À quand la fusion ArianeGroup Eutelsat ?

Le fabricant de fusées Rocket Lab vient d’annoncer l’acquisition d’Iridium et de sa constellation de satellites pour environ 8 milliards de dollars. Rocket Lab entre ainsi de plain pied dans le monde des services de connectivité par satellite et se dote d’une activité rentable, qui la positionne comme une alternative aux acteurs déjà intégrés que sont SpaceX (avec Starlink et Echostar) et Amazon (via Globalstar).

Accéder à l’espace, c’est bien. Y déployer des services commerciaux, c’est plus rentable : telle est en substance la promesse formulée par Rocket Lab, qui a annoncé, lundi 29 juin, l’acquisition d’Iridium et de sa constellation de satellites en orbite basse. L’opération, soumise à l’approbation des autorités compétentes, dont la FCC aux États-Unis, sera réalisée moitié en cash, moitié en actions Rocket Lab, sur la base d’une valeur d’entreprise fixée à approximativement 8 milliards de dollars. La conclusion de la transaction est attendue mi-2027.

Rocket Lab s’offre une activité rentable

Un pied en Nouvelle-Zélande et l’autre aux États-Unis, Rocket Lab dispose pour mémoire d’un lanceur léger réutilisable déjà opérationnel, Electron. La société développe également depuis 2021 un lanceur de moyenne puissance, Neutron, qui devrait pouvoir emmener jusqu’à 13 tonnes de chargement en orbite basse et jusqu’à 1,5 tonne sur des vols longue distance vers Mars ou Vénus. Elle développe aussi Haste, un lanceur de test hypersonique.

En 2025, l’entreprise a affiché 602 millions de dollars de chiffre d’affaires, notamment grâce à onze missions Electron réussies. Le vol inaugural de Neutron est quant à lui programmé pour le dernier trimestre 2026. Soutenue par plusieurs grands contrats auprès d’agences états-uniennes, notamment dans la défense, Rocket Lab affiche un carnet de commandes de plus de 2 milliards de dollars.

L’entreprise reste toutefois structurellement déficitaire, par ses très importantes dépenses d’investissement requises pour le programme Neutron, entaché fin janvier par l’échec du test du réservoir destiné au premier étage de la fusée. Acquérir une activité déjà installée, à la rentabilité éprouvée, offre dans ce contexte des gages de confiance au marché.

Iridium a de son côté un profil radicalement différent : l’entreprise enregistre 872 millions de dollars de chiffre d’affaires en 2025. Sa croissance se révèle modérée (+ 5 % sur un an), mais son bilan est largement positif, avec une marge opérationnelle de 27 % et un résultat net de 114 millions de dollars sur l’année. L’entreprise exploite 66 satellites en opération, avec des services (IoT, voix et data, Direct-to-Device) distribués en direction de 2,55 millions de clients, notamment institutionnels. Elle dispose de revenus récurrents garantis, là où Rocket Lab dépend des campagnes de lancement décidées par ses clients et de la réussite de ses nouveaux programmes.

• Direct-to-Cell : mais comment diable un smartphone peut communiquer avec un satellite

Un modèle intégré dans la foulée de Starlink

Rocket Lab ne cache pas son ambition de construire un modèle intégré d’accès à l’espace et de services associés, à l’image de ce que proposent Starlink et Amazon.

Outre sa propre constellation Starlink, l’entreprise d’Elon Musk a récemment acquis les fréquences d’Echostar avec le soutien de l’administration Trump, ce qui lui permet maintenant d’envisager de se lancer comme opérateur mobile aux États-Unis, tandis que le groupe de Jeff Bezos se prépare de son côté à mettre la main sur GlobalStar pour 11,57 milliards de dollars.

Avec Iridium, Rocket Lab s’offre à la fois une constellation en activité, mais aussi une bande de fréquences attribuée, grâce à laquelle l’entreprise estime être en mesure d’accélérer le déploiement de nouveaux services.

« En associant le riche héritage d’Iridium, son infrastructure fiable et son spectre très recherché aux vastes capacités de lancement et de fabrication éprouvées de Rocket Lab, nous sommes en mesure d’ouvrir des marchés entièrement nouveaux. Nous irons bien au-delà de la simple préservation de cet héritage ; nous allons le développer pour créer des applications spatiales de nouvelle génération et offrir des solutions très demandées à nos clients actuels et futurs », déclare Peter Beck, fondateur et CEO de Rocket Lab.

L’acquéreur indique avoir sécurisé les financements nécessaires à la réalisation de cet investissement, notamment via une ligne de crédit de 3,6 milliards de dollars souscrite chez Deutsche Bank et Wells Fargo.

« Il s’agit de notre entrée dans le marché des revenus récurrents des applications spatiales, mais ce n’est pas la ligne d’arrivée. Plutôt que de simplement poursuivre le développement du réseau Iridium, nous allons l’étendre pour conquérir des marchés inexploités et innover dans le domaine des services spatiaux », promet encore l’entreprise.

À quand la fusion ArianeGroup Eutelsat ?

Le fabricant de fusées Rocket Lab vient d’annoncer l’acquisition d’Iridium et de sa constellation de satellites pour environ 8 milliards de dollars. Rocket Lab entre ainsi de plain pied dans le monde des services de connectivité par satellite et se dote d’une activité rentable, qui la positionne comme une alternative aux acteurs déjà intégrés que sont SpaceX (avec Starlink et Echostar) et Amazon (via Globalstar).

Accéder à l’espace, c’est bien. Y déployer des services commerciaux, c’est plus rentable : telle est en substance la promesse formulée par Rocket Lab, qui a annoncé, lundi 29 juin, l’acquisition d’Iridium et de sa constellation de satellites en orbite basse. L’opération, soumise à l’approbation des autorités compétentes, dont la FCC aux États-Unis, sera réalisée moitié en cash, moitié en actions Rocket Lab, sur la base d’une valeur d’entreprise fixée à approximativement 8 milliards de dollars. La conclusion de la transaction est attendue mi-2027.

Rocket Lab s’offre une activité rentable

Un pied en Nouvelle-Zélande et l’autre aux États-Unis, Rocket Lab dispose pour mémoire d’un lanceur léger réutilisable déjà opérationnel, Electron. La société développe également depuis 2021 un lanceur de moyenne puissance, Neutron, qui devrait pouvoir emmener jusqu’à 13 tonnes de chargement en orbite basse et jusqu’à 1,5 tonne sur des vols longue distance vers Mars ou Vénus. Elle développe aussi Haste, un lanceur de test hypersonique.

En 2025, l’entreprise a affiché 602 millions de dollars de chiffre d’affaires, notamment grâce à onze missions Electron réussies. Le vol inaugural de Neutron est quant à lui programmé pour le dernier trimestre 2026. Soutenue par plusieurs grands contrats auprès d’agences états-uniennes, notamment dans la défense, Rocket Lab affiche un carnet de commandes de plus de 2 milliards de dollars.

L’entreprise reste toutefois structurellement déficitaire, par ses très importantes dépenses d’investissement requises pour le programme Neutron, entaché fin janvier par l’échec du test du réservoir destiné au premier étage de la fusée. Acquérir une activité déjà installée, à la rentabilité éprouvée, offre dans ce contexte des gages de confiance au marché.

Iridium a de son côté un profil radicalement différent : l’entreprise enregistre 872 millions de dollars de chiffre d’affaires en 2025. Sa croissance se révèle modérée (+ 5 % sur un an), mais son bilan est largement positif, avec une marge opérationnelle de 27 % et un résultat net de 114 millions de dollars sur l’année. L’entreprise exploite 66 satellites en opération, avec des services (IoT, voix et data, Direct-to-Device) distribués en direction de 2,55 millions de clients, notamment institutionnels. Elle dispose de revenus récurrents garantis, là où Rocket Lab dépend des campagnes de lancement décidées par ses clients et de la réussite de ses nouveaux programmes.

• Direct-to-Cell : mais comment diable un smartphone peut communiquer avec un satellite

Un modèle intégré dans la foulée de Starlink

Rocket Lab ne cache pas son ambition de construire un modèle intégré d’accès à l’espace et de services associés, à l’image de ce que proposent Starlink et Amazon.

Outre sa propre constellation Starlink, l’entreprise d’Elon Musk a récemment acquis les fréquences d’Echostar avec le soutien de l’administration Trump, ce qui lui permet maintenant d’envisager de se lancer comme opérateur mobile aux États-Unis, tandis que le groupe de Jeff Bezos se prépare de son côté à mettre la main sur GlobalStar pour 11,57 milliards de dollars.

Avec Iridium, Rocket Lab s’offre à la fois une constellation en activité, mais aussi une bande de fréquences attribuée, grâce à laquelle l’entreprise estime être en mesure d’accélérer le déploiement de nouveaux services.

« En associant le riche héritage d’Iridium, son infrastructure fiable et son spectre très recherché aux vastes capacités de lancement et de fabrication éprouvées de Rocket Lab, nous sommes en mesure d’ouvrir des marchés entièrement nouveaux. Nous irons bien au-delà de la simple préservation de cet héritage ; nous allons le développer pour créer des applications spatiales de nouvelle génération et offrir des solutions très demandées à nos clients actuels et futurs », déclare Peter Beck, fondateur et CEO de Rocket Lab.

L’acquéreur indique avoir sécurisé les financements nécessaires à la réalisation de cet investissement, notamment via une ligne de crédit de 3,6 milliards de dollars souscrite chez Deutsche Bank et Wells Fargo.

« Il s’agit de notre entrée dans le marché des revenus récurrents des applications spatiales, mais ce n’est pas la ligne d’arrivée. Plutôt que de simplement poursuivre le développement du réseau Iridium, nous allons l’étendre pour conquérir des marchés inexploités et innover dans le domaine des services spatiaux », promet encore l’entreprise.

Apple a publié lundi 29 juin une mise à jour de sécurité destinée à ses iPhone et iPad. Estampillée 26.5.2, cette nouvelle mouture d’iOS et d’iPadOS intervient pour corriger un total de 32 failles de sécurité.

Dans le lot, 25 sont relatives à Webkit, le moteur qui sous-tend le fonctionnement du navigateur Safari, avec des risques de confusion de type, d’écriture/accès hors limites, et plusieurs problèmes de cross-origin permettant l’exfiltration de données.

Trois des CVE (Common Vulnerability and Exposure) publiées concernent le noyau, avec des vulnérabilités présentées comme capables d’entraîner une corruption de la mémoire vive ou un plantage pur et simple de l’appareil. Deux autres affectent l’implémentation de la bibliothèque libxslt au sein d’iOS, avec là aussi la possibilité de provoquer un crash du système grâce à l’injection de contenu malveillant.

Les différentes vulnérabilités corrigées concernent la majorité des appareils compatibles avec iOS 26.5, soit les terminaux commercialisés à partir des iPhone 11, iPad Pro 12,9 pouces de troisième génération et iPad Pro 11 pouces, iPad 8, iPad mini 5, ou iPad Air 3.

• https://next.ink/236765/avec-ios-26-5-le-chiffrement-de-bout-en-bout-des-messages-rcs-arrive-entre-iphone-et-android/

Apple ne précise pas, dans son bulletin de sécurité, si certaines de ces vulnérabilités ont donné lieu à des attaques identifiées. L’entreprise souligne cependant que plusieurs de ces CVE ont été découvertes à l’aide d’outils d’IA générative. Trois d’entre elles mentionnent ainsi OpenAI Codex Security dans leurs crédits, tandis que deux autres ont impliqué respectivement Claude (Anthropic) et GLM (Z.AI).

Alors qu’Apple travaille actuellement à iOS 26.6, sa prochaine mise à jour fonctionnelle, les possibilités liées à l’IA générative semblent avoir contribué à accélérer la publication de cette mise à jour. « L’entreprise a déclaré à Reuters lundi qu’elle s’adaptait à une réalité : compte tenu de la capacité de l’intelligence artificielle à accélérer la création d’outils de piratage malveillants, elle devait réduire le délai entre la publication initiale des mises à jour et leur mise à disposition des clients », rapporte l’agence de presse.

Apple a publié lundi 29 juin une mise à jour de sécurité destinée à ses iPhone et iPad. Estampillée 26.5.2, cette nouvelle mouture d’iOS et d’iPadOS intervient pour corriger un total de 32 failles de sécurité.

Dans le lot, 25 sont relatives à Webkit, le moteur qui sous-tend le fonctionnement du navigateur Safari, avec des risques de confusion de type, d’écriture/accès hors limites, et plusieurs problèmes de cross-origin permettant l’exfiltration de données.

Trois des CVE (Common Vulnerability and Exposure) publiées concernent le noyau, avec des vulnérabilités présentées comme capables d’entraîner une corruption de la mémoire vive ou un plantage pur et simple de l’appareil. Deux autres affectent l’implémentation de la bibliothèque libxslt au sein d’iOS, avec là aussi la possibilité de provoquer un crash du système grâce à l’injection de contenu malveillant.

Les différentes vulnérabilités corrigées concernent la majorité des appareils compatibles avec iOS 26.5, soit les terminaux commercialisés à partir des iPhone 11, iPad Pro 12,9 pouces de troisième génération et iPad Pro 11 pouces, iPad 8, iPad mini 5, ou iPad Air 3.

• https://next.ink/236765/avec-ios-26-5-le-chiffrement-de-bout-en-bout-des-messages-rcs-arrive-entre-iphone-et-android/

Apple ne précise pas, dans son bulletin de sécurité, si certaines de ces vulnérabilités ont donné lieu à des attaques identifiées. L’entreprise souligne cependant que plusieurs de ces CVE ont été découvertes à l’aide d’outils d’IA générative. Trois d’entre elles mentionnent ainsi OpenAI Codex Security dans leurs crédits, tandis que deux autres ont impliqué respectivement Claude (Anthropic) et GLM (Z.AI).

Alors qu’Apple travaille actuellement à iOS 26.6, sa prochaine mise à jour fonctionnelle, les possibilités liées à l’IA générative semblent avoir contribué à accélérer la publication de cette mise à jour. « L’entreprise a déclaré à Reuters lundi qu’elle s’adaptait à une réalité : compte tenu de la capacité de l’intelligence artificielle à accélérer la création d’outils de piratage malveillants, elle devait réduire le délai entre la publication initiale des mises à jour et leur mise à disposition des clients », rapporte l’agence de presse.

[Mise à jour, lundi 29 juin, 14 heures] Orange a signalé le rétablissement progressif de son réseau mobile à 12h37. « Les réseaux 4G et 5G pour certains clients grand public et entreprise ont été perturbés, avec des difficultés ponctuelles de connexion, sans coupure totale de service. La situation sur la 4G et la 5G est désormais revenue à la normale depuis 11 h », a annoncé l’opérateur sur X. Orange n’a pour l’instant donné aucune information précise ou à caractère technique sur la nature de cet incident.

[Publication initiale, lundi 29 juin, 9h11] De nombreux clients mobiles d’Orange et de sa marque Sosh signalent des difficultés d’accès au réseau mobile lundi matin. Des témoignages affluent de toute la France sur les réseaux sociaux. L’opérateur a confirmé un incident technique peu avant 9 heures par l’intermédiaire de son compte X.

« Depuis ce matin, un incident technique affecte une partie des services mobiles d’Orange, avec des perturbations sur la 4G, la 5G, le roaming ainsi que certains services destinés aux entreprises. Les équipes techniques sont pleinement mobilisées pour analyser la situation et rétablir le service au plus vite. Orange présente ses excuses auprès des clients concernés ».

Le marché entreprises semble effectivement ne pas avoir été épargné. Sur une liste de diffusion spécialisée, le DSI d’une grande entreprise signale ainsi une indisponibilité à l’échelle des 3 500 lignes mobiles de son parc. Nous avons de notre côté observé une coupure totale de l’accès mobile à partir de 8h10 dans la région de Bordeaux sur deux lignes, avec un retour de la 3G peu avant 9 heures. Une autre ligne située aux alentours de Grenoble disposait quant à elle d’un accès 5G fonctionnel sur la période. L’incident semble donc avoir une portée nationale, mais sans affecter l’intégralité du réseau de l’opérateur.

La carte dédiée au suivi des incidents réseau chez Orange retournait elle aussi un message d’erreur vers 9 heures, conséquence possible d’un afflux inhabituel de requête.

Nous mettrons à jour cette actu si de nouveaux éléments font surface.

• Orange : un « incident » a perturbé le roaming dans certains pays européens

[Mise à jour, lundi 29 juin, 14 heures] Orange a signalé le rétablissement progressif de son réseau mobile à 12h37. « Les réseaux 4G et 5G pour certains clients grand public et entreprise ont été perturbés, avec des difficultés ponctuelles de connexion, sans coupure totale de service. La situation sur la 4G et la 5G est désormais revenue à la normale depuis 11 h », a annoncé l’opérateur sur X. Orange n’a pour l’instant donné aucune information précise ou à caractère technique sur la nature de cet incident.

[Publication initiale, lundi 29 juin, 9h11] De nombreux clients mobiles d’Orange et de sa marque Sosh signalent des difficultés d’accès au réseau mobile lundi matin. Des témoignages affluent de toute la France sur les réseaux sociaux. L’opérateur a confirmé un incident technique peu avant 9 heures par l’intermédiaire de son compte X.

« Depuis ce matin, un incident technique affecte une partie des services mobiles d’Orange, avec des perturbations sur la 4G, la 5G, le roaming ainsi que certains services destinés aux entreprises. Les équipes techniques sont pleinement mobilisées pour analyser la situation et rétablir le service au plus vite. Orange présente ses excuses auprès des clients concernés ».

Le marché entreprises semble effectivement ne pas avoir été épargné. Sur une liste de diffusion spécialisée, le DSI d’une grande entreprise signale ainsi une indisponibilité à l’échelle des 3 500 lignes mobiles de son parc. Nous avons de notre côté observé une coupure totale de l’accès mobile à partir de 8h10 dans la région de Bordeaux sur deux lignes, avec un retour de la 3G peu avant 9 heures. Une autre ligne située aux alentours de Grenoble disposait quant à elle d’un accès 5G fonctionnel sur la période. L’incident semble donc avoir une portée nationale, mais sans affecter l’intégralité du réseau de l’opérateur.

La carte dédiée au suivi des incidents réseau chez Orange retournait elle aussi un message d’erreur vers 9 heures, conséquence possible d’un afflux inhabituel de requête.

Nous mettrons à jour cette actu si de nouveaux éléments font surface.

• Orange : un « incident » a perturbé le roaming dans certains pays européens

SpaceX aurait dans ses cartons le projet de lancer une offre de téléphonie mobile grand public aux États-Unis. Cette dernière s’appuierait en partie sur les constellations de satellites déjà déployées pour les services de connectivité Starlink, mais elle devrait aussi motiver la création (ou l’acquisition) d’une infrastructure dédiée au sol. La mise en place d’une telle offre positionnerait l’entreprise d’Elon Musk comme un concurrent direct d’opérateurs tels que T-Mobile, qui fait aujourd’hui appel à ses services pour la partie satellite.

Le lancement de cette offre de téléphonie mobile aurait été évoqué par Gwynne Shotwell, la présidente de SpaceX, lors de certaines rencontres avec les investisseurs organisées pendant la tournée de préparation de l’introduction en bourse du 12 juin dernier. L’information, révélée vendredi 26 juin par le Financial Times, n’a pas été confirmée par l’entreprise, mais le quotidien britannique affirme avoir eu confirmation de ces déclarations par quatre personnes proches du dossier.

L’hypothèse n’est pas anodine, particulièrement dans le contexte d’une introduction en bourse. Starlink représente déjà une part significative de l’activité totale de SpaceX, avec 11,387 milliards de dollars de chiffre d’affaires, 7,168 milliards de dollars d’EBITDA et 4,423 milliards de dollars de résultat opérationnel sur l’année 2025.

Mais cette activité, réalisée à l’échelle de 150 pays, pèse encore bien peu par rapport au marché états-unien des communications mobiles. Les trois grands opérateurs du secteur (AT&T, Verizon et T-Mobile) totalisent en effet près de 352 milliards de dollars de chiffre d’affaires en 2025, auxquels s’ajoutent les revenus réalisés par les opérateurs virtuels (MVNO). Bien que le marché soit considéré comme saturé, une offre accueillie comme agressive ou innovante permettrait sans doute à SpaceX de conquérir des clients.

Renforcer les possibilités offertes par Starlink fait effectivement partie des promesses formulées par SpaceX dans son prospectus boursier, mais les allusions au sujet ont sans doute été éclipsées par les déclarations relatives aux datacenters dans l’espace ou à la conquête de Mars.

« Bien que nous nous attendions à ce que le service Starlink Mobile ait aujourd’hui un impact particulier sur les clients des zones reculées non couvertes par les réseaux mobiles terrestres (…) nous nous efforcerons d’offrir l’expérience de connectivité privilégiée à nos clients, quel que soit leur emplacement, en zone rurale, périurbaine ou urbaine », écrit notamment Starlink.

« La nouvelle génération de satellites Starlink Mobile, associée à notre récent achat de spectre sans fil auprès d’EchoStar, est conçue pour fournir une connectivité à haut débit et à faible latence directement aux appareils des utilisateurs finaux, offrant ainsi une solution de connectivité équivalente aux réseaux mobiles terrestres », poursuit l’entreprise.

L’occasion a peut-être fait le larron : rappelons en effet que SpaceX a pu mettre la main, fin 2025, sur un lot de fréquences dans la bande des 2 GHz auprès de l’opérateur Echostar pour environ 17 milliards de dollars. L’entreprise d’Elon Musk avait été bien aidée, à l’époque, par la FCC et par Donald Trump, qui avait lui-même exhorté Echostar à vendre une partie du spectre qui lui avait été alloué. Une nouvelle plage de fréquences avait d’ailleurs été cédée à SpaceX quelques semaines plus tard, pour 2,6 milliards de dollars supplémentaires.

SpaceX aurait dans ses cartons le projet de lancer une offre de téléphonie mobile grand public aux États-Unis. Cette dernière s’appuierait en partie sur les constellations de satellites déjà déployées pour les services de connectivité Starlink, mais elle devrait aussi motiver la création (ou l’acquisition) d’une infrastructure dédiée au sol. La mise en place d’une telle offre positionnerait l’entreprise d’Elon Musk comme un concurrent direct d’opérateurs tels que T-Mobile, qui fait aujourd’hui appel à ses services pour la partie satellite.

Le lancement de cette offre de téléphonie mobile aurait été évoqué par Gwynne Shotwell, la présidente de SpaceX, lors de certaines rencontres avec les investisseurs organisées pendant la tournée de préparation de l’introduction en bourse du 12 juin dernier. L’information, révélée vendredi 26 juin par le Financial Times, n’a pas été confirmée par l’entreprise, mais le quotidien britannique affirme avoir eu confirmation de ces déclarations par quatre personnes proches du dossier.

L’hypothèse n’est pas anodine, particulièrement dans le contexte d’une introduction en bourse. Starlink représente déjà une part significative de l’activité totale de SpaceX, avec 11,387 milliards de dollars de chiffre d’affaires, 7,168 milliards de dollars d’EBITDA et 4,423 milliards de dollars de résultat opérationnel sur l’année 2025.

Mais cette activité, réalisée à l’échelle de 150 pays, pèse encore bien peu par rapport au marché états-unien des communications mobiles. Les trois grands opérateurs du secteur (AT&T, Verizon et T-Mobile) totalisent en effet près de 352 milliards de dollars de chiffre d’affaires en 2025, auxquels s’ajoutent les revenus réalisés par les opérateurs virtuels (MVNO). Bien que le marché soit considéré comme saturé, une offre accueillie comme agressive ou innovante permettrait sans doute à SpaceX de conquérir des clients.

Renforcer les possibilités offertes par Starlink fait effectivement partie des promesses formulées par SpaceX dans son prospectus boursier, mais les allusions au sujet ont sans doute été éclipsées par les déclarations relatives aux datacenters dans l’espace ou à la conquête de Mars.

« Bien que nous nous attendions à ce que le service Starlink Mobile ait aujourd’hui un impact particulier sur les clients des zones reculées non couvertes par les réseaux mobiles terrestres (…) nous nous efforcerons d’offrir l’expérience de connectivité privilégiée à nos clients, quel que soit leur emplacement, en zone rurale, périurbaine ou urbaine », écrit notamment Starlink.

« La nouvelle génération de satellites Starlink Mobile, associée à notre récent achat de spectre sans fil auprès d’EchoStar, est conçue pour fournir une connectivité à haut débit et à faible latence directement aux appareils des utilisateurs finaux, offrant ainsi une solution de connectivité équivalente aux réseaux mobiles terrestres », poursuit l’entreprise.

L’occasion a peut-être fait le larron : rappelons en effet que SpaceX a pu mettre la main, fin 2025, sur un lot de fréquences dans la bande des 2 GHz auprès de l’opérateur Echostar pour environ 17 milliards de dollars. L’entreprise d’Elon Musk avait été bien aidée, à l’époque, par la FCC et par Donald Trump, qui avait lui-même exhorté Echostar à vendre une partie du spectre qui lui avait été alloué. Une nouvelle plage de fréquences avait d’ailleurs été cédée à SpaceX quelques semaines plus tard, pour 2,6 milliards de dollars supplémentaires.

Vingt ans après l’ouverture du service Google Finance, le moteur de recherche annonce coup sur coup le déploiement d’une nouvelle interface de gestion des portefeuilles boursiers et l’arrivée d’une application mobile dédiée. Celle-ci n’est pour l’instant proposée que sur Android, mais le moteur de recherche indique qu’une déclinaison iOS sortira d’ici la fin 2026. Le service Web comme l’application, conçus pour fonctionner en adéquation, s’appuient (sans surprise) sur de nouvelles fonctionnalités exploitant les IA génératives maison.

À l’instar de son grand concurrent Yahoo Finance, le service de Google propose pour mémoire un outil de suivi des marchés avec création de listes personnalisées, et suggestions de corrélations entre l’actualité du moment et l’évolution des cours. La firme de Mountain View y ajoute désormais la constitution d’un portefeuille boursier personnel, soit en entrant chacune des valeurs et sa date d’achat, soit en important un PDF ou un CSV issu du fournisseur de services boursiers de l’utilisateur. Contrairement à des applications spécialisées payantes comme Finary, Google ne va donc pas jusqu’à proposer une actualisation automatique du portefeuille via API.

Elle s’engage sur la confidentialité des données ainsi confiées : « Les données de votre portfolio restent confidentielles. Veuillez noter que Google ne conserve aucun fichier ni aucune image que vous téléversez. Vous gardez le contrôle total et pouvez modifier ou supprimer les données de votre portfolio à tout moment ».

Le tout a vocation à être enrichi de conseils personnalisés. « Une fois votre portefeuille mis en place, il est facile d’approfondir l’analyse grâce à l’outil de recherche. Essayez de poser des questions telles que : « Quels secteurs sont actuellement sous-représentés dans mon portefeuille ? » ou « Quel est l’impact de ma répartition en titres à revenu fixe sur mon potentiel de croissance à long terme ? » », illustre Google.

Google Finance peut également être programmé pour la génération d’analyses récurrentes (une veille quotidienne sur une liste de valeurs ou sur les dernières évolutions du marché des cryptomonnaies par exemple). Les contenus ainsi générés par IA seront ensuite poussés sous forme de notifications dans l’application mobile associée.

Dans son billet d’annonce, Google décrit simplement ces nouvelles possibilités, sans évoquer les limitations inhérentes à l’IA générative. Il faut se tourner vers les pages de documentation pour trouver les avertissements de rigueur. « L’IA peut commettre des erreurs. Vérifiez toujours les données financières de manière indépendante et consultez un conseiller financier agréé ou un professionnel avant de prendre toute décision d’investissement », y écrit par exemple l’entreprise.

Outre ces fonctions de gestion des finances personnelles, le service devrait également s’enrichir d’un système d’alerte permettant de suivre en direct ou de retrouver les présentations des résultats financiers d’entreprises cotées, à l’image de ce que propose l’application Quartr.

Vingt ans après l’ouverture du service Google Finance, le moteur de recherche annonce coup sur coup le déploiement d’une nouvelle interface de gestion des portefeuilles boursiers et l’arrivée d’une application mobile dédiée. Celle-ci n’est pour l’instant proposée que sur Android, mais le moteur de recherche indique qu’une déclinaison iOS sortira d’ici la fin 2026. Le service Web comme l’application, conçus pour fonctionner en adéquation, s’appuient (sans surprise) sur de nouvelles fonctionnalités exploitant les IA génératives maison.

À l’instar de son grand concurrent Yahoo Finance, le service de Google propose pour mémoire un outil de suivi des marchés avec création de listes personnalisées, et suggestions de corrélations entre l’actualité du moment et l’évolution des cours. La firme de Mountain View y ajoute désormais la constitution d’un portefeuille boursier personnel, soit en entrant chacune des valeurs et sa date d’achat, soit en important un PDF ou un CSV issu du fournisseur de services boursiers de l’utilisateur. Contrairement à des applications spécialisées payantes comme Finary, Google ne va donc pas jusqu’à proposer une actualisation automatique du portefeuille via API.

Elle s’engage sur la confidentialité des données ainsi confiées : « Les données de votre portfolio restent confidentielles. Veuillez noter que Google ne conserve aucun fichier ni aucune image que vous téléversez. Vous gardez le contrôle total et pouvez modifier ou supprimer les données de votre portfolio à tout moment ».

Le tout a vocation à être enrichi de conseils personnalisés. « Une fois votre portefeuille mis en place, il est facile d’approfondir l’analyse grâce à l’outil de recherche. Essayez de poser des questions telles que : « Quels secteurs sont actuellement sous-représentés dans mon portefeuille ? » ou « Quel est l’impact de ma répartition en titres à revenu fixe sur mon potentiel de croissance à long terme ? » », illustre Google.

Google Finance peut également être programmé pour la génération d’analyses récurrentes (une veille quotidienne sur une liste de valeurs ou sur les dernières évolutions du marché des cryptomonnaies par exemple). Les contenus ainsi générés par IA seront ensuite poussés sous forme de notifications dans l’application mobile associée.

Dans son billet d’annonce, Google décrit simplement ces nouvelles possibilités, sans évoquer les limitations inhérentes à l’IA générative. Il faut se tourner vers les pages de documentation pour trouver les avertissements de rigueur. « L’IA peut commettre des erreurs. Vérifiez toujours les données financières de manière indépendante et consultez un conseiller financier agréé ou un professionnel avant de prendre toute décision d’investissement », y écrit par exemple l’entreprise.

Outre ces fonctions de gestion des finances personnelles, le service devrait également s’enrichir d’un système d’alerte permettant de suivre en direct ou de retrouver les présentations des résultats financiers d’entreprises cotées, à l’image de ce que propose l’application Quartr.

Vapeur contre anabolisants

Alors que Valve vient de lancer les précommandes de sa très attendue Steam Machine, le distributeur lyonnais LDLC lui répond avec un mini-PC de son cru, la Stim Machine. La configuration se veut légèrement supérieure à celle adoptée par Valve, pour un prix équivalent et, surtout, une disponibilité immédiate.

Mise à jour, jeudi 25 juin à 11h25 : la blague n’est finalement plus assumée. LDLC vient en effet de faire disparaitre toutes les mentions Stim Machine de son site, et son ordinateur est maintenant présenté comme une « LDLC Box ». Les arguments comparatifs avec la Steam Machine sont toujours là, mais le groupe lyonnais a manifestement eu peur que Valve n’apprécie pas le détournement de marque. L’info devient donc « LDLC lance un mini PC avec des composants validés pour SteamOS », et l’on perd tout le succès d’eStim (ou d’eSteam ?) que nous avions pour la pirouette initiale.

Publication initiale, 25 juin, 10h19 :

LDLC vient de mettre en ligne un mini-site dédié à la Stim Machine, un PC au format mini-ITX ouvertement inspiré du projet Steam Machine de Valve et destiné à accueillir le système d’exploitation SteamOS. « On fait mieux – au même prix, ou moins cher si vous montez vous-même », promet l’e-commerçant.

Steam vs Stim

Le nom est doublement bien trouvé : outre sa prononciation identique à celle de l’ordinateur de salon tout juste lancé par Valve, il évoque aussi le stim (stimulant) qui donne un coup de fouet aux performances des marines terrans dans Starcraft. Or LDLC promet justement des caractéristiques supérieures à celles de la fameuse Steam Machine. L’e-commerçant annonce par ailleurs une disponibilité immédiate, là où Valve doit composer avec un système de précommandes sur tirage au sort.

Bref, le coup de com est plutôt bien pensé. Reste à voir si la machine suit ? LDLC met à profit son catalogue de pièces détachées pour composer un mini-PC légèrement mieux-disant que la machine de Valve, au moins sur le papier.

Elle s’articule autour d’un processeur Ryzen 5 8400F (6 cœurs, 12 threads) et d’une carte graphique RX 9060 XT (architecture RDNA 4, 8 Go de mémoire vidéo), là où Valve propose un ensemble de puces semi-custom (personnalisées par AMD selon la configuration souhaitée), avec une partie CPU en Zen 4 (également 6C/12T) et un GPU basé sur la génération précédente d’AMD (RDNA3), lui aussi muni de 8 Go de GDDR6.

En théorie, l’avantage va donc à LDLC (dans des proportions qui restent à vérifier), au prix sans doute d’une consommation électrique plus importante, puisque le TDP du processeur proposé par LDLC est de 65 W, contre 30 W annoncés par Valve sur sa propre puce.

Architecture ouverte vs bénéfices d’une intégration poussée

LDLC met par ailleurs en avant l’évolutivité de sa machine, avec la capacité à monter jusqu’à 128 Go de mémoire vive, ou la possibilité de faire évoluer le stockage, avec deux emplacements SATA disponibles en parallèle du SSD NVMe préinstallé. Sur ce point, l’avantage des périphériques supplémentaires est indéniable, mais Valve a déjà confirmé que son premier batch de machines arrivait avec une seule barrette de 16 Go sur deux emplacements disponibles, et qu’il était donc possible d’augmenter cette capacité.

En définitive, on retrouve l’éternel débat entre l’architecture hardware ouverte, plus évolutive, et les promesses de compacité et de silence permises par un niveau d’intégration plus poussé. LDLC utilise en effet des composants standard (boîtier Silverstone donné pour 11,5 litres, carte-mère Gigabyte B650I AX) là où Valve exploite un boîtier (nettement plus compact avec 3,8 litres) et une carte-mère propriétaires, dont la connectique et le refroidissement ont, en principe, été calculés au plus juste des usages anticipés.

LDLC propose sa Stim Machine sous forme de lot à assembler soi-même pour 999,95 euros, soit environ 10 % de réduction par rapport à la facture totale des composants (calculée à 1 107 euros sur son propre catalogue). Le montage est proposé en option pour 40 euros supplémentaires.

Il restera dans les deux cas à installer soi-même SteamOS (prêt à l’emploi sur la machine Valve), un processus que LDLC résume en cinq points sur sa page produit pour souligner sa simplicité. Signalons que même si SteamOS est mis en avant, d’autres distributions Linux dédiées aux jeux peuvent être utilisées, comme Bazzite, CachyOS ou la française GLF OS.

Notons que le Steam Controller, la manette officielle de Valve (vendue en option aux côtés de la Steam Machine) ne figure pas au catalogue de LDLC, qui pousse toutefois des alternatives piochées chez Microsoft, 8Bitdo, Asus ou Logitech.

Vapeur contre anabolisants

Alors que Valve vient de lancer les précommandes de sa très attendue Steam Machine, le distributeur lyonnais LDLC lui répond avec un mini-PC de son cru, la Stim Machine. La configuration se veut légèrement supérieure à celle adoptée par Valve, pour un prix équivalent et, surtout, une disponibilité immédiate.

Mise à jour, jeudi 25 juin à 11h25 : la blague n’est finalement plus assumée. LDLC vient en effet de faire disparaitre toutes les mentions Stim Machine de son site, et son ordinateur est maintenant présenté comme une « LDLC Box ». Les arguments comparatifs avec la Steam Machine sont toujours là, mais le groupe lyonnais a manifestement eu peur que Valve n’apprécie pas le détournement de marque. L’info devient donc « LDLC lance un mini PC avec des composants validés pour SteamOS », et l’on perd tout le succès d’eStim (ou d’eSteam ?) que nous avions pour la pirouette initiale.

Publication initiale, 25 juin, 10h19 :

LDLC vient de mettre en ligne un mini-site dédié à la Stim Machine, un PC au format mini-ITX ouvertement inspiré du projet Steam Machine de Valve et destiné à accueillir le système d’exploitation SteamOS. « On fait mieux – au même prix, ou moins cher si vous montez vous-même », promet l’e-commerçant.

Steam vs Stim

Le nom est doublement bien trouvé : outre sa prononciation identique à celle de l’ordinateur de salon tout juste lancé par Valve, il évoque aussi le stim (stimulant) qui donne un coup de fouet aux performances des marines terrans dans Starcraft. Or LDLC promet justement des caractéristiques supérieures à celles de la fameuse Steam Machine. L’e-commerçant annonce par ailleurs une disponibilité immédiate, là où Valve doit composer avec un système de précommandes sur tirage au sort.

Bref, le coup de com est plutôt bien pensé. Reste à voir si la machine suit ? LDLC met à profit son catalogue de pièces détachées pour composer un mini-PC légèrement mieux-disant que la machine de Valve, au moins sur le papier.

Elle s’articule autour d’un processeur Ryzen 5 8400F (6 cœurs, 12 threads) et d’une carte graphique RX 9060 XT (architecture RDNA 4, 8 Go de mémoire vidéo), là où Valve propose un ensemble de puces semi-custom (personnalisées par AMD selon la configuration souhaitée), avec une partie CPU en Zen 4 (également 6C/12T) et un GPU basé sur la génération précédente d’AMD (RDNA3), lui aussi muni de 8 Go de GDDR6.

En théorie, l’avantage va donc à LDLC (dans des proportions qui restent à vérifier), au prix sans doute d’une consommation électrique plus importante, puisque le TDP du processeur proposé par LDLC est de 65 W, contre 30 W annoncés par Valve sur sa propre puce.

Architecture ouverte vs bénéfices d’une intégration poussée

LDLC met par ailleurs en avant l’évolutivité de sa machine, avec la capacité à monter jusqu’à 128 Go de mémoire vive, ou la possibilité de faire évoluer le stockage, avec deux emplacements SATA disponibles en parallèle du SSD NVMe préinstallé. Sur ce point, l’avantage des périphériques supplémentaires est indéniable, mais Valve a déjà confirmé que son premier batch de machines arrivait avec une seule barrette de 16 Go sur deux emplacements disponibles, et qu’il était donc possible d’augmenter cette capacité.

En définitive, on retrouve l’éternel débat entre l’architecture hardware ouverte, plus évolutive, et les promesses de compacité et de silence permises par un niveau d’intégration plus poussé. LDLC utilise en effet des composants standard (boîtier Silverstone donné pour 11,5 litres, carte-mère Gigabyte B650I AX) là où Valve exploite un boîtier (nettement plus compact avec 3,8 litres) et une carte-mère propriétaires, dont la connectique et le refroidissement ont, en principe, été calculés au plus juste des usages anticipés.

LDLC propose sa Stim Machine sous forme de lot à assembler soi-même pour 999,95 euros, soit environ 10 % de réduction par rapport à la facture totale des composants (calculée à 1 107 euros sur son propre catalogue). Le montage est proposé en option pour 40 euros supplémentaires.

Il restera dans les deux cas à installer soi-même SteamOS (prêt à l’emploi sur la machine Valve), un processus que LDLC résume en cinq points sur sa page produit pour souligner sa simplicité. Signalons que même si SteamOS est mis en avant, d’autres distributions Linux dédiées aux jeux peuvent être utilisées, comme Bazzite, CachyOS ou la française GLF OS.

Notons que le Steam Controller, la manette officielle de Valve (vendue en option aux côtés de la Steam Machine) ne figure pas au catalogue de LDLC, qui pousse toutefois des alternatives piochées chez Microsoft, 8Bitdo, Asus ou Logitech.

Games farm

Valve a donné lundi le coup d’envoi de l’édition Juin 2026 de son Next Fest, un événement d’une semaine pendant lequel des milliers de démos de jeux à venir sont proposées au téléchargement gratuit. Ce Next Fest affiche 4 390 démos disponibles, contre seulement 3 500 en février, et 2 600 il y a un an. Une explosion à mettre au crédit de l’IA générative ?

Prélude aux opérations commerciales de l’été, le Steam Next Fest (ou Néo Fest en VF), qui se déroule du 15 au 22 juin, est un événement récurrent organisé par Valve, qui propose à tous les éditeurs de jeux vidéo inscrits sur sa plateforme de diffuser gratuitement une démo de leurs titres déjà publiés ou à venir. Une façon d’encourager les joueurs à essayer de nouveaux jeux, nourrir leurs listes de souhaits et donc bien sûr motiver de nouveaux achats.

550 démos estampillées « contenu IA » sur 4 390

Déployée depuis 2020, la mécanique du Steam Next Fest est désormais bien rodée. Elle est exploitée aussi bien par des studios ayant pignon sur rue que par des acteurs plus confidentiels, voire des indépendants, qui espèrent réussir à faire émerger leur création dans les méandres du magasin Steam. Mais sortir du lot s’avère un exercice de plus en plus complexe : pour cette édition juin 2026, le Steam Next Fest a en effet reçu quelque 8 764 soumissions de démos, selon les chiffres accessibles via le service tiers SteamDB.

Dans le lot figurent de nombreuses démos dont l’auteur signale avoir eu recours à de l’intelligence artificielle générative dans la création des ressources du jeu : elles sont au nombre de 1 704, toujours selon les données de SteamDB, qui permet de créer un filtre sur le critère « AI content disclosed ». Sur la base de ces chiffres, Eurogamer estime qu’environ 20 % des démos distribuées lors du Next Fest juin 2026 exploitent, d’une façon ou d’une autre, des contenus générés par IA.

Le calcul est juste, mais le périmètre demande en réalité à être précisé. Les 8 764 démos comptabilisées par SteamDB correspondent en effet aux demandes de publication soumises à Steam, et non au volume réel de démos publiées. Celui-ci s’établit en réalité à 4 390 (chiffre en date du 17 juin). Il exclut toutes les démos qui ont été refusées par Steam, mais aussi les jeux qui ont été retirés par leur auteur, les demandes de soumission qui n’ont pas été à leur terme, etc.

En combinant sur SteamDB le critère de disponibilité réelle de la démo (qui confirme l’ordre de grandeur des 4 390 publications) et celui de la déclaration relative à l’IA, on arrive à un total de 550 démos estampillées « contenu IA » par l’éditeur, soit environ 12,5 % du total. Ces chiffres soulignent par ailleurs que 1 200 des démos estampillées IA n’ont pas été au bout du processus de publication ou ont déjà été retirés, sans qu’on sache si ces abandons découlent de la modération opérée par Valve.

Une obligation de déclaration sur les contenus

Valve n’a évidemment aucun moyen de contrôler si et comment des outils d’IA sont mis en œuvre dans le processus de développement et l’écriture du code d’un jeu. L’éditeur de Steam exige cependant de ses clients, studios et développeurs, une forme de transparence pour tout ce qui touche aux aspects « visibles » du jeu :

« Nous savons que de nombreux environnements de développement de jeux modernes intègrent des outils alimentés par l’IA. Les gains d’efficacité grâce à l’utilisation de ces outils ne sont pas le sujet de cette section. Au lieu de cela, il s’agit de l’utilisation de l’IA pour créer du contenu qui est publié dans votre jeu et consommé par les joueurs et joueuses. Cela inclut des éléments tels que des images, du son, la narration, la traduction, etc. »

La démarche reste cependant déclarative, même si Valve avertit que son processus d’évaluation a vocation à vérifier qu’un jeu « tient ses engagements ».

Émerger au milieu de la fête du slop

Une chose est sure : l’avènement de l’IA générative, particulièrement dans le monde du développement logiciel, semble corrélée à une forte augmentation du nombre de démos publiées lors du Steam Next Fest. On en décompte donc 4 390 pour juin 2026, contre 3 536 en février de la même année et 2 645 en juin 2025 d’après les chiffres relevés par la newsletter GameDiscoverCo, soit une accélération de 51 % sur un an.

Le phénomène n’est pas anodin pour les studios ou les indépendants, puisqu’il devient plus difficile pour eux d’émerger dans le brouhaha de ces milliers de démos. Pour répondre à cette problématique, Valve a imaginé un calendrier en deux temps : pendant les 48 premières heures du Next Fest, les démos sont théoriquement exposées de façon équitable chez les joueurs qui affichent les pages dédiées du magasin Steam.

Ensuite, c’est une logique algorithmique classique de popularité qui prend la suite, avec un bonus accordé aux démos qui semblent rencontrer le plus grand succès. Elle a le mérite de faire disparaître les titres relevant de la « bouillie IA » (AI slop), mais soulève d’autres problèmes, puisque le Next Fest devient alors plus un amplificateur de popularité qu’un véritable outil de découverte…

Games farm

Valve a donné lundi le coup d’envoi de l’édition Juin 2026 de son Next Fest, un événement d’une semaine pendant lequel des milliers de démos de jeux à venir sont proposées au téléchargement gratuit. Ce Next Fest affiche 4 390 démos disponibles, contre seulement 3 500 en février, et 2 600 il y a un an. Une explosion à mettre au crédit de l’IA générative ?

Prélude aux opérations commerciales de l’été, le Steam Next Fest (ou Néo Fest en VF), qui se déroule du 15 au 22 juin, est un événement récurrent organisé par Valve, qui propose à tous les éditeurs de jeux vidéo inscrits sur sa plateforme de diffuser gratuitement une démo de leurs titres déjà publiés ou à venir. Une façon d’encourager les joueurs à essayer de nouveaux jeux, nourrir leurs listes de souhaits et donc bien sûr motiver de nouveaux achats.

550 démos estampillées « contenu IA » sur 4 390

Déployée depuis 2020, la mécanique du Steam Next Fest est désormais bien rodée. Elle est exploitée aussi bien par des studios ayant pignon sur rue que par des acteurs plus confidentiels, voire des indépendants, qui espèrent réussir à faire émerger leur création dans les méandres du magasin Steam. Mais sortir du lot s’avère un exercice de plus en plus complexe : pour cette édition juin 2026, le Steam Next Fest a en effet reçu quelque 8 764 soumissions de démos, selon les chiffres accessibles via le service tiers SteamDB.

Dans le lot figurent de nombreuses démos dont l’auteur signale avoir eu recours à de l’intelligence artificielle générative dans la création des ressources du jeu : elles sont au nombre de 1 704, toujours selon les données de SteamDB, qui permet de créer un filtre sur le critère « AI content disclosed ». Sur la base de ces chiffres, Eurogamer estime qu’environ 20 % des démos distribuées lors du Next Fest juin 2026 exploitent, d’une façon ou d’une autre, des contenus générés par IA.

Le calcul est juste, mais le périmètre demande en réalité à être précisé. Les 8 764 démos comptabilisées par SteamDB correspondent en effet aux demandes de publication soumises à Steam, et non au volume réel de démos publiées. Celui-ci s’établit en réalité à 4 390 (chiffre en date du 17 juin). Il exclut toutes les démos qui ont été refusées par Steam, mais aussi les jeux qui ont été retirés par leur auteur, les demandes de soumission qui n’ont pas été à leur terme, etc.

En combinant sur SteamDB le critère de disponibilité réelle de la démo (qui confirme l’ordre de grandeur des 4 390 publications) et celui de la déclaration relative à l’IA, on arrive à un total de 550 démos estampillées « contenu IA » par l’éditeur, soit environ 12,5 % du total. Ces chiffres soulignent par ailleurs que 1 200 des démos estampillées IA n’ont pas été au bout du processus de publication ou ont déjà été retirés, sans qu’on sache si ces abandons découlent de la modération opérée par Valve.

Une obligation de déclaration sur les contenus

Valve n’a évidemment aucun moyen de contrôler si et comment des outils d’IA sont mis en œuvre dans le processus de développement et l’écriture du code d’un jeu. L’éditeur de Steam exige cependant de ses clients, studios et développeurs, une forme de transparence pour tout ce qui touche aux aspects « visibles » du jeu :

« Nous savons que de nombreux environnements de développement de jeux modernes intègrent des outils alimentés par l’IA. Les gains d’efficacité grâce à l’utilisation de ces outils ne sont pas le sujet de cette section. Au lieu de cela, il s’agit de l’utilisation de l’IA pour créer du contenu qui est publié dans votre jeu et consommé par les joueurs et joueuses. Cela inclut des éléments tels que des images, du son, la narration, la traduction, etc. »

La démarche reste cependant déclarative, même si Valve avertit que son processus d’évaluation a vocation à vérifier qu’un jeu « tient ses engagements ».

Émerger au milieu de la fête du slop

Une chose est sure : l’avènement de l’IA générative, particulièrement dans le monde du développement logiciel, semble corrélée à une forte augmentation du nombre de démos publiées lors du Steam Next Fest. On en décompte donc 4 390 pour juin 2026, contre 3 536 en février de la même année et 2 645 en juin 2025 d’après les chiffres relevés par la newsletter GameDiscoverCo, soit une accélération de 51 % sur un an.

Le phénomène n’est pas anodin pour les studios ou les indépendants, puisqu’il devient plus difficile pour eux d’émerger dans le brouhaha de ces milliers de démos. Pour répondre à cette problématique, Valve a imaginé un calendrier en deux temps : pendant les 48 premières heures du Next Fest, les démos sont théoriquement exposées de façon équitable chez les joueurs qui affichent les pages dédiées du magasin Steam.

Ensuite, c’est une logique algorithmique classique de popularité qui prend la suite, avec un bonus accordé aux démos qui semblent rencontrer le plus grand succès. Elle a le mérite de faire disparaître les titres relevant de la « bouillie IA » (AI slop), mais soulève d’autres problèmes, puisque le Next Fest devient alors plus un amplificateur de popularité qu’un véritable outil de découverte…

SpaceX lave encore plus blanc que blanc

Dans la foulée de son introduction en bourse sur le Nasdaq qui lui a permis de lever plus de 80 milliards de dollars d’argent frais, SpaceX a annoncé mardi son intention d’exercer l’option d’achat posée sur Cursor, ses outils d’orchestration et ses grands modèles de langage dédiés aux développeurs. La transaction sera réalisée en actions dans le courant du troisième trimestre, pour 60 milliards de dollars.

C’est la première annonce stratégique de SpaceX depuis son introduction fracassante en bourse, vendredi dernier. Le groupe d’Elon Musk a en effet signalé (PDF) mardi 16 juin son intention d’exercer, d’ici le troisième trimestre 2026, l’option d’achat posée sur Anysphere, la société qui édite Cursor et ses différents outils d’intelligence artificielle. La transaction devrait être réalisée intégralement en actions, et Cursor a vocation à poursuivre ses activités en tant que filiale détenue par SpaceX.

SpaceX exerce l’option posée fin avril

SpaceX concrétise ainsi l’option posée le 22 avril dernier, date à laquelle le groupe avait annoncé un partenariat étendu avec Anysphere, visant notamment à mettre à profit les infrastructures des datacenters Colossus pour entraîner les modèles développés par Cursor sous ses propres couleurs.

Cursor se présente en effet au départ comme un environnement de développement logiciel (IDE). Parti d’un fork de VS Code (Microsoft), Cursor dispose d’un orchestrateur, indépendant des modèles, et fait depuis quelques mois la part belle aux agents. En parallèle, l’entreprise développe et entraîne depuis fin 2025 ses propres LLM, baptisés Composer et présentés comme particulièrement optimisés pour l’ingénierie logicielle.

Bref, Cursor table sur cette approche intégrée, IDE et modèles spécialisés, pour tailler des croupières aux acteurs plus généralistes de type Anthropic, OpenAI ou même GitHub Copilot. Reste à voir comment les activités xAI (dont Grok) s’interfaceront avec celles de Cursor dans le portefeuille commercial de SpaceX. « Depuis quelques mois, SpaceXAI et Cursor entraînent conjointement un modèle qui sera bientôt disponible dans Cursor et Grok Build », se contente d’indiquer l’acquéreur.

Fin avril, l’annonce d’un accord potentiel avec Cursor était analysée au regard de la future introduction en bourse de SpaceX, et nous la considérions alors comme une forme de légitimation des investissements pharaoniques dans les infrastructures IA consentis par le groupe. Rappelons en effet que les datacenters plombent les finances consolidées du groupe, alors même qu’il enregistre une rentabilité record sur la fourniture d’accès à Internet via Starlink.

• https://next.ink/238580/ce-que-revelent-les-comptes-de-spacex-a-laube-de-son-introduction-en-bourse/

Depuis, l’actualité a montré que SpaceX était enclin à rentabiliser ses investissements : le groupe a annoncé coup sur coup deux contrats de mise à disposition d’infrastructures. D’abord avec Anthropic, pour 1,25 milliard de dollars par mois sur trois ans, puis avec Google, pour 920 millions de dollars par mois.

Positifs pour le cash flow du groupe, ces deux accords ont parfois été interprétés comme un aveu d’échec implicite sur le développement en propre de modèles commerciaux (xAI et Grok n’ayant jamais obtenu une traction commerciale comparable à celle des leaders du marché). L’acquisition de Cursor participe indirectement à démentir cette idée, mais elle confirme que xAI, chez qui les départs se sont multipliés ces derniers mois, a probablement besoin de renforts ou de compétences nouvelles pour rester dans la course.

Un premier rachat largement couvert par une IPO record

SpaceX procèdera donc à l’acquisition de Cursor (sous réserve des habituelles validations réglementaires) par échange de titres. Le nombre exact d’actions de type A (aux droits de vote limités par rapport aux actions de type B détenues en grande majorité par Elon Musk) sera basé sur une moyenne du cours en bourse de SpaceX, pondérée par le volume des échanges, sur les sept jours précédant la conclusion du deal.

Difficile à ce stade de prédire à quel cours s’échangera le titre SPCX aux alentours du troisième trimestre. Introduit vendredi à 135 dollars l’action, le titre a dépassé les 220 dollars mardi 16 juin peu après l’ouverture du Nasdaq suite à l’annonce du rachat de Cursor, avant de se stabiliser sur une hausse tout de même conséquente de 10 % par rapport à la clôture de la séance précédente.

Mardi vers 16h30, sa valorisation s’établissait ainsi à 2 700 milliards de dollars, ce qui place SpaceX dans le top 5 des capitalisations boursières mondiales, devant Amazon (environ 2 650 milliards de dollars à la même heure).

Force est de constater que les marchés ont répondu présents à l’appel de SpaceX : l’opération initiale d’introduction en bourse a été largement sursouscrite, et les banques qui en disposaient ont exercé leurs clauses de surallocation (un dispositif qui permet d’acheter un peu plus d’actions que prévu), ce qui a permis à l’entreprise de lever quelque 85 milliards de dollars d’argent frais.

Plusieurs voix, dans le monde financier, s’étaient pourtant élevées pour dénoncer les risques associés à la valorisation possiblement excessive de SpaceX et à la gouvernance concentrée entre les mains d’Elon Musk. D’aucuns rappellent également le caractère utopiste des promesses formulées par l’entrepreneur, qui a construit tout le narratif de l’IPO autour de la possibilité de placer des centaines de MW de puissance de calcul informatique en orbite et d’ouvrir la voie au voyage interplanétaire.

Une chose est sure, son statut de premier « billionnaire » au monde (fortune personnelle dépassant les 1 000 milliards de dollars) et ses nouvelles obligations liées à la cotation de SpaceX n’ont pas entamé le sentiment d’impunité dont semble jouir Musk sur son réseau social. Le 9 juin dernier, pendant que le tout Wall Street spéculait sur le succès de l’IPO, l’entrepreneur relayait sur X les messages du militant d’extrême-droite Tommy Robinson, appelant à « manifester SOUVENT et FORTEMENT », alors que Belfast était traversée par une vague de manifestations violentes.

SpaceX lave encore plus blanc que blanc

Dans la foulée de son introduction en bourse sur le Nasdaq qui lui a permis de lever plus de 80 milliards de dollars d’argent frais, SpaceX a annoncé mardi son intention d’exercer l’option d’achat posée sur Cursor, ses outils d’orchestration et ses grands modèles de langage dédiés aux développeurs. La transaction sera réalisée en actions dans le courant du troisième trimestre, pour 60 milliards de dollars.

C’est la première annonce stratégique de SpaceX depuis son introduction fracassante en bourse, vendredi dernier. Le groupe d’Elon Musk a en effet signalé (PDF) mardi 16 juin son intention d’exercer, d’ici le troisième trimestre 2026, l’option d’achat posée sur Anysphere, la société qui édite Cursor et ses différents outils d’intelligence artificielle. La transaction devrait être réalisée intégralement en actions, et Cursor a vocation à poursuivre ses activités en tant que filiale détenue par SpaceX.

SpaceX exerce l’option posée fin avril

SpaceX concrétise ainsi l’option posée le 22 avril dernier, date à laquelle le groupe avait annoncé un partenariat étendu avec Anysphere, visant notamment à mettre à profit les infrastructures des datacenters Colossus pour entraîner les modèles développés par Cursor sous ses propres couleurs.

Cursor se présente en effet au départ comme un environnement de développement logiciel (IDE). Parti d’un fork de VS Code (Microsoft), Cursor dispose d’un orchestrateur, indépendant des modèles, et fait depuis quelques mois la part belle aux agents. En parallèle, l’entreprise développe et entraîne depuis fin 2025 ses propres LLM, baptisés Composer et présentés comme particulièrement optimisés pour l’ingénierie logicielle.

Bref, Cursor table sur cette approche intégrée, IDE et modèles spécialisés, pour tailler des croupières aux acteurs plus généralistes de type Anthropic, OpenAI ou même GitHub Copilot. Reste à voir comment les activités xAI (dont Grok) s’interfaceront avec celles de Cursor dans le portefeuille commercial de SpaceX. « Depuis quelques mois, SpaceXAI et Cursor entraînent conjointement un modèle qui sera bientôt disponible dans Cursor et Grok Build », se contente d’indiquer l’acquéreur.

Fin avril, l’annonce d’un accord potentiel avec Cursor était analysée au regard de la future introduction en bourse de SpaceX, et nous la considérions alors comme une forme de légitimation des investissements pharaoniques dans les infrastructures IA consentis par le groupe. Rappelons en effet que les datacenters plombent les finances consolidées du groupe, alors même qu’il enregistre une rentabilité record sur la fourniture d’accès à Internet via Starlink.

• https://next.ink/238580/ce-que-revelent-les-comptes-de-spacex-a-laube-de-son-introduction-en-bourse/

Depuis, l’actualité a montré que SpaceX était enclin à rentabiliser ses investissements : le groupe a annoncé coup sur coup deux contrats de mise à disposition d’infrastructures. D’abord avec Anthropic, pour 1,25 milliard de dollars par mois sur trois ans, puis avec Google, pour 920 millions de dollars par mois.

Positifs pour le cash flow du groupe, ces deux accords ont parfois été interprétés comme un aveu d’échec implicite sur le développement en propre de modèles commerciaux (xAI et Grok n’ayant jamais obtenu une traction commerciale comparable à celle des leaders du marché). L’acquisition de Cursor participe indirectement à démentir cette idée, mais elle confirme que xAI, chez qui les départs se sont multipliés ces derniers mois, a probablement besoin de renforts ou de compétences nouvelles pour rester dans la course.

Un premier rachat largement couvert par une IPO record

SpaceX procèdera donc à l’acquisition de Cursor (sous réserve des habituelles validations réglementaires) par échange de titres. Le nombre exact d’actions de type A (aux droits de vote limités par rapport aux actions de type B détenues en grande majorité par Elon Musk) sera basé sur une moyenne du cours en bourse de SpaceX, pondérée par le volume des échanges, sur les sept jours précédant la conclusion du deal.

Difficile à ce stade de prédire à quel cours s’échangera le titre SPCX aux alentours du troisième trimestre. Introduit vendredi à 135 dollars l’action, le titre a dépassé les 220 dollars mardi 16 juin peu après l’ouverture du Nasdaq suite à l’annonce du rachat de Cursor, avant de se stabiliser sur une hausse tout de même conséquente de 10 % par rapport à la clôture de la séance précédente.

Mardi vers 16h30, sa valorisation s’établissait ainsi à 2 700 milliards de dollars, ce qui place SpaceX dans le top 5 des capitalisations boursières mondiales, devant Amazon (environ 2 650 milliards de dollars à la même heure).

Force est de constater que les marchés ont répondu présents à l’appel de SpaceX : l’opération initiale d’introduction en bourse a été largement sursouscrite, et les banques qui en disposaient ont exercé leurs clauses de surallocation (un dispositif qui permet d’acheter un peu plus d’actions que prévu), ce qui a permis à l’entreprise de lever quelque 85 milliards de dollars d’argent frais.

Plusieurs voix, dans le monde financier, s’étaient pourtant élevées pour dénoncer les risques associés à la valorisation possiblement excessive de SpaceX et à la gouvernance concentrée entre les mains d’Elon Musk. D’aucuns rappellent également le caractère utopiste des promesses formulées par l’entrepreneur, qui a construit tout le narratif de l’IPO autour de la possibilité de placer des centaines de MW de puissance de calcul informatique en orbite et d’ouvrir la voie au voyage interplanétaire.

Une chose est sure, son statut de premier « billionnaire » au monde (fortune personnelle dépassant les 1 000 milliards de dollars) et ses nouvelles obligations liées à la cotation de SpaceX n’ont pas entamé le sentiment d’impunité dont semble jouir Musk sur son réseau social. Le 9 juin dernier, pendant que le tout Wall Street spéculait sur le succès de l’IPO, l’entrepreneur relayait sur X les messages du militant d’extrême-droite Tommy Robinson, appelant à « manifester SOUVENT et FORTEMENT », alors que Belfast était traversée par une vague de manifestations violentes.

Step by step

Dans un arrêt le mardi 16 juin, la Cour de justice de l’Union européenne a estimé que la France pouvait bien, au regard du droit communautaire, obliger des sociétés basées dans un État membre à mettre en place une vérification d’âge. Elle considère cependant que cette mesure ne peut s’appliquer qu’au cas par cas, et non par l’intermédiaire d’une loi générale, qui engloberait par exemple tous les éditeurs de sites pornographiques.

La France et par extension les autres États membres peuvent-ils imposer une obligation de vérification d’âge à des sociétés basées dans un autre pays de l’Union ? Souhaitée de longue date par le gouvernement et inscrite à l’inventaire des missions de l’Arcom dans le cadre de la protection des jeunes publics face au porno, la question se heurte, notamment, au droit européen.

La Cour de justice de l’Union européenne (CJUE) vient justement de rendre un arrêt qui vise à clarifier le débat et devrait alimenter les décisions de justice très attendues dans les différentes affaires qui opposent l’État et l’Arcom à certains éditeurs de sites pornographiques.

Contrôle d’âge et domaine coordonné

En l’occurrence, c’est du Conseil d’État qu’émanaient les questions préjudicielles qui ont poussé la CJUE à plancher plus en détail sur le sujet. En cause, deux sociétés tchèques éditrices de sites X qui contestent devant la plus haute juridiction administrative les mises en demeure envoyées par l’Arcom en invoquant la compétence exclusive du pays d’origine prévue par la directive e-commerce. De ce fait, elles remettent en cause le décret d’application de la loi de 2020 instituant le contrôle d’âge obligatoire.

Cette compétence exclusive renvoie au « principe d’origine » de la directive commerce électronique, qui prévoit qu’une société obéisse aux règles du pays dans lequel elle est implantée pour tout ce qui relève du « domaine coordonné », c’est-à-dire la façon dont le service fonctionne (par opposition à d’autres aspects plus spécifiques comme la fiscalité, la livraison etc.).

Des mesures de restriction prises par un État membre destinataire des services numériques concernés sont envisageables (article 3 de la directive), mais celles-ci doivent être « nécessaires », pour des raisons tels que l’ordre public, la protection des mineurs ou la lutte contre l’incitation à la haine.

Dans ce contexte, le Conseil d’État souhaitait d’abord savoir si l’obligation du contrôle d’âge relevait bien du « domaine coordonné ». Pour légitimer ses mesures, la France argue en effet que le domaine coordonné ne s’applique que pour les règles explicitement harmonisées par la directive européenne. L’obligation du contrôle d’âge n’en faisant pas partie, elle échapperait au principe d’origine. Sur cette question précise, la CJUE dispose que le domaine coordonné « ne se limite pas aux exigences régies par les dispositions d’harmonisation de la directive, mais englobe en principe toute exigence relative à l’accès ou à l’exercice d’un service de la société de l’information », résume-t-elle dans un communiqué (PDF).

OK pour les mises en demeure, mais individualisées…

« Ainsi, l’application par la France des mesures en cause aux fournisseurs établis dans d’autres Etats membres constitue une restriction à la libre circulation des services », résume le juge Thomas von Danwitz. La CJUE ne ferme cependant pas totalement la porte. « Ces mesures peuvent néanmoins être prises, au cas par cas, dans le respect des conditions matérielles et procédurales prévues par la directive », complète le juge.

Pour ce faire, il faut que les « mesures en cause poursuivent des objectifs reconnus par la directive » et apparaissent « proportionnées », ce qui pour la Cour semble plutôt devoir se concrétiser par « des décisions individuelles de mise en demeure ou d’interdiction adoptées sur la base de la législation nationale », plutôt que sur une réglementation appliquée d’office.

« Il s’ensuit qu’une mesure nationale imposant, au prestataire d’un service donné, la mise en place d’un système de vérification de l’âge des utilisateurs des sites pornographiques doit être considérée comme étant proportionnée à l’objectif de protection des mineurs et de la dignité humaine (…) lorsque ce prestataire n’a pas pris les mesures appropriées (…) », écrit notamment la CJUE dans son arrêt.

… et en suivant la procédure

Le tout sous réserve de respecter la procédure. « Avant de prendre de telles mesures, il faut cependant, sauf en cas d’urgence, d’une part, demander à l’État membre d’établissement du prestataire concerné de prendre lui-même des mesures appropriées et, d’autre part, notifier l’intention de prendre celles-ci à la Commission européenne et à cet État membre », résume la Cour, qui après avoir exprimé cet arrêt fondé sur le droit européen, laisse désormais au Conseil d’État le soin de trancher le litige ouvert à l’échelle nationale.

Rappelons que depuis 2020, l’obligation du contrôle d’âge alimente les passes d’armes médiatiques et juridiques. La question connaît d’ailleurs un regain d’intérêt depuis l’été 2025 et les nouvelles promesses formulées par le gouvernement sur la mise en place d’un contrôle d’âge à l’entrée des réseaux sociaux. C’est également à cette époque qu’est entré en vigueur le décret d’application permettant à l’Arcom de sanctionner les éditeurs de sites en cas de non mise en place des mesures techniques de contrôle d’âge, provoquant le boycott de la France (partiellement levé) par Aylo, l’éditeur de Pornhub.

En face, les éditeurs de sites, notamment pornographiques, tentent par tous les moyens de faire invalider les décrets d’application, et n’hésitent pas à jouer la carte du boycott pour faire émerger le sujet dans l’opinion publique. Ils arguent notamment que les dispositifs de contrôle d’âge obligatoire n’ont qu’une efficacité très limitée (un constat, encore, vérifié en février 2026), mais contestent surtout la validité des dispositifs mis en place par la France. Les différentes procédures intentées ont déjà conduit à quelques volte-faces, notamment au niveau du Conseil d’état.

• France Identité teste la preuve d’âge avec un « double anonymat »… qui n’est pas anonyme

Step by step

Dans un arrêt le mardi 16 juin, la Cour de justice de l’Union européenne a estimé que la France pouvait bien, au regard du droit communautaire, obliger des sociétés basées dans un État membre à mettre en place une vérification d’âge. Elle considère cependant que cette mesure ne peut s’appliquer qu’au cas par cas, et non par l’intermédiaire d’une loi générale, qui engloberait par exemple tous les éditeurs de sites pornographiques.

La France et par extension les autres États membres peuvent-ils imposer une obligation de vérification d’âge à des sociétés basées dans un autre pays de l’Union ? Souhaitée de longue date par le gouvernement et inscrite à l’inventaire des missions de l’Arcom dans le cadre de la protection des jeunes publics face au porno, la question se heurte, notamment, au droit européen.

La Cour de justice de l’Union européenne (CJUE) vient justement de rendre un arrêt qui vise à clarifier le débat et devrait alimenter les décisions de justice très attendues dans les différentes affaires qui opposent l’État et l’Arcom à certains éditeurs de sites pornographiques.

Contrôle d’âge et domaine coordonné

En l’occurrence, c’est du Conseil d’État qu’émanaient les questions préjudicielles qui ont poussé la CJUE à plancher plus en détail sur le sujet. En cause, deux sociétés tchèques éditrices de sites X qui contestent devant la plus haute juridiction administrative les mises en demeure envoyées par l’Arcom en invoquant la compétence exclusive du pays d’origine prévue par la directive e-commerce. De ce fait, elles remettent en cause le décret d’application de la loi de 2020 instituant le contrôle d’âge obligatoire.

Cette compétence exclusive renvoie au « principe d’origine » de la directive commerce électronique, qui prévoit qu’une société obéisse aux règles du pays dans lequel elle est implantée pour tout ce qui relève du « domaine coordonné », c’est-à-dire la façon dont le service fonctionne (par opposition à d’autres aspects plus spécifiques comme la fiscalité, la livraison etc.).

Des mesures de restriction prises par un État membre destinataire des services numériques concernés sont envisageables (article 3 de la directive), mais celles-ci doivent être « nécessaires », pour des raisons tels que l’ordre public, la protection des mineurs ou la lutte contre l’incitation à la haine.

Dans ce contexte, le Conseil d’État souhaitait d’abord savoir si l’obligation du contrôle d’âge relevait bien du « domaine coordonné ». Pour légitimer ses mesures, la France argue en effet que le domaine coordonné ne s’applique que pour les règles explicitement harmonisées par la directive européenne. L’obligation du contrôle d’âge n’en faisant pas partie, elle échapperait au principe d’origine. Sur cette question précise, la CJUE dispose que le domaine coordonné « ne se limite pas aux exigences régies par les dispositions d’harmonisation de la directive, mais englobe en principe toute exigence relative à l’accès ou à l’exercice d’un service de la société de l’information », résume-t-elle dans un communiqué (PDF).

OK pour les mises en demeure, mais individualisées…

« Ainsi, l’application par la France des mesures en cause aux fournisseurs établis dans d’autres Etats membres constitue une restriction à la libre circulation des services », résume le juge Thomas von Danwitz. La CJUE ne ferme cependant pas totalement la porte. « Ces mesures peuvent néanmoins être prises, au cas par cas, dans le respect des conditions matérielles et procédurales prévues par la directive », complète le juge.

Pour ce faire, il faut que les « mesures en cause poursuivent des objectifs reconnus par la directive » et apparaissent « proportionnées », ce qui pour la Cour semble plutôt devoir se concrétiser par « des décisions individuelles de mise en demeure ou d’interdiction adoptées sur la base de la législation nationale », plutôt que sur une réglementation appliquée d’office.

« Il s’ensuit qu’une mesure nationale imposant, au prestataire d’un service donné, la mise en place d’un système de vérification de l’âge des utilisateurs des sites pornographiques doit être considérée comme étant proportionnée à l’objectif de protection des mineurs et de la dignité humaine (…) lorsque ce prestataire n’a pas pris les mesures appropriées (…) », écrit notamment la CJUE dans son arrêt.

… et en suivant la procédure

Le tout sous réserve de respecter la procédure. « Avant de prendre de telles mesures, il faut cependant, sauf en cas d’urgence, d’une part, demander à l’État membre d’établissement du prestataire concerné de prendre lui-même des mesures appropriées et, d’autre part, notifier l’intention de prendre celles-ci à la Commission européenne et à cet État membre », résume la Cour, qui après avoir exprimé cet arrêt fondé sur le droit européen, laisse désormais au Conseil d’État le soin de trancher le litige ouvert à l’échelle nationale.

Rappelons que depuis 2020, l’obligation du contrôle d’âge alimente les passes d’armes médiatiques et juridiques. La question connaît d’ailleurs un regain d’intérêt depuis l’été 2025 et les nouvelles promesses formulées par le gouvernement sur la mise en place d’un contrôle d’âge à l’entrée des réseaux sociaux. C’est également à cette époque qu’est entré en vigueur le décret d’application permettant à l’Arcom de sanctionner les éditeurs de sites en cas de non mise en place des mesures techniques de contrôle d’âge, provoquant le boycott de la France (partiellement levé) par Aylo, l’éditeur de Pornhub.

En face, les éditeurs de sites, notamment pornographiques, tentent par tous les moyens de faire invalider les décrets d’application, et n’hésitent pas à jouer la carte du boycott pour faire émerger le sujet dans l’opinion publique. Ils arguent notamment que les dispositifs de contrôle d’âge obligatoire n’ont qu’une efficacité très limitée (un constat, encore, vérifié en février 2026), mais contestent surtout la validité des dispositifs mis en place par la France. Les différentes procédures intentées ont déjà conduit à quelques volte-faces, notamment au niveau du Conseil d’état.

• France Identité teste la preuve d’âge avec un « double anonymat »… qui n’est pas anonyme

Le loup dans la bergerie

Aqara, fabricant d’appareils connectés populaires dans l’univers HomeKit, a récemment corrigé la bagatelle de 26 défaillances de sécurité détectées principalement au niveau de la plateforme cloud qui sous-tend ses services. Dix des failles découvertes ont donné lieu à publication d’une CVE. L’exploitation combinée des quatre premières aboutit à une vulnérabilité notée 10, le niveau maximal de sévérité.

Une recherche indépendante, publiée le 11 juin dernier, vient de mettre en lumière un vaste ensemble de vulnérabilités affectant les produits de la marque Aqara. Ce fabricant chinois commercialise pour mémoire une large gamme de capteurs de température, caméras IP, ampoules pilotées, thermostats et autres serrures ou verrous connectés. La bonne intégration de ses produits dans Apple Maison (HomeKit) les rend particulièrement populaires chez les amateurs de domotique.

La plateforme cloud qui sous-tend leur fonctionnement présentait toutefois quelques sérieuses failles en matière de sécurité. L’exploitation combinée de plusieurs d’entre elles créait ainsi une voie pour usurper n’importe quel compte enregistré sur la plateforme Aqara, et donc potentiellement de forger un accès à l’ensemble de l’écosystème domotique d’un utilisateur.

Dix CVE et de nombreux problèmes de configuration

L’une de ces failles a reçu la note maximale de 10.0 dans la base de Common Vulnerabilities and Exposures (CVE) officielle – une sévérité qui reflète son rôle dans la chaîne plutôt que son impact pris isolément, le chercheur lui ayant lui-même attribué 7.5. « La passerelle Aqara IAM/SSO (gw-builder.aqara.com) expose des échanges AES bidirectionnels contre la clé de signature de la plateforme sans authentification », indique la notice associée.

Derrière ce scénario du pire (dont aucune mise en œuvre malveillante n’a été attestée) se cache en réalité un catalogue de failles et de lacunes de sécurité bien plus vastes, comme le présente sur GitHub l’auteur de ces découvertes, le Français Sammy Azdoufal. Ses travaux, confirmés par Tod Beardsley de runZero, ont donné lieu à la publication de dix CVE individuelles, dont quatre sont qualifiées de critiques (note supérieure à 9).

« L’audit a révélé dix vulnérabilités côté produit suffisamment graves pour justifier l’attribution de CVE, ainsi que onze problèmes côté opérateur affectant l’infrastructure d’Aqara (son CRM, ses plateformes CI/opérations internes, sa passerelle IAM, son forum et son GitHub). Les quatre premières CVE sont liées entre elles. Aucune d’entre elles n’atteint individuellement le niveau 10.0. C’est leur enchaînement qui aboutit à ce niveau », décrit Sammy Azdoufal.

Il a découvert ces failles en étudiant l’application mobile dédiée à ses utilisateurs, ce qui lui avait déjà permis de découvrir plus d’un million de babyphones espion basés sur le cloud Meari, et près d’un million de pièces d’identité exposées sur Internet par le fournisseur d’un outil de CRM dédié aux coffee shops et autres cannabis clubs sociaux.

Sammy Azdoufal indique avoir listé et informé Aqara d’un total de 27 défaillances. Le fabricant aurait reconnu et corrigé 26 d’entre elles, laissant de côté l’allusion à un forum Discourse dont les messages et les comptes utilisateurs étaient accessibles sans authentification préalable. « L’un des éléments signalés comme corrigés est un problème structurel (CVE-2026-50091, clés cryptographiques codées en dur intégrées au SDK mobile et au firmware déployé) pour lequel un correctif côté serveur n’est pas architecturalement suffisant », estime de son côté l’auteur de la découverte.

La marque minimise l’impact

Il relate par ailleurs la chronologie de ses échanges avec Aqara, de la première prise de contact, en mars, à la déclaration publique transmise le 11 juin, date de la publication de ses découvertes. Dans cette dernière, telle que reproduite par Sammy Azdoufal, l’entreprise affirme que « la possibilité potentielle de contrôler les appareils des utilisateurs se rapporte à un environnement de test totalement distinct des systèmes de production d’Aqara », et que l’accès « à de véritables appareils ou comptes utilisateurs via l’environnement de test est impossible dans notre architecture, car les environnements ne partagent aucune donnée utilisateur, identifiant ni service backend ».

Des affirmations que réfute le chercheur indépendant. « Le point d’accès de récupération des jetons (famille CVE-2026-50083) a renvoyé 2 969 sessions actives, dont les sessions JWT actives de deux employés d’Aqara. Les environnements de test ne contiennent pas les sessions de travail actives des employés réels », fait-il par exemple valoir.

Nous avons contacté Aqara pour essayer de tirer au clair ces contradictions. En attendant, les utilisateurs de l’application du même nom ont sans doute tout intérêt à révoquer les autorisations tierces qu’ils n’auraient pas eux-mêmes accordées dans les paramètres de leur compte. Ainsi qu’à privilégier les options de contrôle local, notamment via HomeKit, plutôt que de piloter leurs appareils par l’intermédiaire d’un cloud opéré par le fabricant. Un conseil qui vaut sans doute d’ailleurs bien au-delà du cas particulier d’Aqara…

• Domotique « intelligente » : ne nous laissons pas enfermer par nos objets connectés

Le loup dans la bergerie

Aqara, fabricant d’appareils connectés populaires dans l’univers HomeKit, a récemment corrigé la bagatelle de 26 défaillances de sécurité détectées principalement au niveau de la plateforme cloud qui sous-tend ses services. Dix des failles découvertes ont donné lieu à publication d’une CVE. L’exploitation combinée des quatre premières aboutit à une vulnérabilité notée 10, le niveau maximal de sévérité.

Une recherche indépendante, publiée le 11 juin dernier, vient de mettre en lumière un vaste ensemble de vulnérabilités affectant les produits de la marque Aqara. Ce fabricant chinois commercialise pour mémoire une large gamme de capteurs de température, caméras IP, ampoules pilotées, thermostats et autres serrures ou verrous connectés. La bonne intégration de ses produits dans Apple Maison (HomeKit) les rend particulièrement populaires chez les amateurs de domotique.

La plateforme cloud qui sous-tend leur fonctionnement présentait toutefois quelques sérieuses failles en matière de sécurité. L’exploitation combinée de plusieurs d’entre elles créait ainsi une voie pour usurper n’importe quel compte enregistré sur la plateforme Aqara, et donc potentiellement de forger un accès à l’ensemble de l’écosystème domotique d’un utilisateur.

Dix CVE et de nombreux problèmes de configuration

L’une de ces failles a reçu la note maximale de 10.0 dans la base de Common Vulnerabilities and Exposures (CVE) officielle – une sévérité qui reflète son rôle dans la chaîne plutôt que son impact pris isolément, le chercheur lui ayant lui-même attribué 7.5. « La passerelle Aqara IAM/SSO (gw-builder.aqara.com) expose des échanges AES bidirectionnels contre la clé de signature de la plateforme sans authentification », indique la notice associée.

Derrière ce scénario du pire (dont aucune mise en œuvre malveillante n’a été attestée) se cache en réalité un catalogue de failles et de lacunes de sécurité bien plus vastes, comme le présente sur GitHub l’auteur de ces découvertes, le Français Sammy Azdoufal. Ses travaux, confirmés par Tod Beardsley de runZero, ont donné lieu à la publication de dix CVE individuelles, dont quatre sont qualifiées de critiques (note supérieure à 9).

« L’audit a révélé dix vulnérabilités côté produit suffisamment graves pour justifier l’attribution de CVE, ainsi que onze problèmes côté opérateur affectant l’infrastructure d’Aqara (son CRM, ses plateformes CI/opérations internes, sa passerelle IAM, son forum et son GitHub). Les quatre premières CVE sont liées entre elles. Aucune d’entre elles n’atteint individuellement le niveau 10.0. C’est leur enchaînement qui aboutit à ce niveau », décrit Sammy Azdoufal.

Il a découvert ces failles en étudiant l’application mobile dédiée à ses utilisateurs, ce qui lui avait déjà permis de découvrir plus d’un million de babyphones espion basés sur le cloud Meari, et près d’un million de pièces d’identité exposées sur Internet par le fournisseur d’un outil de CRM dédié aux coffee shops et autres cannabis clubs sociaux.

Sammy Azdoufal indique avoir listé et informé Aqara d’un total de 27 défaillances. Le fabricant aurait reconnu et corrigé 26 d’entre elles, laissant de côté l’allusion à un forum Discourse dont les messages et les comptes utilisateurs étaient accessibles sans authentification préalable. « L’un des éléments signalés comme corrigés est un problème structurel (CVE-2026-50091, clés cryptographiques codées en dur intégrées au SDK mobile et au firmware déployé) pour lequel un correctif côté serveur n’est pas architecturalement suffisant », estime de son côté l’auteur de la découverte.

La marque minimise l’impact

Il relate par ailleurs la chronologie de ses échanges avec Aqara, de la première prise de contact, en mars, à la déclaration publique transmise le 11 juin, date de la publication de ses découvertes. Dans cette dernière, telle que reproduite par Sammy Azdoufal, l’entreprise affirme que « la possibilité potentielle de contrôler les appareils des utilisateurs se rapporte à un environnement de test totalement distinct des systèmes de production d’Aqara », et que l’accès « à de véritables appareils ou comptes utilisateurs via l’environnement de test est impossible dans notre architecture, car les environnements ne partagent aucune donnée utilisateur, identifiant ni service backend ».

Des affirmations que réfute le chercheur indépendant. « Le point d’accès de récupération des jetons (famille CVE-2026-50083) a renvoyé 2 969 sessions actives, dont les sessions JWT actives de deux employés d’Aqara. Les environnements de test ne contiennent pas les sessions de travail actives des employés réels », fait-il par exemple valoir.

Nous avons contacté Aqara pour essayer de tirer au clair ces contradictions. En attendant, les utilisateurs de l’application du même nom ont sans doute tout intérêt à révoquer les autorisations tierces qu’ils n’auraient pas eux-mêmes accordées dans les paramètres de leur compte. Ainsi qu’à privilégier les options de contrôle local, notamment via HomeKit, plutôt que de piloter leurs appareils par l’intermédiaire d’un cloud opéré par le fabricant. Un conseil qui vaut sans doute d’ailleurs bien au-delà du cas particulier d’Aqara…

• Domotique « intelligente » : ne nous laissons pas enfermer par nos objets connectés