« L'ingrédient le plus actif, c'est vous »

L’Allemagne accuserait la Russie d’être derrière la cyberattaque de comptes Signal de personnalités politiques (notamment des ministres), de journalistes, de militaires, de membres du renseignement, etc. Cela fait des mois que des messageries sont ciblées, pas seulement Signal. Le grand public n’est pas épargné : tout le monde doit être prudent.

Depuis vendredi, l’affaire fait grand bruit : des comptes Signal de centaines de personnalités sont attaqués en Allemagne. Le parquet fédéral a ouvert en février une enquête pour « suspicion d’espionnage », comme le rapporte l’AFP. Hier, des sources ont affirmé à nos confrères allemands de Der Spiegel que l’attaque, qui est toujours en cours, « vient probablement de Russie ». Selon nos confrères, « au moins 300 » victimes seraient à dénombrer.

Les cibles sont de haut vol avec des « personnalités politiques de premier plan […], comme la présidente du Bundestag, Julia Klöckner, qui est en contact régulier avec le chancelier, Friedrich Merz, ainsi que les ministres du Logement, Verena Hubertz, et de l’Éducation, Karin Prien. Des journalistes, des analystes travaillant pour des cercles de réflexion politique, des militaires et des collaborateurs des services de renseignement ont également été pris pour cible », détaille Le Monde.

Mais de quoi parle-t-on exactement ? Signal s’est fait pirater ? Réponse courte, non.

Signal rappelle que « Signal n’a pas été "piraté" »

La messagerie chiffrée s’est d’ailleurs fendue d’un message sous la forme de communiqué sur BlueSky, Mastodon et X.com : « Tout d’abord, il est important d’être précis lorsqu’il s’agit d’une infrastructure critique comme Signal. Signal n’a pas été « piraté » : notre chiffrement, notre infrastructure et l’intégrité du code de l’application n’ont pas été compromis ».

Des comptes ont néanmoins été piratés, comment ? Avec une campagne de phishing en se faisant passer pour un compte officiel Signal Support : « Ils ont modifié leur nom d’utilisateur et utilisé l’ingénierie sociale pour inciter les utilisateurs à divulguer leurs identifiants, ce qui leur a permis de prendre le contrôle de certains comptes Signal ».

La manière de faire est détaillée dans ce thread, mais c’est toujours un peu la même chose : récupérer des identifiants et/ou mots de passe, pousser l’utilisateur à faire des actions « pour son bien ». Le tout en misant sur le nom du compte – Signal Support – qui tente de se faire passer pour officiel. Signal précise que, « dans les semaines à venir, nous déploierons plusieurs modifications afin de limiter ce type d’attaques », sans plus de détails.

La messagerie rappelle une règle qui s’applique au-delà de la messagerie : « N’oubliez pas que personne du support Signal ne vous enverra jamais de message ni ne vous demandera votre code de vérification d’inscription ou votre code PIN Signal ».

Des alertes depuis des semaines

Le cas Signal n’est pas nouveau, ni isolé. Il y a un mois, le Centre de Coordination des Crises Cyber (C4, qui réunit ANSSI, COMCYBER, DGA, DGSI et DGSE) publiait une note d’alerte sur une « recrudescence des campagnes d’attaques visant les comptes de messageries instantanées de personnalités politiques, de hautes autorités et de cadres de l’administration. Les secteurs régaliens sont spécifiquement visés ». Quelques jours auparavant, les services de cybersécurité allemand et néerlandais sonnaient déjà l’alerte.

• Signal : les services de sécurité allemands alertent sur une recrudescence du phishing

Le C4 expliquait que les attaques « exploitent un éventuel manque de vigilance amenant une victime à donner des accès à son compte à une tierce personne », du phishing tout ce qu’il y a de plus basique en somme.

Une fois le compte piraté, « l’attaquant peut ainsi avoir accès à des données sensibles, telles que l’historique des conversations des personnes ciblées ainsi que le carnet d’adresses de la victime. L’association d’appareils permet aussi à l’attaquant d’envoyer des messages en usurpant son identité. Les comptes des victimes peuvent également être utilisés à des fins de désinformation et de manipulation, notamment dans le cadre de manœuvres d’ingérence étrangère ».

« Toutes les autres messageries instantanées grand public sont concernées »

Signal était déjà pointé du doigt par le C4, mais la note ajoutait que « toutes les autres messageries instantanées grand public sont concernées par ce mode opératoire »… La messagerie chiffrée française Olvid en avait profité pour se mettre en avant : « Toutes ? Non ! Car une messagerie conçue par d’irréductibles cryptologues gaulois résiste encore et toujours à ces adversaires ».

Deux sujets. D’abord, la fausse invitation à rejoindre un groupe ou l’ajout d’un appareil à son compte. Olvid détaille sa manière de faire, mais reconnait néanmoins qu’il « est probable qu’aucune méthode ne garantisse une protection absolue contre l’ingénierie sociale ». Elle ajoute que son « mécanisme d’ajout d’appareil complique considérablement la tâche de l’adversaire ».

Deuxième point, la sollicitation directe avec un pirate qui tente de « se faire passer pour un tiers, auprès de n’importe quel autre utilisateur ». Exactement comme le cas du faux compte Support. Olvid affirme que, aussi bien en présentiel qu’à distance, « l’ajout d’un contact nécessite systématiquement une action explicite de l’utilisateur, le forçant à vérifier l’identité de son nouvel interlocuteur. Résultat : le spam est impossible sur Olvid, ce qui réduit drastiquement le risque de phishing ». Réduit, pas supprimé totalement.

Un exemple pratique et récent avec la plateforme Getaround

Ces derniers jours, la plateforme de location de voitures Getaround (concurrent de Turo) a été victime du même genre de tentatives de phishing, comme nous en avons fait l’expérience. La technique est la même : des comptes tentant de se faire passer pour des officiels avec des pseudos comme « Getaround » ou « Support », parfois avec [SYSTEM NOTIFICATION] dans l’intitulé du message. Le but ? Vous faire cliquer sur des liens et/ou récupérer des infos.

La cible est différente, ici ce sont principalement des particuliers louant leur voiture, alors que l’attaque via Signal tente de prendre le contrôle de comptes de personnalités publiques et/ou influentes. Les risques et les conséquences n’en restent pas moins importants pour les utilisateurs de Getaround. Plus que jamais, soyez prudent face aux liens et messages : réfléchissez avant de cliquer, parlez-en autour de vous, n’agissez pas dans l’urgence !

Adieu, veau, vache, cochon, couvée

Une semaine après avoir restreint la souscription de nouveaux abonnements individuels, Microsoft annonce le passage prochain de GitHub Copilot à une tarification basée sur l’usage réel. L’utilisateur n’aura donc plus accès aux modèles d’IA générative une fois son crédit mensuel épuisé, à moins d’acheter une option supplémentaire. Dans le même temps, Microsoft annonce le déploiement de Copilot 365 à l’échelle des 743 000 employés d’Accenture.

GitHub rattrapé par la réalité ? La plateforme a annoncé mardi 27 avril une modification substantielle de sa tarification associée à ses outils d’IA générative, réunis sous la casquette GitHub Copilot. À compter du 1ᵉʳ juin prochain, ces derniers seront associés à une facturation à l’usage, en fonction du volume de tokens consommé.

La nouvelle formule s’appuiera sur ce que GitHub qualifie de « crédits IA », avec une enveloppe donnée pour chaque formule prépayée (sur abonnement) et la possibilité de débloquer des tokens supplémentaires en cas de besoin, moyennant finances bien sûr. Microsoft va de ce fait basculer sur un système de tarification identique à ce que l’on connait chez Anthropic ou OpenAI.

Des crédits IA pour mesurer l’utilisation réelle

« L’utilisation sera calculée en fonction de la consommation de jetons (entrées, sorties et jetons mis en cache) selon les tarifs API indiqués pour chaque modèle. Cette modification aligne la tarification de Copilot sur l’utilisation réelle et constitue une étape importante vers une activité et une expérience Copilot durables et fiables pour tous les utilisateurs », justifie l’éditeur.

Microsoft et GitHub abandonnent donc le système actuellement en vigueur, qui combinait une licence (l’abonnement de base) ouvrant droit sans restriction aux requêtes courantes, et une enveloppe de « requêtes premium » (discussion avec un modèle de pointe, fenêtre contextuelle dépassant un certain volume, etc.), faisant l’objet d’une mesure spécifique.

Le changement de tarification présente, d’après GitHub, un caractère presque inéluctable, compte tenu de la double évolution des usages et des modèles :

« Aujourd’hui, une simple question posée via le chat et une session de codage autonome de plusieurs heures peuvent coûter le même prix à l’utilisateur. GitHub a absorbé une grande partie de l’augmentation des coûts d’inférence liés à cette utilisation, mais le modèle actuel de facturation premium n’est plus viable. La facturation à l’usage remédie à ce problème. Elle aligne mieux les prix sur l’utilisation réelle, nous aide à garantir la fiabilité du service à long terme et réduit la nécessité de limiter l’accès aux utilisateurs intensifs. »

Restrictions temporaires en attendant le 1^er juin

Les clients de GitHub Copilot verront-ils cette évolution du même œil ? Microsoft veut rassurer en précisant que le prix des abonnements Copilot reste inchangé, et en expliquant que la complétion automatique et les suggestions de code restent disponibles par défaut, sans consommer de crédits IA.

Dans les faits, un abonnement Copilot Pro à 10 dollars par mois ouvrira droit à 1 000 crédits (0,01 dollar par crédit), contre 3 900 crédits pour une formule Copilot Pro+ à 39 dollars par mois. Impossible en revanche de transposer directement cette réserve de crédits en jetons, puisque GitHub précise que le coût exact d’une interaction dépend à la fois du modèle et de la complexité de la requête.

« Une question posée rapidement via une messagerie instantanée avec un modèle léger peut coûter une fraction de crédit. Une longue session de programmation avec un agent utilisant un modèle plus complexe sur plusieurs fichiers coûtera plus cher, car elle implique davantage de travail ».

L’annonce de cette nouvelle tarification ne sera sans doute qu’une demi-surprise pour ceux qui suivent l’actualité de la plateforme. Le 21 avril dernier, GitHub avait déjà décidé la mise en pause des nouvelles souscriptions sur les abonnements individuels, soi-disant pour servir plus efficacement les clients existants, ainsi que l’exclusion des modèles Opus (les plus performants de la gamme d’Anthropic) des forfaits premier prix.

GitHub avait également durci à cette occasion les limites d’usage par session, qui plafonnent le volume de requêtes possibles sur une plage quotidienne (quelques heures) ou hebdomadaire (remise à zéro tous les sept jours).

Ces deux mesures étaient présentées comme temporaires : on comprend maintenant qu’il s’agissait d’introduire la tarification à l’usage.

• Entre collecte et pubs ajoutées par Copilot dans le code, GitHub agace ses utilisateurs

Accenture passe 743 000 employés sous Copilot 365

Les deux informations n’ont pas de lien direct, mais leur concomitance résonnera de façon particulière auprès des utilisateurs individuels qui paient leur licence GitHub Copilot : si Microsoft avance la nécessité de restreindre l’utilisation chez les développeurs, ou d’ajuster la tarification, c’est aussi parce que l’éditeur négocie des accords entreprise à grande échelle qui sollicitent donc ses infrastructures dédiées à l’IA.

Microsoft s’est ainsi félicité mardi 27 avril d’avoir signé avec Accenture, le leader mondial du conseil, pour un déploiement de Copilot 365 sur la quasi totalité de son parc utilisateurs, soit la bagatelle de 743 000 employés dans le monde. Le contrat n’est pas une nouveauté en soi (Accenture fait partie des premiers partenaires et clients de Copilot depuis son lancement, notamment via Avanade, la coentreprise commune aux deux géants), mais il témoigne d’une diffusion continue de l’IA générative au sein des équipes d’Accenture.

• Y a-t-il trop de Copilot dans l’avion ?

Sésame ouvre toi

Un nouveau front réglementaire contre Google s’ouvre dans l’Union européenne. La Commission veut ouvrir Android à la concurrence IA, en vertu du règlement sur les marchés numériques (DMA). Premier visé : Gemini.

Ce n’est pas une enquête formelle pour infraction au DMA, mais cela s’en rapproche. La Commission a envoyé à Google des « conclusions préliminaires » pour préciser concrètement ce qu’un acteur dominant comme le moteur de recherche doit faire pour respecter la loi.

Le problème identifié par l’exécutif européen est simple : l’entreprise états-unienne contrôlerait de trop près certaines fonctions d’Android utilisées par les assistants IA. La Commission a également fait les mêmes genre de reproches à Meta et à son IA maison dans WhatsApp.

• WhatsApp et l’IA : pour l’Europe, « Meta a enfreint les règles de l’UE »

La porte d’Android fermée à double tour pour les IA rivales

Les capacités de ces assistants, qu’il s’agisse d’envoyer un courriel, de partager une photo ou de lancer une action dans une app restent aujourd’hui largement réservées aux services maison, autrement dit à Gemini. Bruxelles propose donc des mesures pour forcer l’ouverture de ces fonctionnalités à la concurrence. 

Cela permettrait par exemple à des assistants IA rivaux (ChatGPT, Claude…) de s’intégrer tout aussi profondément dans Android que Gemini, en particulier pour pouvoir interagir avec les apps du système. Les développeurs de ces assistants pourraient aussi avoir accès au matériel afin de faire tourner leurs modèles locaux « avec des niveaux élevés de performance, de disponibilité et de réactivité », souligne la Commission. Les utilisateurs seraient aussi en mesure d’activer les services de ces assistants alternatifs via un mot-clé vocal personnalisable. 

« Dans un contexte où l’intelligence artificielle évolue très rapidement, l’interopérabilité apparaît comme une condition indispensable pour en exploiter pleinement le potentiel », explique Henna Virkkunen, vice-présidente à la Souveraineté technologique. « Ces mesures ouvriront les appareils Android à un plus large éventail de services d’IA, afin que les utilisateurs puissent choisir librement ceux qui correspondent le mieux à leurs besoins et à leurs valeurs, sans renoncer aux fonctionnalités. »

Deux procédures contre Google

Cette communication auprès de Google fait partie des deux procédures lancées le 27 janvier dernier par la Commission européenne pour préciser concrètement la manière dont Google doit se conformer aux règles du DMA. 

Le premier chantier concerne l’ouverture d’Android à la concurrence : le régulateur veut donner aux développeurs tiers un accès gratuit et « réel » aux fonctions matérielles et logicielles du système d’exploitation. L’objectif est de leur garantir un accès équivalent à celui de Google.

L’autre concerne, pour rappel, l’obligation de Google « d’accorder aux fournisseurs tiers de moteurs de recherche en ligne l’accès aux données anonymisées concernant les classements, requêtes, clics et vues détenues par Google Search à des conditions équitables, raisonnables et non discriminatoires ». Il y a une dizaine de jours, l’Europe proposait aussi à Google des mesures.

• L’Europe vs Meta et Google : de nouvelles mesures (contraignantes) en approche
• Face au DMA, Google ne respecterait pas ses obligations de contrôleur d’accès

Ce sont là des sujets évidemment stratégiques pour l’entreprise. Sur le versant d’Android et l’IA, elle peut donner le sentiment de vouloir verrouiller l’OS, alors que le DMA l’a épinglé comme service de plateforme essentiel exploité par un contrôleur d’accès (en l’occurrence ici, Alphabet). L’IA et Gemini sont deux pierres angulaires pour le groupe, qui n’apprécie d’ailleurs guère que la Commission vienne fourrer son nez dans ses affaires.

Google dénonce une procédure « injustifiée »

Clare Kelly, directrice juridique en charge de la concurrence chez le géant du web, estime sans surprise que l’intervention bruxelloise est « injustifiée », qu’elle pourrait augmenter les coûts inutilement, affaiblirait la protection de la confidentialité et la sécurité des utilisateurs européens. Google n’est pas la seule entreprise vent debout contre les règles européennes, Apple est également très virulente dans ses communications contre certaines procédures de la Commission. Même son de cloche chez Donald Trump.

À ce stade, rien n’est encore décidé. Une consultation publique se tiendra jusqu’au 13 mai. Les entreprises, y compris Google, les développeurs et les acteurs du secteur peuvent y participer ; ce qui implique que le texte final pourra évoluer. Une décision contraignante est attendue dans les six mois.

Google pourrait aussi écoper d’une amende, puisque cette procédure est indépendante de sanctions liées à une éventuelle enquête de non-respect du DMA. L’ardoise européenne d’Alphabet atteint les 9,5 milliards suite à plusieurs dossiers ces dernières années.

⬆️ ⬆️ ⬇️ ⬇️ ⬅️ ➡️ ⬅️ ➡️ 🅱️ 🅰️

La manette Steam Controller a finalement obtenu son bon de sortie et un prix : le 4 mai, pour 99 euros. La console de salon Steam Machine et le casque VR Steam Frame attendront encore un peu.

En novembre dernier, Valve faisait feu de tout bois en présentant rien moins que trois nouveaux produits, venant muscler un catalogue qui ne contient toujours aujourd’hui que les modèles LCD et OLED du Steam Deck.

La Steam Machine est une console de salon à la puissance plus ou moins équivalente à la PS5 Pro, qui doit faire oublier le flop d’une première gamme lancée en 2015 avec des constructeurs tiers. Le Steam Frame, successeur de l’Index, est un casque de réalité virtuelle à utiliser indépendamment d’un PC, ou en écran déporté sans fil.

Le Steam Controller bientôt entre toutes les mains

Et enfin, le Steam Controller est une manette qui, comme la Steam Machine, a la lourde mission de faire oublier une précédente version qui n’avait pas fait l’unanimité il y a 10 ans, c’est le moins qu’on puisse dire. Le nouveau modèle fait des choix de design et d’ergonomie plus sages tout en conservant des spécificités tirées du Steam Deck, notamment ces deux touchpads sous les sticks.

• Valve revient sur le marché des consoles de salon avec sa Steam Machine et un casque VR

Les trois produits devaient sortir au premier trimestre de 2026, puis au premier semestre (Valve Time mon amour)… Mais peut-être qu’on devra se contenter de la manette pour le moment. Valve a en effet annoncé que le Steam Controller sera disponible le 4 mai, au prix de 99 euros. Un tarif qui positionne le périphérique entre les manettes consoles (environ 65 euros la manette Xbox) et les modèles plus haut de gamme comme la Dual Sense Edge pour PS5 (200 euros).

Le Steam Controller est fourni avec un émetteur à brancher en USB sur le PC pour assurer une connexion sans fil à faible latence sur la bande de fréquence des 2,4 GHz (Valve annonce 8 ms). La manette prend aussi en charge le Bluetooth (à partir du 4.2), elle intègre une batterie de 8,39 Wh pour 35 heures de jeu environ, 2 sticks magnétiques TMR (Tunneling Magnetoresistance, une technologie plus précise et moins énergivore que l’effet Hall), 2 moteurs haptiques dans les poignées et autant sous les touchpads, 4 boutons et deux zones capacitives à l’arrière.

Un bien beau bébé donc, d’un poids de 292 grammes (280 grammes la Dual Sense), qui sera surtout utile à un joueur Steam sur PC ou tout autre appareil capable de faire tourner des jeux Steam. Sur consoles ou pour les jeux hors Steam, les capacités de la manette sont autrement plus limitées. Le périphérique pourra éventuellement faire acte de trackpad, mais guère plus.

Steam Machine: ça coince sur la logistique

Une manette, c’est très bien. Mais une console pour jouer avec, c’est encore mieux ! Malheureusement, Valve a présenté la Steam Machine au plus mauvais moment, alors que la crise de la mémoire frappe l’ensemble de l’industrie et plombe les coûts du boîtier. Pierre-Loup Griffais, qui développe SteamOS et pilote les différentes initiatives matérielles de l’entreprise, donne un petit espoir chez IGN : « Nous pensons pouvoir annoncer des nouvelles bientôt à ce sujet, mais globalement, les choses avancent bien.» En particulier sur le plan logiciel :

• Valve livre la preview de SteamOS 3.8.0 pour préparer l’arrivée de la Steam Machine

Pour ne pas se fermer toutes les portes, Valve travaille avec « le plus de fabricants possible », une approche qui évite au constructeur de dépendre d’une seule source pour un composant donné.

Le hic, c’est que la pénurie de mémoire vive et de SSD concerne tous les acteurs de la filière : « La situation autour de la mémoire est globale, donc notre marge de manœuvre reste limitée », admet le dirigeant. On ignore le prix de la Steam Machine, qui embarquera 16 Go de DDR5 et 8 Go de mémoire vidéo (GDDR6) et se déclinera en deux versions avec 512 Go et 2 To de stockage.

Pour la manette, ce n’est pas réellement un problème, c’est un produit que Valve peut lancer indépendamment des deux autres appareils. « Faire l’inverse aurait été plus compliqué : la Steam Machine est difficile à lancer sans manette, alors que la manette, elle, peut très bien être utilisée par les joueurs PC classiques », explique-t-il ; « elle sera évidemment idéale avec la Steam Machine, le Steam Deck et d’autres produits, mais au final, son public principal reste les utilisateurs PC. »

L’enjeu pour la Steam Machine, tout comme le Steam Frame, est donc logistique. « Ce qui empêche [leur] lancement aujourd’hui, c’est surtout la logistique liée à l’approvisionnement et à la distribution. » Valve a un autre problème matériel à régler, celui du Steam Deck. La console portable est en rupture de stock un peu partout dans le monde, pour les mêmes problèmes liés à la crise de la mémoire. « Nous savons que beaucoup de personnes souhaitent en acheter un sans y parvenir actuellement », indique Pierre-Loup Griffais.

La première génération du Steam Deck a été lancée en février 2022 pour la version LCD, la mouture OLED a fait son apparition en novembre 2023. Cela commence à dater un peu, même si ces consoles demeurent étonnamment efficaces aujourd’hui. La question d’une 2ᵉ génération se pose évidemment, et le cadre de Valve ne cache pas que le chantier est en cours : « Ce que nous développons actuellement servira de base aux évolutions futures. »