Plus de fonction, plus de problème

Alors que la bêta d’iOS 26.2 apporte bon nombre d’améliorations et active la traduction automatique des AirPods en Europe, la future version 26.4 devrait supprimer la connexion automatique des Apple Watch aux réseaux Wi-Fi. Pour l’entreprise, c’est une conséquence directe du DMA.

24 heures après l’arrivée d’iOS 26.1, Apple a diffusé la première bêta d’iOS 26.2 auprès des développeurs. Elle contient bon nombre d’améliorations, mais illustre surtout les tensions existantes entre l’entreprise et la Commission européenne.

La traduction automatique arrive

Sur le plan des nouveautés d’abord, il y a un peu de tout. Sur l’écran verrouillé par exemple, on peut maintenant faire varier l’intensité de l’effet Liquid Glass pour l’horloge. On note aussi l’arrivée des tableaux dans Freeform, l’apparition d’une option pour inscrire les sites dont on ne veut pas que l’application Mots de passe enregistre les identifiants, une révision de la méthode de calcul pour le score de sommeil, la possibilité de faire sonner une alarme quand un rappel arrive à échéance ou encore la possibilité de faire flasher l’écran en plus des LED du bloc photo en cas d’alerte.

Parallèlement, iOS 26.2 apporte une fonction importante pour les AirPods : la traduction automatique. Elle est officiellement disponible depuis iOS 26 sur les AirPods Pro 2 et 3, ainsi que les AirPods 4. En Europe cependant, en conséquence du DMA, son déploiement avait du retard. Apple n’a eu de cesse de s’en plaindre, critiquant l’Union pour ses législations qui retardent le progrès et empêchent de « faire des affaires » convenablement.

• Pour Apple, « le DMA n’aide pas les marchés »

En revanche, Apple va supprimer une fonction avec l’arrivée d’iOS et watchOS 26.4, qui devraient arriver au printemps prochain : la connexion automatique aux réseaux Wi-Fi pour la montre. L’Apple Watch se connecte en effet toute seule aux réseaux Wi-Fi enregistrés dans l’iPhone, par synchronisation des informations.

Apple n’aime décidément pas le DMA

Pourquoi un tel retrait ? C’est la conséquence des demandes de la Commission européenne, a expliqué Apple à Numerama. Selon l’entreprise, la Commission exige qu’Apple partage la liste des réseaux Wi-Fi avec les entreprises qui en font la demande, afin que leurs produits puissent profiter des mêmes capacités, en l’occurrence de la connexion automatique.

Pour Apple, cette demande peut paraître légitime, mais elle entraine de sérieux problèmes de sécurité et de protection de la vie privée. Partager l’historique des réseaux Wi-Fi, y compris la connexion en cours, peut permettre à une entreprise de localiser l’utilisateur et donc d’utiliser ces informations pour personnaliser de la publicité ou même suivre ses déplacements.

Le problème n’est pas nouveau, Apple l’a dit et répété dans sa guerre de communication avec la Commission européenne. On se souvient notamment que la société à la pomme avait accusé Meta d’abuser du DMA et des demandes d’interopérabilité au point de militariser la législation pour obtenir des données très personnelles et des renseignements sur les technologies d’Apple.

• DMA : Apple ne veut rien savoir et fait appel de sa condamnation

Plus de fonction, plus de problème

Apple, droite dans ses bottes sur ce sujet, ne veut donc rien savoir. Plutôt que de développer une autre approche, l’entreprise a ainsi décidé de supprimer la fonction incriminée. Ce qui ne signifie pas que l’Apple Watch ne pourra plus se connecter aux réseaux Wi-Fi, mais qu’il faudra sans doute passer par une manipulation manuelle, comme le suggère iGen.

Pour nos confrères, la montre pourrait simplement provoquer l’apparition d’une alerte sur l’iPhone pour confirmer le partage du mot de passe. Cette solution est déjà employée quand un iPhone détecte qu’un appareil cherche à rejoindre le même réseau Wi-Fi. Auquel cas, il suffirait de valider la notification au lieu d’avoir une connexion automatique, entrainant un désagrément mineur.

Rappelons cependant qu’il s’agit d’un message d’intention communiqué à Numerama. Ce qui laisse plusieurs mois à la Commission européenne et à Apple pour régler la question. Mais si le DMA impose bien des règles strictes en matière d’interopérabilité pour les entreprises nommées comme contrôleurs d’accès, il est possible qu’iOS 26.4 finisse bien par supprimer la connexion automatique.

Plus de fonction, plus de problème

Alors que la bêta d’iOS 26.2 apporte bon nombre d’améliorations et active la traduction automatique des AirPods en Europe, la future version 26.4 devrait supprimer la connexion automatique des Apple Watch aux réseaux Wi-Fi. Pour l’entreprise, c’est une conséquence directe du DMA.

24 heures après l’arrivée d’iOS 26.1, Apple a diffusé la première bêta d’iOS 26.2 auprès des développeurs. Elle contient bon nombre d’améliorations, mais illustre surtout les tensions existantes entre l’entreprise et la Commission européenne.

La traduction automatique arrive

Sur le plan des nouveautés d’abord, il y a un peu de tout. Sur l’écran verrouillé par exemple, on peut maintenant faire varier l’intensité de l’effet Liquid Glass pour l’horloge. On note aussi l’arrivée des tableaux dans Freeform, l’apparition d’une option pour inscrire les sites dont on ne veut pas que l’application Mots de passe enregistre les identifiants, une révision de la méthode de calcul pour le score de sommeil, la possibilité de faire sonner une alarme quand un rappel arrive à échéance ou encore la possibilité de faire flasher l’écran en plus des LED du bloc photo en cas d’alerte.

Parallèlement, iOS 26.2 apporte une fonction importante pour les AirPods : la traduction automatique. Elle est officiellement disponible depuis iOS 26 sur les AirPods Pro 2 et 3, ainsi que les AirPods 4. En Europe cependant, en conséquence du DMA, son déploiement avait du retard. Apple n’a eu de cesse de s’en plaindre, critiquant l’Union pour ses législations qui retardent le progrès et empêchent de « faire des affaires » convenablement.

• Pour Apple, « le DMA n’aide pas les marchés »

En revanche, Apple va supprimer une fonction avec l’arrivée d’iOS et watchOS 26.4, qui devraient arriver au printemps prochain : la connexion automatique aux réseaux Wi-Fi pour la montre. L’Apple Watch se connecte en effet toute seule aux réseaux Wi-Fi enregistrés dans l’iPhone, par synchronisation des informations.

Apple n’aime décidément pas le DMA

Pourquoi un tel retrait ? C’est la conséquence des demandes de la Commission européenne, a expliqué Apple à Numerama. Selon l’entreprise, la Commission exige qu’Apple partage la liste des réseaux Wi-Fi avec les entreprises qui en font la demande, afin que leurs produits puissent profiter des mêmes capacités, en l’occurrence de la connexion automatique.

Pour Apple, cette demande peut paraître légitime, mais elle entraine de sérieux problèmes de sécurité et de protection de la vie privée. Partager l’historique des réseaux Wi-Fi, y compris la connexion en cours, peut permettre à une entreprise de localiser l’utilisateur et donc d’utiliser ces informations pour personnaliser de la publicité ou même suivre ses déplacements.

Le problème n’est pas nouveau, Apple l’a dit et répété dans sa guerre de communication avec la Commission européenne. On se souvient notamment que la société à la pomme avait accusé Meta d’abuser du DMA et des demandes d’interopérabilité au point de militariser la législation pour obtenir des données très personnelles et des renseignements sur les technologies d’Apple.

• DMA : Apple ne veut rien savoir et fait appel de sa condamnation

Plus de fonction, plus de problème

Apple, droite dans ses bottes sur ce sujet, ne veut donc rien savoir. Plutôt que de développer une autre approche, l’entreprise a ainsi décidé de supprimer la fonction incriminée. Ce qui ne signifie pas que l’Apple Watch ne pourra plus se connecter aux réseaux Wi-Fi, mais qu’il faudra sans doute passer par une manipulation manuelle, comme le suggère iGen.

Pour nos confrères, la montre pourrait simplement provoquer l’apparition d’une alerte sur l’iPhone pour confirmer le partage du mot de passe. Cette solution est déjà employée quand un iPhone détecte qu’un appareil cherche à rejoindre le même réseau Wi-Fi. Auquel cas, il suffirait de valider la notification au lieu d’avoir une connexion automatique, entrainant un désagrément mineur.

Rappelons cependant qu’il s’agit d’un message d’intention communiqué à Numerama. Ce qui laisse plusieurs mois à la Commission européenne et à Apple pour régler la question. Mais si le DMA impose bien des règles strictes en matière d’interopérabilité pour les entreprises nommées comme contrôleurs d’accès, il est possible qu’iOS 26.4 finisse bien par supprimer la connexion automatique.

L’un des développeurs de Debian a annoncé l’inclusion prochaine de code en Rust dans le gestionnaire APT. La décision reflète une volonté de renforcer la sécurité du composant, mais soulève de nombreuses questions et critiques.

Comme nous l’avons vu récemment à travers notre interview de Sylvestre Ledru, directeur de l’ingénierie chez Mozilla, le langage Rust s’insinue partout. Ses performances et ses mécanismes de sûreté de la mémoire en font la nouvelle coqueluche de bon nombre d’entreprises pour la programmation système.

• Sylvestre Ledru (Mozilla) : de Firefox au noyau Linux, la fulgurante ascension du Rust

Du Rust dans APT

Dans la sphère Linux, son arrivée provoque davantage de remous, avec des débats relatifs à son utilisation dans le noyau. Dans Debian, le développeur Julian Andres Klode a publié le soir d’Halloween un message important :

« Je prévois d’introduire des dépendances Rust et du code Rust dans APT, au plus tôt en mai 2026. Cela concernera dans un premier temps le compilateur Rust, la bibliothèque standard et l’écosystème Sequoia. Notre code d’analyse des fichiers .deb, .ar et .tar, ainsi que le code de vérification des signatures HTTP, bénéficieraient particulièrement de l’utilisation de langages sécurisés en mémoire et d’une approche plus rigoureuse des tests unitaires. Si vous maintenez un port sans chaîne d’outils Rust fonctionnelle, veuillez vous assurer qu’il en dispose dans les six prochains mois, ou supprimez le port. Il est important pour l’ensemble du projet de pouvoir aller de l’avant et de s’appuyer sur des outils et des technologies modernes, sans être freiné par la tentative d’adapter des logiciels modernes à des appareils informatiques rétro »

Dans le courant de l’année prochaine, le gestionnaire de paquet APT va donc commencer à intégrer du code en Rust. Autrement dit, Debian elle-même aura une exigence stricte sur la prise en charge du langage sur toutes les architectures.

Critiques et inquiétudes

Pour les utilisateurs de la distribution, cela ne devrait rien changer. Pour les développeurs en revanche, il y aura des travaux plus ou moins importants, car il faudra prévoir une chaine de compilation Rust fonctionnelle en plus des outils traditionnels comme GCC. En clair, la complexité va monter d’un cran, notamment sur les architectures moins courantes où le langage n’est pas bien supporté.

Pourquoi ce problème ? Parce que le compilateur Rust repose sur l’infrastructure LLVM, quand l’immense majorité des compilations dans les systèmes Linux sont effectuées avec GCC. Si LLVM présente certains avantages (comme la compilation Just-in-time), il est également supporté par un plus petit nombre d’architectures, contrairement à GCC qui est plus ancien, plus éprouvé et présent pratiquement partout.

Dans les commentaires de Phoronix, on peut lire différentes inquiétudes au sujet de cette annonce. La principale est qu’en l’absence de compilateur Rust sur une partie des architectures supportées par Debian, la distribution risque de perdre son côté « universel » à sa prochaine itération majeure. Certains commentaires mettent aussi en avant la fiabilité éprouvée de GCC, qui correspond à la philosophie de Debian de ne pas bondir sur les dernières technologies, privilégiant la plus grande stabilité possible.

Citons également le poids : le compilateur Rust et sa chaine d’outils sont plus volumineux que GCC et sa compilation est plus lente, ce qui pourrait poser problème pour les systèmes embarqués et des configurations plus anciennes. D’autres encore s’inquiètent d’une dépendance accrue envers l’écosystème Rust et ses binaires précompilés, créant des interrogations sur la sécurité et l’auditabilité du code.

L’un des développeurs de Debian a annoncé l’inclusion prochaine de code en Rust dans le gestionnaire APT. La décision reflète une volonté de renforcer la sécurité du composant, mais soulève de nombreuses questions et critiques.

Comme nous l’avons vu récemment à travers notre interview de Sylvestre Ledru, directeur de l’ingénierie chez Mozilla, le langage Rust s’insinue partout. Ses performances et ses mécanismes de sûreté de la mémoire en font la nouvelle coqueluche de bon nombre d’entreprises pour la programmation système.

• Sylvestre Ledru (Mozilla) : de Firefox au noyau Linux, la fulgurante ascension du Rust

Du Rust dans APT

Dans la sphère Linux, son arrivée provoque davantage de remous, avec des débats relatifs à son utilisation dans le noyau. Dans Debian, le développeur Julian Andres Klode a publié le soir d’Halloween un message important :

« Je prévois d’introduire des dépendances Rust et du code Rust dans APT, au plus tôt en mai 2026. Cela concernera dans un premier temps le compilateur Rust, la bibliothèque standard et l’écosystème Sequoia. Notre code d’analyse des fichiers .deb, .ar et .tar, ainsi que le code de vérification des signatures HTTP, bénéficieraient particulièrement de l’utilisation de langages sécurisés en mémoire et d’une approche plus rigoureuse des tests unitaires. Si vous maintenez un port sans chaîne d’outils Rust fonctionnelle, veuillez vous assurer qu’il en dispose dans les six prochains mois, ou supprimez le port. Il est important pour l’ensemble du projet de pouvoir aller de l’avant et de s’appuyer sur des outils et des technologies modernes, sans être freiné par la tentative d’adapter des logiciels modernes à des appareils informatiques rétro »

Dans le courant de l’année prochaine, le gestionnaire de paquet APT va donc commencer à intégrer du code en Rust. Autrement dit, Debian elle-même aura une exigence stricte sur la prise en charge du langage sur toutes les architectures.

Critiques et inquiétudes

Pour les utilisateurs de la distribution, cela ne devrait rien changer. Pour les développeurs en revanche, il y aura des travaux plus ou moins importants, car il faudra prévoir une chaine de compilation Rust fonctionnelle en plus des outils traditionnels comme GCC. En clair, la complexité va monter d’un cran, notamment sur les architectures moins courantes où le langage n’est pas bien supporté.

Pourquoi ce problème ? Parce que le compilateur Rust repose sur l’infrastructure LLVM, quand l’immense majorité des compilations dans les systèmes Linux sont effectuées avec GCC. Si LLVM présente certains avantages (comme la compilation Just-in-time), il est également supporté par un plus petit nombre d’architectures, contrairement à GCC qui est plus ancien, plus éprouvé et présent pratiquement partout.

Dans les commentaires de Phoronix, on peut lire différentes inquiétudes au sujet de cette annonce. La principale est qu’en l’absence de compilateur Rust sur une partie des architectures supportées par Debian, la distribution risque de perdre son côté « universel » à sa prochaine itération majeure. Certains commentaires mettent aussi en avant la fiabilité éprouvée de GCC, qui correspond à la philosophie de Debian de ne pas bondir sur les dernières technologies, privilégiant la plus grande stabilité possible.

Citons également le poids : le compilateur Rust et sa chaine d’outils sont plus volumineux que GCC et sa compilation est plus lente, ce qui pourrait poser problème pour les systèmes embarqués et des configurations plus anciennes. D’autres encore s’inquiètent d’une dépendance accrue envers l’écosystème Rust et ses binaires précompilés, créant des interrogations sur la sécurité et l’auditabilité du code.

Deus ex machina

Retournement de situation : Google a proposé au juge en charge de l’affaire l’opposant à Epic des transformations profondes de son Play Store. Soutenue par Epic, cette proposition doit encore être acceptée par la justice. Elle pourrait cependant avoir de vastes conséquences sur la vente de biens numériques par les boutiques mobiles.

Google et Epic ont déposé conjointement une demande (PDF) devant le tribunal fédéral de San Francisco où se déroule leur guerre juridique depuis cinq ans. Pour sortir de l’impasse, Google propose ainsi de profondes mutations de sa boutique Play Store. Epic soutient cette proposition, qui doit encore être approuvée par le juge James Donato, en charge de l’affaire.

• « Victoire totale » : Epic gagne en appel contre Google, qui va devoir ouvrir son Store

La demande est une surprise. Le juge devait initialement recevoir les deux entreprises le 6 novembre pour faire le point et confirmer à Google que le temps imparti pour apporter les changements demandés était écoulé. Il était en effet exigé de la multinationale qu’elle procède à de lourds changements dans son Play Store, notamment en acceptant l’installation de boutiques tierces et en laissant les éditeurs tiers passer par d’autres systèmes de paiement.

Gros travaux dans le Play Store

La solution proposée conjointement par les deux sociétés ennemies consiste à assouplir le fonctionnement du Play Store dans des proportions majeures.

Les deux changements principaux sont la réduction des commissions et l’installation des boutiques tierces. Sur les commissions, Google propose de modifier les règles actuelles pour les plafonner à 20 ou 9 % en fonction du contenu. Selon quels critères ? Le taux maximal serait appliqué quand le bien numérique acheté procure un avantage certain en jeu.

La condition est surprenante et laisse penser qu’Epic a largement contribué à la rédaction de cette proposition. La conséquence serait alors que tout autre bien numérique serait frappé d’une commission de seulement 9 % : les applications payantes, les achats in-app, les abonnements, etc. En outre, et comme relevé par The Verge, ce chiffre déjà bas intègre le paiement réalisé via Google Play Billing, le système de paiement intégré au Play Store. Si l’achat est réalisé via un autre système, la commission sera encore plus basse, a priori amputée de 5 % selon le chiffre donné à nos confrères par Dan Jackson, porte-parole de Google.

Des pourcentages qui tranchent radicalement avec les frais pratiqués aujourd’hui. Sur le Play Store, la commission change selon les conditions. De manière générale, elle est de 15 % tant que les gains générés par les ventes sur le Play Store ne dépassent pas un million de dollars. Si ce plafond est dépassé, la commission passe à 30 %. Pour bénéficier de cette commission de 15 %, il faut également répondre à certains critères, sans quoi les 30 % s’appliquent. Sur les abonnements, la commission est également de 15 %.

De vastes répercussions ?

Autre grosse mesure proposée, l’intégration d’un mécanisme qui permettrait aux utilisateurs d’installer simplement une boutique tierce depuis un lien sur une page web. Il faudrait pour cela que l’éditeur de cette boutique tierce soit enregistré auprès de Google. On imagine que des contrôles de sécurité seraient appliqués à ce moment pour éviter que des fournisseurs de malwares s’invitent à la fête, mais ce point n’est pas abordé dans le document.

Comme souligné par The Verge, la proposition tient compte des précédentes victoires d’Epic contre Google. Par exemple, l’autorisation pour les éditeurs tiers de communiquer sur les prix en dehors du Play Store. Un combat de longue haleine qu’Epic et d’autres entreprises mènent contre Apple également. Google ne doit pas non plus promettre un partage des bénéfices avec des partenaires en échange d’une exclusivité ou de la pré-installation de la suite Google Play.

Ces changements profonds, s’ils devaient être acceptés, pourraient avoir un impact profond sur l’industrie en général. Google est un acteur majeur de la vente de biens numériques et applique des règles très semblables à celles d’Apple, d’ailleurs critiquée pour les mêmes raisons.

Dans le document, il est précisé que la proposition est faite pour les États-Unis, mais on peut se poser la question d’un élargissement à tous les autres marchés. Si tel était le cas, les conséquences seraient encore plus importantes. Apple notamment pourrait voir la pression s’accentuer sur ses pratiques commerciales, la firme ne lâchant rien dans ce domaine, sinon quelques concessions régulièrement jugées trop timides par la Commission européenne.

Google et Epic enthousiastes

En attendant, Google et Epic affichent un enthousiasme débordant pour les changements proposés. Sur X, Sameer Samat, directeur de la division Android Ecosystem chez Google, ne cache ainsi pas sa satisfaction :

« Excellente nouvelle ! En collaboration avec Epic Games, nous avons déposé une proposition de modifications pour Android et Google Play visant à élargir le choix et la flexibilité offerts aux développeurs, à réduire les frais et à encourager une plus grande concurrence, tout en garantissant la sécurité des utilisateurs. Si elle est approuvée, cette proposition mettra fin à nos litiges. Nous avons hâte d’en discuter plus en détail avec le juge jeudi »

Tim Sweeney, très critique depuis longtemps, semble lui aussi très heureux :

« Google a fait une proposition remarquable, soumise à l’approbation du tribunal, visant à ouvrir Android aux États-Unis dans le cadre du litige Epic contre Google et à régler nos différends. Cette proposition réaffirme la vision originelle d’Android en tant que plateforme ouverte, afin de simplifier les installations depuis les boutiques d’applications concurrentes à l’échelle mondiale, de réduire les frais de service pour les développeurs sur Google Play et de permettre les paiements tiers intégrés aux applications et sur le Web.

Il s’agit d’une solution globale, qui contraste avec le modèle d’Apple consistant à bloquer toutes les plateformes concurrentes et à faire des paiements le seul vecteur de concurrence. Les documents publics sont disponibles »

Le PDG d’Epic semble d’ailleurs affirmer qu’une acceptation du tribunal entrainerait ce changement à l’échelle mondiale.

Deus ex machina

Retournement de situation : Google a proposé au juge en charge de l’affaire l’opposant à Epic des transformations profondes de son Play Store. Soutenue par Epic, cette proposition doit encore être acceptée par la justice. Elle pourrait cependant avoir de vastes conséquences sur la vente de biens numériques par les boutiques mobiles.

Google et Epic ont déposé conjointement une demande (PDF) devant le tribunal fédéral de San Francisco où se déroule leur guerre juridique depuis cinq ans. Pour sortir de l’impasse, Google propose ainsi de profondes mutations de sa boutique Play Store. Epic soutient cette proposition, qui doit encore être approuvée par le juge James Donato, en charge de l’affaire.

• « Victoire totale » : Epic gagne en appel contre Google, qui va devoir ouvrir son Store

La demande est une surprise. Le juge devait initialement recevoir les deux entreprises le 6 novembre pour faire le point et confirmer à Google que le temps imparti pour apporter les changements demandés était écoulé. Il était en effet exigé de la multinationale qu’elle procède à de lourds changements dans son Play Store, notamment en acceptant l’installation de boutiques tierces et en laissant les éditeurs tiers passer par d’autres systèmes de paiement.

Gros travaux dans le Play Store

La solution proposée conjointement par les deux sociétés ennemies consiste à assouplir le fonctionnement du Play Store dans des proportions majeures.

Les deux changements principaux sont la réduction des commissions et l’installation des boutiques tierces. Sur les commissions, Google propose de modifier les règles actuelles pour les plafonner à 20 ou 9 % en fonction du contenu. Selon quels critères ? Le taux maximal serait appliqué quand le bien numérique acheté procure un avantage certain en jeu.

La condition est surprenante et laisse penser qu’Epic a largement contribué à la rédaction de cette proposition. La conséquence serait alors que tout autre bien numérique serait frappé d’une commission de seulement 9 % : les applications payantes, les achats in-app, les abonnements, etc. En outre, et comme relevé par The Verge, ce chiffre déjà bas intègre le paiement réalisé via Google Play Billing, le système de paiement intégré au Play Store. Si l’achat est réalisé via un autre système, la commission sera encore plus basse, a priori amputée de 5 % selon le chiffre donné à nos confrères par Dan Jackson, porte-parole de Google.

Des pourcentages qui tranchent radicalement avec les frais pratiqués aujourd’hui. Sur le Play Store, la commission change selon les conditions. De manière générale, elle est de 15 % tant que les gains générés par les ventes sur le Play Store ne dépassent pas un million de dollars. Si ce plafond est dépassé, la commission passe à 30 %. Pour bénéficier de cette commission de 15 %, il faut également répondre à certains critères, sans quoi les 30 % s’appliquent. Sur les abonnements, la commission est également de 15 %.

De vastes répercussions ?

Autre grosse mesure proposée, l’intégration d’un mécanisme qui permettrait aux utilisateurs d’installer simplement une boutique tierce depuis un lien sur une page web. Il faudrait pour cela que l’éditeur de cette boutique tierce soit enregistré auprès de Google. On imagine que des contrôles de sécurité seraient appliqués à ce moment pour éviter que des fournisseurs de malwares s’invitent à la fête, mais ce point n’est pas abordé dans le document.

Comme souligné par The Verge, la proposition tient compte des précédentes victoires d’Epic contre Google. Par exemple, l’autorisation pour les éditeurs tiers de communiquer sur les prix en dehors du Play Store. Un combat de longue haleine qu’Epic et d’autres entreprises mènent contre Apple également. Google ne doit pas non plus promettre un partage des bénéfices avec des partenaires en échange d’une exclusivité ou de la pré-installation de la suite Google Play.

Ces changements profonds, s’ils devaient être acceptés, pourraient avoir un impact profond sur l’industrie en général. Google est un acteur majeur de la vente de biens numériques et applique des règles très semblables à celles d’Apple, d’ailleurs critiquée pour les mêmes raisons.

Dans le document, il est précisé que la proposition est faite pour les États-Unis, mais on peut se poser la question d’un élargissement à tous les autres marchés. Si tel était le cas, les conséquences seraient encore plus importantes. Apple notamment pourrait voir la pression s’accentuer sur ses pratiques commerciales, la firme ne lâchant rien dans ce domaine, sinon quelques concessions régulièrement jugées trop timides par la Commission européenne.

Google et Epic enthousiastes

En attendant, Google et Epic affichent un enthousiasme débordant pour les changements proposés. Sur X, Sameer Samat, directeur de la division Android Ecosystem chez Google, ne cache ainsi pas sa satisfaction :

« Excellente nouvelle ! En collaboration avec Epic Games, nous avons déposé une proposition de modifications pour Android et Google Play visant à élargir le choix et la flexibilité offerts aux développeurs, à réduire les frais et à encourager une plus grande concurrence, tout en garantissant la sécurité des utilisateurs. Si elle est approuvée, cette proposition mettra fin à nos litiges. Nous avons hâte d’en discuter plus en détail avec le juge jeudi »

Tim Sweeney, très critique depuis longtemps, semble lui aussi très heureux :

« Google a fait une proposition remarquable, soumise à l’approbation du tribunal, visant à ouvrir Android aux États-Unis dans le cadre du litige Epic contre Google et à régler nos différends. Cette proposition réaffirme la vision originelle d’Android en tant que plateforme ouverte, afin de simplifier les installations depuis les boutiques d’applications concurrentes à l’échelle mondiale, de réduire les frais de service pour les développeurs sur Google Play et de permettre les paiements tiers intégrés aux applications et sur le Web.

Il s’agit d’une solution globale, qui contraste avec le modèle d’Apple consistant à bloquer toutes les plateformes concurrentes et à faire des paiements le seul vecteur de concurrence. Les documents publics sont disponibles »

Le PDG d’Epic semble d’ailleurs affirmer qu’une acceptation du tribunal entrainerait ce changement à l’échelle mondiale.

Une importante faille critique a été découverte dans le paquet NPM React Native Community CLI, très populaire chez les développeurs (de 1,5 à 2 millions de téléchargements par semaine). Présentant un score CVSS de 9,8 sur 10, elle présente une dangerosité quasi maximale et peut être exploitée à distance sur toutes les plateformes Windows, macOS et Linux.

La vulnérabilité a été découverte par jFrog et estampillée CVE-2025-11953. « Cette vulnérabilité permet à des attaquants distants non authentifiés de déclencher facilement l’exécution arbitraire d’une commande du système d’exploitation sur la machine exécutant le serveur de développement de react-native-community/cli, ce qui représente un risque important pour les développeurs », explique l’entreprise.

En outre, et contrairement aux vulnérabilités habituelles découvertes dans les serveurs de développement, la faille CVE-2025-11953 peut être exploitée à distance. Elle réside dans le fait que le serveur de développement Metro, utilisé par React Native pour créer du code et des ressources JavaScript, se lie à des interfaces externes par défaut, au lieu de localhost. Il expose un point de terminaison « /open-url » qui devient alors vulnérable aux injections de commandes du système d’exploitation.

Concrètement, un utilisateur non authentifié peut se servir de la faille pour envoyer une requête POST spécialement conçue au serveur pour lui faire exécuter des commandes arbitraires. Dans le billet de jFrog, on peut lire que les chercheurs ont réussi à exploiter la faille sur Windows avec un contrôle total des paramètres. Sur macOS et Linux, ils sont parvenus à l’exécution de code avec un contrôle limité des paramètres. Cependant, avec des tests supplémentaires, ils estiment pouvoir parvenir au contrôle total.

Cette vulnérabilité critique est présente dans un très grand nombre de versions, de la 4.8.0 à la 20.0.0-alpha.2. Elle est corrigée depuis la version 20.0.0, publiée depuis octobre. Comme souvent dans ce genre de cas, les informations sur la faille n’ont été données qu’une fois que l’éditeur – ici Meta – a pu corriger la faille et qu’un nombre suffisant de développeurs ont récupéré la dernière version.

Seules les personnes utilisant donc une version plus ancienne que la 20.0.0 et utilisant le serveur Metro sont vulnérables. Pour jFrog cependant, cette faille « est particulièrement dangereuse en raison de sa facilité d’exploitation, de l’absence d’exigences d’authentification et de sa large surface d’attaque ».

Une importante faille critique a été découverte dans le paquet NPM React Native Community CLI, très populaire chez les développeurs (de 1,5 à 2 millions de téléchargements par semaine). Présentant un score CVSS de 9,8 sur 10, elle présente une dangerosité quasi maximale et peut être exploitée à distance sur toutes les plateformes Windows, macOS et Linux.

La vulnérabilité a été découverte par jFrog et estampillée CVE-2025-11953. « Cette vulnérabilité permet à des attaquants distants non authentifiés de déclencher facilement l’exécution arbitraire d’une commande du système d’exploitation sur la machine exécutant le serveur de développement de react-native-community/cli, ce qui représente un risque important pour les développeurs », explique l’entreprise.

En outre, et contrairement aux vulnérabilités habituelles découvertes dans les serveurs de développement, la faille CVE-2025-11953 peut être exploitée à distance. Elle réside dans le fait que le serveur de développement Metro, utilisé par React Native pour créer du code et des ressources JavaScript, se lie à des interfaces externes par défaut, au lieu de localhost. Il expose un point de terminaison « /open-url » qui devient alors vulnérable aux injections de commandes du système d’exploitation.

Concrètement, un utilisateur non authentifié peut se servir de la faille pour envoyer une requête POST spécialement conçue au serveur pour lui faire exécuter des commandes arbitraires. Dans le billet de jFrog, on peut lire que les chercheurs ont réussi à exploiter la faille sur Windows avec un contrôle total des paramètres. Sur macOS et Linux, ils sont parvenus à l’exécution de code avec un contrôle limité des paramètres. Cependant, avec des tests supplémentaires, ils estiment pouvoir parvenir au contrôle total.

Cette vulnérabilité critique est présente dans un très grand nombre de versions, de la 4.8.0 à la 20.0.0-alpha.2. Elle est corrigée depuis la version 20.0.0, publiée depuis octobre. Comme souvent dans ce genre de cas, les informations sur la faille n’ont été données qu’une fois que l’éditeur – ici Meta – a pu corriger la faille et qu’un nombre suffisant de développeurs ont récupéré la dernière version.

Seules les personnes utilisant donc une version plus ancienne que la 20.0.0 et utilisant le serveur Metro sont vulnérables. Pour jFrog cependant, cette faille « est particulièrement dangereuse en raison de sa facilité d’exploitation, de l’absence d’exigences d’authentification et de sa large surface d’attaque ».

Pas si évident

La HAS a publié le 30 octobre un guide pédagogique sur l’utilisation de l’intelligence artificielle générative dans l’ensemble du secteur sanitaire, social et médico-social. L’autorité ne s’oppose pas à cette utilisation, mais elle pointe très vite les deux problèmes majeurs : la sensibilité des données manipulées et la fiabilité des résultats.

Les données de santé sont une mine d’or. Selon comment elles sont exploitées, elles peuvent permettre le suivi de l’efficacité des traitements, faire apparaitre des corrélations, étudier des prévalences et autres.

Ce caractère précieux est au cœur de plusieurs décisions politiques. En France, il y a bien sûr le HDH (Health Data Hub) et ses décisions sulfureuses d’hébergement chez Microsoft, pointées constamment par le député Philippe Latombe, des rapports interministériels ou même encore récemment par la Cour des comptes. L’entrepôt de données européen EMC2 a le même problème.

• Souveraineté numérique : la Cour des comptes étrille le manque de cohésion en France

Mais les objectifs sont à chaque fois les mêmes : concentrer les données, favoriser les travaux des chercheurs, servir de guichet unique et, bien sûr, permettre à terme le traitement des données par l’IA. Dans le cadre du projet EMC2 d’ailleurs, l’Agence européenne du médicament abordait explicitement cette finalité.

La Haute Autorité de santé publie donc un avis sur la question, même s’il peut sembler tardif. Dans les grandes lignes toutefois, la HAS ne réagit pas spécifiquement sur l’exploitation des données, mais vise les professionnels de santé et l’utilisation de l’IA comme aide à la décision.

Quatre lignes directrices

La HAS publie principalement quatre conseils, rassemblés sous l’appellation : AVEC, pour « Apprendre, Vérifier, Estimer et Communiquer ».

Pour l’apprentissage, la HAS recommande chaudement aux professionnels de se former sur les outils qu’ils utilisent. Les IA peuvent faire gagner du temps, mais la plupart n’ont pas été formées sur les questions de santé. Les professionnels devraient ainsi s’interroger sur les modalités d’utilisation, les règles liées à la confidentialité des données personnelles ou encore effectuer des tests pratiques avant de se lancer dans une pratique quotidienne.

Sur la vérification, la HAS conseille la prudence face aux résultats renvoyés par l’IA : « le professionnel est attentif à la pertinence de son usage, à la qualité de sa requête et au contrôle du contenu généré ». Ce qui inclut de ne pas partager d’informations confidentielles et de considérer chaque réponse comme une proposition et non une vérité. La fiabilité des réponses de l’IA ne pouvant par définition être garantie (approche probabiliste), elles peuvent contenir des erreurs : valeurs et unités des quantités chiffrées, noms des médicaments, etc. On l’a vu récemment dans nos propres tests, l’IA peut se tromper lourdement dans la méthode de calcul.

• T@LC : on a posé 20 fois la même question à une IA, on a eu 5 réponses différentes

L’estimation concerne l’analyse régulière de l’adéquation entre les besoins et les résultats. Les professionnels de santé sont ainsi invités à réinterroger sa pratique : des corrections ont-elles été nécessaires ? Si oui, à quelle fréquence ? L’outil est-il simple d’utilisation ? A-t-il pu être intégré dans des flux de travail existants ? En somme, la HAS souhaite que les professionnels s’interrogent sur les gains apportés face aux contraintes.

Enfin, pour la communication, la Haute Autorité est claire : les professionnels devraient échanger avec les patients autour de l’usage de l’IA. L’autorité leur recommande également de favoriser les retours d’expérience avec d’autres utilisateurs et développer « une démarche de transparence autour des typologies de données partagées, de l’adhésion au sein de sa structure et des impacts organisationnels ».

Le danger des mauvaises pratiques

De manière générale, la HAS souhaite que chaque usage de l’IA générative soit « conscient, supervisé et raisonné ».

Cependant, même si elle peut « devenir une alliée » quand elle est « bien maitrisée », l’autorité pointe également les dangers inhérents à son utilisation. Elle met en garde contre les erreurs pouvant survenir dans les réponses envoyées, notamment quand elles se fondent sur des données non vérifiées. Surtout, elle pointe les hallucinations, soit des informations fausses mais qui peuvent paraitre convaincantes. 

Outre les dangers propres à l’IA elle-même, la HAS signale de mauvais comportements chez les professionnels eux-mêmes, dont l’utilisation d’informations confidentielles dans les requêtes, expliquant les conseils sur la communication avec les patients.

Dans l’ensemble, l’autorité évoque un potentiel prometteur sur l’ensemble de ces technologies. Elle ne parle d’ailleurs pas uniquement des interfaces questions/réponses des chatbots, mais aussi d’autres outils devenus très courants : transcriptions de conversations lors de consultations, synthèses de littérature scientifique, création de documents illustrés pour expliquer des parcours médicaux-sociaux, préremplissage de documents administratifs, traductions de textes pour des personnes non-francophones, etc. Tous peuvent faire gagner du temps (voire beaucoup), mais le risque d’erreur est le même dans tous les cas de figure dès que l’outil utilise l’IA générative.

Enfin, outre les erreurs, les professionnels ont tout intérêt à se former pour s’acclimater à des concepts centraux de l’IA générative. Par exemple, les réponses peuvent varier dans le temps, notamment en fonction de la version du modèle et des données utilisées pour l’entrainement. La qualité de la réponse peut aussi fortement varier selon le soin apporté à la question (prompt).

Pour les personnes intéressées, la HAS a donc publié deux versions de ses recommandations : une complète d’une quinzaine de pages (PDF), et une concise rassemblant les principales informations sur une seule page (PDF). Administration publique oblige, la HAS a également publié un rapport sur l’élaboration de son guide et les méthodes utilisées (PDF).

Pas si évident

La HAS a publié le 30 octobre un guide pédagogique sur l’utilisation de l’intelligence artificielle générative dans l’ensemble du secteur sanitaire, social et médico-social. L’autorité ne s’oppose pas à cette utilisation, mais elle pointe très vite les deux problèmes majeurs : la sensibilité des données manipulées et la fiabilité des résultats.

Les données de santé sont une mine d’or. Selon comment elles sont exploitées, elles peuvent permettre le suivi de l’efficacité des traitements, faire apparaitre des corrélations, étudier des prévalences et autres.

Ce caractère précieux est au cœur de plusieurs décisions politiques. En France, il y a bien sûr le HDH (Health Data Hub) et ses décisions sulfureuses d’hébergement chez Microsoft, pointées constamment par le député Philippe Latombe, des rapports interministériels ou même encore récemment par la Cour des comptes. L’entrepôt de données européen EMC2 a le même problème.

• Souveraineté numérique : la Cour des comptes étrille le manque de cohésion en France

Mais les objectifs sont à chaque fois les mêmes : concentrer les données, favoriser les travaux des chercheurs, servir de guichet unique et, bien sûr, permettre à terme le traitement des données par l’IA. Dans le cadre du projet EMC2 d’ailleurs, l’Agence européenne du médicament abordait explicitement cette finalité.

La Haute Autorité de santé publie donc un avis sur la question, même s’il peut sembler tardif. Dans les grandes lignes toutefois, la HAS ne réagit pas spécifiquement sur l’exploitation des données, mais vise les professionnels de santé et l’utilisation de l’IA comme aide à la décision.

Quatre lignes directrices

La HAS publie principalement quatre conseils, rassemblés sous l’appellation : AVEC, pour « Apprendre, Vérifier, Estimer et Communiquer ».

Pour l’apprentissage, la HAS recommande chaudement aux professionnels de se former sur les outils qu’ils utilisent. Les IA peuvent faire gagner du temps, mais la plupart n’ont pas été formées sur les questions de santé. Les professionnels devraient ainsi s’interroger sur les modalités d’utilisation, les règles liées à la confidentialité des données personnelles ou encore effectuer des tests pratiques avant de se lancer dans une pratique quotidienne.

Sur la vérification, la HAS conseille la prudence face aux résultats renvoyés par l’IA : « le professionnel est attentif à la pertinence de son usage, à la qualité de sa requête et au contrôle du contenu généré ». Ce qui inclut de ne pas partager d’informations confidentielles et de considérer chaque réponse comme une proposition et non une vérité. La fiabilité des réponses de l’IA ne pouvant par définition être garantie (approche probabiliste), elles peuvent contenir des erreurs : valeurs et unités des quantités chiffrées, noms des médicaments, etc. On l’a vu récemment dans nos propres tests, l’IA peut se tromper lourdement dans la méthode de calcul.

• T@LC : on a posé 20 fois la même question à une IA, on a eu 5 réponses différentes

L’estimation concerne l’analyse régulière de l’adéquation entre les besoins et les résultats. Les professionnels de santé sont ainsi invités à réinterroger sa pratique : des corrections ont-elles été nécessaires ? Si oui, à quelle fréquence ? L’outil est-il simple d’utilisation ? A-t-il pu être intégré dans des flux de travail existants ? En somme, la HAS souhaite que les professionnels s’interrogent sur les gains apportés face aux contraintes.

Enfin, pour la communication, la Haute Autorité est claire : les professionnels devraient échanger avec les patients autour de l’usage de l’IA. L’autorité leur recommande également de favoriser les retours d’expérience avec d’autres utilisateurs et développer « une démarche de transparence autour des typologies de données partagées, de l’adhésion au sein de sa structure et des impacts organisationnels ».

Le danger des mauvaises pratiques

De manière générale, la HAS souhaite que chaque usage de l’IA générative soit « conscient, supervisé et raisonné ».

Cependant, même si elle peut « devenir une alliée » quand elle est « bien maitrisée », l’autorité pointe également les dangers inhérents à son utilisation. Elle met en garde contre les erreurs pouvant survenir dans les réponses envoyées, notamment quand elles se fondent sur des données non vérifiées. Surtout, elle pointe les hallucinations, soit des informations fausses mais qui peuvent paraitre convaincantes. 

Outre les dangers propres à l’IA elle-même, la HAS signale de mauvais comportements chez les professionnels eux-mêmes, dont l’utilisation d’informations confidentielles dans les requêtes, expliquant les conseils sur la communication avec les patients.

Dans l’ensemble, l’autorité évoque un potentiel prometteur sur l’ensemble de ces technologies. Elle ne parle d’ailleurs pas uniquement des interfaces questions/réponses des chatbots, mais aussi d’autres outils devenus très courants : transcriptions de conversations lors de consultations, synthèses de littérature scientifique, création de documents illustrés pour expliquer des parcours médicaux-sociaux, préremplissage de documents administratifs, traductions de textes pour des personnes non-francophones, etc. Tous peuvent faire gagner du temps (voire beaucoup), mais le risque d’erreur est le même dans tous les cas de figure dès que l’outil utilise l’IA générative.

Enfin, outre les erreurs, les professionnels ont tout intérêt à se former pour s’acclimater à des concepts centraux de l’IA générative. Par exemple, les réponses peuvent varier dans le temps, notamment en fonction de la version du modèle et des données utilisées pour l’entrainement. La qualité de la réponse peut aussi fortement varier selon le soin apporté à la question (prompt).

Pour les personnes intéressées, la HAS a donc publié deux versions de ses recommandations : une complète d’une quinzaine de pages (PDF), et une concise rassemblant les principales informations sur une seule page (PDF). Administration publique oblige, la HAS a également publié un rapport sur l’élaboration de son guide et les méthodes utilisées (PDF).

Apple a publié lundi soir les versions 26.1 pour l’ensemble de ces systèmes. Si vous avez installé la version 26 sur votre iPhone ou votre Mac et que vous n’êtes pas fan de l’interface Liquid Glass, la version 26.1 intègre désormais un réglage « teinté » qui réduit nettement la transparence, comme nous l’indiquions le 24 octobre.

iOS 26.1 propose d’autres améliorations, dont l’apparition d’un bouton à faire glisser pour arrêter l’alarme, la possibilité de faire glisser son doigt sur le titre en cours dans Musique pour passer au morceau précédent ou suivant, le retour de Slide Over sur iPad ou encore une option pour désactiver le glissement vers l’appareil photo depuis l’écran verrouillé. On note aussi l’amélioration de la qualité audio pour les appels FaceTime quand les conditions réseau sont mauvaises.

Côté macOS Tahoe, la version 26.1 donne la même option de réduction de la transparence pour Liquid Glass, ajoute le supporte d’AutoMix sur AirPlay pour Musique, ou encore le retour des coins carrés pour l’affichage des PDF dans Aperçu.

Les versions 26.1 contiennent en outre une autre amélioration, commune à toutes les plateformes : elles peuvent installer silencieusement les mises à jour de sécurité considérées comme urgentes. Ce fonctionnement, activé par défaut, permet l’application de correctifs légers pour parer à ces situations urgentes, notamment sur Safari, WebKit ou « d’autres bibliothèques système », comme le précise Apple sur la page dédiée.

On peut désactiver ce fonctionnement dans Paramètres > Confidentialité et sécurité > Améliorations de la sécurité en arrière-plan. Couper cette fonction n’est cependant pas recommandé, puisqu’elle permet par exemple de diffuser rapidement un correctif pour une ou plusieurs failles dans le navigateur. En cas de désactivation, ces correctifs seront appliqués avec la mise à jour mineure suivante du système, mais la fonction a l’avantage de le faire sans interaction et surtout sans redémarrage.

Comme l’a remarqué iGen, la fonction n’est pas totalement nouvelle et est davantage « une remise à plat des mises à jour de sécurité urgentes d’iOS 16 ». En outre, la fonction est copieusement utilisée pour de nombreuses mises à jour : prise en charge des langues, polices, services de dictée, suggestions, ainsi que des éléments beaucoup plus importants comme les certificats SSL et les firmwares pour les accessoires Apple. Il s’agit donc d’une généralisation de l’ancien mécanisme à un plus grand nombre de composants.

Nous reviendrons dans la journée sur les annonces autour des versions 26.2 et du méchant « DMA ».

Apple a publié lundi soir les versions 26.1 pour l’ensemble de ces systèmes. Si vous avez installé la version 26 sur votre iPhone ou votre Mac et que vous n’êtes pas fan de l’interface Liquid Glass, la version 26.1 intègre désormais un réglage « teinté » qui réduit nettement la transparence, comme nous l’indiquions le 24 octobre.

iOS 26.1 propose d’autres améliorations, dont l’apparition d’un bouton à faire glisser pour arrêter l’alarme, la possibilité de faire glisser son doigt sur le titre en cours dans Musique pour passer au morceau précédent ou suivant, le retour de Slide Over sur iPad ou encore une option pour désactiver le glissement vers l’appareil photo depuis l’écran verrouillé. On note aussi l’amélioration de la qualité audio pour les appels FaceTime quand les conditions réseau sont mauvaises.

Côté macOS Tahoe, la version 26.1 donne la même option de réduction de la transparence pour Liquid Glass, ajoute le supporte d’AutoMix sur AirPlay pour Musique, ou encore le retour des coins carrés pour l’affichage des PDF dans Aperçu.

Les versions 26.1 contiennent en outre une autre amélioration, commune à toutes les plateformes : elles peuvent installer silencieusement les mises à jour de sécurité considérées comme urgentes. Ce fonctionnement, activé par défaut, permet l’application de correctifs légers pour parer à ces situations urgentes, notamment sur Safari, WebKit ou « d’autres bibliothèques système », comme le précise Apple sur la page dédiée.

On peut désactiver ce fonctionnement dans Paramètres > Confidentialité et sécurité > Améliorations de la sécurité en arrière-plan. Couper cette fonction n’est cependant pas recommandé, puisqu’elle permet par exemple de diffuser rapidement un correctif pour une ou plusieurs failles dans le navigateur. En cas de désactivation, ces correctifs seront appliqués avec la mise à jour mineure suivante du système, mais la fonction a l’avantage de le faire sans interaction et surtout sans redémarrage.

Comme l’a remarqué iGen, la fonction n’est pas totalement nouvelle et est davantage « une remise à plat des mises à jour de sécurité urgentes d’iOS 16 ». En outre, la fonction est copieusement utilisée pour de nombreuses mises à jour : prise en charge des langues, polices, services de dictée, suggestions, ainsi que des éléments beaucoup plus importants comme les certificats SSL et les firmwares pour les accessoires Apple. Il s’agit donc d’une généralisation de l’ancien mécanisme à un plus grand nombre de composants.

Nous reviendrons dans la journée sur les annonces autour des versions 26.2 et du méchant « DMA ».

Il y a du travail

La Commission européenne a validé la création d’un EDIC (European Digital Infrastructure Consortium) centré sur les communs numériques. Il sera porté par la France, l’Allemagne, les Pays-Bas et l’Italie.

Faisons d’abord un bref rappel : qu’est-ce qu’un EDIC ? La Commission européenne les définit comme des instruments mis à disposition des États membres pour simplifier – et accélérer – des projets multinationaux au sein de l’Union. Par exemple, l’ALT-EDIC a été inauguré en février 2024 et travaille sur la préservation de la diversité linguistique et culturelle. L’un de ses premiers projets est LLMs4EU, qui vise à collecter des données linguistiques pour les grands modèles de langage pour mieux assurer la représentativité des langues européennes.

Le nouveau venu, baptisé EDIC Digital Commons et abrégé en DC-EDIC, a été officiellement créé le 29 octobre. La demande de création avait été déposée le 8 juillet dernier par la France, l’Allemagne, les Pays-Bas et l’Italie, la France servant de pays hôte. Le siège du nouveau consortium sera ainsi à Paris et le personnel est en cours de constitution, aussi bien pour le diriger que pour son conseil consultatif.

Pour quoi faire ?

« La mission du DC-EDIC est de mettre en œuvre un projet multinational sur les biens communs numériques dans les domaines de l’infrastructure et des services de données communs européens et de l’administration publique connectée. Elle mettra en commun les ressources des États membres et assurera la coordination avec les communautés afin de développer, de maintenir et d’étendre les biens communs numériques et de faciliter leur adoption », indique la Commission européenne.

Le DC-EDIC doit simplifier notamment les participations de tous les acteurs, qu’ils soient publics, privés ou civiques. Le consortium fera en outre office de guichet unique pour le financement des projets alimentés par les fonds européens et répondant aux critères fixés par l’EDIC. En plus des financements, ce dernier devra fournir un soutien juridique et technique sur des aspects comme la maintenance et la mise à l’échelle, ainsi que des conseils stratégiques.

Surtout, ce consortium devra « coordonner et participer à des projets multinationaux concrets ancrés dans les communs numériques ». Il doit servir de catalyseur pour les projets d’infrastructures transfrontalières, avec une entité juridique propre.

À noter que si l’EDIC a ses quatre pays fondateurs, rien n’empêche d’autres États membres de rejoindre le projet par la suite.

Un numérique « ouvert, compétitif et souverain »

À la DINUM, on s’est félicité du lancement de cet EDIC, le deuxième à s’établir en France. Stéphanie Schaer, sa directrice, évoque une « ambition commune : bâtir ensemble les fondations d’un paysage numérique européen fort, ouvert et durable. Il traduit un élan collectif qui donnera à l’Europe la capacité d’agir et d’innover par elle-même ». Elle ajoute que la France « s’engage avec enthousiasme et détermination dans cette nouvelle coopération », qui doit favoriser l’émergence de « champions européens ».

Un « enthousiasme » et une « détermination » que vient cependant tempérer le récent rapport de la Cour des comptes, dans lequel la stratégie nationale en matière de souveraineté a été méticuleusement étrillée. La Cour a critiqué un manque flagrant de cohérence dans les projets, un éclatement des ressources, ou encore de trop nombreux cas de données confiées à des acteurs extra-européens (particulièrement Microsoft).

• Souveraineté numérique : la Cour des comptes étrille le manque de cohésion en France

À quoi s’attendre ?

Les trois autres pays fondateurs affichent cependant eux aussi leur enthousiasme. L’Allemagne, qui rejoint pour la première fois un EDIC, y voit un « signal fort pour l’avenir numérique de l’Europe », afin que cette dernière « puisse façonner son avenir numérique en toute autonomie ». Zendis (et donc openDesk) seront de la partie.

Pour l’Italie, le nouvel EDIC est « un pont européen qui permettra de passer de l’expérimentation à l’industrialisation ». Le message envoyé « est clair : l’Europe peut construire, maintenir et gouverner des infrastructures numériques critiques selon ses propres règles, au service de l’intérêt général ». Côté Pays-Bas, la réaction est plus concise : « Nous pouvons unir nos forces, faire grandir les alternatives open source et donner aux gouvernements européens les moyens d’agir en toute autonomie ».

Le DC-EDIC devrait en théorie favoriser largement les technologies ouvertes. La DINUM relève à ce titre que « plus de 80 % des technologies et infrastructures numériques utilisées en Europe proviennent encore de fournisseurs non-européens ». Dans ce contexte, le nouveau consortium devra « mutualiser les ressources et les expertises des États membres pour développer des alternatives ouvertes, interopérables et durables ».

Plus concrètement, l’EDIC aura pour mission de proposer des alternatives ouvertes dans des domaines considérés comme clés, dont l’IA et le cloud bien sûr, mais aussi les suites collaboratives, la cybersécurité, la géomatique et les réseaux sociaux. Les communautés techniques, académiques, publiques et privées doivent en outre être mobilisées. L’EDIC aura également la mission délicate d’inciter à l’adoption des solutions ainsi conçues ou rassemblées dans les administrations, les entreprises et même chez les citoyens.

On attend cependant d’en savoir plus, car les ressources précises de l’EDIC ne sont pas connues et on ne connait pas sa « force de frappe » ni quel niveau d’influence il va pouvoir exercer. Les candidatures pour le poste de directeur/directrice (PDF) ont commencé ce 3 novembre et dureront jusqu’au 1ᵉʳ décembre. De plus amples précisions devraient être données en fin d’année.

Il y a du travail

La Commission européenne a validé la création d’un EDIC (European Digital Infrastructure Consortium) centré sur les communs numériques. Il sera porté par la France, l’Allemagne, les Pays-Bas et l’Italie.

Faisons d’abord un bref rappel : qu’est-ce qu’un EDIC ? La Commission européenne les définit comme des instruments mis à disposition des États membres pour simplifier – et accélérer – des projets multinationaux au sein de l’Union. Par exemple, l’ALT-EDIC a été inauguré en février 2024 et travaille sur la préservation de la diversité linguistique et culturelle. L’un de ses premiers projets est LLMs4EU, qui vise à collecter des données linguistiques pour les grands modèles de langage pour mieux assurer la représentativité des langues européennes.

Le nouveau venu, baptisé EDIC Digital Commons et abrégé en DC-EDIC, a été officiellement créé le 29 octobre. La demande de création avait été déposée le 8 juillet dernier par la France, l’Allemagne, les Pays-Bas et l’Italie, la France servant de pays hôte. Le siège du nouveau consortium sera ainsi à Paris et le personnel est en cours de constitution, aussi bien pour le diriger que pour son conseil consultatif.

Pour quoi faire ?

« La mission du DC-EDIC est de mettre en œuvre un projet multinational sur les biens communs numériques dans les domaines de l’infrastructure et des services de données communs européens et de l’administration publique connectée. Elle mettra en commun les ressources des États membres et assurera la coordination avec les communautés afin de développer, de maintenir et d’étendre les biens communs numériques et de faciliter leur adoption », indique la Commission européenne.

Le DC-EDIC doit simplifier notamment les participations de tous les acteurs, qu’ils soient publics, privés ou civiques. Le consortium fera en outre office de guichet unique pour le financement des projets alimentés par les fonds européens et répondant aux critères fixés par l’EDIC. En plus des financements, ce dernier devra fournir un soutien juridique et technique sur des aspects comme la maintenance et la mise à l’échelle, ainsi que des conseils stratégiques.

Surtout, ce consortium devra « coordonner et participer à des projets multinationaux concrets ancrés dans les communs numériques ». Il doit servir de catalyseur pour les projets d’infrastructures transfrontalières, avec une entité juridique propre.

À noter que si l’EDIC a ses quatre pays fondateurs, rien n’empêche d’autres États membres de rejoindre le projet par la suite.

Un numérique « ouvert, compétitif et souverain »

À la DINUM, on s’est félicité du lancement de cet EDIC, le deuxième à s’établir en France. Stéphanie Schaer, sa directrice, évoque une « ambition commune : bâtir ensemble les fondations d’un paysage numérique européen fort, ouvert et durable. Il traduit un élan collectif qui donnera à l’Europe la capacité d’agir et d’innover par elle-même ». Elle ajoute que la France « s’engage avec enthousiasme et détermination dans cette nouvelle coopération », qui doit favoriser l’émergence de « champions européens ».

Un « enthousiasme » et une « détermination » que vient cependant tempérer le récent rapport de la Cour des comptes, dans lequel la stratégie nationale en matière de souveraineté a été méticuleusement étrillée. La Cour a critiqué un manque flagrant de cohérence dans les projets, un éclatement des ressources, ou encore de trop nombreux cas de données confiées à des acteurs extra-européens (particulièrement Microsoft).

• Souveraineté numérique : la Cour des comptes étrille le manque de cohésion en France

À quoi s’attendre ?

Les trois autres pays fondateurs affichent cependant eux aussi leur enthousiasme. L’Allemagne, qui rejoint pour la première fois un EDIC, y voit un « signal fort pour l’avenir numérique de l’Europe », afin que cette dernière « puisse façonner son avenir numérique en toute autonomie ». Zendis (et donc openDesk) seront de la partie.

Pour l’Italie, le nouvel EDIC est « un pont européen qui permettra de passer de l’expérimentation à l’industrialisation ». Le message envoyé « est clair : l’Europe peut construire, maintenir et gouverner des infrastructures numériques critiques selon ses propres règles, au service de l’intérêt général ». Côté Pays-Bas, la réaction est plus concise : « Nous pouvons unir nos forces, faire grandir les alternatives open source et donner aux gouvernements européens les moyens d’agir en toute autonomie ».

Le DC-EDIC devrait en théorie favoriser largement les technologies ouvertes. La DINUM relève à ce titre que « plus de 80 % des technologies et infrastructures numériques utilisées en Europe proviennent encore de fournisseurs non-européens ». Dans ce contexte, le nouveau consortium devra « mutualiser les ressources et les expertises des États membres pour développer des alternatives ouvertes, interopérables et durables ».

Plus concrètement, l’EDIC aura pour mission de proposer des alternatives ouvertes dans des domaines considérés comme clés, dont l’IA et le cloud bien sûr, mais aussi les suites collaboratives, la cybersécurité, la géomatique et les réseaux sociaux. Les communautés techniques, académiques, publiques et privées doivent en outre être mobilisées. L’EDIC aura également la mission délicate d’inciter à l’adoption des solutions ainsi conçues ou rassemblées dans les administrations, les entreprises et même chez les citoyens.

On attend cependant d’en savoir plus, car les ressources précises de l’EDIC ne sont pas connues et on ne connait pas sa « force de frappe » ni quel niveau d’influence il va pouvoir exercer. Les candidatures pour le poste de directeur/directrice (PDF) ont commencé ce 3 novembre et dureront jusqu’au 1ᵉʳ décembre. De plus amples précisions devraient être données en fin d’année.

Entre pas de correctif et deux correctifs

Deux vulnérabilités de Windows, dont l’une critique, sont activement exploitées. Les pirates s’en prennent particulièrement aux installations Windows Server sur site, dans l’objectif de dérober des informations.

Depuis bientôt deux semaines, plusieurs groupes de pirates de type APT (Advanced Persistent Threat), le plus souvent étatiques, sont à pied d’œuvre pour exploiter deux failles de sécurité dans Windows.

La première, CVE-2025-9491, a été découverte en mars dernier par Trend Micro et réside dans le format binaire Windows Shortcut (les fichiers .LNK). Affichant un score CVSS de 7,8 sur 10, elle peut être exploitée depuis une page web malveillante pour provoquer l’exécution d’un code arbitraire à distance, avec les droits de l’utilisateur en cours.

La seconde, CVE-2025-59287, est beaucoup plus dangereuse. Affichant un score CVSS de 9,8, elle affiche le niveau presque maximal de dangerosité. Elle réside dans le Windows Server Update Service (WSUS) de Windows Server et permet la désérialisation de données non approuvées, avec à la clé la possibilité d’exécuter du code arbitraire.

Une campagne depuis des mois, une exploitation depuis des années

Différence fondamentale entre les deux failles : la première n’est pas corrigée et fait l’objet de campagnes actives. C’est ce que Trend Micro affirmait déjà le 18 mars. L’éditeur indiquait que la faille avait été découverte en septembre 2024, mais qu’elle était présente dans le système depuis 2017, et probablement exploitée plus ou moins activement depuis.

Trend Micro indiquait alors avoir identifié plus d’un millier de fichier LNK malveillants contenant des commandes cachées pour déclencher des actions. Onze groupes APT de Corée du Nord, d’Iran, de Russie et de Chine étaient épinglés. Selon l’entreprise de sécurité, une preuve de concept avait été envoyée à Microsoft, mais l’éditeur aurait refusé de corriger la faille, sans que l’on sache pourquoi.

Et si l’on en parle toujours, c’est parce qu’un rapport publié par Arctic Wolf le 30 octobre faisait état d’une exploitation toujours active de cette faille en septembre et octobre. Cette fois, les cibles étaient surtout situées en Europe, particulièrement « les entités diplomatiques hongroises et belges », signe d’une coordination précise. L’ingénierie sociale est utilisée pour envoyer de fausses invitations, avec des détails sur des évènements diplomatiques, « notamment les réunions de facilitation des frontières de la Commission européenne et les ateliers de l’OTAN sur les achats de défense ».

Toujours selon ce rapport, l’attaque passe par le chargement de bibliothèques DLL provenant d’utilitaires Canon pour imprimantes et ayant une signature authentique. Le logiciel malveillant PlugX est également utilisé pour établir la persistance et voler silencieusement des informations. Arctic Wolf ajoute que la taille du fichier CanonStager, utilisé pour charger le malware, est passée de 700 ko à seulement 4 ko entre septembre et octobre, signe selon la société d’un développement très actif.

En l’absence de correctif pour l’instant, la mesure recommandée consiste à verrouiller les fonctions des fichiers LNK.

Interrogée par HelpNetSecurity sur le sujet, Microsoft a indiqué que Defender et Smart App Control avaient été mis à jour en septembre 2024 pour tenir compte de cette menace, mais le système d’exploitation lui-même n’a pas eu de correctif. Dans une autre réponse donnée le 2 novembre, la société a simplement déclaré qu’elle appréciait « le travail de la communauté des chercheurs » et qu’elle encourageait « vivement les clients à tenir compte des avertissements de sécurité et à éviter d’ouvrir des fichiers provenant de sources inconnues ».

Une faille critique corrigée deux fois

L’autre faille, CVE-2025-59287, est beaucoup plus dangereuse, mais elle a le gros avantage d’avoir été corrigée. Deux fois en fait : une première lors du Patch Tuesday d’octobre, la seconde lors d’une mise à jour d’urgence (et hors cycle) le 24 octobre. Une preuve de concept était apparue rapidement après le premier correctif, prouvant que le colmatage était incomplet et expliquant la seconde mise à jour.

Comme toujours dans ce genre de cas, le problème pourrait être considéré comme réglé puisque le correctif bouche la vulnérabilité, mais la difficulté réside dans l’application du correctif. La faille résidant dans les installations sur site de Windows Server et l’utilisation de WSUS pour gérer et diffuser les mises à jour dans le parc informatique, il faut appliquer le correctif sur les serveurs concernés, nécessitant une interruption de service.

Selon la société de sécurité Huntress, des signes d’exploitation de cette faille sont apparus le 23 octobre, la veille de la diffusion du second correctif. Des observations corroborées par d’autres entreprises, dont Sophos qui évoquait le 24 octobre comme début des hostilités. La faille peut donc être considérée comme 0-day puisqu’elle n’était pas corrigée au moment de son exploitation. Elle a également fait l’objet d’une fiche par l’ANSSI le 27 octobre. On ne sait pas à l’heure actuelle si la preuve de concept publiée peu de temps après le premier correctif a été utilisée pour exploiter la faille.

En outre, même si le correctif disponible colmate bien la brèche, l’agence américaine de cybersécurité (CISA) a publié une note à ce sujet le 29 octobre. Elle enjoint le personnel concerné à mettre à jour aussi rapidement que possible les serveurs concernés et à effectuer d’autres tâches, dont la surveillance active de processus potentiellement suspects. Il est également conseillé de surveiller également les processus PowerShell imbriqués utilisant des commandes codées en Base64.

Entre pas de correctif et deux correctifs

Deux vulnérabilités de Windows, dont l’une critique, sont activement exploitées. Les pirates s’en prennent particulièrement aux installations Windows Server sur site, dans l’objectif de dérober des informations.

Depuis bientôt deux semaines, plusieurs groupes de pirates de type APT (Advanced Persistent Threat), le plus souvent étatiques, sont à pied d’œuvre pour exploiter deux failles de sécurité dans Windows.

La première, CVE-2025-9491, a été découverte en mars dernier par Trend Micro et réside dans le format binaire Windows Shortcut (les fichiers .LNK). Affichant un score CVSS de 7,8 sur 10, elle peut être exploitée depuis une page web malveillante pour provoquer l’exécution d’un code arbitraire à distance, avec les droits de l’utilisateur en cours.

La seconde, CVE-2025-59287, est beaucoup plus dangereuse. Affichant un score CVSS de 9,8, elle affiche le niveau presque maximal de dangerosité. Elle réside dans le Windows Server Update Service (WSUS) de Windows Server et permet la désérialisation de données non approuvées, avec à la clé la possibilité d’exécuter du code arbitraire.

Une campagne depuis des mois, une exploitation depuis des années

Différence fondamentale entre les deux failles : la première n’est pas corrigée et fait l’objet de campagnes actives. C’est ce que Trend Micro affirmait déjà le 18 mars. L’éditeur indiquait que la faille avait été découverte en septembre 2024, mais qu’elle était présente dans le système depuis 2017, et probablement exploitée plus ou moins activement depuis.

Trend Micro indiquait alors avoir identifié plus d’un millier de fichier LNK malveillants contenant des commandes cachées pour déclencher des actions. Onze groupes APT de Corée du Nord, d’Iran, de Russie et de Chine étaient épinglés. Selon l’entreprise de sécurité, une preuve de concept avait été envoyée à Microsoft, mais l’éditeur aurait refusé de corriger la faille, sans que l’on sache pourquoi.

Et si l’on en parle toujours, c’est parce qu’un rapport publié par Arctic Wolf le 30 octobre faisait état d’une exploitation toujours active de cette faille en septembre et octobre. Cette fois, les cibles étaient surtout situées en Europe, particulièrement « les entités diplomatiques hongroises et belges », signe d’une coordination précise. L’ingénierie sociale est utilisée pour envoyer de fausses invitations, avec des détails sur des évènements diplomatiques, « notamment les réunions de facilitation des frontières de la Commission européenne et les ateliers de l’OTAN sur les achats de défense ».

Toujours selon ce rapport, l’attaque passe par le chargement de bibliothèques DLL provenant d’utilitaires Canon pour imprimantes et ayant une signature authentique. Le logiciel malveillant PlugX est également utilisé pour établir la persistance et voler silencieusement des informations. Arctic Wolf ajoute que la taille du fichier CanonStager, utilisé pour charger le malware, est passée de 700 ko à seulement 4 ko entre septembre et octobre, signe selon la société d’un développement très actif.

En l’absence de correctif pour l’instant, la mesure recommandée consiste à verrouiller les fonctions des fichiers LNK.

Interrogée par HelpNetSecurity sur le sujet, Microsoft a indiqué que Defender et Smart App Control avaient été mis à jour en septembre 2024 pour tenir compte de cette menace, mais le système d’exploitation lui-même n’a pas eu de correctif. Dans une autre réponse donnée le 2 novembre, la société a simplement déclaré qu’elle appréciait « le travail de la communauté des chercheurs » et qu’elle encourageait « vivement les clients à tenir compte des avertissements de sécurité et à éviter d’ouvrir des fichiers provenant de sources inconnues ».

Une faille critique corrigée deux fois

L’autre faille, CVE-2025-59287, est beaucoup plus dangereuse, mais elle a le gros avantage d’avoir été corrigée. Deux fois en fait : une première lors du Patch Tuesday d’octobre, la seconde lors d’une mise à jour d’urgence (et hors cycle) le 24 octobre. Une preuve de concept était apparue rapidement après le premier correctif, prouvant que le colmatage était incomplet et expliquant la seconde mise à jour.

Comme toujours dans ce genre de cas, le problème pourrait être considéré comme réglé puisque le correctif bouche la vulnérabilité, mais la difficulté réside dans l’application du correctif. La faille résidant dans les installations sur site de Windows Server et l’utilisation de WSUS pour gérer et diffuser les mises à jour dans le parc informatique, il faut appliquer le correctif sur les serveurs concernés, nécessitant une interruption de service.

Selon la société de sécurité Huntress, des signes d’exploitation de cette faille sont apparus le 23 octobre, la veille de la diffusion du second correctif. Des observations corroborées par d’autres entreprises, dont Sophos qui évoquait le 24 octobre comme début des hostilités. La faille peut donc être considérée comme 0-day puisqu’elle n’était pas corrigée au moment de son exploitation. Elle a également fait l’objet d’une fiche par l’ANSSI le 27 octobre. On ne sait pas à l’heure actuelle si la preuve de concept publiée peu de temps après le premier correctif a été utilisée pour exploiter la faille.

En outre, même si le correctif disponible colmate bien la brèche, l’agence américaine de cybersécurité (CISA) a publié une note à ce sujet le 29 octobre. Elle enjoint le personnel concerné à mettre à jour aussi rapidement que possible les serveurs concernés et à effectuer d’autres tâches, dont la surveillance active de processus potentiellement suspects. Il est également conseillé de surveiller également les processus PowerShell imbriqués utilisant des commandes codées en Base64.

Oxydation galopante

Le langage Rust est désormais presque partout. Dans une série d’entretiens, nous nous penchons sur son parcours, son évolution et surtout son utilisation aujourd’hui. Nous avons ainsi interrogé Sylvestre Ledru, directeur de l’ingénierie chez Mozilla et lead sur le projet de version Rust des Core Utils de Linux, intégrée récemment dans Ubuntu 25.10.

Le langage Rust a été créé par Mozilla. De projet personnel, il est devenu officiellement incubé par la fondation en 2009. Il a rapidement été vu comme pouvant déboucher sur d’importantes améliorations dans les logiciels, notamment Firefox. Nous étions revenus sur son histoire à l’occasion des 10 ans de la version 1.0 en mai dernier. Il est aujourd’hui géré par une fondation indépendante, dirigée actuellement par Rebecca Rumbul.

• Retour sur 10 ans de Rust, un langage devenu incontournable

Le langage Rust fait régulièrement parler de lui, en grande partie pour deux de ses qualités : il est « memory safe » tout en préservant les performances du C++. Nous avions expliqué ces qualités en 2019, quand Microsoft indiquait se pencher sur le langage pour sa programmation système. Un projet devenu réalité depuis, la version 24H2 de Windows 11 ayant été la première version à intégrer du Rust dans le noyau du système.

Dans une nouvelle série d’entretiens, nous nous penchons sur l’utilisation faite du Rust dans plusieurs entreprises. Nous ouvrons le bal avec Sylvestre Ledru, directeur de l’ingénierie chez Mozilla. En plus d’avoir été témoin de l’arrivée du langage chez l’éditeur et de ses premières utilisations dans Firefox, il est l’auteur de la version Rust de coreutils récemment intégrée dans Ubuntu 25.10.

>> Qu’est-ce qui vous a dirigé vers le Rust ?

Initialement, quand Mozilla a créé le Rust, c’est parce qu’on pensait qu’il y avait une meilleure façon de programmer. La vraie raison, c’est que nous avons estimé que nous ne savions pas – et que personne ne sait – écrire du code C ou C++ qui soit réellement sûr et parallèle. On passait un temps fou à corriger des bugs qui étaient liés au langage de programmation, et pas à nos erreurs de programmation logiques.

Je pense que tous les gens qui peuvent discuter aujourd’hui du Rust vous diront la même chose : 60 % des failles de sécurité sont causées par des problématiques de gestion de la mémoire, à la fois en C et en C++(les problèmes de pointeurs). Le parallélisme, c’est aussi quelque chose de très compliqué à faire correctement. Ce sont ces raisons qui ont poussé Mozilla à développer Rust.

Welcome to Texas yeah !

Dans son dernier rapport consacré aux perturbations d’Internet, Cloudflare confirme les tendances observées : de nombreuses et importantes coupures ont lieu un peu partout. Mais les causes peuvent être multiples, entre décisions politiques, facteurs techniques et jusqu’aux catastrophes naturelles.

Cloudflare est dans une position assez unique, puisque ses protections sont utilisées par 20 % du web. Un étalement suffisamment vaste pour que l’entreprise publie régulièrement des rapports sur ce qu’elle voit passer depuis sa tour d’observation. Chaque trimestre, elle publie ainsi un rapport sur les perturbations d’internet. Elles sont nombreuses et proviennent de causes très variées, parfois improbables, comme on peut le voir dans sa dernière publication.

Coupures politiques

Les perturbations entrainées par des décisions politiques sont souvent les plus visibles : Soudan, Syrie, Vénézuéla, Irak ou encore Afghanistan ont tous eu des coupures consécutives à des ordres du gouvernement.

Selon Cloudflare, les raisons peuvent largement varier. Au Soudan par exemple, les coupures enregistrées pourraient correspondre à une période d’examens scolaires, et donc à une mesure extrême pour empêcher les sujets de circuler. Cette manière de procéder correspond à des observations déjà faites par le passé, notamment en 2021 et 2022.

Même chose en Syrie, avec cette fois un message officiel du ministère syrien de l’Éducation sur Telegram, avertissant que des réseaux de triche ont été découverts. D’importantes perturbations ont donc été constatées sur les jours d’examen correspondant aux périodes des certificats d’études élémentaires et d’études secondaires, en juin et juillet principalement.

L’Irak a pris des décisions semblables. Le gouvernement du Kurdistan irakien a ainsi décrété une suspension complète d’internet tous les samedis, lundis et mercredis entre le 23 aout et le 8 septembre.

Il y a bien sûr la grosse coupure en Afghanistan survenue il y a quelques semaines et dont nous nous étions fait l’écho. « Cette mesure a été prise pour prévenir le vice », affirmait alors le responsable d’une province du Nord mi-septembre. Les répercussions avaient été multiples, empêchant notamment des milliers d’étudiants de suivre leurs cours en ligne. Le Monde avait rapporté les inquiétudes de l’ONU, qui évoquait des conséquences « extrêmement graves », avec notamment des répercussions sur le système bancaire et le trafic aérien. Lors du retour des connexions, « des scènes de liesse parmi la population, notamment dans la capitale afghane », avaient été observées.

Dégâts sur la fibre optique : entre travaux et soupçons de sabotage

L’autre grande cause dans les coupures, ce sont bien sûr les dégâts sur les grands câbles de fibre optique qui courent au fond des mers et des océans. Début juillet par exemple, en République dominicaine, la société Claro avertissait sur X de dégâts sur deux câbles de fibre optique coup sur coup, causés par des entreprises différentes (intervenant sur l’eau et l’électricité).

Situation similaire en Angola, avec des travaux routiers « qui ont affecté les interconnexions nationales par fibre optique ». L’opérateur Unitel Angola avait subi une baisse de 95 % de son trafic, témoin de l’ampleur de la coupure. Comme le signale Cloudflare toutefois, ces explications ont été contestées par des ONG, car la panne est survenue durant un mouvement de protestation contre la hausse des prix des carburants.

Citons les cas du Pakistan et des Émirats arabes unis que nous avions abordés dans nos colonnes. L’accident s’est produit dans les eaux du Yémen, ce qui faisait dire à l’expert en câbles sous-marins Roderick Beck qu’avec une profondeur de 100 mètres seulement, il s’agissait probablement d’une cause liée à un bateau, par la pêche ou par une ancre. La rupture avait causé des ralentissements au Pakistan et aux Émirats arabes unis. La piste de l’attaque volontaire n’était pas écartée.

Plus improbable en revanche, un câble de fibre optique a été rompu au Texas le 26 septembre à cause… d’une balle perdue. Les conséquences ont cependant été limitées, avec des problèmes circonscrits à la région de Dallas et n’ayant entrainé qu’une baisse du trafic de 25 % pendant environ deux heures.

Pannes de courant, catastrophes naturelles, incendies, cyberattaques…

Les pannes de courant peuvent avoir des conséquences importantes sur la disponibilité d’internet. En République tchèque par exemple, la chute d’un câble électrique le 4 juillet a entrainé une vaste panne de courant. Celle-ci a eu un effet très concret sur la disponibilité du réseau pendant approximativement 6 heures, entrainant une baisse de trafic de 32 % à l’échelle du pays.

Des pannes d’électricité expliquent des perturbations similaires dans des îles comme Saint-Vincent-et-les-Grenadines et Curaçao, ou encore à Gibraltar, où une entreprise a sectionné trois câbles à haute tension par erreur, avec à la clé une chute de 80 % du trafic dans le pays pendant environ 7 heures. Selon Cloudflare toutefois, c’est Cuba qui connait le plus de coupures de ce type, avec de très nombreuses pannes d’électricité. Le 10 septembre par exemple, une panne a entrainé une chute de 60 % du trafic pendant plus de 24 heures.

Côté catastrophes, la seule référencée par le rapport est l’impressionnant séisme ayant eu lieu dans la province du Kamchatka en Russie. Avec une magnitude de 8,8 sur l’échelle de Richter, ses puissantes secousses ont déclenché des alertes au tsunami dans plusieurs régions, notamment au Japon ou dans les États américains de l’Alaska et d’Hawaï. Si le trafic a chuté de 75 % dans la province juste après le tremblement de terre, Cloudflare indique toutefois qu’il s’est très vite rétabli. Notez que le rapport de Cloudflare était déjà bouclé au moment de l’ouragan Melissa et de son impact catastrophique en Jamaïque.

Le Yémen fait en outre partie des pays revenant le plus souvent dans le rapport. D’abord parce que le pays est le seul référencé sur les trois derniers mois à avoir subi une cyberattaque d’ampleur, suffisante pour entrainer une perturbation à l’échelle du pays, avec une baisse significative du trafic chez le fournisseur d’accès YemenNet. Ensuite car le Yémen, comme le Soudan, a été largement touché par la panne de Starlink en juillet. Pendant environ 2h30, le trafic a chuté de moitié dans ces pays, de même qu’au Zimbabwe ainsi qu’au Tchad, interrogeant sur la dépendance à un prestataire unique. Cloudflare signale d’ailleurs une autre panne de Starlink pendant une heure le 15 septembre. La société indique que Starlink avait initialement reconnu la panne, avant de supprimer son message sur X.

Diversifier pour résister

Les tendances observées dans les précédents rapports se renforcent, notamment sur les coupures décidées par les gouvernements, en pleine recrudescence selon Cloudflare. La pratique est controversée mais tend à se normaliser dans certaines régions. Si leur nombre augmente, leur portée varie considérablement d’un pays à l’autre cependant, de même que les causes, tout du moins officiellement.

De même, si les accidents et les catastrophes peuvent survenir n’importe où, la résilience affiche d’importantes disparités selon les régions. Sans surprise, celles ayant un nombre plus élevé de fournisseurs d’accès et de chemins alternatifs pour la connectivité sont moins touchées par les pannes et récupèrent souvent plus vite.

Dans l’ensemble, quelles que soient les causes des coupures, les conséquences sont presque toujours les mêmes, avec un impact économique et social, qu’il s’agisse d’étudiants ne pouvant plus suivre leurs cours, des coupures dans les services financiers voire bancaires, le commerce électronique ou encore la télémédecine. Selon Cloudflare, la seule solution est d’accentuer la résilience et la diversité des infrastructures pour minimiser les coupures.

Welcome to Texas yeah !

Dans son dernier rapport consacré aux perturbations d’Internet, Cloudflare confirme les tendances observées : de nombreuses et importantes coupures ont lieu un peu partout. Mais les causes peuvent être multiples, entre décisions politiques, facteurs techniques et jusqu’aux catastrophes naturelles.

Cloudflare est dans une position assez unique, puisque ses protections sont utilisées par 20 % du web. Un étalement suffisamment vaste pour que l’entreprise publie régulièrement des rapports sur ce qu’elle voit passer depuis sa tour d’observation. Chaque trimestre, elle publie ainsi un rapport sur les perturbations d’internet. Elles sont nombreuses et proviennent de causes très variées, parfois improbables, comme on peut le voir dans sa dernière publication.

Coupures politiques

Les perturbations entrainées par des décisions politiques sont souvent les plus visibles : Soudan, Syrie, Vénézuéla, Irak ou encore Afghanistan ont tous eu des coupures consécutives à des ordres du gouvernement.

Selon Cloudflare, les raisons peuvent largement varier. Au Soudan par exemple, les coupures enregistrées pourraient correspondre à une période d’examens scolaires, et donc à une mesure extrême pour empêcher les sujets de circuler. Cette manière de procéder correspond à des observations déjà faites par le passé, notamment en 2021 et 2022.

Même chose en Syrie, avec cette fois un message officiel du ministère syrien de l’Éducation sur Telegram, avertissant que des réseaux de triche ont été découverts. D’importantes perturbations ont donc été constatées sur les jours d’examen correspondant aux périodes des certificats d’études élémentaires et d’études secondaires, en juin et juillet principalement.

L’Irak a pris des décisions semblables. Le gouvernement du Kurdistan irakien a ainsi décrété une suspension complète d’internet tous les samedis, lundis et mercredis entre le 23 aout et le 8 septembre.

Il y a bien sûr la grosse coupure en Afghanistan survenue il y a quelques semaines et dont nous nous étions fait l’écho. « Cette mesure a été prise pour prévenir le vice », affirmait alors le responsable d’une province du Nord mi-septembre. Les répercussions avaient été multiples, empêchant notamment des milliers d’étudiants de suivre leurs cours en ligne. Le Monde avait rapporté les inquiétudes de l’ONU, qui évoquait des conséquences « extrêmement graves », avec notamment des répercussions sur le système bancaire et le trafic aérien. Lors du retour des connexions, « des scènes de liesse parmi la population, notamment dans la capitale afghane », avaient été observées.

Dégâts sur la fibre optique : entre travaux et soupçons de sabotage

L’autre grande cause dans les coupures, ce sont bien sûr les dégâts sur les grands câbles de fibre optique qui courent au fond des mers et des océans. Début juillet par exemple, en République dominicaine, la société Claro avertissait sur X de dégâts sur deux câbles de fibre optique coup sur coup, causés par des entreprises différentes (intervenant sur l’eau et l’électricité).

Situation similaire en Angola, avec des travaux routiers « qui ont affecté les interconnexions nationales par fibre optique ». L’opérateur Unitel Angola avait subi une baisse de 95 % de son trafic, témoin de l’ampleur de la coupure. Comme le signale Cloudflare toutefois, ces explications ont été contestées par des ONG, car la panne est survenue durant un mouvement de protestation contre la hausse des prix des carburants.

Citons les cas du Pakistan et des Émirats arabes unis que nous avions abordés dans nos colonnes. L’accident s’est produit dans les eaux du Yémen, ce qui faisait dire à l’expert en câbles sous-marins Roderick Beck qu’avec une profondeur de 100 mètres seulement, il s’agissait probablement d’une cause liée à un bateau, par la pêche ou par une ancre. La rupture avait causé des ralentissements au Pakistan et aux Émirats arabes unis. La piste de l’attaque volontaire n’était pas écartée.

Plus improbable en revanche, un câble de fibre optique a été rompu au Texas le 26 septembre à cause… d’une balle perdue. Les conséquences ont cependant été limitées, avec des problèmes circonscrits à la région de Dallas et n’ayant entrainé qu’une baisse du trafic de 25 % pendant environ deux heures.

Pannes de courant, catastrophes naturelles, incendies, cyberattaques…

Les pannes de courant peuvent avoir des conséquences importantes sur la disponibilité d’internet. En République tchèque par exemple, la chute d’un câble électrique le 4 juillet a entrainé une vaste panne de courant. Celle-ci a eu un effet très concret sur la disponibilité du réseau pendant approximativement 6 heures, entrainant une baisse de trafic de 32 % à l’échelle du pays.

Des pannes d’électricité expliquent des perturbations similaires dans des îles comme Saint-Vincent-et-les-Grenadines et Curaçao, ou encore à Gibraltar, où une entreprise a sectionné trois câbles à haute tension par erreur, avec à la clé une chute de 80 % du trafic dans le pays pendant environ 7 heures. Selon Cloudflare toutefois, c’est Cuba qui connait le plus de coupures de ce type, avec de très nombreuses pannes d’électricité. Le 10 septembre par exemple, une panne a entrainé une chute de 60 % du trafic pendant plus de 24 heures.

Côté catastrophes, la seule référencée par le rapport est l’impressionnant séisme ayant eu lieu dans la province du Kamchatka en Russie. Avec une magnitude de 8,8 sur l’échelle de Richter, ses puissantes secousses ont déclenché des alertes au tsunami dans plusieurs régions, notamment au Japon ou dans les États américains de l’Alaska et d’Hawaï. Si le trafic a chuté de 75 % dans la province juste après le tremblement de terre, Cloudflare indique toutefois qu’il s’est très vite rétabli. Notez que le rapport de Cloudflare était déjà bouclé au moment de l’ouragan Melissa et de son impact catastrophique en Jamaïque.

Le Yémen fait en outre partie des pays revenant le plus souvent dans le rapport. D’abord parce que le pays est le seul référencé sur les trois derniers mois à avoir subi une cyberattaque d’ampleur, suffisante pour entrainer une perturbation à l’échelle du pays, avec une baisse significative du trafic chez le fournisseur d’accès YemenNet. Ensuite car le Yémen, comme le Soudan, a été largement touché par la panne de Starlink en juillet. Pendant environ 2h30, le trafic a chuté de moitié dans ces pays, de même qu’au Zimbabwe ainsi qu’au Tchad, interrogeant sur la dépendance à un prestataire unique. Cloudflare signale d’ailleurs une autre panne de Starlink pendant une heure le 15 septembre. La société indique que Starlink avait initialement reconnu la panne, avant de supprimer son message sur X.

Diversifier pour résister

Les tendances observées dans les précédents rapports se renforcent, notamment sur les coupures décidées par les gouvernements, en pleine recrudescence selon Cloudflare. La pratique est controversée mais tend à se normaliser dans certaines régions. Si leur nombre augmente, leur portée varie considérablement d’un pays à l’autre cependant, de même que les causes, tout du moins officiellement.

De même, si les accidents et les catastrophes peuvent survenir n’importe où, la résilience affiche d’importantes disparités selon les régions. Sans surprise, celles ayant un nombre plus élevé de fournisseurs d’accès et de chemins alternatifs pour la connectivité sont moins touchées par les pannes et récupèrent souvent plus vite.

Dans l’ensemble, quelles que soient les causes des coupures, les conséquences sont presque toujours les mêmes, avec un impact économique et social, qu’il s’agisse d’étudiants ne pouvant plus suivre leurs cours, des coupures dans les services financiers voire bancaires, le commerce électronique ou encore la télémédecine. Selon Cloudflare, la seule solution est d’accentuer la résilience et la diversité des infrastructures pour minimiser les coupures.

Manchots vénères

Pour la première fois, les systèmes Linux ont dépassé les 3 % de parts de marché dans les enquêtes Steam. La plateforme a des arguments de plus en plus forts, comme illustré récemment dans un remplacement de Windows 11 par Linux sur Xbox Ally.

3,05 % pour Linux ? Le chiffre peut n’avoir l’air de rien, mais il reste une étape significative dans les changements d’habitude. Comme relevé notamment par Phoronix, il s’agit d’une progression d’un point en un an. Cependant, l’évolution mensuelle est encore plus intéressante, Linux ayant gagné 0,37 point entre septembre et octobre.

SteamOS sur plus d’un quart des configurations

Une accélération nette dont la fin de support de Windows 10 est probablement l’un des principaux facteurs. Sur la même période, Windows a perdu 0,56 point :- 1,04 point pour Windows 10 et + 0,53 point pour Windows 11. Curieusement, Windows 7 a gagné 0,02 point sur le dernier mois.

Et dans ces statistiques fournies par Valve, quelle est la distribution la plus utilisée ? Sans surprise, il s’agit de Steam OS, le système fourni avec la console portable Steam Deck, avec 27,18 % sur octobre. On note toutefois que cette part est en baisse de 0,86 point, soit une différence marquée. Si le Steam Deck a clairement bousculé le monde du jeu, la configuration d’un PC sous Linux pour jouer est également devenue simple.

Parmi les autres tirant leur épingle du jeu, on note la présence d’Arch Linux avec 10,32 % et de Linux Mint (6,65 % pour la récente version 22.2 et 2,56 % pour la 22.1). Comme on peut le voir dans le tableau fourni par Valve, de nombreuses distributions affichent une croissance dans leur nombre d’utilisateurs.

Cependant, les chiffres donnés par l’entreprise ne sont pas toujours pratiques à cause de séparations assez artificielles. Par exemple, il y a deux scores séparés pour Fedora 42 selon que l’on utilise la version Workstation avec GNOME ou la mouture KDE. On trouve aussi des parts de marché pour des « Freedesktop SDK », qui est un composant et ne renvoie (a priori) vers une distribution spécifique.

Linux plus fort que Windows ?

Le score de Linux illustre cependant un sujet grandissant autour du jeu vidéo sur cette plateforme, comme nous l’avons encore vu récemment. On pourrait également parler d’une hausse de l’émulation autour de cette thématique avec l’apparition cet été d’une distribution française centrée sur le jeu vidéo, GLF OS. Elle rejoindra peut-être dans l’avenir des distributions plus anciennes sur le même créneau, surtout Bazzite (4,24 %) et CachyOS (6,01 %).

• 90 % des jeux Windows compatibles Linux ? Oui, mais…

Cette orientation performances pour des distributions spécialisées a d’ailleurs été illustrée le 29 octobre par The Verge. Nos confrères se sont amusés à remplacer Windows 11 par Bazzite sur la console portable Xbox Ally. Résultats des courses : des performances en hausse de 15 à 30 % dans la plupart des tests, une différence plus que significative. La console s’est même payé le luxe d’avoir une meilleure autonomie avec Linux.

• Fin de Windows 10 : à Bordeaux, des associations du libre sentent la différence

Comme toujours dans ce genre de test, ces résultats ne peuvent pas être généralisés, les différences étant apparues sur un matériel spécifique. Ils invitent cependant les utilisateurs à réfléchir à leurs usages, le jeu vidéo étant considéré comme l’un des bastions de Windows. L’enthousiasme généré par la couche Proton de Valve (basée sur Wine) est bien là et continue de se traduire dans les chiffres. Pas de quoi encore tirer la sonnette d’alarme chez Microsoft, mais l’évolution est à suivre de près.