Cette semaine, nous avons fait le point sur différentes technologies réseau (routeur, Wi-Fi, box de FAI, etc.), nous avons étudié les nouveautés à venir de Windows et les changements de règles pour le roaming en Europe. La Team Bons Plans continue ses recherches en cette période de soldes (oui, on ne dirait pas...).

Comme toujours, vous pouvez également vous inscrire à nos newsletters. Pensez également à nous notifier de vos trouvailles via ce formulaire dédié en bas de cette page pour en faire profiter le reste de la communauté.

Recevoir nos bons plans par email

Comme d'habitude, voici l'ensemble des offres disponibles, triées par catégorie :

Un fichier contenant les informations de 500 000 patients a fuité sur Internet et fait la une des médias ces derniers jours. S'il contient très peu de données médicales, il recèle des dizaines de milliers de mots de passe, numéros de téléphones, adresses postales et e-mails... « en clair ».

La fuite de données de santé concernant près de 500 000 patients, révélée il y a quelques jours, n'est pas si « massive » que cela. Après l'avoir analysée, nous relevons qu'elle touche 27 laboratoires d'analyses biologiques « seulement » (si l'on ose dire), situés dans le quart nord-ouest de la France (dont environ 350 000 Bretons).

Ce fichier recèle très peu de données médicales. La base de données contient un peu plus de 150 catégories, dont une cinquantaine portant sur des données des patients. Les plus sensibles sont les noms (y compris de jeune fille voire de conjoint au besoin), prénoms, adresses postales et électroniques, numéros de sécurité sociale, de téléphones fixes et de portables, ainsi que l'identifiant et le mot de passe utilisés pour accéder aux analyses biologiques.

Les autres catégories de données concernent les médecins des patients, laboratoires où ils avaient été envoyés effectuer une analyse biologique, le « préleveur » qui s'était occupé d'eux, ainsi que leur tiers payant. On note d'ailleurs qu'une bonne partie de ces catégories ne sont tout simplement pas renseignées dans le fichier.

Nous ainsi avons comptabilisé 489 838 numéros de sécurité sociale (ou NIR) et 478 882 personnes identifiées par leurs noms de famille, dont 268 983 femmes, 195 828 hommes, 13 478 qualifiées d'« enfant », 425 de « bébé » et 265 de « sœur ».

160 000 portables, 55 000 emails, 15 000 mots de passe

La base de données dénombre 270 569 numéros de téléphone fixe et 159 591 portables. À titre de comparaison, les 16 590 médecins fichés sont associés à 14 928 numéros de téléphones fixes et 1 971 portables. Le fichier répertorie également 55 738 adresses email uniques de patients et 337 de médecins.

Dans le « top 10 » des domaines les plus présents que nous avons reconstitués, on trouve :

• 15 385 @gmail.com
• 14 418 @orange.fr
• 6 040 @hotmail.fr
• 5 579 @wanadoo.fr
• 3 530 @yahoo.fr
• 2 082 @sfr.fr
• 1 601 @hotmail.com
• 1 576 @free.fr
• 1 074 @live.fr
• 6 489 autres domaines

Mais 11,4 % seulement des patients dont des données ont fuité ont vu leur adresse email divulguée. Le fichier contient néanmoins des mots de passe, pour 14 997 d'entre eux (3 %), associés à leur « identifiant SR » (pour serveur de résultat, le site où ils étaient invités à récupérer les résultats de leurs analyses biologiques). 

Comme on pouvait s'y attendre, nombreux sont les patients à utiliser des mots de passe similaires. Nous en avons décompté 11 443 uniques. À défaut de constituer un « échantillon représentatif » de la population, le fait qu'ils aient été utilisés par des personnes de tous âges et de toutes origines sociales dresse un aperçu instructif.

Sans surprise, on retrouve en effet le traditionnel et célèbre « azertyuiop », et 27 de ses déclinaisons (de type azerty1, AZERTY2, azerty22 ou encore azertAZERT). La base de données émanant pour la plupart de laboratoires bretons, y figurent également nombre de déclinaisons de breizh ou de Bretagne.

• Choisir un bon mot de passe : les règles à connaître, les pièges à éviter

Abr1bu$, M0u$71qu3, P4T0uch3

Pour l'essentiel, on pourrait les diviser en cinq catégories sur-représentées (les mots de passe qui suivent ont tous été modifiés de sorte d'en refléter la structure sans risque de compromettre ceux qui figurent dans le fichier) :

• Déclinaisons de dates : 01071981, 03sept69, 02.juju.19, 11septem, 11onzonz, 1948pierre ;
• Déclinaisons de prénoms, que l'on retrouve à foison : albert1, albert2, albert3, etc. ;
• Phrases ou expressions concaténées : jesuisgent, jesuismala, Je+suis+ne, jevaisbien, Jevisarenn, jevousaime, louisdefun, monmariage, Mot2passe, motdepasse, Pluscompli, prisedesan... et sans que l'on comprenne si la limitation à 10 caractères correspond à une « fonctionnalité » du logiciel, ou pas ;
• Combinaisons alphanumériques : 16abcdef, 13juju13, 17groseill, 1807mamie, 19gin19gin, 33COUcou, 44Loulou, 4896merde, belle2jour, bebe2019, faitchier9, mes3taupes, mes4loulou, mes5CHATS, mesamours3, mesange22, MesEnfant2, moncoeur21 ;
• Mots « augmentés » ou réécrits en leet speak : 3615Ulla, 37uD!4nt3$, Abr1bu$, bibi21CM, faitBeau?!., france1998, geishadu35, chiennedu22, idylle29, loverboy69, M0u$71qu3, P4T0uch3, rep0rt4g3, Rock1Rol.

On y trouve quelques récurrences étonnantes dans les mots les plus utilisés. Nous avons ainsi dénombré :

• 2 déclinaisons de bibiche, bichon, bidule, bidouille, cacahuete, cracotte, crapaud, framboise, frimousse, frisette, lapin, lapinou, mirador, nana, petitcoeur et toutouille,
• 3 de bichette, cactus, caline, calimero, cochon, diabolo, foufoune, grenouille, Looping, mama, maman, nounours et rocky,
• 4 de bonheur, cookie, espoir, ninouche, pompier, praline, reglisse, romeo, rose et tartine,
• 5 de bonjour, boubou, chaton, choupette, snoopy et tintin,
• 6 de cachou, chocolat, lamotte et pupuce,
• 7 de biscotte, chipie, chouchou, jetaime et minouche,
• 8 de canelle et mamour,
• 10 de noisette et princesse,
• 11 de louloute et soleil,
• 12 de doudou et gribouille,
• 16 de caramel,
• et 26 de loulou.

On trouve également plus de 4 300 mots de passe de type 124578AA, 124578AB, 124578AC, etc., itération laissant supposer qu'un ou plusieurs laboratoires auraient attribué un seul et même mot de passe à plusieurs patients (les identifiants, eux, étant différents). Un même mot de passe avait ainsi été attribué à plus de 800 patients différents.

L'analyse de ces mots de passe montre à tout le moins que les recommandations, en la matière, n'ont toujours pas franchi le plafond de verre et qu'il reste encore beaucoup à faire.

Un fichier « testé » en... mai 2018

Signe que la base de données repose sur un vieux logiciel, on y trouve une catégorie « Consultation Minitel ». Un indice révèle qu'il s'agirait vraisemblablement du logiciel Mega-Bus, comme l'avait reconnu son éditeur, Dedalus France. On y retrouve en effet l'identifiant d'un patient intitulé « TESTMK65535 », associée à une adresse e-mail @mega-bus.com utilisée par un employé de la société, horodaté le 3 mai 2018.

La rubrique « dernière visite » (chez le médecin) montre que le fichier a probablement lui aussi commencé à être renseigné à partir de 2018. Elle dénombre en effet 2 411 rendez-vous datant de 2015, 2 686 de 2016, 60 731 de 2017, mais 200 362 pour l'année 2018, 217 896 en 2019.

Seuls 7 780 rendez-vous datent de 2020, le dernier du 10 octobre, sans que l'on puisse vérifier si cette volumétrie en recul s'expliquerait par les effets du confinement, et/ou par un abandon croissant de Mega-Bus par les laboratoires.

Notre analyse montre une moyenne de 200 occurrences mensuelles pour les années 2015 et 2016, de 4  000 à 7 000 de janvier 2017 à mai 2018, puis de 17 000 à 28 000 de juin 2018 à fin 2019, laissant supposer que le déploiement du logiciel aurait bel et bien en lieu en mai 2018 :

Cette date est importante, d'une part parce que l'on sait depuis 1999 que les mots de passe doivent non seulement être hashés et salés, mais également sécurisés au moyen d'une fonction cryptographique, avec l'objectif d'enrayer toute compromission, même si la base de données a fuité.

La CNIL a, à ce titre, publié près d'une cinquantaine de délibérations rappelant, depuis 2013, que « les mots de passe ne doivent pas être stockés en clair en base de données » et qu'elle « recommande ainsi d’appliquer la fonction de hachage HMAC à clé secrète ».

Le RGPD, adopté en avril 2016, est précisément entré en application en ce mois de mai 2018. En faisant le choix de recourir, à ce moment-là, à un logiciel ne sécurisant pas l'accès aux mots de passe, les responsables des traitements de données, tout comme le fournisseur du logiciel, ne respectaient pas le RGPD.

Ce dernier dispose en effet que les données à caractère personnel doivent être « traitées de façon à garantir une sécurité appropriée ». Il précise également que le montant des amendes administratives est doublé (20 millions, 4 % du C.A.) dans certains cas particuliers, touchant par exemple aux principes relatifs au traitement des données à caractère personnel ou aux données sensibles.

Un des principaux logiciels de gestion des labos privés

L'Agence nationale de la sécurité des systèmes d'informations (ANSSI) a indiqué à l'AFP avoir identifié l'« origine » de la fuite des données de santé, et l'avoir signalée au Ministère des Solidarités et de la Santé en novembre 2020.

« Les recommandations nécessaires ont été données par l'ANSSI pour traiter l'incident », a-t-elle ajouté sans donner aucun détail supplémentaire. « Présent au travers de son logiciel StarLab dans 400 laboratoires, Mega-Bus compte parmi les trois principaux éditeurs de logiciels de gestion pour les laboratoires privés d′analyse médicale en France », précisait un communiqué publié à l'occasion de son rachat en 2009. « A ce titre, cette société dispose d′une connaissance approfondie des spécificités liées aux besoins du secteur privé ».

Son acquéreur, Medasys (depuis été rachetée par Dedalus France) était pour sa part présenté comme jouissant « d′une position de leader national dans les domaines du dossier médical du patient et de la production de soins ». Dans un communiqué laconique, l'entreprise vient d'expliquer que « face à la gravité des sujets évoqués, Dedalus France est pleinement mobilisé et une enquête approfondie est en cours avec le support d’une équipe d’experts indépendants ».

À Libération, l'entreprise avait émis l'hypothèse d'une fuite au moment des transferts vers les nouveaux logiciels, ou bien des problèmes de sécurisation des réseaux des laboratoires, se dédouanant au passage, sans mentionner le fait que les données n'auraient donc pas été chiffrées par son logiciel.

L’an passé, nous avions révélé que ce « leader européen en matière de solutions logicielles de Santé » avait licencié un lanceur d'alerte pour « fautes graves ». Il avait prévenu les autorités de ces problèmes de sécurité et découvert que « n'importe qui pouvait accéder à l'extranet, depuis le web. Ce qui permettait notamment d'accéder aux tickets ouverts par les hôpitaux et laboratoires clients ».

• Un « leader européen » des données de santé licencie un lanceur d'alerte pour « faute grave »

On devrait en apprendre plus d'ici peu. La Commission nationale Informatique et Libertés a en effet lancé mercredi des contrôles pour établir les manquements responsables de la fuite. Si l'ampleur de la fuite était vérifiée, l'affaire présenterait « une gravité particulière » au regard du nombre de victimes et de la sensibilité des informations médicales diffusées, a estimé Louis Dutheillet de Lamothe, secrétaire général de la CNIL.

Évoquant « une violation de données d’une ampleur et d’une gravité particulièrement importante », le gardien des données personnelles rappelle qu'il incombe aux organismes concernés de procéder à une notification auprès de la CNIL, dans les 72 heures. Mais également qu'ils ont en outre l’obligation d’informer individuellement les personnes concernées du fait que leurs données ont été compromises et publiées en ligne.

La section cybercriminalité du parquet de Paris a elle aussi ouvert une enquête mercredi, confiée à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). « On peut retrouver ce fichier à 7 endroits différents sur internet », explique Damien Bancal, journaliste spécialiste de la cybersécurité, qui avait le premier identifié la fuite le 14 février sur son site Zataz.

Maintenant que la bêta de GNOME 40 est disponible, beaucoup peuvent tester les multiples améliorations apportées à l’environnement de bureau. Avant de plonger plus avant dans l'ensemble des nouveautés, nous nous sommes attardés sur le support des écrans multiples.

GNOME 40 est un gros projet. Il n’y a d’ailleurs pas d’erreur dans le numéro de version : on passe bien directement de l’actuelle branche 3.x à la version 40, les développeurs ayant décidé de revoir la nomenclature.

Les versions majeures suivantes seront ainsi les 41, 42 et ainsi de suite, tandis que les révisions mineures prendront place après le traditionnel point. Par exemple, la mouture 40.1 sera la première révision de la version 40. Les préversions alpha, bêta et release candidates seront simplement indiquées comme telles.

Une méthode qui reste très classique, donc. Pas comme GNOME 40, qui est une évolution majeure, touchant largement à l’ergonomie et à l’interface. Mais avant de faire le point sur l’ensemble des changements apportés, il y en a un qui a particulièrement retenu notre attention : la gestion du multi-écrans.

Le problème des bureaux virtuels

Pourquoi cette thématique en particulier ? Parce qu’elle a souvent été au centre de problèmes sous Linux. Il ne s’agissait pas tellement de prendre en charge techniquement les écrans supplémentaires, mais plutôt de la manière dont ils étaient exploités. À travers un billet de blog paru il y a quelques jours, l’équipe de GNOME s’est dit consciente des interrogations, doutes et même « angoisses » dans ce domaine.

Dans les grandes lignes, le fonctionnement par défaut de GNOME 40 sera le même que dans l’actuelle version 3.38, surtout en ce qui concerne les bureaux virtuels. Ces derniers ne seront donc affichés que sur l’écran principal, avec le dock en bas. La bascule entre un bureau virtuel et un autre n’a donc lieu que sur cet écran.

Cependant, pour aider à comprendre la logique de fonctionnement, une animation aura lieu aussi sur l’écran secondaire, pour réduire notamment la taille du fond d’écran. Objectif, faire comprendre plus intuitivement à l’utilisateur que ce qu’il affiche sur l’écran secondaire n’est qu’un espace de travail parmi d’autres.

L’extension des bureaux virtuels aux autres écrans

Dans la bêta de GNOME 40, qui est désormais disponible, ce comportement par défaut peut être modifié via le paramètre workspaces-only-on-primary. La vue simplifiée ci-dessus illustre bien le changement. Si plusieurs bureaux virtuels sont configurés, l’écran principal récupère le premier, et le deuxième écran le second bureau :

Déclencher la vue multitâche affichera toujours les miniatures des fenêtres, le dock sera toujours sur l’écran principal, mais le sélecteur de bureau virtuel s’affichera bien sur chaque écran. Ce comportement sera complété par un autre : basculer entre les bureaux virtuels agira sur l’ensemble des écrans.

Le sélecteur fonctionne en effet comme une roulette. L’extension des bureaux se fait par la droite, avec pour conséquence que l’écran principal sera toujours considéré comme étant celui le plus à gauche. Si vous avez par exemple quatre bureaux virtuels, que le premier écran affichera le bureau 1 et le deuxième écran le bureau 2, avancer d’un cran dans le sélecteur affichera les bureaux 2 et 3.

Dans tous les cas, on garde la possibilité de faire glisser une fenêtre depuis un bureau virtuel pour la déposer dans un autre. L’ensemble est résumé par cette petite vidéo :

Cette nouvelle organisation horizontale reprend en partie les raccourcis clavier de GNOME 3.x et en ajoute de nouveaux exploitant la touche « Super » désignant le plus souvent la touche Windows sur nos claviers AZERTY PC :

• Super + Alt + ←/→ : avancer ou reculer dans le sélecteur de bureaux virtuels
• Super + Alt + Maj + ←/→ : déplacer la fenêtre active vers le bureau virtuel de gauche ou de droite
• Super + Alt + ↑ : afficher la vue Activités. Répété, le raccourci fait apparaitre la grille d’applications

Ceux qui ont l’habitude des applications plein écran de macOS reconnaitront les équivalents tactiles sur un touchpad : trois doigts vers la gauche ou la droite pour avancer ou reculer dans le sélecteur, trois doigts vers le haut pour afficher Activités.

« Tout le monde fait comme ça »

Les développeurs reconnaissent que cette manière de faire pourrait perturber les utilisateurs dont les installations sont verticales. Ils acquiescent… avant de vite se reprendre : « Cependant, il est bon de noter que les espaces de travail horizontaux sont une fonction [commune à] tous les autres environnements desktop ». En clair, GNOME faisait cavalier seul avec son organisation verticale jusqu’ici.

Et il y a pire : « Non seulement tous les autres le font, mais c’était également comme ça que GNOME le faisait avant la version 3.0, et que le mode classique de GNOME le fait encore ». Avant d’enfoncer le clou : « Nous estimons donc que les espaces horizontaux et les écrans disposés horizontalement peuvent bien aller ensemble. Si quelqu’un s’inquiète de ça, nous lui suggérons d’essayer et de voir ce que ça donne ».

Pour l’équipe, il s’agit d’une question de cohérence. Les tests auraient montré l’efficacité de cette organisation, avec un sélecteur présenté comme une « pellicule de film », le sens gauche-droite, les gestes tactiles et, plus globalement, un espace de travail qui peut s’étendre en suivant ces mêmes règles.

Cela étant, et même si l’on comprend le besoin de remettre ces fonctionnements à plat, on aurait aimé une liberté totale : pouvoir choisir quel bureau virtuel on veut afficher sur un écran en particulier. L’équipe ajoute toutefois que d’autres améliorations sont prévues pour le prochain cycle de développement, à savoir GNOME 41.

On notera que les bureaux virtuels reviennent sur le devant de la scène dernièrement. Si GNOME 40 va revoir son organisation avec les écrans multiples, la version 21H2 de Windows 10 permettra pour la première fois de les sélectionner individuellement pour chaque écran supplémentaire. Jusqu’à présent, le système de Microsoft se bornait en effet à ne les proposer que sur le principal.

• Windows 10 : les nouveautés connues des mises à jour 21H1 et 21H2

Le projet de loi 4D concerne surtout les collectivités locales. Mais, surprise, dans l’avant projet de loi envoyé au Conseil d’État, publié par Contexte et que s’est également procuré Next INpact, l’article 41 prévoit de « simplifier les procédures de mise en demeure et de sanction » de la CNIL.

Sanctionner plus vite et moins fort pour sanctionner plus. Voici l’état d’esprit de la réforme envisagée par le projet de loi 4D (Différenciation, Décentralisation, Déconcentration et Diverses mesures de simplification).

Le gouvernement justifie la création de procédures simplifiées par le changement de paradigme qu’a entraîné le RGPD. Nous sommes en effet passés d’un système de formalités préalables à une logique de conformité, dans laquelle les acteurs sont responsables sous le contrôle et avec l’accompagnement de la CNIL.

Problème, les procédures de traitement des plaintes sont désormais inadaptées, ne permettant d’adopter annuellement qu’une cinquantaine de mises en demeure et une dizaine de sanctions.

Rappels et sanctions plus directs

Le gouvernement veut donc simplifier les procédures et moderniser les outils dont dispose la CNIL, pour qu’elle puisse traiter plus de plaintes. La présidente de la Commission pourrait prononcer directement des « rappels aux obligations » pour les faits les moins graves. La procédure de mise en demeure serait elle aussi simplifiée.

Un autre président disposera lui aussi de pouvoir propres, celui de la formation restreinte composée de cinq membres. Sans avoir à convoquer toute sa formation, il disposera d’un pouvoir propre d’injonction et d’astreinte (limitée à 100 euros par jour) et pourra constater un non-lieu ou prononcer des amendes ou des astreintes d’un montant maximal de 20 000 euros ou 100 euros par jour dans des délais plus resserrés qu’aujourd’hui.

Mais cette procédure rapide ne concernera que les affaires de moindre gravité et qui ne présentent pas de difficulté particulière (jurisprudence établie, faits et questions de droit simple).

Disposition pour le très haut débit, calendrier incertain

L’article 42 va accélérer la mise en place des bases adresses locales utiles pour le déploiement du très haut débit. Les communes devront garantir l'accès aux informations sur les voies et adresses. Un décret viendra le préciser.

Ces articles doivent encore passer plusieurs étapes : outre le Conseil d’État, il n’est pas sûr que le projet de loi 4D soit adopté par le Parlement. En effet, le gouvernement n’est pas certain de trouver toutes les dates nécessaires pour une étude complète du texte au Sénat et à l’Assemblée avant la présidentielle 2022.

D’autant que les textes sur les collectivités locales, très techniques, passionnent bien plus les élus que les citoyens.

• Le projet de loi 4D (exposé des motifs)

Jusqu’à présent, la plateforme de streaming disposait de deux portes d’entrée : Kids pour les plus jeunes avec des contenus triés sur le volet, et l’application classique. 

Désormais, il existe une version supervisée de YouTube « à proposer à votre enfant si vous pensez qu'il est prêt à explorer le vaste univers des vidéos YouTube ». Trois paramètres de contenu sont disponibles : 

• Découvrir : « correspond généralement aux contenus catégorisés pour les spectateurs âgés de 9 ans et plus ». On y retrouve pêle-mêle des vlogs, tutoriels, vidéos de jeux, clips, actualités, contenus éducatifs, etc. Pas de direct sauf exceptions.
• Plus de découvertes : « correspond généralement aux contenus catégorisés pour les spectateurs âgés de 13 ans et plus. Ce paramètre comprendra un plus grand nombre de vidéos - y compris des diffusions en direct - dans les mêmes catégories que "Découvrir" ».
• La plupart des contenus YouTube : « inclut presque tous les contenus disponibles sur YouTube, à l'exception des contenus catégorisés pour les 18+ par les chaînes, nos systèmes ou nos évaluateurs ».

Pour activer cette supervision, il faut associer le compte de votre enfant au votre. De plus amples informations sont disponibles dans ce billet de blog et sur cette page dédiée, qui comprend également une foire aux questions.

Bien que des jeux soient encore en développement pour la PlayStation 4, c’est bien sûr la dernière console qui avait tous les honneurs.

De nombreuses bandes-annonces de titres en approche ont été montrées, dont la version PS5 du Remake de Final Fantasy VII, baptisée Intergrade. Elle sera gratuite pour ceux ayant déjà acheté la mouture PS4 et contiendra un nouvel épisode – à acheter – qui proposera de sauver Yuffie. Intergrade sortira le 10 juin.

Vous trouverez ci-dessous les autres jeux présentés durant l’évènement, dont beaucoup étaient déjà connus. Le State of Play a été l’occasion de montrer de nouvelles images et, pour certaines, d’apporter une date de sortie.

• Returnal : 30 avril
• Oddworld: Soulstorm : 6 avril
• Crash Bandicoot 4 : 12 mai
• Knockout City : 21 mai sur PlayStation 4 pour 19,99 dollars, la version PS5 sera améliorée
• Sifu : pas de date, sortie prévue sur les deux consoles
• Solar Ash : 2021
• Five Nights at Freddy's: Security Breach : pas de date
• Deathloop : sur PS5 et PC, le 21 mai

Toutes les vidéos se trouvent sur la page PlayStation de YouTube.

Au cours de son Analyst Day hier soir, Twitter a présenté quatre nouveaux services qui viendront enrichir son activité de base, qui n’a guère évolué depuis sa création.

Les Communities seront ainsi la version maison des groupes Facebook. Les thématiques peuvent être à peu près tout et n’importe quoi, d’une organisation à un sujet plus général. Les Communities doivent permettre une mise en relation plus efficace entre leurs membres, ainsi qu’une concentration des informations.

Les Super Follows ne sont autres qu’une formule toute twitterienne de Patreon ou Tipeee. Un nouveau bouton apparaitra pour proposer d’envoyer directement de l’argent à la personne tenant le compte. La fonction est présentée comme particulièrement adaptée aux artistes. 

Les abonnés recevront des contenus spécifiques, réductions, des badges pour leur compte ainsi qu’un moyen privilégié de communication avec la personne suivie. Twitter n’a rien dit sur la commission prise au passage.

Revue vise les utilisateurs ayant besoin d’écrire de longs messages. Par exemple, une organisation quelconque qui aimerait se servir du réseau pour publier des bulletins d’informations. Il n’y aura pas de limite de caractères. La fonction est héritée du rachat annoncé il y a mois de l’entreprise Revue, dont le nom est donc gardé.

Quant aux Spaces, ils sont un concurrent direct de Clubhouse, l’application phénomène permettant la création de salons audio centrés sur des thématiques. On pourra donc créer des groupes permettant d’échanger oralement, avec un fonctionnement à la Discord, les personnes pouvant entrer et sortir de la conversation. Pour rappel, Facebook développe sa propre alternative.

Twitter n’a pas dit un mot sur la disponibilité de ces nouveautés. Certaines, dont Spaces, sont en test depuis quelques mois. On imagine donc qu’elles devraient toutes être disponibles cette année.

Notons que ces fonctions n’ont rien d’anodin. Elles changeront le périmètre du service de micro-blogging, qui se rapprochera ainsi d’un réseau social plus complet.

Ce lanceur succédera à New Shepard et ne doit pas se contenter de permettre à quelques riches touristes de profiter de quelques minutes dans l’espace. Il permettra d’envoyer des satellites en orbite, avec un premier étage réutilisable… exactement comme SpaceX.

• Fusées réutilisables : avec New Glenn, Blue Origin veut concurrencer SpaceX

« L’objectif actuel du vol inaugural de New Glenn est le quatrième trimestre de 2022. L’équipe de Blue Origin a été en contact avec tous nos clients pour s’assurer que cette cible répondait à leurs besoins de lancement », explique la société. 

Lors de l’annonce de New Glenn fin 2016, Jeff Bezos prévoyait de faire décoller la fusée « avant la fin de la décennie ». L’année dernière, le vol inaugural était décalé à 2021, et c’est désormais fin 2022.

La version 1.16 vient de sortir et prend désormais en charge cette API du Khronos Group pour la réalité augmentée et virtuelle.

« Cela permettra aux équipes de développement de créer leur application une seule fois et de pouvoir l'exécuter en mode natif sur les principaux appareils pour VR sur PC » indique l'équipe. 

Elle ajoute que « cette mise à jour intègre également de nouveaux paramètres qui permettront au public de mieux contrôler la fluidification des mouvements en exécutant l'application avec une fréquence d'image plus faible ». 

L’année 2021 devrait marquer un tournant pour Windows 10. Microsoft prépare une mise à jour majeure de son système attendue à l'automne. Avec celle en approche pour le premier semestre, le rythme habituel sera cependant inversé. Nous faisons le point sur ce qui attend les utilisateurs.

Depuis plusieurs années, le rythme de parution des mises à jour pour Windows 10 est réglé comme du papier à musique : deux mises à jour semestrielles, l’une en avril/mai, l’autre en octobre/ novembre. On était ainsi habitués à une version printanière riche en nouveautés, et une automnale consacrée aux performances et à la fiabilité.

2021 inversera ce rythme. On le sait depuis peu, le programme de la version 21H1 (2021 Half 1) sera très léger. Dans le même temps, la liste des nouveautés arrivant chaque semaine dans le canal Dev de la 21H2 s’allonge. Même s’il n’est pas garanti qu’elles soient toutes présentes dans la version finale, cela sera le cas pour beaucoup.

Mais depuis les premières rumeurs sur Sun Valley, on sait surtout que Microsoft travaille non pas à une révolution visuelle de son interface, mais à davantage de cohérence graphique, même s’il faut s’attendre là aussi à du neuf.

Mise à jour 21H1 : pas de quoi trépigner

La première mise à jour de l'année a tellement été passée sous silence que beaucoup finissaient par se demander si elle était prévue. Microsoft a finalement publié un billet de blog la semaine dernière pour l’officialiser, dévoilant au passage son programme bien léger, en tout cas pour le grand public.

Comme les deux dernières versions automnales, la 21H1 sera une petite mise à jour proposée dans Windows Update de la même manière que les correctifs mensuels. Son installation est promise par Microsoft comme rapide, du moins pour les personnes actuellement sous les deux dernières moutures, les 2004 et 20H2 (et non 2009, la nomenclature ayant changé à partir de là). Pour les versions plus anciennes, l’installation sera un peu plus longue.

Les améliorations prévues sont vites résumées. Il est tout d'abord question du support des caméras multiples pour Windows Hello, permettant de déclarer une caméra externe par défaut au lieu de celle intégrée à l’ordinateur. De meilleures performances sont également promises dans Windows Defender Application Guard pour l’ouverture de documents et pour les mises à jour par le Group Policy Service (GPSVC) dans les cas de travail à distance

Microsoft ne donne aucune date pour la diffusion de cette 21H1. La firme ne la dévoile en général que peu de temps avant son arrivée, qui ne correspond pas toujours à un Patch Tuesday (deuxième mardi de chaque mois). Notez que les personnes souhaitant tester cette version peuvent s’inscrire au programme Windows Insider (depuis les Paramètres du système) et choisir le canal Beta.

• Windows Insiders : les nouveaux canaux sont disponibles

Version 21H2 : une prise en charge native de DNS over HTTPS

Pour la version attendue en fin d'année, actuellement dans le canal Dev, le programme est bien plus chargé. Les ajouts se font depuis plusieurs mois, à raison d’au moins une préversion par semaine (sauf durant les fêtes de fin d’année). Nous avons d'ailleurs déjà évoqué certaines d'entres elles, comme l'arrivée de DNS over HTTPS (DoH).

Il s’agissait d’une promesse de Microsoft, et bien que l’éditeur ait pris son temps pour la mettre en pratique, elle est désormais exploitable. L’accès au réglage dépend du type de connexion :

• Connexion filaire : Paramètres > Réseau et Internet > État
• Connexions sans fil : Paramètres > Réseau et Internet > Wi-Fi

On clique ensuite sur Propriétés, puis on descend jusqu’à DNS et on clique sur Modifier. Dans la petite fenêtre qui s’ouvre, on choisit alors Manuel puis on sélectionne le type de protocole IP pour lequel on veut préciser une adresse de serveur DNS. Dès que l’adresse est complète, la liste déroulante se déverrouille. On peut y choisir le mode de connexion : sans chiffrement, chiffré uniquement (DoH), ou chiffré recommandé, non chiffré autorisé.

Si vous souhaitez activer DoH, il faudra donc choisir la deuxième ligne après avoir renseigné l’adresse, par exemple 1.1.1.1 pour Cloudflare ou 9.9.9.9 pour Quad9. Dès que vous validez le choix, le panneau Paramètres du DNS se met à jour et pointe vers l’adresse et son statut.

Dans notre exemple, on peut voir l’adresse de Quad9 et la mention « Chiffré » entre parenthèses. Le réglage est valable pour l’ensemble du système. Tous les navigateurs sachant puiser dedans pourront l’utiliser. Cela étant, certains le font souvent à travers un réglage interne. Pour l’instant, ce paramètre sert donc surtout à Edge.

Rappelons que DoH permet de passer par un serveur DNS chiffré. En comparaison du DNS classique de votre fournisseur d’accès, cela signifie en théorie que personne ne peut avoir la liste des sites que vous visitez. En théorie car tout dépend de la philosophie du prestataire utilisé.

Le partenariat de Cloudflare avec Mozilla avait par exemple fait parler, s’agissant d’une société américaine. Mozilla a cependant communiqué sur la charte imposée à Cloudflare pour avoir le droit de figurer dans son navigateur.

• Qu'est-ce que DNS over HTTPS (DoH), qu'est-ce que cela peut vous apporter ?

Alertes S.M.A.R.T. et utilisation du stockage

On trouve plusieurs améliorations liées au stockage. Windows 10 21H2 surveillera ainsi de manière plus proactive l'état de santé de ces périphériques. Si l’intégrité des données est menacée, le système préviendra l’utilisateur du danger en se basant sur les informations remontées par S.M.A.R.T.

Cette technologie ne sera donc plus là simplement pour fournir passivement des informations à la demande. Microsoft a en outre introduit un nouvel outil en ligne de commande baptisé DiskUsage. On peut l’appeler par la commande diskusage depuis une invite de commande classique ou PowerShell, mais avec les droits administrateur.

L’outil dispose de multiples options et sert à mettre en avant la manière dont l’espace de stockage est consommé. Si vous souhaitez par exemple savoir quels sont les fichiers de plus de 1 Go dans le dossier Windows, il faudra taper :

diskusage /minFileSize=1073741824 /h c:\windows

L’opérateur /minFileSize définit la taille minimale des fichiers qui nous intéresse, la valeur étant précisée en octets. L’opérateur /h signifie « human readable » et permet simplement de donner des tailles rapidement lisibles, par exemple « 2.5 GB ». Toutes les options de l’outil peuvent être obtenues par la commande diskusage -help.

La gestion des périphériques de stockage évolue également dans les paramètres du système. Ou plutôt, Microsoft y déplace des réglages et fonctions auparavant disséminées ailleurs, notamment dans la console de gestion (MMC).

Dans Paramètres > Système > Stockage, on note ainsi une nouvelle ligne baptisée « Gérer les disques et les volumes ». On y trouvera l’ensemble des périphériques présents dans la machine et les volumes contenus dans chacun d’eux. En cliquant sur un volume, on accède à Découvrir – qui ouvre simplement Explorateur pour en voir le contenu – et surtout à propriétés.

Dans ces dernières, on pourra modifier l’étiquette (le nom du volume) et la taille. Pour cette dernière, on évite ainsi de passer par la MMC et sa vieille interface, qui gardera peut-être la préférences des personnes habituées. Si vous souhaitez réduire la taille d’un volume pour augmenter celle d’un autre, c’est donc possible ici.

Dans ce même panneau, on pourra afficher l’utilisation du stockage, à savoir la répartition entre types de données, applications, etc. Si vous souhaitez définir un chemin d’accès NTFS, ce sera également possible un peu plus bas. La fonction permet de faire pointer le contenu d’un volume vers un dossier, qui servira alors de raccourci.

Enfin, on trouvera un lien vers le chiffrement BitLocker tout en bas.

WSL2 : de grosses nouveautés en préparation

WSL devient avec le temps un composant important de Windows. On a pu voir récemment le déploiement du noyau Linux 5.4 via Windows Update. Le sous-système a largement progressé avec la version 2, même si sa sortie s’est traduite pendant un temps par une plus grande complexité d’installation.

Depuis l’automne dernier, les améliorations à WSL se sont enchainées. On a déjà vu comment Microsoft travaillait à simplifier l’installation du sous-système et des distributions liées. Parmi les autres nouveautés apparues ces derniers mois, on note déjà la capacité pour WSL d’exécuter des commandes Linux spécifiques au démarrage de la distribution. Ces commandes doivent être ajoutées au fichier wsl.conf.

Comme nous l’avons déjà mentionné l’année dernière, WSL 2 recevra à terme l’accélération graphique, grâce à un partenariat entre NVIDIA et Microsoft. Cela signifie d’une part que les applications lancées dans les distributions en profiteront, mais également que des technologies comme CUDA et WinML pourront en tirer parti.

• Build 2020 : WSL 2 gèrera les GPU et les interfaces Linux, Terminal 1.0, winget en preview

Autre nouveauté prévue, la capacité de monter des périphériques de stockage, via la commande wsl –mount. Conséquence directe, il deviendra possible d’accéder à des systèmes de fichiers que Windows ne prend normalement pas en charge, comme ext4. Cet ajout pourra être couplé à un autre : l’accès aux dossiers WSL depuis l’Explorateur via un raccourci prévu à cet effet, renvoyant vers \\wsl$\nom_de_distribution.

Évolutions de l’interface : surtout de l'attente pour l’instant

Il est prévu que la mise à jour 21H2 renouvelle largement l’interface avec le projet Sun Valley. Microsoft se sert actuellement de son kit WinUI (3) pour moderniser et harmoniser l’ensemble des éléments graphiques.

En attendant de vrais détails sur l’ampleur des travaux, les actuelles préversions proposent tout de même plusieurs changements. On peut y avoir par exemple de nouvelles animations pour l’ouverture des fenêtres, ou encore la prise en charge du thème sombre dans les résultats de recherche.

Si l’on en croit les rumeurs autour de Sun Valley, la version 21H2 pourrait en finir avec cet immense empilement de composants graphiques issus d’anciennes versions du système. Le blog NTDEV en avait dressé le détail :

• Fluent Design : les ajouts les plus récents, comme la nouvelle application Météo
• Metro (Windows 8/8.1),
• Les éléments Win32 de Windows 8 : gestionnaire des tâches, transferts de fichiers, Explorateur…
• Windows 7 : Paint, WordPad, Media Player, certaines boites de dialogue…
• Vista : nombreux assistants, ancien panneau de configuration…
• Windows XP : copie de fichiers pendant l’installation de pilotes
• Windows 2000 : MMC, Windows Installer vu dans la majorité des installations, Winver…
• Windows 95/NT 4.0 : panneau de l’économiseur d’écran, fenêtre Exécuter, fenêtre des propriétés d’un dossier

Ils ont eu droit à un petit coup de peinture, mais uniquement parce que le fond des fenêtres, la forme des boutons ou encore l’apparence de la barre de titre sont des contrôles communs qui peuvent tous être changés d’une traite.

Mais l’ergonomie générale en prend un coup, Windows 10 ayant l’air d’un gros millefeuille aux couches plus très fraiches. On attend de voir ce que Microsoft va en faire, même si certains ajouts très récents, comme la fenêtre d’actualités, permettent d’en avoir un aperçu : coins arrondis, plus de transparence, ensemble plus doux, etc.

On note quand même une évolution cruciale : le panneau des emojis s’améliore. En plus de proposer une sélection plus complète pour suivre les évolutions du standard, il dispose maintenant d’un onglet pour les GIF animés. Plus besoin donc en théorie de compter sur un service quelconque pour proposer la fonction, puisque toute application pouvant afficher un emoji pourra en profiter. Le raccourci clavier – Windows + ; – ne change pas.

Dans la même veine, signalons le remaniement du clavier virtuel, qui intègre justement le panneau des emoji (et toutes ses catégories, dont les gif) au-dessus des touches classiques.

Autres améliorations

Parmi les améliorations plus générales, on en trouve des très pratiques, dont certaines que l’on aurait aimé voir il y a déjà bien longtemps. Le gestionnaire des tâches intègre par exemple dans l’onglet Détails le type d’architecture supporté par un exécutable, x86 ou x64. Cette information aurait eu beaucoup plus d’importance il y a des années quand les processus x64 étaient plus rares, mais elle a au moins maintenant le mérite d’être affichée.

De même, quand on se rend dans Paramètres > Son > Gérer les périphériques audio, le panneau indique maintenant lequel est utilisé par défaut pour l’entrée et la sortie. Là encore, c’est une information élémentaire que l’on aurait aimé voir plus tôt dans le panneau de configuration.

Plus concret et sans doute plus important, Windows 10 prévient désormais quand une nouvelle application s’exécute au démarrage. La notification apparaitra par exemple après l’installation d’un nouveau logiciel.

Lorsque l’on clique sur la notification, on arrive directement dans l’onglet du gestionnaire des tâches dédié à tout ce qui s’exécute à l’ouverture de la session. Les personnes qui ne le connaissaient pas devraient d’ailleurs y jeter un œil tant il peut réserver quelques surprises.

Autre amélioration bienvenue mais qui aurait clairement dû faire partie du système depuis longtemps, la capacité d’indiquer dans les paramètres le comportement des GPU quand on en a plusieurs. Le plus courant concerne les ordinateurs portables, avec une partie graphique intégrée (IGP) dans le processeur et un GPU dédié.

Par défaut, Windows se sert de l’IGP pour les opérations courantes, pour économiser l’énergie. Quand une application gourmande est détectée – comme un jeu – le système bascule sur le GPU dédié.

Mais on peut désormais choisir précisément le comportement du système pour chaque application. Il faut se rendre dans Paramètres > Système > Affichage, puis aller en bas cliquer sur Paramètres graphiques. Windows propose déjà une liste d’applications avec, pour chacune, le réglage retenu.

Cette liste est curieusement très courte, mais on peut ajouter autant d’applications que l’on souhaite. On doit simplement spécifier s’il s’agit d’une application de bureau (avec un exécutable classique) ou provenant du Store.

Dans le premier cas, une fenêtre s’ouvre pour aller chercher le .exe qui nous intéresse. Dans le second, la liste complète des applications installées par le Store s’affiche et il n’y a plus qu’à choisir. Dans l’un ou l’autre cas, il suffit ensuite d’indiquer si l’on souhaite que ladite application s’exécute toujours avec l’IGP ou le GPU.

Dans la majorité des cas, il n’y aura rien à faire : Windows sait se débrouiller. Cependant, il peut arriver qu’une application a priori anodine décide tout à coup d’utiliser le GPU dédié, siphonnant du même coup la batterie. Au contraire, un jeu pourrait n’utiliser que l’IGP. L’outil est donc pratique pour résoudre ce type de problème.

Le panneau des Paramètres dédié à la batterie évolue lui aussi, pour ressembler à ce que l’on trouve dans Android et iOS. On y retrouve donc des informations comme la dernière charge, ainsi qu’une courbe montrant l’évolution du niveau sur 24 heures ou une semaine.

Crédits : Albacore

Enfin, quelques améliorations pêle-mêle. Par exemple, Astuces va accueillir une nouvelle rubrique dédiée aux derniers changements apportés à Windows. Là encore, c’est une nouveauté qui ne devrait pas en être une.

Les mises à jour semestrielles ont souvent apporté des dizaines de changements, que l’utilisateur n’avait pas vraiment moyen de connaitre sans lire la presse spécialisée. Signalons également que la fonction Aero Shake – qui permet de « secouer » une fenêtre pour rabattre toutes les autres dans la barre des tâches – pourra être désactivée. Puis la possibilité pour les écrans multiples d’avoir chacun leurs propres bureaux virtuels.

Cette liste de nouveautés évoluera bien entendu dans le temps. Si l'on sait déjà que la version 21H1 sera mineure, il reste encore plusieurs mois à Microsoft pour finaliser les ajouts dans la 21H2. Cela devrait encore changer.

Bouygues Telecom, Free Mobile, Orange et SFR doivent s’acquitter de cette Imposition Forfaitaire des Entreprises de Réseaux sur chaque équipement installé sur leurs antennes. Avec la 5G et le déploiement de nouveaux équipements, elle « pourrait plus que doubler d'ici à 2030 » selon un rapport de l'Inspection générale des finances, comme l’explique Les Échos.

Un opérateur explique la situation actuelle : « quand un même équipement offre la 2G, la 3G et la 4G, on paye déjà trois fois chaque année ». Selon nos confrères, deux nouvelles pistes sont étudiées pour le calcul de cet impôt : « taxer les pylônes, peu importe la technologie » ou « taxer le chiffre d'affaires mobile ».

Jetpack Compose est un toolkit dédié à l’interface utilisateur des applications Android, pour en simplifier la création avec le moins de code possible. À terme, les Android Views seront remplacées par Compose.

Le projet était jusque-là en alpha. L’arrivée de la bêta signifie d’une part la stabilisation des API et donc l’assurance qu’elles n’introduiront plus de changement majeur (cassant le code) d’ici la version finale. D’autre part, toute une liste de nouveautés.

On y trouve ainsi le support des coroutines, le support de l’accessibilité pour Talkback, une nouvelle API dédié aux animations, l’interopérabilité avec les Views, des composants Material UI, les Lazy Lists, ou encore du neuf sur les thèmes et éléments graphiques, avec notamment le support des modes clair et sombre.

La bêta de Compose ne peut pour l’instant être utilisée qu’avec la dernière mouture Canary d’Android Studio Arctic Fox, qui intègre pour l’occasion plusieurs nouveautés aussi : Live Literals, Animation Preview, support de Compose dans le Layout Inspector, aperçu interactif, etc.

• Présentation de la bêta de Jetpack Compose
• Télécharger la dernière Canary d’Android Studio Arctic Fox

L'équipe évoque l'ampleur de ce dernier et la cyberattaque dont elle a été victime récemment pour expliquer sa décision. Il devrait finalement être mis en ligne durant la deuxième moitié de mars.

Les développeurs indiquent que de nombreuses améliorations seront au programme, tant au niveau des correctifs que de la qualité globale. Nous en saurons plus d'ici la semaine prochaine.

Alors que le Plan Très Haut débit avance rapidement (avec l’objectif d’atteindre 80 % des locaux raccordables en FTTH en 2022), les déboires suivent malheureusement la même tendance. « Depuis quelques mois, les plaintes sur les difficultés à se faire raccorder à la fibre […] sont en hausse notable », indique le magazine. 

Une situation confirmée par Ariel Turpin, délégué général de l’Avicca : « Les échecs de raccordement sont très importants. Ils atteignent jusqu’à 40 % dans certaines communes, alors que les opérateurs annoncent qu’elles sont raccordables à 100 % ».

Les situations sont diverses : il y a les « oubliés à cause d’erreurs dans les fichiers de déploiement, ou parce que l’installation a été sous-dimensionnée », ceux chez qui « les techniciens causent d’autres dégâts », les « débranchements sauvages », les poses « à l’arrache », etc.

60 millions de consommateurs explique que « le défi des opérateurs est désormais de limiter le nombre de ces ratés, sous peine de freiner l’attrait des Français pour ces connexions ultrarapides… ». C’est également un chantier pour la nouvelle présidente de l’Arcep – Laure de La Raudière – qui a déjà annoncé qu’elle se pencherait sur au moins une partie de ce problème.

• Laure de la Raudière est officiellement la nouvelle présidente de l’Arcep (pour six ans)
• Après Sébastien Soriano, quels défis à la présidence de l’Arcep ?

Les développeurs du projet expliquent dans un billet comment la crise a modifié leurs habitudes, notamment quand il s’agissait d’aller à la rencontre des utilisateurs, pour mieux connaitre leurs habitudes et besoins.

Ils lancent donc un sondage contenant treize questions. Il est disponible sous deux formes : une classique, l’autre en .onion. La seconde peut être ouverte directement par Tor Browser et permet de répondre en gardant le même niveau de protection qu’habituellement. 

Le sondage ne devrait pas prendre plus de 15 minutes selon l’équipe. Les réponses seront gérées par LimeSurvey, un outil open source, et seront supprimées au bout de 180 jours. Durant cette période, elles seront stockées sur l’un des serveurs du Tor Project. Aucune information personnelle n’est demandée.

Une deuxième enquête, plus spécifique, porte sur Snowflake, outil dédié au contournement de la censure. Les conditions sont les mêmes.

• Accéder aux sondages

L’annonce a été faite par Bioware. Elle fait suite à celle de 2019 où le studio expliquait travailler sur une nouvelle version du jeu. 

« Nous devons concentrer nos efforts en tant que studio et renforcer les prochains titres tels que Dragon Age et Mass Effect, tout en continuant à fournir des mises à jour de qualité à Star Wars: The Old Republic », explique BioWare.

Le fabricant de cartes graphiques vient de mettre en ligne son bilan financier pour son quatrième trimestre 2021 et donc son année fiscale 2021.

Les revenus sont en hausse de 6 % sur trois mois et 61 % sur un an pour atteindre 5,003 milliards de dollars, pour un bénéfice net de 1,457 milliard de dollars en augmentation de respectivement 9 et 53 %.

Sur l’année fiscale 2021, NVIDIA revendique 16,675 milliards de dollars de chiffre d’affaires pour 4,332 milliards de dollars de bénéfice net, soit des hausses de respectivement 53 et 55 %. 

Dans le détail, la branche datacenter atteint 1,90 milliard de dollars (+97 % en un an), tandis que la branche gaming atteint 2,5 milliards de dollars (+10 % en trois mois et + 67 % en un an). NVIDIA se félicite des annonces de nouveaux portables avec RTX série 30, de la RTX 3060, du déploiement de RTX sur de nouveaux jeux et de GeForce Now sur iOS.

Le fabricant ne dit par contre pas un mot sur les problèmes de disponibilité des cartes, si ce n’est que « la demande sur les GeForce RTX 30 Series est incroyable ». Rien non plus concernant le minage de cryptomonnaies.

Pour le prochain trimestre (le premier de 2022, vous suivez ?) NVIDIA prévoit d’atteindre 5,30 milliards de dollars à ± 2 %. Une petite hausse qui ne laisse pas présager un retour en masse de la disponibilité des cartes.

Est-il possible de décarboner la finance et la banque sans être un établissement de crédit ? Est-il possible pour une néobanque ou une banque d'investir librement les dépots de ses clients uniquement dans des projets verts ?

En matière de cybersécurité, l’open source est un bon point de départ, mais pas suffisant pour autant. La traçabilité des composants est aussi importante, comme nous le rappelle l’affaire Supermicro. Quels sont les risques et les solutions envisagées sur ces sujets ? Une demi-douzaine de chercheurs répondent à ces questions.

La semaine dernière, Emmanuel Macron annonçait une stratégie cyber avec un milliard d’euros à la clé. Afin de revenir sur les ambitions de ce plan, le CEA, le CNRS et Inria organisaient une conférence commune pour faire un point de la situation de la recherche en France. 

Durant cette présentation, sur laquelle nous aurons l’occasion de revenir en détail, nous avons interrogé les chercheurs sur un point en particulier de la cybersécurité : les projets open source. Nous avions évidemment en mémoire la faille Heartbleed d’OpenSSL, qui a fait trembler Internet il y a maintenant sept ans. 

• OpenSSL : la faille Heartbleed menace la sécurité du web, des sites ferment

Des méthodes formelles à un « cyber centaure »

Pour Ludovic Mé, adjoint au directeur scientifique en charge du domaine de recherche Cybersécurité à Inria, il y a deux aspects à cette problématique. Il commence par voir le côté positif et rappelle qu’il y a « un certain nombre de failles dans SSL qui ont été découvertes grâce aux travaux académiques », notamment ceux « liés au domaine des méthodes formelles ».

Pour résumer il s’agit de « techniques informatiques d'une grande rigueur permettant, à l'aide de langages spécialisés et de règles logiques, de s'assurer (idéalement) de l'absence de tout défaut de programmes informatiques », rappelle l’Universalis.

Le chercheur explique que, dans certains cas, « les failles et les attaques correspondantes étaient tellement compliquées qu’on ne pouvait pas les trouver avec un crayon et un papier pour le dire simplement ». « C’est le monde académique qui a découvert les failles et c’est le monde académique qui a produit en association avec Microsoft, pour être très précis, une nouvelle version de SSL exempte de ces failles », affirme-t-il.

Cette technique d’« épauler l’expert – l’être humain – avec des capacités automatisées, y compris à base de machine learning », est prometteuse pour Florent Kirchner, responsable du programme Cybersécurité du CEA List. Pour détailler son propos, il reprend la notion de Centaure (une créature mi-homme, mi-cheval de la mythologie) notamment utilisée par le Grand Maitre des échecs Garry Kasparov, pour qui une association « entre l’homme et la machine, qui en fait joue mieux que l’homme tout seul ou la machine toute seule ».

Pour Florent Kirchner, cette collaboration serait particulièrement efficace dans le cas de l’analyse d’un système : « Un cyber centaure c’est quelque chose que demain on va continuer d‘explorer […] et montrer que cette complémentarité libère du temps aux experts, apporte une valeur ajoutée significative pour leur permettre de se concentrer sur les problèmes intéressants et importants », affirme-t-il.

Le responsable du programme Cybersécurité du CEA List voit ce cyber centaure comme l’« organisation ultime en matière de cybersécurité ». Pour Ludovic Mé, c’est la preuve que « les travaux académiques peuvent avoir un impact extrêmement réel ».

Le risque zéro n’existe pas

A contrario, une seconde lecture de cette douloureuse affaire Heartbleed peut être faite : « Est-ce que ça change aujourd’hui ? Si on disait les choses un peu rapidement on dirait : "non, ça n’a pas changé aujourd’hui" ». Pour le chercheur, le fond du problème est « qu’on ne peut jamais assurer qu’il n’y a pas une faille résiduelle dans [un] système ; qu’il soit ouvert ou fermé ne change rien ».

Cette remarque est valable pour tous les systèmes, mais le risque se multiplie lorsqu’un même logiciel est largement utilisé, ce qui était le cas d’OpenSSL. Ludovic Mé précise néanmoins que, comme de nombreux autres chercheurs du milieu académique, il pense que « si c’est ouvert c’est mieux, mais ce n’est pas une garantie complète non plus ».

Il s’explique :

« Le système est tellement compliqué, il y a tellement de dizaines de milliers de lignes de code que personne n’est capable d’assurer qu’effectivement tout a été revu. Et même si tout a été revu, toutes les failles n’ont pas été découvertes. Il est impossible d'éliminer le problème, c’est pour ça que la réponse un peu rapide serait de dire "non, ce n’est pas mieux aujourd’hui" ».

Point positif : il y a une « espèce de sensibilité globale à ce problème-là qui a augmenté, en particulier car il y a eu des cas comme ceux que vous mentionnez avec Heartbleed ». D’autres failles ont depuis fait trembler Internet et tomber certains protocoles de sécurité, renforçant la prise de conscience collective (souvent tardive). Mais il reste encore tellement de mauvaises pratiques, de « bugs », de défauts de conception… On est toujours surpris de les voir faire surface lorsqu’ils entrainent des fuites de données personnelles.

 « Open source » ne sont pas deux mots magiques en cybersécurité

Gildas Avoine, directeur du GDR CNRS Sécurité informatique et professeur de l’INSA Rennes à l’Institut de recherche en informatique et systèmes aléatoires, apporte son grain de sel sur la question de l’open source : « Ce qui est clair aujourd’hui [et] prôné par la communauté académique, c’est que les algorithmes et le code soient ouverts. On ne doit plus faire de sécurité par obscurité ».

Pour appuyer ses dires, le directeur de recherche cite le principe du linguiste Auguste Kerckhoffs Van Nieuwenhof, consigné dans son traité de La cryptographie militaire de 1883 : « La sécurité d’un système de cryptement ne doit pas dépendre de la préservation du secret de l’algorithme. La sécurité ne repose que sur le secret de la clé », comme l’indique l’ANSSI dans guide des bonnes pratiques de la cryptologie.

Appliqué au monde moderne, ce principe « pourrait se traduire par l’open source », lâche Gildas Avoine. Son corolaire est tout aussi important : « la sécurité ne doit pas reposer sur le fait que le code n’est pas open source ».

« Bien souvent », personne n’a audité le code

Mais attention, si « open source » veut dire que tout le monde peut (en théorie) accéder au code source, cela ne signifie pas pour autant que des chercheurs passent des heures, semaines, mois ou années à le vérifier sous toutes les coutures… c’est même très loin d’être le cas : « Au final, il y a très peu de gens qui ont la compétence pour l’auditer, et bien souvent il n’y a personne qui l’a fait ». C’est malheureusement une triste réalité. 

Gildas Avoine en ajoute une couche : « Le code est dynamique, il évolue […] il y a différentes versions. Même s’il a été audité à un instant T, on s’aperçoit qu’il peut y avoir des failles qui arrivent un peu plus tard. C’était le cas de Heartbleed, une faille introduite avec le développement d’une nouvelle version ». Cette brèche était en plus passée sous les radars pendant plusieurs années. 

Pire encore selon Ludovic Mé : « quand une nouvelle version corrige, une faille est produite, il se passe parfois des mois, des années – des années – avant qu’elles soient déployées concrètement sur 99 % des systèmes. La faille résiduelle, même corrigée, est présente souvent pour de nombreuses années ». Dans le cas de Heartbleed par exemple, près de 200 000 serveurs étaient toujours vulnérables trois ans après la mise en ligne des correctifs. C’est un problème beaucoup plus large, que l’on retrouve par exemple dans les objets connectés embarquant d'anciens noyaux Linux, les ordinateurs, etc.

Pour résumer, « il faut être vigilant avec le code open source », explique Ludovic Mé. Même si l’open source est largement soutenue par le monde académique et que certaines sociétés sautent le pas notamment pour essayer de montrer qu’elles n’ont rien à cacher, « on n’a aucune garantie de sécurité parce que le code est open source ».

Supermicro : la crédibilité des déclarations de Bloomberg

Durant la conférence, le sujet des micropuces chinoises espionnes sur des cartes mères Supermicro est revenu sur le devant de la scène. Jacques Fournier, chef du laboratoire de sécurisation des objets et systèmes physiques du CEA Leti, était le premier à répondre : « Je n’ai pas d’information, je ne peux pas confirmer quoi que ce soit sur les révélations de Bloomberg ».

• Micropuces chinoises sur des cartes mères : Bloomberg en remet une couche, Supermicro réfute

Il ajoutait néanmoins que c’est « effectivement une problématique qui est aujourd’hui existante […] On a des chaines d’approvisionnement de plus en plus complexes, qu’on n’arrive plus à tracer. Sur certains objets connectés et déploiements de systèmes critiques, ça peut poser problème ». Avec d’autres chercheurs et des partenaires privés, Fournier travaille sur des « processus qui permettent de réduire et mitiger les risques de supply chain ».

Florent Kirchner, responsable du programme Cybersécurité du CEA List, est plus sceptique : « jusqu’ici, il n’y a rien qui est venu prouver ces révélations là. On n’a pas trouvé ces puces chinoises. On aurait pu imaginer qu’en deux ans, on s’était laissé assez de temps pour regarder tout ça ».

Comme nous l’avions expliqué, des sociétés avec d’énormes moyens et de forts enjeux sur le sujet de la confidentialité (Amazon, Apple, OVH) se sont penchées sur ce sujet sans rien trouver jusqu’à présent. « Je prendrais ces révélations de Bloomberg avec une dose un peu sérieuse de sel en termes de crédibilité », ajoute Florent Kirchner. 

Des choses qu’on a « du mal à expliquer » dans les processeurs

Cela ne doit par contre pas cacher le fond du problème, comme nous l’avions déjà expliqué : « On a des composants qui viennent de partout dans le monde, et qui sont intégrés un peu partout dans le monde, qu’on reçoit ensuite et dans lesquels se pose fondamentalement la question de "est-ce que je peux avoir confiance ?" » ; une question valable aussi bien pour la partie logicielle que matérielle.

On touche ici à la question de la souveraineté numérique : « qu’est-ce qu’on veut maitriser, en quoi on a confiance, comment on fait pour établir la confiance ? », se demande Ludovic Mé.

Ce dernier ajoute : « je ne sais pas quel est le statut juridique de ça, mais reverser [au sens rétro-ingénierie, ndlr] les processeurs de nos amis ou moins amis américains ou d’ailleurs, pour voir ce qu’il y a dedans. Ceux qui le font savent et voient qu’il y a parfois des choses qu’ils ont du mal à expliquer dans ces processeurs. C’est avéré pour le coup ».