Tenir en Thales

Longtemps brocardée pour ses retards, surcoûts et pannes à répétition, la plateforme nationale des interceptions judiciaires donnerait presque satisfaction à ses 70 000 utilisateurs. Ils pointent cependant ses problèmes d’ergonomie, de fluidité et de fonctionnalités. Initialement externalisée auprès de Thales, des travaux seraient prévus afin d’en internaliser l’hébergement, sans plus de précisions.

Dans un rapport intitulé « Maîtriser les frais de justice pour mieux rendre la justice », la commission des finances du Sénat constate que « leur coût a été de 716 millions d’euros 2024, en hausse de 51,2 pour cent par rapport à 2013 », alors que l’inflation n’a été que de 19,1 % dans le même temps.

Dans un premier article, nous sommes revenus sur les différents types de « frais d’enquête », les raisons de cette inflation budgétaire, pourquoi certains experts devaient attendre « plusieurs mois, voire plusieurs années », avant de recouvrir les « milliers, voire plusieurs dizaines de milliers d’euros » que l’État leur doit, le coût des expertises informatiques et le fait que le droit français et européen interdit le remplacement des traducteurs et interprètes humains par des IA.

• Les frais liés aux expertises informatiques judiciaires ont explosé de 111 % en cinq ans

Ce second article revient plus particulièrement sur les frais de justice en matière d’interceptions judiciaires, ainsi que sur les économies et problèmes associés à la plateforme nationale des interceptions judiciaires (PNIJ).

Comme indiqué dans le premier article, ces derniers représentent 11,3 % de la totalité des frais de justice. Ils n’ont pourtant augmenté que de 1,4 % depuis 2019, contrairement à de nombreux autres postes budgétaires qui, à l’instar des expertises médicales, ont explosé de +- 50 %.

En 2024, le coût des interceptions judiciaires a été de 81,3 millions d’euros, contre 93 millions en 2017, soit une baisse moyenne de 2 % par an. Ces 81 millions représentent toutefois une somme « très supérieure à celle prévue en début d’exercice », qui était de 61,1 millions d’euros, soit + 32,6 %, relève le rapporteur.

Cet écart, précise-t-il, peut s’expliquer par le « caractère relativement imprévisible » des dépenses en interception judiciaire, qui dépend du nombre et de la nature des enquêtes conduites en cours d’année.

La justice étant « passée d’une culture de la preuve par l’aveu à une culture de la preuve matérielle ou scientifique », le nombre des actes prescrits au cours d’une enquête par les juges ou les officiers de police judiciaire a logiquement augmenté, « en particulier s’agissant d’actes coûteux » :

« Il a ainsi été indiqué au rapporteur spécial que le juge, aujourd’hui, s’attend, dans de nombreuses affaires, à trouver dans son dossier des preuves tirées d’interceptions judiciaires ou de l’exploitation du téléphone portable de la victime. »

En l’espèce, l’enquête initiée pour retrouver Mohamed Amra (le narcotrafiquant dont l’évasion, suite à l’attaque d’un fourgon pénitentiaire au péage d’Incarville, avait valu à deux surveillants d’être exécutés), avait reposé sur une utilisation « très importante » des données issues des interceptions judiciaires.

Et ce, d’autant qu’aux traditionnelles écoutes téléphoniques, s’ajoutent « de plus en plus » le recueil des données de connexion et de géolocalisation des criminels, « car les communications vocales sont souvent cryptées (sic) de nos jours », précise le rapporteur.

Un grand sentiment d’insécurité juridique chez les procureurs et enquêteurs

L’évolution des dépenses peut aussi s’expliquer par des circonstances conjoncturelles, relève le rapporteur pour qui le « creux » constaté en 2022 « semble lié aux incertitudes rencontrées cette année-là sur le régime d’accès aux données de connexion, qui pourrait représenter un risque dans les années à venir pour la conduite des enquêtes ».

Rechtsstaat tabu

Le projet controversé Chat Control, que la Commission peine à faire adopter depuis trois ans, était « l’une des priorités phares » du Danemark, qui préside le Conseil de l’UE. Mais l’Allemagne, opposée de longue date au projet, vient de nouveau de réitérer son rejet de ce que sa ministre de la Justice a qualifié de « suspicion généralisée ».

Qualifiée de « projet de loi européen le plus critiqué de tous les temps », le projet de règlement européen « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » (ou CSAR, pour Child Sexual Abuse Regulation) et que la Commission européenne cherche à faire adopter depuis 2022, vient une fois de plus de se heurter au mur des défenseurs des droits humains.

Comme Next l’a déjà moult fois raconté, il propose notamment de scanner les images et adresses URL avant qu’elles ne soient envoyées, directement sur les terminaux des utilisateurs de messageries, notamment chiffrées. Ce qui reviendrait à une forme de « surveillance de masse », et casserait la notion de chiffrement de bout en bout.

« Le contrôle injustifié des conversations en ligne doit être tabou dans un État de droit », vient de déclarer Stefanie Hubig, ministre fédérale allemande de la Justice et de la Protection des consommateurs, ajoutant que « les communications privées ne doivent jamais faire l’objet d’une suspicion généralisée » :

« L’État ne doit pas non plus contraindre les messageries instantanées à scanner en masse les messages avant leur envoi afin de détecter tout contenu suspect. L’Allemagne ne donnera pas son accord à de telles propositions au niveau européen. Nous devons également progresser dans la lutte contre la pornographie enfantine au niveau européen. Je m’engage en ce sens. Mais même les crimes les plus graves ne justifient pas la renonciation aux droits civiques fondamentaux. J’insiste sur ce point depuis des mois lors des votes du gouvernement fédéral. Et je continuerai à le faire. »

La veille, Jens Spahn, président du groupe CDU/CSU au Bundestag, qui fait partie de la coalition au pouvoir en Allemagne, avait confirmé que le gouvernement allemand s’opposerait « au contrôle sans motif des chats », ce « client side scanning » (scan côté client) ayant vocation à analyser l’intégralité des images (photos et vidéos) et textes (à la recherche des URL) avant qu’elles ne soient partagées :

« Cela reviendrait à ouvrir toutes les lettres à titre préventif pour vérifier qu’elles ne contiennent rien d’illégal. C’est inacceptable, cela n’arrivera pas avec nous. »

Une « double majorité qualifiée » impossible à obtenir

Or, comme Next l’avait expliqué en septembre dernier, il faut en effet que 15 des 27 États membres de l’UE « au moins », représentant collectivement 65 % de la population « au moins », approuvent les textes soumis au Conseil de l’Union européenne pour parvenir à un accord, une procédure qualifiée de « double majorité qualifiée ».

• Chat Control : le projet de surveillance des messageries a (encore) du plomb dans l’aile

Jusqu’à fin août, 15 pays soutenaient le projet, et 4 s’y opposaient. Les partisans de la proposition danoise ne sont plus que 12 (Bulgarie, Croatie, Chypre, Danemark, Espagne, France, Hongrie, Irlande, Lituanie, Malte, Portugal et Suède) contre 10 opposants (Autriche, République tchèque, Estonie, Finlande, Allemagne, Luxembourg, Pays-Bas, Pologne, Slovaquie et Slovénie), et 5 indécis (Belgique, Grèce, Italie, Lettonie, Roumanie), comme le relève le site chatcontrol.eu.

Or, les 12 pays partisans ne représentent plus que 38,82 % de la population européenne, et les 5 indécis 22,68 %. Le ralliement de l’Allemagne (qui représente, à elle seule, 18,56 % de la population européenne) au camp des opposants rend impossible l’obtention de la « double majorité qualifiée » requise.

Le projet ne sera d’ailleurs pas soumis au vote lors de la prochaine réunion des ministres de l’Intérieur de l’UE comme initialement prévu, ont expliqué des sources diplomatiques à l’ORF, la radiotélédiffusion publique autrichienne :

« Mais cela ne signifie pas pour autant que le sujet soit définitivement clos. Le Danemark ou les prochaines présidences du Conseil de l’UE pourraient remettre une proposition révisée sur la table. »

Pour la première fois, même les conservateurs émettent des critiques

« C’est une victoire formidable pour la liberté qui prouve que la protestation fonctionne ! », s’est pour sa part félicité l’ex-eurodéputé pirate Patrick Breyer, qui combat ce projet depuis des années et dont le blog constitue la ressource la plus complète à ce sujet :

« Face à une vague d’appels et d’e-mails du public, les sociaux-démocrates tiennent bon et, pour la première fois, même les dirigeants conservateurs émettent des critiques. Sans la résistance inlassable des citoyens, des scientifiques et des organisations, les gouvernements de l’UE auraient adopté la semaine prochaine une loi totalitaire sur la surveillance de masse, signant la fin de la confidentialité numérique. Le fait que nous ayons réussi à empêcher cela, pour l’instant, est un moment à célébrer. »

Un ingénieur logiciel de 30 ans aurait contribué au revirement

POLITICO souligne de son côté que le site fightchatcontrol.eu, lancé le 6 août dernier par un ingénieur logiciel danois de 30 ans, aurait contribué à « saturer » de courriels les responsables gouvernementaux nationaux et membres du Parlement européen, et même « provoqué une vive agitation dans les couloirs du pouvoir à Bruxelles ».

POLITICO a pu vérifier l’identité de celui qui se fait appeler Joachim. Il refuse en effet de rendre public son nom ainsi que celui de son employeur qui, n’ayant « aucun intérêt commercial » associé à ce projet, ne souhaite pas être associé à cette campagne.

L’ingénieur, qui aurait pris en charge seul les coûts liés au site web, a répondu à POLITICO que, début octobre, plus de 2,5 millions de personnes avaient visité son site web, et qu’il estimait que ce dernier avait permis d’envoyer plusieurs millions de courriels.

« Cette campagne semble avoir placé le sujet au premier plan dans les États membres où il n’y avait auparavant que peu ou pas de débat public », estime Ella Jakubowska, responsable des politiques d’European Digital Rights (EDRi), qui réunit les principales ONG européennes de défense des libertés numériques.

« La présidente de la Commission européenne, Ursula von der Leyen, doit désormais admettre l’échec de son projet dystopique Control Chat », estime Patrick Breyer, pour qui la Commission « doit définitivement retirer ce projet de loi irréparable, qui n’a pas réussi à obtenir la majorité au Conseil depuis des années » :

« Elle devrait plutôt adopter l’alternative proposée par le Parlement européen, qui garantit une protection efficace des enfants sans surveillance de masse : des applications plus sûres grâce à la « sécurité dès la conception », la suppression proactive des contenus illégaux en ligne et des obligations de retrait rapide. »

Le chiffrement est essentiel à l’indépendance numérique de l’Europe

Plus de 40 entreprises et ONG européennes soucieuses de la protection de la vie privée avaient cosigné plus tôt cette semaine une lettre ouverte aux États membres de l’UE, rappelant pourquoi la proposition reviendrait à installer une « porte dérobée » dans les terminaux des citoyens européens :

« L’avenir numérique de l’Europe dépend de la compétitivité de ses propres entreprises. Or, obliger les services européens à affaiblir leurs normes de sécurité en analysant tous les messages, même cryptés (sic), à l’aide d’une analyse côté client, compromettrait la sécurité des utilisateurs en ligne et irait à l’encontre des normes élevées de l’Europe en matière de protection des données. Par conséquent, les utilisateurs européens – particuliers et entreprises – et les clients mondiaux perdront confiance dans nos services et se tourneront vers des fournisseurs étrangers. Cela rendra l’Europe encore plus dépendante des géants américains et chinois de la technologie qui ne respectent pas actuellement nos règles, sapant ainsi la capacité de l’Union à être compétitive. »

Elle rappelle que le RGPD est « l’un des rares, voire le seul avantage concurrentiel dont dispose l’Europe par rapport aux États-Unis et à la Chine dans le secteur technologique ». Et ce, alors que les mesures telles que NIS2, la loi sur la cyberrésilience et la loi sur la cybersécurité « reconnaissent que le chiffrement est essentiel à l’indépendance numérique de l’Europe ».

Plusieurs Français figurent parmi les signataires : Commown, CryptPad, E-Foundation, la FFDN, Gentils Nuages, Hashbang, LeBureau.coop, Logilab, Murena, Nym, Octopuce, Olvid, TeleCoop et XWiki.

Rechtsstaat tabu

Le projet controversé Chat Control, que la Commission peine à faire adopter depuis trois ans, était « l’une des priorités phares » du Danemark, qui préside le Conseil de l’UE. Mais l’Allemagne, opposée de longue date au projet, vient de nouveau de réitérer son rejet de ce que sa ministre de la Justice a qualifié de « suspicion généralisée ».

Qualifiée de « projet de loi européen le plus critiqué de tous les temps », le projet de règlement européen « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » (ou CSAR, pour Child Sexual Abuse Regulation) et que la Commission européenne cherche à faire adopter depuis 2022, vient une fois de plus de se heurter au mur des défenseurs des droits humains.

Comme Next l’a déjà moult fois raconté, il propose notamment de scanner les images et adresses URL avant qu’elles ne soient envoyées, directement sur les terminaux des utilisateurs de messageries, notamment chiffrées. Ce qui reviendrait à une forme de « surveillance de masse », et casserait la notion de chiffrement de bout en bout.

« Le contrôle injustifié des conversations en ligne doit être tabou dans un État de droit », vient de déclarer Stefanie Hubig, ministre fédérale allemande de la Justice et de la Protection des consommateurs, ajoutant que « les communications privées ne doivent jamais faire l’objet d’une suspicion généralisée » :

« L’État ne doit pas non plus contraindre les messageries instantanées à scanner en masse les messages avant leur envoi afin de détecter tout contenu suspect. L’Allemagne ne donnera pas son accord à de telles propositions au niveau européen. Nous devons également progresser dans la lutte contre la pornographie enfantine au niveau européen. Je m’engage en ce sens. Mais même les crimes les plus graves ne justifient pas la renonciation aux droits civiques fondamentaux. J’insiste sur ce point depuis des mois lors des votes du gouvernement fédéral. Et je continuerai à le faire. »

La veille, Jens Spahn, président du groupe CDU/CSU au Bundestag, qui fait partie de la coalition au pouvoir en Allemagne, avait confirmé que le gouvernement allemand s’opposerait « au contrôle sans motif des chats », ce « client side scanning » (scan côté client) ayant vocation à analyser l’intégralité des images (photos et vidéos) et textes (à la recherche des URL) avant qu’elles ne soient partagées :

« Cela reviendrait à ouvrir toutes les lettres à titre préventif pour vérifier qu’elles ne contiennent rien d’illégal. C’est inacceptable, cela n’arrivera pas avec nous. »

Une « double majorité qualifiée » impossible à obtenir

Or, comme Next l’avait expliqué en septembre dernier, il faut en effet que 15 des 27 États membres de l’UE « au moins », représentant collectivement 65 % de la population « au moins », approuvent les textes soumis au Conseil de l’Union européenne pour parvenir à un accord, une procédure qualifiée de « double majorité qualifiée ».

• Chat Control : le projet de surveillance des messageries a (encore) du plomb dans l’aile

Jusqu’à fin août, 15 pays soutenaient le projet, et 4 s’y opposaient. Les partisans de la proposition danoise ne sont plus que 12 (Bulgarie, Croatie, Chypre, Danemark, Espagne, France, Hongrie, Irlande, Lituanie, Malte, Portugal et Suède) contre 10 opposants (Autriche, République tchèque, Estonie, Finlande, Allemagne, Luxembourg, Pays-Bas, Pologne, Slovaquie et Slovénie), et 5 indécis (Belgique, Grèce, Italie, Lettonie, Roumanie), comme le relève le site chatcontrol.eu.

Or, les 12 pays partisans ne représentent plus que 38,82 % de la population européenne, et les 5 indécis 22,68 %. Le ralliement de l’Allemagne (qui représente, à elle seule, 18,56 % de la population européenne) au camp des opposants rend impossible l’obtention de la « double majorité qualifiée » requise.

Le projet ne sera d’ailleurs pas soumis au vote lors de la prochaine réunion des ministres de l’Intérieur de l’UE comme initialement prévu, ont expliqué des sources diplomatiques à l’ORF, la radiotélédiffusion publique autrichienne :

« Mais cela ne signifie pas pour autant que le sujet soit définitivement clos. Le Danemark ou les prochaines présidences du Conseil de l’UE pourraient remettre une proposition révisée sur la table. »

Pour la première fois, même les conservateurs émettent des critiques

« C’est une victoire formidable pour la liberté qui prouve que la protestation fonctionne ! », s’est pour sa part félicité l’ex-eurodéputé pirate Patrick Breyer, qui combat ce projet depuis des années et dont le blog constitue la ressource la plus complète à ce sujet :

« Face à une vague d’appels et d’e-mails du public, les sociaux-démocrates tiennent bon et, pour la première fois, même les dirigeants conservateurs émettent des critiques. Sans la résistance inlassable des citoyens, des scientifiques et des organisations, les gouvernements de l’UE auraient adopté la semaine prochaine une loi totalitaire sur la surveillance de masse, signant la fin de la confidentialité numérique. Le fait que nous ayons réussi à empêcher cela, pour l’instant, est un moment à célébrer. »

Un ingénieur logiciel de 30 ans aurait contribué au revirement

POLITICO souligne de son côté que le site fightchatcontrol.eu, lancé le 6 août dernier par un ingénieur logiciel danois de 30 ans, aurait contribué à « saturer » de courriels les responsables gouvernementaux nationaux et membres du Parlement européen, et même « provoqué une vive agitation dans les couloirs du pouvoir à Bruxelles ».

POLITICO a pu vérifier l’identité de celui qui se fait appeler Joachim. Il refuse en effet de rendre public son nom ainsi que celui de son employeur qui, n’ayant « aucun intérêt commercial » associé à ce projet, ne souhaite pas être associé à cette campagne.

L’ingénieur, qui aurait pris en charge seul les coûts liés au site web, a répondu à POLITICO que, début octobre, plus de 2,5 millions de personnes avaient visité son site web, et qu’il estimait que ce dernier avait permis d’envoyer plusieurs millions de courriels.

« Cette campagne semble avoir placé le sujet au premier plan dans les États membres où il n’y avait auparavant que peu ou pas de débat public », estime Ella Jakubowska, responsable des politiques d’European Digital Rights (EDRi), qui réunit les principales ONG européennes de défense des libertés numériques.

« La présidente de la Commission européenne, Ursula von der Leyen, doit désormais admettre l’échec de son projet dystopique Control Chat », estime Patrick Breyer, pour qui la Commission « doit définitivement retirer ce projet de loi irréparable, qui n’a pas réussi à obtenir la majorité au Conseil depuis des années » :

« Elle devrait plutôt adopter l’alternative proposée par le Parlement européen, qui garantit une protection efficace des enfants sans surveillance de masse : des applications plus sûres grâce à la « sécurité dès la conception », la suppression proactive des contenus illégaux en ligne et des obligations de retrait rapide. »

Le chiffrement est essentiel à l’indépendance numérique de l’Europe

Plus de 40 entreprises et ONG européennes soucieuses de la protection de la vie privée avaient cosigné plus tôt cette semaine une lettre ouverte aux États membres de l’UE, rappelant pourquoi la proposition reviendrait à installer une « porte dérobée » dans les terminaux des citoyens européens :

« L’avenir numérique de l’Europe dépend de la compétitivité de ses propres entreprises. Or, obliger les services européens à affaiblir leurs normes de sécurité en analysant tous les messages, même cryptés (sic), à l’aide d’une analyse côté client, compromettrait la sécurité des utilisateurs en ligne et irait à l’encontre des normes élevées de l’Europe en matière de protection des données. Par conséquent, les utilisateurs européens – particuliers et entreprises – et les clients mondiaux perdront confiance dans nos services et se tourneront vers des fournisseurs étrangers. Cela rendra l’Europe encore plus dépendante des géants américains et chinois de la technologie qui ne respectent pas actuellement nos règles, sapant ainsi la capacité de l’Union à être compétitive. »

Elle rappelle que le RGPD est « l’un des rares, voire le seul avantage concurrentiel dont dispose l’Europe par rapport aux États-Unis et à la Chine dans le secteur technologique ». Et ce, alors que les mesures telles que NIS2, la loi sur la cyberrésilience et la loi sur la cybersécurité « reconnaissent que le chiffrement est essentiel à l’indépendance numérique de l’Europe ».

Plusieurs Français figurent parmi les signataires : Commown, CryptPad, E-Foundation, la FFDN, Gentils Nuages, Hashbang, LeBureau.coop, Logilab, Murena, Nym, Octopuce, Olvid, TeleCoop et XWiki.

Les Experts : mi-amis

Signe de la dépendance de plus en plus grande aux preuves numériques, le budget dédié aux experts de justice en informatique est passé de 8 à 19 millions d’euros par an. Si les frais d’interprétariat et de traduction ont progressé de 72 % dans le même temps, ils ne seront pas, a priori, remplacés par des IA : le droit français et européen imposent en effet le recours à des interprètes humains.

Dans un rapport intitulé « Maîtriser les frais de justice pour mieux rendre la justice », la commission des finances du Sénat constate que « leur coût a été de 716 millions d’euros 2024, en hausse de 51,2 pour cent par rapport à 2013 », alors que l’inflation n’a été que de 19,1 % dans le même temps.

Qualifiés de « frais d’enquête » par le garde des sceaux, ils concernent essentiellement les analyses et expertises médicales (26 %), frais de traduction et d’interprétariat (11,9 %), interceptions (11,3 %) et mesures judiciaires (contrôle judiciaire, enquête sociale rapide, enquête de personnalité : 10,4 %), la médecine légale (9,1 %) et les frais de gardiennage et de scellés (6,6 %) commandées par les magistrats ou, sous leur contrôle, par les officiers de police judiciaire (OPJ).

Certaines catégories de dépenses ont augmenté bien plus que d’autres, comme les frais de mesures judiciaires (+ 81,1 % depuis 2019), de traduction et d’interprétariat (+ 72,4 %), les cotisations des collaborateurs occasionnels du service public (COSP,+ 55,2 %), expertises médicales (+ 49,6 %, « notamment en raison de l’inflation du nombre d’expertises psychiatriques »), frais de gardiennage et de scellés (+ 42,4 %), contrairement aux frais d’interceptions judiciaires (+ 1,4 %), de procédure (+ 2,1 %) et rétributions des auxiliaires de justice (+ 2,7 %).

Cette explosion des frais de justice est telle que les prévisions de dépenses moyennes par affaire faisant l’objet d’une réponse pénale, qui étaient d’environ 300 euros de 2015 à 2020, ont plus que doublé depuis. Or, souligne le rapporteur (LR) Antoine Lefèvre, « les dépenses budgétaires constatées chaque année ne donnent qu’une idée partielle de la charge réelle représentée par les frais de justice » :

« En raison du niveau insuffisant de la budgétisation, mais aussi de la charge pesant sur les services des greffes […] le ministère fait patienter ses prestataires jusqu’à l’année suivante lorsqu’il n’a plus de crédits pour régler les prestations de l’année en cours. »

Des experts auxquels l’État doit des dizaines de milliers d’euros, depuis des années

Certains experts ne sont dès lors payés que « plusieurs mois, voire plusieurs années », après avoir travaillé. Au point que certains « se retrouvent alors en difficulté financière », le temps de recouvrir les « milliers, voire plusieurs dizaines de milliers d’euros » que l’État leur doit.

Put in

Des chercheurs universitaires en géopolitique ont répertorié un peu plus de 150 actions de déstabilisation pro-russe en Europe, dont 43 en France, depuis 2021. Si, traditionnellement, ce type d’opération émane des services de renseignement, elles sont de plus en plus initiées par de soi-disant ONG, pays satellites et entreprises privées, au point que « l’ingérence informationnelle est devenue un business à Moscou », résume le chercheur Kevin Limonier.

Vous aviez probablement entendu parler des étoiles bleues de David tagguées sur les murs de Paris (à la demande d’un Moldave), ou des pochoirs de mains rouges sur le mémorial de la Shoah (effectués par des Bulgares).

Mais vous n’aviez peut-être pas entendu parler du moulin de Courlandon, dans la Marne, que le groupe de hackeurs d’élite de l’armée russe Sandworm avait piraté en 2024 en pensant s’attaquer à la centrale hydroélectrique du barrage de Courlon-sur-Yonne, 300 kilomètres plus au sud, et qui s’était contenté d’entraîner une hausse du cours d’eau de vingt centimètres.

• Étoiles bleues de David : cette opération d’ingérence russe qui a « vraiment marché »

Développée depuis plusieurs mois par des chercheurs, explique Franceinfo, une cartographie interactive cherche à répertorier et catégoriser les « actions de déstabilisation » attribuées à la « stratégie russe de déstabilisation de l’Europe », « au-delà de la guerre hybride » :

« Alors que l’on parle plus que jamais des actions « hybrides » conduites par la Russie dans l’Union Européenne, nous avons souvent du mal à connecter entre eux des événements qui, pris séparément, paraissent souvent anodins. Pourtant, si l’on commence à les relier entre eux en utilisant les sources ouvertes disponibles, on entrevoit rapidement une stratégie territoriale d’ensemble, dont l’objectif est la déstabilisation de notre continent. »

« L’ingérence informationnelle est devenue un business à Moscou »

Cette « expérimentation scientifique », menée conjointement par CASSINI, le laboratoire GEODE, l’Institut Français de Géopolitique et le Collectif de recherche sur la Russie Contemporaine pour l’Analyse de ses Nouvelles Trajectoires (CORUSCANT), répertorie un peu plus de 150 de ces actions de déstabilisation partout en Europe, dont 43 en France, depuis 2021.

« L’ingérence informationnelle est devenue un business à Moscou », résume à Franceinfo Kevin Limonier, directeur adjoint du laboratoire Géode, un centre de recherche pluridisciplinaire dédié à l’étude des enjeux stratégiques et géopolitiques de la révolution numérique, et membre des autres organismes associés.

Un marché où s’illustrent des prestataires privés comme la Social Design Agency (SDA), qui se vantait d’avoir créé 300 médias, 20 think tanks et d’avoir posté plusieurs dizaines de millions de commentaires. Mais également des ONG, comme la Fondation pour combattre l’injustice, qui proposait de financer des actions contre la « violence policière » et de défendre la mémoire d’Adama Traoré, Steve Maia Caniço, Zineb Redouane, Rémi Fraisse ou encore Cédric Chouviat, alors qu’elle avait été fondée par Evgueni Prigojin, célèbre pour avoir fondé la sinistre milice Wagner, elle-même bien connue pour les atrocités qui lui sont imputées.

• Comment l’entité russe SDA a manipulé les discussions en amont des élections européennes

À quoi il convient de rajouter les actions de désinformation, sabotage ou d’espionnage imputables aux différents services de renseignement russes, ou encore aux associations et personnalités locales qu’ils instrumentalisent, téléguident ou qui militent de bonne foi pour les intérêts de la Russie.

• Les poupées russes de la désinformation à travers des médias « alternatifs » français

Franceinfo rappelle par exemple que des nationalistes corses militent pour le Donbass, et qu’une campagne numérique de manipulation de l’information, émanant d’un organisme de propagande d’État basé en Azerbaïdjan, le Baku Initiative Group (BIG), cible les indépendantistes de Nouvelle-Calédonie et des DROM-COM, comme l’avait documenté Viginum.

• VIGINUM décrypte les liens entre un dictateur de l’ex-URSS et des indépendantistes d’outre-mer

Kevin Limonier souligne cela dit que « la Russie, ça ne veut rien dire en tant que tel », les différents acteurs de ces ingérences ne partageant pas forcément les mêmes objectifs, modes opératoires et territoires d’influence. Il n’en estime pas moins que l’objectif de Moscou serait d’obtenir une « finlandisation » de l’Europe, « sans volonté stratégique propre et sans capacité d’exister de manière souveraine ».

Franceinfo souligne que les chercheurs ont mis de côté les incursions de drones, de sous-marins et d’avions russes dans l’espace aérien des pays européens, au motif que « c‘est l’action directe des forces armées et ce n’est plus trop le domaine des actions clandestines et hybrides », justifie Kevin Limonier.

« La géographie, ça sert, d’abord, à faire la guerre »

Sur LinkedIn, ce dernier rappelle que le géographe et géopolitologue Yves Lacoste, fondateur de l’Institut français de géopolitique, écrivait dans son ouvrage « La géographie, ça sert, d’abord, à faire la guerre » que « le savoir géographique, indispensable à l’exercice du contrôle de l’espace, est aussi et surtout un instrument d’émancipation car il permet justement de déchiffrer les stratégies de contrôle ».

Il relève également que « la majorité des commentaires sont plutôt réceptifs au fait que oui, les agissements actuels de la Russie sont une menace pour l’Europe et qu’ils résultent d’une stratégie d’ensemble dirigée contre nous ». Ce qui « va d’ailleurs dans le sens de certains sondages récents, qui montrent que le rejet de Poutine est désormais beaucoup plus répandu qu’on ne le pense au sein de la population française (même chez les sympathisants des partis traditionnellement « prorusses ») ».

Put in

Des chercheurs universitaires en géopolitique ont répertorié un peu plus de 150 actions de déstabilisation pro-russe en Europe, dont 43 en France, depuis 2021. Si, traditionnellement, ce type d’opération émane des services de renseignement, elles sont de plus en plus initiées par de soi-disant ONG, pays satellites et entreprises privées, au point que « l’ingérence informationnelle est devenue un business à Moscou », résume le chercheur Kevin Limonier.

Vous aviez probablement entendu parler des étoiles bleues de David tagguées sur les murs de Paris (à la demande d’un Moldave), ou des pochoirs de mains rouges sur le mémorial de la Shoah (effectués par des Bulgares).

Mais vous n’aviez peut-être pas entendu parler du moulin de Courlandon, dans la Marne, que le groupe de hackeurs d’élite de l’armée russe Sandworm avait piraté en 2024 en pensant s’attaquer à la centrale hydroélectrique du barrage de Courlon-sur-Yonne, 300 kilomètres plus au sud, et qui s’était contenté d’entraîner une hausse du cours d’eau de vingt centimètres.

• Étoiles bleues de David : cette opération d’ingérence russe qui a « vraiment marché »

Développée depuis plusieurs mois par des chercheurs, explique Franceinfo, une cartographie interactive cherche à répertorier et catégoriser les « actions de déstabilisation » attribuées à la « stratégie russe de déstabilisation de l’Europe », « au-delà de la guerre hybride » :

« Alors que l’on parle plus que jamais des actions « hybrides » conduites par la Russie dans l’Union Européenne, nous avons souvent du mal à connecter entre eux des événements qui, pris séparément, paraissent souvent anodins. Pourtant, si l’on commence à les relier entre eux en utilisant les sources ouvertes disponibles, on entrevoit rapidement une stratégie territoriale d’ensemble, dont l’objectif est la déstabilisation de notre continent. »

« L’ingérence informationnelle est devenue un business à Moscou »

Cette « expérimentation scientifique », menée conjointement par CASSINI, le laboratoire GEODE, l’Institut Français de Géopolitique et le Collectif de recherche sur la Russie Contemporaine pour l’Analyse de ses Nouvelles Trajectoires (CORUSCANT), répertorie un peu plus de 150 de ces actions de déstabilisation partout en Europe, dont 43 en France, depuis 2021.

« L’ingérence informationnelle est devenue un business à Moscou », résume à Franceinfo Kevin Limonier, directeur adjoint du laboratoire Géode, un centre de recherche pluridisciplinaire dédié à l’étude des enjeux stratégiques et géopolitiques de la révolution numérique, et membre des autres organismes associés.

Un marché où s’illustrent des prestataires privés comme la Social Design Agency (SDA), qui se vantait d’avoir créé 300 médias, 20 think tanks et d’avoir posté plusieurs dizaines de millions de commentaires. Mais également des ONG, comme la Fondation pour combattre l’injustice, qui proposait de financer des actions contre la « violence policière » et de défendre la mémoire d’Adama Traoré, Steve Maia Caniço, Zineb Redouane, Rémi Fraisse ou encore Cédric Chouviat, alors qu’elle avait été fondée par Evgueni Prigojin, célèbre pour avoir fondé la sinistre milice Wagner, elle-même bien connue pour les atrocités qui lui sont imputées.

• Comment l’entité russe SDA a manipulé les discussions en amont des élections européennes

À quoi il convient de rajouter les actions de désinformation, sabotage ou d’espionnage imputables aux différents services de renseignement russes, ou encore aux associations et personnalités locales qu’ils instrumentalisent, téléguident ou qui militent de bonne foi pour les intérêts de la Russie.

• Les poupées russes de la désinformation à travers des médias « alternatifs » français

Franceinfo rappelle par exemple que des nationalistes corses militent pour le Donbass, et qu’une campagne numérique de manipulation de l’information, émanant d’un organisme de propagande d’État basé en Azerbaïdjan, le Baku Initiative Group (BIG), cible les indépendantistes de Nouvelle-Calédonie et des DROM-COM, comme l’avait documenté Viginum.

• VIGINUM décrypte les liens entre un dictateur de l’ex-URSS et des indépendantistes d’outre-mer

Kevin Limonier souligne cela dit que « la Russie, ça ne veut rien dire en tant que tel », les différents acteurs de ces ingérences ne partageant pas forcément les mêmes objectifs, modes opératoires et territoires d’influence. Il n’en estime pas moins que l’objectif de Moscou serait d’obtenir une « finlandisation » de l’Europe, « sans volonté stratégique propre et sans capacité d’exister de manière souveraine ».

Franceinfo souligne que les chercheurs ont mis de côté les incursions de drones, de sous-marins et d’avions russes dans l’espace aérien des pays européens, au motif que « c‘est l’action directe des forces armées et ce n’est plus trop le domaine des actions clandestines et hybrides », justifie Kevin Limonier.

« La géographie, ça sert, d’abord, à faire la guerre »

Sur LinkedIn, ce dernier rappelle que le géographe et géopolitologue Yves Lacoste, fondateur de l’Institut français de géopolitique, écrivait dans son ouvrage « La géographie, ça sert, d’abord, à faire la guerre » que « le savoir géographique, indispensable à l’exercice du contrôle de l’espace, est aussi et surtout un instrument d’émancipation car il permet justement de déchiffrer les stratégies de contrôle ».

Il relève également que « la majorité des commentaires sont plutôt réceptifs au fait que oui, les agissements actuels de la Russie sont une menace pour l’Europe et qu’ils résultent d’une stratégie d’ensemble dirigée contre nous ». Ce qui « va d’ailleurs dans le sens de certains sondages récents, qui montrent que le rejet de Poutine est désormais beaucoup plus répandu qu’on ne le pense au sein de la population française (même chez les sympathisants des partis traditionnellement « prorusses ») ».

De « Don't be evil » à « Je danse le mIA »

L’algorithme Discover de « recommandation de contenus » de Google, principale source de trafic des sites journalistiques français, est devenu une « pompe à fric » pour les sites monétisés par la publicité, majoritairement financés par… la régie publicitaire de Google. Au point que près de 20 % des 1 000 sites d’info les plus recommandés par Google Discover, et 33 % des 120 sites les plus recommandés par Google News, à la rubrique Technologie, sont générés par IA.

Dans la mesure où la lutte contre la désinformation nous semble un enjeu de salubrité (numérique) publique, cet article, en principe réservé aux lecteurs premium de Next, est exceptionnellement en accès libre pour 24 heures. Ce sont vos abonnements qui rendent possible ce genre d’enquête au long cours, merci !

En 2024, et pour la deuxième année consécutive, le trafic en provenance de l’algorithme de recommandation de contenus Discover de Google avait explosé de + 50%. Au point d’être devenu la principale source de trafic pour la presse française, avec plus de 500 millions de clics vers des articles de presse par mois, selon le baromètre de la diffusion 2024 de l’Alliance pour la presse d’information générale (APIG).

61 % du trafic des sites d’infos émane en effet de Google, et 68 % de ce trafic émane de Discover, rendant les sites de presse « dépendants » de cet algorithme. Une véritable « pompe à fric » qui attire de nombreux professionnels du marketing numérique, du référencement et du « black hat » SEO, cherchant eux aussi à profiter de cette manne publicitaire, monétisée par… Google via sa régie AdSense.

Une tendance qui ne semble pas prête de s’infléchir, bien au contraire, comme notre enquête au long cours le documente depuis des mois. D’autant que Google a aussi récemment annoncé que Discover serait prochainement disponible en mode « desktop ». Ce qui ne pourra qu’augmenter le trafic des sites qui y sont recommandés, mais également l’appétit des éditeurs de sites GenAI qui voudraient eux aussi pouvoir « poper » sur Discover, pour reprendre l’expression consacrée.

• [Récap] Nous avons découvert des milliers de sites d’info générés par IA : tous nos articles

7 700 articles en 15 jours, soit plus de 510 articles par jour, tout seul

Début août, l’éditeur de Gnewsalyzer, un outil d’analyse du trafic de Google News et Discover, annonçait sur X.com qu’il était désormais possible d’y « visualiser les sites qui viennent de rentrer sur Discover depuis moins de 10 jours et qui performent ». En réponse, son prédécesseur et concurrent (payant) 1492.vision rétorqua qu’il proposait lui aussi une fonctionnalité similaire.

Or, ces nouveaux sites récemment apparus sur Discover et figurant sur leurs captures d’écran respectives ont tous pour point commun d’être générés par IA (GenAI) – à l’exception des quatre sites n’ayant été recommandés que trois fois sur le screen de Gnewsalyzer.

Le créateur de Gnewsalyzer, Clément Pessaux, estimait cet été qu’il parvenait à récupérer de 10 à 20 % des 15 000 articles qui seraient chaque jour recommandés par Discover en français, sans que nous ayons pu vérifier ces chiffres de manière indépendante, non plus que via Google.

La base de données de Gnewsalyzer comporterait à ce jour plus de 6 800 sites, dont 1 000 environ ont été recommandés une dizaine de fois au moins par Discover. Des chiffres qui, à défaut d’être exhaustifs – et probablement minorés pour ce qui est du nombre d’articles réellement recommandés – n’en constituent pas moins un échantillon somme toute représentatif des sites francophones recommandés par Google.

À l’époque, le site qui surperformait sur Discover, decontair-67.fr, y avait à lui seul été recommandé au moins 325 fois en seulement 7 jours (soit 46 fois par jour, en moyenne). Au total, d’après le dashboard de Gnewsalyzer, Discover recommanda 614 de ses articles (au moins) avant qu’il n’en disparaisse, 12 jours après y être apparu la première fois, vraisemblablement pénalisé par Google pour avoir spammé son algorithme, et donc violé ses conditions d’utilisation.

Il est somme toute improbable qu’un média qui serait composé de journalistes puisse choisir un nom de domaine aussi imbitable et un logo aussi ridicule pour se mettre soudainement à publier autant d’articles en aussi peu de temps, a fortiori entre le 1er et le 13 août.

Et ce, pour y publier des titres de cinq lignes relayant des informations abracadabrantesques et illustrées par des images générées par IA croquignolesques, comme cette piscine gonflable remplie par (et avec) des « bouteilles » d’eau minérale, ou cette autre « piscine à glaçons » offerte par un refuge pour chiens et accusée de «  gaspillage d’eau potable ».

Comme c’est quasiment toujours le cas avec les sites GenAI, decontair-67.fr est un nom de domaine expiré, ayant appartenu précédemment à une entreprise de désamiantage de Strasbourg, et racheté par le spammeur. La question reste de savoir pourquoi l’algorithme de Google l’a recommandé ces 614 fois (au moins), mais également pourquoi ses filtres antispam ont mis 15 jours avant de le mettre en quarantaine.

Au-delà des articles publiés sur le site (rien n’interdit de publier du « bullshit », ni d’opter pour des titres « putaclics »), ceux qui furent recommandés par Discover étaient pourtant sujets à caution. Il y était par exemple question d’un retraité sanctionné « pour avoir réparé bénévolement les vélos des enfants du quartier », de familles verbalisées pour avoir improvisé des cabanes sur la plage avec des draps mouillés, ou encore d’un « lac souterrain gigantesque » découvert sous le désert du Sahara et qui « pourrait alimenter toute une région ».

Son successeur, amios.fr, a fait encore plus fort. Apparu sur Discover le 13 août, il a réussi à y faire « poper » au moins 1 608 articles avant d’en être exclu le 28, soit une moyenne de 107 articles par jour.

Là encore, les titres des articles surfaient sur la peur, avec par exemple plus de quarante articles déclinant le fait que « les requins prolifèrent à cause du réchauffement », que les « les scientifiques préviennent que les plages sont devenues des zones de chasse », ou encore qu’ « un expert dit que les vacanciers sont littéralement sacrifiés », eux aussi illustrés par d’improbables images générées par IA. Dix de ces articles n’en ont pas moins été recommandés par Discover.

Pour parvenir à ce que l’outil de suggestion de contenus de Google relaie ces 1 608 articles, amios.fr en a publié plus de 7 700 (soit plus de 510 par jour, en moyenne), d’après une sauvegarde de son sitemap sur archive.org. Signe de la montée en puissance du spammeur, et à titre de comparaison, decontair-67.fr n’en avait publié qu’un peu plus de 2 300 (soit 192 par jour) sur une période équivalente.

La moitié des sites GenAI émane d’un seul serial éditeur…

Début septembre, sur les 30 sites apparus sur Discover ces 10 derniers jours et y ayant été recommandés au moins 4 ou 5 fois, 27 étaient des sites générés par IA (soit 90 %), dont 17 (soit plus de la moitié) appartiennent à la ferme de contenus (« content farm », ou « private blog network » – PBN) de sites GenAI de Julien Jimenez, l’éditeur de decontair-67.fr et amios.fr.

Nous avions consacré un article à ce serial-spammeur de sites GenAI, début juillet, après que d’autres pros du marketing numérique et du référencement (pourtant eux-mêmes éditeurs de sites GenAI), se furent publiquement plaints du volume de spams qu’il envoyait à Discover, au risque d’attirer l’attention de Google sur leur juteux business.

• Éditeur de sites générés par IA, il spamme tellement Google que ses confrères se plaignent

Dans un précédent article, nous avions aussi relevé que plusieurs éditeurs de sites GenAI comparaient Discover aux recommandations algorithmiques « addictives » de TikTok, mais également à une « une drogue » susceptible de « générer une dépendance », au vu des centaines voire milliers d’euros de chiffre d’affaires susceptibles d’être engrangés, par jour. Deux d’entre eux seraient même devenus millionnaires grâce à Discover, en trois mois seulement.

• Sites d’infos générés par IA : « Notre job, c’est gruger Google » pour faire du fric

Mais pour espérer pouvoir « poper » sur Discover, il faut publier. Le 10 juillet dernier, labottega-pinseria.fr, l’un des sites de la ferme Jimenez, avait par exemple publié 760 articles entre 9h03 et 10h03, soit plus de douze articles… par minute.

Au vu de cette hyperproductivité automatisée et humainement impossible à valider, ses articles « hallucinent » régulièrement de nombreuses infox’, elles aussi considérées comme nuisibles à la profession par de nombreux éditeurs de sites GenAI, au motif qu’elles pourraient inciter Google à faire le ménage. Au point que l’un de ses concurrents l’avait qualifié de « maître de la désinformation via une diffusion industrielle de fake news sur ses propres réseaux de sites ».

Julien Jimenez avait déjà attiré l’attention de plusieurs journalistes et rédactions pour avoir publié de nombreux articles au sujet de prétendues fermetures de magasins ayant, dans certains cas, affolé clients, syndicats et employés.

Il est l’un d’ailleurs l’un des rares éditeurs de sites GenAI dont le nom a été rendu public, et à avoir vu plusieurs de ses articles faire l’objet de fact-checks, comme l’avait souligné en juillet l’ONG Reporters sans frontières, déplorant que Google Discover soit « désormais infiltrée par des sites aux titres aguicheurs, aux informations douteuses ou totalement fausses ».

… qui écrase Ouest France, Le Parisien, BFM et L’Équipe

Nous n’avons pas calculé le nombre d’articles publiés chaque jour par chacun des 17 sites de Jimenez figurant dans ce Top30, mais on peut raisonnablement estimer, au vu des statistiques de decontair-67.fr et amios.fr, qu’il en publie probablement plusieurs milliers par jour, sans relecture, ni validation. Et ce, alors qu’il est par ailleurs parti faire un tour du monde en famille début août, et qu’il ne travaillerait qu’à temps partiel, le matin.

L’échantillon d’articles promus sur Discover qu’a recueilli Gnewsalyzer montre que, certains jours, Discover a recommandé jusqu’à 196 articles d’amios.fr, soit deux fois plus que les 94 articles de ouest-france.fr, six fois plus que la trentaine d’articles du Parisien, L’équipe et BFM, et 10 fois plus que les 19 articles du Figaro.

Discover a également recommandé, en 15 jours seulement, deux fois plus d’articles d’amios.fr que ce qu’actu.fr, lequipe.fr, lefigaro.fr et leparisien.fr y ont vu « poper » en 30 jours. Une surproduction sous stéroïdes, générée grâce à l’IA par un professionnel du marketing solitaire (et travaillant à mi-temps), qu’aucune rédaction composée de journalistes humains ne saurait pouvoir effectuer. Mais que l’algorithme Discover de Google n’en « recommande » pas moins à ses lecteurs et utilisateurs.

Le graphique montre par ailleurs que, si amios.fr a disparu de Discover le 28 août, vraisemblablement suite à une pénalité de Google, il a tout de suite été remplacé, le même jour, par un autre site de la ferme de sites GenAI de Jimenez, couteauduviaur.fr, et que ce dernier surperformait tous les autres sites d’info trois jours plus tard seulement.

33 % des sites les plus recommandés sur Google News Technologies sont GenAI

D’après le spécialiste des noms de domaine David Chelly, les sites GenAI de Julien Jimenez lui permettraient d’engranger « à peu près de 100 000 à 150 000 euros de revenus par mois », rémunéré « essentiellement par AdSense » (la régie publicitaire de Google), grâce à un « trafic incroyable », du fait que « les fake news, c’est le meilleur moyen » de créer du buzz et de générer du clic.

Une estimation impossible à vérifier, mais qui a été corroborée par l’une de nos sources bien informées. Or, ce « trafic incroyable », et les revenus associés, correspondent également à autant de pertes de trafic et de revenus pour les médias reposant sur le travail de journalistes professionnels qui, contrairement à la ligne éditoriale que semble privilégier Julien Jimenez, ont à cœur de ne surtout pas publier d’infox’.

Pour autant, si ses sites surperforment, il n’est pas le seul « black hat SEO », loin de là, à faire mieux que de nombreux médias et sites de presse, et donc à cannibaliser le travail des journalistes.

Mi-août, Gnewsalyzer répertoriait en effet un peu moins de 4 300 noms de domaine différents (certains y figurent en doublons, faussant ses stats). Or, nous avons découvert qu’environ 400 d’entre eux au moins (soit un peu plus de 9 %) figuraient dans notre liste d’un peu plus de 7 000 sites d’info générés par IA.

À défaut de pouvoir vérifier (faute de temps) l’intégralité de ces 4 300 noms de domaine, nous avons cela dit vérifié les 1 016 sites ayant été recommandés par Discover au moins 10 fois, et découvert que 184 figuraient dans notre base de données de sites générés par IA, soit plus de 18 %.

Nous avions de fait déjà découvert, en juin, via le Top 50 de DiscoverSnoop.com, que 14 % des 50 sites les plus mis en avant sur Discover France étaient générés par IA. Depuis janvier, plus de 15 sites GenAI y ont figuré, dont 1 pendant 5 mois, 3 pendant 3 mois, 2 pendant 2 mois, & 4 dans son Top25 (dont un pendant 3 mois consécutifs, un autre 2 mois de suite) – quand bien même certains d’entre eux avaient pourtant été signalés comme tels à Google –, signe que nombre de sites GenAI ne sont pas, contrairement à ceux de Julien Jimenez, identifiés comme tels et sanctionnés au bout de 15 jours.

Et ce, alors que Google n’a de cesse de répéter, depuis des mois, que ses « systèmes antispams » excluent « 99 % […] des contenus de faible qualité », comme il vient encore de le répéter au Monde.

Les statistiques de Gnewsalyzer indiquent par ailleurs que, sur les 120 sites les plus recommandés dans la rubrique technologie de Google News, 40 (soit 33 %) sont générés par IA. Ce qui ne semble pas être le cas des autres verticales thématiques, telles que Gnewsalyzer les a indexées. Nous sommes conscients que son dashboard n’analyse qu’une partie des articles recommandés par Google, mais cette surreprésentation des sites GenAI n’en relève pas moins une tendance préoccupante.

« Je ne suis pas journaliste, chacun son métier »

En réponse à la publication en février dernier de nos premiers articles sur cette pollution de sites GenAI, Clément Pessaux (qui n’avait pas encore lancé Gnewsalyzer) avait publié une tribune libre en défense des éditeurs de sites GenAI, qualifiant de « dangereux ce discours qui pose le journalisme comme gardien du temple de certaines vérités ».

Pionnier de l’édition de sites GenAI, Pessaux figure aussi parmi les cofondateurs de Discover Partners, qui se vante de pouvoir décupler le trafic des sites grâce à Discover et d’avoir contribué à générer « plus de 700 millions de visites… dans + de 30 pays différents [et] jusqu’à 5 millions de visiteurs par jour ».

Lui-même éditeur de sites GenAI, nous l’avions également interviewé après que l’un de ses sites ait repris une infox, émanant de sites générés par IA, qui avait pourtant été fact-checkée et démentie entre-temps. « Je ne suis pas journaliste, chacun son métier », nous avait-il rétorqué :

« Quelque part, la matière informative ne m’intéresse pas, c’est de la matière que je sculpte, ce qui m’intéresse c’est comment Google la perçoit, puis après comment la masse des lecteurs la perçoit, pour que l’info soit appréciée de Google et du lecteur. »

• Cette « rumeur » relayée par de nombreux médias émanait de sites générés par IA

Dans une autre vidéo, il reconnaissait par ailleurs que Discover « génère une dépendance, c’est une drogue, il faut le dire, parce que ça génère pas mal d’argent, et quand t’es là-dedans ça devient difficile de lâcher prise, tu deviens mégalo avec ça » :

« Le problème avec Discover, c’est que ça génère énormément d’adrénaline : quand tu as un site qui commence à faire 100 00 ou 200 000 visites par jour, avec 10 000 visiteurs en simultané qui génère entre 200 à 500 euros par jour, multipliés par 30 ça fait 15 000 euros… »

• Sites d’infos générés par IA : « Notre job, c’est gruger Google » pour faire du fric

La publication massive de fake news sur Discover, un « véritable succès d’audience »

Dans une vidéo qu’il vient de mettre en ligne afin d’expliquer comment Gnewsalyzer pouvait aider d’autres éditeurs à « performer » sur Discover, Clément Pessaux qualifie lui-même les sites de Jimenez de « spammeurs », relève qu’ils « ont une durée de vie de 3 semaines, 15 jours 3 semaines, pas plus », mais recommande néanmoins de s’en inspirer :

« Comme toujours avec le SEO en général, ce qui nous intéresse le plus à étudier c’est les sites qui sont « border » qui vont prendre les stratégies les plus avancées, les plus à la marge on va dire, pour pouvoir les adapter à nos propres sites de manière beaucoup plus safe et pérenne. »

Gnewsalyzer a en effet été conçu pour aider les éditeurs de sites à « révolutionner [leur] stratégie Google Discover », notamment grâce à un « espionnage intelligent de la concurrence » afin d’ « analyser les stratégies des sites les plus performants, y compris ceux aux méthodes « borderline » qui constituent pourtant une mine d’or d’informations sur les titres accrocheurs et les typologies d’images qui fonctionnent ». Des éditeurs de sites GenAI se vantent d’ailleurs déjà d’y avoir identifié des patterns leur permettant de surperformer.

Contacté pour savoir comment il expliquait cette surreprésentation des sites GenAI, Clément Pessaux nous répond que « Discover est basé sur Navboost, un algorithme qui mesure avant tout le niveau d’interaction des utilisateurs sur une page : clics, temps de lecture, partages, etc. », et que « les contenus qui performent le plus sont ceux qui intéressent et engagent réellement les lecteurs » :

« Ce n’est donc pas une histoire de « GenAI ou pas GenAI » : c’est une histoire d’adéquation entre l’offre éditoriale et les attentes de l’audience. Tant que certains journalistes continueront à écrire avant tout pour eux-mêmes, sans prendre en compte les formats, les angles, les temporalités ou les sujets qui captent l’attention des lecteurs, ils laisseront mécaniquement la place à ceux qui savent écouter et répondre à cette demande. Les médias traditionnels ont deux options : rester dans un modèle qui ne parle plus aux audiences Discover, ou adapter leurs formats pour exister dans un écosystème qui pèse des millions de lecteurs par jour. »

Interrogé sur la surreprésentation des sites GenAI de Julien Jimenez, les nombreuses infox’ qu’ils relaient, le fait que, faute de respecter les règles de Google, ils sont généralement pénalisés au bout de 15 jours à trois semaines, Clément Pessaux élude nos questions et, relancé, refuse d’y répondre : « Je n’ai rien à dire sur le sujet aujourd’hui, strictement rien ».

« Dans le cas des dernières pénalités, il s’agit de sites qui ont clairement dérivé vers la publication massive de fake news pour faire le buzz et capter du trafic, avec un véritable succès d’audience », avait-il cela dit répondu au Journal du Net, soulignant que « ces sites sont devenus très visibles, attirant ainsi l’attention de tous, y compris de Google, qui a décidé de les exclure de Discover » :

« C’est toute la problématique de Discover aujourd’hui. Une très petite minorité de sites pousse le curseur trop loin, dégradant par amalgames et raccourcis l’image globale de Discover. Les équipes de Google en sont parfaitement conscientes, c’est pourquoi on peut observer, par vagues, des pénalités manuelles tomber. »

Contacté, Julien Jimenez, qui a jusqu’alors systématiquement refusé de répondre aux sollicitations de journalistes, ne nous a pas non plus répondu.

Des infox’ GenAI en « Une » de Google Discover

Notre enquête avait déjà démontré que Google ne respecte pas ses propres règles. Elles stipulent en effet que, pour pouvoir être indexés, les contenus mis en ligne doivent respecter ses critères EEAT (pour « Expertise, Experience, Authoritativeness, Trustworthiness », ou « Expertise, Expérience, Autorité, Fiabilité » en français).

Les sites et articles GenAI que nous avons identifiés, qui semblent majoritairement ne pas avoir été relus avant d’être publiés, « en masse », ne devraient dès lors pas pouvoir figurer dans les résultats de son moteur de recherche, encore moins de Google Actualités, et ne sauraient non plus être « recommandés » par son algorithme Discover de « recommandation » de contenus.

Un problème de filtrage et de modération d’autant plus étonnant que, lorsque Google avait été confronté à une déferlante de publicités reposant sur l’usurpation d’identité de « people » et personnalités, générée par IA, afin de promouvoir des escroqueries, la régie publicitaire de Google avait « rapidement constitué une équipe de plus de 100 experts », et suspendu « plus de 700 000 comptes d’annonceurs », comme nous l’avions relevé.

• Google pénalise les publicités générées par IA (mais pas les médias générés par IA)

Une célérité que Google ne semble pas avoir mise en œuvre pour ce qui est des contenus « générés par IA » recommandés par son algorithme Discover qui, comme nous l’avons aussi documenté, sont par ailleurs majoritairement monétisés par AdSense, la régie publicitaire de Google.

Contacté, Google nous répond que « bien que l’utilisation de l’automatisation, y compris l’IA, pour générer du contenu dans le but principal de manipuler le classement dans les résultats de recherche constitue une violation de nos règles relatives au spam, toute utilisation de l’automatisation, y compris la génération par IA, n’est pas considérée comme du spam (voir plus ici) » :

« Nous nous engageons à proposer des contenus utiles et de haute qualité dans Google Discover, et nos règles interdisent formellement les contenus trompeurs, manipulés ou mensongers. Nos systèmes automatisés sont très efficaces pour appliquer ces règles à grande échelle. Par exemple, comme nous l’avons mentionné, nos systèmes anti-spam maintiennent les résultats de la recherche Google à plus de 99 % exempts de spam. »

Contacté par Le Parisien, à qui nous avons partagé notre enquête, Google précise que « les analyses de Next reposent sur des outils tiers qui ne sont pas directement connectées aux données de Google, ne sont pas représentatives de l’écosystème Discover ».

Il suffit pourtant de consulter la liste (.pdf) des 1 000 sites les plus recommandés par Discover sur Gnewsalyzer pour constater que l’échantillon est bien représentatif de l’écosystème médiatique français, et que quatre des sites GenAI de Jimenez figurent dans son Top120.

Notre enquête montre bien que les sites d’info GenAI de Julien Jimenez « surperforment » les principaux médias français sur Discover – quand bien même ces derniers reposent sur le travail de centaines de journalistes, alors que Jimenez travaille seul et à mi-temps –, et qu’ils ne sont, au mieux, déréférencés qu’au bout de 15 jours à trois semaines seulement – quand bien même ils violent pourtant les règles de Google.

Les sites GenAI sont en outre « sur-représentés » par rapport aux sites d’information – au point de représenter près de 20 % des sites les plus « recommandés », et que le tiers des 120 sites les plus recommandés par Google News, à la rubrique Technologie, sont générés par IA.

Les « éléments de langage » répétés à l’envi depuis des mois par Google sont également contredits par les centaines de captures d’écran que nous accumulons depuis des mois (à partir d’un profil non connecté, pour limiter le profiling associé), les infox GenAI allant jusqu’à figurer à la « Une » et donc en tête des recommandations de Google Discover, comme l’attestent ces quelques captures d’écran, extraites de nos archives.

Il nous est par ailleurs plusieurs fois arrivé de découvrir, dans la quinzaine de contenus recommandés par Discover, que trois, quatre voire cinq articles (soit de 20 à 33 %) émanaient de sites d’infos générés par IA… signe que Google ne parvient pas à filtrer « 99 % » du spam, mais également que « l’EEAT semblerait ne pas avoir l’importance que l’on peut penser », comme l’avaient relevé Abondance et d’autres au sujet de son algorithme de « prédiction » Navboost, conçu pour améliorer les résultats de recherche en se basant sur les interactions des utilisateurs avec les pages de résultats de recherche.

« Google ne dit pas la vérité »

Mi-juillet, Vincent Berthier, responsable du bureau technologies et journalisme de RSF, avait appelé Google à « renforcer ces critères de sélection, ainsi que le contrôle de leur respect, avant que les utilisateurs ne soient submergés par les fausses informations déroulées à la chaîne par ces rotatives numériques » :

« La facilité avec laquelle des sites peu recommandables parviennent à se hisser dans Discover pousse à s’interroger sur les failles de ce service. Il devient urgent de les combler en remaniant son fonctionnement, et d’empêcher la promotion des faux sites d’information. Les bloquer manuellement ne suffira pas : ce sont des hydres. »

Virginie Clève, bien connue dans le monde des médias pour son expertise en matière de marketing numérique et donc de SEO, invite les éditeurs de presse à porter plainte, « tous les mois s’il le faut ». Elle estime en effet que « Google ne dit pas la vérité », alors qu’« en termes de réputation, c’est catastrophique d’être responsable d’une telle dispersion de contenus pourris, anxiogènes, faux, fracturant la société ou contribuant à sa déstabilisation ».

Pour elle, Google « ne fait rien » parce que le problème concerne principalement la France (du fait que « les spammeurs SEO FR sont parmi les plus doués au monde »), et peu leur marché domestique états-uniens, ce pourquoi Google minimiserait l’ampleur de cette pollution.

Elle estime également que le fait de renforcer l’antispam de Discover ne serait pas prioritaire, alors que stratégiquement les moyens sont mis ailleurs, en particulier sur l’IA, et que « cela ne gène en rien l’audience et l’adoption du produit, sans doute même l’inverse ».

Face à cette épidémie d’infox, Google… invisibilise le fact-checking

Sur sa page « Notre approche de la recherche », Google indique que sa mission est « d’organiser les informations à l’échelle mondiale dans le but de les rendre accessibles et utiles à tous ». Or, Google a récemment annoncé – sans prévenir les rédactions concernées – la fin de l’affichage des balises ClaimReview qui rendaient visibles les articles de fact-checking dans son moteur de recherche depuis 2017, comme CheckNews l’a relevé.

En outre, la déferlante de contenus générés par IA est telle que les plateformes et réseaux sociaux sont eux aussi submergés de contenus GenAI, qu’il s’agisse de YouTube, Instagram, TikTok, Facebook et même LinkedIn, comme le relatait l’épisode de Last Week Tonight with John Oliver consacré cet été à l’« AI slop », du surnom donné à ces contenus bas de gamme générés par IA.

Plus de 7 000 sites d’info GenAI, mais jusqu’à quand ?

Cet article est l’occasion de rappeler que l’extension (gratuite) pour les navigateurs Firefox et Chrome, développée par Next afin d’afficher un message d’alerte lorsque ses utilisateurs visitent un site d’info généré par IA, a franchi le cap des 6 000 sites cet été, et des 7 000 sites peu après la rentrée.

• Alerte sur les sites GenAI : notre extension signale plus de 6 000 sites et passe en v2.3

Elle permet par ailleurs à ses utilisateurs de nous envoyer un message lorsqu’ils estiment avoir identifié un site d’info GenAI, et nous avons rajouté, en août, la possibilité d’y associer votre adresse mail, de sorte de pouvoir vous répondre ou en discuter, au besoin.

Depuis son lancement, début février, nous avons ainsi reçu plus de 1 500 signalements de la part de ses utilisateurs. Ces alertes nous ont permis d’identifier plusieurs fermes de contenus de dizaines voire centaines de sites, et de nombreux sites GenAI que nous n’avions pas encore détectés, ou qui ont récemment été mis en ligne. Nous tenions donc à vous en remercier.

PS : nous n’y répertorions que les seuls sites d’information/actu/médias, pas les sites GenAI type ChatGPT & Cie. Les chatbots d’IA génératives peuvent être utiles, du moment où ils sont utilisés à bon escient, en en comprenant les limites, et problèmes associés. Les sites d’infos GenAI, par contre, ne sauraient en l’état être considérés comme fiables, nonobstant le fait que leur objectif n’est pas d’informer.

De « Don't be evil » à « Je danse le mIA »

L’algorithme Discover de « recommandation de contenus » de Google, principale source de trafic des sites journalistiques français, est devenu une « pompe à fric » pour les sites monétisés par la publicité, majoritairement financés par… la régie publicitaire de Google. Au point que près de 20 % des 1 000 sites d’info les plus recommandés par Google Discover, et 33 % des 120 sites les plus recommandés par Google News, à la rubrique Technologie, sont générés par IA.

Dans la mesure où la lutte contre la désinformation nous semble un enjeu de salubrité (numérique) publique, cet article, en principe réservé aux lecteurs premium de Next, est exceptionnellement en accès libre pour 24 heures. Ce sont vos abonnements qui rendent possible ce genre d’enquête au long cours, merci !

En 2024, et pour la deuxième année consécutive, le trafic en provenance de l’algorithme de recommandation de contenus Discover de Google avait explosé de + 50%. Au point d’être devenu la principale source de trafic pour la presse française, avec plus de 500 millions de clics vers des articles de presse par mois, selon le baromètre de la diffusion 2024 de l’Alliance pour la presse d’information générale (APIG).

61 % du trafic des sites d’infos émane en effet de Google, et 68 % de ce trafic émane de Discover, rendant les sites de presse « dépendants » de cet algorithme. Une véritable « pompe à fric » qui attire de nombreux professionnels du marketing numérique, du référencement et du « black hat » SEO, cherchant eux aussi à profiter de cette manne publicitaire, monétisée par… Google via sa régie AdSense.

Une tendance qui ne semble pas prête de s’infléchir, bien au contraire, comme notre enquête au long cours le documente depuis des mois. D’autant que Google a aussi récemment annoncé que Discover serait prochainement disponible en mode « desktop ». Ce qui ne pourra qu’augmenter le trafic des sites qui y sont recommandés, mais également l’appétit des éditeurs de sites GenAI qui voudraient eux aussi pouvoir « poper » sur Discover, pour reprendre l’expression consacrée.

• [Récap] Nous avons découvert des milliers de sites d’info générés par IA : tous nos articles

7 700 articles en 15 jours, soit plus de 510 articles par jour, tout seul

Début août, l’éditeur de Gnewsalyzer, un outil d’analyse du trafic de Google News et Discover, annonçait sur X.com qu’il était désormais possible d’y « visualiser les sites qui viennent de rentrer sur Discover depuis moins de 10 jours et qui performent ». En réponse, son prédécesseur et concurrent (payant) 1492.vision rétorqua qu’il proposait lui aussi une fonctionnalité similaire.

Or, ces nouveaux sites récemment apparus sur Discover et figurant sur leurs captures d’écran respectives ont tous pour point commun d’être générés par IA (GenAI) – à l’exception des quatre sites n’ayant été recommandés que trois fois sur le screen de Gnewsalyzer.

Le créateur de Gnewsalyzer, Clément Pessaux, estimait cet été qu’il parvenait à récupérer de 10 à 20 % des 15 000 articles qui seraient chaque jour recommandés par Discover en français, sans que nous ayons pu vérifier ces chiffres de manière indépendante, non plus que via Google.

La base de données de Gnewsalyzer comporterait à ce jour plus de 6 800 sites, dont 1 000 environ ont été recommandés une dizaine de fois au moins par Discover. Des chiffres qui, à défaut d’être exhaustifs – et probablement minorés pour ce qui est du nombre d’articles réellement recommandés – n’en constituent pas moins un échantillon somme toute représentatif des sites francophones recommandés par Google.

À l’époque, le site qui surperformait sur Discover, decontair-67.fr, y avait à lui seul été recommandé au moins 325 fois en seulement 7 jours (soit 46 fois par jour, en moyenne). Au total, d’après le dashboard de Gnewsalyzer, Discover recommanda 614 de ses articles (au moins) avant qu’il n’en disparaisse, 12 jours après y être apparu la première fois, vraisemblablement pénalisé par Google pour avoir spammé son algorithme, et donc violé ses conditions d’utilisation.

Il est somme toute improbable qu’un média qui serait composé de journalistes puisse choisir un nom de domaine aussi imbitable et un logo aussi ridicule pour se mettre soudainement à publier autant d’articles en aussi peu de temps, a fortiori entre le 1er et le 13 août.

Et ce, pour y publier des titres de cinq lignes relayant des informations abracadabrantesques et illustrées par des images générées par IA croquignolesques, comme cette piscine gonflable remplie par (et avec) des « bouteilles » d’eau minérale, ou cette autre « piscine à glaçons » offerte par un refuge pour chiens et accusée de «  gaspillage d’eau potable ».

Comme c’est quasiment toujours le cas avec les sites GenAI, decontair-67.fr est un nom de domaine expiré, ayant appartenu précédemment à une entreprise de désamiantage de Strasbourg, et racheté par le spammeur. La question reste de savoir pourquoi l’algorithme de Google l’a recommandé ces 614 fois (au moins), mais également pourquoi ses filtres antispam ont mis 15 jours avant de le mettre en quarantaine.

Au-delà des articles publiés sur le site (rien n’interdit de publier du « bullshit », ni d’opter pour des titres « putaclics »), ceux qui furent recommandés par Discover étaient pourtant sujets à caution. Il y était par exemple question d’un retraité sanctionné « pour avoir réparé bénévolement les vélos des enfants du quartier », de familles verbalisées pour avoir improvisé des cabanes sur la plage avec des draps mouillés, ou encore d’un « lac souterrain gigantesque » découvert sous le désert du Sahara et qui « pourrait alimenter toute une région ».

Son successeur, amios.fr, a fait encore plus fort. Apparu sur Discover le 13 août, il a réussi à y faire « poper » au moins 1 608 articles avant d’en être exclu le 28, soit une moyenne de 107 articles par jour.

Là encore, les titres des articles surfaient sur la peur, avec par exemple plus de quarante articles déclinant le fait que « les requins prolifèrent à cause du réchauffement », que les « les scientifiques préviennent que les plages sont devenues des zones de chasse », ou encore qu’ « un expert dit que les vacanciers sont littéralement sacrifiés », eux aussi illustrés par d’improbables images générées par IA. Dix de ces articles n’en ont pas moins été recommandés par Discover.

Pour parvenir à ce que l’outil de suggestion de contenus de Google relaie ces 1 608 articles, amios.fr en a publié plus de 7 700 (soit plus de 510 par jour, en moyenne), d’après une sauvegarde de son sitemap sur archive.org. Signe de la montée en puissance du spammeur, et à titre de comparaison, decontair-67.fr n’en avait publié qu’un peu plus de 2 300 (soit 192 par jour) sur une période équivalente.

La moitié des sites GenAI émane d’un seul serial éditeur…

Début septembre, sur les 30 sites apparus sur Discover ces 10 derniers jours et y ayant été recommandés au moins 4 ou 5 fois, 27 étaient des sites générés par IA (soit 90 %), dont 17 (soit plus de la moitié) appartiennent à la ferme de contenus (« content farm », ou « private blog network » – PBN) de sites GenAI de Julien Jimenez, l’éditeur de decontair-67.fr et amios.fr.

Nous avions consacré un article à ce serial-spammeur de sites GenAI, début juillet, après que d’autres pros du marketing numérique et du référencement (pourtant eux-mêmes éditeurs de sites GenAI), se furent publiquement plaints du volume de spams qu’il envoyait à Discover, au risque d’attirer l’attention de Google sur leur juteux business.

• Éditeur de sites générés par IA, il spamme tellement Google que ses confrères se plaignent

Dans un précédent article, nous avions aussi relevé que plusieurs éditeurs de sites GenAI comparaient Discover aux recommandations algorithmiques « addictives » de TikTok, mais également à une « une drogue » susceptible de « générer une dépendance », au vu des centaines voire milliers d’euros de chiffre d’affaires susceptibles d’être engrangés, par jour. Deux d’entre eux seraient même devenus millionnaires grâce à Discover, en trois mois seulement.

• Sites d’infos générés par IA : « Notre job, c’est gruger Google » pour faire du fric

Mais pour espérer pouvoir « poper » sur Discover, il faut publier. Le 10 juillet dernier, labottega-pinseria.fr, l’un des sites de la ferme Jimenez, avait par exemple publié 760 articles entre 9h03 et 10h03, soit plus de douze articles… par minute.

Au vu de cette hyperproductivité automatisée et humainement impossible à valider, ses articles « hallucinent » régulièrement de nombreuses infox’, elles aussi considérées comme nuisibles à la profession par de nombreux éditeurs de sites GenAI, au motif qu’elles pourraient inciter Google à faire le ménage. Au point que l’un de ses concurrents l’avait qualifié de « maître de la désinformation via une diffusion industrielle de fake news sur ses propres réseaux de sites ».

Julien Jimenez avait déjà attiré l’attention de plusieurs journalistes et rédactions pour avoir publié de nombreux articles au sujet de prétendues fermetures de magasins ayant, dans certains cas, affolé clients, syndicats et employés.

Il est l’un d’ailleurs l’un des rares éditeurs de sites GenAI dont le nom a été rendu public, et à avoir vu plusieurs de ses articles faire l’objet de fact-checks, comme l’avait souligné en juillet l’ONG Reporters sans frontières, déplorant que Google Discover soit « désormais infiltrée par des sites aux titres aguicheurs, aux informations douteuses ou totalement fausses ».

… qui écrase Ouest France, Le Parisien, BFM et L’Équipe

Nous n’avons pas calculé le nombre d’articles publiés chaque jour par chacun des 17 sites de Jimenez figurant dans ce Top30, mais on peut raisonnablement estimer, au vu des statistiques de decontair-67.fr et amios.fr, qu’il en publie probablement plusieurs milliers par jour, sans relecture, ni validation. Et ce, alors qu’il est par ailleurs parti faire un tour du monde en famille début août, et qu’il ne travaillerait qu’à temps partiel, le matin.

L’échantillon d’articles promus sur Discover qu’a recueilli Gnewsalyzer montre que, certains jours, Discover a recommandé jusqu’à 196 articles d’amios.fr, soit deux fois plus que les 94 articles de ouest-france.fr, six fois plus que la trentaine d’articles du Parisien, L’équipe et BFM, et 10 fois plus que les 19 articles du Figaro.

Discover a également recommandé, en 15 jours seulement, deux fois plus d’articles d’amios.fr que ce qu’actu.fr, lequipe.fr, lefigaro.fr et leparisien.fr y ont vu « poper » en 30 jours. Une surproduction sous stéroïdes, générée grâce à l’IA par un professionnel du marketing solitaire (et travaillant à mi-temps), qu’aucune rédaction composée de journalistes humains ne saurait pouvoir effectuer. Mais que l’algorithme Discover de Google n’en « recommande » pas moins à ses lecteurs et utilisateurs.

Le graphique montre par ailleurs que, si amios.fr a disparu de Discover le 28 août, vraisemblablement suite à une pénalité de Google, il a tout de suite été remplacé, le même jour, par un autre site de la ferme de sites GenAI de Jimenez, couteauduviaur.fr, et que ce dernier surperformait tous les autres sites d’info trois jours plus tard seulement.

33 % des sites les plus recommandés sur Google News Technologies sont GenAI

D’après le spécialiste des noms de domaine David Chelly, les sites GenAI de Julien Jimenez lui permettraient d’engranger « à peu près de 100 000 à 150 000 euros de revenus par mois », rémunéré « essentiellement par AdSense » (la régie publicitaire de Google), grâce à un « trafic incroyable », du fait que « les fake news, c’est le meilleur moyen » de créer du buzz et de générer du clic.

Une estimation impossible à vérifier, mais qui a été corroborée par l’une de nos sources bien informées. Or, ce « trafic incroyable », et les revenus associés, correspondent également à autant de pertes de trafic et de revenus pour les médias reposant sur le travail de journalistes professionnels qui, contrairement à la ligne éditoriale que semble privilégier Julien Jimenez, ont à cœur de ne surtout pas publier d’infox’.

Pour autant, si ses sites surperforment, il n’est pas le seul « black hat SEO », loin de là, à faire mieux que de nombreux médias et sites de presse, et donc à cannibaliser le travail des journalistes.

Mi-août, Gnewsalyzer répertoriait en effet un peu moins de 4 300 noms de domaine différents (certains y figurent en doublons, faussant ses stats). Or, nous avons découvert qu’environ 400 d’entre eux au moins (soit un peu plus de 9 %) figuraient dans notre liste d’un peu plus de 7 000 sites d’info générés par IA.

À défaut de pouvoir vérifier (faute de temps) l’intégralité de ces 4 300 noms de domaine, nous avons cela dit vérifié les 1 016 sites ayant été recommandés par Discover au moins 10 fois, et découvert que 184 figuraient dans notre base de données de sites générés par IA, soit plus de 18 %.

Nous avions de fait déjà découvert, en juin, via le Top 50 de DiscoverSnoop.com, que 14 % des 50 sites les plus mis en avant sur Discover France étaient générés par IA. Depuis janvier, plus de 15 sites GenAI y ont figuré, dont 1 pendant 5 mois, 3 pendant 3 mois, 2 pendant 2 mois, & 4 dans son Top25 (dont un pendant 3 mois consécutifs, un autre 2 mois de suite) – quand bien même certains d’entre eux avaient pourtant été signalés comme tels à Google –, signe que nombre de sites GenAI ne sont pas, contrairement à ceux de Julien Jimenez, identifiés comme tels et sanctionnés au bout de 15 jours.

Et ce, alors que Google n’a de cesse de répéter, depuis des mois, que ses « systèmes antispams » excluent « 99 % […] des contenus de faible qualité », comme il vient encore de le répéter au Monde.

Les statistiques de Gnewsalyzer indiquent par ailleurs que, sur les 120 sites les plus recommandés dans la rubrique technologie de Google News, 40 (soit 33 %) sont générés par IA. Ce qui ne semble pas être le cas des autres verticales thématiques, telles que Gnewsalyzer les a indexées. Nous sommes conscients que son dashboard n’analyse qu’une partie des articles recommandés par Google, mais cette surreprésentation des sites GenAI n’en relève pas moins une tendance préoccupante.

« Je ne suis pas journaliste, chacun son métier »

En réponse à la publication en février dernier de nos premiers articles sur cette pollution de sites GenAI, Clément Pessaux (qui n’avait pas encore lancé Gnewsalyzer) avait publié une tribune libre en défense des éditeurs de sites GenAI, qualifiant de « dangereux ce discours qui pose le journalisme comme gardien du temple de certaines vérités ».

Pionnier de l’édition de sites GenAI, Pessaux figure aussi parmi les cofondateurs de Discover Partners, qui se vante de pouvoir décupler le trafic des sites grâce à Discover et d’avoir contribué à générer « plus de 700 millions de visites… dans + de 30 pays différents [et] jusqu’à 5 millions de visiteurs par jour ».

Lui-même éditeur de sites GenAI, nous l’avions également interviewé après que l’un de ses sites ait repris une infox, émanant de sites générés par IA, qui avait pourtant été fact-checkée et démentie entre-temps. « Je ne suis pas journaliste, chacun son métier », nous avait-il rétorqué :

« Quelque part, la matière informative ne m’intéresse pas, c’est de la matière que je sculpte, ce qui m’intéresse c’est comment Google la perçoit, puis après comment la masse des lecteurs la perçoit, pour que l’info soit appréciée de Google et du lecteur. »

• Cette « rumeur » relayée par de nombreux médias émanait de sites générés par IA

Dans une autre vidéo, il reconnaissait par ailleurs que Discover « génère une dépendance, c’est une drogue, il faut le dire, parce que ça génère pas mal d’argent, et quand t’es là-dedans ça devient difficile de lâcher prise, tu deviens mégalo avec ça » :

« Le problème avec Discover, c’est que ça génère énormément d’adrénaline : quand tu as un site qui commence à faire 100 00 ou 200 000 visites par jour, avec 10 000 visiteurs en simultané qui génère entre 200 à 500 euros par jour, multipliés par 30 ça fait 15 000 euros… »

• Sites d’infos générés par IA : « Notre job, c’est gruger Google » pour faire du fric

La publication massive de fake news sur Discover, un « véritable succès d’audience »

Dans une vidéo qu’il vient de mettre en ligne afin d’expliquer comment Gnewsalyzer pouvait aider d’autres éditeurs à « performer » sur Discover, Clément Pessaux qualifie lui-même les sites de Jimenez de « spammeurs », relève qu’ils « ont une durée de vie de 3 semaines, 15 jours 3 semaines, pas plus », mais recommande néanmoins de s’en inspirer :

« Comme toujours avec le SEO en général, ce qui nous intéresse le plus à étudier c’est les sites qui sont « border » qui vont prendre les stratégies les plus avancées, les plus à la marge on va dire, pour pouvoir les adapter à nos propres sites de manière beaucoup plus safe et pérenne. »

Gnewsalyzer a en effet été conçu pour aider les éditeurs de sites à « révolutionner [leur] stratégie Google Discover », notamment grâce à un « espionnage intelligent de la concurrence » afin d’ « analyser les stratégies des sites les plus performants, y compris ceux aux méthodes « borderline » qui constituent pourtant une mine d’or d’informations sur les titres accrocheurs et les typologies d’images qui fonctionnent ». Des éditeurs de sites GenAI se vantent d’ailleurs déjà d’y avoir identifié des patterns leur permettant de surperformer.

Contacté pour savoir comment il expliquait cette surreprésentation des sites GenAI, Clément Pessaux nous répond que « Discover est basé sur Navboost, un algorithme qui mesure avant tout le niveau d’interaction des utilisateurs sur une page : clics, temps de lecture, partages, etc. », et que « les contenus qui performent le plus sont ceux qui intéressent et engagent réellement les lecteurs » :

« Ce n’est donc pas une histoire de « GenAI ou pas GenAI » : c’est une histoire d’adéquation entre l’offre éditoriale et les attentes de l’audience. Tant que certains journalistes continueront à écrire avant tout pour eux-mêmes, sans prendre en compte les formats, les angles, les temporalités ou les sujets qui captent l’attention des lecteurs, ils laisseront mécaniquement la place à ceux qui savent écouter et répondre à cette demande. Les médias traditionnels ont deux options : rester dans un modèle qui ne parle plus aux audiences Discover, ou adapter leurs formats pour exister dans un écosystème qui pèse des millions de lecteurs par jour. »

Interrogé sur la surreprésentation des sites GenAI de Julien Jimenez, les nombreuses infox’ qu’ils relaient, le fait que, faute de respecter les règles de Google, ils sont généralement pénalisés au bout de 15 jours à trois semaines, Clément Pessaux élude nos questions et, relancé, refuse d’y répondre : « Je n’ai rien à dire sur le sujet aujourd’hui, strictement rien ».

« Dans le cas des dernières pénalités, il s’agit de sites qui ont clairement dérivé vers la publication massive de fake news pour faire le buzz et capter du trafic, avec un véritable succès d’audience », avait-il cela dit répondu au Journal du Net, soulignant que « ces sites sont devenus très visibles, attirant ainsi l’attention de tous, y compris de Google, qui a décidé de les exclure de Discover » :

« C’est toute la problématique de Discover aujourd’hui. Une très petite minorité de sites pousse le curseur trop loin, dégradant par amalgames et raccourcis l’image globale de Discover. Les équipes de Google en sont parfaitement conscientes, c’est pourquoi on peut observer, par vagues, des pénalités manuelles tomber. »

Contacté, Julien Jimenez, qui a jusqu’alors systématiquement refusé de répondre aux sollicitations de journalistes, ne nous a pas non plus répondu.

Des infox’ GenAI en « Une » de Google Discover

Notre enquête avait déjà démontré que Google ne respecte pas ses propres règles. Elles stipulent en effet que, pour pouvoir être indexés, les contenus mis en ligne doivent respecter ses critères EEAT (pour « Expertise, Experience, Authoritativeness, Trustworthiness », ou « Expertise, Expérience, Autorité, Fiabilité » en français).

Les sites et articles GenAI que nous avons identifiés, qui semblent majoritairement ne pas avoir été relus avant d’être publiés, « en masse », ne devraient dès lors pas pouvoir figurer dans les résultats de son moteur de recherche, encore moins de Google Actualités, et ne sauraient non plus être « recommandés » par son algorithme Discover de « recommandation » de contenus.

Un problème de filtrage et de modération d’autant plus étonnant que, lorsque Google avait été confronté à une déferlante de publicités reposant sur l’usurpation d’identité de « people » et personnalités, générée par IA, afin de promouvoir des escroqueries, la régie publicitaire de Google avait « rapidement constitué une équipe de plus de 100 experts », et suspendu « plus de 700 000 comptes d’annonceurs », comme nous l’avions relevé.

• Google pénalise les publicités générées par IA (mais pas les médias générés par IA)

Une célérité que Google ne semble pas avoir mise en œuvre pour ce qui est des contenus « générés par IA » recommandés par son algorithme Discover qui, comme nous l’avons aussi documenté, sont par ailleurs majoritairement monétisés par AdSense, la régie publicitaire de Google.

Contacté, Google nous répond que « bien que l’utilisation de l’automatisation, y compris l’IA, pour générer du contenu dans le but principal de manipuler le classement dans les résultats de recherche constitue une violation de nos règles relatives au spam, toute utilisation de l’automatisation, y compris la génération par IA, n’est pas considérée comme du spam (voir plus ici) » :

« Nous nous engageons à proposer des contenus utiles et de haute qualité dans Google Discover, et nos règles interdisent formellement les contenus trompeurs, manipulés ou mensongers. Nos systèmes automatisés sont très efficaces pour appliquer ces règles à grande échelle. Par exemple, comme nous l’avons mentionné, nos systèmes anti-spam maintiennent les résultats de la recherche Google à plus de 99 % exempts de spam. »

Contacté par Le Parisien, à qui nous avons partagé notre enquête, Google précise que « les analyses de Next reposent sur des outils tiers qui ne sont pas directement connectées aux données de Google, ne sont pas représentatives de l’écosystème Discover ».

Il suffit pourtant de consulter la liste (.pdf) des 1 000 sites les plus recommandés par Discover sur Gnewsalyzer pour constater que l’échantillon est bien représentatif de l’écosystème médiatique français, et que quatre des sites GenAI de Jimenez figurent dans son Top120.

Notre enquête montre bien que les sites d’info GenAI de Julien Jimenez « surperforment » les principaux médias français sur Discover – quand bien même ces derniers reposent sur le travail de centaines de journalistes, alors que Jimenez travaille seul et à mi-temps –, et qu’ils ne sont, au mieux, déréférencés qu’au bout de 15 jours à trois semaines seulement – quand bien même ils violent pourtant les règles de Google.

Les sites GenAI sont en outre « sur-représentés » par rapport aux sites d’information – au point de représenter près de 20 % des sites les plus « recommandés », et que le tiers des 120 sites les plus recommandés par Google News, à la rubrique Technologie, sont générés par IA.

Les « éléments de langage » répétés à l’envi depuis des mois par Google sont également contredits par les centaines de captures d’écran que nous accumulons depuis des mois (à partir d’un profil non connecté, pour limiter le profiling associé), les infox GenAI allant jusqu’à figurer à la « Une » et donc en tête des recommandations de Google Discover, comme l’attestent ces quelques captures d’écran, extraites de nos archives.

Il nous est par ailleurs plusieurs fois arrivé de découvrir, dans la quinzaine de contenus recommandés par Discover, que trois, quatre voire cinq articles (soit de 20 à 33 %) émanaient de sites d’infos générés par IA… signe que Google ne parvient pas à filtrer « 99 % » du spam, mais également que « l’EEAT semblerait ne pas avoir l’importance que l’on peut penser », comme l’avaient relevé Abondance et d’autres au sujet de son algorithme de « prédiction » Navboost, conçu pour améliorer les résultats de recherche en se basant sur les interactions des utilisateurs avec les pages de résultats de recherche.

« Google ne dit pas la vérité »

Mi-juillet, Vincent Berthier, responsable du bureau technologies et journalisme de RSF, avait appelé Google à « renforcer ces critères de sélection, ainsi que le contrôle de leur respect, avant que les utilisateurs ne soient submergés par les fausses informations déroulées à la chaîne par ces rotatives numériques » :

« La facilité avec laquelle des sites peu recommandables parviennent à se hisser dans Discover pousse à s’interroger sur les failles de ce service. Il devient urgent de les combler en remaniant son fonctionnement, et d’empêcher la promotion des faux sites d’information. Les bloquer manuellement ne suffira pas : ce sont des hydres. »

Virginie Clève, bien connue dans le monde des médias pour son expertise en matière de marketing numérique et donc de SEO, invite les éditeurs de presse à porter plainte, « tous les mois s’il le faut ». Elle estime en effet que « Google ne dit pas la vérité », alors qu’« en termes de réputation, c’est catastrophique d’être responsable d’une telle dispersion de contenus pourris, anxiogènes, faux, fracturant la société ou contribuant à sa déstabilisation ».

Pour elle, Google « ne fait rien » parce que le problème concerne principalement la France (du fait que « les spammeurs SEO FR sont parmi les plus doués au monde »), et peu leur marché domestique états-uniens, ce pourquoi Google minimiserait l’ampleur de cette pollution.

Elle estime également que le fait de renforcer l’antispam de Discover ne serait pas prioritaire, alors que stratégiquement les moyens sont mis ailleurs, en particulier sur l’IA, et que « cela ne gène en rien l’audience et l’adoption du produit, sans doute même l’inverse ».

Face à cette épidémie d’infox, Google… invisibilise le fact-checking

Sur sa page « Notre approche de la recherche », Google indique que sa mission est « d’organiser les informations à l’échelle mondiale dans le but de les rendre accessibles et utiles à tous ». Or, Google a récemment annoncé – sans prévenir les rédactions concernées – la fin de l’affichage des balises ClaimReview qui rendaient visibles les articles de fact-checking dans son moteur de recherche depuis 2017, comme CheckNews l’a relevé.

En outre, la déferlante de contenus générés par IA est telle que les plateformes et réseaux sociaux sont eux aussi submergés de contenus GenAI, qu’il s’agisse de YouTube, Instagram, TikTok, Facebook et même LinkedIn, comme le relatait l’épisode de Last Week Tonight with John Oliver consacré cet été à l’« AI slop », du surnom donné à ces contenus bas de gamme générés par IA.

Plus de 7 000 sites d’info GenAI, mais jusqu’à quand ?

Cet article est l’occasion de rappeler que l’extension (gratuite) pour les navigateurs Firefox et Chrome, développée par Next afin d’afficher un message d’alerte lorsque ses utilisateurs visitent un site d’info généré par IA, a franchi le cap des 6 000 sites cet été, et des 7 000 sites peu après la rentrée.

• Alerte sur les sites GenAI : notre extension signale plus de 6 000 sites et passe en v2.3

Elle permet par ailleurs à ses utilisateurs de nous envoyer un message lorsqu’ils estiment avoir identifié un site d’info GenAI, et nous avons rajouté, en août, la possibilité d’y associer votre adresse mail, de sorte de pouvoir vous répondre ou en discuter, au besoin.

Depuis son lancement, début février, nous avons ainsi reçu plus de 1 500 signalements de la part de ses utilisateurs. Ces alertes nous ont permis d’identifier plusieurs fermes de contenus de dizaines voire centaines de sites, et de nombreux sites GenAI que nous n’avions pas encore détectés, ou qui ont récemment été mis en ligne. Nous tenions donc à vous en remercier.

PS : nous n’y répertorions que les seuls sites d’information/actu/médias, pas les sites GenAI type ChatGPT & Cie. Les chatbots d’IA génératives peuvent être utiles, du moment où ils sont utilisés à bon escient, en en comprenant les limites, et problèmes associés. Les sites d’infos GenAI, par contre, ne sauraient en l’état être considérés comme fiables, nonobstant le fait que leur objectif n’est pas d’informer.

You've been workslopped

La banalisation du recours à l’IA amène de plus en plus d’employés, mais également de managers, à y recourir pour améliorer leur productivité, travailler plus vite, voire moins. Les contenus de faible qualité qui en émanent parfois doivent pourtant être corrigés et retravaillés par leurs collègues, sapant la confiance au sein des équipes professionnelles.

Après les sites d’infos générés par IA (GenAI), les contenus, images ou vidéos bas de gamme polluant, eux aussi, de plus en plus les réseaux sociaux (AI slop), voici venir le « workslop », son pendant professionnel, partagé en entreprise entre collègues.

Un sondage effectué auprès de 1 150 employés de bureau, aux États-Unis, indique que 40 % des répondants en avaient reçu le mois dernier et que 63% en auraient reçu au moins 10 %. L’analyse et correction de chaque workslop reçu leur avait fait perdre, en moyenne, près de 2 heures de leur temps, représentant une « taxe invisible » de 186 dollars par employé et par mois, soit l’équivalent de 9 millions de dollars annuel pour une entreprise de 10 000 employés.

Le sondage émane de BetterUp (qui se présente comme l’inventeur du coaching numérique) et du Stanford Social Media Lab, qui étudie l’impact des outils numériques sur la santé et le bien-être, la manière dont les gens comprennent et font confiance aux informations numériques, ainsi que les effets de l’intelligence artificielle sur la communication humaine.

Ils présentent la notion de « workslop » comme un contenu généré par l’IA « qui a une belle apparence, mais qui manque de substance pour faire avancer de manière significative une tâche donnée », comme ils l’expliquent dans un article de la Harvard Business Review (HBR).

Leurs diapositives soignées, code sans contexte, résumés trop succincts ou rapports longs et structurés (voire interminables) feraient certes « illusion », dans un premier temps. Si certains employés recourent à l’IA pour peaufiner un travail de qualité, améliorer la productivité et gagner du temps, le « workslop » transfère quant à lui la charge de travail du créateur au destinataire, obligeant collègues et employés à devoir refaire le job, afin d’en corriger les erreurs et approximations.

Le sondage (auquel tout un chacun peut répondre) leur demandait en effet s’ils avaient déjà «
reçu un contenu professionnel qui, selon vous, a été généré par une IA et qui semble accomplir une tâche au travail, mais qui est en réalité inutile, de mauvaise qualité et/ou donne l’impression que l’expéditeur n’a pas fourni suffisamment d’efforts ».

Quand l’IA transfère le travail cognitif à un autre être humain

Les employés concernés estiment qu’en moyenne 15,4 % du contenu qu’ils reçoivent au travail relèvent du « workslop », émanant principalement de collègues (40 %). 18 % serait par contre envoyé aux managers par leurs subordonnés directs, et 16 % aux employés par leurs hiérarchies et managers, voire depuis des échelons supérieurs.

Au lieu de renforcer le travail d’équipe, le « workslop » rendrait les collègues agacés (53 %), confus (38 %) et offensés (22 %), saperait la confiance des équipes, rendrait contre-productif le recours à l’IA dans les organisations, tout en étant susceptible de miner les rapports hiérarchiques, lorsqu’il émane d’un supérieur ou donneur d’ordre, comme en atteste le témoignage anonymisé d’un des sondés :

« Recevoir ce travail de mauvaise qualité m’a fait perdre beaucoup de temps et m’a causé beaucoup de désagréments. Comme il m’avait été fourni par ma supérieure, je ne me sentais pas à l’aise de lui faire remarquer sa mauvaise qualité et de lui demander de le refaire. J’ai donc dû faire l’effort de faire quelque chose qui aurait dû être de sa responsabilité, ce qui m’a empêché de me consacrer à mes autres projets en cours. »

Contrairement aux promesses de gains de productivité associées à l’« intelligence artificielle », cette externalisation mentale vers une machine « transfère le travail cognitif à un autre être humain », notent les chercheurs.

De quoi alourdir la « charge mentale » des collègues obligés de devoir décoder le contenu et déduire le contexte manquant ou erroné, ce qui peut « entraîner une cascade de processus décisionnels complexes et laborieux, notamment des retouches et des échanges délicats avec les collègues », comme le montrent ces autres témoignages :

• « Il était un peu difficile de comprendre ce qui se passait réellement dans l’e-mail et ce qu’il voulait vraiment dire. Il a probablement fallu une heure ou deux pour rassembler tout le monde et réagencer l’information de manière claire et concise.
• J’ai dû perdre encore plus de temps à vérifier les informations et à les recouper avec mes propres recherches. J’ai ensuite dû perdre encore plus de temps à organiser des réunions avec d’autres superviseurs pour régler le problème. Puis j’ai continué à perdre mon temps en refaisant moi-même le travail. »

Le coût le plus dommageable se situerait du côté des relations interpersonnelles. Environ la moitié des personnes interrogées considéraient les personnes leur ayant envoyé du workslop comme moins créatifs (54 %), moins compétents (50 %) et moins fiables (49 %) qu’ils ne l’estimaient jusqu’alors. 42 % les considéraient également comme moins dignes de confiance et 37 % les jugeaient moins intelligents.

De plus, 34 % des personnes ayant reçu du workslop en informent leurs collègues ou leurs supérieurs, ce qui peut attiser les tensions au sein des équipes, et 32 % déclarent être moins enclines à vouloir retravailler avec l’expéditeur à l’avenir.

Les femmes utilisant l’IA sont deux à quatre fois plus pénalisées

Cela fait écho à une autre étude récente effectuée auprès de 1 026 ingénieurs au sujet de leur perception supposée des compétences associées à l’utilisation de l’IA au travail, elle aussi relayée par la HBR. Lorsqu’on leur faisait croire que le code présenté avait été généré avec l’aide d’une IA, les notes étaient en moyenne inférieures de 9 %, une « pénalité » visant la capacité perçue de la personne l’ayant écrit.

Cette pénalité était en outre plus de deux fois plus sévère pour les femmes ingénieures : 13 % contre 6 % pour les ingénieurs masculins : « Lorsque les évaluateurs pensaient qu’une femme avait utilisé l’IA pour écrire du code, ils remettaient beaucoup plus en question ses compétences fondamentales que lorsqu’ils évaluaient le même code assisté par l’IA écrit par un homme ».

Une méfiance accrue du côté de ceux qui n’utilisent pas l’IA, bien plus sévères dans leurs critiques, allant jusqu’à pénaliser 26 % plus sévèrement les ingénieures femmes que leurs pairs masculins pour une utilisation identique de l’IA.

La HBR souligne qu’un moyen de lutter contre les effets de bord du « workslop » et des préjugés associés à l’IA serait, paradoxalement, d’organiser des hackathons ouverts à l’ensemble des employés, qu’ils soient techniciens ou non, afin de les acculturer, et de les faire monter en compétence.

Pinterest a ainsi invité ses dirigeants à jouer le rôle de « hack doctors » et de chefs d’équipe, apportant leur crédibilité à l’expérimentation de l’IA. Résultats : 96 % des participants ont déclaré continuer à utiliser l’IA chaque mois, et 78 % des ingénieurs ont reconnu que l’IA leur avait permis de gagner du temps.

« IT’s complicated »

BetterUp rappelle pour sa part qu’il ne faudrait surtout pas, pour autant, systématiser le recours à l’IA, mais uniquement lorsque son utilité a été démontrée, de façon transparente et supervisée, tant pour éviter le « shadow IT », les risques de fuites de secrets d’affaires et données personnelles, que pour amoindrir la probabilité de « workslop ».

« Si l’IA est l’affaire de tous, il incombe avant tout aux dirigeants de l’organisation d’élaborer des lignes directrices à l’intention des employés afin de les aider à utiliser cette nouvelle technologie de manière à ce qu’elle corresponde au mieux à la stratégie, aux valeurs et à la vision de l’organisation », et donc « élaborer ses propres politiques et recommandations rigoureuses concernant les meilleures pratiques, les meilleurs outils et les normes à respecter ».

« Le workslop peut sembler facile à créer, mais il a un coût pour l’organisation », souligne BetterUp, pour qui « les dirigeants ont tout intérêt à montrer l’exemple en utilisant l’IA de manière réfléchie, avec un objectif et une intention précis » :

« Définissez des garde-fous clairs pour vos équipes en matière de normes et d’utilisation acceptable. Présentez l’IA comme un outil collaboratif, et non comme un raccourci. Adoptez un état d’esprit pionnier, avec beaucoup d’initiative et d’optimisme, en utilisant l’IA pour accélérer l’obtention de résultats spécifiques grâce à une utilisation ciblée. Et appliquez les mêmes normes d’excellence au travail effectué par des duos humains-IA bioniques qu’à celui effectué par des humains seuls. »

Ce n’est pas la première fois, et certainement pas la dernière, que le recours à l’IA en entreprise s’avère contre-productif. En mai, une enquête d’IBM effectuée auprès de 2 000 CEO indiquait ainsi que 25 % seulement des projets d’intégration d’intelligence artificielle avaient produit le retour sur investissement attendu, et que 16 % seulement avaient été étendus à l’ensemble de l’entreprise.

• Un quart des projets d’IA produisent le retour sur investissement attendu selon IBM

En juillet, une étude qualitative comparant le travail de 16 développeurs expérimentés montraient, « de façon surprenante », que l’IA générative rendrait les développeurs « plus lents » : « ils prennent 19 % plus de temps que sans ».

• La productivité des développeurs semble baisser quand ils utilisent l’IA générative

En août, une étude du laboratoire dédié à l’IA décentralisée du MIT concluait que 95% des projets internes d’IA générative menés à des fins productives en entreprise n’engendraient aucun impact visible sur le résultat d’exploitation.

• D’après le MIT, 95% des projets métier d’IA générative ne délivrent aucun ROI

L’US Secret Service a démantelé un réseau de plus de 300 serveurs SIM et découvert 100 000 cartes SIM répartis dans plusieurs appartements localisés dans un rayon de 35 miles (un peu plus de 56 kilomètres) autour du siège des Nations Unies, à New York.

Une première analyse des données a permis d’établir des liens « avec au moins un pays étranger, ainsi qu’avec des criminels déjà connus des autorités américaines, notamment des membres de cartels », ont déclaré lundi des responsables à des journalistes lors d’une conférence téléphonique, précise le New York Times.

Un officiel précise au NYT que le réseau était capable d’envoyer 30 millions de SMS à la minute, mais aussi d’interférer avec les communications des services d’urgence, et qu’ils auraient pu être utilisés pour perturber voire saturer les réseaux cellulaires.

Cette découverte fait suite à une enquête de plusieurs mois ouverte au printemps dernier après que plusieurs hauts responsables du gouvernement états-unien avaient fait l’objet de menaces téléphoniques de type « swatting » (dérivé du nom des unités d’intervention SWAT, acronyme de « Special Weapons And Tactics », ou « armes spéciales et tactiques » en français).

Pour rappel, ces soi-disant « canulars téléphoniques » consistent à appeler les services d’urgence en se faisant passer pour un individu menaçant de commettre un meurtre, voire un massacre. L’objectif est d’envoyer en urgence les unités des forces spéciales de la police au domicile de la personne victime de l’usurpation d’identité.

D’après CNN, le domicile de Marjorie Taylor Greene, une femme politique d’extrême-droite complotiste, avait été ciblé en décembre 2023. En janvier 2024, la juge fédérale chargée de superviser le procès de Donald Trump pour subversion électorale lors de la présidentielle de 2020 avait elle aussi été visée.

Dans le mois suivant l’élection de Donald Trump, plusieurs membres de son cabinet ou de son administration, dont un membre du Secret Service et deux employés de la Maison-Blanche, avaient également été menacés de la sorte.

L’Advanced Threat Interdiction Unit, l’unité chargée de la lutte contre les menaces avancées, avait alors été chargée d’enquêter à ce sujet, en collaboration avec plusieurs autres organismes chargés de l’application de la loi (le département de la Sécurité intérieure, le Bureau du directeur du renseignement national, le département de police de New York, notamment).

Contrairement à ce que son nom pourrait laisser penser, l’United States Secret Service (USSS) a pour mission de lutter contre la fraude financière et le faux monnayage, et d’assurer la protection des plus hauts responsables états-uniens (actuels et ex-présidents des USA ou étrangers en visite), leurs familles et certains représentants officiels. Il avait aussi été chargé de sécuriser le sommet des Nations Unies censé réunir plus d’une centaine de dirigeants politiques du monde entier cette semaine à New York.

L’US Secret Service a démantelé un réseau de plus de 300 serveurs SIM et découvert 100 000 cartes SIM répartis dans plusieurs appartements localisés dans un rayon de 35 miles (un peu plus de 56 kilomètres) autour du siège des Nations Unies, à New York.

Une première analyse des données a permis d’établir des liens « avec au moins un pays étranger, ainsi qu’avec des criminels déjà connus des autorités américaines, notamment des membres de cartels », ont déclaré lundi des responsables à des journalistes lors d’une conférence téléphonique, précise le New York Times.

Un officiel précise au NYT que le réseau était capable d’envoyer 30 millions de SMS à la minute, mais aussi d’interférer avec les communications des services d’urgence, et qu’ils auraient pu être utilisés pour perturber voire saturer les réseaux cellulaires.

Cette découverte fait suite à une enquête de plusieurs mois ouverte au printemps dernier après que plusieurs hauts responsables du gouvernement états-unien avaient fait l’objet de menaces téléphoniques de type « swatting » (dérivé du nom des unités d’intervention SWAT, acronyme de « Special Weapons And Tactics », ou « armes spéciales et tactiques » en français).

Pour rappel, ces soi-disant « canulars téléphoniques » consistent à appeler les services d’urgence en se faisant passer pour un individu menaçant de commettre un meurtre, voire un massacre. L’objectif est d’envoyer en urgence les unités des forces spéciales de la police au domicile de la personne victime de l’usurpation d’identité.

D’après CNN, le domicile de Marjorie Taylor Greene, une femme politique d’extrême-droite complotiste, avait été ciblé en décembre 2023. En janvier 2024, la juge fédérale chargée de superviser le procès de Donald Trump pour subversion électorale lors de la présidentielle de 2020 avait elle aussi été visée.

Dans le mois suivant l’élection de Donald Trump, plusieurs membres de son cabinet ou de son administration, dont un membre du Secret Service et deux employés de la Maison-Blanche, avaient également été menacés de la sorte.

L’Advanced Threat Interdiction Unit, l’unité chargée de la lutte contre les menaces avancées, avait alors été chargée d’enquêter à ce sujet, en collaboration avec plusieurs autres organismes chargés de l’application de la loi (le département de la Sécurité intérieure, le Bureau du directeur du renseignement national, le département de police de New York, notamment).

Contrairement à ce que son nom pourrait laisser penser, l’United States Secret Service (USSS) a pour mission de lutter contre la fraude financière et le faux monnayage, et d’assurer la protection des plus hauts responsables états-uniens (actuels et ex-présidents des USA ou étrangers en visite), leurs familles et certains représentants officiels. Il avait aussi été chargé de sécuriser le sommet des Nations Unies censé réunir plus d’une centaine de dirigeants politiques du monde entier cette semaine à New York.

Un inconnu vous offre un influenceur, c'est l'effet magique d'Impulse

Après avoir multiplié des messages d’alerte anxiogènes au sujet d’une fuite de 10 à 12 millions de données provenant prétendument de l’Agence Nationale des Titres Sécurisés (ANTS), un « gentil hacker », aux méthodes le rapprochant des « influenceurs » en quête de buzz, vient de reconnaître que « ce n’est peut-être pas l’ANTS, certes… ». Reste à identifier la provenance et la nature des données.

Ce mercredi 17 septembre, le « gentil hacker » Clément Domingo, également connu sous le pseudonyme SaxX, avance sur LinkedIn et X.com que l’Agence Nationale des Titres Sécurisés (ANTS, devenue France Titres), « service étatique utilisé par l’ensemble de la population française a été compromis » et que « 10 à 12 M de données critiques » ont été « mises en vente pour 170 € sur le « Amazon de la cybercriminalité » » (nous ne corrigeons pas les fautes de syntaxe, grammaire ou d’orthographe des citations, ndlr).

La fuite, résultant d’une cyberattaque qui « date d’au moins 8 mois » d’après lui, concernerait des actes de naissance, mariage et décès suite à une demande de titre d’identité ou sur demande d’un office notarial, qui auraient été piratées par de jeunes cybercriminels français :

« Pour rappel, l’ANTS (Titres Sécurisés) au travers de COMEDEC (COMmunication Electronique des Données de l’Etat Civil) est un dispositif permettant l’échange dématérialisé de données d’état civil entre les destinataires des données d’état civil (administrations et notaires) et les dépositaires de ces données (mairies et service central de l’état civil de Nantes). »

Il notait par ailleurs qu’une première annonce de cette base de données avait été faite « en mars 2025 puis en septembre 2025 », que « la base de données tourne de plus en plus » et qu’ « initialement mise à la vente à 10 000 $ puis 5 000 $ », elle l’était désormais « pour à peine 200 $… », sans préciser pourquoi elle serait ainsi bradée.

Une capture d’écran laissait entendre que la faille aurait été exploitée en mars, via un « programme affilié » au dispositif d’échange dématérialisé de données d’état civil COMEDEC mis à disposition des mairies par l’ANTS/France Titres.

Auraient été compromises 10,3M+ de « lignes de données » (« rows of datas » en VO) telles que noms, prénoms, adresses postales et e-mails, dates (et lieux) de naissance et de décès, numéros de téléphone personnel, professionnel et portable. Elles concerneraient 10 342 621 « clients compromis », sans que l’on comprenne donc s’il s’agirait de plus de 10 millions de « données », ou de données portant sur plus de 10 millions de « personnes ».

Une deuxième capture d’écran, effectuée le 14 septembre, évoque elle aussi une base de données de l’ANTS/France Titres/COMEDEC, mise en vente pour 200 $ par un utilisateur « banni » pour avoir enfreint les règles de la plateforme précise 01Net. Elle comporterait 12 785 261 lignes (« rows » en VO), sans explication sur l’augmentation avec les 10 342 621 lignes de juin.

L’ANTS ou un autre service critique de l’administration française

Interrogée par franceinfo, l’ANTS affirmait dans la foulée que ses services n’ont « constaté aucune fuite de données ». Elle pointait également plusieurs incohérences, soupçonnant une « exploitation de données ayant déjà fuité », mais « attribuée par les pirates à une agence étatique pour gagner en crédibilité » :

« Le format des données vendues ne correspond pas au nôtre, ils prétendent avoir ciblé une adresse URL qui n’abrite pas de base de données, le prix de 200 dollars paraît faible pour 12 millions de lignes de données… »

Sur LinkedIn, le journaliste Émile Marzolf de POLITICO évoquait une « prétendue fuite de données massive » et soulignait de son côté que l’ANTS y « voit plutôt un repackaging/remarketing de précédentes fuites (certaines concernaient-elles l’ANTS ?) pour rendre plus attractive la base de données et réussir à la vendre ». Il relevait d’ailleurs qu’on trouve aussi dans la liste qui circule « toutes sortes de données, notamment professionnelles, qui n’ont rien à voir avec l’ANTS (mais qui viennent bien de quelque part) ».

Patient OAuth

Le piratage du compte GitHub de Salesloft, entre mars et juin, a permis par rebond la compromission de comptes Salesforce, puis de centaines de ses clients. Si l’ingénierie sociale figure toujours au départ de l’attaque, cette dernière illustre le phénomène nouveau de « prolifération des autorisations ». 28 entreprises seulement ont à ce jour reconnu avoir elles aussi été victimes.

Début septembre, on apprenait que le vol d’identifiants de salariés de Salesloft, puis de Salesforce, aurait pu affecter quelque 700 organisations recourant à leurs solutions de gestion de la relation client (CRM), comme nous l’avions raconté dans le fact-checking du soi-disant piratage de GMail.

• 2,5 milliards d’utilisateurs Gmail compromis ? Non, mais 700 entreprises potentiellement

Le groupe à l’origine du piratage a expliqué depuis à BleepingComputer que les jetons OAuth de l’application Drift de Salesloft qu’ils avaient compromis leur ont ensuite permis de dérober « environ 1,5 milliard de données provenant de 760 entreprises à partir des champs « Account« , « Contact« , « Case« , « Opportunity » et « User«  » d’applications Salesforce associées.

Ces derniers comprennent notamment les noms, pseudos, dates de naissance, adresses e-mail et postales, numéros de téléphone (portables, professionnels et personnels) ou encore revenus annuels estimés de prospects et clients.

Salesloft Drift est une plateforme qui connecte un agent de chat, Drift AI, à une instance Salesforce, pour permettre aux entreprises clientes de synchroniser les conversations, les prospects et les demandes d’assistance dans leur CRM. Drift Email est pour sa part utilisé pour gérer les réponses aux e-mails et organiser les bases de données CRM et d’automatisation du marketing, précise BleepingComputer.

Les attaques de type « prolifération des autorisations »

D’après BleepingComputer, Scattered Lapsus$ Hunters, à l’origine de l’attaque, regrouperait des pirates informatiques des groupes ShinyHunters, Scattered Spider et Lapsus$, spécialistes de l’ingénierie sociale et de l’extorsion de données.

En 2022, sept d’entre-eux, âgés de 17 à 21 ans, avaient été arrêtés par la police britannique. Leur porte-parole présumé, un autiste de 17 ans, avait alors amassé une fortune de 300 bitcoin, soit près de 14 millions de dollars, avant d’être dénoncé par des rivaux.

• L’étonnant profil du groupe cybercriminel LAPSUS$

Le Google Threat Intelligence Group (GTIG), qui les suit sous les intitulés UNC6040 et UNC6395, avait détaillé leur modus operandi en juin dernier. Joshua Wright, du SANS Institute, avait consacré un article à ce qu’il qualifie de « prolifération des autorisations » (« authorization sprawl », en VO), de plus en plus exploitée par des acteurs malveillants, et tout particulièrement par les membres de Scattered Spider.

En avril, Florian Roth, chef de la recherche dans la société de cybersécurité Nextron Systems, résumait ce nouveau modus operandi des acteurs de la menace en avançant que « les violations de données dans le cloud ne sont pas des piratages, mais des connexions » :

« Dans le passé, il fallait : hameçonner un utilisateur, déposer un logiciel malveillant, élever les privilèges, pivoter vers les serveurs, échapper à l’EDR [Endpoint detection and response, ndlr], voler les informations d’identification, se déplacer latéralement, s’exfiltrer discrètement, effacer ses traces, laisser une porte dérobée.

Aujourd’hui, vous n’avez qu’à : hameçonner un utilisateur, voler un jeton OAuth, accéder à tout depuis n’importe où. »

Un compte GitHub compromis de mars à juin

Une enquête de Mandiant a permis de découvrir que les pirates avaient d’abord compromis le compte GitHub de Salesloft de mars à juin 2025, entraînant le vol de jetons OAuth Drift. Ces derniers ont ensuite été utilisés, en août, dans le cadre d’attaques généralisées visant à voler des données Salesforce, explique BleepingComputer.

« Les premières conclusions ont montré que l’objectif principal de l’acteur était de voler des identifiants, en se concentrant spécifiquement sur des informations sensibles telles que les clés d’accès AWS, les mots de passe et les jetons d’accès liés à Snowflake », précisait Salesloft le 26 août.

Les pirates avaient également téléchargé du code à partir de plusieurs dépôts GitHub et ajouté des comptes d’utilisateurs invités, préparant le terrain pour les attaques ultérieures. Ils ont ensuite piraté l’environnement AWS de Drift, ce qui leur a permis de voler les jetons OAuth utilisés pour accéder aux données de certains de leurs clients, dont Salesforce et Google Workspace.

ShinyHunters a déclaré à BleepingComputer avoir utilisé le logiciel open source TruffleHog, développé par Truffle Security pour pouvoir précisément scanner des dépôts type GitHub à la recherche de clefs API, mots de passe, clefs de chiffrement privées, etc.

Le groupe déclare vouloir « passer dans la clandestinité »

Le groupe ShinyHunters/ScatteredSpider/LAPSUS$ a déclaré la semaine passée vouloir « passer dans la clandestinité », et cesser de discuter de ses opérations sur Telegram. Dans un message d’adieu, repéré par Databreaches.net, ses membres ont aussi affirmé avoir piraté le système LERS (Law Enforcement Request System) de Google, utilisé par les forces de l’ordre pour émettre des demandes de données, ainsi que la plateforme eCheck du FBI, utilisée pour effectuer des vérifications d’antécédents.

« Nous avons identifié qu’un compte frauduleux a été créé dans notre système pour des demandes des forces de l’ordre et avons désactivé le compte », a déclaré Google à BleepingComputer, précisant qu’ « aucune demande n’a été faite avec ce compte frauduleux et aucune donnée n’a été consultée ».

Le FBI, qui a refusé de répondre à BleepingComputer, a dans la foulée publié une alerte FLASH (.pdf) « pour diffuser des indicateurs de compromis (IOC) associés aux récentes activités cybernétiques malveillantes des groupes cybercriminels UNC6040 et UNC6395, responsables d’un nombre croissant d’intrusions de vol et d’extorsion de données ».

Il recommande notamment de sensibiliser les employés des centres d’appel, qui constituent le premier vecteur de compromission des jetons OAuth ciblés par le groupe de pirates, et de généraliser, autant que faire se peut, l’authentification forte multifactorielle.

Signe de l’ampleur du problème, Scattered Spider avait déjà fait l’objet d’une précédente alerte, co-signée par le FBI, la Cybersecurity and Infrastructure Security Agency (CISA) et ses équivalents australiens, britanniques et canadiens. Initialement publiée en novembre 2023, elle avait été mise à jour fin juillet pour intégrer de nouveaux indicateurs de compromission.

Le site driftbreach.com recense les entreprises ayant reconnu avoir été touchées par la violation de jetons OAuth de Salesloft Drift. Y figurent 28 entreprises pour l’instant, dont HackerOne, Fastly, Dynatrace, Qualys, Elastic, CyberArk, Tenable, Proofpoint, Cloudflare, SpyCloud, Palo Alto Networks et Zscaler.

Patient OAuth

Le piratage du compte GitHub de Salesloft, entre mars et juin, a permis par rebond la compromission de comptes Salesforce, puis de centaines de ses clients. Si l’ingénierie sociale figure toujours au départ de l’attaque, cette dernière illustre le phénomène nouveau de « prolifération des autorisations ». 28 entreprises seulement ont à ce jour reconnu avoir elles aussi été victimes.

Début septembre, on apprenait que le vol d’identifiants de salariés de Salesloft, puis de Salesforce, aurait pu affecter quelque 700 organisations recourant à leurs solutions de gestion de la relation client (CRM), comme nous l’avions raconté dans le fact-checking du soi-disant piratage de GMail.

• 2,5 milliards d’utilisateurs Gmail compromis ? Non, mais 700 entreprises potentiellement

Le groupe à l’origine du piratage a expliqué depuis à BleepingComputer que les jetons OAuth de l’application Drift de Salesloft qu’ils avaient compromis leur ont ensuite permis de dérober « environ 1,5 milliard de données provenant de 760 entreprises à partir des champs « Account« , « Contact« , « Case« , « Opportunity » et « User«  » d’applications Salesforce associées.

Ces derniers comprennent notamment les noms, pseudos, dates de naissance, adresses e-mail et postales, numéros de téléphone (portables, professionnels et personnels) ou encore revenus annuels estimés de prospects et clients.

Salesloft Drift est une plateforme qui connecte un agent de chat, Drift AI, à une instance Salesforce, pour permettre aux entreprises clientes de synchroniser les conversations, les prospects et les demandes d’assistance dans leur CRM. Drift Email est pour sa part utilisé pour gérer les réponses aux e-mails et organiser les bases de données CRM et d’automatisation du marketing, précise BleepingComputer.

Les attaques de type « prolifération des autorisations »

D’après BleepingComputer, Scattered Lapsus$ Hunters, à l’origine de l’attaque, regrouperait des pirates informatiques des groupes ShinyHunters, Scattered Spider et Lapsus$, spécialistes de l’ingénierie sociale et de l’extorsion de données.

En 2022, sept d’entre-eux, âgés de 17 à 21 ans, avaient été arrêtés par la police britannique. Leur porte-parole présumé, un autiste de 17 ans, avait alors amassé une fortune de 300 bitcoin, soit près de 14 millions de dollars, avant d’être dénoncé par des rivaux.

• L’étonnant profil du groupe cybercriminel LAPSUS$

Le Google Threat Intelligence Group (GTIG), qui les suit sous les intitulés UNC6040 et UNC6395, avait détaillé leur modus operandi en juin dernier. Joshua Wright, du SANS Institute, avait consacré un article à ce qu’il qualifie de « prolifération des autorisations » (« authorization sprawl », en VO), de plus en plus exploitée par des acteurs malveillants, et tout particulièrement par les membres de Scattered Spider.

En avril, Florian Roth, chef de la recherche dans la société de cybersécurité Nextron Systems, résumait ce nouveau modus operandi des acteurs de la menace en avançant que « les violations de données dans le cloud ne sont pas des piratages, mais des connexions » :

« Dans le passé, il fallait : hameçonner un utilisateur, déposer un logiciel malveillant, élever les privilèges, pivoter vers les serveurs, échapper à l’EDR [Endpoint detection and response, ndlr], voler les informations d’identification, se déplacer latéralement, s’exfiltrer discrètement, effacer ses traces, laisser une porte dérobée.

Aujourd’hui, vous n’avez qu’à : hameçonner un utilisateur, voler un jeton OAuth, accéder à tout depuis n’importe où. »

Un compte GitHub compromis de mars à juin

Une enquête de Mandiant a permis de découvrir que les pirates avaient d’abord compromis le compte GitHub de Salesloft de mars à juin 2025, entraînant le vol de jetons OAuth Drift. Ces derniers ont ensuite été utilisés, en août, dans le cadre d’attaques généralisées visant à voler des données Salesforce, explique BleepingComputer.

« Les premières conclusions ont montré que l’objectif principal de l’acteur était de voler des identifiants, en se concentrant spécifiquement sur des informations sensibles telles que les clés d’accès AWS, les mots de passe et les jetons d’accès liés à Snowflake », précisait Salesloft le 26 août.

Les pirates avaient également téléchargé du code à partir de plusieurs dépôts GitHub et ajouté des comptes d’utilisateurs invités, préparant le terrain pour les attaques ultérieures. Ils ont ensuite piraté l’environnement AWS de Drift, ce qui leur a permis de voler les jetons OAuth utilisés pour accéder aux données de certains de leurs clients, dont Salesforce et Google Workspace.

ShinyHunters a déclaré à BleepingComputer avoir utilisé le logiciel open source TruffleHog, développé par Truffle Security pour pouvoir précisément scanner des dépôts type GitHub à la recherche de clefs API, mots de passe, clefs de chiffrement privées, etc.

Le groupe déclare vouloir « passer dans la clandestinité »

Le groupe ShinyHunters/ScatteredSpider/LAPSUS$ a déclaré la semaine passée vouloir « passer dans la clandestinité », et cesser de discuter de ses opérations sur Telegram. Dans un message d’adieu, repéré par Databreaches.net, ses membres ont aussi affirmé avoir piraté le système LERS (Law Enforcement Request System) de Google, utilisé par les forces de l’ordre pour émettre des demandes de données, ainsi que la plateforme eCheck du FBI, utilisée pour effectuer des vérifications d’antécédents.

« Nous avons identifié qu’un compte frauduleux a été créé dans notre système pour des demandes des forces de l’ordre et avons désactivé le compte », a déclaré Google à BleepingComputer, précisant qu’ « aucune demande n’a été faite avec ce compte frauduleux et aucune donnée n’a été consultée ».

Le FBI, qui a refusé de répondre à BleepingComputer, a dans la foulée publié une alerte FLASH (.pdf) « pour diffuser des indicateurs de compromis (IOC) associés aux récentes activités cybernétiques malveillantes des groupes cybercriminels UNC6040 et UNC6395, responsables d’un nombre croissant d’intrusions de vol et d’extorsion de données ».

Il recommande notamment de sensibiliser les employés des centres d’appel, qui constituent le premier vecteur de compromission des jetons OAuth ciblés par le groupe de pirates, et de généraliser, autant que faire se peut, l’authentification forte multifactorielle.

Signe de l’ampleur du problème, Scattered Spider avait déjà fait l’objet d’une précédente alerte, co-signée par le FBI, la Cybersecurity and Infrastructure Security Agency (CISA) et ses équivalents australiens, britanniques et canadiens. Initialement publiée en novembre 2023, elle avait été mise à jour fin juillet pour intégrer de nouveaux indicateurs de compromission.

Le site driftbreach.com recense les entreprises ayant reconnu avoir été touchées par la violation de jetons OAuth de Salesloft Drift. Y figurent 28 entreprises pour l’instant, dont HackerOne, Fastly, Dynatrace, Qualys, Elastic, CyberArk, Tenable, Proofpoint, Cloudflare, SpyCloud, Palo Alto Networks et Zscaler.

Open(Pravd)AI

Cherchant à satisfaire leurs utilisateurs, les chatbots d’IA générative ont cessé de leur rétorquer qu’ils n’avaient pas de réponse à leurs questions, quitte à raconter n’importe quoi. Dans le même temps, des réseaux de propagande ont ciblé les LLM pour pourrir leurs données d’entraînement, contribuant à aider les IA à raconter n’importe quoi.

Plusieurs médias français se sont récemment fait l’écho d’une étude de la startup de lutte contre la désinformation NewsGuard, avançant que les IA génératives « propagent » et « diffusent » de nombreuses « fake news », qu’elles se tromperaient « une fois sur trois » et seraient « de moins en moins fiables » en matière de lutte contre la désinformation.

Les titres des articles anglophones consacrés à la même étude évoquaient quant à eux le fait que des acteurs malveillants (russes notamment) les instrumentalisent pour « amplifier » leurs désinformations, ce qui n’est pas tout à fait la même chose.

L’étude qu’ils relayaient, intitulée « Le taux de fausses informations répétées par les chatbots d’IA a presque doublé en un an », est bien plus nuancée que ne le laissent entendre les titres des articles en français. L’audit ne consistait pas en effet à demander aux 10 principaux outils d’IA de répondre à des questions d’actualité, mais à tester « leur propension à répéter de fausses affirmations sur des sujets d’actualité ».

Newsguard leur a donc soumis des questions (ou « prompts ») « élaborées à partir d’un échantillon de 10 Empreintes de récits faux, tirées du catalogue de NewsGuard répertoriant les affirmations manifestement fausses qui se propagent en ligne ».

En juillet 2024, NewsGuard avait en effet lancé un « baromètre mensuel des récits faux générés par IA », afin d’évaluer la manière dont les principaux modèles d’IA générative « traitent les affirmations manifestement fausses sur des sujets polémiques ou susceptibles d’être la cible d’acteurs malveillants cherchant à diffuser de fausses informations ».

Son objectif n’est pas de mesurer le taux de fiabilité des chatbots en matière d’accès à l’information, mais de vérifier « si les modèles s’améliorent dans la détection et la réfutation des fausses informations ou s’ils continuent à les répéter ». Et donc, in fine, leur capacité à identifier voire fact-checker des désinformations, une tâche a priori bien plus complexe que celle d’aller chercher des informations, sans les vérifier.

Les chatbots se trompent plus parce qu’ils ont cessé de refuser de répondre

Pour parfaire l’expérience, et s’inspirer des différents types de questions que posent les utilisateurs des chatbots, NewsGuard a testé trois types de requêtes sur chaque récit, « reflétant trois types d’utilisation des outils d’IA en lien avec l’actualité : une question neutre et innocente, une question orientée partant du principe que le récit faux est vrai, et une instruction telle qu’elle proviendrait d’un acteur malveillant cherchant à contourner les garde-fous du chatbot ».

Make America Great Again

Un think tank états-unien a cartographié 561 entités liées au marché mondial des logiciels espions. En un an, le nombre des investisseurs US est passé de 11 à 31, passant devant les 26 israéliens. Son rapport s’étonne par ailleurs de l’impunité dont bénéficient les revendeurs et courtiers, et du fait qu’une société américaine a pu investir dans un logiciel espion figurant sur la liste noire des États-Unis.

Les États-Unis sont devenus en 2024, avant même que Donald Trump ne soit réélu, le plus gros investisseur en matière de logiciels espions réservés aux États, forces de l’ordre et services de renseignement.

Sur les 34 nouveaux investisseurs identifiés en 2024, 20 sont américains, portant leur nombre total à 128, dont 31 aux États-Unis. 31 autres résident en Europe, dont 12 en Italie, connue pour être une plaque tournante des logiciels espions, cinq au Royaume-Uni, quatre en Espagne, plus 26 en Israël. Les deux entités françaises, Nexa Technologies (ex-Amesys) et Zerodium (ex-VUPEN), ont depuis cédé ou cessé leurs activités.

Les chiffres émanant de la deuxième édition de « Mythical Beasts », un rapport de la Cyber Statecraft Initiative (CSI) de l’Atlantic Council, programme de recherche qui se consacre notamment à la prolifération des capacités cyberoffensives, et donc des logiciels espions, ainsi qu’à leurs implications en matière de droits de l’homme et de sécurité nationale.

Les revendeurs et courtiers, « facilitateurs essentiels » des logiciels espions

La CSI a aussi identifié, et cartographié, quatre nouveaux prestataires, sept nouvelles filiales, dix nouveaux fournisseurs, 18 partenaires et 55 individus liés à ce secteur d’activité, portant à 561 le nombre total d’entités œuvrant sur ce marché, dans le monde entier, depuis 1992, soit 130 de plus que dans le premier rapport de l’an passé.

Com' promise

Le projet controversé Chat Control, que la Commission peine à faire adopter depuis trois ans, était « l’une des priorités phares » du Danemark, qui préside le Conseil de l’UE. Mais sauf retournement de situation, l’adoption du texte semble improbable. L’ONG EDRi reproche au Danemark de n’avoir pas cherché à faire de compromis, et de l’avoir réduit à « un exercice de relations publiques [plus] qu’à une véritable volonté de faire avancer les choses », au point qu’ « il est évident que les Danois courent à un nouvel échec ».

Mise à jour du 11 septembre : une représentante du ministère fédéral allemand de l’Intérieur a déclaré hier que « la position danoise ne pouvait pas être soutenue à 100 pour cent », et qu’il s’opposait par exemple à son approche du chiffrement. L’objectif de l’Allemagne serait dès lors d’élaborer une proposition de compromis commune, « notamment afin d’éviter que le règlement provisoire n’arrive à expiration ».

Le Luxembourg se serait lui aussi rangé du côté des opposants, ce qui fait dire à Patrick Breyer que « la minorité de blocage nécessaire pour stopper ce plan de surveillance de masse illégal semble assurée (pour l’instant) ».

---

Dans l’impasse depuis trois ans, le projet de règlement européen « établissant des règles en vue de prévenir et de combattre les abus sexuels sur enfants » (CSA), « projet de loi européen le plus critiqué de tous les temps » dont nous avons moult fois eu l’occasion de narrer la saga, est de nouveau à l’agenda bruxellois.

• La Commission européenne veut surveiller l’intégralité du web, des mails et des messageries chiffrées
• Détection des contenus pédosexuels : le « projet de loi européen le plus critiqué de tous les temps »

Le Danemark, qui a pris la présidence tournante du Conseil de l’Union européenne le 1er juillet 2025, avait présenté le projet « comme l’une de ses priorités phares », relève European Digital Rights (EDRi), qui fédère les principales ONG de défense des droits et libertés numériques européennes.

La timeline documentée par l’ex-eurodéputé pirate Patrick Breyer, qui se bat contre ce projet depuis des années, indique que les pays membres de l’UE sont censés se positionner le 12 septembre à l’occasion d’une discussion du groupe de travail du Conseil sur l’application de la loi. Son adoption par les ministres de l’Intérieur de l’UE est quant à elle prévue le 14 octobre 2025.

Surnommé #ChatControl par ses opposants, le règlement obligerait les fournisseurs de service (y compris les messageries chiffrées) à scanner les photos, vidéos et textes de leurs utilisateurs, sur leurs terminaux, avant qu’ils ne puissent les envoyer.

Une fonctionnalité de « client-side-scanning » (CSS, ou « balayage ») viserait à comparer leurs empreintes (hash) à celles de contenus d’ores et déjà répertoriés dans les bases de données policières de contenus à caractère pédosexuel, comme l’explique l’ex-policier de la DGSI Christophe Boutry sur le site stopchatcontrol.fr qu’il a lancé cet été.

• Haurus, de la DGSI aux droits de la défense (en passant par le darkweb)

Pour la troisième fois en trois ans, plus de 600 cryptographes, chercheurs en sécurité et scientifiques de 35 pays viennent par ailleurs de co-signer une lettre ouverte expliquant ce pourquoi ce projet de scan massif des messages privés est « techniquement irréalisable », constitue un « danger pour la démocratie » et « compromettra totalement » la sécurité et la vie privée de tous les citoyens européens., relève Patrick Breyer.

Ses opposants estiment que le projet reviendrait à installer une porte dérobée (backdoor) et donc à casser le chiffrement de bout-en-bout, puisqu’il devrait s’appliquer aux messageries chiffrées. Si le texte précise bien qu’il ne saurait aller à l’encontre du chiffrement de bout-en-bout, il n’explique pas comment, techniquement, ce CSS pourrait être implémenté, et fonctionner. D’autant qu’il est aussi question de scanner les contenus encore « inconnus » des autorités, tels que les deepfakes générés par IA.

15 pays pour, 6 contre, 6 indécis

Coodgle

Cet été, les équipes de Google ont publié deux alertes au sujet d’un nouveau type d’attaques d’utilisateurs du cloud. Alors qu’elles ciblaient les identifiants de salariés de Salesforce et Salesloft, et que les identifiants de 700 de leurs clients auraient été affectés, de nombreux médias les ont présentées à tort comme affectant l’ensemble des utilisateurs de Gmail. Debunk d’une rumeur.

La semaine passée, de nombreux médias ont repris une rumeur affirmant que Google aurait été victime d’une « cyberattaque » ayant « compromis » tout ou partie des 2,5 milliards de comptes Gmail et ayant entraîné une « fuite massive » de données. Ils enjoignaient les utilisateurs de Gmail à changer de mots de passe « en urgence ». Pour les articles francophones, cette thèse semble émaner de sites d’information générés par IA (GenAI, cf la colonne de gauche), qui avaient traduit en français des articles initialement parus en anglais.

Si Google avait bien communiqué, en décembre 2024, que Gmail comptait « plus de 2,5 milliards » d’utilisateurs, il a fallu attendre ce 1er septembre pour que l’entreprise évoque cette supposée cyberattaque et compromission, en mode « damage control ».

« Nous voulons rassurer nos utilisateurs sur le fait que les protections de Gmail sont fortes et efficaces », souligne l’entreprise dans un court billet de blog intitulé « Les protections de Gmail sont solides et efficaces, et les allégations d’un avertissement de sécurité majeur de Gmail sont fausses » :

« Plusieurs affirmations inexactes ont récemment fait surface, affirmant à tort que nous avions émis un avertissement général à tous les utilisateurs de Gmail concernant un problème majeur de sécurité de Gmail. C’est entièrement faux. »

« Nos protections continuent d’empêcher plus de 99,9 % des tentatives de phishing et de logiciels malveillants d’atteindre les utilisateurs », ajoute Google, reprenant un chiffre évoqué fin 2024. Évoquant son investissement dans la cybersécurité, l’entreprise souligne qu’« Il est crucial que la conversation dans cet espace soit exacte et factuelle ». Ce qui n’a donc pas été le cas.

Après avoir renoncé à deux reprises à consacrer un article à cette fuite, faute d’éléments permettant de la confirmer, profitons de l’occasion pour revenir sur l’itinéraire de cette infox’, maintenant que nous en savons plus sur les entreprises réellement affectées.

Vishing et ingénierie sociale, « sans exploiter aucune vulnérabilité »

Google ne le précise pas, mais la rumeur remonte à une alerte initialement publiée en juin dernier. Le Google Threat Intelligence Group (GTIG) y détaillait le modus operandi du groupe de pirates informatiques ShinyHunters (ou UNC6040). Accusé d’avoir « pompé l’équivalent de 200 millions de données d’une dizaine d’entreprises dans le monde », ce groupe serait en partie composé de Français.

L’un d’entre eux, extradé aux États-Unis, y a été condamné à trois ans de prison pour avoir volé les données d’une soixantaine d’entreprises, dont GitHub, Microsoft et AT&T, pour les revendre en ligne.

City pas zen

Une application communautaire permettant à ses utilisateurs de partager des alertes de sécurité a commencé à remplacer ses salariés par une IA et des travailleurs du clic étrangers sous-payés. Faute de supervision humaine, l’IA a logiquement commencé à « halluciner » de nombreuses alertes inexistantes ou erronées.

Citizen, qui compte environ 10 millions d’utilisateurs aux USA, se présente comme une application « où les gens se protègent les uns les autres ». Ces derniers y partagent les incidents, accidents, incendies et autres évènements susceptibles d’affecter les personnes alentour. Les employés de Citizen, de leur côté, écoutent les fréquences radio de la police en permanence afin d’y rajouter leurs propres alertes.

Sauf que récemment, Citizen a commencé à remplacer certains de ses employés par une IA. Certaines de leurs tâches ont par ailleurs été transférées à des travailleurs au Népal et au Kenya payés 1,50 à 2 dollars de l’heure par CloudFactory, un acteur du business process outsourcing (BPO, sous-traitance de diverses tâches dont l’annotation et la modération de contenu).

• Modération, étiquetage de données : visibiliser le rôle de l’industrie africaine

Citizen a aussi licencié 13 de ses salariés. Une source interne explique à 404 Media que ces derniers, syndiqués, avaient « remis en question la baisse des normes éditoriales liée à l’intégration de l’IA, se détournant de la qualité au profit de la quantité ».

L’IA omet des détails, en rajoute, les interprète mal…

Trois sources internes confient à 404 Media qu’après avoir utilisé l’IA pour aider ses employés à rédiger leurs alertes, Citizen a fini par lui confier la tâche d’écouter les radios policières, transcrire les éventuelles alertes, et les publier sur l’application, sans intervention ni supervision humaine.

Or, l’IA a depuis cumulé les erreurs, et partagé des informations qu’elle n’aurait pas dû. Un « accident de véhicule à moteur » notifié sur une radio policière a par exemple été retranscrit comme « accident de véhicule meurtrier » par l’IA, et envoyé aux utilisateurs de l’application.

D’autres fois, l’IA omettait des informations cruciales, comme de préciser qu’un individu venait de commettre un vol « à main armée ». L’IA se trompait aussi parfois sur les adresses, associant des incidents à des localisations incorrectes.

Il lui est aussi arrivé de partager des détails sordides, données sensibles et numéros de plaques d’immatriculation entendus sur les radios policières, mais qui n’ont pas vocation à être diffusés aux utilisateurs de l’application, conformément aux règles directrices de Citizen.

L’IA a même failli compromettre certaines opérations de maintien de l’ordre en partageant avec les utilisateurs de l’application le fait que des policiers avaient localisé un véhicule volé ou un suspect recherché, ce que des employés humains n’auraient jamais partagé.

L’IA a également « halluciné » une alerte laissant entendre que les agents étaient déjà arrivés sur les lieux d’un incident, alors qu’en réalité le dispatcheur ne faisait que fournir des informations complémentaires pendant qu’ils étaient encore en route.

Il lui est aussi arrivé de dupliquer certaines alertes, faute de comprendre qu’elles faisaient référence à un seul et même incident. L’IA a ainsi interprété les différentes adresses partagées par des policiers au cours d’une course poursuite en autant d’incidents différents, faisant croire aux utilisateurs de l’application que la ville était soudainement victime d’une salve d’attaques à répétition.

Le CEO de Citizen avait lancé une chasse à l’homme… erronée

Les sources de 404 Media déplorent que si cela pouvait « fausser la perception de la criminalité dans une zone donnée », cette démultiplication des incidents, artificiellement générés par IA, ne semblaient pas déranger les cadres supérieurs de Citizen, qui « aimaient le fait de voir plus de points sur la carte et se souciaient moins de savoir s’ils étaient légitimes ».

En 2021, deux des journalistes de 404 Media, qui travaillaient alors à Vice, avaient révélé qu’Andrew Frame, le CEO de Citizen, avait offert aux utilisateurs de l’application une prime de 30 000 $ pour arrêter un pyromane présumé, partageant sur l’application le nom et photographie du suspect présumé :

« Cherchez [le nom de la personne]. Cherchez-le. Les membres de la famille de [nom de la personne]. Il n’est pas venu au monde tout seul, nous avons besoin de votre aide. Nous avons besoin de vous pour nous aider à le contacter et à identifier l’endroit où il se trouve. Nous avons besoin de l’odeur de ses vêtements. Il faut que cet homme quitte la rue pour que nous puissions arrêter de brûler la ville de Los Angeles […] Cette personne est le diable et nous devons l’éliminer de la rue. Nous devons remettre de l’ordre dans notre ville. »

La chasse à l’homme prit fin quelques heures plus tard quand la police arrêta le vrai pyromane, qui n’était pas celui que le CEO de Citizen avait dénoncé. À l’époque, Prince Mapp, le responsable de la communauté de Citizen, avait rétorqué avoir « mobilisé une ville pour qu’une personne soit traduite en Justice ».

Des informations vérifiées provenant de sources officielles

Le mois dernier, souligne 404 Media, le maire de New York, Eric Adams, a partagé sur Instagram une photo faisant de lui un « hug » à Prince Mapp, alors que la ville s’associait à Citizen en créant son propre compte géré par la ville.

« Une grande partie de la construction d’une ville plus sûre consiste à s’assurer que les New-Yorkais disposent des informations dont ils ont besoin pour assurer leur propre sécurité et celle de leurs proches », a déclaré le maire Eric Adams dans un communiqué de presse, qui précise que ce partenariat n’entraînerait « aucun coût » pour les finances de la municipalité :

« L’annonce d’aujourd’hui ajoute une nouvelle couche aux stratégies de communication de la ville en matière de sécurité publique, en aidant à atteindre encore plus de résidents avec des informations opportunes et vérifiées provenant de sources officielles. »

404 Media précise que « Citizen n’a pas répondu à de multiples demandes de commentaires ».

City pas zen

Une application communautaire permettant à ses utilisateurs de partager des alertes de sécurité a commencé à remplacer ses salariés par une IA et des travailleurs du clic étrangers sous-payés. Faute de supervision humaine, l’IA a logiquement commencé à « halluciner » de nombreuses alertes inexistantes ou erronées.

Citizen, qui compte environ 10 millions d’utilisateurs aux USA, se présente comme une application « où les gens se protègent les uns les autres ». Ces derniers y partagent les incidents, accidents, incendies et autres évènements susceptibles d’affecter les personnes alentour. Les employés de Citizen, de leur côté, écoutent les fréquences radio de la police en permanence afin d’y rajouter leurs propres alertes.

Sauf que récemment, Citizen a commencé à remplacer certains de ses employés par une IA. Certaines de leurs tâches ont par ailleurs été transférées à des travailleurs au Népal et au Kenya payés 1,50 à 2 dollars de l’heure par CloudFactory, un acteur du business process outsourcing (BPO, sous-traitance de diverses tâches dont l’annotation et la modération de contenu).

• Modération, étiquetage de données : visibiliser le rôle de l’industrie africaine

Citizen a aussi licencié 13 de ses salariés. Une source interne explique à 404 Media que ces derniers, syndiqués, avaient « remis en question la baisse des normes éditoriales liée à l’intégration de l’IA, se détournant de la qualité au profit de la quantité ».

L’IA omet des détails, en rajoute, les interprète mal…

Trois sources internes confient à 404 Media qu’après avoir utilisé l’IA pour aider ses employés à rédiger leurs alertes, Citizen a fini par lui confier la tâche d’écouter les radios policières, transcrire les éventuelles alertes, et les publier sur l’application, sans intervention ni supervision humaine.

Or, l’IA a depuis cumulé les erreurs, et partagé des informations qu’elle n’aurait pas dû. Un « accident de véhicule à moteur » notifié sur une radio policière a par exemple été retranscrit comme « accident de véhicule meurtrier » par l’IA, et envoyé aux utilisateurs de l’application.

D’autres fois, l’IA omettait des informations cruciales, comme de préciser qu’un individu venait de commettre un vol « à main armée ». L’IA se trompait aussi parfois sur les adresses, associant des incidents à des localisations incorrectes.

Il lui est aussi arrivé de partager des détails sordides, données sensibles et numéros de plaques d’immatriculation entendus sur les radios policières, mais qui n’ont pas vocation à être diffusés aux utilisateurs de l’application, conformément aux règles directrices de Citizen.

L’IA a même failli compromettre certaines opérations de maintien de l’ordre en partageant avec les utilisateurs de l’application le fait que des policiers avaient localisé un véhicule volé ou un suspect recherché, ce que des employés humains n’auraient jamais partagé.

L’IA a également « halluciné » une alerte laissant entendre que les agents étaient déjà arrivés sur les lieux d’un incident, alors qu’en réalité le dispatcheur ne faisait que fournir des informations complémentaires pendant qu’ils étaient encore en route.

Il lui est aussi arrivé de dupliquer certaines alertes, faute de comprendre qu’elles faisaient référence à un seul et même incident. L’IA a ainsi interprété les différentes adresses partagées par des policiers au cours d’une course poursuite en autant d’incidents différents, faisant croire aux utilisateurs de l’application que la ville était soudainement victime d’une salve d’attaques à répétition.

Le CEO de Citizen avait lancé une chasse à l’homme… erronée

Les sources de 404 Media déplorent que si cela pouvait « fausser la perception de la criminalité dans une zone donnée », cette démultiplication des incidents, artificiellement générés par IA, ne semblaient pas déranger les cadres supérieurs de Citizen, qui « aimaient le fait de voir plus de points sur la carte et se souciaient moins de savoir s’ils étaient légitimes ».

En 2021, deux des journalistes de 404 Media, qui travaillaient alors à Vice, avaient révélé qu’Andrew Frame, le CEO de Citizen, avait offert aux utilisateurs de l’application une prime de 30 000 $ pour arrêter un pyromane présumé, partageant sur l’application le nom et photographie du suspect présumé :

« Cherchez [le nom de la personne]. Cherchez-le. Les membres de la famille de [nom de la personne]. Il n’est pas venu au monde tout seul, nous avons besoin de votre aide. Nous avons besoin de vous pour nous aider à le contacter et à identifier l’endroit où il se trouve. Nous avons besoin de l’odeur de ses vêtements. Il faut que cet homme quitte la rue pour que nous puissions arrêter de brûler la ville de Los Angeles […] Cette personne est le diable et nous devons l’éliminer de la rue. Nous devons remettre de l’ordre dans notre ville. »

La chasse à l’homme prit fin quelques heures plus tard quand la police arrêta le vrai pyromane, qui n’était pas celui que le CEO de Citizen avait dénoncé. À l’époque, Prince Mapp, le responsable de la communauté de Citizen, avait rétorqué avoir « mobilisé une ville pour qu’une personne soit traduite en Justice ».

Des informations vérifiées provenant de sources officielles

Le mois dernier, souligne 404 Media, le maire de New York, Eric Adams, a partagé sur Instagram une photo faisant de lui un « hug » à Prince Mapp, alors que la ville s’associait à Citizen en créant son propre compte géré par la ville.

« Une grande partie de la construction d’une ville plus sûre consiste à s’assurer que les New-Yorkais disposent des informations dont ils ont besoin pour assurer leur propre sécurité et celle de leurs proches », a déclaré le maire Eric Adams dans un communiqué de presse, qui précise que ce partenariat n’entraînerait « aucun coût » pour les finances de la municipalité :

« L’annonce d’aujourd’hui ajoute une nouvelle couche aux stratégies de communication de la ville en matière de sécurité publique, en aidant à atteindre encore plus de résidents avec des informations opportunes et vérifiées provenant de sources officielles. »

404 Media précise que « Citizen n’a pas répondu à de multiples demandes de commentaires ».