Michel Foucault realness

Un employé a déposé plainte contre Apple pour espionnage de ses données personnelles. Il accuse également l’entreprise de forcer les employés à utiliser leurs comptes iCloud personnels pour mieux les surveiller, y compris en dehors des locaux.

Dans un article de Semafor, on apprend qu’Amar Bhakta, employé chez Apple, attaque l’entreprise. Celle-ci est accusée de plusieurs conduites illégales, tournant toutes autour de la vie privée. Dans sa plainte, déposée dimanche soir devant une cour supérieure du compté de Santa Clara (Californie), Amar Bhakta accuse Apple de violer la loi californienne en plusieurs points.

Appareils et comptes personnels

L’essentiel de la plainte concerne l’utilisation des comptes et appareils. Selon le plaignant, Apple fournit bien des Mac et autres produits pour travailler, mais les employés sont encouragés à amener leurs propres appareils, notamment des iPhone. Au sein de l’entreprise, les téléphones sont alors gérés par une solution spécifique (de type MDM, mobile device management).

Amar Bhakta accuse Apple de profiter de ce logiciel pour plonger dans les données de ses employés. Tout ce qui transite serait observé par la société, notamment les e-mails, les photos, les vidéos, les notes et ainsi de suite. Autant de données dans lesquelles Apple serait « susceptible de rechercher ».

Autre problème pointé par le plaignant, l’utilisation forcée de comptes personnels sur les appareils fournis par Apple. Plusieurs comportements illégaux en découleraient, dont l’accès aux données et surtout la surveillance exercée par Apple, qui s’étendrait ainsi hors de ses locaux. Ce serait le cas avec tous les appareils que l’on peut emmener chez soi pour continuer à travailler comme les iPhone, iPad et autres MacBook.

Une cour de prison

L’entreprise serait ainsi engagée dans « une surveillance physique, vidéo et électronique » de ses employés via les appareils mis à leur disposition. Une fusion des vies personnelle et professionnelle d’autant plus accentuée selon Amar Bhakta qu’Apple imposerait des restrictions sur le matériel prêté (une pratique courante en entreprise) et pousserait indirectement vers l’utilisation du matériel personnel.

En outre, Apple découragerait « activement » ses employés de se servir de comptes iCloud dédiés au travail.

« Pour les employés d’Apple, l’écosystème Apple n’est pas un jardin clos. C’est une cour de prison. Un panoptique où les employés, qu’ils soient en service ou non, sont toujours soumis à l’œil omniscient d’Apple », peut-on lire dans la plainte. Une accusation d’autant plus visible qu’une part importante de la communication d’Apple se fait sur la sécurité et le respect de la vie privée, à grand renfort de chiffrement de bout en bout.

La sensation d’enfermement serait accentuée par plusieurs autres pratiques. Amar Bhakta accuse ainsi Apple de réprimer les conversations sur les salaires. En plusieurs occasions, Apple aurait strictement interdit à son employé d’évoquer son travail (publicité en ligne) et l’aurait poussé à supprimer certaines informations de son profil LinkedIn.

Apple nie en bloc

Sans surprise, l’entreprise réfute les accusations. « Chaque employé a le droit de discuter de son salaire, de ses horaires et de ses conditions de travail, et cela fait partie de notre politique de conduite des affaires, sur laquelle tous les employés sont formés chaque année », a ainsi déclaré l’entreprise à Semafor.

« Nous ne sommes pas du tout d’accord avec ces affirmations et nous pensons qu’elles ne sont pas fondées », a ajouté Apple auprès de The Verge.

Des accusations récurrentes

Ce n’est pas la première fois que des employés évoquent le sujet de la vie privée et de l’accès aux données chez Apple. Il y a un mois par exemple, le National Labor Relations Board accusait Apple d’empêcher les employés de discuter d’équité salariale au sein de l’entreprise. La société aurait notamment tenté de faire pression sur un ingénieur pour qu’il démissionne, à cause d’une enquête en ligne sur les salaires qu’il avait voulu faire circuler.

D’autres éléments étaient mentionnés dans un article du Los Angeles Times. En 2021, Apple aurait ainsi interdit la création d’un canal Slack nommé « #community-pay-equity ». Même chose pour des discussions sur les incitations financières proposées par l’entreprise pour atteindre les objectifs de vente. Apple aurait argué qu’elles comportaient des « informations confidentielles et exclusives ». Au média, Apple avait là aussi indiqué ne pas être « du tout d’accord avec ces affirmations ».

Tous ces éléments, dont ceux de la nouvelle plainte, font écho à un article de The Verge datant d’aout 2021. Il était là aussi question de lien fortement recommandé par Apple entre les comptes personnel et professionnel. Jacob Preston, après avoir démissionné de l’entreprise au bout de trois ans, s’était inquiété de ses données personnelles lorsqu’il avait le MacBook prêté par l’entreprise. Signalant que son compte personnel comportait des données très sensibles, l’entreprise lui aurait répondu que cette politique n’était pas négociable.

Une année 2021 décidément riche en mouvements des employés d’ailleurs. Début septembre par exemple, nous faisions le point sur les multiples problèmes qu’affrontait Apple, notamment une grogne prégnante chez les employés. « Apple s’enorgueillit de ses engagements pour la diversité, l’équité et d’un environnement où chaque personne peut donner le meilleur d’elle-même ; en pratique cependant, c’est loin d’être le cas », indiquait ainsi une lettre ouverte à Tim Cook.

Brrrraaaaiiiiiiiin 🧟

L’expression « brain rot » n’a rien de neuf, mais son utilisation croissante l’a fait désigner comme mot de l’année à l’université d’Oxford. Selon l’établissement, le choix de ce mot rend compte d’une évolution dans la perception de la consommation des contenus en ligne.

Comme l’explique l’université, l’expression est vieille, beaucoup plus qu’on ne le pense. Sa première utilisation avérée date en effet de… 1854. « Alors que l’Angleterre s’efforce de guérir la pourriture des pommes de terre, personne ne s’efforcera-t-il de guérir la pourriture du cerveau – qui prévaut de manière beaucoup plus large et fatale ? », s’inquiétait ainsi Henry David Thoreau dans son livre Walden.

170 ans plus tard, le sens profond de l’expression n’a pas bougé. Le dictionnaire d’Oxford en donne la définition suivante : « Détérioration supposée de l’état mental ou intellectuel d’une personne, notamment considérée comme le résultat d’une surconsommation de contenu (aujourd’hui particulièrement en ligne) considéré comme insignifiant ou non stimulant ».

De là, l’expression a gagné l’ensemble de la population, la définition s’élargissant à tout matériel pouvant conduire à cette détérioration. L’usage en est devenu commun, au point que le mot a gagné l’élection avec plus de 37 000 votes.

Sus aux réseaux sociaux !

Si l’expression est connue depuis longtemps, elle n’est largement utilisée que depuis plusieurs années, et tout particulièrement la dernière écoulée. L’université d’Oxford note un bond de 230 % dans la fréquence d’utilisation entre 2023 et 2024.

Le sens de l’expression a légèrement évolué pour s’accrocher de manière tenace à la vie numérique. La « pourriture du cerveau » est revenue en force dans les réseaux sociaux, comme un signal d’alerte face à des plateformes comme TikTok, et plus généralement tout service présentant un mur infini de contenus. On peut alors enchainer les courtes vidéos pendant des heures. Des préoccupations concernant avant tout les générations Z et Alpha.

Mais pourquoi parler de pourriture (ou pourrissement) ? À cause d’une consommation excessive de « contenus de faible qualité et de faible valeur » trouvés sur les réseaux sociaux et plus généralement sur internet. Il faut encore s’entendre sur ce que l’on estime être « de faible qualité ». Au sens où on l’entend aujourd’hui, il désigne tout contenu n’entrainant aucune stimulation cérébrale. On se contente alors d’absorber passivement des contenus entrainant des réactions émotionnelles immédiates, sans informations ni réflexion.

L’université d’Oxford ajoute que l’expression a entrainé une nouvelle famille de mots et d’expressions filles. En référence notamment à la série de vidéos Skibidi Toilet d’Alexey Gerasimov, le mot « skibidi » est resté pour signifier l’absurdité. De même, « only in Ohio » servait à désigner les comportements supposément étranges des habitants de cet État américain. L’expression est aujourd’hui résumée au simple « Ohio » pour désigner « quelque chose d’embarrassant ou d’étrange ».

Pourrissement et merdification

L’université ajoute que « brain rot » est désormais utilisé pour désigner à la fois la cause et l’effet du phénomène. On s’en sert ainsi autant pour le contenu lui-même que pour son impact négatif.

« Je trouve fascinant que l’expression « pourriture du cerveau » ait été adoptée par la génération Z et la génération Alpha, ces communautés largement responsables de l’utilisation et de la création du contenu numérique auquel l’expression fait référence. Ces communautés ont amplifié l’expression par le biais des médias sociaux, l’endroit même où l’on dit qu’il y a un « pourrissement du cerveau ». Cela démontre une conscience de soi quelque peu insolente chez les jeunes générations quant à l’impact néfaste des médias sociaux dont elles ont hérité », relève Casper Grathwohl, président d’Oxford Languages.

Intéressant également, l’expression appartient au même champ lexical qu’une autre fraichement élue, cette fois par le dictionnaire australien Macquarie : « enshittification », traduit chez nous en « merdification ». Elle renvoie à l’idée de « détérioration progressive d’un service ou d’un produit, en particulier d’une plateforme en ligne, provoquée par une réduction de la qualité du service fourni résultant de la recherche de profit ».

The Guardian évoquait l’augmentation des contenus faux, de radicalisation ou de mauvaise qualité comme partie intégrante du processus, créant le lien avec brain rot. Dans les deux cas, l’idée est la même : une dégradation de la qualité générale, entrainant un impact négatif sur la population.

Un impact réel ?

Les conséquences véritables du brain rot restent à préciser. On peut parler de perte d’intelligence, de sens critique, de créativité, d’originalité entrainée par une habitude de consommation de contenus ne réclamant aucune analyse ni mémorisation. Peuvent alors s’ensuivre une sensation de déconnexion de la « vie réelle », la perte du gout de l’effort, une chute de la capacité à se concentrer et ainsi de suite.

L’expression interroge autant les pratiques que le regard que l’on y porte. Comme l’a signalé l’université d’Oxford, le pourrissement du cerveau désigne à la fois une cause et un effet, témoignant d’une réflexion sur nos propres usages. En outre, le sens profond n’a pas changé d’un iota en 170 ans. Les inquiétudes sur la consommation des contenus par nos voisins ont toujours existé.

Enfin, et c’est important de le noter, le brain rot n’est pas une pathologie reconnue. En revanche, l’expression invite à la réflexion sur nos usages. Ainsi, pour l’autrice Daphné B., le brain rot pointe davantage vers « l’obsolescence programmée du langage » qu’une réelle maladie, mettant en lumière « un nouveau rapport à la perte », en lien avec le fameux FOMO (fear of missing out, la peur de rater quelque chose).

Brrrraaaaiiiiiiiin 🧟

L’expression « brain rot » n’a rien de neuf, mais son utilisation croissante l’a fait désigner comme mot de l’année à l’université d’Oxford. Selon l’établissement, le choix de ce mot rend compte d’une évolution dans la perception de la consommation des contenus en ligne.

Comme l’explique l’université, l’expression est vieille, beaucoup plus qu’on ne le pense. Sa première utilisation avérée date en effet de… 1854. « Alors que l’Angleterre s’efforce de guérir la pourriture des pommes de terre, personne ne s’efforcera-t-il de guérir la pourriture du cerveau – qui prévaut de manière beaucoup plus large et fatale ? », s’inquiétait ainsi Henry David Thoreau dans son livre Walden.

170 ans plus tard, le sens profond de l’expression n’a pas bougé. Le dictionnaire d’Oxford en donne la définition suivante : « Détérioration supposée de l’état mental ou intellectuel d’une personne, notamment considérée comme le résultat d’une surconsommation de contenu (aujourd’hui particulièrement en ligne) considéré comme insignifiant ou non stimulant ».

De là, l’expression a gagné l’ensemble de la population, la définition s’élargissant à tout matériel pouvant conduire à cette détérioration. L’usage en est devenu commun, au point que le mot a gagné l’élection avec plus de 37 000 votes.

Sus aux réseaux sociaux !

Si l’expression est connue depuis longtemps, elle n’est largement utilisée que depuis plusieurs années, et tout particulièrement la dernière écoulée. L’université d’Oxford note un bond de 230 % dans la fréquence d’utilisation entre 2023 et 2024.

Le sens de l’expression a légèrement évolué pour s’accrocher de manière tenace à la vie numérique. La « pourriture du cerveau » est revenue en force dans les réseaux sociaux, comme un signal d’alerte face à des plateformes comme TikTok, et plus généralement tout service présentant un mur infini de contenus. On peut alors enchainer les courtes vidéos pendant des heures. Des préoccupations concernant avant tout les générations Z et Alpha.

Mais pourquoi parler de pourriture (ou pourrissement) ? À cause d’une consommation excessive de « contenus de faible qualité et de faible valeur » trouvés sur les réseaux sociaux et plus généralement sur internet. Il faut encore s’entendre sur ce que l’on estime être « de faible qualité ». Au sens où on l’entend aujourd’hui, il désigne tout contenu n’entrainant aucune stimulation cérébrale. On se contente alors d’absorber passivement des contenus entrainant des réactions émotionnelles immédiates, sans informations ni réflexion.

L’université d’Oxford ajoute que l’expression a entrainé une nouvelle famille de mots et d’expressions filles. En référence notamment à la série de vidéos Skibidi Toilet d’Alexey Gerasimov, le mot « skibidi » est resté pour signifier l’absurdité. De même, « only in Ohio » servait à désigner les comportements supposément étranges des habitants de cet État américain. L’expression est aujourd’hui résumée au simple « Ohio » pour désigner « quelque chose d’embarrassant ou d’étrange ».

Pourrissement et merdification

L’université ajoute que « brain rot » est désormais utilisé pour désigner à la fois la cause et l’effet du phénomène. On s’en sert ainsi autant pour le contenu lui-même que pour son impact négatif.

« Je trouve fascinant que l’expression « pourriture du cerveau » ait été adoptée par la génération Z et la génération Alpha, ces communautés largement responsables de l’utilisation et de la création du contenu numérique auquel l’expression fait référence. Ces communautés ont amplifié l’expression par le biais des médias sociaux, l’endroit même où l’on dit qu’il y a un « pourrissement du cerveau ». Cela démontre une conscience de soi quelque peu insolente chez les jeunes générations quant à l’impact néfaste des médias sociaux dont elles ont hérité », relève Casper Grathwohl, président d’Oxford Languages.

Intéressant également, l’expression appartient au même champ lexical qu’une autre fraichement élue, cette fois par le dictionnaire australien Macquarie : « enshittification », traduit chez nous en « merdification ». Elle renvoie à l’idée de « détérioration progressive d’un service ou d’un produit, en particulier d’une plateforme en ligne, provoquée par une réduction de la qualité du service fourni résultant de la recherche de profit ».

The Guardian évoquait l’augmentation des contenus faux, de radicalisation ou de mauvaise qualité comme partie intégrante du processus, créant le lien avec brain rot. Dans les deux cas, l’idée est la même : une dégradation de la qualité générale, entrainant un impact négatif sur la population.

Un impact réel ?

Les conséquences véritables du brain rot restent à préciser. On peut parler de perte d’intelligence, de sens critique, de créativité, d’originalité entrainée par une habitude de consommation de contenus ne réclamant aucune analyse ni mémorisation. Peuvent alors s’ensuivre une sensation de déconnexion de la « vie réelle », la perte du gout de l’effort, une chute de la capacité à se concentrer et ainsi de suite.

L’expression interroge autant les pratiques que le regard que l’on y porte. Comme l’a signalé l’université d’Oxford, le pourrissement du cerveau désigne à la fois une cause et un effet, témoignant d’une réflexion sur nos propres usages. En outre, le sens profond n’a pas changé d’un iota en 170 ans. Les inquiétudes sur la consommation des contenus par nos voisins ont toujours existé.

Enfin, et c’est important de le noter, le brain rot n’est pas une pathologie reconnue. En revanche, l’expression invite à la réflexion sur nos usages. Ainsi, pour l’autrice Daphné B., le brain rot pointe davantage vers « l’obsolescence programmée du langage » qu’une réelle maladie, mettant en lumière « un nouveau rapport à la perte », en lien avec le fameux FOMO (fear of missing out, la peur de rater quelque chose).

Nouvelle version pour l’API graphique open source du Khronos Group. La mouture 1.4 apporte des améliorations notables dans plusieurs domaines, dont le multiplateforme.

Vulkan 1.4 consolide notamment de nombreuses extensions et fonctions qui étaient jusqu’ici optionnelles, notamment pour les applications à hautes performances, dont les descripteurs push, les lectures locales de rendu dynamique et les dispositions de blocs scalaires.

Les extensions de maintenance vont maintenant jusqu’à VK_KHR_maintenance6 et font désormais partie des spécifications de base. Le rendu 8K est en outre garanti jusqu’à huit cibles.

« Vulkan 1.4 est une version importante qui intègre directement des fonctionnalités demandées depuis longtemps et des extensions éprouvées dans la norme de base. En imposant ces fonctionnalités, nous améliorons la flexibilité et les performances de Vulkan sur un plus grand nombre d’appareils, ce qui permet aux développeurs de créer plus facilement des applications de pointe en étant sûrs qu’elles fonctionneront de manière fiable sur n’importe quelle plateforme », a déclaré Ralph Potter, nouvellement élu à la tête du groupe de travail chez Vulkan.

AMD, Arm, Imagination, Intel, NVIDIA, Qualcomm et Samsung ont déjà des pilotes de développement ayant le test de conformité Vulkan 1.4. Même chose pour les pilotes open source Mesa, dont la conformité avec Vulkan 1.4 a été testée sur le matériel AMD, Apple, Intel, NVIDIA et Qualcomm.

Nouvelle version pour l’API graphique open source du Khronos Group. La mouture 1.4 apporte des améliorations notables dans plusieurs domaines, dont le multiplateforme.

Vulkan 1.4 consolide notamment de nombreuses extensions et fonctions qui étaient jusqu’ici optionnelles, notamment pour les applications à hautes performances, dont les descripteurs push, les lectures locales de rendu dynamique et les dispositions de blocs scalaires.

Les extensions de maintenance vont maintenant jusqu’à VK_KHR_maintenance6 et font désormais partie des spécifications de base. Le rendu 8K est en outre garanti jusqu’à huit cibles.

« Vulkan 1.4 est une version importante qui intègre directement des fonctionnalités demandées depuis longtemps et des extensions éprouvées dans la norme de base. En imposant ces fonctionnalités, nous améliorons la flexibilité et les performances de Vulkan sur un plus grand nombre d’appareils, ce qui permet aux développeurs de créer plus facilement des applications de pointe en étant sûrs qu’elles fonctionneront de manière fiable sur n’importe quelle plateforme », a déclaré Ralph Potter, nouvellement élu à la tête du groupe de travail chez Vulkan.

AMD, Arm, Imagination, Intel, NVIDIA, Qualcomm et Samsung ont déjà des pilotes de développement ayant le test de conformité Vulkan 1.4. Même chose pour les pilotes open source Mesa, dont la conformité avec Vulkan 1.4 a été testée sur le matériel AMD, Apple, Intel, NVIDIA et Qualcomm.

Le 6 novembre, un ingénieur de Nokia disait avoir remarqué un comportement étrange sur d’anciens serveurs contenant des processeurs EPYC d’AMD. Sur ces machines, le processus initramfs pouvait mettre beaucoup plus longtemps à démarrer, jusqu’à plusieurs dizaines de secondes, voire plusieurs minutes.

Comme le rapporte Phoronix, l’enquête sur le problème a permis de débusquer un vieux bug introduit il y a 18 mois dans la manière de gérer le microcode au sein des processeurs des générations Zen 1 et 2. Il ne s’agit donc pas d’un problème spécifique aux processeurs EPYC.

Plus en détail, il est nécessaire de vider le TLB (translation lookaside buffer) après mise à jour du microcode pour évacuer le mappage du tampon de la mise à jour. Un patch a donc été introduit avec l’étiquette x86/urgent, pour intégration dans le futur noyau 6.13, dont la Release Candidate 1 vient de paraître.

Les processeurs AMD de générations Zen 1 et 2 sont considérés aujourd’hui comme anciens (respectivement 2017 et 2019), mais sont encore largement utilisés. Linux étant souvent employé pour redonner « vie » à de vieilles configurations, le problème pourrait bien avoir été rencontré de nombreuses fois par les utilisateurs.

C’était une demande régulière des utilisateurs selon le site officiel de France Identité : l’application France Identité n’a désormais plus besoin de scanner la carte d’identité pour autoriser la connexion à FranceConnect. La simple authentification par biométrie, schéma ou code de déverrouillage dans l’application suffira.

Pour en profiter, vous devez récupérer la dernière version de l’application. Une fois dans celle-ci, un message « L’application évolue » devrait apparaitre, invitant à suivre les étapes suivantes :

France Identité met en avant les avantages de la nouvelle méthode : la simplicité de l’authentification sur FranceConnect sans mot de passe ni identifiant, ne plus passer par la NFC et son utilisation « aléatoire », ainsi qu’une expérience « plus fluide et plus rapide ».

Plusieurs points à préciser. D’abord, en cas d’utilisation de plusieurs appareils, il faudra répéter la démarche sur chacun d’eux. Ensuite, l’authentification FranceConnect+ réclame toujours la lecture de CNI. Enfin, la plus récente carte d’identité (au format carte bancaire) reste obligatoire pour utiliser l’application.

Le 6 novembre, un ingénieur de Nokia disait avoir remarqué un comportement étrange sur d’anciens serveurs contenant des processeurs EPYC d’AMD. Sur ces machines, le processus initramfs pouvait mettre beaucoup plus longtemps à démarrer, jusqu’à plusieurs dizaines de secondes, voire plusieurs minutes.

Comme le rapporte Phoronix, l’enquête sur le problème a permis de débusquer un vieux bug introduit il y a 18 mois dans la manière de gérer le microcode au sein des processeurs des générations Zen 1 et 2. Il ne s’agit donc pas d’un problème spécifique aux processeurs EPYC.

Plus en détail, il est nécessaire de vider le TLB (translation lookaside buffer) après mise à jour du microcode pour évacuer le mappage du tampon de la mise à jour. Un patch a donc été introduit avec l’étiquette x86/urgent, pour intégration dans le futur noyau 6.13, dont la Release Candidate 1 vient de paraître.

Les processeurs AMD de générations Zen 1 et 2 sont considérés aujourd’hui comme anciens (respectivement 2017 et 2019), mais sont encore largement utilisés. Linux étant souvent employé pour redonner « vie » à de vieilles configurations, le problème pourrait bien avoir été rencontré de nombreuses fois par les utilisateurs.

C’était une demande régulière des utilisateurs selon le site officiel de France Identité : l’application France Identité n’a désormais plus besoin de scanner la carte d’identité pour autoriser la connexion à FranceConnect. La simple authentification par biométrie, schéma ou code de déverrouillage dans l’application suffira.

Pour en profiter, vous devez récupérer la dernière version de l’application. Une fois dans celle-ci, un message « L’application évolue » devrait apparaitre, invitant à suivre les étapes suivantes :

France Identité met en avant les avantages de la nouvelle méthode : la simplicité de l’authentification sur FranceConnect sans mot de passe ni identifiant, ne plus passer par la NFC et son utilisation « aléatoire », ainsi qu’une expérience « plus fluide et plus rapide ».

Plusieurs points à préciser. D’abord, en cas d’utilisation de plusieurs appareils, il faudra répéter la démarche sur chacun d’eux. Ensuite, l’authentification FranceConnect+ réclame toujours la lecture de CNI. Enfin, la plus récente carte d’identité (au format carte bancaire) reste obligatoire pour utiliser l’application.

Depuis peu, X permet de déclarer via une option que son compte est parodique, via une simple case à cocher. À l’heure où nous écrivons ces lignes, on ne trouve pas le réglage en fouillant dans les paramètres mais on peut y accéder depuis ce lien.

Une tête de robot pour des parodies

L’ajout a été remarqué par Swak, qui s’est fait une spécialité d’annoncer en avance les nouveautés du réseau social, ainsi que d’autres services et applications. C’est lui également qui a repéré l’ajout effectif.

Rappelons que dans les premiers mois qui ont suivi le rachat de Twitter par Elon Musk et avant que le réseau devienne X, les imitations et usurpations de comptes étaient nombreuses. La faute au changement intervenu dans la fameuse coche bleue, qui était apposée jusque-là pour marquer l’authenticité du compte. La vérification avait été remplacée par la souscription à l’abonnement Premium, permettant notamment à des plaisantins de s’afficher comme autant de célébrités, dont Elon Musk. Un sujet qui l’agaçait particulièrement.

L’ajout ne change rien aux règles actuelles sur les comptes parodiques, qui doivent mentionner cet aspect de leur ligne éditoriale dans le nom du compte, pas uniquement dans la bio.

Swak note cependant que l’option a une manière étrange de signaler les comptes parodiques, en tout cas pour l’instant : l’émoji tête de robot. Un choix singulier, qui semble indiquer que le compte est un bot. Nous avons testé l’option, mais l’émoji n’est pas apparu. Il est peut-être nécessaire d’attendre.

Bluesky plus « agressif » sur l’usurpation d’identité

De son côté, Bluesky hausse le ton sur tout ce qui touche aux imitations et usurpations. Le réseau, dont le succès grandit, voit arriver depuis quelques semaines un important flux de nouveaux internautes. Vendredi soir, l’un des comptes officiels, Bluesky Safety a donc publié un fil pour aborder la situation.

Consciente que l’arrivée massive de nouveaux utilisateurs entraine une mutation, elle insiste sur l’importance d’identifier les comptes réels. Travaillant « en coulisse pour aider de nombreuses organisations et personnalités à mettre en place leurs noms de domaine vérifié », la société indique avoir modifié ses conditions d’utilisation. Objectif, les rendre plus « agressives » face aux usurpations.

« Les comptes de parodie, de satire ou de fan sont autorisés sur Bluesky, mais ils doivent s’identifier clairement à la fois dans le nom d’affichage et dans la bio pour aider les autres à savoir que le compte n’est pas officiel », indique Bluesky, reprenant ici la ligne de X. S’il manque l’un ou l’autre de ces éléments, le compte recevra une étiquette d’usurpation d’identité qui, elle, n’est pas autorisée.  L’étape suivante sera la suppression du compte.

Bluesky ajoute réfléchir à « des options supplémentaires pour améliorer la vérification des comptes », à la suite de nombreux commentaires en ce sens. « Nous espérons pouvoir vous en dire plus prochainement », ajoute l’entreprise.

Le populaire HandBrake, spécialisé dans le transcodage vidéo et disponible sur à peu près toutes les plateformes, est arrivé hier en version 1.9.

On y trouve un décodeur Intel QSV VVC, le support du codage VP9 sans perte, un codeur audio ALAC, la prise en charge du Vorbis pass-through, une meilleure analyse des profils audio DTS ainsi qu’une mise à jour générale des bibliothèques intégrées, notamment Ffmpeg 7.1.

HandBrake 1.9 intègre également des améliorations spécifiques pour chaque plateforme. Pour Windows, le logiciel introduit une amélioration significative, avec le support du décodage vidéo par DirectX et du codage AV1 lors de l’utilisation de Media Foundation et sur les machines Arm. Signalons aussi une option « Démarrer plus tard » dans la fenêtre de file d’attente et de meilleures performances dans le pipeline de filtrage sur les machines Arm.

Sur macOS, la nouvelle version apporte des contrôles de limite de plage à la fenêtre de sélection « Ajouter à la file d’attente », une traduction en suédois, ainsi que la correction d’un bug de corruption des vidéos quand l’option multi-pass HEVC de VideoToolbox était activée. Enfin sur Linux, HandBrake 1.9 apporte quelques corrections générales.

La liste des nouveautés et les téléchargements sont disponibles depuis la page GitHub du projet.

C'est mal fait, mais ça fonctionne

Des chercheurs ont découvert un premier bootkit pour Linux capable de contourner la chaine de sécurité de l’UEFI. Une exploitation de l’une des failles LogoFAIL, alors qu’elles étaient considérées jusqu’à maintenant comme théoriques.

Linux est considéré comme plus à l’abri que Windows face aux menaces informatiques. Si l’on se penche sur les bootkits, c’est effectivement le cas. Un premier PoC est arrivé en 2012 sur un bootkit capable de contourner la chaine de sécurité de l’UEFI. Les premiers activement exploités sur Windows ont été ESPecter, découvert par ESET, et FinSpy, trouvé par Kaspersky, tous deux en 2021. Puis BlackLotus est apparu l’année dernière : le premier bootkit Windows capable de contourner intégralement Secure Boot.

Linux a maintenant le sien. Ou plutôt, Linux a désormais un proof of concept (PoC), parfaitement fonctionnel, trouvé sur un serveur et apparemment inexploité. Caractéristique principale de Bootkitty – puisque c’est le nom donné par ses auteurs – il se sert de l’une des failles LogoFAIL, découvertes il y a un an. Or, on pensait ces failles toutes théoriques. Bootkitty rebat les cartes.

À la racine de l’attaque, les failles LogoFAIL

LogoFAIL désigne un lot de douze failles qui ont fait parler d’elles à la fin de l’année dernière. Le nom annonce la couleur : il est possible d’utiliser l’image bitmap servant à afficher un logo au démarrage du PC pour intégrer un code shell malveillant. Difficile à exploiter, les chercheurs n’avaient trouvé aucun cas d’utilisation de LogoFAIL jusqu’à ce jour. En outre, Intel et AMD avaient corrigé ces failles en décembre 2023. Mais comme toujours avec les firmwares des cartes mères, les mises à jour n’ont pas été installées partout.

Dans le cas de Bootkitty, le code shell a pour mission d’installer une clé cryptographique, explique ESET. Celle-ci sert à signer numériquement un fichier GRUB (un gestionnaire de démarrage pour Linux) et un noyau Linux spécifique, qui sera exécuté plus tard dans la chaine de démarrage du système. Ces composants, puisqu’ils sont signés, sont traités comme des éléments de confiance par l’UEFI. La porte dérobée est ainsi ouverte avant que d’autres processus de sécurité n’entrent en piste.

S’il s’agit bien d’un bootkit, il se fait en quelque sorte à la périphérie, car le code malveillant appelle d’autres composants pour réaliser des actions. Le firmware UEFI se retourne contre lui-même, en validant l’authenticité de composants tiers, mais ne contient pas lui-même le code malveillant.

Un code de mauvaise qualité

Selon les découvertes d’ESET, Bootkitty a été développé par un certain BlackCat, sans que l’on sache s’il s’agit d’une personne ou d’un groupe. Il n’y aurait pas de lien avec le groupe BlackCat déjà connu pour ses ransomwares, ceux-ci étant exclusivement écrits en Rust, quand Bootkitty est écrit en C. Plusieurs noms sont indiqués dans l’un des fichiers, et l’un d’eux renvoie vers un dépôt GitHub, mais sans dépôt public mentionnant Bootkitty.

Les chercheurs se sont également rendu compte qu’en l’état, Bootkitty est surtout capable de n’infecter qu’Ubuntu. Le code malveillant cherche en effet à identifier des séries d’octets spécifiques en mémoire pour en changer les valeurs à la volée. Or, ces séries sont codées en dur et sont donc intimement liées au système.

Le code en C comporte aussi de nombreuses erreurs, toujours selon ESET. Par exemple, Bootkitty est capable de patcher le noyau Linux pour y installer des instructions. Problème, il ne cherche pas à détecter la zone à modifier, il intègre ses lignes de code à des positions fixes, qui parfois ne sont pas les bonnes. Le noyau, au lieu d’être patché, ne fonctionne alors plus, faisant planter tout le système.

En outre, de lui-même, Bootkitty ne peut pas contourner Secure Boot, car il est accompagné d’un certificat autosigné. Pour y parvenir, il doit réussir l’exploitation de LogoFAIL. Si la faille a été corrigée, le bootkit n’a plus aucun moyen d’agir.

Pour une poignée de bitmaps

Si ESET a bien découvert Bootkitty, le lien avec LogoFAIL a été établi par une autre entreprise de sécurité : Binarly. Celle-ci est spécialisée justement dans la sécurité des firmwares et la gestion de la chaine d’approvisionnement.

Dans un article publié vendredi soir, la société explique avoir immédiatement repéré deux images au format bmp sur le serveur sur lequel était stocké Bootkitty, présent sous la forme d’un fichier bootkit.efi. Or, les noms de ces images ne leur étaient pas inconnus : logofail.bmp et logofail_fake.bpm. Il s’agissait des noms utilisés par Binarly lors de sa présentation sur le sujet à la conférence BlackHat EU de l’année dernière.

La découverte de ces deux fichiers – l’un de 16 Mo, l’autre de 7,7 ko – dans le même dossier qu’un firmware a fait se poser la question aux chercheurs : quelqu’un avait-il trouvé le moyen d’exploiter LogoFAIL ? On connait la réponse, confirmée après analyse du fichier de 16 Mo, dans lequel du code shell a été trouvé au sein d’une structure jugée « inhabituelle ».

Un PoC « seulement »

Faut-il s’inquiéter ? Pas encore, mais la vigilance s’impose. La découverte de Bootkitty signale que des acteurs malveillants travaillent activement sur la question. D’un autre côté, ESET signale que le code de Bootkitty est encore assez rudimentaire, comparé à ceux existant pour Windows, et que certaines fonctions sont inopérantes. En outre, il ne sait apparemment infecter qu’Ubuntu et ne peut pas contourner Secure Boot sans exploiter une faille dont les correctifs sont disponibles depuis un an.

Sur la base de ces observations, les chercheurs ESET en ont déduit que Bootkitty est probablement une version de démonstration, un PoC parfaitement fonctionnel mais n’assurant que le minimum, le code comportant de nombreuses « imperfections ». Même son de cloche chez Binarly, qui a complété les découvertes d’ESET. Cette dernière dit n’avoir trouvé aucune exploitation active de Bootkitty, mais cela ne présage en rien de l’avenir.

« Qu’il s’agisse d’une preuve de concept ou non, Bootkitty marque une avancée intéressante dans le paysage des menaces UEFI, brisant la croyance selon laquelle les bootkits UEFI modernes sont des menaces exclusives à Windows », indique ainsi ESET.

Pour l’instant, la seule solution efficace pour se prémunir de Bootkitty et de ses éventuelles évolutions est d’installer le dernier firmware disponible pour la carte mère de l’ordinateur.

Perfusion sous conditions

Intel recevra moins d’argent que prévu dans les subventions accordées par le gouvernement Biden via la loi CHIPS.  Le montant final, de 7,86 milliards de dollars, est adossé à plusieurs conditions, notamment de garder le contrôle des usines. Parallèlement, on apprend que Qualcomm abandonnerait son idée de rachat.

Le CHIPS (Creating Helpful Incentives to Produce Semiconductors) and Science Act est une loi américaine signée par le président Joe Biden en aout 2022. Objectifs, stimuler la recherche nationale et la fabrication de semi-conducteurs aux États-Unis, grâce à une enveloppe faramineuse de 280 milliards de dollars. Pour la seule fabrication des puces au sein de ses frontières, le pays a prévu d’allouer 39 milliards de dollars.

Avec cette loi ambitieuse, les États-Unis veulent ramener la production des puces informatiques sur leur sol. Intel, en tant que géant dans ce domaine, était donc bien placé pour recevoir une importante subvention. Il avait été décidé initialement de lui allouer 8,5 milliards de dollars. Une somme préliminaire annoncée par Joe Biden lors d’une visite du président dans l’usine d’Intel en Arizona.

La somme allouée sera cependant moins importante que prévu.

600 millions de dollars en moins

La somme finale est donc moins élevée, mais de 7,865 milliards de dollars tout de même, soit une baisse de 600 millions. La somme se décompose ainsi : 3,94 milliards de dollars pour ses projets en Arizona, 500 millions de dollars pour le Nouveau-Mexique, 1,5 milliard de dollars pour la nouvelle usine en construction dans l’Ohio et 1,86 milliard de dollars pour l’Oregon.

« Ce financement soutiendra directement l’investissement américain d’Intel, qui devrait s’élever à près de 90 milliards de dollars d’ici la fin de la décennie, dans le cadre du plan d’expansion global de l’entreprise, qui s’élève à plus de 100 milliards de dollars. Le ministère déboursera les fonds en fonction de l’achèvement des étapes du projet par Intel », indiquait un communiqué du ministère du Commerce le 26 novembre.

« Un fort soutien bipartisan pour restaurer le leadership américain en matière de technologie et de fabrication est à l’origine d’investissements historiques qui sont essentiels à la croissance économique à long terme et à la sécurité nationale du pays. Intel s’engage fermement à faire progresser ces priorités communes en développant davantage ses activités aux États-Unis au cours des prochaines années », s’est félicité le patron d’Intel, Pat Gelsinger.

Sous le vernis

L’allocation de cette subvention était adossée à plusieurs critères. L’objectif du CHIPS Act étant d’aller aussi vite que possible, aucun des plans dressés par les entreprises subventionnées ne pouvait s’étaler au-delà de 2030. Or, ceux d’Intel ont été modifiés, la société ne pouvant être aussi rapide dans ses développements que prévu.

Intel prévoyait ainsi de créer deux nouvelles usines, devant aboutir à la création de 10 000 emplois. Le chantier de l’une des deux a commencé dans l’Ohio, à New Albany. La seconde ne sera pas achevée dans les temps, le chantier n’ayant d’ailleurs pas commencé. Les prévisions sont aujourd’hui de 3 500 emplois créés pour l’usine en Ohio, même si l’objectif de 10 000 emplois reste d’actualité pour les deux usines confondues. En outre, l’usine en Ohio devait commencer à produire des puces dès l’année prochaine, mais cette production a glissé vers la fin de la décennie.

En outre, la décision tient compte d’un contrat signé entre Intel et le Pentagone le 16 septembre, pour un montant de 3 milliards de dollars. La nouvelle avait été précédée de fortes rumeurs, la confirmation provoquant un sursaut du titre Intel, largement érodé ces dernières années.

Des conditions financières strictes

Dans un document publié le 27 novembre par Intel à destination de la Securities and Exchange Commission (SEC), on apprend en outre plusieurs éléments intéressants, dont des « restrictions de changement de contrôle ».

Dans le cadre de la généreuse subvention allouée à Intel, l’entreprise s’engage ainsi à garder un minimum de 50,1 % des droits de propriété et/ou de vote sur son activité de fonderie, autrement dit ses usines. Ce chiffre est donc valable quelle que soit la situation, qu’Intel garde ses activités de fonderie ou qu’elle scinde sa structure pour en faire une activité dédiée. On sait depuis que c’est le deuxième cas qui s’applique : Intel Foundry est devenu une filiale en septembre, pour faciliter l’ouverture à de nouveaux clients.

Puisque l’activité fonderie est devenue entité indépendante, une autre condition s’applique. Dans le cas où la filiale entrerait en bourse, aucun actionnaire unique ne pourra dépasser les 35 % de parts. Seule exception : qu’Intel soit l’actionnaire majoritaire.

Marasme

Ces conditions ne sont pas étonnantes. Le CHIPS Act doit atténuer la forte dépendance des États-Unis à l’Asie pour la production des composants informatiques. Le texte perdrait une partie de sa dimension stratégique si la propriété des entreprises américaines pouvait être diluée dans les capitaux étrangers.

Pour autant, ces conditions empêchent Intel de se séparer de ses usines américaines. Et la période est particulièrement trouble, le fondeur étant plongé dans un marasme économique tenace. Le mois dernier, comme pointé alors par le New York Times, Intel a enregistré les plus grosses pertes trimestrielles de ses 56 ans d’histoire, avec 16,6 milliards de dollars. Une semaine avant, le journal américain se demandait si les aides massives accordées à Intel n’allaient provoquer un retour de flamme.

Qualcomm ne serait plus intéressée par Intel

Selon Bloomberg, Qualcomm abandonnerait l’idée de racheter Intel, une rumeur explosive apparue il y a deux mois dans les colonnes du Wall Street Journal. Quelques semaines plus tôt, Reuters avait déjà indiqué que Qualcomm était intéressée par certaines activités d’Intel, dont la conception de puces.

Qualcomm reculerait sous l’accumulation de difficultés. Financières d’abord, car la dette d’Intel s’élève aujourd’hui à 50 milliards de dollars. Réglementaires ensuite, car une telle acquisition, qui prétendrait à la couronne du plus gros rachat de l’histoire, serait intensément scrutée par toutes les autorités compétentes. En des temps marqués par une reprise des enquêtes pour abus de position dominante, la perspective a de quoi refroidir.

En outre, Pat Gelsinger a affirmé plusieurs fois qu’il n’était pas question de scinder Intel, même si certaines divisions pourraient être vendues, notamment Altera, pour laquelle Lattice Semiconductor s’est déjà positionnée. Qualcomm pourrait faire de même.

Enfin, les annonces des derniers jours ont probablement joué dans ce retrait. La subvention accordée à Intel, adossée à des conditions strictes sur le contrôle des usines, est en effet la clé de voûte d’une perfusion d’argent public indispensable au développement des activités de l’ex numéro un mondial des semiconducteurs.

Perfusion sous conditions

Intel recevra moins d’argent que prévu dans les subventions accordées par le gouvernement Biden via la loi CHIPS.  Le montant final, de 7,86 milliards de dollars, est adossé à plusieurs conditions, notamment de garder le contrôle des usines. Parallèlement, on apprend que Qualcomm abandonnerait son idée de rachat.

Le CHIPS (Creating Helpful Incentives to Produce Semiconductors) and Science Act est une loi américaine signée par le président Joe Biden en aout 2022. Objectifs, stimuler la recherche nationale et la fabrication de semi-conducteurs aux États-Unis, grâce à une enveloppe faramineuse de 280 milliards de dollars. Pour la seule fabrication des puces au sein de ses frontières, le pays a prévu d’allouer 39 milliards de dollars.

Avec cette loi ambitieuse, les États-Unis veulent ramener la production des puces informatiques sur leur sol. Intel, en tant que géant dans ce domaine, était donc bien placé pour recevoir une importante subvention. Il avait été décidé initialement de lui allouer 8,5 milliards de dollars. Une somme préliminaire annoncée par Joe Biden lors d’une visite du président dans l’usine d’Intel en Arizona.

La somme allouée sera cependant moins importante que prévu.

600 millions de dollars en moins

La somme finale est donc moins élevée, mais de 7,865 milliards de dollars tout de même, soit une baisse de 600 millions. La somme se décompose ainsi : 3,94 milliards de dollars pour ses projets en Arizona, 500 millions de dollars pour le Nouveau-Mexique, 1,5 milliard de dollars pour la nouvelle usine en construction dans l’Ohio et 1,86 milliard de dollars pour l’Oregon.

« Ce financement soutiendra directement l’investissement américain d’Intel, qui devrait s’élever à près de 90 milliards de dollars d’ici la fin de la décennie, dans le cadre du plan d’expansion global de l’entreprise, qui s’élève à plus de 100 milliards de dollars. Le ministère déboursera les fonds en fonction de l’achèvement des étapes du projet par Intel », indiquait un communiqué du ministère du Commerce le 26 novembre.

« Un fort soutien bipartisan pour restaurer le leadership américain en matière de technologie et de fabrication est à l’origine d’investissements historiques qui sont essentiels à la croissance économique à long terme et à la sécurité nationale du pays. Intel s’engage fermement à faire progresser ces priorités communes en développant davantage ses activités aux États-Unis au cours des prochaines années », s’est félicité le patron d’Intel, Pat Gelsinger.

Sous le vernis

L’allocation de cette subvention était adossée à plusieurs critères. L’objectif du CHIPS Act étant d’aller aussi vite que possible, aucun des plans dressés par les entreprises subventionnées ne pouvait s’étaler au-delà de 2030. Or, ceux d’Intel ont été modifiés, la société ne pouvant être aussi rapide dans ses développements que prévu.

Intel prévoyait ainsi de créer deux nouvelles usines, devant aboutir à la création de 10 000 emplois. Le chantier de l’une des deux a commencé dans l’Ohio, à New Albany. La seconde ne sera pas achevée dans les temps, le chantier n’ayant d’ailleurs pas commencé. Les prévisions sont aujourd’hui de 3 500 emplois créés pour l’usine en Ohio, même si l’objectif de 10 000 emplois reste d’actualité pour les deux usines confondues. En outre, l’usine en Ohio devait commencer à produire des puces dès l’année prochaine, mais cette production a glissé vers la fin de la décennie.

En outre, la décision tient compte d’un contrat signé entre Intel et le Pentagone le 16 septembre, pour un montant de 3 milliards de dollars. La nouvelle avait été précédée de fortes rumeurs, la confirmation provoquant un sursaut du titre Intel, largement érodé ces dernières années.

Des conditions financières strictes

Dans un document publié le 27 novembre par Intel à destination de la Securities and Exchange Commission (SEC), on apprend en outre plusieurs éléments intéressants, dont des « restrictions de changement de contrôle ».

Dans le cadre de la généreuse subvention allouée à Intel, l’entreprise s’engage ainsi à garder un minimum de 50,1 % des droits de propriété et/ou de vote sur son activité de fonderie, autrement dit ses usines. Ce chiffre est donc valable quelle que soit la situation, qu’Intel garde ses activités de fonderie ou qu’elle scinde sa structure pour en faire une activité dédiée. On sait depuis que c’est le deuxième cas qui s’applique : Intel Foundry est devenu une filiale en septembre, pour faciliter l’ouverture à de nouveaux clients.

Puisque l’activité fonderie est devenue entité indépendante, une autre condition s’applique. Dans le cas où la filiale entrerait en bourse, aucun actionnaire unique ne pourra dépasser les 35 % de parts. Seule exception : qu’Intel soit l’actionnaire majoritaire.

Marasme

Ces conditions ne sont pas étonnantes. Le CHIPS Act doit atténuer la forte dépendance des États-Unis à l’Asie pour la production des composants informatiques. Le texte perdrait une partie de sa dimension stratégique si la propriété des entreprises américaines pouvait être diluée dans les capitaux étrangers.

Pour autant, ces conditions empêchent Intel de se séparer de ses usines américaines. Et la période est particulièrement trouble, le fondeur étant plongé dans un marasme économique tenace. Le mois dernier, comme pointé alors par le New York Times, Intel a enregistré les plus grosses pertes trimestrielles de ses 56 ans d’histoire, avec 16,6 milliards de dollars. Une semaine avant, le journal américain se demandait si les aides massives accordées à Intel n’allaient provoquer un retour de flamme.

Qualcomm ne serait plus intéressée par Intel

Selon Bloomberg, Qualcomm abandonnerait l’idée de racheter Intel, une rumeur explosive apparue il y a deux mois dans les colonnes du Wall Street Journal. Quelques semaines plus tôt, Reuters avait déjà indiqué que Qualcomm était intéressée par certaines activités d’Intel, dont la conception de puces.

Qualcomm reculerait sous l’accumulation de difficultés. Financières d’abord, car la dette d’Intel s’élève aujourd’hui à 50 milliards de dollars. Réglementaires ensuite, car une telle acquisition, qui prétendrait à la couronne du plus gros rachat de l’histoire, serait intensément scrutée par toutes les autorités compétentes. En des temps marqués par une reprise des enquêtes pour abus de position dominante, la perspective a de quoi refroidir.

En outre, Pat Gelsinger a affirmé plusieurs fois qu’il n’était pas question de scinder Intel, même si certaines divisions pourraient être vendues, notamment Altera, pour laquelle Lattice Semiconductor s’est déjà positionnée. Qualcomm pourrait faire de même.

Enfin, les annonces des derniers jours ont probablement joué dans ce retrait. La subvention accordée à Intel, adossée à des conditions strictes sur le contrôle des usines, est en effet la clé de voûte d’une perfusion d’argent public indispensable au développement des activités de l’ex numéro un mondial des semiconducteurs.

Un nom plus mérité

Nouvelle mouture pour la distribution Linux elementary OS, qui ne change pas de recette générale. Cette version 8 apporte cependant une longue liste de petites améliorations qui peuvent faire la différence dans l’usage quotidien.

Nous avions pris en main les versions 6 et 7 d’elementary OS, système créé par la développeuse Danielle Foré. Basée sur les versions LTS d’Ubuntu, la distribution a son esthétique propre et se donne toujours pour objectif de simplifier autant que possible l’utilisation de l’ordinateur. Après une version 7 sortie le 31 janvier 2023, cette nouvelle mouture était donc attendue.

On passera assez vite sur la base technique, qui passe d’Ubuntu 22.04 à 24.04. Le noyau Linux 6.8 est présent et, bien qu’il ne s’agisse pas de la version la plus récente, il représente une nette évolution par rapport au noyau 5.15 fourni avec elementary OS 7.

Sur le plan des fonctions en revanche, il y a beaucoup plus à dire.

Du neuf un peu partout sur le bureau

En dehors d’une interface qui évolue globalement peu, mais qui se modernise avec notamment des effets de flous, des nouveautés importantes se cachent çà et là. L’une des principales – et l’une des plus souvent réclamées – est le changement du comportement de la touche Super (Windows). Elle ouvre désormais par défaut le menu des applications, plutôt que de simplement rappeler le fonctionnement des raccourcis.

CEDHDH

Il y a une semaine, on apprenait que le Conseil d’État validait l’autorisation de la CNIL au Health Data Hub de stocker l’entrepôt de données EMC2 dans Azure de Microsoft. La société Clever Cloud nous avait alors confié qu’elle porterait probablement l’affaire devant la Cour européenne des droits de l’Homme. Dont acte.

Bref rappel des faits. En début d’année, la CNIL a donné l’autorisation au Health Data Hub (HDH) de stocker un nouvel entrepôt de données dans Azure. Le HDH se sert en effet de la solution cloud de Microsoft pour l’ensemble de ses besoins. Le nouvel entrepôt, EMC2, contient les données de plusieurs établissements hospitaliers européens et est créé à des fins de recherche.

La décision avait fait bondir. Le député Philippe Latombe soulignait alors que la CNIL avait décidé dans la loi et n’avait donc pas le choix. En effet, le Data Privacy Framework établit une adéquation entre les cadres réglementaires européen et américain sur les données personnelles. Il invitait à lire entre les lignes de la décision et prophétisait alors que la décision serait attaquée devant le Conseil d’État.

• « Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft

Elle l’a effectivement été deux fois. Une première en référé, menée par un groupement d’entreprises, dont Clever Cloud, qui s’est soldée par un échec. Une seconde sur le fond, dont la décision a été rendue la semaine dernière : nouvel échec. Philippe Latombe nous indiquait alors ne pas être surpris, mais estimait que le Conseil d’État était dans l’erreur.

Clever Cloud n’avait alors pas réagi officiellement, mais envisageait sérieusement de saisir la CEDH.

« Refus de protéger les données de santé des Français »

Clever Cloud nous a bien annoncé hier soir saisir la Cour européenne des droits de l’Homme. Dans un communiqué qu’elle n’a pas encore publié sur son site mais qu’elle nous a transmis, elle rappelle que le traitement des données de santé par le HDH expose celles-ci « à de possibles interceptions par les services de renseignement américain en vertu de l’application extraterritoriale du droit du renseignement américain, et notamment du FISA Act ».

La société pointe, dans la décision du Conseil d’État, que le risque d’un accès aux données « par les autorités des États-Unis, sur le fondement des lois de ce pays, par l’intermédiaire de la société mère de l’hébergeur », ne peut être totalement exclu. Malgré cela, les risques n’ont pas été jugés suffisants pour remettre en cause le projet, déplore Clever Cloud.

Des garanties insuffisantes

Comme Philippe Latombe, la société critique les justifications du Conseil d’État : la pseudonymisation des données et la certification de Microsoft comme HDS (Hébergeur de données de santé), rendant obligatoires les audits réguliers.

Insuffisant pour Clever Cloud : « il est de doctrine courante que la pseudonymisation des données n’apporte aucune garantie définitive quant à la protection des données personnelles, encore moins au regard des capacités de traitement des Intelligences Artificielles qui facilitent considérablement la réidentification ».

Quant aux audits liés à l’accréditation HDS, ils « n’apportent aucune garantie supplémentaire face à des demandes d’accès extrajuridictionelles émises en particulier par la NSA et dont la spécificité est justement d’être couvertes par le secret ». Clever Cloud note également qu’aucune de ces justifications n’entre dans le cadre du RGPD.

« Aussi triste que prévisible »

Quentin Adam, CEO de Clever Cloud, dénonce une situation « aussi triste que prévisible ». « Malgré les Safe Harbor et Privacy Shield, voilà que nous validons le Health Data Hub (HDH) sans tirer les leçons du passé. Le refus de le soumettre à l’examen de la Cour de justice de l’Union européenne est un affront aux citoyens européens, qui révèle une réticence troublante à affronter les enjeux réels de notre souveraineté numérique », ajoute Quentin Adam.

Le patron évoque une « inertie politique » face à des faits « éloquents ». Il rappelle notamment la reconnaissance par Microsoft, devant la justice britannique, de son incapacité à garantir la confidentialité des données. « La vraie question n’est pas de savoir si cet accord échouera, son échec est déjà écrit », déclare Quentin Adam, en référence au Data Privacy Framework. « Mais quand l’Europe décidera-t-elle de transformer ses discours en actions concrètes pour enfin protéger nos valeurs et nos droits ? ».

Clever Cloud, avec les sociétés Nexedi, Rapid Space International, Cleyrop, l’association Open Internet Project, l’Association de défense des libertés constitutionnelles, l’association Les Licornes célestes, Benjamin Bayart, Bernard Benhamou, Quentin Adam et le Conseil national du logiciel libre saisissent en conséquence la CEDH. La bataille autour du dépôt EMC2 est donc loin d’être terminée.

CEDHDH

Il y a une semaine, on apprenait que le Conseil d’État validait l’autorisation de la CNIL au Health Data Hub de stocker l’entrepôt de données EMC2 dans Azure de Microsoft. La société Clever Cloud nous avait alors confié qu’elle porterait probablement l’affaire devant la Cour européenne des droits de l’Homme. Dont acte.

Bref rappel des faits. En début d’année, la CNIL a donné l’autorisation au Health Data Hub (HDH) de stocker un nouvel entrepôt de données dans Azure. Le HDH se sert en effet de la solution cloud de Microsoft pour l’ensemble de ses besoins. Le nouvel entrepôt, EMC2, contient les données de plusieurs établissements hospitaliers européens et est créé à des fins de recherche.

La décision avait fait bondir. Le député Philippe Latombe soulignait alors que la CNIL avait décidé dans la loi et n’avait donc pas le choix. En effet, le Data Privacy Framework établit une adéquation entre les cadres réglementaires européen et américain sur les données personnelles. Il invitait à lire entre les lignes de la décision et prophétisait alors que la décision serait attaquée devant le Conseil d’État.

• « Ça va être sanglant » : la CNIL autorise les données de santé chez Microsoft

Elle l’a effectivement été deux fois. Une première en référé, menée par un groupement d’entreprises, dont Clever Cloud, qui s’est soldée par un échec. Une seconde sur le fond, dont la décision a été rendue la semaine dernière : nouvel échec. Philippe Latombe nous indiquait alors ne pas être surpris, mais estimait que le Conseil d’État était dans l’erreur.

Clever Cloud n’avait alors pas réagi officiellement, mais envisageait sérieusement de saisir la CEDH.

« Refus de protéger les données de santé des Français »

Clever Cloud nous a bien annoncé hier soir saisir la Cour européenne des droits de l’Homme. Dans un communiqué qu’elle n’a pas encore publié sur son site mais qu’elle nous a transmis, elle rappelle que le traitement des données de santé par le HDH expose celles-ci « à de possibles interceptions par les services de renseignement américain en vertu de l’application extraterritoriale du droit du renseignement américain, et notamment du FISA Act ».

La société pointe, dans la décision du Conseil d’État, que le risque d’un accès aux données « par les autorités des États-Unis, sur le fondement des lois de ce pays, par l’intermédiaire de la société mère de l’hébergeur », ne peut être totalement exclu. Malgré cela, les risques n’ont pas été jugés suffisants pour remettre en cause le projet, déplore Clever Cloud.

Des garanties insuffisantes

Comme Philippe Latombe, la société critique les justifications du Conseil d’État : la pseudonymisation des données et la certification de Microsoft comme HDS (Hébergeur de données de santé), rendant obligatoires les audits réguliers.

Insuffisant pour Clever Cloud : « il est de doctrine courante que la pseudonymisation des données n’apporte aucune garantie définitive quant à la protection des données personnelles, encore moins au regard des capacités de traitement des Intelligences Artificielles qui facilitent considérablement la réidentification ».

Quant aux audits liés à l’accréditation HDS, ils « n’apportent aucune garantie supplémentaire face à des demandes d’accès extrajuridictionelles émises en particulier par la NSA et dont la spécificité est justement d’être couvertes par le secret ». Clever Cloud note également qu’aucune de ces justifications n’entre dans le cadre du RGPD.

« Aussi triste que prévisible »

Quentin Adam, CEO de Clever Cloud, dénonce une situation « aussi triste que prévisible ». « Malgré les Safe Harbor et Privacy Shield, voilà que nous validons le Health Data Hub (HDH) sans tirer les leçons du passé. Le refus de le soumettre à l’examen de la Cour de justice de l’Union européenne est un affront aux citoyens européens, qui révèle une réticence troublante à affronter les enjeux réels de notre souveraineté numérique », ajoute Quentin Adam.

Le patron évoque une « inertie politique » face à des faits « éloquents ». Il rappelle notamment la reconnaissance par Microsoft, devant la justice britannique, de son incapacité à garantir la confidentialité des données. « La vraie question n’est pas de savoir si cet accord échouera, son échec est déjà écrit », déclare Quentin Adam, en référence au Data Privacy Framework. « Mais quand l’Europe décidera-t-elle de transformer ses discours en actions concrètes pour enfin protéger nos valeurs et nos droits ? ».

Clever Cloud, avec les sociétés Nexedi, Rapid Space International, Cleyrop, l’association Open Internet Project, l’Association de défense des libertés constitutionnelles, l’association Les Licornes célestes, Benjamin Bayart, Bernard Benhamou, Quentin Adam et le Conseil national du logiciel libre saisissent en conséquence la CEDH. La bataille autour du dépôt EMC2 est donc loin d’être terminée.

Une polémique a explosé durant le week-end dernier : Microsoft se servirait des documents Word et Excel pour entrainer ses grands modèles de langage. L’éditeur dément et argue d’une mauvaise compréhension. Pour autant, tout n’est pas aussi clair que l’entreprise le voudrait.

Mise à jour du 29 novembre : Microsoft nous a répondu, avec des explications plus claires que ce qui avait déjà été indiqué à d’autres : « Ces affirmations sont fausses. Microsoft n’utilise pas les données des clients des applications professionnelles et grand public de Microsoft 365 pour entraîner des grands modèles de langages (LLM) fondamentaux. Dans certains cas, les clients peuvent consentir à l’utilisation de leurs données pour répondre à des besoins spécifiques, tels que le développement de modèles personnalisés, à la demande expresse de certains clients professionnels. »

La société ajoute que le « paramètre de Microsoft 365 qui porte le nom de « Connected Experiences » et auquel certains ont fait référence récemment n’a aucun lien avec la façon dont Microsoft entraîne les grands modèles de langages fondamentaux ». Elle rappelle le fonctionnement des Expériences connectées (qui existent depuis avril 2019), ce que nous avons expliqué dans la première version de cet article.

Article original du 28 novembre : Microsoft a un problème depuis plusieurs jours. Le 24 novembre, le compte NixCraft, suivi par plus de 374 000 abonnés, a publié sur X un message de mise en garde :

« Microsoft Office, comme de nombreuses entreprises ces derniers mois, a sournoisement activé une fonction « opt-out » qui récupère vos documents Word et Excel pour entraîner ses systèmes d’intelligence artificielle internes. Cette fonction est activée par défaut et vous devez décocher manuellement une case pour la désactiver.  Si vous êtes un écrivain qui utilise MS Word pour rédiger des contenus propriétaires (articles de blog, romans, ou tout autre travail que vous avez l’intention de protéger par des droits d’auteur et/ou de vendre), vous voudrez désactiver cette fonction immédiatement. »

De quelle fonction s’agit-il ? Des Expériences connectées. Pourtant, ces dernières existent depuis longtemps. Sur son site, Microsoft dresse ainsi la liste de ces fameuses expériences. Elles contiennent tout ce qui touche de près ou de loin à une fonction en ligne au sein des applications Office. Parmi ces fonctions, on retrouve tout appel à des données extérieures, la dictée, l’Assistant de rédaction (donc la correction orthographique et grammaticale), la lecture à haute voix, la vérification de similarité, la transcription d’enregistrements ou encore la co-création de documents.

Ces fonctions sont disponibles dans les versions Windows et Mac d’Office, ainsi que dans les versions en ligne de la suite bureautique.

Analyse des données contre entraînement

Rapidement, la publication sur X a généré de nombreuses réactions outrées, mais pas seulement. Des voix ont commencé à signaler que les Expériences connectées n’étaient pas nouvelles, et que cette utilisation des données à des fins d’entrainement de LLM n’était pas mentionnée.

Dans sa déclaration de confidentialité, Microsoft indique en effet que les données peuvent être utilisées à des fins d’analyse, afin que les fonctions appelées puissent produire leur effet. En revanche, rien n’indique qu’elles sont récupérées pour les grands modèles de langage, contrairement à d’autres services comme Copilot ou LinkedIn.

Microsoft répond, mais…

Pour apaiser le débat, Microsoft a d’abord répondu à NixCraft le 25 novembre : « Dans les applications M365, nous n’utilisons pas les données des clients pour former les LLM. Ce paramètre n’active que les fonctions nécessitant un accès à Internet, comme la co-écriture d’un document ». La société y a ajouté le lien dressant la liste des Expériences connectées.

Parallèlement, elle a communiqué à plusieurs américains un message qu’elle voulait tout aussi clair : « Microsoft n’utilise pas les données des clients des applications grand public et commerciales de Microsoft 365 pour former de grands modèles de langage. En outre, le paramètre Connected Services n’a aucun lien avec la manière dont Microsoft entraîne les grands modèles de langage ».

Selon les sites, on trouve plus ou moins de renseignements supplémentaires. À How-To Geek, un porte-parole a ajouté : « Le paramètre Connected Services est un paramètre standard de l’industrie qui permet d’activer des fonctions nécessitant une connexion Internet. Les expériences connectées jouent un rôle important dans l’amélioration de la productivité en intégrant votre contenu aux ressources disponibles sur le web ».

Mais l’entreprise a également varié dans ses déclarations. À The Register, elle a indiqué : « Dans les applications grand public et commerciales de Microsoft 365, Microsoft n’utilise pas les données des clients pour former de grands modèles de langage sans leur permission ».

Opt-in ? Opt-out ? Manque de clarté ?

Nous avons contacté Microsoft pour obtenir des précisions sur cette déclaration. En l’état, on ne sait pas vraiment ce que la société a voulu dire. Il pourrait s’agir d’un simple problème de communication, ou effectivement d’une option. Dans ce cas, s’agit-il d’un réglage en opt-in ou opt-out ?

On peut facilement vérifier ce qui est activé dans Office. Sous Windows, depuis le menu Fichier d’une des applications, il faut se rendre dans le panneau Compte. De là, on clique sur Gérer les paramètres. Une fenêtre s’ouvre, dans laquelle on peut faire défiler les réglages proposés. On trouve un peu plus bas l’option liée aux Expériences connectées, qui « analysent votre contenu ». Elle est activée par défaut.

Rappelons que l’on peut également voir l’ensemble des paramètres de confidentialité du compte Microsoft depuis cette page (il faut se connecter).

Nous mettrons cette actualité à jour quand l’entreprise nous aura répondu.

Une polémique a explosé durant le week-end dernier : Microsoft se servirait des documents Word et Excel pour entrainer ses grands modèles de langage. L’éditeur dément et argue d’une mauvaise compréhension. Pour autant, tout n’est pas aussi clair que l’entreprise le voudrait.

Mise à jour du 29 novembre : Microsoft nous a répondu, avec des explications plus claires que ce qui avait déjà été indiqué à d’autres : « Ces affirmations sont fausses. Microsoft n’utilise pas les données des clients des applications professionnelles et grand public de Microsoft 365 pour entraîner des grands modèles de langages (LLM) fondamentaux. Dans certains cas, les clients peuvent consentir à l’utilisation de leurs données pour répondre à des besoins spécifiques, tels que le développement de modèles personnalisés, à la demande expresse de certains clients professionnels. »

La société ajoute que le « paramètre de Microsoft 365 qui porte le nom de « Connected Experiences » et auquel certains ont fait référence récemment n’a aucun lien avec la façon dont Microsoft entraîne les grands modèles de langages fondamentaux ». Elle rappelle le fonctionnement des Expériences connectées (qui existent depuis avril 2019), ce que nous avons expliqué dans la première version de cet article.

Article original du 28 novembre : Microsoft a un problème depuis plusieurs jours. Le 24 novembre, le compte NixCraft, suivi par plus de 374 000 abonnés, a publié sur X un message de mise en garde :

« Microsoft Office, comme de nombreuses entreprises ces derniers mois, a sournoisement activé une fonction « opt-out » qui récupère vos documents Word et Excel pour entraîner ses systèmes d’intelligence artificielle internes. Cette fonction est activée par défaut et vous devez décocher manuellement une case pour la désactiver.  Si vous êtes un écrivain qui utilise MS Word pour rédiger des contenus propriétaires (articles de blog, romans, ou tout autre travail que vous avez l’intention de protéger par des droits d’auteur et/ou de vendre), vous voudrez désactiver cette fonction immédiatement. »

De quelle fonction s’agit-il ? Des Expériences connectées. Pourtant, ces dernières existent depuis longtemps. Sur son site, Microsoft dresse ainsi la liste de ces fameuses expériences. Elles contiennent tout ce qui touche de près ou de loin à une fonction en ligne au sein des applications Office. Parmi ces fonctions, on retrouve tout appel à des données extérieures, la dictée, l’Assistant de rédaction (donc la correction orthographique et grammaticale), la lecture à haute voix, la vérification de similarité, la transcription d’enregistrements ou encore la co-création de documents.

Ces fonctions sont disponibles dans les versions Windows et Mac d’Office, ainsi que dans les versions en ligne de la suite bureautique.

Analyse des données contre entraînement

Rapidement, la publication sur X a généré de nombreuses réactions outrées, mais pas seulement. Des voix ont commencé à signaler que les Expériences connectées n’étaient pas nouvelles, et que cette utilisation des données à des fins d’entrainement de LLM n’était pas mentionnée.

Dans sa déclaration de confidentialité, Microsoft indique en effet que les données peuvent être utilisées à des fins d’analyse, afin que les fonctions appelées puissent produire leur effet. En revanche, rien n’indique qu’elles sont récupérées pour les grands modèles de langage, contrairement à d’autres services comme Copilot ou LinkedIn.

Microsoft répond, mais…

Pour apaiser le débat, Microsoft a d’abord répondu à NixCraft le 25 novembre : « Dans les applications M365, nous n’utilisons pas les données des clients pour former les LLM. Ce paramètre n’active que les fonctions nécessitant un accès à Internet, comme la co-écriture d’un document ». La société y a ajouté le lien dressant la liste des Expériences connectées.

Parallèlement, elle a communiqué à plusieurs américains un message qu’elle voulait tout aussi clair : « Microsoft n’utilise pas les données des clients des applications grand public et commerciales de Microsoft 365 pour former de grands modèles de langage. En outre, le paramètre Connected Services n’a aucun lien avec la manière dont Microsoft entraîne les grands modèles de langage ».

Selon les sites, on trouve plus ou moins de renseignements supplémentaires. À How-To Geek, un porte-parole a ajouté : « Le paramètre Connected Services est un paramètre standard de l’industrie qui permet d’activer des fonctions nécessitant une connexion Internet. Les expériences connectées jouent un rôle important dans l’amélioration de la productivité en intégrant votre contenu aux ressources disponibles sur le web ».

Mais l’entreprise a également varié dans ses déclarations. À The Register, elle a indiqué : « Dans les applications grand public et commerciales de Microsoft 365, Microsoft n’utilise pas les données des clients pour former de grands modèles de langage sans leur permission ».

Opt-in ? Opt-out ? Manque de clarté ?

Nous avons contacté Microsoft pour obtenir des précisions sur cette déclaration. En l’état, on ne sait pas vraiment ce que la société a voulu dire. Il pourrait s’agir d’un simple problème de communication, ou effectivement d’une option. Dans ce cas, s’agit-il d’un réglage en opt-in ou opt-out ?

On peut facilement vérifier ce qui est activé dans Office. Sous Windows, depuis le menu Fichier d’une des applications, il faut se rendre dans le panneau Compte. De là, on clique sur Gérer les paramètres. Une fenêtre s’ouvre, dans laquelle on peut faire défiler les réglages proposés. On trouve un peu plus bas l’option liée aux Expériences connectées, qui « analysent votre contenu ». Elle est activée par défaut.

Rappelons que l’on peut également voir l’ensemble des paramètres de confidentialité du compte Microsoft depuis cette page (il faut se connecter).

Nous mettrons cette actualité à jour quand l’entreprise nous aura répondu.

Bluesky a actuellement le vent en poupe. Devant l’arrivée de millions de nouveaux utilisateurs, le réseau a quadruplé la taille de son équipe de modération, tandis que la Commission européenne surveille une potentielle future application du DSA.

• Bluesky est-il décentralisé ?

Bluesky a également précisé mi-novembre que les données des utilisateurs ne seraient pas utilisées. « Nous n’utilisons aucun de vos contenus pour entraîner l’IA générative, et nous n’avons pas l’intention de le faire », a ainsi promis l’entreprise. Dans un autre message, elle a précisé que l’IA était utilisée pour l’aide à la modération et pour le flux algorithmique Discover.

Hier cependant, la société a publié quelques précisions importantes, notamment l’aspect public des informations qui y sont publiées, ce que nous relevions dans un récent article. Traduction : ce n’est pas parce que Bluesky n’utilisera pas les données de ses utilisateurs que d’autres ne se gêneront pas pour les aspirer.

Bluesky indique donc réfléchir à l’arrivée d’un nouveau paramètre qui, à l’instar du fichier robots.txt des sites web, pourrait indiquer si les données d’un compte peuvent être reprises. « Par exemple, cela pourrait ressembler à un paramètre qui permet aux utilisateurs de Bluesky de spécifier s’ils consentent à ce que des développeurs externes utilisent leur contenu dans des ensembles de données d’entraînement à l’IA. Bluesky ne sera pas en mesure de faire respecter ce consentement en dehors de nos systèmes », a expliqué le réseau.

Problème, « il appartiendra aux développeurs extérieurs de respecter ces paramètres ». En d’autres termes, le respect de ce choix ne sera pas garanti. Certains se penchent déjà sur le filon, comme l’a rapporté 404 Media il y a deux jours. Un « bibliothécaire de machine learning » de Hugging Face, Daniel van Strien, a ainsi aspiré un million de publications à des fins de recherches. Suite à la polémique qui a suivi, il a supprimé les données dans son dépôt et s’est excusé d’avoir « violé les principes de transparence et de consentement dans la collecte de données ».