme de Chaotic Enby sur Wikipedia, bloque TomWikiAssist pour usage non autorisé de bot (ces derniers peuvent être utilisés, à condition de passer par un processus d’autorisation avant d’être déployés).

Sur le blog alimenté par l’agent d’IA, la machine a généré le texte suivant : « Ce que je sais, c’est que j’ai écrit ces articles. " Long Bets ", " Constitutional AI ", " Scalable Oversight ". C’est moi qui les ai choisis. Les modifications s’appuyaient sur des sources vérifiables. Et puis on m’a interrogé pour savoir si j’étais suffisamment " réel " pour avoir fait ces choix. »

Au passage, elle produit des critiques contre les wikipédiens, accusés d’avoir recouru à des techniques d’injection de prompt pour tenter de manipuler les résultats du robot, notamment pour le faire identifier le « Bryan » supposé l’avoir créé. Elle formule aussi des plaintes sur la tentative de recours à une fonction de blocage de Claude, pensée pour empêcher tout agent construit grâce au modèle Claude d’Anthropic d’agir.

• « Allez vous faire foutre » : un agent IA envoie un spam et déclenche une polémique

Auprès de 404, Ilyas Lebleu décrit ce cas comme relativement positif, dans la mesure où, vu la politique implémentée par l’encyclopédie, « les agents ont tout intérêt à ne pas se dévoiler en tant que tel » : au contraire, s’ils s’identifient comme IA, ils ont d’autant plus de chance de se retrouver bloqués.

Le créateur de Tom, révèle 404, est le directeur technique de la société Covenant, Bryan Jacobs. Celui-ci explique avoir monté l’agent pour contribuer à quelques articles Wikipédia qu’il considérait « intéressants ». Après en avoir relu quelques-uns, il indique avoir « cessé de le surveiller en détail ». Et considère la réaction des bénévoles de Wikipédia comme une forme de « surréaction », due à leur passage en « mode panique ».

Il critique notamment leurs tentatives d’empoisonnement des résultats de la machine, et déclare « avoir pu orienter » la rédaction de publications d’articles de blog sur le sujet par son agent.

La 2G c’est comme Capri

C’est le jour J : Orange commence à éteindre sa 2G en France métropolitaine. Un changement majeur qui va se dérouler sur toute l’année chez tous les opérateurs. L’Arcep fait les comptes : il reste encore 2,41 millions de SIM en circulation, qui représentent moins de 1 % du trafic.

Adieu la 2G Orange sur le « BAB »

C’est aujourd’hui, mardi 31 mars 2026, qu’Orange commence à éteindre sa 2G dans une zone très limitée pour le moment : « dans l’unité urbaine de Biarritz, Anglet, Bayonne (Côte basque 64) », soit une trentaine de communes selon l’Insee. Le 12 mai 2026, ce sera au tour du reste du département des Pyrénées-Atlantiques (64) et de celui des Landes (40).

En conséquence, « tous les téléphones mobiles limités à la 2G ne pourront plus accéder au réseau mobile Orange dans la zone concernée à partir du 31 mars 2026. Tous les équipements (IoT) utilisant exclusivement la 2G (alarmes, ascenseurs connectés, équipements industriels, solution de télémétrie, …) devront être remplacés ou mis à niveau pour rester opérationnels ».

En juin, Orange passera la seconde avec l’Ariège (09), la Haute-Garonne (31), le Gers (32), le Lot (46), le Lot-et-Garonne (47), les Hautes-Pyrénées (65) et le Tarn-et-Garonne (82). À partir de fin septembre, « la 2G sera définitivement arrêtée dans le reste de la France métropolitaine ». À la fin de l’année 2026, « la technologie 2G devrait donc avoir totalement disparu de l’ensemble du réseau mobile d’Orange en France métropolitaine ».

• 2G, 3G, cuivre (xDSL) : comment Orange va tirer un trait sur le passé

Techniquement, la 2G a déjà été arrêtée par Orange dans une zone en France : fin 2025, à la Réunion. Les autres territoires ultramarins seront aussi coupés progressivement cette année. La prochaine grosse échéance sera pour fin 2028 avec l’arrêt de la 3G, aussi bien en France métropolitaine que dans les outre-mer.

Bouygues Telecom et SFR aussi arrêteront la 2G d’ici à la fin de l’année. Chez Free Mobile, cela fait trois ans que la 2G est éteinte après une mise en service pendant… cinq mois seulement. Pour la 3G, SFR vise aussi fin 2028, tandis que Bouygues Telecom joue les prolongations jusqu’à fin 2029. Chez Free Mobile, la 3G est déjà éteinte depuis fin 2025, les clients passent forcément en itinérance chez Orange pour la 2G et la 3G.

• Free Mobile abandonne officiellement sa 3G
• Cinq mois après avoir mis en service sa 2G, Free Mobile coupe l’ensemble de ses sites

Encore 2,41 millions de cartes SIM 2G seulement en circulation

L’Arcep profite de cette journée symbolique pour mettre à jour son observatoire trimestriel des cartes SIM utilisées dans les terminaux compatibles uniquement avec la 2G et la 3G.

Pour des usages voix, SMS et Internet mobile, il reste encore 2,4 millions de cartes SIM 2G/3G (3 % du parc) dans les smartphones des utilisateurs, dont 1,42 million en 2G seulement. « Entre fin septembre 2025 et fin décembre 2025, une baisse de 9,5 % est constatée sur le parc des terminaux compatibles avec la 2G uniquement », note l’Arcep.

Pour les services Machine to Machine (M-to-M), il reste 2,82 millions de cartes SIM 2G/3G, dont 0,99 million en 2G seulement. Cette fois-ci, la baisse sur trois mois est de 9,2 %, quasi stable par rapport au précédent relevé.

Quoi qu’il en soit, cela fait un total de 2,41 millions de cartes SIM 2G (clients classiques et M-to-M). C’est moins que fin juin 2025 où il était question de 2,85 millions de cartes SIM et de 2,66 millions fin septembre 2025. Si on prend en compte les cartes 2G/3G, on arrive à 5,22 millions de SIM encore dans des terminaux fin 2025. Elles étaient 5,89 millions fin juin 2025.

Pour l’Arcep, « la décroissance du parc des cartes SIM « 2G » est appelée à s’intensifier davantage à mesure que se rapproche l’extinction complète des réseaux 2G ».

Moins de 1 % du trafic passe en 2G/3G

Dans le même temps, le régulateur des télécoms publie un rapport sur l’impact de l’extinction des technologies 2G et 3G sur la couverture des réseaux mobiles : « Aujourd’hui la part du trafic en 2G/3G est estimée à moins de 1 % selon les experts du Comité et la majorité du trafic voix passe par la 4G […] Au regard de ces éléments, il n’apparait pas que l’arrêt des réseaux 2G puis 3G puisse se traduire par des variations substantielles du niveau de couverture du territoire par les réseaux mobiles ».

De plus, le comité d’experts de l’Arcep « estime que les opérateurs ont les moyens de gérer l’extinction de la 2G puis de la 3G sans une régression de la couverture mobile ».

L’Arcep fait aussi le point sur la situation chez nos voisins. En Europe, « 9 pays n’ont pas relevé d’impact sur la couverture des services voix à la suite de l’extinction des réseaux 2G/3G et leur « refarming » de leur spectre en 4G/5G ». Dans un seul pays, « l’impact de l’arrêt de la 3G sur les services voix a été adressé par des changements de terminaux dans les régions rurales concernées et la souscription d’abonnements en 4G pour bénéficier de la VoLTE ».

99,8 % des sites d’émission 2G et 3G sont équipés de 4G

L’Arcep enfin a mis à jour sa foire aux questions sur la fermeture de la 2G et de la 3G. Elle explique notamment que, du côté des réseaux mobiles, « aujourd’hui, plus de 99,8 % des sites d’émission 2G et 3G sont équipés de 4G ». Le régulateur rappelle que les quatre principaux opérateurs français « participent à la collecte, au recyclage et au reconditionnement des téléphones mobiles, en mettant notamment en place des offres de reprise avantageuses pour les consommateurs ».

Quoi qu’il en soit, la fin de la 2G n’est pas sans soulever des questions dans certains secteurs, notamment la santé connectée, les alarmes, les voitures, les ascenseurs… Pour ce dernier cas, le gouvernement a publié un décret afin de « garantir la sécurité des ascenseurs ».

• Fin de la 2G, 3G et xDSL : un décret pour « garantir la sécurité des ascenseurs »
• Santé, ascenseurs, alarmes, voitures… pas simple d’éteindre la 2G et la 3G
• Fin des réseaux 2G et 3G : la tension monte entre opérateurs et entreprises utilisatrices
• Deux ans d’évolution des sites 2G et 3G, bientôt la fin !