Comme prévu, Apple commence la diffusion des versions finales pour ses nouvelles plateformes. Elles sont toutes estampillées 26, afin d’harmoniser les numéros entre les systèmes, Apple prenant pour référence l’année à venir. iOS passe ainsi de la version 18 à la 26.
La nouveauté la plus visible et commune à toutes les plateformes est la nouvelle interface Liquid Glass, qui a fait couler beaucoup d’encre. Apple sort de sa période « flat » sobre pour tenter l’aventure du verre plus ou moins dépoli, avec de nombreux effets liés. Liquid Glass a été largement critiquée pendant la phase bêta pour des problèmes de lisibilité et d’accessibilité, mais elle semble là pour durer. On pourrait faire un parallèle avec iOS 7 et la première incarnation du flat design chez Apple, qui avait défrayé la chronique en son temps.
iOS 26 introduit notamment une nouvelle application Téléphone, qui permet de mieux gérer l’historique des appels. Elle peut regrouper les appels en absence et peut filtrer automatiquement tous ceux en provenance de numéros inconnus, avec plusieurs possibilités. On peut choisir par exemple de les envoyer directement sur le répondeur. Citons également l’alimentation adaptative, des informations beaucoup plus détaillées sur l’autonomie, les applications Aperçu et Jeux vidéo, de la personnalisation dans Messages, la traduction automatique des paroles dans Music, etc.
iPadOS 26 récupère ces apports et en ajoute d’autres. La nouvelle version est réellement majeure : toutes les applications peuvent passer sous forme de fenêtre via un glissement leur coin inférieur droit. On peut alors les déplacer librement, la contrôler via les trois boutons colorés typiques de macOS, utiliser la barre de menus, agencer les fenêtres via des options de tiling et profiter de la vue Exposé.
macOS 26, nommé Tahoe, reprend l’application Téléphone complète, en lieu et place de FaceTime. Surtout, Spotlight et Raccourcis font leur petite révolution. Le premier devient une palette complète de commandes, avec possibilité de créer des raccourcis personnalisés et de reprendre les actions suggérées par Apple Intelligence. Idem pour Raccourcis, qui peut maintenant agir sur un plus grand nombre d’objets. Toutes les actions liées au bouquet IA lui sont également accessibles. Par exemple, si Apple Intelligence détecte qu’une transcription a souvent lieu après avoir enregistré l’audio d’un cours, Raccourcis pourra suggérer une action pour enchainer automatiquement les actions, avec export et envoi du document sur une destination choisie.
Quant à watchOS et tvOS, leurs nouveautés sont plus discrètes. Pour la montre connectée, on peut noter Workout Buddy, censé encourager dans la pratique sportive, l’arrivée de Notes, des suggestions d’activités et de listes musicales ou encore une révision des notifications, qui se veulent moins intrusives.
Comme prévu, Apple commence la diffusion des versions finales pour ses nouvelles plateformes. Elles sont toutes estampillées 26, afin d’harmoniser les numéros entre les systèmes, Apple prenant pour référence l’année à venir. iOS passe ainsi de la version 18 à la 26.
La nouveauté la plus visible et commune à toutes les plateformes est la nouvelle interface Liquid Glass, qui a fait couler beaucoup d’encre. Apple sort de sa période « flat » sobre pour tenter l’aventure du verre plus ou moins dépoli, avec de nombreux effets liés. Liquid Glass a été largement critiquée pendant la phase bêta pour des problèmes de lisibilité et d’accessibilité, mais elle semble là pour durer. On pourrait faire un parallèle avec iOS 7 et la première incarnation du flat design chez Apple, qui avait défrayé la chronique en son temps.
iOS 26 introduit notamment une nouvelle application Téléphone, qui permet de mieux gérer l’historique des appels. Elle peut regrouper les appels en absence et peut filtrer automatiquement tous ceux en provenance de numéros inconnus, avec plusieurs possibilités. On peut choisir par exemple de les envoyer directement sur le répondeur. Citons également l’alimentation adaptative, des informations beaucoup plus détaillées sur l’autonomie, les applications Aperçu et Jeux vidéo, de la personnalisation dans Messages, la traduction automatique des paroles dans Music, etc.
iPadOS 26 récupère ces apports et en ajoute d’autres. La nouvelle version est réellement majeure : toutes les applications peuvent passer sous forme de fenêtre via un glissement leur coin inférieur droit. On peut alors les déplacer librement, la contrôler via les trois boutons colorés typiques de macOS, utiliser la barre de menus, agencer les fenêtres via des options de tiling et profiter de la vue Exposé.
macOS 26, nommé Tahoe, reprend l’application Téléphone complète, en lieu et place de FaceTime. Surtout, Spotlight et Raccourcis font leur petite révolution. Le premier devient une palette complète de commandes, avec possibilité de créer des raccourcis personnalisés et de reprendre les actions suggérées par Apple Intelligence. Idem pour Raccourcis, qui peut maintenant agir sur un plus grand nombre d’objets. Toutes les actions liées au bouquet IA lui sont également accessibles. Par exemple, si Apple Intelligence détecte qu’une transcription a souvent lieu après avoir enregistré l’audio d’un cours, Raccourcis pourra suggérer une action pour enchainer automatiquement les actions, avec export et envoi du document sur une destination choisie.
Quant à watchOS et tvOS, leurs nouveautés sont plus discrètes. Pour la montre connectée, on peut noter Workout Buddy, censé encourager dans la pratique sportive, l’arrivée de Notes, des suggestions d’activités et de listes musicales ou encore une révision des notifications, qui se veulent moins intrusives.
Linux Mint 22.2, alias Zara, est sortie il y a moins de deux semaines, apportant avec elle le support des empreintes digitales pour l’authentification, une meilleure prise en charge de libadwaita ainsi qu’une série d’améliorations visuelles.
On sait désormais que la prochaine version, estampillée 22.3, est prévue pour décembre. L’annonce a été faite par Clément Lefebvre (créateur de Linux Mint et développeur principal) dans sa lettre mensuelle. La mouture proposera notamment le nouveau menu principal pour Cinnamon, comme nous l’indiquions en mars. On y trouvera également un nouvel applet d’état et le support de Wayland pour les dispositions de claviers et autres méthodes de saisie.
Pour une partie des utilisateurs, c’est surtout la Linux Mint Debian Edition 7 (LMDE 7) qui est attendue. La bêta est attendue avant la fin du mois et est donc imminente. Le système sera basé sur Debian 13 (« Trixie ») et représentera donc une vaste modernisation. L’équipe de développement lui ajoutera les dernières améliorations vues sur Linux Mint 22.2.
Cette Debian Edition 7 n’existera qu’en version amd64, l’équipe de Mint suivant la disparition du i386 sur Debian. Il faut également noter que si Mint reprend le socle Debian tel qu’il est actuellement, alors LMDE 7 sera fourni avec un noyau Linux 6.12 (LTS), soit une version moins récente que la 6.14 de Linux Mint 22.3.
Linux Mint 22.2, alias Zara, est sortie il y a moins de deux semaines, apportant avec elle le support des empreintes digitales pour l’authentification, une meilleure prise en charge de libadwaita ainsi qu’une série d’améliorations visuelles.
On sait désormais que la prochaine version, estampillée 22.3, est prévue pour décembre. L’annonce a été faite par Clément Lefebvre (créateur de Linux Mint et développeur principal) dans sa lettre mensuelle. La mouture proposera notamment le nouveau menu principal pour Cinnamon, comme nous l’indiquions en mars. On y trouvera également un nouvel applet d’état et le support de Wayland pour les dispositions de claviers et autres méthodes de saisie.
Pour une partie des utilisateurs, c’est surtout la Linux Mint Debian Edition 7 (LMDE 7) qui est attendue. La bêta est attendue avant la fin du mois et est donc imminente. Le système sera basé sur Debian 13 (« Trixie ») et représentera donc une vaste modernisation. L’équipe de développement lui ajoutera les dernières améliorations vues sur Linux Mint 22.2.
Cette Debian Edition 7 n’existera qu’en version amd64, l’équipe de Mint suivant la disparition du i386 sur Debian. Il faut également noter que si Mint reprend le socle Debian tel qu’il est actuellement, alors LMDE 7 sera fourni avec un noyau Linux 6.12 (LTS), soit une version moins récente que la 6.14 de Linux Mint 22.3.
Dans l’après-midi du 8 septembre, une attaque a eu lieu contre la chaine d’approvisionnement de plusieurs paquets NPM. Les dégâts ont été limités et tout est vite rentré dans l’ordre. Mais les conséquences auraient pu être bien pires, limitées uniquement par les compétences des pirates. L’affaire relance les débats autour de l’authentification et du contrôle de la provenance des modifications.
Elle est qualifiée désormais de plus grande attaque contre la chaine d’approvisionnement jamais enregistrée. Une telle attaque consiste pour rappel à viser la chaine menant à la production d’un logiciel ou d’un service. Si elle aboutit, un code se retrouve distribué ou mis à disposition des victimes, qui croient récupérer un logiciel, la dernière version d’un composant, etc. Elle permet d’arroser un nombre important de personnes, d’autant plus que le composant ou logiciel est populaire.
Dans l’après-midi du lundi 8 septembre, des pirates ont ainsi compromis le compte NPM (Node Packet Manager, gestionnaire de paquet par défaut pour Node.js) d’un développeur. La récupération des accès leur a permis d’infecter le code de 18 paquets : backslash, chalk-template, supports-hyperlinks, has-ansi, simple-swizzle, color-string, error-ex, color-name, is-arrayish, slice-ansi, color-convert, wrap-ansi, ansi-regex, supports-color, strip-ansi, chalk, debug, ansi-styles.
Certains sont téléchargés des centaines de millions de fois par semaine. Pourtant, tout a été réglé en deux heures environ et la casse a été limitée. Que s’est-il passé ?
L’ingénierie sociale, toujours elle
L’histoire commence avec une détection de l’entreprise belge Aikido. Elle est spécialisée dans la sécurité, et plus particulièrement dans la surveillance des mises à jour de code dans les principaux dépôts open source. Comme elle raconte dans un billet de blog, elle détecte le 8 septembre à 15h16 (heure de Paris) des modifications suspicieuses dans 18 paquets. Ils sont très populaires sur NPM : ensemble, ils cumulent deux milliards de téléchargements par semaine.
L’analyse du code révèle sa fonction : intercepter silencieusement l’activité crypto et web3 dans le navigateur, manipuler les interactions avec le portefeuille et rediriger les paiements vers des comptes contrôlés par les pirates. Le code malveillant peut détourner à la fois le trafic réseau et les API des applications, indique Aikido. « Ce qui le rend dangereux, c’est qu’il fonctionne à plusieurs niveaux : modifier le contenu affiché sur les sites Web, falsifier les appels API et manipuler ce que les applications des utilisateurs croient signer », ajoute l’entreprise.
La société belge indique avoir alors contacté le développeur concerné, Josh Junon, surnommé Qix. Celui-ci répond alors qu’il a découvert avoir été piraté. Comme il l’indique lui-même dans un message sur BlueSky deux heures plus tard, il dit avoir été victime d’un email qui l’invitait à réinitialiser ses codes d’authentification à deux facteurs (2FA). Le courrier semblait parfaitement légitime selon lui, avec un lien renvoyant vers une copie conforme de la page de connexion de NPM. Cette page interceptait les informations d’authentification et le jeton 2FA pour les envoyer aux pirates. Après quoi, ces derniers ont simplement modifié l’adresse de connexion utilisée pour se connecter à NPM.
Le 9 septembre, Josh Junon a publié un message d’excuses sur Hacker News, dans lequel il admet honteusement : « yep I got pwned ». Le même jour, jFrog indiquait de son côté que la campagne continuait et que de nouveaux paquets contaminés avaient été découverts, dont DuckDB. Toujours le 9 septembre, SlowMist avertissait que d’autres développeurs recevaient le même e-mail, signe que Josh Junon n’était pas un cas isolé.
Tout s’enchaine très vite
Une chaine d’approvisionnement contaminée sur des paquets aussi populaires aurait constitué une catastrophe pour de nombreux produits. Ces attaques sont notamment très efficaces contre des composants impliqués dans le web de manière générale. Or, avec la multiplication des applications web encapsulées, cela pouvait signifier une diffusion à très grande échelle du code vérolé. Pourtant, tout s’est achevé en quelques heures, sans grande casse.
Sur le blog de la Security Alliance, on peut lire dans le billet du 9 septembre une note ironisant sur les 5 cents d’ETH ou encore les 20 dollars d’un memecoin. Dans les heures qui ont suivi la compromission, seuls 588 dollars de transactions auraient été détectés. Ce qui fait dire à l’Alliance que le plus gros impact financier de l’attaque réside finalement dans « les milliers d’heures passées collectivement par les équipes d’ingénierie et de sécurité du monde entier à nettoyer les environnements compromis, et les millions de dollars de contrats de vente qui seront inévitablement signés à la suite de cette nouvelle étude de cas ».
Cité par Brian Krebs, le pentester Philippe Catureli, responsable sécurité chez Seralys, s’en étonne également : « Ce qui est fou, c’est qu’ils ont compromis des milliards de sites Web et d’applications juste pour cibler quelques crypto-monnaies. Il s’agissait d’une attaque de la chaîne d’approvisionnement, et cela aurait facilement pu être quelque chose de bien pire que la récolte de crypto-monnaies ».
Même son de cloche chez Florian Roth, chercheur en sécurité chez Nextron Systems : « Étant donné que la plupart des entreprises exécutent au moins une application React ou Angular, elles ont eu la possibilité d’exécuter du code sur des millions de systèmes dans des milliers d’organisations. Et ils l’ont utilisé pour lacher un voleur de cryptomonnaies obscurci de manière amateur, ont été attrapés par des règles élémentaires de détection, et le problème a été résolu après 2 heures ». Pas mieux du côté du chercheur Kevin Beaumont.
L’authentification des développeurs à nouveau en question
Dans son billet de blog, Aikido relève également le vaste danger évité de peu. De faibles conséquences qui ne semblent dues qu’au manque de compétences des pirates, en dépit de leur réussite sur la chaine d’approvisionnement.
Pour montrer à quel point ce type d’incident peut être grave, la société belge rappelle une autre compromission qui s’est déroulée fin août. Là aussi, un autre développeur NPM avait été visé, permettant la récupération de ses identifiants et l’insertion d’un code malveillant dans nx, une boite à outils pour le développement open source, totalisant six millions de téléchargements par semaine.
Le code malveillant avait servi à analyser l’ordinateur du développeur pour y récupérer des jetons d’authentification, ainsi que des clés SSH et API. Ces informations n’ont cependant pas été transmises aux pirates : elles ont été publiées dans un référentiel public créé pour l’occasion dans le compte GitHub du développeur, afin qu’elles soient visibles de tous et téléchargeables.
À Brian Krebs, Charlie Eriksen, chercheur chez Aikido, affirme que tous les paquets les plus populaires devraient exiger des attestations pour les modifications de code. De manière plus générale, il est d’avis que des plateformes comme GitHub et NPM devraient relever le niveau de sécurité, en s’assurant que les commits (une proposition de modification du code, pour schématiser) sont proposés par des personnes étant bien qui elles prétendent être.
S’il s’en est fallu de peu pour échapper à une catastrophe, les évènements ne semblent pas avoir surpris les chercheurs en sécurité, qui répètent les mêmes éléments depuis des années. Kevin Beaumont s’en moquait justement avec acidité, rappelant – encore une fois – que certaines des briques logicielles les plus utilisées ne sont gérées que par une poignée de personnes. Renvoyant une fois de plus au célèbre dessin de xkcd sur les dépendances.
Rappelons également que l’authentification à facteurs multiples, si elle apporte un gain majeur de protection, n’est pas absolue. En août 2022, Microsoft avait expliqué en détail par exemple comment un acteur malveillant avait mis en place toute une infrastructure pour récupérer des jetons d’authentification, via notamment des serveurs mimant un comportement légitime. Ce type d’attaque passe systématiquement par la compromission d’une personne, le plus souvent par un e-mail soigneusement préparé.
Dans l’après-midi du 8 septembre, une attaque a eu lieu contre la chaine d’approvisionnement de plusieurs paquets NPM. Les dégâts ont été limités et tout est vite rentré dans l’ordre. Mais les conséquences auraient pu être bien pires, limitées uniquement par les compétences des pirates. L’affaire relance les débats autour de l’authentification et du contrôle de la provenance des modifications.
Elle est qualifiée désormais de plus grande attaque contre la chaine d’approvisionnement jamais enregistrée. Une telle attaque consiste pour rappel à viser la chaine menant à la production d’un logiciel ou d’un service. Si elle aboutit, un code se retrouve distribué ou mis à disposition des victimes, qui croient récupérer un logiciel, la dernière version d’un composant, etc. Elle permet d’arroser un nombre important de personnes, d’autant plus que le composant ou logiciel est populaire.
Dans l’après-midi du lundi 8 septembre, des pirates ont ainsi compromis le compte NPM (Node Packet Manager, gestionnaire de paquet par défaut pour Node.js) d’un développeur. La récupération des accès leur a permis d’infecter le code de 18 paquets : backslash, chalk-template, supports-hyperlinks, has-ansi, simple-swizzle, color-string, error-ex, color-name, is-arrayish, slice-ansi, color-convert, wrap-ansi, ansi-regex, supports-color, strip-ansi, chalk, debug, ansi-styles.
Certains sont téléchargés des centaines de millions de fois par semaine. Pourtant, tout a été réglé en deux heures environ et la casse a été limitée. Que s’est-il passé ?
L’ingénierie sociale, toujours elle
L’histoire commence avec une détection de l’entreprise belge Aikido. Elle est spécialisée dans la sécurité, et plus particulièrement dans la surveillance des mises à jour de code dans les principaux dépôts open source. Comme elle raconte dans un billet de blog, elle détecte le 8 septembre à 15h16 (heure de Paris) des modifications suspicieuses dans 18 paquets. Ils sont très populaires sur NPM : ensemble, ils cumulent deux milliards de téléchargements par semaine.
L’analyse du code révèle sa fonction : intercepter silencieusement l’activité crypto et web3 dans le navigateur, manipuler les interactions avec le portefeuille et rediriger les paiements vers des comptes contrôlés par les pirates. Le code malveillant peut détourner à la fois le trafic réseau et les API des applications, indique Aikido. « Ce qui le rend dangereux, c’est qu’il fonctionne à plusieurs niveaux : modifier le contenu affiché sur les sites Web, falsifier les appels API et manipuler ce que les applications des utilisateurs croient signer », ajoute l’entreprise.
La société belge indique avoir alors contacté le développeur concerné, Josh Junon, surnommé Qix. Celui-ci répond alors qu’il a découvert avoir été piraté. Comme il l’indique lui-même dans un message sur BlueSky deux heures plus tard, il dit avoir été victime d’un email qui l’invitait à réinitialiser ses codes d’authentification à deux facteurs (2FA). Le courrier semblait parfaitement légitime selon lui, avec un lien renvoyant vers une copie conforme de la page de connexion de NPM. Cette page interceptait les informations d’authentification et le jeton 2FA pour les envoyer aux pirates. Après quoi, ces derniers ont simplement modifié l’adresse de connexion utilisée pour se connecter à NPM.
Le 9 septembre, Josh Junon a publié un message d’excuses sur Hacker News, dans lequel il admet honteusement : « yep I got pwned ». Le même jour, jFrog indiquait de son côté que la campagne continuait et que de nouveaux paquets contaminés avaient été découverts, dont DuckDB. Toujours le 9 septembre, SlowMist avertissait que d’autres développeurs recevaient le même e-mail, signe que Josh Junon n’était pas un cas isolé.
Tout s’enchaine très vite
Une chaine d’approvisionnement contaminée sur des paquets aussi populaires aurait constitué une catastrophe pour de nombreux produits. Ces attaques sont notamment très efficaces contre des composants impliqués dans le web de manière générale. Or, avec la multiplication des applications web encapsulées, cela pouvait signifier une diffusion à très grande échelle du code vérolé. Pourtant, tout s’est achevé en quelques heures, sans grande casse.
Sur le blog de la Security Alliance, on peut lire dans le billet du 9 septembre une note ironisant sur les 5 cents d’ETH ou encore les 20 dollars d’un memecoin. Dans les heures qui ont suivi la compromission, seuls 588 dollars de transactions auraient été détectés. Ce qui fait dire à l’Alliance que le plus gros impact financier de l’attaque réside finalement dans « les milliers d’heures passées collectivement par les équipes d’ingénierie et de sécurité du monde entier à nettoyer les environnements compromis, et les millions de dollars de contrats de vente qui seront inévitablement signés à la suite de cette nouvelle étude de cas ».
Cité par Brian Krebs, le pentester Philippe Catureli, responsable sécurité chez Seralys, s’en étonne également : « Ce qui est fou, c’est qu’ils ont compromis des milliards de sites Web et d’applications juste pour cibler quelques crypto-monnaies. Il s’agissait d’une attaque de la chaîne d’approvisionnement, et cela aurait facilement pu être quelque chose de bien pire que la récolte de crypto-monnaies ».
Même son de cloche chez Florian Roth, chercheur en sécurité chez Nextron Systems : « Étant donné que la plupart des entreprises exécutent au moins une application React ou Angular, elles ont eu la possibilité d’exécuter du code sur des millions de systèmes dans des milliers d’organisations. Et ils l’ont utilisé pour lacher un voleur de cryptomonnaies obscurci de manière amateur, ont été attrapés par des règles élémentaires de détection, et le problème a été résolu après 2 heures ». Pas mieux du côté du chercheur Kevin Beaumont.
L’authentification des développeurs à nouveau en question
Dans son billet de blog, Aikido relève également le vaste danger évité de peu. De faibles conséquences qui ne semblent dues qu’au manque de compétences des pirates, en dépit de leur réussite sur la chaine d’approvisionnement.
Pour montrer à quel point ce type d’incident peut être grave, la société belge rappelle une autre compromission qui s’est déroulée fin août. Là aussi, un autre développeur NPM avait été visé, permettant la récupération de ses identifiants et l’insertion d’un code malveillant dans nx, une boite à outils pour le développement open source, totalisant six millions de téléchargements par semaine.
Le code malveillant avait servi à analyser l’ordinateur du développeur pour y récupérer des jetons d’authentification, ainsi que des clés SSH et API. Ces informations n’ont cependant pas été transmises aux pirates : elles ont été publiées dans un référentiel public créé pour l’occasion dans le compte GitHub du développeur, afin qu’elles soient visibles de tous et téléchargeables.
À Brian Krebs, Charlie Eriksen, chercheur chez Aikido, affirme que tous les paquets les plus populaires devraient exiger des attestations pour les modifications de code. De manière plus générale, il est d’avis que des plateformes comme GitHub et NPM devraient relever le niveau de sécurité, en s’assurant que les commits (une proposition de modification du code, pour schématiser) sont proposés par des personnes étant bien qui elles prétendent être.
S’il s’en est fallu de peu pour échapper à une catastrophe, les évènements ne semblent pas avoir surpris les chercheurs en sécurité, qui répètent les mêmes éléments depuis des années. Kevin Beaumont s’en moquait justement avec acidité, rappelant – encore une fois – que certaines des briques logicielles les plus utilisées ne sont gérées que par une poignée de personnes. Renvoyant une fois de plus au célèbre dessin de xkcd sur les dépendances.
Rappelons également que l’authentification à facteurs multiples, si elle apporte un gain majeur de protection, n’est pas absolue. En août 2022, Microsoft avait expliqué en détail par exemple comment un acteur malveillant avait mis en place toute une infrastructure pour récupérer des jetons d’authentification, via notamment des serveurs mimant un comportement légitime. Ce type d’attaque passe systématiquement par la compromission d’une personne, le plus souvent par un e-mail soigneusement préparé.
Dans le monde Linux, on entend parler des serveurs graphiques X11 et Wayland depuis longtemps. Mais de quoi s’agit-il exactement ? À quoi sert un serveur graphique ? Quelles sont les promesses de Wayland et pourquoi la migration prend autant de temps ? Nous vous proposons d’y voir plus clair.
Présentons les deux protagonistes de notre sujet. D’un côté, le X Window System. Sa première version date de 1984, en tant que projet développé au sein du MIT. Il a été essentiellement pensé à une époque où l’on trouvait des serveurs informatiques puissants et des clients légers, d’où son appellation de serveur, qui lui est resté.
On le connait mieux aujourd’hui sous son nom de X11. L’appellation vient de la onzième version de X, sortie en 1987. Ce fut la première révision à être considérée comme stable et pleinement opérationnelle. Et oui, techniquement, on utilise cette onzième version depuis 35 ans. Mais dans la pratique, les évolutions ont été continues.
De l’autre côté, on a Wayland. Beaucoup plus récent, le projet a été lancé en 2008 par Kristian Hogsberg, développeur chez Red Hat. Objectif, proposer un protocole moderne et gagnant sur toute la ligne : plus sécurisé, plus efficace et surtout plus simple. Une base neuve, capable d’exploiter beaucoup mieux le matériel qui avait largement évolué et de se débarrasser des vieilles assises de X11.
Qu’est-ce qu’un serveur graphique ?
Penchons-nous maintenant sur ce qu’est un serveur graphique (ou d’affichage), le rôle que tient ce composant et ses principaux attributs.
Commençons par le commencement. Sur un système de type Unix, dès que vous voyez quelque chose s’afficher à l’écran au sein d’une interface graphique, c’est que le serveur d’affichage est impliqué. Ce composant crucial est chargé de dessiner les fenêtres à l’écran et de gérer toutes les interactions qui s’y rapportent, ainsi que la composition de l’ensemble (assemblage des fenêtres). Il est une interface entre l’utilisateur, l’interface et le matériel lié. Il va d’ailleurs plus loin que le seul aspect graphique, puisqu’il s’occupe également des entrées de la souris et du clavier.
Il reste 90% de l'article à découvrir. Vous devez être abonné•e pour lire la suite de cet article. Déjà abonné•e ? Générez une clé RSS dans votre profil.
Pour l’utilisateur, il n’y aura aucun changement, pas même dans la vitesse de démarrage de la machine. L’arrivée de Dracut représente cependant une évolution technologique intéressante pour Ubuntu (il est déjà utilisé par Fedora).
De quoi parle-t-on ? Actuellement, quand un ordinateur sous Ubuntu démarre, ce n’est pas le système qui se charge en premier. La première étape est un mini-système qui se charge en mémoire vive. Nommé initramfs, il contient le strict nécessaire pour trouver le stockage, déchiffrer les disques si besoin et passer le relai au système de fichiers du « vrai » système. C’est donc un maillon essentiel de la chaine de démarrage.
Si Fedora est passée à Dracut et qu’Ubuntu s’apprête à faire de même, c’est qu’il apporte plus de souplesse dans cette étape. Là où initramfs est basé sur des scripts, Dracut est organisé en modules et propose une approche dynamique via udev, qui gère la détection matérielle dans Ubuntu. Cette organisation modulaire simplifie son développement et sa maintenance.
Dracut est aussi plus moderne, avec une prise en charge de technologies plus récentes, comme NVMe over Fabrics, indique OMGUbuntu. C’est en outre un choix cohérent pour les technologies déjà présentes dans Ubuntu. La distribution utilise par exemple systemd, dont se sert également Dracut, contrairement à initramfs.
Cette décision n’est pas arrivée subitement. Canonical réfléchit à la question depuis un bon moment et a posé la question du remplacement effectif dans une note du 7 février. Les questions de cohérence technique et de cout de maintenance étaient clairement mises en avant.
La bêta d’Ubuntu 25.10 est attendue pour le 18 septembre et sa version finale le 9 octobre.
Pour l’utilisateur, il n’y aura aucun changement, pas même dans la vitesse de démarrage de la machine. L’arrivée de Dracut représente cependant une évolution technologique intéressante pour Ubuntu (il est déjà utilisé par Fedora).
De quoi parle-t-on ? Actuellement, quand un ordinateur sous Ubuntu démarre, ce n’est pas le système qui se charge en premier. La première étape est un mini-système qui se charge en mémoire vive. Nommé initramfs, il contient le strict nécessaire pour trouver le stockage, déchiffrer les disques si besoin et passer le relai au système de fichiers du « vrai » système. C’est donc un maillon essentiel de la chaine de démarrage.
Si Fedora est passée à Dracut et qu’Ubuntu s’apprête à faire de même, c’est qu’il apporte plus de souplesse dans cette étape. Là où initramfs est basé sur des scripts, Dracut est organisé en modules et propose une approche dynamique via udev, qui gère la détection matérielle dans Ubuntu. Cette organisation modulaire simplifie son développement et sa maintenance.
Dracut est aussi plus moderne, avec une prise en charge de technologies plus récentes, comme NVMe over Fabrics, indique OMGUbuntu. C’est en outre un choix cohérent pour les technologies déjà présentes dans Ubuntu. La distribution utilise par exemple systemd, dont se sert également Dracut, contrairement à initramfs.
Cette décision n’est pas arrivée subitement. Canonical réfléchit à la question depuis un bon moment et a posé la question du remplacement effectif dans une note du 7 février. Les questions de cohérence technique et de cout de maintenance étaient clairement mises en avant.
La bêta d’Ubuntu 25.10 est attendue pour le 18 septembre et sa version finale le 9 octobre.
Nova Launcher est désormais orphelin, son fondateur et dernier développeur étant parti. Dans un billet, il explique que cette décision lui a été imposée. Le passage en open source semble pour l’instant compromis.
Dans le monde des launchers, Nova est probablement le plus connu. Existant depuis plus d’une décennie, à l’époque où Android en était à Ice Cream Sandwich, il a tout de suite brillé par ses performances et ses fonctions. Nova s’est largement enrichi avec le temps, inspirant d’autres launchers à son tour.
Il semble cependant que Nova soit orphelin. En 2022, le produit avait été racheté par la société de statistiques Branch, qui n’a jamais dit vraiment en quoi cet achat pouvait lui être profitable (une version Prime à 3,99 euros existe avec des fonctions supplémentaires). À ce moment, un petit groupe de développeurs travaillait sur Nova, dont Kevin Barry, fondateur et développeur principal du projet.
Dans un billet daté du 6 septembre, Kevin Barry a pourtant annoncé son départ. Il explique qu’il lui a été demandé d’arrêter tout développement sur Nova et qu’il a depuis quitté Branch. Le destin du launcher semblait déjà compromis, car Barry était le seul à travailler dessus depuis un an. Sur le Play Store, la dernière mise à jour date du 18 mai 2024.
La promesse de l’open source
Outre l’abandon probable du projet, la question de son ouverture à l’open source est un sujet central. Comme Kevin Barry le rappelle dans son billet, plusieurs annonces avaient été faites en ce sens. Il cite les propos d’Alex Austin, fondateur et alors CEO de Branch : « Si Kevin devait un jour partir, il est prévu que le code soit open source et mis entre les mains de la communauté ».
Mais comme le développeur l’explique : « Au cours des derniers mois, j’ai préparé la version Open Source de Nova Launcher. Ce travail comprenait le nettoyage de la base de code, l’examen des licences, la suppression ou le remplacement du code propriétaire et la coordination avec le service juridique pour assurer une publication correcte. […] Cependant, on m’a finalement demandé d’arrêter de travailler sur Nova Launcher et l’effort d’open source ».
Branch a peut-être d’autres projets pour Nova, mais l’entreprise n’a pour l’instant rien dit. Une pétition pour le basculement de Nova Launcher en open source a été publiée sur Change.org, mais à l’heure où nous écrivons ces lignes, elle n’a recueilli que 3 775 signatures.
Un ralentissement général ?
De manière plus générale, certains se posent la question : les launchers Android vont-ils disparaitre ? Windows Central, qui évoquait hier le cas de Nova, notait que le launcher de Microsoft (anciennement Arrow) était lui aussi presque à l’arrêt. Il a bien reçu une petite mise à jour en juillet, mais rien de significatif depuis longtemps. Le produit est pourtant très apprécié.
Certains launchers sont pourtant bel et bien vivants. Parmi les plus appréciés, on pourrait citer par exemple Niagara et Smart Launcher, tous deux mis à jour très récemment. Citons également Hyperion, spécialisé dans la personnalisation de l’interface avec de multiples thèmes, ou encore Olauncher qui, au contraire, joue la carte du minimalisme.
Nova Launcher est désormais orphelin, son fondateur et dernier développeur étant parti. Dans un billet, il explique que cette décision lui a été imposée. Le passage en open source semble pour l’instant compromis.
Dans le monde des launchers, Nova est probablement le plus connu. Existant depuis plus d’une décennie, à l’époque où Android en était à Ice Cream Sandwich, il a tout de suite brillé par ses performances et ses fonctions. Nova s’est largement enrichi avec le temps, inspirant d’autres launchers à son tour.
Il semble cependant que Nova soit orphelin. En 2022, le produit avait été racheté par la société de statistiques Branch, qui n’a jamais dit vraiment en quoi cet achat pouvait lui être profitable (une version Prime à 3,99 euros existe avec des fonctions supplémentaires). À ce moment, un petit groupe de développeurs travaillait sur Nova, dont Kevin Barry, fondateur et développeur principal du projet.
Dans un billet daté du 6 septembre, Kevin Barry a pourtant annoncé son départ. Il explique qu’il lui a été demandé d’arrêter tout développement sur Nova et qu’il a depuis quitté Branch. Le destin du launcher semblait déjà compromis, car Barry était le seul à travailler dessus depuis un an. Sur le Play Store, la dernière mise à jour date du 18 mai 2024.
La promesse de l’open source
Outre l’abandon probable du projet, la question de son ouverture à l’open source est un sujet central. Comme Kevin Barry le rappelle dans son billet, plusieurs annonces avaient été faites en ce sens. Il cite les propos d’Alex Austin, fondateur et alors CEO de Branch : « Si Kevin devait un jour partir, il est prévu que le code soit open source et mis entre les mains de la communauté ».
Mais comme le développeur l’explique : « Au cours des derniers mois, j’ai préparé la version Open Source de Nova Launcher. Ce travail comprenait le nettoyage de la base de code, l’examen des licences, la suppression ou le remplacement du code propriétaire et la coordination avec le service juridique pour assurer une publication correcte. […] Cependant, on m’a finalement demandé d’arrêter de travailler sur Nova Launcher et l’effort d’open source ».
Branch a peut-être d’autres projets pour Nova, mais l’entreprise n’a pour l’instant rien dit. Une pétition pour le basculement de Nova Launcher en open source a été publiée sur Change.org, mais à l’heure où nous écrivons ces lignes, elle n’a recueilli que 3 775 signatures.
Un ralentissement général ?
De manière plus générale, certains se posent la question : les launchers Android vont-ils disparaitre ? Windows Central, qui évoquait hier le cas de Nova, notait que le launcher de Microsoft (anciennement Arrow) était lui aussi presque à l’arrêt. Il a bien reçu une petite mise à jour en juillet, mais rien de significatif depuis longtemps. Le produit est pourtant très apprécié.
Certains launchers sont pourtant bel et bien vivants. Parmi les plus appréciés, on pourrait citer par exemple Niagara et Smart Launcher, tous deux mis à jour très récemment. Citons également Hyperion, spécialisé dans la personnalisation de l’interface avec de multiples thèmes, ou encore Olauncher qui, au contraire, joue la carte du minimalisme.
Dans un billet publié hier soir, Google a annoncé le lancement officiel de sa fonction de doublage automatique à destination des créateurs de contenus américains. Une seule option permet de traduire la vidéo en d’autres langues. Mais l’outil fait débat, tout comme son intégration côté internautes.
En test depuis deux ans, le doublage automatique est officiellement disponible depuis hier soir. La fonction concerne d’abord les créateurs de contenus aux États-Unis, avec traduction automatique et synthèse vocale pour permettre un accès plus large des vidéos. Il ne s’agit donc pas d’une nouveauté, car le test avait été élargi en décembre 2024, de nombreuses vidéos étant doublées par l’IA.
(Quelques) chiffres à l’appui
« Désormais, lorsqu’un créateur YouTube aux États-Unis publie une nouvelle vidéo, en quelques instants, un fan en Corée, un fan au Brésil et un fan en Inde peuvent tous la regarder dans leur langue maternelle », s’enthousiasme Google dans sa communication. Le projet pilote a même permis de sortir un chiffre : en moyenne, un quart des vues sur les vidéos proviennent de personnes ayant une autre langue. YouTube indique même tester actuellement des miniatures multilingues « auprès d’un groupe restreint de créateurs ».
Pour bien montrer le potentiel de sa technologie (puisée dans Gemini), Google évoque la chaine du cuisiner Jamie Oliver, qui faisait partie de la phase de test. Selon l’éditeur, les pistes audio multilingues automatiques ont permis de multiplier par 3 le nombre de vues. La société cite également les créateurs MrBeast et Mark Rober, à qui ces pistes ont permis l’arrivée de « millions de téléspectateurs supplémentaires ». pour le second, YouTube a enregistré une moyenne de 30 langues téléchargées par vidéo.
La promesse est donc simple : ouvrir grand les portes de la population mondiale en supprimant la barrière de la langue. Mais cette disponibilité ne se fait pas sans froncer quelques sourcils.
« Sans âme »
Sans surprise, tout le monde n’est pas satisfait de cette génération. Sur Reddit notamment, on trouve de très nombreux commentaires sur ce changement. De nombreux internautes pestent contre les doublages automatiques pour diverses raisons, dont l’une des principales est que les voix, particulièrement monocordes, sont « désincarnées » et « sans âme ». Certaines personnes la jugent même « insupportable ». L’émotion et l’intonation passent au second plan.
Parmi les critiques, on retrouve aussi les erreurs de traduction. Ces erreurs se retrouvent jusque dans les titres, un point faisant grimacer nombre de personnes. Le problème s’amplifie avec la spécificité du sujet. Il existait déjà avec les sous-titres automatisés et prend une nouvelle ampleur avec le doublage. Vous êtes fan de Tolkien et aimez écouter des vidéos explicatives sur certains aspects particuliers de son univers ? Le doublage va écorcher de nombreux noms. Ces erreurs de « compréhension » peuvent produire des contresens. En outre, la traduction des titres ne permet pas de se rendre compte que l’on est sur le point de lancer une vidéo dans une autre langue.
« Certains titres traduits automatiquement n’ont aucun sens et ils perdent souvent le sens voulu par le créateur. Ça arrive aussi dans les descriptions et les chapitres des vidéos. À un moment donné, YouTube a décidé d’activer une voix IA qui est juste insupportable à écouter. Elle n’utilise pas les intonations correctement et prononce les mots avec un dialecte bizarre qui n’est pas parlé dans ma région », dit un internaute sur Reddit.
Les problèmes soulignés sont en fait les mêmes que depuis des mois. Par exemple, le doublage automatique casse l’ambiance sonore. Si la vidéo contient des musiques ou des sons particuliers, ils sont supprimés pour ne laisser que la piste vocale.
C’est comme ça
Le point le plus agaçant souligné dans les commentaires est que ce comportement n’est pas une option : il est actif par défaut. Pour chaque vidéo, il faut se rendre dans le menu des pistes audio et remettre la langue d’origine. Le problème est aggravé par l’absence totale dans les paramètres d’un réglage pour désactiver le doublage automatique, obligeant à répéter la manipulation pour chaque vidéo en anglais que l’on regarde.
Aucune option ne permet actuellement de désactiver le doublage automatique
« Ma langue maternelle est aussi le portugais, mais j’ai dû changer la langue de ma chaîne YouTube en anglais parce que je regarde principalement des vidéos en anglais et je ne veux pas écouter une voix d’IA horrible. Mais je regarde aussi des vidéos dans d’autres langues et elles sont parfois doublées en anglais. Mon Dieu, je déteste ça. Donnez-nous au moins la possibilité de désactiver ça dans les paramètres, comme on peut le faire pour les sous-titres », indique un internaute.
Plusieurs notent que la vision de Google ne semble pas intégrer les personnes bilingues ou ayant au moins une pratique suffisante d’une langue pour pouvoir l’écouter dans de nombreux cas. Solution adoptée par certaines personnes : basculer YouTube en anglais pour que les vidéos concernées restent en version originale. Problème, écouter des vidéos dans d’autres langues activera alors le doublage automatique vers l’anglais.
Le choix des youtubers
Rappelons que le doublage automatique n’est pas imposé à l’intégralité des contenus en anglais. Le choix revient à la personne détentrice de la chaine, qui active donc ou pas cette fonction. Derrière l’aspect pratique, la fonction pose cependant de nombreuses questions.
Certains affirment par exemple avoir renoncé à certaines chaines qui l’avaient activé partout, y compris sur les titres, donnant parfois des résultats « déformés » assimilés à un manque de respect. Une perte d’authenticité culturelle et d’unicité qui semble viser de nouveau la quantité au détriment de la qualité.
Côté métiers, les questions sont nombreuses, même parmi les créateurs de contenus. En janvier dernier par exemple, Benjamin Brillaud, de la chaine Nota Bene, racontait dans une vidéo tout le mal qu’il pensait de l’outil : « Le rendu de l’épisode était catastrophique. Il n’y avait plus d’incarnation, la pertinence des traductions laissait à désirer… ».
La généralisation du doublage automatique pose en outre question pour les métiers concernés. En juillet 2024, Brigitte Lecordier (célèbre voix, entre autres, de Son Goku et Son Gohan) demandait au micro de BFMTV : « Il faut que l’on se demande quelle société on veut pour nos enfants. Est-ce qu’on veut une société gérée par des robots, où le soir, un robot va leur lire une histoire pour aller dormir, ou la voix d’un comédien qui va raconter des belles choses et nous émouvoir ? ». Cette question de l’émotion revient désormais constamment dans les critiques formulées contre le doublage automatique.
Tous les créateurs de contenus ne sont d’ailleurs pas intéressés. Dans les propres commentaires de la vidéo d’annonce publiée hier soir par YouTube, beaucoup demandent ainsi que l’on puisse importer facilement ses propres pistes de doublage, plutôt que de laisser faire l’IA. En attendant, les personnes allergiques à ce doublage peuvent utiliser certains outils, comme l’extension YouTube No Translation disponible sur Chrome ou Firefox.
Dans un billet publié hier soir, Google a annoncé le lancement officiel de sa fonction de doublage automatique à destination des créateurs de contenus américains. Une seule option permet de traduire la vidéo en d’autres langues. Mais l’outil fait débat, tout comme son intégration côté internautes.
En test depuis deux ans, le doublage automatique est officiellement disponible depuis hier soir. La fonction concerne d’abord les créateurs de contenus aux États-Unis, avec traduction automatique et synthèse vocale pour permettre un accès plus large des vidéos. Il ne s’agit donc pas d’une nouveauté, car le test avait été élargi en décembre 2024, de nombreuses vidéos étant doublées par l’IA.
(Quelques) chiffres à l’appui
« Désormais, lorsqu’un créateur YouTube aux États-Unis publie une nouvelle vidéo, en quelques instants, un fan en Corée, un fan au Brésil et un fan en Inde peuvent tous la regarder dans leur langue maternelle », s’enthousiasme Google dans sa communication. Le projet pilote a même permis de sortir un chiffre : en moyenne, un quart des vues sur les vidéos proviennent de personnes ayant une autre langue. YouTube indique même tester actuellement des miniatures multilingues « auprès d’un groupe restreint de créateurs ».
Pour bien montrer le potentiel de sa technologie (puisée dans Gemini), Google évoque la chaine du cuisiner Jamie Oliver, qui faisait partie de la phase de test. Selon l’éditeur, les pistes audio multilingues automatiques ont permis de multiplier par 3 le nombre de vues. La société cite également les créateurs MrBeast et Mark Rober, à qui ces pistes ont permis l’arrivée de « millions de téléspectateurs supplémentaires ». pour le second, YouTube a enregistré une moyenne de 30 langues téléchargées par vidéo.
La promesse est donc simple : ouvrir grand les portes de la population mondiale en supprimant la barrière de la langue. Mais cette disponibilité ne se fait pas sans froncer quelques sourcils.
« Sans âme »
Sans surprise, tout le monde n’est pas satisfait de cette génération. Sur Reddit notamment, on trouve de très nombreux commentaires sur ce changement. De nombreux internautes pestent contre les doublages automatiques pour diverses raisons, dont l’une des principales est que les voix, particulièrement monocordes, sont « désincarnées » et « sans âme ». Certaines personnes la jugent même « insupportable ». L’émotion et l’intonation passent au second plan.
Parmi les critiques, on retrouve aussi les erreurs de traduction. Ces erreurs se retrouvent jusque dans les titres, un point faisant grimacer nombre de personnes. Le problème s’amplifie avec la spécificité du sujet. Il existait déjà avec les sous-titres automatisés et prend une nouvelle ampleur avec le doublage. Vous êtes fan de Tolkien et aimez écouter des vidéos explicatives sur certains aspects particuliers de son univers ? Le doublage va écorcher de nombreux noms. Ces erreurs de « compréhension » peuvent produire des contresens. En outre, la traduction des titres ne permet pas de se rendre compte que l’on est sur le point de lancer une vidéo dans une autre langue.
« Certains titres traduits automatiquement n’ont aucun sens et ils perdent souvent le sens voulu par le créateur. Ça arrive aussi dans les descriptions et les chapitres des vidéos. À un moment donné, YouTube a décidé d’activer une voix IA qui est juste insupportable à écouter. Elle n’utilise pas les intonations correctement et prononce les mots avec un dialecte bizarre qui n’est pas parlé dans ma région », dit un internaute sur Reddit.
Les problèmes soulignés sont en fait les mêmes que depuis des mois. Par exemple, le doublage automatique casse l’ambiance sonore. Si la vidéo contient des musiques ou des sons particuliers, ils sont supprimés pour ne laisser que la piste vocale.
C’est comme ça
Le point le plus agaçant souligné dans les commentaires est que ce comportement n’est pas une option : il est actif par défaut. Pour chaque vidéo, il faut se rendre dans le menu des pistes audio et remettre la langue d’origine. Le problème est aggravé par l’absence totale dans les paramètres d’un réglage pour désactiver le doublage automatique, obligeant à répéter la manipulation pour chaque vidéo en anglais que l’on regarde.
Aucune option ne permet actuellement de désactiver le doublage automatique
« Ma langue maternelle est aussi le portugais, mais j’ai dû changer la langue de ma chaîne YouTube en anglais parce que je regarde principalement des vidéos en anglais et je ne veux pas écouter une voix d’IA horrible. Mais je regarde aussi des vidéos dans d’autres langues et elles sont parfois doublées en anglais. Mon Dieu, je déteste ça. Donnez-nous au moins la possibilité de désactiver ça dans les paramètres, comme on peut le faire pour les sous-titres », indique un internaute.
Plusieurs notent que la vision de Google ne semble pas intégrer les personnes bilingues ou ayant au moins une pratique suffisante d’une langue pour pouvoir l’écouter dans de nombreux cas. Solution adoptée par certaines personnes : basculer YouTube en anglais pour que les vidéos concernées restent en version originale. Problème, écouter des vidéos dans d’autres langues activera alors le doublage automatique vers l’anglais.
Le choix des youtubers
Rappelons que le doublage automatique n’est pas imposé à l’intégralité des contenus en anglais. Le choix revient à la personne détentrice de la chaine, qui active donc ou pas cette fonction. Derrière l’aspect pratique, la fonction pose cependant de nombreuses questions.
Certains affirment par exemple avoir renoncé à certaines chaines qui l’avaient activé partout, y compris sur les titres, donnant parfois des résultats « déformés » assimilés à un manque de respect. Une perte d’authenticité culturelle et d’unicité qui semble viser de nouveau la quantité au détriment de la qualité.
Côté métiers, les questions sont nombreuses, même parmi les créateurs de contenus. En janvier dernier par exemple, Benjamin Brillaud, de la chaine Nota Bene, racontait dans une vidéo tout le mal qu’il pensait de l’outil : « Le rendu de l’épisode était catastrophique. Il n’y avait plus d’incarnation, la pertinence des traductions laissait à désirer… ».
La généralisation du doublage automatique pose en outre question pour les métiers concernés. En juillet 2024, Brigitte Lecordier (célèbre voix, entre autres, de Son Goku et Son Gohan) demandait au micro de BFMTV : « Il faut que l’on se demande quelle société on veut pour nos enfants. Est-ce qu’on veut une société gérée par des robots, où le soir, un robot va leur lire une histoire pour aller dormir, ou la voix d’un comédien qui va raconter des belles choses et nous émouvoir ? ». Cette question de l’émotion revient désormais constamment dans les critiques formulées contre le doublage automatique.
Tous les créateurs de contenus ne sont d’ailleurs pas intéressés. Dans les propres commentaires de la vidéo d’annonce publiée hier soir par YouTube, beaucoup demandent ainsi que l’on puisse importer facilement ses propres pistes de doublage, plutôt que de laisser faire l’IA. En attendant, les personnes allergiques à ce doublage peuvent utiliser certains outils, comme l’extension YouTube No Translation disponible sur Chrome ou Firefox.
Comme nous l’indiquions hier, la mise à jour « majeure » 25H2 est disponible dans le canal Release Preview pour les personnes inscrites au programme Insider (depuis Windows Update). C’est l’équivalent d’une release candidate, donc d’une version finale, à moins que des bugs gênants soient trouvés durant cette dernière période avant diffusion.
Microsoft avait promis que des images ISO seraient proposées pour tester plus facilement le système. Après un retard, elles ont finalement été publiées mercredi soir. On parle toujours bien d’une Release Preview, qui ne peut pour l’instant pas être considérée comme la version finale. Ces images sont proposées à des fins de tests, en simplifiant l’opération pour des installations natives ou en machines virtuelles.
Si ces images peuvent être utilisées telles quelles ou placées sur des clés USB via l’utilitaire de Microsoft, Rufus vient d’être lui aussi mis à jour. Dans une nouvelle version publiée hier soir, l’outil de préparation des clés USB annonce sa compatibilité avec la mise à jour 25H2 dans sa dernière révision 4.10 en bêta. Cette mouture ajoute d’ailleurs la prise en charge du thème sombre et corrige plusieurs bugs.
Comme nous l’indiquions hier, la mise à jour « majeure » 25H2 est disponible dans le canal Release Preview pour les personnes inscrites au programme Insider (depuis Windows Update). C’est l’équivalent d’une release candidate, donc d’une version finale, à moins que des bugs gênants soient trouvés durant cette dernière période avant diffusion.
Microsoft avait promis que des images ISO seraient proposées pour tester plus facilement le système. Après un retard, elles ont finalement été publiées mercredi soir. On parle toujours bien d’une Release Preview, qui ne peut pour l’instant pas être considérée comme la version finale. Ces images sont proposées à des fins de tests, en simplifiant l’opération pour des installations natives ou en machines virtuelles.
Si ces images peuvent être utilisées telles quelles ou placées sur des clés USB via l’utilitaire de Microsoft, Rufus vient d’être lui aussi mis à jour. Dans une nouvelle version publiée hier soir, l’outil de préparation des clés USB annonce sa compatibilité avec la mise à jour 25H2 dans sa dernière révision 4.10 en bêta. Cette mouture ajoute d’ailleurs la prise en charge du thème sombre et corrige plusieurs bugs.
Le projet de loi, validé par le Sénat en mars, franchit une nouvelle étape. Il transpose pour rappel dans le droit français les directives européennes NIS2, DORA et REC. Le texte est donc particulièrement attendu, car il doit entrainer une hausse significative du niveau général de cybersécurité.
À l’Assemblée nationale, son adoption s’est faite hier soir à l’unanimité en commission spéciale. Le projet est mené par Eric Bothorel, rapporteur général du texte, et Philippe Latombe, président de la commission. Ce dernier a d’ailleurs fait adopter un amendement visant à sanctuariser le chiffrement de bout en bout dans l’article 16 bis :
« Il ne peut être imposé aux fournisseurs de services de chiffrement, y compris aux prestataires de services de confiance qualifiés, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d’information et des communications électroniques tels que des clés de déchiffrement maîtresses ou tout autre mécanisme permettant un accès non consenti aux données protégées »
Dans sa formulation, cet amendement est une réponse directe à l’aventure législative de la proposition de loi Narcotrafic. Comme nous l’avions indiqué, Bruno Retailleau, alors ministre de l’Intérieur, tentait de faire autoriser des techniques dites du « fantôme ». Sans être techniquement des portes dérobées, elles auraient entrainé elles aussi un affaiblissement du chiffrement de bout en bout. L’amendement, en abordant les « accès non consentis », doit empêcher tout retour de ces tentatives.
Le texte va continuer son parcours législatif, rendu plus complexe désormais par le changement de gouvernement.
Le projet de loi, validé par le Sénat en mars, franchit une nouvelle étape. Il transpose pour rappel dans le droit français les directives européennes NIS2, DORA et REC. Le texte est donc particulièrement attendu, car il doit entrainer une hausse significative du niveau général de cybersécurité.
À l’Assemblée nationale, son adoption s’est faite hier soir à l’unanimité en commission spéciale. Le projet est mené par Eric Bothorel, rapporteur général du texte, et Philippe Latombe, président de la commission. Ce dernier a d’ailleurs fait adopter un amendement visant à sanctuariser le chiffrement de bout en bout dans l’article 16 bis :
« Il ne peut être imposé aux fournisseurs de services de chiffrement, y compris aux prestataires de services de confiance qualifiés, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d’information et des communications électroniques tels que des clés de déchiffrement maîtresses ou tout autre mécanisme permettant un accès non consenti aux données protégées »
Dans sa formulation, cet amendement est une réponse directe à l’aventure législative de la proposition de loi Narcotrafic. Comme nous l’avions indiqué, Bruno Retailleau, alors ministre de l’Intérieur, tentait de faire autoriser des techniques dites du « fantôme ». Sans être techniquement des portes dérobées, elles auraient entrainé elles aussi un affaiblissement du chiffrement de bout en bout. L’amendement, en abordant les « accès non consentis », doit empêcher tout retour de ces tentatives.
Le texte va continuer son parcours législatif, rendu plus complexe désormais par le changement de gouvernement.
Après des années de rumeurs et de teasing, le mode Lossless (sans pertes) est désormais disponible dans Spotify, mais pas partout. Les premiers pays concernés incluent les États-Unis, le Royaume-Uni, le Japon, l’Australie, ainsi que plusieurs pays d’Europe comme l’Allemagne et le Portugal. La France n’est pas encore dans la liste, mais Spotify précise dans son annonce que plus de 50 pays auront le nouveau mode dans les semaines qui viennent.
Les personnes ayant un abonnement Premium recevront une notification pour les prévenir de l’activation. Après quoi, le mode Lossless sera accessible dans les réglages de l’application comme une nouvelle option dans le choix de la qualité. On pourra choisir le nouveau venu dans les trois types d’accès : cellulaire, Wi-Fi et téléchargements. Le Lossless est donc fourni sans surcoût.
Pour cette dernière, Spotify a fait le choix du FLAC en 24 bits et 44,1 kHz. C’est du moins la qualité maximale. Selon les titres, il s’agira en fait de 16 ou 24 bits. Spotify affichera cette information, ainsi qu’une estimation de la consommation de données avec cette qualité. En 24 bits, la valeur indicative est de 1 Go par heure d’écoute. De même, les téléchargements en Lossless prendront nettement plus de place.
Techniquement, des services concurrents montent plus haut en qualité. Tidal et Qobuz utilisent le FLAC Hi-Res et peuvent ainsi grimper jusqu’au 24 bits 192 kHz. Apple Music a fait le même choix. Pour détecter une différence, il faut cependant un matériel adapté et une oreille entrainée. Spotify précise d’ailleurs que le Lossless n’est exploitable qu’avec des écouteurs filaires ou des enceintes sans fil exploitant autre chose que le Bluetooth (trop limité en bande passante).
La plupart des produits estampillés Spotify Connect sont censés être compatibles. Spotify ajoute que la compatibilité sera étendue prochainement aux appareils Sonos et Amazon, mais sans plus de précisions.
La mise à jour annuelle de Windows 11 sera bientôt là. Nommée très logiquement 25H2, elle affiche pourtant cette fois une différence conséquente avec les précédentes : elle ne contient aucune nouvelle fonction.
Chaque année, à l’automne, Microsoft met à disposition une mise à jour majeure pour Windows 11. Un rythme simplifié par rapport à ce qui existait sous Windows 10, du moins pendant une bonne partie de sa carrière.
Ces mises à jour majeures ont deux grandes caractéristiques. D’une part, elles apportent habituellement un lot très conséquent de nouvelles fonctions. Leur poids est donc élevé, l’installation prend du temps et les incompatibilités peuvent se révéler nombreuses. Ce fut notoirement le cas de la version 24H2. D’autre part, elles prolongent à chaque fois le support technique. Chaque mise à jour relance ainsi le compteur de deux ans pour les éditions Famille et Pro, et de trois ans pour les moutures Enterprise et Education.
Comme toujours en cette saison, la nouvelle mise à jour majeure de Windows 11 est donc en approche. Depuis peu, il est possible de la tester dans le canal Release Preview, si l’on s’est inscrit aux préversions du système (dans Windows Update). Pourtant, si vous faites la manipulation, vous serez sans doute surpris : l’installation est très rapide et, après le redémarrage, il ne se passe rien de particulier.
Comment ça « rien » ?
Pour comprendre cette bizarrerie, il faut se replonger dans un ancien billet de blog de Microsoft, publié le 27 juin. On y apprenait que la version « majeure » 25H2 du système serait proposée sous forme d’un Enablement Package (eKB).
Plus précisément, Microsoft explique que sa technologie visant à proposer des mises à jour a évolué. Windows Update peut ainsi combiner des mises à jour pour la pile de services (SSU) et les dernières mises à jour cumulatives (LCU), aboutissant à une réduction du poids d’environ 40 %. La même technique peut être utilisée pour la branche de service. Celle-ci définit, dans les grandes lignes, la base fonctionnelle présente dans une version donnée de Windows.
S’il ne fallait retenir qu’une explication, c’est que les versions 24H2 et 25H2 de Windows 11 partagent la même branche de service. Les récentes nouveautés fonctionnelles ou celles sur le point de sortir (nous y allons y revenir) sont proposées sur les deux versions. Installer la 25H2 n’activera donc aucune nouveauté spécifique, car elles sont (ou seront) toutes disponibles sur la 24H2.
Oui, non, peut-être
C’est ce qui explique d’ailleurs l’installation rapide de la 25H2, comme on peut le vérifier dans le canal Release Preview. Mais attention : ce processus rapide n’est valable que si vous êtes déjà en 24H2. Si vous venez d’une branche plus ancienne, comme la 23H2, l’installation sera « classique », donc longue.
« Windows 11 version 24H2 et version 25H2 partagent le même code source, seules les fonctionnalités supplémentaires sont activées. Par conséquent, il ne devrait pas y avoir d’impact sur la compatibilité entre les deux. Cela ne signifie pas que vous ne devriez pas tester, mais vous pouvez concentrer vos tests sur les nouvelles fonctionnalités plutôt que sur la compatibilité d’un complément de système d’exploitation, d’applications ou d’appareils », explique Microsoft.
Mais comment ça, des « fonctionnalités supplémentaires » ? Microsoft parle ici en termes génériques, qui ne s’appliquent pas spécifiquement à la version 25H2. En pratique, cette dernière n’est rien censée apporter de neuf, mais son installation peut faire apparaitre quand même de nouvelles fonctions. Il s’agit simplement de nouveautés « dormantes », que l’installation réveille sur certaines machines. À terme, toutes les nouveautés seront ainsi « éveillées » partout, que la machine soit en 24H2 ou 25H2. Seul facteur de différenciation : le type de PC utilisé, selon qu’il est Copilot+ ou non.
Comme toutes les versions majeures, la 25H2 ne sera pas obligatoire au début. Windows Update se contentera d’indiquer sa disponibilité, sans rien forcer dans un premier temps. Six mois plus tard, quand la 24H2 commencera à approcher de sa fin de support, le système se fera plus pressant. Cela signifie aussi que les nouvelles fonctions de Windows 11 seront distribuées sur les deux versions, puisqu’elles partagent la même branche de service.
Les nouveautés en approche
A priori, la version 25H2 est donc surtout là pour relancer le compteur du support de deux ans (ou trois sur certaines versions). On ne sait pas exactement ce qui a décidé à Microsoft à aborder cette version sous cet angle, mais la fin de Windows 10 y est peut-être pour quelque-chose. La décision d’en rester à la date du 14 octobre s’est révélée très impopulaire et il est possible que l’éditeur veuille faire le moins de vagues possible avec son Windows 11, qui n’a jamais réellement déclenché l’enthousiasme des foules.
On trouve ainsi des apports plus ou moins importants. Par exemple, on peut afficher l’horloge dans la zone de notifications, au-dessus du calendrier. Une fonction de Windows 10 qui avait disparu. La recherche depuis le menu Démarrer affiche désormais les photos sous forme de grille. Windows indique par ailleurs quand les données sont toujours en cours d’indexation et que les résultats sont peut-être incomplets.
Le panneau des widgets reçoit plusieurs nouveautés intéressantes. Le design général évolue et propose plus d’options. Surtout, on peut maintenant créer des tableaux de bords personnalisés. L’outil permet d’aller sur le Store pour en récupérer d’autres, mais la section ne contient pour l’instant que celui de Microsoft. On peut en outre sélectionner maintenant quels widgets apparaissent sur l’écran verrouillé.
Signalons aussi une évolution importante de Windows Hello, avec une révision des interfaces. Objectif, mieux faire comprendre ce qui est en train de se passer. L’accent est mis sur le type d’authentification réclamé, avec une mention claire des clés d’accès quand c’est le cas.
Le gestionnaire des tâches reçoit en outre une nouvelle colonne optionnelle « Utilitaire de processeur total sur les cœurs ». On peut l’activer depuis l’onglet Détails, la colonne affichant alors un taux d’utilisation du processeur qui se veut plus en phase avec les mesures standard de l’industrie.
Du neuf pour les PC Copilot+
Certaines nouveautés sont réservées aux PC Copilot+. Ainsi, l’écran d’accueil de l’application Recall a été complètement remanié pour simplifier l’accès aux données. Rappelons que Recall, après sa réécriture, réclame maintenant une authentification biométrique pour tout accès.
Click to Do se dote pour sa part d’un tutoriel interactif, une bonne idée car ses possibilités sont nombreuses. Click to Do est pour rappel l’un des apports les plus populaires des PC Copilot+. En maintenant la touche Windows enfoncée, on peut cliquer n’importe où pour sélectionner un texte, une image ou autre. L’outil permet alors de déclencher toutes les actions liées, quelle que soit l’origine du contenu, par exemple du texte présent dans une image.
Les paramètres de Windows se dotent également d’un agent IA permettant de décrire ce que l’on cherche, plutôt que de trouver le nom précis de la fonction. Les résultats se veulent donc plus souples, mais peuvent également faire apparaitre des réglages directement dans la liste. Par exemple, écrire « mon curseur de souris est trop petit » fait apparaitre plusieurs réglages, dont la réglette pour modifier la taille du curseur. Cette fonction était disponible uniquement sur PC Copilot+ équipés de puces Snapdragon, mais prend désormais en charge les processeurs AMD et Intel compatibles.
Là encore, ces nouveautés sont censées apparaitre avec la dernière mise à jour mensuelle. Si elle n’a pas été installée, elles pourront être activées par la 25H2.
Après des années de rumeurs et de teasing, le mode Lossless (sans pertes) est désormais disponible dans Spotify, mais pas partout. Les premiers pays concernés incluent les États-Unis, le Royaume-Uni, le Japon, l’Australie, ainsi que plusieurs pays d’Europe comme l’Allemagne et le Portugal. La France n’est pas encore dans la liste, mais Spotify précise dans son annonce que plus de 50 pays auront le nouveau mode dans les semaines qui viennent.
Les personnes ayant un abonnement Premium recevront une notification pour les prévenir de l’activation. Après quoi, le mode Lossless sera accessible dans les réglages de l’application comme une nouvelle option dans le choix de la qualité. On pourra choisir le nouveau venu dans les trois types d’accès : cellulaire, Wi-Fi et téléchargements. Le Lossless est donc fourni sans surcoût.
Pour cette dernière, Spotify a fait le choix du FLAC en 24 bits et 44,1 kHz. C’est du moins la qualité maximale. Selon les titres, il s’agira en fait de 16 ou 24 bits. Spotify affichera cette information, ainsi qu’une estimation de la consommation de données avec cette qualité. En 24 bits, la valeur indicative est de 1 Go par heure d’écoute. De même, les téléchargements en Lossless prendront nettement plus de place.
Techniquement, des services concurrents montent plus haut en qualité. Tidal et Qobuz utilisent le FLAC Hi-Res et peuvent ainsi grimper jusqu’au 24 bits 192 kHz. Apple Music a fait le même choix. Pour détecter une différence, il faut cependant un matériel adapté et une oreille entrainée. Spotify précise d’ailleurs que le Lossless n’est exploitable qu’avec des écouteurs filaires ou des enceintes sans fil exploitant autre chose que le Bluetooth (trop limité en bande passante).
La plupart des produits estampillés Spotify Connect sont censés être compatibles. Spotify ajoute que la compatibilité sera étendue prochainement aux appareils Sonos et Amazon, mais sans plus de précisions.
Connexion
